Cleaner fuer se.dll/sp.html /TR/StartPage.qr.dll

#1 Hi,

da anscheinend viele mit diesem Hijacker kämpfen...

Problem:
Meistens irgendwelche Werbepopups auf dem Desktop und Einträge mit se.dll/sp.html im Hijackthislog...

Lösung:
1.) Hijackthis downloaden und ausführen

2.) falls ihr Einträge mit se.dll im Log Scan entdeckt z.B:
res://C:\WINDOWS\TEMP\se.dll/sp.html
den Pfad zu dieser Datei notieren und wie in Punkt 3 beschrieben entfernen:

3.) die Datei kann nur bei einem Neustart gelöscht werden also:
- Hijackthis starten
- Open the Misc Tools Section anclicken
- da Delete a File on Reboot auswählen

und dort diese Datei auswählen: C:\(euer Pfad zur Datei)\se.dll und die Datei dort eintragen

4.) Computer neustarten

5.) nun ist der Hijacker auf jeden Fall entschärft (gibt beim Windows Start vieleicht eine kleine Rundll Fehlermeldung aber die ist nach Schritt 6 weg )

6.) Hijackthis Scan nochmal ausführen Log hierher kopieren: www.hijackthis.de und auswerten + Einträge die auf www.hijackthis.de angemeckert werden mit Hijackthis "fixen"!

falls es nun noch Probleme gibt helfen Dir hier sichtlich einige Boardies gerne weiter!

Viel Glück!
Greetz Lp

#2 Hallo an alle die auch Probleme mit Trojan.StartPage haben,

ich habe gerade vor einer Stunde noch eine andere Lösung ausprobiert und mit dieser Erfolg gehabt.

Das Problem an dem Trojaner ist, daß sich die infizierte Datei immer wieder selbst kopiert / bzw. kopiert wird und nach dem Entfernen wieder auftaucht. Selbst nach Entfernung des Trojaners laut Anweisung von Symantec (Norton Antivirus) tauchte er wieder auf und wurde bei mir sogar im Abgesicherten Modus von Windows ausgeführt. Der Name der Datei ändert sich unter Umständen nach einiger Zeit von allein. Bei mir hieß die Datei am Anfang sp.dll und dann bis zum Schluß se.dll. (andere Namen sind bestimmt auch "unterwegs"). Auch der Pfad in dem die Datei abgelegt wurde variiert je nach System (Win98, 2000, XP etc.). Und hier ist meine Lösung:

Geht im Startmenü auf Run / Ausführen... und gebt "Regedit" ein.

Öffnet folgenden Pfad: [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\SearchAssistant Uninstall]

Dort findet Ihr einen Eintrag wie diesen:

UninstallString=regsvr32 /s /u C:\Windows\System\IBGOK.DLL

Der Name der angegebenen DLL-Datei (bei mir IBGOK.DLL) kann wieder variieren. NOTIERT EUCH AM BESTEN DIESEN DATEINAME.

Löscht dann den Eintrag in REGEDIT.

Gebt den notierten Dateinamen im Startmenü in der Suche ein und löscht die gefundene Datei. Ebenso löscht Ihr die Datei, welche von Eurer Virensoftware als der Trojaner gefunden wurde (se.dll, sp.dll etc.). Wenn Ihr nicht wißt wo die Datei liegt gebt den Namen in der Suche im Startmenü ein.

Sollte/n die Datei/en noch von Windows verwendet werden (Löschen nicht möglich), kontrolliert ob die Anwendung rundll32 läuft (Strg + Alt + Entf) und schließt diese ggf. Dann konnte ich bei mir die Dateien löschen.

Wenn Ihr sie trotzdem nicht löschen könnt startet Windows im abgesicherten Modus. Dann dürfte das Löschen kein Problem mehr sein. Zur Kontrolle kann man danach noch einen Systemcheck machen um zu prüfen ob nicht doch noch eine weitere Datei mit dem Virus existiert.

