Cleaner fuer se.dll/sp.html /TR/StartPage.qr.dll |
||
---|---|---|
#0
| ||
22.02.2005, 15:30
Member
Beiträge: 2176 |
||
|
||
26.02.2005, 01:13
...neu hier
Beiträge: 1 |
#2
Hallo an alle die auch Probleme mit Trojan.StartPage haben,
ich habe gerade vor einer Stunde noch eine andere Lösung ausprobiert und mit dieser Erfolg gehabt. Das Problem an dem Trojaner ist, daß sich die infizierte Datei immer wieder selbst kopiert / bzw. kopiert wird und nach dem Entfernen wieder auftaucht. Selbst nach Entfernung des Trojaners laut Anweisung von Symantec (Norton Antivirus) tauchte er wieder auf und wurde bei mir sogar im Abgesicherten Modus von Windows ausgeführt. Der Name der Datei ändert sich unter Umständen nach einiger Zeit von allein. Bei mir hieß die Datei am Anfang sp.dll und dann bis zum Schluß se.dll. (andere Namen sind bestimmt auch "unterwegs"). Auch der Pfad in dem die Datei abgelegt wurde variiert je nach System (Win98, 2000, XP etc.). Und hier ist meine Lösung: Geht im Startmenü auf Run / Ausführen... und gebt "Regedit" ein. Öffnet folgenden Pfad: [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\SearchAssistant Uninstall] Dort findet Ihr einen Eintrag wie diesen: UninstallString=regsvr32 /s /u C:\Windows\System\IBGOK.DLL Der Name der angegebenen DLL-Datei (bei mir IBGOK.DLL) kann wieder variieren. NOTIERT EUCH AM BESTEN DIESEN DATEINAME. Löscht dann den Eintrag in REGEDIT. Gebt den notierten Dateinamen im Startmenü in der Suche ein und löscht die gefundene Datei. Ebenso löscht Ihr die Datei, welche von Eurer Virensoftware als der Trojaner gefunden wurde (se.dll, sp.dll etc.). Wenn Ihr nicht wißt wo die Datei liegt gebt den Namen in der Suche im Startmenü ein. Sollte/n die Datei/en noch von Windows verwendet werden (Löschen nicht möglich), kontrolliert ob die Anwendung rundll32 läuft (Strg + Alt + Entf) und schließt diese ggf. Dann konnte ich bei mir die Dateien löschen. Wenn Ihr sie trotzdem nicht löschen könnt startet Windows im abgesicherten Modus. Dann dürfte das Löschen kein Problem mehr sein. Zur Kontrolle kann man danach noch einen Systemcheck machen um zu prüfen ob nicht doch noch eine weitere Datei mit dem Virus existiert. Danach startet Ihr HijackThis und macht einen SystemScan. Fixed alle Resultate welche sich auf die Trojaner Datei (bei mir se.dll) beziehen und auch die Resultate die von dem Trojaner verändert wurden. z.B.: HKLM\SoftWare\Microsoft\Internet Explorer\Main, Search Page=about :blank Dies ist nur ein Beispiel. Bei mir wurde die Startseite in "about :blank" geändert, was natürlich auch wieder variieren kann. Ich habe also alle Resultate, die entweder diese Angaben enthielten oder sich auf die Trojaner-Datei bezogen, gefixed. Danach habe ich der Systemsteuerung (im Startmenü) in den "Internet Optionen" meine ursprüngliche Startseite wieder eingegeben und den PC neu gestartet. Danach war das Problem behoben. Ich hoffe das kann einigen von Euch weiterhelfen. Viele Grüße darkmind Ach so, ich habe übrigens Win98 SE. Ich glaube bei den neueren Versionen (Win2000, XP) muß man noch die automatische Systemwiederherstellung deaktivieren. Wie das geht weiß ich leider nicht (ich habe ja diese Programme nicht) Und nun viel Spaß... |
