se.dll / rundll32.exe viren/trojaner? Verzweiflung.

van

van

Enthusiast
Thread Starter
Mitglied seit
27.12.2003
Beiträge
6.108
Ort
Bielefeld
Ich habe schon google durchstudiert aber keine funktionierende Hilfe gefunden...

Mein Problem ist es das ich ANDAUERND irgendwelche Popupfenster ( z.B! Klick ) angezeigt bekomme, das mir meldet ich hätte spyware drauf usw...

immer wenn das popup fenster auf geht habe ich in der msconfig eine "rundll32.exe" die vermutlich mit der se.dll in dem temp ordner von windows zusammenarbeitet.
2d1dad0fbb2bb19b9b0fc155cb38da24.jpg


Ich habe schon meine virenscanner, hijack, cwschredders und antitrojaner programme und registry cleaner und irgdnwelche special extra tools drüberlaufen lassen und alles sauber gemacht, aber das Problem kommt immer wieder. Besonders schlimm bei cs... da biste im spiel und kommst plötzlich zu win zurück und musst dich wieder zu cs einklicken... dauert 10 sek insgesamt.

Was kann ich denn noch tun???? Auf keinen Fall formatieren. :(

Bin ich denn der einzigste mit dem Problem?
Wer will kann gerne mal die se.dll haben um selber mal rumzuprobieren :fresse:
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Hallo !

Das klassische CoolWebSearch Problem ...
Also es gibt 2 Möglichkeiten - entweder Du hast ne harmlose Version (sieht so aus denn die mit der SE.DLL is meist die harmlosere) - oder die fiese.

Probier zuerst mal das mit der leichten Methode wegzubekommen:
Lad' Dir die neueste Version von HiJackThis runter (1.99.1 denk ich)
Entpack die am Desktop oder so - starte neu und mit F8 vor dem
Windows Logo gehst Du in den Abgesicherten Modus.
Dann startest Du das HiJackThis - und gehst auf "Do a system scan only"

Dann such in der Liste alle Einträge die auf die SE.DLL verweisen und mach
ein Hakerl davor. Wichtig ! - Es gibt auch welche die mit BHO in der Zeile
wo beginnen - das sind "Browser Helper Objects" - die auch markieren wenn
sie auf die SE.DLL verweisen.
Ebenfalls überprüfen ob FILTER in der Liste sind - die verweisen meist auf
HTML Dateien - das ist auch das SE.DLL (nur halt über die HTML angesprochen).

Die alle markieren und dann mit "Fix checked" entfernen.
Dann gleich noch im Abgesicherten Modus den AdAware mit einem "Full System Scan" durchlaufen lassen.

Dann sollte es weg sein.

Falls Du hilfe brauchst - mach im HiJackThis - Scan & Log und poste die LOG File hier - dann helf' ich Dir.

---

Wenn das nicht hilft dann mach's nach meiner Anleitung hier ab Post #41
http://www.forumdeluxx.de/forum/showthread.php?t=97822&page=2&pp=25

Das ist aber NUR für die schlimmere Variante von CWS wirksam ... sonst bringt das nix.
Kaputt machen kannst Du aber nix.
 
danke danke... ich werd das gleich ausprobieren und hier posten obs geklappt hat :)
 
so der eintrag in der msconfig ist schonmal nicht mehr da. Also bis jetzt scheint es behoben zu sein. Wenn das jetzt so bleibt ist das top. Ansonsten muss ich was anderes ausprobieren :)

adaware hat übrigens nix mehr gefunden bis auf 2 spyware cookies.. hab dann manuell nochmal die reg durchsucht nach se.dll und ein paar einträge gelöscht.
 
Mach aber wirklich mal zur Sicherheit das LOG vom HiJackThis und poste den Inhalt hier. Wie gesagt ich hatte das gleiche Problem bei einem PC von nem Kumpel und da waren dann als "FILTER" noch versteckte HTML Aufrufe die das SE.DLL wieder installiert haben.
 
hm, hab da gerade wieder diese se.dll entdeckt.... also hier mal der aktuelle log:

