se.dll/sp.html - Die Lösung

[Ruby]

www.sophos.com
Virus information: Troj/StartPa-EI:

* Trojan.Win32.StartPage.qr
* StartPage-DU.dll
* Trojan.Startpage-215

Beschreibung
Troj/StartPa-EI ist ein Startseiten-Trojaner. Er verändert Daten auf dem Computer und installiert sich in der Registrierung.

Troj/StartPa-EI ist eine DLL, die zahlreiche Registrierungsschlüssel im Zusammenhang mit Einstellungen für die Startseite verändert, u. a. folgende:

HKCU\Software\Microsoft\Internet Explorer\Main\Start Page
HKCU\Software\Microsoft\Internet Explorer\Main\Search Page
HKCU\Software\Microsoft\Internet Explorer\Main\Search Bar
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\Use Search Asst
HKCU\Software\Microsoft\Internet Explorer\Main\Use Custom Search URL
HKCU\Software\Microsoft\Internet Explorer\Main\HOMEOldSP
HKCU\Software\Microsoft\Internet Explorer\Search\SearchAssistant
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\Search Page
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\Search Bar
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\Use Search Asst
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\Use Custom Search URL
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\HOMEOldSP
HKLM\SOFTWARE\Microsoft\Internet Explorer\Search\SearchAssistant

Troj/StartPa-EI erstellt Einträge in der Registrierung unter:

HKCR\CLSID\[generated clsid value]\InProcServer32

Dieser Eintrag verweist auf den Trojaner und dieser setzt dann diese CLSID-Wert an folgenden Stellen in der Registrierung:

HKCR\PROTOCOLS\Filter\text/html\
CLSID

HKCR\PROTOCOLS\Filter\text/plain\
CLSID

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\

Troj/StartPa-EI kann auch die folgenden Einträge erstellen:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
SearchAssistant Uninstall\DisplayName = "Search Assistant Uninstall"

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
SearchAssistant Uninstall\UninstallString = "regsvr32 /s /u dropped.dll"

Troj/StartPa-EI kann auch versuchen, die HOSTS-Datei zu verändern, indem er ein "#" zu den Startzeilen hinzufügt, die die folgenden Zeichenfolgen enthalten, damit diese Zeilen nicht verwendet werden:

windows-data.inf
channels.at
refer.cn
look-up.tv
count.cc
searchx.cc
google.com
yahoo.com
msn.com
netscape.com
ieautsearch

www.sophos.com
Virus information: Troj/Ablank-D:

Weitere Einträge in der Registry

Der Trojaner nimmt folgende Registry-Einträge vor, um die gedroppte Komponente in den System Startup zu bringen:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
sp = rundll32 <temp>\se.dll,DllInstall

Der Trojaner bewirkt folgende Änderungen in der System Registry:

HKCU\Software\Microsoft\Internet Explorer\Main
HOMEOldSP = about:blank

HKCU\Software\Microsoft\Internet Explorer\Main
Search Page = about:blank

HKCU\Software\Microsoft\Internet Explorer\Main
Search Bar = res://<Temp>\\se.dll/sp.html

HKCU\Software\Microsoft\Internet Explorer\Main
Use Custom Search URL = 1

HKCU\Software\Microsoft\Internet Explorer\New Windows
PopupMgr = no

HKCU\Software\Microsoft\Internet Explorer\Search
SearchAssistant = about:blank

HKLM\Software\Microsoft\Internet Explorer\Main
HOMEOldSP = about:blank

HKLM\Software\Microsoft\Internet Explorer\Main
Start Page = about:blank

HKLM\Software\Microsoft\Internet Explorer\Main
Search Bar = res://<Temp>\\se.dll/sp.html

HKLM\Software\Microsoft\Internet Explorer\Search
SearchAssistant = about:blank

HKLM\Software\Microsoft\Internet Explorer\Main
Use Search Asst = no

HKLM\Software\Microsoft\Internet Explorer\Main
Use Custom Search URL = 1

HKLM\Software\Microsoft\Internet Explorer\New Windows
PopupMgr = no

Der Trojaner bildet ausserdem zwei Einträge für sich selbst unter HKCR\CLSID mit CLSID Werten und registriert sich selbst als Browser Helper Object mit einem dieser Werte. Troj/Ablank-D verhindert eine Deinstallation über die Add oder Remove Program Dialoge im Windows Control Panel.

siehe dazu auch: se.dll/sp.html - Solution

[Ruby]

In der Praxis sieht das dann so aus:

TR/StartPage.qr.DLL ist hartnäckig

Eine Lösung, die auch bereits an anderer Stelle erarbeitet worden ist:

Adware.WebBar
SE.DLL, Self-Help Guide- Win95, 98, ME Only
SE.DLL, Self-Help Guide- Windows XP 2000 Only

siehe: AW: se.dll/sp.html - Solution #4

[Ruby]

Wenn ich die Erkenntnisse von Sophos und Symantec zusammenfasse, komme ich zu folgendem Ergebnis - wobei ich mich frage, ob die Unterschlüssel generiert und immer die gleichen sind, oder ob sie andere Werte tragen, nämlich die, die den jeweiligen Einträgen unter O2 - BHO und O18 - Filter stehen. Das wären im vorliegenden Fall:

TR/StartPage.qr.DLL ist hartnäckig

diese beiden Werte:

(75532B57-7666-4059-A5DF-CE2E5DEDC48C)
(C98B8C64-B512-4F37-B0A0-9DED8CAC731B)

Diese Lösung müsste dann - jeweils fallspezifisch - angeboten werden:

Abgesicherter Modus / deaktivierte Systemwiederherstellung bei WinXP und ME: schließe alle Fenster, einschließlich dem Internet Explorer.
Starte Hijackthis, klick scan, mach ein Häkchen neben jeden der Einträge.
Klick dann auf den Fix Button:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Besitzer\LOKALE~1\Temp\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Besitzer\LOKALE~1\Temp\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {75532B57-7666-4059-A5DF-CE2E5DEDC48C} - C:\WINDOWS\system32\mbel.dll
O18 - Filter: text/html - {C98B8C64-B512-4F37-B0A0-9DED8CAC731B} - C:\WINDOWS\system32\mbel.dll
O18 - Filter: text/plain - {C98B8C64-B512-4F37-B0A0-9DED8CAC731B} - C:\WINDOWS\system32\mbel.dll

Einträge aus der Registry entfernen

Malware aus der Registry zu entfernen bedeutet, dass mit Öffnen des Internet Explorers nicht automatisch neue PopUp-Seiten gestartet werden.

Es ist zu empfehlen, ein BackUp der Registry anzulegen, bevor die Registry editiert wird.

Start-Run, type/copy: regsvr32 /u SE.DLL Push OK button

1. öffne den Registry Editor. Click Start>Ausführen, schreibe REGEDIT -> Enter.

2. linke Seite, Doppel-click auf:
HKEY_LOCAL_MACHINE>\Software\Microsoft\Windows\CurrentVersio n\Run

3. suche, finde und lösche diesen Eintrag:
sp = rundll32 <temp>\se.dll,DllInstall

4. In der linken Hälfte, Doppelklick auf Folgendes:
HKEY_CLASSES_ROOT>PROTOCOLS>Filter>

5. Immer noch in der linken Seite, suche, finde und lösche diese beiden Schlüssel:
* text/html
* text/plain

6. linke Seite, Doppel-click auf:
HKEY_LOCAL_MACHINE>Software>Microsoft>
Internet Explorer>Main

7. rechte Seite, suche und lösche diese Einträge:
Wenn du Files in searchpage/searchbar findest, die auf …\sp enden, bitte löschen

HOMEOldSP = about:blank
Start Page = about:blank
Search Bar = res://<Temp>\\se.dll/sp.html
SearchAssistant = about:blank
Use Search Asst = no
Use Custom Search URL = 1
PopupMgr = no

8. linke Seite, Doppel-click auf:
HKEY_CURRENT_USER>Software>Microsoft>
Internet Explorer>Main

9. rechte Seite, suche und lösche diese Einträge:
Wenn du Files in searchpage/searchbar findest, die auf …\sp enden, bitte löschen

HOMEOldSP = about:blank
Search Page = about:blank
Search Bar = res://<Temp>\\se.dll/sp.html
Use Custom Search URL = 1
PopupMgr = no
SearchAssistant = about:blank

10. Navigiere zu diesem Schlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Search-Exe\Prefs

11. suche, finde und lösche:
"GUID"="EB8119D779B84B3782B60C64B86292AD" (Kann, muss aber nicht diese Ziffernfolge sein)