Danach startet Ihr HijackThis und macht einen SystemScan. Fixed alle Resultate welche sich auf die Trojaner Datei (bei mir se.dll) beziehen und auch die Resultate die von dem Trojaner verändert wurden. z.B.:

HKLM\SoftWare\Microsoft\Internet Explorer\Main, Search Page=about :blank

Dies ist nur ein Beispiel. Bei mir wurde die Startseite in "about :blank" geändert, was natürlich auch wieder variieren kann. Ich habe also alle Resultate, die entweder diese Angaben enthielten oder sich auf die Trojaner-Datei bezogen, gefixed.

Danach habe ich der Systemsteuerung (im Startmenü) in den "Internet Optionen" meine ursprüngliche Startseite wieder eingegeben und den PC neu gestartet.

Danach war das Problem behoben.

Ich hoffe das kann einigen von Euch weiterhelfen.

Viele Grüße darkmind

Ach so, ich habe übrigens Win98 SE. Ich glaube bei den neueren Versionen (Win2000, XP) muß man noch die automatische Systemwiederherstellung deaktivieren. Wie das geht weiß ich leider nicht (ich habe ja diese Programme nicht) Und nun viel Spaß...

#3 Hallo Zusammen,

wie es aussieht, habe ich wohl das gleiche Problem mit dieser "se.dll". Ich bin nicht so der Experte auf diesem Gebiet, aber ich dachte, dass ich die Anleitung von "Laserpointa" mit der "Misc Tool Section" etc. richtg befolgt habe. Leider befindet sich diese "se.dll" jetzt nicht mehr in dem Ordner C\Windows\temp, aber mein Virenprogramm (Antivirenkit 2005) springt an und erzählt immernoch was von dieser Datei.

Insgesamt äussert sich das ganze Maleur auf meinem Computer wie folgt. Ich habe keine Ahnung, ob Euch das was sagt und bei einer möglichen Lösung behilflich ist, aber mich nervt es zu tode:

1. Die Kiste ist wahnsinnig langsam
2. beim Booten eiert immer das DVD-Laufwerk mit los, was früher nie der Fall war
3. Nach jedem Öffnen des IE wird das Verzeichnis "Temprary Internet Files" mit allenmöglichen Dateien zu geballert. War früher auch nicht der Fall war
4. Beim Surfen hängt sich die Kiste auf und der Virenwarner springt wie oben schon erklärt an.

Das mit dem Hijackthis-Logfile habe ich mittlerweile kapiert und mal die letzte Version hier gepostet:

Logfile of HijackThis v1.99.1
Scan saved at 16:05:32, on 01.03.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\PROGRAMME\CISCO SYSTEMS\VPN CLIENT\CVPND.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATIPTAXX.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\ANTIVIRENKIT 2005\AVKWCTL9.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS1\TOADIMON.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\G DATA\AVKMAIL\AVKPOP.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OSA.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\WINZIP\WINZIP32.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://www.t-online.de/software/ie50/setpxy.pac
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=www-proxy.t-online.de:80;ftp=ftp-proxy.t-online.de:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.t-online.de;localhost;;<local>
O2 - BHO: (no name) - {9A1D9444-8A65-11D9-AAC8-444562E95932} - C:\WINDOWS\SYSTEM\JPEE.DLL (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [AVKWCtl] C:\PROGRA~1\ANTIVI~1\AVKWCTL9.EXE
O4 - HKLM\..\Run: [ToADiMon.exe] C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [AVK Mail Checker] "C:\PROGRAMME\GEMEINSAME DATEIEN\G DATA\AVKMAIL\AVKPOP.EXE"
O4 - HKLM\..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [CVPND] "C:\Programme\Cisco Systems\VPN Client\cvpnd.exe" start
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O12 - Plugin for .mpeg: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin3.dll
O15 - Trusted IP range: 206.161.125.149
O18 - Filter: text/html - {9A1D9443-8A65-11D9-AAC8-4445ED00C146} - C:\WINDOWS\SYSTEM\JPEE.DLL
O18 - Filter: text/plain - {9A1D9443-8A65-11D9-AAC8-4445ED00C146} - C:\WINDOWS\SYSTEM\JPEE.DLL

Falls noch jemand eine gute Idee hat, wäre ich ihm wahnsinnig dankbar!!

