Home » Spyware & Browser Hijacker Support Forum » Wie entferne ich die .dll für CWS unter NTFS WinXP? » Themenansicht
Wie entferne ich die .dll für CWS unter NTFS WinXP? |
||
|---|---|---|
| #0
| ||
|
05.05.2004, 00:08
...neu hier
Beiträge: 5 |
||
 
|
|
|
|
05.05.2004, 09:54
Member
Beiträge: 1095 |
#2
Wenn nach dem Neustart im appinit_dlls etwas lesbares steht bist du auf dem richtigen weg.
Dieses löschen + CWShredder (neuesteVersion) laufen lassen Welche Anleitung hast du Benutzt ? Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
|
|
|
|
05.05.2004, 13:11
Ehrenmitglied
 Beiträge: 29434 |
#3
Loesche diese dll und
Deaktiviere die Wiederherstellung http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 Ist das Problem geloest(?)...wieder aktivieren MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 05.05.2004 um 13:12 Uhr von Sabina editiert.
|
|
|
|
|
|
|
05.05.2004, 19:58
...neu hier
Themenstarter Beiträge: 5 |
#4
Nach Paffs Beiträgen und der englischen Anleitung hab ich versucht den CWS Müll los zuwerden.
Systemwiederherstellung ist deaktiviert. Lösche ich mit der Killbox die in der Reg angezeigte Datei. Und entferne dann anschließend nach einem Neustart den Eintrag in der Reg. (Der allerdings immer nur binär zusehen und nicht so lesbar ist.) Und starte anschließend den Computer neu. Dann ist der Eintrag in der Reg wieder vorhanden. Mein Frage ist dann, ist die gelöschte .dll wirklich gelöscht worden? Zwar bin ich einige Browserfenster dann "clean". Aber spätestens nach dem zweiten oder dritten Öffnen des Browsers, sieht man schon an der Art und Weise wie der Browser aufpoppt, das CWS bei dem nächsten Browserstart die Startseite sein wird. Also meine Frage nochmal: Wie lösche ich diese .dll? Und wie kann ich überprüfen ob die KillBox seine Arbeit richtig macht? Im Programm "pv" wird die .dll auch nach dem Löschen und Neustart weiter als geladene .dll angezeigt. Schöne Grüße Calvin Dieser Beitrag wurde am 05.05.2004 um 19:59 Uhr von Calvin editiert.
|
|
|
|
|
|
|
05.05.2004, 20:13
Member
Beiträge: 1095 |
#5
Zitat Calvin posteteSolange du den Eintrag nicht in normal lesen kannst ist der Hijacker aktiv. Nach dem Neustart nach Killbox muß man es im Klartext lesen können da KillBox eigentlich die Datei löschen sollte Bist du sicher das du wirklich den richtigen Pfad angegeben hast. Poste mal bitte einfach genau den Pfad den du in Killbox einträgs Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
|
|
|
|
05.05.2004, 20:38
...neu hier
Themenstarter Beiträge: 5 |
#6
Mit diesem Pfad "C:\WINDOWS\system32\doglogm.dll" versuch ich die .dll zu löschen.
|
|
|
|
|
|
|
05.05.2004, 20:49
Member
Beiträge: 1095 |
#7
Welche Anleitung nimmts du
Diese Hier ? http://board.protecus.de/t9537-3.htm Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
|
|
|
|
05.05.2004, 20:52
...neu hier
Themenstarter Beiträge: 5 |
#8
Jepp. Mit der Anleitung bin ich auf den versteckten Eintrag in der Reg gekommen.
|
|
|
|
|
|
|
05.05.2004, 21:03
Member
Beiträge: 1095 |
#9
Hast du den IE geschlossen?
den neusten CWShredder benutzt? Liegt dein Windows wirklich unter "C:\WINDOWS" ? Diese beiden Einträge mal angeschaut? HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/html HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/plain Der Eintrag ändert sich bei jedem Neustart, Also immer überprüfen welcher Name der DLL gerade aktuell ist. Das ist alles wirklich wichtig!!!!!!!!! Geh die Anleitung wirklich schritt für schritt durch Am besten ausdrucken Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware Dieser Beitrag wurde am 05.05.2004 um 21:10 Uhr von paff editiert.
|
|
|
|
|
|
|
05.05.2004, 21:40
...neu hier
Themenstarter Beiträge: 5 |
#10
Also...
IE ist nicht aktiv CWShredder 1.57.0.0 & Adaware mit neuesten Update vom 03.05. Die englische und deutsche Anleitung bin ich Schritt für Schritt abgegangen. Die .dll sehe ich mit KillBox an dem Ort c:\Windows\system32\logdogm.dll. Und die .dll läßt sich nicht mit der KillBox löschen. Entweder wird sie gleich wieder ersetzt oder sie wird gar nicht erst gelöscht. Der Reg-Eintrag in AppInit_DLLs ist bisher nach mehrmaligen Neustart der selbe geblieben und hat sich nicht sichtbar geändert. *** Sorry, mein Fehler! Dass ich mit der KillBox einen Neustart machen muß und erst dabei die .dll-Datei gelöscht werden kann, ist mir grade erst aufgegangen. Und siehe da es hat funktioniert. Die .dll gelöscht und den Wert in der Reg dann als normalen Wert ändern können. Herzlichen Dank für die Geduld und die Hilfe. Schöne Grüße Calvin Dieser Beitrag wurde am 05.05.2004 um 22:35 Uhr von Calvin editiert.
|
|
|
|
|
|
|
06.05.2004, 10:31
Member
Beiträge: 1095 |
#11
@Calvin
Alles klar, Klasse das es noch geklappt hat. Wenn er nochmal wiederkommt, bitte melden  Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Seite(n): 1
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
Ich hab schon fast alles ausprobiert und es fast geschafft. Allerdings fehlt mir zu meinem Glück, dass die Killbox mir die betreffende .dll (in meinem Fall logdogm.dll) aus meinem system32-Verzeichnis rauslöscht. Meine Harddisk ist NTFS-formatiert und darauf läuft WinXP Pro SP1.
Die KillBox gibt zwar aus, dass die Datei gelöscht wurde, aber nach dem Neustart wird erneut auf die Datei zugegriffen. Ich gehe mal davon aus, dass sie nicht gelöscht wird.
Das Problem müßte dann, nach dem Löschen und mit der anschließenden Bereinigung der Registratur bei dem Wert für "AppInit_Dlls" doch eigendlich erledigt sein oder täusch ich mich da?