Logfile of HijackThis v1.99.1
Scan saved at 16:27:33, on 21.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {46E30C09-A16C-44A8-891F-0D61009A76C6} - C:\WINDOWS\System32\pil.dll
O2 - BHO: (no name) - {4AAF332D-E24A-58C4-8757-66550ED07D4A} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "C:\Programme\RivaTuner\RivaTuner.exe" /S
O8 - Extra context menu item: &NeoTrace It! - C:\PROGRA~1\NEOTRA~1\NTXcontext.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\Belkin\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: Microsoft® JavaScript® Console - {9B9C632F-FB65-42D0-8DC2-8003D8A8AE04} - C:\WINDOWS\system32\COMDLG32.OCX
O9 - Extra 'Tools' menuitem: JavaScript Console - {9B9C632F-FB65-42D0-8DC2-8003D8A8AE04} - C:\WINDOWS\system32\COMDLG32.OCX
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Belkin\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Belkin\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: NeoTrace It! - {9885224C-1217-4c5f-83C2-00002E6CEF2B} - C:\PROGRA~1\NEOTRA~1\NTXtoolbar.htm (HKCU)
O9 - Extra button: Microsoft® JavaScript® Console - {9B9C632F-FB65-42D0-8DC2-8003D8A8AE04} - C:\WINDOWS\system32\COMDLG32.OCX (HKCU)
O9 - Extra 'Tools' menuitem: JavaScript Console - {9B9C632F-FB65-42D0-8DC2-8003D8A8AE04} - C:\WINDOWS\system32\COMDLG32.OCX (HKCU)
O15 - Trusted IP range: 209.8.20.130
O15 - Trusted IP range: 209.8.20.130 (HKLM)
O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone
O15 - ProtocolDefaults: 'https' protocol is in Trusted Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone (HKLM)
O15 - ProtocolDefaults: 'https' protocol is in Trusted Zone, should be Internet Zone (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\..\{4A482E21-F6C4-450C-BB5D-7946C845E864}: NameServer = 192.168.0.1
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Filter: text/html - {9FE5D4F8-58B5-4542-95D1-72CB6BC92964} - C:\WINDOWS\System32\pil.dll
O18 - Filter: text/plain - {9FE5D4F8-58B5-4542-95D1-72CB6BC92964} - C:\WINDOWS\System32\pil.dll
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {46E30C09-A16C-44A8-891F-0D61009A76C6} - C:\WINDOWS\System32\pil.dll
O2 - BHO: (no name) - {4AAF332D-E24A-58C4-8757-66550ED07D4A} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "C:\Programme\RivaTuner\RivaTuner.exe" /S
O8 - Extra context menu item: &NeoTrace It! - C:\PROGRA~1\NEOTRA~1\NTXcontext.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\Belkin\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: Microsoft® JavaScript® Console - {9B9C632F-FB65-42D0-8DC2-8003D8A8AE04} - C:\WINDOWS\system32\COMDLG32.OCX
O9 - Extra 'Tools' menuitem: JavaScript Console - {9B9C632F-FB65-42D0-8DC2-8003D8A8AE04} - C:\WINDOWS\system32\COMDLG32.OCX
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Belkin\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Belkin\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: NeoTrace It! - {9885224C-1217-4c5f-83C2-00002E6CEF2B} - C:\PROGRA~1\NEOTRA~1\NTXtoolbar.htm (HKCU)
O9 - Extra button: Microsoft® JavaScript® Console - {9B9C632F-FB65-42D0-8DC2-8003D8A8AE04} - C:\WINDOWS\system32\COMDLG32.OCX (HKCU)
O9 - Extra 'Tools' menuitem: JavaScript Console - {9B9C632F-FB65-42D0-8DC2-8003D8A8AE04} - C:\WINDOWS\system32\COMDLG32.OCX (HKCU)
O15 - Trusted IP range: 209.8.20.130
O15 - Trusted IP range: 209.8.20.130 (HKLM)
O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone
O15 - ProtocolDefaults: 'https' protocol is in Trusted Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone (HKLM)
O15 - ProtocolDefaults: 'https' protocol is in Trusted Zone, should be Internet Zone (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\..\{4A482E21-F6C4-450C-BB5D-7946C845E864}: NameServer = 192.168.0.1
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Filter: text/html - {9FE5D4F8-58B5-4542-95D1-72CB6BC92964} - C:\WINDOWS\System32\pil.dll
O18 - Filter: text/plain - {9FE5D4F8-58B5-4542-95D1-72CB6BC92964} - C:\WINDOWS\System32\pil.dll

Okay - hab' Dir die Sachen zum löschen FETT markiert.
Also ab in den Abgesicherten Modus ... die Dinger im HiJackThis anhakerln und "Fix checked" anklicken.

Dann eben noch AdAware laufen lassen - und gut sollte es sein.

Mach dann auch mal Windows Updates ... ein SP1 mit allen aktuellen Updates sollte reichen (SP2 ist nicht zwingend nötig)

EDIT: Ach ja - und Du wirst warscheinlich beim ersten Internet Explorer Start wieder die MSN Seite bekommen. Mußt halt wieder einstellen welche Seite Du als Startseite haben willst - oder halt ne leere Seite.
EDIT2: Uhmm ... schau Dir auch mal den O18 - mit der ms-help Zeile an ... schau halt im Explorer mal nach was die Datei da :\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll für ein Datum hat. Die sieht auch verdächtig aus ... also falls die ein Datum der letzten Tage hat dann auch weg damit.
Ich hab' zwar nur ein Office XP und nicht das 2003 aber bei mir gibt's das Verzeichnis gar ned.
 
Zuletzt bearbeitet:
Hi, werd ich gleich mal machen...

nur bis auf die beiden letzten Einträge habe ich schonmal alles gelöscht was du fett gemacht hast. Vielleicht liegts also an den beiden letzten Einträgen.

Mal schaun :hmm:

Den internet explorer benutze ich gar nicht mehr, nur noch mozarella.
Der IE ist ja schon die Gefahr an sich.
 