#4 Da spielt (manchmal)noch eine andere DLL(die nnicht dll heisst! ) eine Rolle.

Lade dir bitte Startdreck: http://www.niksoft.at/_data/startdreck.zip entpacke es in einen Ordner und starte die startdreck.exe. Gehe auf config druecke "unmark all", hake "Run Keys" an, druecke "ok", druecke Save, speichere Das log und poste den Inhalt bitte hier.
__________
MfG Ralf
SEO-Spam Hunter

#5 Hallo Ralf,

danke für die Unterstützung!!! Hier das Logfile:

StartDreck (build 2.1.7 public stable) - 2005-03-01 @ 20:34:23 (GMT +01:00)
Platform: Windows 98 SE (Win 4.10.2222 A)
Internet Explorer: 6.0.2800.1106
Logged in as Geo at GEO

»Registry
»Run Keys
»Current User
»Run
*MSMsgSvc=
»RunOnce
»Default User
»Run
*MSMsgSvc=
»RunOnce
»Local Machine
»Run
*SystemTray=SysTray.Exe
*LoadPowerProfile=Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
*AtiPTA=Atiptaxx.exe
*StillImageMonitor=C:\WINDOWS\SYSTEM\STIMON.EXE
*AVKWCtl=C:\PROGRA~1\ANTIVI~1\AVKWCTL9.EXE
*ToADiMon.exe=C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS1\ToADiMon.exe -TOnlineAutodialStart
*AVK Mail Checker="C:\PROGRAMME\GEMEINSAME DATEIEN\G DATA\AVKMAIL\AVKPOP.EXE"
»RunOnce
»RunServices
*LoadPowerProfile=Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
*CVPND="C:\Programme\Cisco Systems\VPN Client\cvpnd.exe" start
»RunServicesOnce
**ne=rundll32 C:\WINDOWS\WINZIPY2.INI,DllGetClassObject
»RunOnceEx
»RunServicesOnceEx
»Files
»System/Drivers
»Application specific

#6 Das ist dein Problem:

C:\WINDOWS\WINZIPY2.INI,DllGetClassObject

Versuchen wir es mal einfach. Tippe bei Start/Ausfuehren bitte command ein und druecke Enter

In der Dosbox kopiere bitte das (oder schreib es genau mit gross und Kleinschreibung ab):

rundll32 C:\WINDOWS\WINZIPY2.INI,DllUnregisterServer

und sag, welche Rueckmeldung kam.
__________
MfG Ralf
SEO-Spam Hunter

#7 @Laserpointa
Danke, danke, danke!

Hast mir wirklich sehr geholfen! Hab lang an dem Problem gesessen!

Greez

sokrahtes

#8 Hallo Ralf,

wenn ich den von Dir angegebenen Pfad dort reinkopiere erscheint ein neues Fenster mit der Meldung "rundll32 - Diese Anwendung wird aufgrund eines ungültigen Vorgangs geschlossen".

Hilft Dir das weiter?

Danke schonmal!

#9 Ja, das macht es.
Starte bitte Hijackthis und waehle aus dem Startmenu "Open the misc tool section".
Dort waehlst du dann "Delete a file on reboot", dann traegst du im neu geoeffneten Fenster bei Dateinamen "rundll32 C:\WINDOWS\WINZIPY2.INI" ohne die "" ein, und drueckst "oeffnen". Die Nachfrage, ob du den Computer neu starten moechtest, ver"nein"st du.

