TR/Startpage.IX C:/WINDOWS/system32/sqle.dll

[Koi]

Norton findet den obgenannten Virus kann ihn aber nicht löschen.

Mein Log File sieht wie folgt aus:

Logfile of HijackThis v1.98.0
Scan saved at 08:13:53, on 21.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Microsoft SQL Server\MSSQL$MICROSOFTBCM\Binn\sqlservr.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Programme\Logitech\Video\LogiTray.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Programs\MFIndexer.exe
C:\WINDOWS\DvzCommon\DvzMsgr.exe
C:\Programme\Palm\HOTSYNC.EXE
C:\WINDOWS\System32\LVComS.exe
C:\Dokumente und Einstellungen\Escher Matthias\Lokale Einstellungen\Temp\Temporäres Verzeichnis 5 für HijackThis.zip\HijackThis.exe
C:\Programme\Messenger\msmsgs.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.euro.dell.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
O4 - HKLM\..\Run: [CTDVDDet] C:\Programme\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: HotSync Manager.lnk = C:\Programme\Palm\HOTSYNC.EXE
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Programme\Programs\MFIndexer.exe
O4 - Global Startup: Dataviz Messenger.lnk = C:\WINDOWS\DvzCommon\DvzMsgr.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/ ... scan53.cab
O16 - DPF: {88C51E90-8E9C-4C96-8A45-574D88B63FAF} - http://acceso.masminutos.com/aplicacion.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1C75F8AD-8FBA-44F6-81DC-6E602B1E5486}: NameServer = 62.2.24.162,62.2.17.60
O17 - HKLM\System\CCS\Services\Tcpip\..\{A980C925-002B-4C7B-8286-3124BCFA0374}: NameServer = 62.2.24.162,62.2.17.60
O20 - AppInit_DLLs: C:\WINDOWS\System32\sqle.dll

Da scheint doch 020 mit sqle.dll sehr verdächtig. Doch wenn ich das fixe erscheint es immer sofort im nächsten Scan wieder.

Kann mir jemand helfen ?

Herzlichen Dank für Eure Mühe !!

liebe Grüsse, Koi

[Jinxy]

Hi,

lasse im abgesicherten Modus noch einmal den CoolWebShredder drüberlaufen:

http://www.merijn.org/files/cwshredder.zip

und fixe das:

O20 - AppInit_DLLs: C:\WINDOWS\System32\sqle.dll

Suche auch nach sqle.dll und lösche die Einträge.

Gruß Jinxy

[Koi]

leider hat das Vorgehen das Problem nicht gelöst. Das LogFile im abgesicherten Modus enthält
"O20 - AppInit_DLLs: C:\WINDOWS\System32\sqle.dll " nicht mehr. Im Explorer finde ich auch keine entsprechende Datei unter diesem Pfad die ich löschen könnte. Adaware, Spyboot, Antivir und CWShredder haben im abgesicherten Modus nichts gefunden.

Zurück im normalen Modus ist der Kerl aber immer noch da - auch wieder im Logfile - und jetzt ?

Herzlichen Dank und fG, Koi

[Jinxy]

Hi,

dann solltest du auch die Registry nach diesem Eintrag durchsuchen. Es gibt noch nicht viele Informationen über diese Datei. Ich habe nur einen gefunden, der das Problem mit Hilfe des Programms FINDnFIX löst. Wenn du das versuchen möchtest.

http://freeatlast.worldbreak.com/

Hier ist die englische Anleitung:
Open the FindnFix folder.
Open the keys1 folder.

If you receive an error while trying to edit, see below for instructions.

RightClick on the MOVEit.bat file, select--> edit.
Copy and paste this line into the batch file, replacing the line there.

move %WinDir%\System32\sqle.dll %SystemDrive%\junkxxx\sqle.dll

Save the file and close.

(Get ready to restart!)
Still in the keys1 folder, double click on FIX.bat.
You will get an alert of ~20 secs before reboot.
Allow it to reboot!

On restart, Open the FindnFix folder.
DoubleClick on RESTORE.bat.
When it is finished, open the FindnFix folder.
Post the contents of Log1.txt
=== In the Event an Error Occurs Trying to Edit ===
Occasionally when trying to edit the MOVEit.bat file the following error occurs: "Windows cannot find "C:FINDnFIX\keys1\MOVEit.bat. Make sure you typed the name correctly then try again."

If that happens, please open Notepad or Wordpad. Choose *file* and then *open* the MOVEit.bat file and then you can replace the line as instructed above.

Eine andere Empfehlung ist: die Datei sqle.dll und die Datei msxword.dll an einen anderen Ort zu verschieben, dann im abgesicherten Modus zu starten und mit Adaware mit den neuesten Definitionen alles noch einmal zu scannen.

Mehr habe ich darüber leider nicht gefunden.

Gruß Jinxy

[Koi]

Danke für Deine Mühe. Aber das schaffe ich nicht - ich habs versucht; doch übersteigt das echt meine Kenntnisse und Fähigkeiten. Ich werde wohl einen "Crack" kommen lassen müssen....


Danke nochmals und liebe Grüsse, Koi

[Nikita]

Start<Ausfuehren:
attrib -h %systemroot%\system32\SQLE.DLL & ren %systemroot%\SYSTEM32\SQLE.DLL Badfile.bad
<enter<
<neustarten
<die SQLE.DLL im abgesicherten Modus umbenennen in <SQLE.DL<
und loeschen.