Recommended Hotfix/SED.exe Bitte um Hilfe

#1 Hallo!

Cirka all 30 Minuten öffnen sich bei mir unerwünschte Internetseiten mit Werbung (keine Pop ups, sondern richtig große Internet Explorer)

Ich habe über die Systemsteuerung/Software entfernen diese Programme de installiert:

Recommended Hotfix

SED.exe

Aber das hilft nichts, nach einem Neustart sind die Programme wieder da.

Dann habe ich mit Hilfe der neuesten Versionen von diesen Programmen

Ad Aware

Pest Patrol

Spybot Search and Destroy

diese Werbeprogramme löschen lassen:

Recommended Hotfix

SED.exe

aber nach einem Neustart sind sie wieder da.

Ausserdem bekomme ich nach einem Neustart die Meldung die auf dem folgendem Screenshot zu sehen ist:

http://www.adventuregamesforever.de/snap.A.jpg

Weiterhin bekomme ich nach cirka 20 Minuten nach einem Neustart die Meldung zu sehen die auf dem folgendem Screenshot Link steht:

http://www.adventuregamesforever.de/snapD.jpg


Es folgen 2 Links zu Screenshots von meiner Softwareliste:


http://www.adventuregamesforever.de/snapB.jpg

http://www.adventuregamesforever.de/snapC.jpg

Und nun noch Links zu Screenshots von dem Suchergebnis von Spybot Search and Destroy:

http://www.adventuregamesforever.de/snapE.jpg

http://www.adventuregamesforever.de/snapF.jpg

http://www.adventuregamesforever.de/snapG.jpg

http://www.adventuregamesforever.de/snap.H.jpg

http://www.adventuregamesforever.de/snap.I.jpg



Alle dort aufgeführten Probleme installieren sich nach der Entfernung und nach einem Neustart wieder neu.

Nun kommt der aktuelle Log File von einem Hijack Scan von meinem Computer:

Zitat

Logfile of HijackThis v1.98.2
Scan saved at 19:59:39, on 14.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2800.1106)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\rundll32.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
F:\Programme\SlySoft\CloneCD\CloneCDTray.exe
F:\Programme\Logitech\MouseWare\system\em_exec.exe
F:\Programme\D-Tools\daemon.exe
D:\WINDOWS\mmups.exe
D:\WINDOWS\suploads.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
F:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
F:\Programme\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe
D:\WINDOWS\system32\zstatus.exe
F:\PROGRA~1\NORTON~1\NORTON~1\NPROTECT.EXE
D:\WINDOWS\system32\nvsvc32.exe
F:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE
D:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
D:\WINDOWS\System32\svchost.exe
D:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Programme\Internet Explorer\IEXPLORE.EXE
F:\Programme\Messenger\msmsgs.exe
E:\Install\hijackthis\hijackthis1982\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.search-exe.com/nph-search.cgi?tcode=exebar1&look=sbar1_srchbtn
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.search-exe.com/nph-search.cgi?tcode=exesrch1&look=stmpl1&fw=
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.search-exe.com/nph-search.cgi?tcode=exesrch1&look=stmpl1&fw=
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.search-exe.com/nph-search.cgi?tcode=exebar1&look=sbar1_srchbtn
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.search-exe.com/nph-search.cgi?tcode=exesrch1&look=stmpl1&fw=
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.search-exe.com/nph-search.cgi?tcode=exesrch1&look=stmpl1&fw=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.search-exe.com/nph-search.cgi?tcode=exesrch1&look=stmpl1&fw=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.search-exe.com/nph-search.cgi?tcode=exesrch1&look=stmpl1&fw=
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.search-exe.com/nph-search.cgi?tcode=exesrch1&look=stmpl1&fw=
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = F:/proxy.pac.txt
R3 - URLSearchHook: WebSearch Class - {9368D063-44BE-49B9-BD14-BB9663FD38FC} - F:\Programme\se\v11\se.DLL
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - f:\programme\google\googletoolbar1.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - F:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [hp 1000 firmware] F:\Programme\hp LaserJet 1000\fwdl.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [UpdateManager] "D:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [CloneCDTray] "F:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [QuickTime Task] "F:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DAEMON Tools-1033] "F:\Programme\D-Tools\daemon.exe" -lang 1033 -lock
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [mediamotor.exe] D:\WINDOWS\mmups.exe
O4 - HKLM\..\Run: [Search-Exe] "F:\Programme\se\v11\se.EXE" /H
O4 - HKLM\..\Run: [SESync] "F:\Programme\SED\SED.exe"
O4 - HKLM\..\Run: [VBundleOuterDL] F:\Programme\VBouncer\BundleOuter.EXE
O4 - HKLM\..\Run: [loads.exe] D:\WINDOWS\suploads.exe
O4 - HKLM\..\Run: [Internet Optimizer] "D:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] F:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [ccApp] "D:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Norton SystemWorks] "F:\Programme\Norton SystemWorks\cfgwiz.exe" /GUID {05858CFD-5CC4-4ceb-AAAF-CF00BF39736A} /MODE CfgWiz
O4 - Global Startup: Microsoft Office.lnk = F:\Programme\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://f:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://f:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Shorten URL - http://www.cjb.net/menuext.html
O8 - Extra context menu item: Verweisseiten - res://f:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://f:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: d:\windows\system32\aklsp.dll
O10 - Unknown file in Winsock LSP: d:\windows\system32\aklsp.dll
O10 - Unknown file in Winsock LSP: d:\windows\system32\aklsp.dll
O10 - Unknown file in Winsock LSP: d:\windows\system32\aklsp.dll
O15 - Trusted Zone: *.od2.com
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} -
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=5deb18340b9ffed031d
45ab1c413dc36b0958814d85aaf3082334c5fd42d65387203388c4b2a381a3f0c
4739aff9d954a633614d:d67d5eb71f6e0d97342f0126f966fbb3
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/de/win/QuickTimeInstaller.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_s
ite.cab?1092094021328
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} - http://ax.phobos.apple.com.edgesuite.net/detection/ITDetector.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{91191447-612D-4C74-8381-52BCEB614888}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{A64BED62-4D1A-45E8-9A13-B5A93323BE54}: NameServer = 192.168.121.252,192.168.121.253

Ich weiß nicht mehr weiter und die sich öffnenden Internet Explorer alle 30 Minuten nerven.

Was kann ich machen damit die unerwünschte Internetseiten mit Werbung, wieder verschwinden?

Ich bin echt total verzweifelt und würde mich über eine Hilfe sehr freuen.

Mit freundlichen Grüßen

Moe Perry

#2 Hallo@MoePerry

Deaktivieren Wiederherstellung
«XP
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

#LSPfix.exe
http://www10.brinkster.com/expl0iter/freeatlast/L2M/ts.htm
<"I know what I'm doing"
bringe die aklsp.dll
von der linken auf die rechte Seite und loesche sie.

Lade--->noch nicht scannen
#Ad-aware SE Personal 1.05 Updated-->laden(noch nicht scannen)
http://fileforum.betanews.com/detail/965718306/1

#eScan-Erkennungstool -->updaten, wie erklaert, noch nicht scannen.
Lade auch gleich die Killbox
http://www.rokop-security.de/board/index.php?showtopic=3867

#Killbox:
http://www.bleepingcomputer.com/files/killbox.php
_______________________________________________________________________

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten
-
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.search-exe.com/nph-search.cgi?tcode=exebar1&look=sbar1_srchbtn
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.search-exe.com/nph-search.cgi?tcode=exesrch1&look=stmpl1&fw=
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.search-exe.com/nph-search.cgi?tcode=exesrch1&look=stmpl1&fw=
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.search-exe.com/nph-search.cgi?tcode=exebar1&look=sbar1_srchbtn
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.search-exe.com/nph-search.cgi?tcode=exesrch1&look=stmpl1&fw=
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.search-exe.com/nph-search.cgi?tcode=exesrch1&look=stmpl1&fw=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.search-exe.com/nph-search.cgi?tcode=exesrch1&look=stmpl1&fw=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.search-exe.com/nph-search.cgi?tcode=exesrch1&look=stmpl1&fw=
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.search-exe.com/nph-search.cgi?tcode=exesrch1&look=stmpl1&fw=

R3 - URLSearchHook: WebSearch Class - {9368D063-44BE-49B9-BD14-BB9663FD38FC} - F:\Programme\se\v11\se.DLL
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch

O4 - HKLM\..\Run: [mediamotor.exe] D:\WINDOWS\mmups.exe
O4 - HKLM\..\Run: [Search-Exe] "F:\Programme\se\v11\se.EXE" /H
O4 - HKLM\..\Run: [SESync] "F:\Programme\SED\SED.exe"
O4 - HKLM\..\Run: [VBundleOuterDL] F:\Programme\VBouncer\BundleOuter.EXE
O4 - HKLM\..\Run: [loads.exe] D:\WINDOWS\suploads.exe
O4 - HKLM\..\Run: [Internet Optimizer] "D:\Program Files\Internet Optimizer\optimize.exe"
O15 - Trusted Zone: *.od2.com
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} -
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=5deb18340b9ffed031d45
ab1c413dc36b0958814d85aaf3082334c5fd42d653872
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} - http://ax.phobos.apple.com.edgesuite.net/detection/ITDetector.cab

PC neustarten
<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

oeffne die Killbox:
eh auf
<Delete File on Reboot
<Unregister .dll before deleting.”

kopiere rein:
und klick auf das rote Kreuz,
wenn gefragt wird, ob reboot-> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

F:\Programme\se\v11\se.DLL
D:\WINDOWS\mmups.exe
F:\Programme\se\v11\se.EXE
F:\Programme\VBouncer\BundleOuter.EXE
F:\Programme\SED\SED.exe
D:\WINDOWS\suploads.exe
D:\Program Files\Internet Optimizer\optimize.exe

PC neustarten-->wieder in den abgesicherten Modus

Loesche:
F:\Programme\se\v11
F:\Programme\VBouncer
F:\Programme\SED
D:\Program Files\Internet Optimizer

durchfuehren fuer D\ und F \

Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.

scanne mit folgenden Tools (im abgesicherten Modus )
#Ad-aware SE Personal 1.05 Updated

#eScan-Erkennungstool-->suche und klicke mwav.exe
<Öffne die mwav.log [oder: -->klick: "view Log" ] -> Bearbeiten -> Suchen ->
Wenn man infizierte Dateien in dem "eScan- Log" finden will, sollte
man nach infected suchen und die Einträge hier posten, bzw
die Dateien im abgesicherten Modus loeschen

bevor du die Malware loeschst:
Wenn man weiss, welche Dateien es sind, muss man seinen System32 Ordner nach Datum sortieren lassen und schauen, welches Datum diese Dateien haben. Dort sollten o ca 3-6 Dateien im selben Zeitraum(1 Std.) auftauchen, die man mit Kilbox (delete on reboot) loeschen muss.

suche:
diese wirst du auf jeden Fall finden...
<C:\WINDOWS\system32\akcore.dll
<C:\WINDOWS\system32\spOrdner.dll
<C:\WINDOWS\Guard.tmp
<C:\Windows\VT00.exe
<C:\!Submit\VT00.exe
<C:\WINDOWS\system32\aklsp.dll
<C:\WINDOWS\system32\akupd.dll

und dann alles andere wie erklaert suchen und loeschen.
Ganz wichtig ist:
<C:\WINDOWS\Guard.tmp
<C:\Windows\VT00.exe


#Hoster-Tool : http://members.aol.com/toadbee/hoster.zip
Press 'Restore Original Hosts' and press 'OK'
Exit Program.


gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken
#Click:Temporäre Dateien, o.k
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hallo Sabina!

Dankeschön für Deine große Mühe, das war nett von Dir.

Ich bin die Pest inzwischen losgeworden, lese bitte dazu diese Seite:


http://www.hijackthis.de/forum/showthread.php?t=911

Frohe Weihnachten wünscht

Mit freundlichen Grüßen

Moe Perry