Schliesse Hjackthis, starte es neu und fix das:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {9A1D9444-8A65-11D9-AAC8-444562E95932} - C:\WINDOWS\SYSTEM\JPEE.DLL (file missing)
O4 - HKLM\..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall
O15 - Trusted IP range: 206.161.125.149
O18 - Filter: text/html - {9A1D9443-8A65-11D9-AAC8-4445ED00C146} - C:\WINDOWS\SYSTEM\JPEE.DLL
O18 - Filter: text/plain - {9A1D9443-8A65-11D9-AAC8-4445ED00C146} - C:\WINDOWS\SYSTEM\JPEE.DLL

starte den neuen Rechner, surf etwas im Internet und poste bitte ein neues Log.
__________
MfG Ralf
SEO-Spam Hunter

#10 Hallo Ralf,

offensichtlich kann er/es nun diese "WINZIPY2.INI" nicht finden (beim Eintragen in das Fenster "Delete a file on reboot"). Unter C:\WINDOWS\ befindet sich nur eine "WINZIP32.INI". Habe aber mit Startdreck nochmal ein Logfile erstellt wie von Dir oben beschrieben und da heisst die Datei immernoch "....Y2.INI" :-((

Noch eine Idee??

StartDreck (build 2.1.7 public stable) - 2005-03-02 @ 13:54:49 (GMT +01:00)
Platform: Windows 98 SE (Win 4.10.2222 A)
Internet Explorer: 6.0.2800.1106
Logged in as Geo at GEO

»Registry
»Run Keys
»Current User
»Run
*MSMsgSvc=
»RunOnce
»Default User
»Run
*MSMsgSvc=
»RunOnce
»Local Machine
»Run
*SystemTray=SysTray.Exe
*LoadPowerProfile=Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
*AtiPTA=Atiptaxx.exe
*StillImageMonitor=C:\WINDOWS\SYSTEM\STIMON.EXE
*AVKWCtl=C:\PROGRA~1\ANTIVI~1\AVKWCTL9.EXE
*ToADiMon.exe=C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS1\ToADiMon.exe -TOnlineAutodialStart
*AVK Mail Checker="C:\PROGRAMME\GEMEINSAME DATEIEN\G DATA\AVKMAIL\AVKPOP.EXE"
»RunOnce
»RunServices
*LoadPowerProfile=Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
*CVPND="C:\Programme\Cisco Systems\VPN Client\cvpnd.exe" start
»RunServicesOnce
**dtjs=rundll32 C:\WINDOWS\WINZIPY2.INI,DllGetClassObject
»RunOnceEx
»RunServicesOnceEx
»Files
»System/Drivers
»Application specific

#11 Diese Datei zu loeschen ist unter Win9x/me kein Problem, nur hatte ich gehofft, das wir das Mit Hijackthis machen koennen. Das waere etwas einfacher gewesen und haette mir gezeigt, das es auch unter NT/2000/XP funktionieren wuerde.

Bevor wir da mit einer Batchdatei rangehen, waere es nett von dir, wen du es mit Killbox versuchen wuerdest.

Lade es dir von hier herunter http://www.downloads.subratam.org/KillBox.zip
und entpacke es in einen extra Ordner, starte Killbox.exe trage in das Weisse Feld dort wieder C:\WINDOWS\WINZIPY2.INI ein. Zusaetzlich dazu die option "delete on reboot" Dann denn Roten Punkt mit weissen Kreuz druecken und ja, bei der Aufforderung jetzt neu zu starten.

Ich sehe gerade, das ich dir oben das falsche angegeben habe zum loeschen.
Versuche es erst nochmal mit Hijackthis, aber ins weisse Feld bitte C:\WINDOWS\WINZIPY2.INI eingeben. Nicht wie oben beschrieben rundll32 C:\WINDOWS\WINZIPY2.INI

Wenn das nicht klappt, Machen wir es unter Dos mit einem Del(tree) Befehl, dann ist sie auf jeden Fall weg.
__________
MfG Ralf
SEO-Spam Hunter

#12 Hallo Ralf,

ich glaube die Killbox hat es auch nicht getan, siehe das Logfile unten. Mittlerweile dauert es Stunden bis ich ins Internet komme, bzw. Dateien öffne, deshalb die Verzögerung bei den Antworten:

Danke für die Geduld!!!!

