"Search for..." Startseite kommt immer wieder!Thema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
09.02.2005, 11:25
...neu hier
Beiträge: 4 |
||
|
||
09.02.2005, 11:49
Ehrenmitglied
Beiträge: 29434 |
#362
SlowLife
du musst alles machen, was ich geschrieben habe, vor allem den IE Internet Explorer v5.50 SP1 aktualisieren und dann kannst du auch den Firefox laden. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
09.02.2005, 19:21
...neu hier
Beiträge: 10 |
#363
Hi Sabina,
Hab anscheinend wieder son dreck drauf. Hier die LOG: Logfile of HijackThis v1.99.0 Scan saved at 19:21:15, on 09.02.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\CTHELPER.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\QuickTime\qttask.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Softwin\BitDefender Free Edition\bdmcon.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\CTsvcCDA.exe C:\WINDOWS\System32\locator.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe C:\Programme\ICQ\Icq.exe C:\WINDOWS\System32\smbdins.exe C:\WINDOWS\System32\tsmsetup.exe C:\Dokumente und Einstellungen\Nicco\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://clearsurfing.net/srch.php?qq=%s R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - C:\WINDOWS\System32\iesp2.dll O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [BDMCon] C:\Programme\Softwin\BitDefender Free Edition\\bdmcon.exe O4 - HKLM\..\Run: [BDNewsAgent] C:\Programme\Softwin\BitDefender Free Edition\\bdnagent.exe O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Programme\eScan\LAUNCH.EXE" O4 - HKCU\..\RunOnce: [ICQ] C:\Programme\ICQ\Icq.exe -trayboot O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{B7527BFF-AE9B-470B-A416-C6FBB8C839DB}: NameServer = 69.50.188.180,195.225.176.31 O17 - HKLM\System\CCS\Services\Tcpip\..\{D8B1A789-9CC0-4A01-9BFA-839B41B69AE0}: NameServer = 69.50.188.180,195.225.176.31 O17 - HKLM\System\CCS\Services\Tcpip\..\{FCCE8B9E-57C9-43AC-A656-702BEF918FCD}: NameServer = 69.50.188.180,195.225.176.31 O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: BitDefender Scan Server - Unknown - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe O23 - Service: BitDefender Communicator - Softwin - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe Grüße Sanji |
|
|
||
09.02.2005, 19:43
Ehrenmitglied
Beiträge: 29434 |
#364
Hallo@Sanji
Alles wieder verseucht Deaktivieren Wiederherstellung «XP Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. 1) lade remv3.zip herunter remv3.zip ( 9.85k ) Number of downloads:...... http://forums.skads.org/index.php?showtopic=80 (dort im 1. Posting von Baskar unter Attached File(s)!). 2) entpacke es im verzeichnis C:\WINDOWS\System32\ (es ist wichtig, dass es in diesem verzeichnis ist!) 1. Öffne den Editor (Start -> Programme -> Zubehör) und kopiere den Inhalt des folgenden Zitats in das Editorfenster. Speichere die Datei anschließend unter dem Namen DelDomains.inf mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. 2. Schließe den InternetExplorer. 3. Klicke die Datei DelDomains.inf mit der rechten Maustaste an und dann auf 'Installieren'. --------------------------------------------------------------------------------------------------------- [version] signature="$CHICAGO$" [DefaultInstall] DelReg=DelTemps AddReg=AddTemps [DelTemps] HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges" HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges" ; Recreate the keys to avoid a restart [AddTemps] HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges" HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges" ----------------------------------------------------------------------------------------- Fixe mit dem HijackThis: R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://clearsurfing.net/srch.php?qq=%s R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - C:\WINDOWS\System32\iesp2.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{B7527BFF-AE9B-470B-A416-C6FBB8C839DB}: NameServer = 69.50.188.180,195.225.176.31 O17 - HKLM\System\CCS\Services\Tcpip\..