|
|
||
01.03.2005, 16:44
...neu hier
Beiträge: 8 |
#3
Hallo Zusammen,
wie es aussieht, habe ich wohl das gleiche Problem mit dieser "se.dll". Ich bin nicht so der Experte auf diesem Gebiet, aber ich dachte, dass ich die Anleitung von "Laserpointa" mit der "Misc Tool Section" etc. richtg befolgt habe. Leider befindet sich diese "se.dll" jetzt nicht mehr in dem Ordner C\Windows\temp, aber mein Virenprogramm (Antivirenkit 2005) springt an und erzählt immernoch was von dieser Datei. Insgesamt äussert sich das ganze Maleur auf meinem Computer wie folgt. Ich habe keine Ahnung, ob Euch das was sagt und bei einer möglichen Lösung behilflich ist, aber mich nervt es zu tode: 1. Die Kiste ist wahnsinnig langsam 2. beim Booten eiert immer das DVD-Laufwerk mit los, was früher nie der Fall war 3. Nach jedem Öffnen des IE wird das Verzeichnis "Temprary Internet Files" mit allenmöglichen Dateien zu geballert. War früher auch nicht der Fall war 4. Beim Surfen hängt sich die Kiste auf und der Virenwarner springt wie oben schon erklärt an. Das mit dem Hijackthis-Logfile habe ich mittlerweile kapiert und mal die letzte Version hier gepostet: Logfile of HijackThis v1.99.1 Scan saved at 16:05:32, on 01.03.05 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\PROGRAMME\CISCO SYSTEMS\VPN CLIENT\CVPND.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\SYSTEM\ATIPTAXX.EXE C:\WINDOWS\SYSTEM\STIMON.EXE C:\PROGRAMME\ANTIVIRENKIT 2005\AVKWCTL9.EXE C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS1\TOADIMON.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\G DATA\AVKMAIL\AVKPOP.EXE C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OSA.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\PROGRAMME\WINZIP\WINZIP32.EXE C:\WINDOWS\TEMP\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://www.t-online.de/software/ie50/setpxy.pac R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=www-proxy.t-online.de:80;ftp=ftp-proxy.t-online.de:80 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.t-online.de;localhost;;<local> O2 - BHO: (no name) - {9A1D9444-8A65-11D9-AAC8-444562E95932} - C:\WINDOWS\SYSTEM\JPEE.DLL (file missing) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE O4 - HKLM\..\Run: [AVKWCtl] C:\PROGRA~1\ANTIVI~1\AVKWCTL9.EXE O4 - HKLM\..\Run: [ToADiMon.exe] C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS1\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [AVK Mail Checker] "C:\PROGRAMME\GEMEINSAME DATEIEN\G DATA\AVKMAIL\AVKPOP.EXE" O4 - HKLM\..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [CVPND] "C:\Programme\Cisco Systems\VPN Client\cvpnd.exe" start O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE O12 - Plugin for .mpeg: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin3.dll O15 - Trusted IP range: 206.161.125.149 O18 - Filter: text/html - {9A1D9443-8A65-11D9-AAC8-4445ED00C146} - C:\WINDOWS\SYSTEM\JPEE.DLL O18 - Filter: text/plain - {9A1D9443-8A65-11D9-AAC8-4445ED00C146} - C:\WINDOWS\SYSTEM\JPEE.DLL Falls noch jemand eine gute Idee hat, wäre ich ihm wahnsinnig dankbar!! |
|
|
||
01.03.2005, 17:10
Moderator
Beiträge: 7805 |
#4
Da spielt (manchmal)noch eine andere DLL(die nnicht dll heisst! ) eine Rolle.
