Fortsetzung sqle.dll

von **Steffi** am 22.09.2004, 17:34

Hallo vor allem Jinxy (aber auch alle anderen)

Dieser gelockte Thread hier, hat meine Aufmerksamkeit erregt, ich habe das identische Problem und würde gerne dort ansetzten, wo Koi aufgegeben hat - Jeder andere Weg der das Problem löst ist mir allerdings auch recht :-)

.

http://www.informationsarchiv.net/foren ... -sqle.html

Es hat noch nicht so richtig funktioniert, die datei sqle.dll so loszuwerden, unten also meine Log1.txt:

Lieben Dank für Eure Hilfe

-Steffi

Log.txt:

*System:
Microsoft Windows XP Home Edition 5.1 Service Pack 2 (Build 2600)
*IE version:
6.0.2900.2180 SP2

___________________________________________
!!Restoring backups!!

The operation completed successfully

The operation completed successfully
17:03:27,81 22.09.2004
___________________________________________

*Local time:
Mittwoch, 22. September 2004 (22.09.2004)
17:03, Westeuropäische Normalzeit
*Uptime:
17:03:36 up 0 days, 0:04:54

*path:
c:\FINDnFIX
Running in WORKSTATION MODE.

SystemDrive is C:
SystemRoot is C:\WINDOWS
Logon Domain is USER
Administrator's Name is no name
Computer Name is COMPUTERNAME
LOGON SERVER is \\BLANK
------------------------------------------

This log will confirm if the file was successfully moved, and/or
the right file was selected...

Scanning for file(s) in System32...

»»»»»»» (1) »»»»»»»
\\?\C:\WINDOWS\SYSTEM32\SQLE.DLL +++ File read error
C:\WINDOWS\System32\SQLE.DLL +++ File read error

»»»»»»» (2) »»»»»»»
SQLE.DLL Can't Open!

»»»»»»» (3) »»»»»»»

C:\WINDOWS\SYSTEM32\
sqle.dll Tue 15 Jun 2004 16:04:44 A...R 57.344 56,00 K

1 item found: 1 file, 0 directories.
Total of file sizes: 57.344 bytes 56,00 K
Unknown/hidden files...

No matches found.

»»»»»»» (4) »»»»»»»
Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.

Sniffed -> C:\WINDOWS\SYSTEM32\SQLE.DLL
SNiF 1.34 statistics

Matching files : 1 Amount in bytes : 57344
Directories searched : 1 Commands executed : 0

Masks sniffed for: *.DLL

»»»»»(5)»»»»»
¯ Access denied ® ..................... SQLE.DLL .....57344 15.06.2004

»»»»»(6)»»»»»
fgrep: can't open input C:\WINDOWS\SYSTEM32\SQLE.DLL

»»»»»»» Search by size And Date...

*List of files specs according to size:
*Note: Not all files listed here are infected!
____________________________________________________________________________
Path: C:\WINDOWS\SYSTEM32 Including: *.DLL

717. Msasn1 Dll 57,344 . . . . A 8-04-04 12:57 am
749. Mshtmler Dll 57,344 . . . . A 8-04-04 12:55 am
1168. Sqle Dll 57,344 . . R . A 6-15-04 4:04 pm
230. Dmloader Dll 35,840 . . . . A 8-04-04 12:57 am
396. Imgutil Dll 35,840 . . . . A 8-04-04 12:57 am
260. Dpvacm Dll 21,504 . . . . A 8-04-04 12:57 am
312. Feclient Dll 21,504 . . . . A 8-04-04 12:57 am

____________________________________________________________________________

C:\WINDOWS\SYSTEM32\
msasn1.dll Wed 4 Aug 2004 0:57:26 A.... 57.344 56,00 K
mshtmler.dll Wed 4 Aug 2004 0:55:32 A.... 57.344 56,00 K
sqle.dll Tue 15 Jun 2004 16:04:44 A...R 57.344 56,00 K

3 items found: 3 files, 0 directories.
Total of file sizes: 172.032 bytes 168,00 K

C:\WINDOWS\SYSTEM32\
dmloader.dll Wed 4 Aug 2004 0:57:18 A.... 35.840 35,00 K
imgutil.dll Wed 4 Aug 2004 0:57:22 A.... 35.840 35,00 K

2 items found: 2 files, 0 directories.
Total of file sizes: 71.680 bytes 70,00 K

C:\WINDOWS\SYSTEM32\
dpvacm.dll Wed 4 Aug 2004 0:57:18 A.... 21.504 21,00 K
feclient.dll Wed 4 Aug 2004 0:57:20 A.... 21.504 21,00 K

2 items found: 2 files, 0 directories.
Total of file sizes: 43.008 bytes 42,00 K

Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.

Sniffed -> C:\WINDOWS\SYSTEM32\MSASN1.DLL
Sniffed -> C:\WINDOWS\SYSTEM32\MSHTMLER.DLL
Sniffed -> C:\WINDOWS\SYSTEM32\SQLE.DLL
SNiF 1.34 statistics

Matching files : 3 Amount in bytes : 172032
Directories searched : 1 Commands executed : 0

Masks sniffed for: *.DLL
Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.

Sniffed -> C:\WINDOWS\SYSTEM32\DMLOADER.DLL
Sniffed -> C:\WINDOWS\SYSTEM32\IMGUTIL.DLL
SNiF 1.34 statistics

Matching files : 2 Amount in bytes : 71680
Directories searched : 1 Commands executed : 0

Masks sniffed for: *.DLL
Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.

Sniffed -> C:\WINDOWS\SYSTEM32\DPVACM.DLL
Sniffed -> C:\WINDOWS\SYSTEM32\FECLIENT.DLL
SNiF 1.34 statistics

Matching files : 2 Amount in bytes : 43008
Directories searched : 1 Commands executed : 0

Masks sniffed for: *.DLL

»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»

BHO search and other files...

fgrep: can't open input C:\WINDOWS\SYSTEM32\SQLE.DLL

No matches found.

"C:\WINDOWS\system32\"
rtipxmib.dll 4 Aug 2004 31744 "rtipxmib.dll"

1 item found: 1 file, 0 directories.
Total of file sizes: 31.744 bytes 31,00 K

No matches found.

--*sp.html in temp folder was NOT FOUND!--

*Filter keys search...
REGDMP: Unable to open key 'HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter\text/html' (2)

--(*text/html Subkey was NOT FOUND!)--

REGDMP: Unable to open key 'HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter\text/plain' (2)

--(*text/plain Subkey was NOT FOUND!)--

»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»

»»»*»»» Scanning for moved file... »»»*»»»

No matches found.

Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.

SNiF 1.34 statistics

Matching files : 0 Amount in bytes : 0
Directories searched : 1 Commands executed : 0

Masks sniffed for: *.*

fgrep: no files found for C:\FINDNFIX\JUNKXXX\*.*

Analyzer v1.36 by Boogie Copyright (C) 1997 ESP Team
Files: C:\FINDNFIX\JUNKXXX\*.*
Ä
Ä

Volume: VAIO * DDIR * 5:12 pm | Wed, 9-22-04
Ser #: 80AD-0A53 DOS Ver. 5.00 0% Used space
Path: C:\FINDNFIX\JUNKXXX All files selected

No files found.

No. of files: 0 | List size: 0
Disk size: 976.5 M | Actual spc: 0
Bytes free: 976.5 M | Conserved space: 0

Datei C:\FINDnFIX\junkxxx\*.* nicht gefunden

CHK-SAFE.EXE Ver 2.51 by Bill Lambdin Don Peters and Robert Bullock.
MD5 Message Digest Algorithm by RSA Data Security, Inc.

File name Size Date Time MD5 Hash
________________________________________________________________________

CRC-Cyclic Redundancy Checker, Version 1.20, 08-Feb-92, rtk

C:\FINDNFIX\JUNKXXX
No files found

#######################################################
*Known files are...
--------------------
File: ((56k; (57,344 bytes)
CRC-32 : D5C9FB2E
MD5 : C185B36F 9969D3A6 D2122BA7 CBC02249
--------------------
File: ((35k; (35,840 bytes)
CRC-32 : 33081C8B
MD5 : 1DE9A8E2 4C826006 7A479B09 577D9CAE
--------------------
File: ((21k; (21,504 bytes)
CRC-32 : 2258F59E
MD5 : EFEE2CB3 B342A351 51802356 9637F8E6
#######################################################
»»Permissions:
ERROR: Es sind keine weiteren Dateien vorhanden.

Directory "C:\FINDnFIX\junkxxx\."
Permissions:
Type Flags Inh. Mask Gen. Std. File Group or User
======= ======== ==== ======== ==== ==== ==== ================
Allow 00000010 t--- 001F01FF ---- DSPO rw+x VORDEFINIERT\Administratoren
Allow 0000001B -co- 10000000 ---A ---- ---- VORDEFINIERT\Administratoren
Allow 00000010 t--- 001F01FF ---- DSPO rw+x NT-AUTORITÄT\SYSTEM
Allow 0000001B -co- 10000000 ---A ---- ---- NT-AUTORITÄT\SYSTEM
Allow 00000010 t--- 001F01FF ---- DSPO rw+x COMPUTERNAME\no name
Allow 0000001B -co- 10000000 ---A ---- ---- \ERSTELLER-BESITZER
Allow 00000010 t--- 001200A9 ---- -S-- r--x VORDEFINIERT\Benutzer
Allow 0000001B -co- A0000000 R-X- ---- ---- VORDEFINIERT\Benutzer
Allow 00000012 tc-- 00000004 ---- ---- --+- VORDEFINIERT\Benutzer
Allow 00000012 tc-- 00000002 ---- ---- -w-- VORDEFINIERT\Benutzer

Owner: COMPUTERNAME\no name

Primary Group: COMPUTERNAME\Kein

Directory "C:\FINDnFIX\junkxxx\.."
Permissions:
Type Flags Inh. Mask Gen. Std. File Group or User
======= ======== ==== ======== ==== ==== ==== ================
Allow 00000010 t--- 001F01FF ---- DSPO rw+x VORDEFINIERT\Administratoren
Allow 0000001B -co- 10000000 ---A ---- ---- VORDEFINIERT\Administratoren
Allow 00000010 t--- 001F01FF ---- DSPO rw+x NT-AUTORITÄT\SYSTEM
Allow 0000001B -co- 10000000 ---A ---- ---- NT-AUTORITÄT\SYSTEM
Allow 00000010 t--- 001F01FF ---- DSPO rw+x COMPUTERNAME\no name
Allow 0000001B -co- 10000000 ---A ---- ---- \ERSTELLER-BESITZER
Allow 00000010 t--- 001200A9 ---- -S-- r--x VORDEFINIERT\Benutzer
Allow 0000001B -co- A0000000 R-X- ---- ---- VORDEFINIERT\Benutzer
Allow 00000012 tc-- 00000004 ---- ---- --+- VORDEFINIERT\Benutzer
Allow 00000012 tc-- 00000002 ---- ---- -w-- VORDEFINIERT\Benutzer

Owner: COMPUTERNAME\no name

Primary Group: COMPUTERNAME\Kein

»»Size of Windows key:
(*Default-450 *No AppInit-398 *fake(infected)-448,504,512...)

Size of HKEY_LOCAL_MACHINE\software\microsoft\Windows NT\CurrentVersion\Windows: 450

»»Checking for AppInit_DLLs (empty) value...
________________________________
!"AppInit_DLLs"=""!

Value Matches
________________________________

»»Comparing *saved* key with *original*...

REGDIFF 2.1 - Freeware written by Gerson Kurz (http://www.p-nand-q.com)

Comparing File #1 (Keys1\winkey.reg) with File #2 (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows).

Value "AppInit_DLLs" in key "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" is missing in file #1

»»Dumping Values:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\DeviceNotSelectedTimeout SZ 15
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\GDIProcessHandleQuota DWORD 00002710
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Spooler SZ yes
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\swapdisk SZ
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\TransmissionRetryTimeout SZ 90
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\USERProcessHandleQuota DWORD 00002710
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs SZ

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
DeviceNotSelectedTimeout = 15
GDIProcessHandleQuota = REG_DWORD 0x00002710
Spooler = yes
swapdisk =
TransmissionRetryTimeout = 90
USERProcessHandleQuota = REG_DWORD 0x00002710
AppInit_DLLs =

»»Security settings for 'Windows' key:

RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (C) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!

Access Control List for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
(ID-NI) ALLOW Read VORDEFINIERT\Benutzer
(ID-IO) ALLOW Read VORDEFINIERT\Benutzer
(ID-NI) ALLOW Full access VORDEFINIERT\Administratoren
(ID-IO) ALLOW Full access VORDEFINIERT\Administratoren
(ID-NI) ALLOW Full access NT-AUTORITŽT\SYSTEM
(ID-IO) ALLOW Full access NT-AUTORITŽT\SYSTEM
(ID-NI) ALLOW Full access COMPUTERNAME\no name
(ID-IO) ALLOW Full access ERSTELLER-BESITZER

Effective permissions for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
Read VORDEFINIERT\Benutzer
Full access VORDEFINIERT\Administratoren
Full access NT-AUTORITŽT\SYSTEM
Full access COMPUTERNAME\no name

00001150:
00001190: vk } DeviceNotSelecte
000011D0:dTimeout 1 5 0 vk ' z GDIProce
00001210:ssHandleQuota%} 9 0 } H$} vk P Spooler
00001250: y e s andl vk > swapdisk 0
00001290:` vk NoTransmissionRetryTimeout vk
000012D0: ' ceUSERProcessHandleQuota 0 `
00001310: vk AppInit_DLLsxB
00001350:
00001390:
000013D0:
00001410:
00001450:
00001490:
000014D0:
00001510:
00001550:

---------- NEWWIN.TXT
AppInit_DLLsxBØ
--------------
--------------
$011C0: DeviceNotSelectedTimeout
$01208: GDIProcessHandleQuota
$012AE: NoTransmissionRetryTimeout
$012DE: ceUSERProcessHandleQuota
$01330: AppInit_DLLsxB
--------------
--------------
OWS\SYSTEM32\DRIVERS\ARP1394.SYS
\DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\DRIVERS\ASYNCMAC.SYS
\DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\DRIVERS\ATAPI.SYS
\DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\DRI
--------------
--------------
d.... 0 Sep 22 16:57 .
d.... 0 Sep 22 16:57 ..

2 files found occupying -1024 bytes

===============================================================================
0 bytes 0 cps
Files: 0 Records: 0 Matches: 0 Elapsed Time: 00:00:00.06

VDIR v1.00
Path: C:\FINDNFIX\JUNKXXX\*.*
---------------------------------------+---------------------------------------
. <dir> 09-22-:4 16:57|.. <dir> 09-22-:4 16:57
---------------------------------------+---------------------------------------
2 files totaling 0 bytes consuming 0 bytes of disk space.
17299968 bytes available on Drive C: Volume label: VAIO

...File dump...

Detecting...

C:\FINDnFIX\junkxxx
Finished Detecting...
=========================================
0 C:\FINDnFIX\junkxxx (DIR Total)

Owner No. Files Total Size
=========================================
________________________________________________________________________________
***THE FIX IS NOT COMPATIBLE WITH EARLIER;UNPATCHED VERSIONS OF WIN2K'(SP3 and BELLOW)'
AND/OR LAX OF SECURITY UPDATES AND SERVICE PACKS FOR ALL PLATFORMS!
MINIMAL REQUIREMENTS INCLUDE:
_________XP HOME/PRO; SP1; IE6/SP1
_________2K/SP4; IE6/SP1
________________________________________________________________________________
»»»»»»»»*** www10.brinkster.com/expl0iter/freeatlast/FNF/ ***»»»»»»»
Wed 22 Sep 04 17:12:31
-----END-----

von **Nikita** am 23.09.2004, 12:24

Hallo Steffi

Koenntest du bitte das Log vom HijackThis dazuposten ?
http://www.hijackthis.de/index.php
(Direktdownload, dann "scann", "save" und das Log ins Forum kopieren.
Denn es gibt bestimmt einen Eintrag vom Backdoor unter
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
in der Registry, der geloescht werden muss.