\{D8B1A789-9CC0-4A01-9BFA-839B41B69AE0}: NameServer = 69.50.188.180,195.225.176.31 O17 - HKLM\System\CCS\Services\Tcpip\..\{FCCE8B9E-57C9-43AC-A656-702BEF918FCD}: NameServer = 69.50.188.180,195.225.176.31 neustarten KillBox http://www.bleepingcomputer.com/files/killbox.php <Delete File on Reboot und klick auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" Loesche mit der Killbox: C:\WINDOWS\System32\sprestrst.exe C:\WINDOWS\System32\hdmhq.dll C:\WINDOWS\System32\upncont.exe C:\WINDOWS\system32\msbsf.dll C:\WINDOWS\system32\rdspclips.exe C:\Windows\System32\run_dos.dll C:\WINDOWS\System32\msxmidi.exe C:\WINDOWS\System32\nbtrstat.exe C:\WINDOWS\System32\update.exe C:\WINDOWS\System32\upncont.exe C:\WINDOWS\System32\hdbvz.dll C:\WINDOWS\System32\hdzow.dll C:\WINDOWS\System32\iesp1.dll C:\WINDOWS\Ole32ws.dll C:\WINDOWS\system32\sethcd.exe C:\WINDOWS\System32\iesp2.dll C:\WINDOWS\System32\hdxeh.dll C:\WINDOWS\System32\smbdins.exe C:\WINDOWS\System32\sprestrst.exe C:\WINDOWS\System32\tsmsetup.exe C:\WINDOWS\System32\upncont.exe C:\WINDOWS\System32\wowdbe.exe PC neustarten 3) starte den rechner im abgesicherten modus. http://www.tu-berlin.de/www/software/virus/savemode.shtml 4) starte die datei rem.bat, scannen lassen. Scanne mit dem eScan (Fullscann) 5) starte den rechner anschließend im normalen modus. #ClaerProg..lade die neuste Version <1.4.1 http://www.clearprog.de/downloads.php <und saeubere den Browser. Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera: - Cookies - Verlauf - Temporäre Internetfiles (Cache) #neue Startseite gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein 6)Die remv3.bat hat die Datei C:\log.txt angelegt. Den Inhalt hier posten. 7) markiere den inhalt und füge ihn hier ein. erstelle ein aktuelles HijackThis log und poste es mit der log.txt von rem. __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 09.02.2005 um 19:51 Uhr von Sabina editiert.
|
|
|
||
09.02.2005, 20:03
...neu hier
Beiträge: 10 |
#365
HI SABINA
Gesagt - getan Hier die Logs: Hijack: Logfile of HijackThis v1.99.0 Scan saved at 20:01:42, on 09.02.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\userinit.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\CTsvcCDA.exe C:\WINDOWS\System32\locator.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe C:\WINDOWS\System32\CTHELPER.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\QuickTime\qttask.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Softwin\BitDefender Free Edition\bdmcon.exe C:\Dokumente und Einstellungen\Nicco\Desktop\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [BDMCon] C:\Programme\Softwin\BitDefender Free Edition\\bdmcon.exe O4 - HKLM\..\Run: [BDNewsAgent] C:\Programme\Softwin\BitDefender Free Edition\\bdnagent.exe O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Programme\eScan\LAUNCH.EXE" O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: BitDefender Scan Server - Unknown - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe O23 - Service: BitDefender Communicator - Softwin - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe Und von remv3.bat scan: Files Found................. ---------------------------------------- Files Not deleted................. ---------------------------------------- Merging registry entries ----------------------------------------------------------------- The Registry Entries Found... ----------------------------------------------------------------- Other bad files to be Manually deleted.. Please note that this might also list legit Files, be careful while deleting ----------------------------------------------------------------- msi.dll Finished Grüße Sanji Argh du hast editiert. ClearProg hab ich gemacht. eScan hab ich ned laufen lassen. Soll ich denn nochmal drüberjagen ?? Aja und ich hab den Firefox drauf. Grüße Sanji Dieser Beitrag wurde am 09.02.2005 um 20:07 Uhr von Sanji editiert.