Lade dir bitte Startdreck: http://www.niksoft.at/_data/startdreck.zip entpacke es in einen Ordner und starte die startdreck.exe. Gehe auf config druecke "unmark all", hake "Run Keys" an, druecke "ok", druecke Save, speichere Das log und poste den Inhalt bitte hier. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
01.03.2005, 20:48
...neu hier
Beiträge: 8 |
#5
Hallo Ralf,
danke für die Unterstützung!!! Hier das Logfile: StartDreck (build 2.1.7 public stable) - 2005-03-01 @ 20:34:23 (GMT +01:00) Platform: Windows 98 SE (Win 4.10.2222 A) Internet Explorer: 6.0.2800.1106 Logged in as Geo at GEO »Registry »Run Keys »Current User »Run *MSMsgSvc= »RunOnce »Default User »Run *MSMsgSvc= »RunOnce »Local Machine »Run *SystemTray=SysTray.Exe *LoadPowerProfile=Rundll32.exe powrprof.dll,LoadCurrentPwrScheme *AtiPTA=Atiptaxx.exe *StillImageMonitor=C:\WINDOWS\SYSTEM\STIMON.EXE *AVKWCtl=C:\PROGRA~1\ANTIVI~1\AVKWCTL9.EXE *ToADiMon.exe=C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS1\ToADiMon.exe -TOnlineAutodialStart *AVK Mail Checker="C:\PROGRAMME\GEMEINSAME DATEIEN\G DATA\AVKMAIL\AVKPOP.EXE" »RunOnce »RunServices *LoadPowerProfile=Rundll32.exe powrprof.dll,LoadCurrentPwrScheme *CVPND="C:\Programme\Cisco Systems\VPN Client\cvpnd.exe" start »RunServicesOnce **ne=rundll32 C:\WINDOWS\WINZIPY2.INI,DllGetClassObject »RunOnceEx »RunServicesOnceEx »Files »System/Drivers »Application specific |
|
|
||
01.03.2005, 20:57
Moderator
Beiträge: 7805 |
#6
Das ist dein Problem:
C:\WINDOWS\WINZIPY2.INI,DllGetClassObject Versuchen wir es mal einfach. Tippe bei Start/Ausfuehren bitte command ein und druecke Enter In der Dosbox kopiere bitte das (oder schreib es genau mit gross und Kleinschreibung ab): rundll32 C:\WINDOWS\WINZIPY2.INI,DllUnregisterServer und sag, welche Rueckmeldung kam. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
02.03.2005, 11:02
...neu hier
Beiträge: 1 |
#7
@Laserpointa
Danke, danke, danke! Hast mir wirklich sehr geholfen! Hab lang an dem Problem gesessen! Greez sokrahtes |
|
|
||
02.03.2005, 11:07
...neu hier
Beiträge: 8 |
#8
Hallo Ralf,
wenn ich den von Dir angegebenen Pfad dort reinkopiere erscheint ein neues Fenster mit der Meldung "rundll32 - Diese Anwendung wird aufgrund eines ungültigen Vorgangs geschlossen". Hilft Dir das weiter? Danke schonmal! |
|
|
||
02.03.2005, 12:22
Moderator
Beiträge: 7805 |
#9
Ja, das macht es.
Starte bitte Hijackthis und waehle aus dem Startmenu "Open the misc tool section". Dort waehlst du dann "Delete a file on reboot", dann traegst du im neu geoeffneten Fenster bei Dateinamen "rundll32 C:\WINDOWS\WINZIPY2.INI" ohne die "" ein, und drueckst "oeffnen". Die Nachfrage, ob du den Computer neu starten moechtest, ver"nein"st du. Schliesse Hjackthis, starte es neu und fix das: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {9A1D9444-8A65-11D9-AAC8-444562E95932} - C:\WINDOWS\SYSTEM\JPEE.DLL (file missing) O4 - HKLM\..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall O15 - Trusted IP range: 206.161.125.149 O18 - Filter: text/html - {9A1D9443-8A65-11D9-AAC8-4445ED00C146} - C:\WINDOWS\SYSTEM\JPEE.DLL O18 - Filter: text/plain - {9A1D9443-8A65-11D9-AAC8-4445ED00C146} - C:\WINDOWS\SYSTEM\JPEE.DLL starte den neuen Rechner, surf etwas im Internet und poste bitte ein neues Log. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
02.03.2005, 13:57
...neu hier
Beiträge: 8 |
#10
Hallo Ralf,
offensichtlich kann er/es nun diese "WINZIPY2.INI" nicht finden (beim Eintragen in das Fenster "Delete a file on reboot"). Unter C:\WINDOWS\ befindet sich nur eine "WINZIP32.INI". Habe aber mit Startdreck nochmal ein Logfile erstellt wie von Dir oben beschrieben und da heisst die Datei immernoch "....Y2.INI" :-(( Noch eine Idee?? StartDreck (build 2.1.7 public stable) - 2005-03-02 @ 13:54:49 (GMT +01:00) Platform: Windows 98 SE (Win 4.10.2222 A) Internet Explorer: 6.0.2800.1106 Logged in as Geo at GEO »Registry »Run Keys »Current User »Run *MSMsgSvc= »RunOnce »Default User »Run *MSMsgSvc= »RunOnce »Local Machine »Run *SystemTray=SysTray.Exe *LoadPowerProfile=Rundll32.exe powrprof.dll,LoadCurrentPwrScheme *AtiPTA=Atiptaxx.exe *StillImageMonitor=C:\WINDOWS\SYSTEM\STIMON.EXE *AVKWCtl=C:\PROGRA~1\ANTIVI~1\AVKWCTL9.EXE *ToADiMon.exe=C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS1\ToADiMon.exe -TOnlineAutodialStart *AVK Mail Checker="C:\PROGRAMME\GEMEINSAME DATEIEN\G DATA\AVKMAIL\AVKPOP.EXE" »RunOnce »RunServices *LoadPowerProfile=Rundll32.exe powrprof.dll,LoadCurrentPwrScheme *CVPND="C:\Programme\Cisco Systems\VPN Client\cvpnd.exe" start »RunServicesOnce **dtjs=rundll32 C:\WINDOWS\WINZIPY2.INI,DllGetClassObject »RunOnceEx »RunServicesOnceEx »Files »System/Drivers »Application specific |
|
|
||
02.03.2005, 14:37
Moderator
Beiträge: 7805 |
#11
Diese Datei zu loeschen ist unter Win9x/me kein Problem, nur hatte ich gehofft, das wir das Mit Hijackthis machen koennen. Das waere etwas einfacher gewesen und haette mir gezeigt, das es auch unter NT/2000/XP funktionieren wuerde.
