rundll mit "sp" in C:\\Windows\Temp\se.dll werde ich nicht los!

#1 Hallo!

Im Ausführen mit msconfig, dort unter Autostart, werde ich das Häckchen neben sp rundll32 C:\\Windows\Temp\se.dll nicht los. Kann zwar se.dll aus temp löschen, wenn ich rundll32 in mstask ausschalte, ist aber sofort nach einem Neustart wieder da! Mein Ad-Aware erkennt ihn auch jedesmal, löscht ihn auch, ist aber trotzdem nach jedem Neustart wieder da. Kenne mich leider nicht so toll aus und hoffe, dass ein Profi mir hier weiter helfen mag und kann!

Kaspersky-Anit-Virus (neuster Update)
Ad-Aware SE ( neuster Update)

Logfile of HijackThis v1.99.0
Scan saved at 01:20:03, on 10.02.05
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMME\KASPERSKY LAB\KASPERSKY ANTI-VIRUS PERSONAL\KAVSVC.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\PROGRAMME\KASPERSKY LAB\KASPERSKY ANTI-VIRUS PERSONAL\KAV.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMME\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://s-redirect.com/?a=2&b=n-ex
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://s-redirect.com/?a=2&b=n-ex
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://s-redirect.com/?a=2&b=n-ex
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://s-redirect.com/?a=2&b=n-ex
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\windows\system32\blank.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {FCADDC14-BD46-408A-9842-CDB57890086B} - C:\WINDOWS\DIAL.DLL (file missing)
O2 - BHO: (no name) - {FCADDC14-BD46-408A-9842-111111111111} - C:\WINDOWS\SYSTEM\BACKUP.DLL (file missing)
O2 - BHO: (no name) - {C8339358-7A17-11D9-A572-0010D1EEF58A} - C:\WINDOWS\SYSTEM\HJOFIJA.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [WinAuth] C:\WINDOWS\winlogon.exe
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [kavsvc] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE10\EXCEL.EXE/3000
O9 - Extra button: iFinger - {936E5D60-596C-11D3-BB96-00600816DF55} - C:\WINDOWS\SYSTEM\SHDOCVW.DLL
O16 - DPF: {AD688740-5246-40C3-AF27-098693046834} - http://www.xpehbam.biz/exploit.exe
O16 - DPF: {AD688740-5246-40C3-AF27-53959999940D} - http://www.xpehbam.biz/XXX.exe
O16 - DPF: {11111111-1111-1111-1111-111111113456} - file://c:\info6_s.cab
O16 - DPF: {AD688740-5246-40C3-1111-53959999940D} - http://www.xpehbam.biz/sek.exe
O16 - DPF: {AD688740-5246-40C3-AF27-090006046834} - http://www.xpehbam.biz/5/load.exe
O16 - DPF: {11311111-1111-1111-1111-11111121115F} - file://C:\Recycled\Q383304.exe
O18 - Protocol: start - {53B95211-7D77-11D2-9F81-00104B107C96} - C:\WINDOWS\SYSTEM\MSXWORD.DLL (file missing)
O18 - Filter: text/html - {E4762162-7AFA-11D9-A572-0010157A8F77} - C:\WINDOWS\SYSTEM\HJOFIJA.DLL
O18 - Filter: text/plain - {E4762162-7AFA-11D9-A572-0010157A8F77} - C:\WINDOWS\SYSTEM\HJOFIJA.DLL
O19 - User stylesheet: C:\WINDOWS\hh.htt (file missing)

Weiß jemand, was ich tun muss??? ( kann ich eigentlich diejenigen löschen, wo file missing steht? )
Warte gespannt auf Antwort! :-)

MfG, dragonrider[/img]

#2 hi,
hatte das gleiche ding auf meiner platte und bin es wie folgt losgeworden:

1 systemwiederherstellung deaktivieren
2 computer im abgesicherten modus hochfahren
3 im ordner temp die se.dll datei löschen
4 eintrag aus der registry löschen

danach mit HijackThis v1.99.0 dein system scannen und alle verdächtigen dateien sofort löschen.
zur kontrolle kannst du ja dein system noch mit einem virenscanner prüfen.
wurden alle verdächtigen dateien gelöscht compu runterfahren und erneut starten. jetzt sollte dein system wieder sauber sein.

mfg
zoltan

#3 hallo,

*sagrotan* der pc-besitzer hier hat mal wieder gesurft

ich habe auch die se.dll - hatte auch die einträge in der registry schon gelöscht.
aber im temp-ordner weiß ich nicht, was ich machen soll : habe keinerlei zugriff auf die datei, obwohl ich adminrechte habe.
löschen, umbenennen, verschieben - geht alles nicht.
weiß nicht, wie ich an die datei rankommen soll.

2 ideen habe ich noch :
sie im editor öffnen und alles löschen - sehe aber eh nur schwarze kästchen, wenn ich den normalen notepad-editor von win nehme.

oder einen 2. temp-ordner anlegen, alles bis auf die datei rüberkopieren, dann die 2 ordner umbenennen und hoffen, ich kann datei mit ordner löschen *bezweifel + eher vermute, sie nistet sich gleich in neuem temp ein*

hat hier noch jemand eine idee ?

danke + viele grüße, skys


edit :
noch einiges gefunden habe...
ist also doch nicht nur ein hijacker, sondern auch ein trojaner.

habe noch folgende tips auf verschiedenen links gefunden :

a) http://www.sophos.de/virusinfo/analyses/trojstartpado.html
den trojaner kann man angeblich durch einfaches deinstallieren über software loswerden - geht aber nicht

b) und hier : http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html
mit hilfe dieses tools "cleaner" entfernen - bei mir fand das tool leider nicht, daß ich infiziert bin, habe aber definitiv dieses mistding.

#4 hi skys,
durch umbenennen der se.dll wirst du das ding nicht los weil es sich dann dupliziert.
ich poste hier mal einen link :http://www.bsi.bund.de/av/texte/wiederher_xp.htm
wenn du so vorgehst hast du den plagegeist mit aller sicherheit von der platte verbannt.
gruss
zoltan

#5 hi zoltan,

danke für deine antwort...
aber ich habe nicht xp und ich kann das system in dem sinn auch nicht wieder herstellen - ich habe win98.
außerdem wie gesagt, das umbenennen nur ein versuch war, da ich auf die datei null zugriffsmöglichkeit habe.
dh, weiter geholfen hat mir das nun leider nicht wirklich.

viele grüße, skys

#6 Hallo@Dragonrider

#Gehe auf diese Seite: http://www.lavasofthelp.com/submit/
kopiere folgendes Submit)
Copy and paste the full filepaths below and hit "submit", one at a time:

kopiere rein:

C:\WINDOWS\hh.htt
C:\WINDOWS\SYSTEM\HJOFIJA.DLL
c:\windows\downloaded program files\sek.exe
c:\windows\downloaded program files\XXX.exe
c:\windows\downloaded program files\load.exe
c:\windows\downloaded program files\exploit.exe
C:\WINDOWS\SYSTEM\MSXWORD.DLL
C:\WINDOWS\TEMP\se.dll
C:\WINDOWS\DIAL.DLL
C:\WINDOWS\SYSTEM\BACKUP.DLL
C:\Recycled\Q383304.exe

Download Registry Search Tool :
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
Doppelklick:regsrch.vbs

kopiere rein:
{AD688740-5246-40C3-AF27-098693046834}

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)

das machst du auch mit.
{AD688740-5246-40C3-AF27-53959999940D}
{11111111-1111-1111-1111-111111113456}
{11311111-1111-1111-1111-11111121115F}
{E4762162-7AFA-11D9-A572-0010157A8F77}
{FCADDC14-BD46-408A-9842-CDB57890086B}
{FCADDC14-BD46-408A-9842-111111111111}
{C8339358-7A17-11D9-A572-0010D1EEF58A}

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://s-redirect.com/?a=2&b=n-ex
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://s-redirect.com/?a=2&b=n-ex
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://s-redirect.com/?a=2&b=n-ex
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://s-redirect.com/?a=2&b=n-ex
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\windows\system32\blank.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {FCADDC14-BD46-408A-9842-CDB57890086B} - C:\WINDOWS\DIAL.DLL (file missing)
O2 - BHO: (no name) - {FCADDC14-BD46-408A-9842-111111111111} - C:\WINDOWS\SYSTEM\BACKUP.DLL (file missing)
O2 - BHO: (no name) - {C8339358-7A17-11D9-A572-0010D1EEF58A} - C:\WINDOWS\SYSTEM\HJOFIJA.DLL
O4 - HKLM\..\Run: [WinAuth] C:\WINDOWS\winlogon.exe
O16 - DPF: {AD688740-5246-40C3-AF27-098693046834} - http://www.xpehbam.biz/exploit.exe
O16 - DPF: {AD688740-5246-40C3-AF27-53959999940D} - http://www.xpehbam.biz/XXX.exe
O16 - DPF: {11111111-1111-1111-1111-111111113456} - file://c:\info6_s.cab
O16 - DPF: {AD688740-5246-40C3-1111-53959999940D} - http://www.xpehbam.biz/sek.exe
O16 - DPF: {AD688740-5246-40C3-AF27-090006046834} - http://www.xpehbam.biz/5/load.exe
O16 - DPF: {11311111-1111-1111-1111-11111121115F} - file://C:\Recycled\Q383304.exe
O18 - Protocol: start - {53B95211-7D77-11D2-9F81-00104B107C96} - C:\WINDOWS\SYSTEM\MSXWORD.DLL (file missing)
O18 - Filter: text/html - {E4762162-7AFA-11D9-A572-0010157A8F77} - C:\WINDOWS\SYSTEM\HJOFIJA.DLL
O18 - Filter: text/plain - {E4762162-7AFA-11D9-A572-0010157A8F77} - C:\WINDOWS\SYSTEM\HJOFIJA.DLL
O19 - User stylesheet: C:\WINDOWS\hh.htt (file missing)

PC neustarten

KillBox
http://www.bleepingcomputer.com/files/killbox.php

<Delete File on Reboot

und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

c:\windows\downloaded program files\sek.exe
c:\windows\downloaded program files\XXX.exe
c:\windows\downloaded program files\load.exe
c:\windows\downloaded program files\exploit.exe
C:\WINDOWS\hh.htt
c:\windows\system32\blank.htm
C:\WINDOWS\SYSTEM\HJOFIJA.DLL
C:\WINDOWS\SYSTEM\MSXWORD.DLL
C:\WINDOWS\TEMP\se.dll
C:\WINDOWS\DIAL.DLL
C:\WINDOWS\SYSTEM\BACKUP.DLL
C:\Recycled\Q383304.exe

PC neustarten

eScan-Erkennungstool
eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich:
http://www.mwti.net/antivirus/free_utilities.asp
oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche
kavupd.exe, die klickst du an--> (Update- in DOS) ausführen

-->mwav.exe oeffnen-->alle Haekchen setzen-->scannen-->View Log anklicken--> Bearbeiten anklicken--> "infected" reinschreiben
und nun alles rauskopieren, was angezeigt wird-->

die infected -Dateien musst du dann mit der Killbox oder manuell loeschen

#ClaerProg..lade die neuste Version <1.4.1
http://www.clearprog.de/downloads.php
<und saeubere den Browser.
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Cookies
- Verlauf
- Temporäre Internetfiles (Cache)

#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

+ poste das neue log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit

#7 hi skys,
ob nun xp oder win98 das problem kannst du nur angehen indem du deinen compu im abgesicherten modus hochfährst dadurch wird nämlich unterbunden das die se.dll datei aktiviert wird.
sobald du im abgesicherten modus bist ist dir die datei quasi schon ausgeliefert, weil sie nicht aktiviert wurde. ich bin das ding doch auch so los geworden warum also sollte es bei dir nicht klappen. der schlüssel zum erfolg liegt im abgesicherten modus. du kannst im abgesicherten modus alle modifikationen vornehmen um das ding gänzlich von der platte zu putzen.
gruss
zoltan

#8 @ zoltan:

Hallo, komme erst jetzt leider dazu zu antworten...!
Leider weiß ich nicht, wie das mit dem abgesicherten Modus geht..?
Habe mich dann an die Anweisungen von Sabina gehalten, aber trotzdem vielen Dank!!!


@ Sabina:

Hallo Sabina!
Erst mal super lieben Dank für Deine ausführliche Hilfeerklärungen!!! :-)
Habe versucht, sie Schritt für Schritt genau so durchzuführen, wie beschrieben, ...
ABER, ich glaube, dass sich meine Probleme multipliziert haben! :-(
Folgendes habe ich gemacht:
--------------------------------------------------------------------------
# Ich habe die Liste, die Du mit geschickt hast Lavasoft-Help submitted. Das war kein Problem
--------------------------------------------------------------------------
# Hab den Registry Search Tool heruntergeladen und bin Deinen Anweisungen gefolgt. Das waren die Ergebnisse:
Für "{AD688740-5246-40C3-AF27-098693046834}":

[HKEY_LOCAL_MACHINE\Software\Microsoft\Code Store Database\Distribution Units\{AD688740-5246-40C3-AF27-098693046834}]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Code Store Database\Distribution Units\{AD688740-5246-40C3-AF27-098693046834}\DownloadInformation]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Code Store Database\Distribution Units\{AD688740-5246-40C3-AF27-098693046834}\InstalledVersion]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Code Store Database\Distribution Units\{AD688740-5246-40C3-AF27-098693046834}\Contains]


Für "{AD688740-5246-40C3-AF27-53959999940D}":

[HKEY_LOCAL_MACHINE\Software\Microsoft\Code Store Database\Distribution Units\{AD688740-5246-40C3-AF27-53959999940D}]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Code Store Database\Distribution Units\{AD688740-5246-40C3-AF27-53959999940D}\DownloadInformation]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Code Store Database\Distribution Units\{AD688740-5246-40C3-AF27-53959999940D}\InstalledVersion]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Code Store Database\Distribution Units\{AD688740-5246-40C3-AF27-53959999940D}\Contains]

Für "{11111111-1111-1111-1111-111111113456}":

[HKEY_LOCAL_MACHINE\Software\Microsoft\Code Store Database\Distribution Units\{11111111-1111-1111-1111-111111113456}]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Code Store Database\Distribution Units\{11111111-1111-1111-1111-111111113456}\DownloadInformation]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Code Store Database\Distribution Units\{11111111-1111-1111-1111-111111113456}\InstalledVersion]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Code Store Database\Distribution Units\{11111111-1111-1111-1111-111111113456}\Contains]


Für "{11311111-1111-1111-1111-11111121115F}":

[HKEY_LOCAL_MACHINE\Software\Microsoft\Code Store Database\Distribution Units\{11311111-1111-1111-1111-11111121115F}]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Code Store Database\Distribution Units\{11311111-1111-1111-1111-11111121115F}\DownloadInformation]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Code Store Database\Distribution Units\{11311111-1111-1111-1111-11111121115F}\InstalledVersion]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Code Store Database\Distribution Units\{11311111-1111-1111-1111-11111121115F}\Contains]

Für "{E4762162-7AFA-11D9-A572-0010157A8F77}":

[HKEY_LOCAL_MACHINE\Software\CLASSES\CLSID\{E4762162-7AFA-11D9-A572-0010157A8F77}]

[HKEY_LOCAL_MACHINE\Software\CLASSES\CLSID\{E4762162-7AFA-11D9-A572-0010157A8F77}\InProcServer32]

Für {FCADDC14-BD46-408A-9842-CDB57890086B}:
No instances of {FCADDC14-BD46-408A-9842-CDB57890086B} found

Für "{FCADDC14-BD46-408A-9842-111111111111}":

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects\{FCADDC14-BD46-408A-9842-111111111111}]

[HKEY_LOCAL_MACHINE\Software\CLASSES\CLSID\{FCADDC14-BD46-408A-9842-111111111111}]

[HKEY_LOCAL_MACHINE\Software\CLASSES\CLSID\{FCADDC14-BD46-408A-9842-111111111111}\InprocServer32]

Für "{C8339358-7A17-11D9-A572-0010D1EEF58A}":

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects\{C8339358-7A17-11D9-A572-0010D1EEF58A}]

[HKEY_LOCAL_MACHINE\Software\CLASSES\CLSID\{C8339358-7A17-11D9-A572-0010D1EEF58A}]

[HKEY_LOCAL_MACHINE\Software\CLASSES\CLSID\{C8339358-7A17-11D9-A572-0010D1EEF58A}\InProcServer32]
--------------------------------------------------------------------------
# Danach habe ich mit HijackThis die Liste gefixt, die Du mir empfohlen hast.
-------------------------------------------------------------------------
# Die KillBox – Liste wurde ebenfalls gelöscht
--------------------------------------------------------------------------
# Bei der eScan-Anweisung habe ich keine mwav.exe gefunden, sondern dafür dann mwavscan.com angeklickt. Dort habe ich alle Häckchen gesetzt und gescannt, aber der Scann läuft nicht durch….
Er stoppt jedesmal irgendwo auf meiner D Festplatte….
Infected-Dateien habe ich auch nicht gefunden, sondern nur Total Errors und zwar folgende:

Scanning File C:\WINDOWS\rundll32.exe
ERROR!!! Invalid Entry StubPath = rundll32.exeadvpack.dll (in key SOFTWARE\Microsoft\Active Setup\Installed Components\{44BBA851-CC51-11CF-AAFA-00AA00B6015C}). Removing it.

Scanning File C:\WINDOWS\rundll32.exe
ERROR!!! Invalid Entry StubPath = C:\Progra~1\Online~1\MSN\msnmig.exe (in key SOFTWARE\Microsoft\Active Setup\Installed Components\>PerUser_MSN_Clean). Removing it.

Result: ERROR!!! File C:\top10\wzip80g.exe is Not Scanned
C:\top10\wzip80g.exe not Scanned. Possibly password protected...

