Cleaner fuer se.dll/sp.html /TR/StartPage.qr.dll

#16 Hallo Ralf,

unter Start, Programme habe ich den "Editor" gefunden und darin den Pfad als testneu.bat abgespeichert. Hoffe, das war korrekt. Mit Start, Beenden, Im Dos-Modus neu starten habe ich dann den PC runter gefahren, wobei dann dieses dosprompt kommt allerdings in folgender Form:

C:\>
C:\>LH C:\Progra~1\Micros~1\Mouse\Mouse.exe

D.h. ich konnte hier nichts eingeben. Auch ein "Enter" brachte mich nicht an C:\> zurück.

Habe ich was falsch gemacht?

#17 Dann versuche mal beim Start in "Nur Eingabeaufforderung" zu gehen. Wie du das machst, kannst du hier erfahren: http://www.winfaq.de/faq_html/tip0069.htm

Starte dann die testneu.bat Danach einfach win eingeben und Enter druecken.
__________
MfG Ralf
SEO-Spam Hunter

#18 Hallo Ralf,

ich will es nicht beschwören, aber ich glaube das Ding ist gekillt!!!!! Und mein Rechner hat auch in etwa wieder Normalgeschwindigkeit erreicht.

Super, einen ganz herzlichen Dank für die Zeit, die Du Dir genommen hast!!

Kann ich den irgendwas tun, damit ich in Zukunft von diesen Dingern verschont werde? Und noch etwas: Was macht man denn mit den Dateien, die mein Antivirenprogramm nicht desinfizieren konnte und die jetzt schon seit einiger Zeit in Quarantäne liegen. Brauche ich die noch, oder kann man die löschen?

Hier nochmal die Logfiles:

StartDreck (build 2.1.7 public stable) - 2005-03-02 @ 19:14:17 (GMT +01:00)
Platform: Windows 98 SE (Win 4.10.2222 A)
Internet Explorer: 6.0.2800.1106
Logged in as Geo at GEO

»Registry
»Run Keys
»Current User
»Run
*MSMsgSvc=
»RunOnce
»Default User
»Run
*MSMsgSvc=
»RunOnce
»Local Machine
»Run
*SystemTray=SysTray.Exe
*LoadPowerProfile=Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
*AtiPTA=Atiptaxx.exe
*StillImageMonitor=C:\WINDOWS\SYSTEM\STIMON.EXE
*AVKWCtl=C:\PROGRA~1\ANTIVI~1\AVKWCTL9.EXE
*ToADiMon.exe=C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS1\ToADiMon.exe -TOnlineAutodialStart
*AVK Mail Checker="C:\PROGRAMME\GEMEINSAME DATEIEN\G DATA\AVKMAIL\AVKPOP.EXE"
»RunOnce
»RunServices
*LoadPowerProfile=Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
*CVPND="C:\Programme\Cisco Systems\VPN Client\cvpnd.exe" start
»RunServicesOnce
»RunOnceEx
»RunServicesOnceEx
»Files
»System/Drivers
»Application specific


Logfile of HijackThis v1.99.1
Scan saved at 19:13:42, on 02.03.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\PROGRAMME\CISCO SYSTEMS\VPN CLIENT\CVPND.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATIPTAXX.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\ANTIVIRENKIT 2005\AVKWCTL9.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS1\TOADIMON.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\G DATA\AVKMAIL\AVKPOP.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OSA.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\WINZIP\WINZIP32.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://www.t-online.de/software/ie50/setpxy.pac
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=www-proxy.t-online.de:80;ftp=ftp-proxy.t-online.de:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.t-online.de;localhost;;<local>
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [AVKWCtl] C:\PROGRA~1\ANTIVI~1\AVKWCTL9.EXE
O4 - HKLM\..\Run: [ToADiMon.exe] C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [AVK Mail Checker] "C:\PROGRAMME\GEMEINSAME DATEIEN\G DATA\AVKMAIL\AVKPOP.EXE"
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [CVPND] "C:\Programme\Cisco Systems\VPN Client\cvpnd.exe" start
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O12 - Plugin for .mpeg: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin3.dll

#19 Da gibt es einiges. Ein wenig mit Verstand surfen und nicht den IE sondern Firefox oder Opera nutzen, bringt dich schon ein ganzes Stueck weiter. Und halte dein AVK immer schoen aktuell.

Du solltest dein Windows auch immer via www.windowsupdate.com aktualisieren. Mindestens einmal in zwei Wochen, wenn man es nicht automatisch via dem Updater machen laesst.

Ich mache den Thread zu. Wenn jemand noch ein Problem mit diesem Hijacker hat, moege er doch bitte die Tipps aus diesem Thread ausprobieren und falls noetig einen neuen Thread starten.
__________
MfG Ralf
SEO-Spam Hunter

#20 Inzwischen gibt es einen Cleaner dafuer. Er ist derzeit noch in einer (fortgeschrittenen) Betaphase. Er funktioniert soweit auf den Systemen, die wir getestet haben, aber Garantie gibt es keine!

Downloadinfo: http://www.trojaner-board.de/showthread.php?t=14366&page=3

Feedback ist erwuenscht!
__________
MfG Ralf
SEO-Spam Hunter

#21 Hallo,

ich bin seit einiger Zeit bei diesem Forum dabei. Eure Tipps und Loesungen sind grossartig! Vielen Dank. Ich hatte das "sp" Trojaner Problem (http://board.protecus.de/t15636.htm) auf meinem UraltLaptop "Panasonic Let'sNote / Japanisches Windows98, 2.5 GB HDD". Ich habe in diese Seite eingeloggt und alles Moegliche versucht - jedoch am meisten geholfen haben mir die folgenden zwei Programme:

1) Der von RAMAN propagierte Cleaner: (http://www.trojaner-board.de/showthread.php?t=14366&page=3)
- zum effektiven Vernichten der Spyware, nachdem sie immer wieder gekommen ist und ich mit keinem der unten gelisteten Tools wirklich durchschlagenden Erfolg hatte.
- Dieses Tool zeigt einem zwar nicht was los ist, entfernt jedoch mit einem Knopf den ganzen Krempel
------
Zusaetzlich habe ich vor dieser Loeschaktion noch mit den folgenden Programmen gearbeitet, da ich doch wissen wollte was los ist:
2) ADAWARE6:
- zum Indentifizieren der Malware
3) Trojancheck6 (http://www.trojancheck.de/)
- zum Checken, ob der Virus gekillt ist und temporaeren Stoppen von ausgewaehlten Prozessen
4) startdreck.zip (gepostet von RAMAN, 1.3.2005, 17:00)
- zum Checken, welche Programme beim WindowsStart aktiv sind
5) HijackThis.exe (http://www.hijackthis.de/downloads/hijackthis_199.zip)
- ebenfalls in diesem Forum gepostet
- half mir den unerwuenschten InternetExplorer Suchbar der Malware wieder wegzubekommen, indem ich die ganzen "BHO" Eintraege einfach geloescht habe

--------------------
Beste Gruesse und nochmals vielen Dank
Martin