Bevor wir da mit einer Batchdatei rangehen, waere es nett von dir, wen du es mit Killbox versuchen wuerdest. Lade es dir von hier herunter http://www.downloads.subratam.org/KillBox.zip und entpacke es in einen extra Ordner, starte Killbox.exe trage in das Weisse Feld dort wieder C:\WINDOWS\WINZIPY2.INI ein. Zusaetzlich dazu die option "delete on reboot" Dann denn Roten Punkt mit weissen Kreuz druecken und ja, bei der Aufforderung jetzt neu zu starten. Ich sehe gerade, das ich dir oben das falsche angegeben habe zum loeschen. Versuche es erst nochmal mit Hijackthis, aber ins weisse Feld bitte C:\WINDOWS\WINZIPY2.INI eingeben. Nicht wie oben beschrieben rundll32 C:\WINDOWS\WINZIPY2.INI Wenn das nicht klappt, Machen wir es unter Dos mit einem Del(tree) Befehl, dann ist sie auf jeden Fall weg. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
02.03.2005, 16:01
...neu hier
Beiträge: 8 |
#12
Hallo Ralf,
ich glaube die Killbox hat es auch nicht getan, siehe das Logfile unten. Mittlerweile dauert es Stunden bis ich ins Internet komme, bzw. Dateien öffne, deshalb die Verzögerung bei den Antworten: Danke für die Geduld!!!! StartDreck (build 2.1.7 public stable) - 2005-03-02 @ 15:55:24 (GMT +01:00) Platform: Windows 98 SE (Win 4.10.2222 A) Internet Explorer: 6.0.2800.1106 Logged in as Geo at GEO »Registry »Run Keys »Current User »Run *MSMsgSvc= »RunOnce »Default User »Run *MSMsgSvc= »RunOnce »Local Machine »Run *SystemTray=SysTray.Exe *LoadPowerProfile=Rundll32.exe powrprof.dll,LoadCurrentPwrScheme *AtiPTA=Atiptaxx.exe *StillImageMonitor=C:\WINDOWS\SYSTEM\STIMON.EXE *AVKWCtl=C:\PROGRA~1\ANTIVI~1\AVKWCTL9.EXE *ToADiMon.exe=C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS1\ToADiMon.exe -TOnlineAutodialStart *AVK Mail Checker="C:\PROGRAMME\GEMEINSAME DATEIEN\G DATA\AVKMAIL\AVKPOP.EXE" »RunOnce »RunServices *LoadPowerProfile=Rundll32.exe powrprof.dll,LoadCurrentPwrScheme *CVPND="C:\Programme\Cisco Systems\VPN Client\cvpnd.exe" start »RunServicesOnce **sqq=rundll32 C:\WINDOWS\WINZIPY2.INI,DllGetClassObject »RunOnceEx »RunServicesOnceEx »Files »System/Drivers »Application specific Hier auch noch mein letztes Hijackthis-Log: Die Sache mit ohe "rundell" im Pfad hat by Hijackthis auch nichts gebracht. Er konnte die Datei nicht finden. Logfile of HijackThis v1.99.1 Scan saved at 15:52:47, on 02.03.05 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\PROGRAMME\CISCO SYSTEMS\VPN CLIENT\CVPND.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\SYSTEM\ATIPTAXX.EXE C:\WINDOWS\SYSTEM\STIMON.EXE C:\PROGRAMME\ANTIVIRENKIT 2005\AVKWCTL9.EXE C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS1\TOADIMON.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\G DATA\AVKMAIL\AVKPOP.EXE C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OSA.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\KERNEL.EXE C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\SC_WATCH.EXE C:\WINDOWS\SYSTEM\PSTORES.EXE C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\PROFILEMGR.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\UPDATE.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\PROGRAMME\WINZIP\WINZIP32.EXE C:\WINDOWS\TEMP\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE O4 - HKLM\..