|
|
|
||
10.02.2005, 07:05
...neu hier
Beiträge: 4 |
#366
Guten Morgen Sabina,
ich weiß, daß es besser wäre, wenn ich auf unserem Rechner, den IE 5.5 durch Version 6 oder durch einen anderen Browser (wie beispielsweise Firefox) ersetzen sollte. Aber : - Ich hatte schon einmal den IE 6 drauf (vorherrige Installation) und der Rechner war viel langsamer als mit IE 5.5. Microsoft antwortete auf meine Email, daß es ihnen bekannt ist, daß IE6 den Win98-Rechner wesentlich verlangsamen kann. - Und ich habe schon seit lange den Firefox auf dem Rechner. Doch der Firefox macht regelmässig Probleme, die ich mit dem IE 5 nicht habe. Anscheinend sind mittlerweile solche Probleme (mit Win 98) bei Mozilla bekannt (ich hab denen eine Email geschrieben, und sie haben mir geantwortet, daß sie es wissen, daß Firefox unter Win98 mit dsl nicht sehr gut funktioniert u. Probleme macht - aber die Leuten bei Mozilla arbeiten daran - so deren Antwort). Desshalb : - Für unseren Rechner, lieber nicht den IE6 o. Firefox. - Sogar ein ehemaliger Bekannte von mir, der bei Microsoft arbeitet, hat mir damals empfohlen, bei unserer Konfiguration (Win98, 128Mb, dsl), nicht den IE6 zu installieren. Ich danke Dir trotzdem recht herzlich für den Tipp. Ist lieb gemeint von Dir. mvg, SlowLife. |
|
|
||
18.02.2005, 15:13
...neu hier
Beiträge: 2 |
#367
Nach viel hin und her hab ich den mist runterbekommen... und so gehts:
Anti serarch for: Entschuldigt, dass ich in diesem Berichtnicht in jedes Detail eingehe, aber ich habe keine Lust jede Kleinigkeit zu erklären. Wenn ihr etwas nicht verstehen solltet, können das mit Sicherheit die meisten hier im Board erklären. Man benötigt die Programme hijackThis, ad-aware und eine Startdiskette oder etwas ähnliches um Dateien außerhalb von Windows zu bearbeiten. Die Programme lassen sich alle über googel kostenlos finden. Installiert die programme -möglichst in der neuesten version- und vergesst nicht, die Datenbank von ad-aware zu updaten. Das solltet ihr alles bevor ihr anfangt machen, da man die folgenden Schritte möglichst rasch hintereinander machen sollte. Zuerst benutzt ihr nun hijackThis und fixt damit die folgenden Einträge. R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\TEMP\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\WINDOWS\TEMP\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\WINDOWS\TEMP\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\TEMP\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\WINDOWS\TEMP\sp.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\WINDOWS\TEMP\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {B18E08E5-C136-11D8-8846-D2F53E942C73} - C:\WINDOWS\SYSTEM\ALDOC.DLL Es kann sein, dass nicht alle Einträge genauso aussehen, aber wenn alles bis zum "=" damit übereinstimmt, dann werden diese gefixt (Hacken dran machen). Außerdem kann es sein, dass die Datei nicht sp.html heißt sondern anders. das macht nichts. jedenfalls solltet ihr alle einträge bei hijackthis nocheinmal durchsehen, ob die gleiche Datei wie in den oberen Einträgen sonst noch irgendwo vorkommt und alle jene Einträge ebenfalls fixen. Statt der aldoc.dll kann dort auch se.dll stehen oder -wie ich vermute- auch noch andere Namen (Ich glaube der Name dieser .dll wird zufällig generiert). Die Datei die an dieser Stelle steht, in jedem fall merken und alle Verweise die darauf zeigen fixen (also an alle genannten Einträge nen hacken machen). Das Problem ist, dass die .dll Datei nicht immer die gleiche ist. Deshal ist es schwer eine 100% genaue Anleitung zu schreiben. Ich nenne sie im Folgenden weiter se.dll da sie bei mir so hieß. Wenn von dieser Datei die rede ist, kann es also sein, dass ihr nach dem Namen der Datei suche müsst der bei euch im entsprechenden Eintrag steht (also bei "O2 - BHO: (no name) - {B18E08E5-C136-11D8-8846-D2F53E942C73} - C:\WINDOWS\SYSTEM\???.dll" geht es bei euch nicht um se.dll sondern um ???.dll) Danach solltet ihr ad-aware einen gründlichen Scan machen lassen. Während der läuft kann man schonmal unter Systemsteuerung/Internetoptionen die Cookies löschen und danach auf "Dateien löschen" klicken und nicht vergessen dabei den Hacken "Offlineinhalte löschen" zu setzen. So nun ist euer System fast sauber. Allerdings ist euch vielleicht aufgefallen, dass ein Eintrag bei hijackthis sich