{DDB3FD78-7E34-11D9-A572-00108EC78213} = C:\WINDOWS\SYSTEM\BHLN.DLL
ERROR!!! Invalid Entry = C:\WINDOWS\SYSTEM\BHLN.DLL (in key Software\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects\{DDB3FD78-7E34-11D9-A572-00108EC78213}). Removing it.

Result: ERROR!!! File C:\Programme\Lavasoft\aawsepersonal.exe is Not Scanned
C:\Programme\Lavasoft\aawsepersonal.exe not Scanned. Possibly password protected...

Result: ERROR!!! File C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask is Not Scanned
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask not Scanned. Possibly password protected...

D:\Programme\Skandia\TIS98T\]Iñrz×$æ.6ªü\*.*
ERROR!!! FindFirstFile For D:\Programme\Skandia\TIS98T\]Iñrz×$æ.6ªü\*.* Failed!!! Reason is Der angegebene Pfad wurde nicht gefunden. (0x3)

Diese Datei sei 3,5 GB (!) groß (ich kenne sie noch nicht mal – wird meine Festplatte benutzt???) und ich kann sie selbst mit KillBox nicht löschen!!!
Result: ERROR!!! File D:\Eigene Dateien\Neuer Ordner\ÑÑÑÑÑÑÑÑ.ÑÑÑ: Scanning Failure!!!
ERROR!!! ScanFile fails for D:\EIGENE~1\NEUERO~1\ÑÑÑÑÑÑÑÑ.ÑÑÑ
Scanning File D:\Eigene Dateien\Neuer Ordner\ÑÑÑÑÑÑÑÑ.ÑÑÑ
Result: ERROR!!! File D:\Eigene Dateien\Neuer Ordner\ÑÑÑÑÑÑÑÑ.ÑÑÑ: Scanning Failure!!!
ERROR!!! ScanFile fails for D:\EIGENE~1\NEUERO~1\ÑÑÑÑÑÑÑÑ.ÑÑÑ
Scanning Folder: D:\Eigene Dateien\Neuer Ordner\M__\*.*
ERROR!!! FindFirstFile For D:\Eigene Dateien\Neuer Ordner\M__\*.* Failed!!! Reason is Die Pfadangabe ist ungültig. (0xa1)

Bei dieser Datei hat er sich beim letzten Scan aufgehängt…. Nach 90 min. habe ich dann ausgeschaltet…..
Scanning File D:\Programme\Ahead\Nero\WaveEditor\vPlugIns.wpl
--------------------------------------------------------------------------
# ClaerProg und # neue Startseite wurden erledigt
--------------------------------------------------------------------------
# Wenn ich meinen Ad-Aware Komplett-Scan mache, kommt der auch nicht durch:
Wenn ich nur Teil-Scan mache, so findet er jedesmal:
RegValue: HKEY_USERS:.DEFAULT\software\microsoft\internet explorer\main “HOMEOldSP“
RegValue: HKEY_LOCAL_MACHINE:software\microsoft\internet explorer\main “HOMEOldSP“
Regkey: HKEY_CLASSES_ROOTrotocols\filter\text/plain\
RegValue: HKEY_CLASSES_ROOTrotocols\filter\text/plain “CLSID”
Regkey: : HKEY_CLASSES_ROOTrotocols\filter\text/html\
RegValue: : HKEY_CLASSES_ROOTrotocols\filter\text/html “CLSID”
Regkey: HKEY_LOCAL_MACHINE:software\microsoft\currentversion\uninstall\searchassistant uninstall\
Regkey: HKEY_LOCAL_MACHINE:software\microsoft\currentversion\uninstall\searchassistant uninstall “DisplayName”
Regkey: HKEY_LOCAL_MACHINE:software\microsoft\currentversion\uninstall\searchassistant uninstall “UninstallString”
RegValue: HKEY_CURRENT_USER:software\microsoft\internet explorer\search “Search Assistant²
RegValue: HKEY_CURRENT_USER:software\microsoft\internet explorer\main “Search Bar²
RegValue: HKEY_LOCAL_MACHINE:software\microsoft\inernet explorer\main “Use Custom Search URL”
RegValue: HKEY_LOCAL_MACHINE:software\microsoft\inernet explorer\main “Use Search Asset”
RegValue: HKEY_LOCAL_MACHINE:software\classes\protocols\filter\text/html “CLSID”

Diese lösche ich auch, aber sie sind bei jedem Neustart wieder da.
--------------------------------------------------------------------------
# Der Kaspersky Anti-Virus findet trotz neuestem update immer noch nix!
-------------------------------------------------------------------------
# Mir ist auch aufgefallen, dass sich in meine pop-ups die „Search For“ Seite aufbauen will, dann aber doch übersprungen wird….??
------------------------------------------------------------------------
# Irgendetwas ist dabei meine sämtlichen JPG-Files unkenntlich zu machen… ( bis jetzt nur auf der D-Festplatte)
-------------------------------------------------------------------------
# Zu guter Letzt poste ich Dir das den neusten log von HijackThis:

Logfile of HijackThis v1.99.0
Scan saved at 11:01:15, on 16.02.05
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMME\KASPERSKY LAB\KASPERSKY ANTI-VIRUS PERSONAL\KAVSVC.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\PROGRAMME\KASPERSKY LAB\KASPERSKY ANTI-VIRUS PERSONAL\KAV.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [kavsvc] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE10\EXCEL.EXE/3000
O9 - Extra button: iFinger - {936E5D60-596C-11D3-BB96-00600816DF55} - C:\WINDOWS\SYSTEM\SHDOCVW.DLL
-------------------------------------------------------------------------------------------------------
Leider weiß ich komplett nicht weiter….schnief! ( weiß auch zum Teil von Deinen Anweisungen gar nicht, was ich da gemacht habe und was das bedeutet….)
Ist mein PC hoffnungslos verseucht?
Hast Du noch ein paar schlaue Tipps???
Warte gespannt und geduldig auf Deine Antwort!

Schöne Grüße,
Dragonrider

#9 Hallo@Dragonrider

Windows 98, Windows ME
Schalten Sie den PC ein, drücken Sie nach max. 2 Sekunden die Taste [Strg] und halten Sie sie gedrückt, bis das Start-Menü erscheint. Weiter...
Hinweis: Sie können durch Drücken der Taste [F5] nach Abschluss der BIOS-Meldungen auch direkt den Abgesicherten Modus starten (ohne Umweg über das Start-Menü).

gehe in die Registry

HKEY_LOCAL_MACHINE:software\microsoft\currentversion\uninstall\
searchassistant uninstall\
loesche: “Search Assistant²

HKEY_LOCAL_MACHINE:software\microsoft\currentversion\uninstall\
loesche:
searchassistant uninstall “DisplayName”

HKEY_LOCAL_MACHINE:software\microsoft\currentversion\uninstall\
searchassistant uninstall “UninstallString”

UninstallString "regsvr32 /s /u C:\WINDOWS\SYSTEM\....DLL

Den Namen dieser *.dll notieren!

Da diese Datei aber noch von Windows benutzt wird kann man sie noch nicht löschen und muss daher erst durch die Suchfunktion(Bearbeiten--> suchen) alle Einträge für diese *.dll in der Registry löschen! und dann auch die dll unter Windows loeschen)

HKEY_CURRENT_USER:software\microsoft\internet explorer\
loesche:
search “Search Assistant²

HKEY_CURRENT_USER:software\microsoft\internet explorer\main
loesche:
“Search Bar²

HKEY_USERS:.DEFAULT\software\microsoft\internet explorer\main
loesche:
“HOMEOldSP“

HKEY_LOCAL_MACHINE:software\microsoft\internet explorer\main
loesche:
“HOMEOldSP“


schliesse die Registry

ueberpruefe, ob du in der Software" ein Programm Namens:“Search Bar² installiert hast.
Falls ja--> deinstallieren

loeschen:
<D:\Eigene Dateien\Neuer Ordner\ÑÑÑÑÑÑÑÑ.ÑÑÑ
<Programme\Skandia\ <----nicht loeschen, wenn das ein wichtiges Programm ist (ich weiss nicht, was es ist)--> das musst du wissen, was du da geladen hast.....

loeschen:
C:\WINDOWS\SYSTEM\BHLN.DLL

C:\WINDOWS\hh.htt
C:\WINDOWS\SYSTEM\HJOFIJA.DLL
c:\windows\downloaded program files\sek.exe
c:\windows\downloaded program files\XXX.exe
c:\windows\downloaded program files\load.exe
c:\windows\downloaded program files\exploit.exe
C:\WINDOWS\SYSTEM\MSXWORD.DLL
C:\WINDOWS\TEMP\se.dll
C:\WINDOWS\DIAL.DLL
C:\WINDOWS\SYSTEM\BACKUP.DLL
C:\Recycled\Q383304.exe

#c:\windows\downloaded program files\ -->ALLES löschen

dann versuche noch mal im abgesicherten Modus mit escan und AdAware zu scannen.

#backdoor.agent.b.removal.tool.(Symantec)
http://securityresponse.symantec.com/avcenter/venc/data/backdoor.agent.b.removal.tool.html

#RegCleaner
(Tip: Lade RegCleaner, stelle das Tool in Deutsch ein und saeubere ueber <Tools<Registry saeubern<alles durchfuehren < den PC (du kannst alles angezeigte Loeschen, denn es verbleibt eine Sicherung)
http://www.chip.de/downloads/c_downloads_8830516.html
__________
MfG Sabina

rund um die PC-Sicherheit

#10 Hey leude!

Also ich versteh ja das ganze zeug überhaupt nicht un ja ich hab ein problem ebenso mit diesem se.dll zeug. Also ich hab gestern mein virenprogramm einen durchlauf machen lassen und er hat einen trojaner gefunden, ich hab auf löschen gedrückt und den pc neugestartet. Ja nun bringt mein viren programm (Anti Vir) die ganze zeit dass er eine infizierte datei gefunden hat un was ich mti ihr machen möchte, ich hab auf löschen gedrückt aber dann kommt komischerweise ein so ein warnungshinweis kästchen in dem steht dass eben eine datei mit namen se.dll nicht vorhanden sei oder sowas...!? ich bin jetzt total verwirrt und genervt weil sich dieser warnhinweis ständig aufmahct,
dann bekomm öffnen sich über all fenster die mir den ''hinweis'' geben (also im internet) dass ich spyware auf meinem pc hätte....!?
was kann cih nur machen und was soll das alles?
Bitte helft mir!!!!
Danke
Liebe grüße Franzi

#11 Hallo SugarIllBaby

HijackThis
http://www.downloads.subratam.org/hijackthis.zip
http://www.spywareinfo.com/~merijn/files/hijackthis.zip
Lade/entpacke HijackThis in einem Ordner -->None of the above,
just start the program --> Save--> Savelog -->es öffnet sich der
Editor -->
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins
Forum mit rechtem Mausklick "einfügen"
__________
MfG Sabina

rund um die PC-Sicherheit

#12 Logfile of HijackThis v1.99.1
Scan saved at 14:44:14, on 22.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\My Music\shareaza\anti-spy\antivir\AVGUARD.EXE
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\My Music\shareaza\anti-spy\antivir\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Dokumente und Einstellungen\Franzi\Desktop\winamp\winamp.exe
C:\Programme\AOL 9.0\waol.exe
C:\Programme\AOL 9.0\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\Dokumente und Einstellungen\Franzi\Eigene Dateien\ICQ\ICQLite\ICQLite.exe
C:\My Music\shareaza\anti-spy\Hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://nonstopsearch.com/?a=2
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://nonstopsearch.com/?a=2
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Franzi\LOKALE~1\Temp\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Franzi\LOKALE~1\Temp\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://nonstopsearch.com/?a=2
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://nonstopsearch.com/?a=2
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {8A3C3F5D-7177-4EBD-88DD-167FF5847D52} - C:\WINDOWS\System32\gedh.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [adiras] adiras.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [XPSP2 Firewall] C:\WINDOWS\system32\xpsp2fw.exe
O4 - HKLM\..\Run: [sp] rundll32 C:\DOKUME~1\Franzi\LOKALE~1\Temp\se.dll,DllInstall
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Dokumente und Einstellungen\Franzi\Eigene Dateien\ICQ\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~2\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Dokumente und Einstellungen\Franzi\Eigene Dateien\ICQ\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Dokumente und Einstellungen\Franzi\Eigene Dateien\ICQ\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O10 - Unknown file in Winsock LSP: c:\windows\system32\fltmgr.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\fltmgr.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\fltmgr.dll
O16 - DPF: {841A9192-5690-11D4-A258-0040954A01BE} (DialXSCtl Object) - http://dialxs.nl/install/dialxs.ocx
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game14.zylom.lycos.de/activex/zylomgamesplayer.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://game14.zylom.lycos.de/activex/zylomloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0B9AE310-C82C-43C4-B98A-AE710A54620A}: NameServer = 205.188.146.145
O17 - HKLM\System\CS1\Services\Tcpip\..\{0B9AE310-C82C-43C4-B98A-AE710A54620A}: NameServer = 205.188.146.145
O18 - Filter: text/html - {18F4C842-CB5B-407F-B40B-C5FB2D19F7B9} - C:\WINDOWS\System32\gedh.dll
O18 - Filter: text/plain - {18F4C842-CB5B-407F-B40B-C5FB2D19F7B9} - C:\WINDOWS\System32\gedh.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\My Music\shareaza\anti-spy\antivir\AVGUARD.EXE
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\My Music\shareaza\anti-spy\antivir\AVWUPSRV.EXE

#13 Hallo@SugarIllBaby

Start --> Ausfuehren und 'Regedit' eingeben... dann zu:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\SearchAssistant Uninstall

Hier findet sich ein Eintrag:

UninstallString "regsvr32 /s /u C:\WINDOWS\SYSTEM\....DLL

Den Namen dieser *.dll notieren!