\Run: [AVKWCtl] C:\PROGRA~1\ANTIVI~1\AVKWCTL9.EXE O4 - HKLM\..\Run: [ToADiMon.exe] C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS1\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [AVK Mail Checker] "C:\PROGRAMME\GEMEINSAME DATEIEN\G DATA\AVKMAIL\AVKPOP.EXE" O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [CVPND] "C:\Programme\Cisco Systems\VPN Client\cvpnd.exe" start O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE O12 - Plugin for .mpeg: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin3.dll O15 - Trusted IP range: 206.161.125.149 |
|
|
||
02.03.2005, 16:43
Moderator
Beiträge: 7805 |
#13
Nagut, dann der Holzhammer!
kopiere bitte die Zeile zwischen den ---cut--- in notepad und speichere sie ins Windowsverzeichniss mit dem Namen testneu.bat ---cut--- deltree /y C:\WINDOWS\WINZIPY2.INI ---cut--- Fahre den Rechner bitte in den Dosmodus herunter. Dann landest du am Dosprompt Sieht ungefaehr so aus: c:>_ dort einfach testneu eingeben und enter druecken. Danach bitte neu starten und ein neues Hijackthis und Startdreck log posten. Den "O15" Eintrag wirst du los, indem du die Datei deldomain.inf herunter laedst: http://www.mvps.org/winhelp2002/restricted.htm und dann mit der rechten Maustaste auf diese Datei klickst und installieren waehlst. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
02.03.2005, 18:02
...neu hier
Beiträge: 8 |
#14
Hallo wieder,
äh, wo finde ich denn "notepad"? Über Start und Programme finde ich nur "Wordpad"!? Und wie fahre ich den Rechner in den DOS-Modus? Sorry für die blöden Fragen!! |
|
|
||
02.03.2005, 18:30
Moderator
Beiträge: 7805 |
#15
Wordpad oder Write ist auch in Ordnung. Du musst nur darauf achten, das du es als "nur Text" speicherst.
Den Dosmodus solltest du waehlen koennen, wenn du den Rechner ueber Start/Beenden herunterfahren willst. Du solltest dort ein Fenster angezeigt bekommen, wo du das auswaehlen kannst. Wenn ich es richtig in Erinnerung habe, ist es die letzte Auswahlmoeglichkeit. Ich habe leider so kein Win98 mehr zur Hand. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
da anscheinend viele mit diesem Hijacker kämpfen...
Problem:
Meistens irgendwelche Werbepopups auf dem Desktop und Einträge mit se.dll/sp.html im Hijackthislog...
Lösung:
1.) Hijackthis downloaden und ausführen
2.) falls ihr Einträge mit se.dll im Log Scan entdeckt z.B:
res://C:\WINDOWS\TEMP\se.dll/sp.html
den Pfad zu dieser Datei notieren und wie in Punkt 3 beschrieben entfernen:
3.) die Datei kann nur bei einem Neustart gelöscht werden also:
- Hijackthis starten
- Open the Misc Tools Section anclicken
- da Delete a File on Reboot auswählen
und dort diese Datei auswählen: C:\(euer Pfad zur Datei)\se.dll und die Datei dort eintragen
4.) Computer neustarten
5.) nun ist der Hijacker auf jeden Fall entschärft (gibt beim Windows Start vieleicht eine kleine Rundll Fehlermeldung aber die ist nach Schritt 6 weg )
6.) Hijackthis Scan nochmal ausführen Log hierher kopieren: www.hijackthis.de und auswerten + Einträge die auf www.hijackthis.de angemeckert werden mit Hijackthis "fixen"!
falls es nun noch Probleme gibt helfen Dir hier sichtlich einige Boardies gerne weiter!
Viel Glück!
Greetz Lp