zwar löschen lässt, jedoch taucht er sofort wieder auf. Wenn der drin bleibt habt ihr nach ein paar Stunden die Platte wieder voll mit dem Mist. Nun geht in die Registry in den Ordner "HKEY_LOCAL_MASCHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RUN". Hier gibt es einige Einträge. Normal sind der KernelFaultCheck oder z.B. SunJavaUpdateSched, oder sonstige Einträge von Programmen die ihr installiert habt. Jetzt seht rechts zu den Werten. Wenn einer dieser Werte auf die "se.dll" zeigt versucht diesen zu löschen. Wie ihr seht taucht er nach dem Aktualisueren sofort wieder auf. Nun sucht die Datei se.dll und merkt euch wo sie liegt. Es könnte die Datei an mehreren verschiedenen Orten geben, allso alle Pfade merken! Löschen könnt ihr sie unter windows nicht. Geht in den dos-modus oder in sonst irgendein Betriebssystem das nicht Windows ist (also die Console in Windows xp bring also rein gatnichts!) und löscht die Datei überall wo sie auftaucht. Jetzt fahrt Windows wieder hoch. Vermutlich kommt eine Meldung wie "Fehler beim öffnen von se.dll": DAS IST GUT! Jetzt löscht ihr noch den oben erwähnten regestry-eintrag von Hand oder wahlweise mit hijackthis. Diesmal wir er nicht wieder auftauchen! Nun ist euer System ist sauber. Zur Sicherheit solltet ihr nochmal ad-adware drüber laufen lassen und dann sollte es das gewesen sein. Viel Erfolg wünsche ich! Mich hat der misst fast einen ganzen Arbeitstag gekostet. |
|
|
||
18.02.2005, 15:20
Ehrenmitglied
Beiträge: 29434 |
#368
Warum nicht so?
Das Problem mit dieser sp.dll ist, dass sie zwar der Verursacher aber nicht der Auslöser ist. Kein einziges mir bekanntes Programm kann dieses erkennen... es gibt zwar ein paar Programme (wie Norton), die die sp.dll als schädlich erkennen, aber sie können sie nur reparieren bzw. löschen... dies bringt aber nichts, denn sie wird einfach wieder neu erzeugt. Hier nun die Lösung (für die meisten Formen der sp.dll): Start --> Run und 'Regedit' eingeben... dann zu: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\SearchAssistant Uninstall Hier findet sich ein Eintrag: UninstallString "regsvr32 /s /u C:\WINDOWS\SYSTEM\....DLL Den Namen dieser *.dll notieren! Da diese Datei aber noch von Windows benutzt wird kann man sie noch nicht löschen und muss daher erst durch die Suchfunktion alle Einträge für diese *.dll in der Registry löschen! neustarten und die *.dll loeschen + sp.dll __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 18.02.2005 um 15:21 Uhr von Sabina editiert.
|
|
|
||
21.02.2005, 13:12
...neu hier
Beiträge: 1 |
#369
Hallo!
Ich habe auch das selbe Problem und weiß nicht, wie ich es lösen kann. Wer kann mir helfen? meine Logfiles: Logfile of HijackThis v1.99.1 Scan saved at 12:59:57, on 21.02.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe G:\Programme\antivir_neu\AVGUARD.EXE G:\Programme\antivir_neu\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\WINDOWS\system32\soft.exe C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe G:\Programme\Musicmatch\mm_tray.exe C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb03.exe C:\WINDOWS\Mixer.exe C:\Programme\Gemeinsame Dateien\ACD Systems\EN\DevDetect.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe G:\Programme\antivir_neu\AVGNT.EXE C:\Programme\QuickTime\qttask.exe C:\WINDOWS\system32\javaoa.exe C:\WINDOWS\isrvs\desktop.exe C:\windows\system32\anlnzp.exe C:\WINDOWS\System32\rundll32.exe C:\Programme\Messenger\msmsgs.exe G:\Programme\Common\bin\WinCinemaMgr.exe G:\Programme\Photoprogramme\Photoloader\Plauto.exe G:\Programme\ICQ\ICQ.exe C:\windows\system32\packager.exe C:\WINDOWS\explorer.exe G:\Programme\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\efolz.dll/sp.html#12345 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\efolz.dll/sp.html#12345 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\efolz.dll/sp.html#12345 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\efolz.dll/sp.html#12345 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\efolz.dll/sp.html#12345 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\efolz.dll/sp.html#12345 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\efolz.dll/sp.html#12345 R3 - Default URLSearchHook is missing F3 - REG:win.ini: run=C:\WINDOWS\System32\soft.