Die letzten 2 sind aber wichtig - da sie ganz sicher auch ein Teil des CWS sind.
Der 3 von unten (MS-HELP) sieht wie gesagt auch sehr verdächtig aus.
Das würd' ich auch rausnehmen bzw. mir vorher mal das Verzeichnis ansehen.
 
Hi, hab jetzt die Fett markeirten Einträge alle gelöscht. Der eine dritte Einträg der gehört zu irgendeinen Microsofrt Net framework... hab ich mal installieren müssen.

Die se.dll war vorhin übrigens wieder im temp drinne. Ich wüsste zu gerne wie die da immer wieder hinkommt.

Mal sehen ob sie jetzt wegbleibt.

Achja, das habe ich gerade zufällig bei google gefunden:
http://forum.hijackthis.de/showthread.php?p=10393#post10393

Hab ich noch nicht durchgelesen aber mach ich mal.. evt. wäre das noch ne Lösung...

edit:
und nochwas.. http://board.protecus.de/showtopic.php?threadid=15636

war vor ein paar tagen alles noch nicht zu finden bei google.
 
Zuletzt bearbeitet:
Hmm hast du überhaupt die Windows Systemwiederherstellung aus?

Ich empfehle dir erstmal die Systemwiederherstellung
auszumachen (danach neustarten), danach HijackThis und alle Einträge mit Internet Explorer entfernen. Dann Ad-Aware und Spybot evtl. ein Immunisierung machen.

Und evtl. auch mal alternativen zu Benutzen bei Browser zwar nicht umbedingt aber auf jedenfall was anderes als Outlook Bsp. Thunderbird.
Ansonsten bei Browser Firefox oder Opera (Opera hat einen integrierten E-Mail Client).
 
Zuletzt bearbeitet:
scheiße leute.. scheiße...

problem:

ich hab gestern oder vorgestern die rundll32.exe gelöscht. Ich dachte irgendwie das sei die die mit verantwortlich für die probleme ist (war ja in der config immer aufgetaucht wenn das spampopup kam).

Jetzt kann ich z.b nicht mehr rechts klick auf Arbeitsplatz und auf eigenschaften machen (um das mit der Systemwiederherstellung zu gucken). Wenn ich das mache dann wird mir angezeigt das die rundll32.exe fehlt.
Genau das gleiche ist wenn ich unten rechts in der taskleiste doppelt auf die uhrzeut klicke. Rundll32.exe konnte nicht gefunden werden...

kann mir jemand eine rundll32.exe schicken? :fresse:
Die aus dem system ordner.
 
lol ... sorry ...

Anbei die Rundll32.exe von WinXP Prof. SP1.
Hoffe die passt.

Hast Du das Problem schon im Griff oder kommen noch immer PopUps ?!
 

Anhänge

  • rundll32.zip
    11,9 KB · Aufrufe: 49
b1-66-er schrieb:
DLL verlust ist heutzutage auch kein ding mehr

einfach hier runterladen www.dll-files.com/dllindex/index.shtml
Zum Vergrößern anklicken....

Nur hat er ne EXE gebraucht :d

Aber interessant die Seite ... ist halt nur die Frage was das dann jeweils für Versionen sind und wo / mit welchem Win die rennen.
Gibt ja bei vielen DLLs meist unzählige Versionen. Normalerweise sollten die abwärtskompatibel sein - aber nicht immer. (Selbst schon oft genug erlebt :fresse: )
 
ok das mit der rundll.exe geht wieder, thx..

aber wisst ihr was? :)


Ich habe wieder dieses scheiß popup drecksteil fenster!!! Meine Freunde die se.dll und die rundll.exe sind auch wieder alle da!!! :grrr: :fire:
Was für ein scheiß!
 
Naja - dann könntest Du nur noch meine "Auf die harte Tour" Methode probieren.
Wobei ich mir fast sicher bin daß die nichts bringt da das Problem für eine andere Variante von dem CWS ist.

Also hier
Bucho schrieb:
Wenn das nicht hilft dann mach's nach meiner Anleitung hier ab Post #41
http://www.forumdeluxx.de/forum/sho...22&page=2&pp=25

Das ist aber NUR für die schlimmere Variante von CWS wirksam ... sonst bringt das nix.
Kaputt machen kannst Du aber nix.
Zum Vergrößern anklicken....

Wobei ich es sehr eigenartig finde daß Du das Problem nicht wegbekommst - da ich das gleiche bei einem Freund schon mal gemacht habe und mit der Methode - abgesicherter Modus - HiJackThis - neustart - Windows Updates hat es geklappt.
 
Zuletzt bearbeitet:
Bucho schrieb:
Nur hat er ne EXE gebraucht :d

Aber interessant die Seite ... ist halt nur die Frage was das dann jeweils für Versionen sind und wo / mit welchem Win die rennen.
Gibt ja bei vielen DLLs meist unzählige Versionen. Normalerweise sollten die abwärtskompatibel sein - aber nicht immer. (Selbst schon oft genug erlebt :fresse: )
Zum Vergrößern anklicken....

ja, aber wer weiss was beim nächsten mal fehlt :fresse:
 
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh