TR/Startpage

Hallo babsi !

Ist einiges zu machen, aber zu schaffen bzw. vor dem fixen (= löschen) abzuklären.

Zur NENB.DLL ist nichts zu finden, gehe aber davon aus,daß diese 'böse' ist.
Bitte  gehe zunächst zu http://virusscan.jotti.org
und überprüfe diese NENB.DLL bei
C:\WINDOWS\SYSTEM\NENB.DLL
(wenn so direkt nicht zu finden, dann über die Windows-Suche gehen und per jotti prüfen auf Viren, Malware usw.

Gehe dann auf Start--->ausführen-->gibt dort
 cleanmgr   ein und mit Ok bestätigen.  Dann dort
alles anhaken und bereinigen lassen.

Gehe dann in den sog. abgesicherten Modus
( siehe: www.bsi.bund.de/av/texte/wiederher.htm )
und fixe/lösche dort mit dem HJT-tool folgende Einträge:

1.) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html

2.)  R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html

3.) falls der o.g. Jotti-Scan es als Virus/Malware
    usw. bezeichnete (gehe davon aus), dann auch dies
    fixen:

    O2 - BHO: (no name) - {608A628F-2CD2-47BC-BEFF-AC7EB2DC679C} - C:\WINDOWS\SYSTEM\NENB.DLL

4.) O4 - HKLM\..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstal
    (auf jeden Fall fixen).

5.) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE (file missing)
     (auch fixen).

6.) O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE (file missing)
      ( auch fixen).

7.) auch fixen, falls  Jotti-Scan etwas fand:
    O18 - Filter: text/html - {F54E3B0E-4D71-455E-A8B5-DC6021BFA060} - C:\WINDOWS\SYSTEM\NENB.DLL

8.) und auch fixen, falls  Jotti-Scan etwas fand:
  O18 - Filter: text/plain - {F54E3B0E-4D71-455E-A8B5-DC6021BFA060} - C:\WINDOWS\SYSTEM\NENB.DLL

Anschliessend den PC wieder normal starten und mit einem AV-Onlinescanner nochmals gegenchecken wie z.B.
- www.pandasoftware.com/activescan/de/activescan_principal.htm
  (cleant auch je nach Virus halt)
oder
- http://www.ravantivirus.com

bzw. hier eine ganze Liste mit 13 kostenlosen
AV-Onlinescannern (nicht alle cleanen online!)
http://malware.bul-online.de/av_onlinescan.php.

Diese funktionieren übrigens nur mit dem IE wg.
ActiveX (leider), aber dafür schon ok.
Ansonsten solltest du mal die Windowsupdateseite besuchen und z.B. auf den IE6.0 (auch wenn du nun nicht mehr benutzt) updaten bzw. generell Updates suchen und installieren.

Sonst ist der Firefox fürs tägliche Surfen schon die sichere Wahl.

Evlt. hinterher nochmals ein HJT-Log als Nachkontrolle posten. Viel Erfolg.

Allerliebsten Dank, das hat so weit ganz gut funktioniert. Pandasoftware und Ravantivirus haben nichts gefunden. Allerdings kam beim IE nochmal eins dieser Popups (die Starseite war aber normal leer und konnte umgestellt werden), die warnen, daß Spyware auf dem PC sei und zu einem Download auffordern (im Windows-Outfit, aber sehr offensichtlich eben nicht von meinem PC). Vorhin kam nochmal die Virenwarnung.
Hier nochmal der neue HJT-Logfile:

Logfile of HijackThis v1.99.0
Scan saved at 09:56:11, on 16.02.2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.51 SP2 (5.51.4807.2300)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\PROGRAMME\POWERPANEL\PROGRAM\PCFMGR.EXE
C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE
C:\WINDOWS\DESKTOP\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.kaninchenforum.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [MSConfigReminder] C:\WINDOWS\SYSTEM\msconfig.exe /reminder
O4 - HKLM\..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall
O4 - Startup: PowerPanel.lnk = C:\Programme\PowerPanel\Program\PcfMgr.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O12 - Plugin for .de/4762b87bc74db7edd2e7eb8c0ef51695/php/: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin2.dll
O12 - Plugin for .wav: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab



Ich habe gerade mal in der Systemkonfiguration geschaut, da ist immer wieder bei Autostart das Häkchen bei dem DllInstall.


Das mit den Updates war bei mir so eine Sache: Unser Computer-"Experte" hat gesagt, Windows ME sein so weit sicher, weil die meisten Viren eher neuere Versionen befallen, und außerdem würde der Router alles abfangen. Hab ich natürlich geglaubt, weil ich mich nicht auskenne. Nun halte ich aber in Zukunft alles upgedatet.

Ein paar Fragen habe ich nun noch:  ich hatte ja schon vorher Ad-Aware und Antivir. Nun habe ich dazu noch Spybot, sol ich den drauflassen, oder kann ich den wieder löschen?
Wie finde ich heraus, ob ich eine Firewall habe, und wenn nicht, soll ich mir hier http://www.zonelabs.de/   eine runterladen? Macht es Sinn, statt Outlook zukünftig Mozilla Thunderbird zu nutzen?

Und noch mehr Fragen: seit ich diese ganzen Versuche gemacht habe, den Trojaner wegzukriegen, fehlen in der Leiste wo auch die Uhr und das AV-Guard-Symbol sind, zum Beispiel das Symbol für den Lautsprecher, aber auch das vom Drucker und was da sinst noch so war. Kann ich das irgendwo wieder einstellen?

Fragen über Fragen...
Nochmal ganz herzlichen Dank für die Hilfe!

Hallo Babsi !

Deine HJT-Logfile wird immer besser verglichen zur vorherigen Version.
Allerdings sollte diese SE.DLL,DllInstall  unter
O4 - HKLM\..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall
bei PC-Systemstart auch noch weg. Dafür gibt's auch
eigene Tools.

Gehe zu www.gibinsoft.de auf links "File Utilities" und srolle ganz runter zu
GiPo@MoveOnBoot 1.9.5 (Deutsch)(646 Kb) und lade sie dir herunter in einem eigenen Ordner. (ist noch die alte Freeware-Version,aber voll ok soweit).
Rufe dann diese moveonboot-exe auf und trage per copy&paste dann diesen og. Pfad = C:\WINDOWS\TEMP\SE.DLL,DllInstall  ein.
Im nächsten Schritt werden dir 3 Optionen (Datei kopieren, Datei verschieben und Datei löschen) angeboten
---> du wählst Datei löschen und dies alles mit
WEITER und OK noch bestätigen.
Wenn du dann deinen PC neu startest, wird diese
SE.DLL,DllInstall dann auch gelöscht.

Dieser nochmals auftauchende IE-Pop-up könnte durchaus mit dieser SE.DLL zusammenhängen.
Alternativ erinnert es mich auch an den völlig unnötigen Windows Nachrichtendienst.
siehe z.b.:
 http://www.wintotal.de/Artikel/ndienst/ndienst.php
Hast Du diesen schon deaktiviert?  Falls nicht, findest du dort auch für den ME eine Anleitung.

Zu deinen anderen Fragen:
lasse  Ad-Aware, Spybot und Antivir ruhig drauf wie auch diese kostenlosen Online-AV-Scanner.
Keiner findet alles (die traurige Realität) und ich scanne immer mit einigen Tools dagegen. Sie stören sich nicht (haben ja keinen Wächter bzw. man sollte immer nur EINEN AV-Wächter laufen lassen, nie zwei).

Ob du eine Firewall hast (lt. HJT-Log hast du keine)kannst du leicht unter Start-->Einstellungen-> Systemsteuerung--> Software erkennen: dort sind alle deine Software-Programme , ua. auch Firewall, aufgelistet. Du schreibst allerdings von einem Router und ist letztlich sowieso die bessere Wahl als eine dieser Software-Firewalls. Diese können zu leicht "abgeschossen" werden.Deswegen bringt eine zusätzliche Firewall nicht unbedingt wesentlich mehr Schutz. Router sind da "wiederstandsfähiger", aber eben nie zu 100%. Restrisiko hast du da immer.

Auch Mozilla Thunderbird statt Outlook bringt noch eine Stufe mehr Schutz, keine Frage und sehr empfehlenswert.

Und allgemeines Updaten ist immer sinnvoll. Die Aussage, daß "Windows ME  so weit sicherer sei, weil die meisten Viren eher neuere Versionen befallen" kann ich so nicht teilen. Im Gegenteil, so manche Virenschreiber suchen gezielt nach den MS-Lücken um ihre Viren zu schreiben. Wenn Du dann nicht gepatcht bist, läuft's du voll ins Messer und IE-Nutzer leben da sowieso "riskanter" als Firefox/Opera etc.Nutzer.
(Wir haben noch genügend ungepatchte Lücken, mit denen
 die Windows-User leben müssen :-) ).

Das nun auch plötzlich in deiner Systemleiste (=Infoleiste) einige Symbole fehlen,könnte gut mit der Reinigungsaktion zusammenhängen, aber warte ab bis die
obige SE.DLL,DllInstall gelöscht ist, diese könnte einiges bremsen.  Ansonsten evlt. Dinge wie den Drucker nach/neuinstallieren (immer vorher einen Systemwiederherstellungspunkt setzen als letzten Rettungsanker) und dann neu drauf.

Viel Erfolg.