Eventuell gibt es auch eine Veaenderung in
%System%\drivers\etc\hosts

Um das alles zu wissen, brauche ich das Log.

...............................................................................................................

1.Start<Ausfuehren<regedit

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
AppInit_DLLs"=SQLE.DLL
loesche diesen Eintrag rechts in der Registry, falls er da ist.

2.mache folgendes:
Start<Ausfuehren< cmd

in das DOS-Fenster reinkopieren:

regsvr32 /u C:\WINDOWS\SYSTEM32\SQLE.DLL

<enter<

Start<Ausfuehren<cmd
in das DOS-Fenster reinkopieren:

Start<Ausfuehren:
attrib -h %systemroot%\system32\SQLE.DLL & ren %systemroot%\SYSTEM32\SQLE.DLL Badfile.bad

<enter<

3.neustarten und die C:\WINDOWS\SYSTEM32\SQLE.DLL loeschen.

mfg
Nikita

von **Steffi** am 23.09.2004, 22:01

soo, vielen dank für die hilfe soweit.. hat leider noch nichts geklappt...

der hijacklog ist unten angehängt... ich hab nix verdächtiges gefunden :-(

zu den drei vorschlägen, die du gemacht hattest:
1. - nicht vorhanden
2. - zugriff verweigert
3. - zugriff verweigert

ich hab sogar schon versucht die datei in der reperaturkonsole von windows xp zu löschen... geht auch nicht :-(

vielleicht werdet ihr ja aus dem log schlau

liebe grüße
-steffi

log:

Logfile of HijackThis v1.98.2
Scan saved at 21:57:19, on 23.09.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Sony\HotKey Utility\HKserv.exe
C:\PROGRA~1\mcafee.com\vso\mcvsshld.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\PowerPanel\Program\PcfMgr.exe
C:\Programme\Psion\PsiWin\Psconsv.exe
C:\Programme\Sony\HotKey Utility\HKWnd.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE
c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
C:\WINDOWS\system32\wuauclt.exe
C:\DOKUME~1\JRGBAR~1\LOKALE~1\Temp\Temporäres Verzeichnis 3 für hijackthis_198.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.de
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O4 - HKLM\..\Run: [HKSERV.EXE] C:\Programme\Sony\HotKey Utility\HKserv.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe"
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\McAfee.com\Agent\mcupdate.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Microsoft Outlook starten.lnk = C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
O4 - Startup: PsiWin 2.3 Verbindungsserver.lnk = C:\Programme\Psion\PsiWin\Psconsv.exe
O4 - Startup: The Bat!.LNK = C:\Programme\The Bat!\thebat.exe
O4 - Global Startup: ISDNCall 2001.lnk = C:\Programme\ISDNCall\IsdnCall.exe
O4 - Global Startup: PowerPanel.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com

von **Nikita** am 24.09.2004, 00:54

Hallo @Steffi
Das Log ist sauber, aber das will nichts beheissen...

Das eScan AV Toolkit (mwav.exe) herunterladen,
http://www.mwti.net/antivirus/free_utilities.asp
die Datei in den Ordner "c:\base" entpacken und danach die "kavupd.exe" (automatisches Update ueber DOS) ausführen.

<Abgesicherter Modus
http://www.bsi.de/av/texte/winsave.htm
und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives

folgende Haken :
[x] Memory
[x] Registry
[x] Startup Folders
[x] System Folders
[x] Services
[x] Drive
(x) All Local Drives
[x] Folder [C:\WINDOWS]
[x] Include SubDirectory

<und "Scan clean" klicken.