Da diese Datei aber noch von Windows benutzt wird kann man sie noch nicht löschen und muss daher erst durch die Suchfunktion(Bearbeiten--> suchen) alle Einträge für diese *.dll in der Registry löschen! und dann auch die dll unter Windows loeschen)

schliesse die Registry

Deaktivieren Wiederherstellung
«XP
Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

Deinstalliere den Antivirus(free)
und lade:
#Download NOD32 Antivirus System
http://www.nod32.de/download/download.php

noch nicht scannen--> erst im abgesicherten Modus)

#LSPfix.exe
http://www.spychecker.com/program/lspfix.html
http://www10.brinkster.com/expl0iter/freeatlast/L2M/ts.htm
<"I know what I'm doing"

bringe die fltmgr.dll von der linken auf die rechte Seite und loesche die dll.

#backdoor.agent.b.removal.tool.(Symantec)
http://securityresponse.symantec.com/avcenter/venc/data/backdoor.agent.b.removal.tool.html

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://nonstopsearch.com/?a=2
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://nonstopsearch.com/?a=2
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Franzi\LOKALE~1\Temp\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Franzi\LOKALE~1\Temp\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://nonstopsearch.com/?a=2
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://nonstopsearch.com/?a=2
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

O2 - BHO: (no name) - {8A3C3F5D-7177-4EBD-88DD-167FF5847D52} - C:\WINDOWS\System32\gedh.dll
O4 - HKLM\..\Run: [XPSP2 Firewall] C:\WINDOWS\system32\xpsp2fw.exe
O4 - HKLM\..\Run: [sp] rundll32 C:\DOKUME~1\Franzi\LOKALE~1\Temp\se.dll,DllInstall
O16 - DPF: {841A9192-5690-11D4-A258-0040954A01BE} (DialXSCtl Object) - http://dialxs.nl/install/dialxs.ocx
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game14.zylom.lycos.de/activex/zylomgamesplayer.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://game14.zylom.lycos.de/activex/zylomloader.cab
O18 - Filter: text/html - {18F4C842-CB5B-407F-B40B-C5FB2D19F7B9} - C:\WINDOWS\System32\gedh.dll
O18 - Filter: text/plain - {18F4C842-CB5B-407F-B40B-C5FB2D19F7B9} - C:\WINDOWS\System32\gedh.dll

PC neustarten--> in den abgesicherten Modus (F8 druecken, wenn der PC hochfaehrt)

Loesche:
C:\WINDOWS\system32\xpsp2fw.exe
C:\WINDOWS\System32\gedh.dll
C:\Windows\Downloaded Program Files\dialxs.ocx
C:\DOKUME~1\Franzi\LOKALE~1\Temp\se.dll

Scanne mit NOD32 Antivirus
Man sollte jedoch darauf achten, dass man die Einstellungen
dahingehend ändert das ALLE DATEIEN durchsucht werden.
Voreingestellt sind nur bestimmte Dateitypen.

gehe wieder in den Nomalmodus

#RegCleaner
(Tip: Lade RegCleaner, stelle das Tool in Deutsch ein und saeubere ueber <Tools<Registry saeubern<alles durchfuehren < den PC (du kannst alles angezeigte Loeschen, denn es verbleibt eine Sicherung)
http://www.chip.de/downloads/c_downloads_8830516.html

#ClaerProg..lade die neuste Version <1.4.1
http://www.clearprog.de/downloads.php
<und saeubere den Browser.
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Cookies
- Verlauf
- Temporäre Internetfiles (Cache)

CWShredder 2.12 [2004-12-13]
http://www.majorgeeks.com/download3019.html

#Ad-aware SE Personal 1.05 Updated
http://fileforum.betanews.com/detail/965718306/1
Laden--> Updaten-->scannen-->PC neustarten--> noch mal scannen

#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

+ poste das neue Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit

#14 Also ich hab eigentlich alles verstanden außer den anfang...wo start un wie was? danke auf alle fälle schon mal im voraus

#15 Tast: Start-->Ausfuehren --> reinschreiben: regedit

so kommst du in die Registry

(ist dein PC nicht in Deutsch? )
__________
MfG Sabina

rund um die PC-Sicherheit