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Programme\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {27931773-97FE-8F82-A25B-070C522B3CF0} - C:\WINDOWS\atlsi32.dll O2 - BHO: IE Update Class - {5B4AB8E2-6DC5-477A-B637-BF3C1A2E5993} - C:\WINDOWS\isrvs\sysupd.dll O2 - BHO: (no name) - {81DAA396-DB61-485A-8CD4-9C5153C3E858} - C:\WINDOWS\System32\lbhm.dll O2 - BHO: (no name) - {B75F75B8-93F3-429D-FF34-660B206D897A} - C:\WINDOWS\System32\boln.dll O2 - BHO: BHO Class - {F6053709-5723-454E-AB9D-7FC7E681AFA5} - C:\WINDOWS\System32\WinTitle.dll O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe O4 - HKLM\..\Run: [MMTray] G:\Programme\Musicmatch\mm_tray.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb03.exe O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [Device Detector] "C:\Programme\Gemeinsame Dateien\ACD Systems\EN\DevDetect.exe" -autorun O4 - HKLM\..\Run: [Mirabilis ICQ] G:\Programme\ICQ\ICQNet.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [AVGCtrl] G:\Programme\antivir_neu\AVGNT.EXE /min O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [javaoa.exe] C:\WINDOWS\system32\javaoa.exe O4 - HKLM\..\Run: [Web Service] C:\WINDOWS\System32\sm.exe O4 - HKLM\..\Run: [Desktop Search] C:\WINDOWS\isrvs\desktop.exe O4 - HKLM\..\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exe O4 - HKLM\..\Run: [Systems Restart] Rundll32.exe boln.dll, DllRegisterServer O4 - HKLM\..\Run: [anlnzp] c:\windows\system32\anlnzp.exe O4 - HKLM\..\Run: [sp] rundll32 C:\DOKUME~1\Denis\LOKALE~1\Temp\se.dll,DllInstall O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Web Service] C:\WINDOWS\System32\sm.exe O4 - HKCU\..\RunOnce: [ICQ] G:\Programme\ICQ\ICQ.exe -trayboot O4 - Global Startup: InterVideo WinCinema Manager.lnk = G:\Programme\Common\bin\WinCinemaMgr.exe O4 - Global Startup: Photo Loader resident.lnk = G:\Programme\Photoprogramme\Photoloader\Plauto.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://G:\PROGRA~1\OFFICE~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - G:\Programme\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - G:\Programme\ICQ\ICQ.exe O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - G:\PROGRA~1\OFFICE~1\OFFICE11\REFIEBAR.DLL O15 - Trusted Zone: *.05p.com O15 - Trusted Zone: *.addictivetechnologies.com O15 - Trusted Zone: *.admin2cash.biz O15 - Trusted Zone: *.awmdabest.com O15 - Trusted Zone: *.bettersearch.biz O15 - Trusted Zone: *.c4tdownload.com O15 - Trusted Zone: *.crazywinnings.com O15 - Trusted Zone: *.finefind.nettraffic2cash.biz O15 - Trusted Zone: *.iframe.biz O15 - Trusted Zone: *.megapornix.com O15 - Trusted Zone: *.newiframe.biz O15 - Trusted Zone: *.overpro.com O15 - Trusted Zone: *.pizdato.biz O15 - Trusted Zone: *.private-dialer.biz O15 - Trusted Zone: *.private-iframe.biz O15 - Trusted Zone: *.scoobidoo.com O15 - Trusted Zone: *.searchmiracle.com O15 - Trusted Zone: *.sp2admin.biz O15 - Trusted Zone: *.sp2F***.biz O15 - Trusted Zone: *.windupdates.com O15 - Trusted Zone: *.ysbweb.com O15 - Trusted Zone: *.05p.com (HKLM) O15 - Trusted Zone: *.awmdabest.com (HKLM) O15 - Trusted Zone: *.scoobidoo.com (HKLM) O15 - Trusted Zone: *.searchmiracle.com (HKLM) O15 - Trusted IP range: 206.161.125.149 O15 - Trusted IP range: 206.161.125.149 (HKLM) O16 - DPF: v3cab - http://searchmiracle.com/cab/1.cab O16 - DPF: {11111111-1111-1111-1111-111191113457} - file://c:\ied_s7.cab O16 - DPF: {11111111-1111-1111-1111-511111193457} - file://c:\x.cab O16 - DPF: {11111111-1111-1111-1111-511111193458} - file://c:\x.cab O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab O18 - Filter: text/html - {950238FB-C706-4791-8674-4D429F85897E} - (no file) O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - G:\Programme\antivir_neu\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - G:\Programme\antivir_neu\AVWUPSRV.EXE O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe O23 - Service: Workstation NetLogon Service (?%AF夶À¨) - Unknown owner - C:\WINDOWS\javaqb.exe" /s (file missing) vielen Dank im voraus, Denis |
|
|
||
21.02.2005, 15:14
Ehrenmitglied
Beiträge: 29434 |
#370
Hallo@Denis19
Der PC ist dermassen verseucht, dass ich dir nur zu einer Neu-Formatierung raten kann und dass du danach nur noch mit dem Firefox surfst. __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 21.02.2005 um 15:14 Uhr von Sabina editiert.
|
|
|
||
22.02.2005, 08:00
...neu hier
Beiträge: 4 |
#371
Hallo Sabina,
finde es super das Du so vielen Leuten schon geholfen hast! Ich hatte auch das Problem mit der "Search for.."-Seite, habe in anderen Foren gelesen das ich CW Shredder und dieses sp drüber laufen lassen soll! Habe ich getan, die seite ist auch weg aber wenn ich am surfen bin oder meine Mails abrufe kommt immer so ein Fenster das mein PC verseucht ist! Hat das noch immer was damit zu tun? Kannst Du mal bitte über mein Log-File schauen ob Du da was siehst?! Logfile of HijackThis v1.99.1 Scan saved at 07:57:41, on 22.02.05 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\STARTER.EXE C:\PROGRAMME\TYPHOON\TYPHOON UNPLUGGED MOUSE\1.0\LWBWHEEL.EXE C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE C:\WINDOWS\RUNDLL32.EXE C:\PROGRAMME\SPYBOT - SEARCH & DESTROY\TEATIMER.EXE C:\PROGRAMME\FINEPIXVIEWER\QUICKDCF.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\PROGRAMME\WINZIP\WINZIP32.EXE C:\WINDOWS\TEMP\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von Anni und Andy O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:\PROGRAMME\FLASHGET\JCCATCH.DLL O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\WINDOWS\DOWNLOADED PROGRAM FILES\CONFLICT.1\YCOMP5_3_18_0.DLL O2 - BHO: (no name) - {5A910AC1-8408-11D9-99E1-4445102571CB} - (no file) O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\PROGRAMME\FLASHGET\FGIEBAR.DLL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: Yahoo! Assistent - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\WINDOWS\DOWNLOADED PROGRAM FILES\CONFLICT.1\YCOMP5_3_18_0.DLL O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Typhoon\Typhoon Unplugged Mouse\1.0\lwbwheel.exe O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN O4 - HKLM\..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\PROGRAMME\SPYBOT - SEARCH & DESTROY\TeaTimer.exe O4 - Startup: Exif Launcher.lnk = C:\Programme\FinePixViewer\QuickDCF.exe O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: Mit FlashGet laden - D:\PROGRAMME\FLASHGET\jc_link.htm O8 - Extra context menu item: Alles mit FlashGet laden - D:\PROGRAMME\FLASHGET\jc_all.htm O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html O8 - Extra context menu item: Ähnliche Seiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html O8 - Extra context menu item: Verweisseiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRAMME\FLASHGET\FLASHGET.EXE O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRAMME\FLASHGET\FLASHGET.EXE O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de/e60/ O16 - DPF: {94C53FB6-01B7-4BA7-848B-E43D11B84F5F} (WEB.DE IE Drop-Upload) - http://labor.fotoservice.web.de/static/download/WDU_1251.cab O16 - DPF: {8629CFEB-C31A-4429-9BB0-8765A8A24FDA} (MaxisUnleashedLotTeleX Control) - http://thesims.ea.com/teleport/unleashed/LOT/MaxisUnleashedLotTeleX.cab O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (Yahoo! Assistent) - http://us.dl1.yimg.com/download.companion.yahoo.com/dl/toolbar/yiebiof5_3_18_0.cab O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/yinst0401.cab Danke im voraus, Andy |
|
|
||
22.02.2005, 10:38
Ehrenmitglied
Beiträge: 29434 |
#372
Hallo@Andy25