<Gehe wieder in den Normalmodus und scanne noch mal.
<Poste danach Virus Log Information: (aus Viewer abkopieren)
was als <deleted< und <renamed< und <no action taken< gefunden wurde

mfg
Nikita

von **Steffi** am 24.09.2004, 22:53

hallo nikita, vielen dank für deine hilfe..

leider ist sie immer noch nicht von erfolg belohnt!

eScan ist leider auch nicht mit der datei fertig geworden..

im abgesicherten modus enthält die logdatei folgenden eintrag:

Fri Sep 24 15:24:12 2004 => Scanning File C:\WINDOWS\system32\spxcoins.dll
Fri Sep 24 15:24:12 2004 => Scanning File C:\WINDOWS\system32\sqle.dll
Fri Sep 24 15:24:12 2004 => ERROR!!! ScanFile fails for C:\WINDOWS\system32\sqle.dll
Fri Sep 24 15:24:12 2004 => Scanning File C:\WINDOWS\system32\sqlsodbc.chm [**]

vielleicht fällt dir noch eine weitere alternative ein, die datei zu löschen... vielleicht per knoppix? - könnte das gehen..?

vielen dank
gruß
steffi

von **Nikita** am 24.09.2004, 23:19

<spxcoins.dll comes with a clean install of Microsoft Windows 2000 Professional. spxcoins.dll is located in "C:\WINNT\system32\".

<C:\WINDOWS\system32\sqlsodbc.chm
?Index of /ftp/Office 2000/SYSTEM ?

.........................................................................................................
Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"

Gehe mal in die Registry
Start<Ausfuehren<regedit

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows..........................."AppInit_DLLs (sqle.dll)
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ ShellServiceObjectDelayLoad\sqle.dll

dort muesste die <sqle.dll <eingetragen sein, wenn sie geladen ist.
falls ja, loeschen C:\WINDOWS\system32\sqle.dll

#Dann neustarten und die sqle.dll umbenennen.
Vielleicht laesst sie sich so loeschen.

#Lade:
TuneUp2004 (30 Tage free)
http://www.tuneup.de/download/
Das Tool hat eine Schreduler, mit dem du die dll wahrscheinlich auch loeschen kannst. (am besten im abgesicherten Modus)

mfg
Nikita

von **Steffi** am 25.09.2004, 20:17

hallo, leider immer noch kein erfolg, hier die updates:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows..........................."AppInit_DLLs (sqle.dll)

es gibt den schlüssel AppInit_Dlls, aber ohne eintrag --> ich habe ihn belassen

HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ ShellServiceObjectDelayLoad\sqle.dll

sqle.dll existiert dort nicht... ein durchsuchen der registrierung nach sqle.dll brachte ebenfalls kein ergebnis!

Tuneup Schredder konnte die datei leider auch nicht löschen, kein zugriff

ich weiss wirklich nicht, wie datei noch zu löschen wäre...

-steffi

von **Nikita** am 25.09.2004, 21:46

Ich hatte mich im Komando geirrt:
Versuche es mal mit diesem:

Start<Ausfuehren:
attrib -h %systemroot%\system32\SQLE.DLL & ren %systemroot%\SYSTEM32\SQLE.DLL Badfile.bad
<enter<
<neustarten
<die SQLE.DLL im abgesicherten Modus umbenennen in <SQLE.DL<
und loeschen.

mfg
Nikita

von **Steffi** am 25.09.2004, 23:43

NIKITA !!! EIN HOCH AUF DICH!

vielen DANK - wir haben es geschafft!!!!! vielen dank für die viele geduld und die ausgezeichneten ratschläge...

ich würde noch gerne wissen, was genau dieser befehl macht

attrib -h %systemroot%\system32\SQLE.DLL & ren %systemroot%\SYSTEM32\SQLE.DLL Badfile.bad

also attrib -h kenne ich... ren eigentlich auch, aber was wird durch die kombination ausgelöst? warum konnte die datei nun umbenannt werden?

wenn du das noch kurz schreiben würdest, wäre ich dir noch dankbarer, als ich ohnehin schon bin

-steffi

Fortsetzung sqle.dll

Fortsetzung sqle.dll

Ähnliche Themen

Wer ist online?