StartDreck (build 2.1.7 public stable) - 2005-03-02 @ 15:55:24 (GMT +01:00)
Platform: Windows 98 SE (Win 4.10.2222 A)
Internet Explorer: 6.0.2800.1106
Logged in as Geo at GEO

»Registry
»Run Keys
»Current User
»Run
*MSMsgSvc=
»RunOnce
»Default User
»Run
*MSMsgSvc=
»RunOnce
»Local Machine
»Run
*SystemTray=SysTray.Exe
*LoadPowerProfile=Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
*AtiPTA=Atiptaxx.exe
*StillImageMonitor=C:\WINDOWS\SYSTEM\STIMON.EXE
*AVKWCtl=C:\PROGRA~1\ANTIVI~1\AVKWCTL9.EXE
*ToADiMon.exe=C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS1\ToADiMon.exe -TOnlineAutodialStart
*AVK Mail Checker="C:\PROGRAMME\GEMEINSAME DATEIEN\G DATA\AVKMAIL\AVKPOP.EXE"
»RunOnce
»RunServices
*LoadPowerProfile=Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
*CVPND="C:\Programme\Cisco Systems\VPN Client\cvpnd.exe" start
»RunServicesOnce
**sqq=rundll32 C:\WINDOWS\WINZIPY2.INI,DllGetClassObject
»RunOnceEx
»RunServicesOnceEx
»Files
»System/Drivers
»Application specific

Hier auch noch mein letztes Hijackthis-Log: Die Sache mit ohe "rundell" im Pfad hat by Hijackthis auch nichts gebracht. Er konnte die Datei nicht finden.

Logfile of HijackThis v1.99.1
Scan saved at 15:52:47, on 02.03.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\PROGRAMME\CISCO SYSTEMS\VPN CLIENT\CVPND.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATIPTAXX.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\ANTIVIRENKIT 2005\AVKWCTL9.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS1\TOADIMON.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\G DATA\AVKMAIL\AVKPOP.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OSA.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\KERNEL.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\SC_WATCH.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\PROFILEMGR.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\UPDATE.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMME\WINZIP\WINZIP32.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [AVKWCtl] C:\PROGRA~1\ANTIVI~1\AVKWCTL9.EXE
O4 - HKLM\..\Run: [ToADiMon.exe] C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [AVK Mail Checker] "C:\PROGRAMME\GEMEINSAME DATEIEN\G DATA\AVKMAIL\AVKPOP.EXE"
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [CVPND] "C:\Programme\Cisco Systems\VPN Client\cvpnd.exe" start
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O12 - Plugin for .mpeg: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin3.dll
O15 - Trusted IP range: 206.161.125.149

#13 Nagut, dann der Holzhammer!

kopiere bitte die Zeile zwischen den ---cut--- in notepad und speichere sie ins Windowsverzeichniss mit dem Namen testneu.bat

---cut---
deltree /y C:\WINDOWS\WINZIPY2.INI
---cut---

Fahre den Rechner bitte in den Dosmodus herunter. Dann landest du am Dosprompt

Sieht ungefaehr so aus:

c:>_

dort einfach testneu eingeben und enter druecken. Danach bitte neu starten und ein neues Hijackthis und Startdreck log posten.

Den "O15" Eintrag wirst du los, indem du die Datei deldomain.inf herunter laedst: http://www.mvps.org/winhelp2002/restricted.htm
und dann mit der rechten Maustaste auf diese Datei klickst und installieren waehlst.
__________
MfG Ralf
SEO-Spam Hunter

#14 Hallo wieder,

äh, wo finde ich denn "notepad"? Über Start und Programme finde ich nur "Wordpad"!? Und wie fahre ich den Rechner in den DOS-Modus?

Sorry für die blöden Fragen!!

#15 Wordpad oder Write ist auch in Ordnung. Du musst nur darauf achten, das du es als "nur Text" speicherst.

Den Dosmodus solltest du waehlen koennen, wenn du den Rechner ueber Start/Beenden herunterfahren willst. Du solltest dort ein Fenster angezeigt bekommen, wo du das auswaehlen kannst. Wenn ich es richtig in Erinnerung habe, ist es die letzte Auswahlmoeglichkeit. Ich habe leider so kein Win98 mehr zur Hand.
__________
MfG Ralf
SEO-Spam Hunter