12. Navigiere zu diesem Schlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\

13. Lösche den Unterschlüssel:
Search-Exe

14. Navigiere zu diesem Schlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\

15. Lösche die Unterschlüssel:
{00041A26-7033-432C-94C7-6371DE343822}
{002F4E27-B273-4FA5-ADFC-1FB9ED210B37}
{49DE8655-4D15-4536-B67C-2AA6C1106740}
{9368D063-44BE-49B9-BD14-BB9663FD38FC}

16. Navigiere zu diesem Schlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\

17. Lösche die Unterschlüssel:
{1EB48AA7-D3FE-4E4C-AC8E-B01594496AC0}
{42BD9965-303D-4CFB-AAE0-DCADCB791A55}
{83A13E87-FA20-4B6A-AAE8-C1226B5E1573}
{F5F0A448-2BCD-459E-8743-C39154EE1CA8}

18. Navigiere zu diesem Schlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\

19. Lösche den Unterschlüssel:
{A8F92C35-530B-4907-922C-CE31D4B6B14A}

20. Navigiere zu diesem Schlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\

21. Lösche die Unterschlüssel:
WebCom.WebBar
WebCom.WebBar.1
WebCom.WebBho
WebCom.WebBho.1
WebCom.WebCommand
WebCom.WebCommand.1
WebCom.WebSearch
WebCom.WebSearch.1

22. Navigiere zu diesem Schlüssel:
HKEY_LOCAL_MACHINE\ software\microsoft\windows\currentversion\run

23. Lösche den Wert:
sp

21. Schliesse den Registry Editor.

In den normalen Modus booten.

Beende im Taskmanager
se.exe

Suche in der Windows-Suche:
se.exe ; se.dll
löschen!

Das ist die Theorie.
Mal sehen, ob sie sich in der Praxis durchführen läßt. Übungsmöglichkeiten haben wir ja mehr als genug........

Lösung/Solution: ->SpSeHjfix-Cleaner

-> bitte hier klicken -> please click here

[Unregistriert]

</tr>
<tr>
<td width="10%"><img border="0" src="bullet00.gif" width="11" height="12"></td>
<td width="90%"> <a href="search.php?q=michigan+attorneys">Michigan Attorneys</a></td>
</tr>
<tr>
<td width="10%"><img border="0" src="bullet00.gif" width="11" height="12"></td>
<td width="90%"> <a href="search.php?q=arthritis+relief">Arthritis Relief</a></td>

</tr>
<tr>
<td width="10%"><img border="0" src="bullet00.gif" width="11" height="12"></td>
<td width="90%"> <a href="search.php?q=card+game">Card Game</a></td>
</tr>
<tr>
<td width="10%"><img border="0" src="bullet00.gif" width="11" height="12"></td>
<td width="90%"> <a href="search.php?q=masters+degree">Masters Degree</a></td>

</tr>
<tr>
<td width="10%"><img border="0" src="bullet00.gif" width="11" height="12"></td>
<td width="90%"> <a href="search.php?q=vegas+casinos">Vegas Casinos</a></td>
</tr>
<tr>
<td width="10%"><img border="0" src="bullet00.gif" width="11" height="12"></td>
<td width="90%"> <a href="search.php?q=vegas+vacation">Vegas Vacation</a></td>

</tr>
<tr>
<td width="10%"><img border="0" src="bullet00.gif" width="11" height="12"></td>
<td width="90%"> <a href="search.php?q=learning+online">Learning Online</a></td>
</tr>
<tr>
<td width="10%"><img border="0" src="bullet00.gif" width="11" height="12"></td>
<td width="90%"> <a href="search.php?q=cheep+loans">Cheep Loans</a></td>

</tr>
<tr>
<td width="10%"><img border="0" src="bullet00.gif" width="11" height="12"></td>
<td width="90%"> <a href="search.php?q=heroin+detox">Heroin Detox</a></td>
</tr>
<tr>
<td width="10%"><img border="0" src="bullet00.gif" width="11" height="12"></td>
<td width="90%"> <a href="search.php?q=drug+diazepam">Drug Diazepam</a></td>

</tr>
</table>
</td>
</tr>
</table>
</td>
</tr>
<tr>
<td width="100%"></td>

</tr>
<tr>
<td width="100%" align="center">
<hr noshade size="1" color="#C0C0C0">

c Copyright 2005 <b>Skoro Mir Izmenitsa Corp</b> All Rights Reserved.

</td>
</tr>
</table>
</center>

</div>




</body>
</html>