#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\WINDOWS\DOWNLOADED PROGRAM FILES\CONFLICT.1\YCOMP5_3_18_0.DLL O2 - BHO: (no name) - {5A910AC1-8408-11D9-99E1-4445102571CB} - (no file) O3 - Toolbar: Yahoo! Assistent - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\WINDOWS\DOWNLOADED PROGRAM FILES\CONFLICT.1\YCOMP5_3_18_0.DLL O4 - HKLM\..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (Yahoo! Assistent) - http://us.dl1.yimg.com/download.companion.yahoo.com/dl/toolbar/yiebiof5_3_18_0.cab O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/yinst0401.cab PC neustarten Das Problem mit dieser sp.dll ist, dass sie zwar der Verursacher aber nicht der Auslöser ist. Kein einziges mir bekanntes Programm kann dieses erkennen... es gibt zwar ein paar Programme (wie Norton), die die sp.dll als schädlich erkennen, aber sie können sie nur reparieren bzw. löschen... dies bringt aber nichts, denn sie wird einfach wieder neu erzeugt. Hier nun die Lösung (für die meisten Formen der sp.dll): Gehe in die Registry HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\SearchAssistant Uninstall Hier findet sich ein Eintrag: UninstallString "regsvr32 /s /u C:\WINDOWS\SYSTEM\....DLL Den Namen dieser *.dll notieren! Da diese Datei aber noch von Windows benutzt wird kann man sie noch nicht löschen und muss daher erst durch die Suchfunktion alle Einträge für diese *.dll in der Registry löschen! Bearbeiten--> suchen schliesse die Registry Loesche: C:\WINDOWS\System32\*.dll C:\WINDOWS\TEMP\se.dll #ClaerProg..lade die neuste Version <1.4.1 http://www.clearprog.de/downloads.php <und saeubere den Browser. Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera: - Cookies - Verlauf - Temporäre Internetfiles (Cache) CWShredder 2.12 [2004-12-13] http://www.majorgeeks.com/download3019.html #backdoor.agent.b.removal.tool.(Symantec) http://securityresponse.symantec.com/avcenter/venc/data/backdoor.agent.b.removal.tool.html #Ad-aware SE Personal 1.05 Updated http://fileforum.betanews.com/detail/965718306/1 Laden--> Updaten-->scannen-->PC neustarten--> noch mal scannen--> poste das Log vom Scann #neue Startseite gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein + das neue Log vom HijackThis __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 22.02.2005 um 10:41 Uhr von Sabina editiert.
|
|
|
||
22.02.2005, 11:40
...neu hier
Beiträge: 4 |
#373
Danke für die schnelle Antwort!
Habe deine Schritte genau befolgt, leider lässt sich die se.dll aus dem temp-ordner nicht löschen. Im hijack und im temp ordner nicht! Was kann ich noch machen? wenn ich Backdoor und ad-aware laufen lasse schmiert der PC ab. er versucht noch ins netz zu gehen aber das fenster geht nicht mehr auf! Hier nochmal der Log-file: Logfile of HijackThis v1.99.1 Scan saved at 11:43:18, on 22.02.05 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\STARTER.EXE C:\PROGRAMME\TYPHOON\TYPHOON UNPLUGGED MOUSE\1.0\LWBWHEEL.EXE C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE C:\WINDOWS\RUNDLL32.EXE C:\PROGRAMME\FINEPIXVIEWER\QUICKDCF.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\WINDOWS\SYSTEM\PSTORES.EXE C:\WINDOWS\DESKTOP\SPY\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von Anni und Andy O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:\PROGRAMME\FLASHGET\JCCATCH.DLL O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\PROGRAMME\FLASHGET\FGIEBAR.DLL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Typhoon\Typhoon Unplugged Mouse\1.0\lwbwheel.exe O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN O4 - HKLM\..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\PROGRAMME\SPYBOT - SEARCH & DESTROY\TeaTimer.exe O4 - Startup: Exif Launcher.lnk = C:\Programme\FinePixViewer\QuickDCF.exe O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: Mit FlashGet laden - D:\PROGRAMME\FLASHGET\jc_link.htm O8 - Extra context menu item: Alles mit FlashGet laden - D:\PROGRAMME\FLASHGET\jc_all.htm O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html O8 - Extra context menu item: Ähnliche Seiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html O8 - Extra context menu item: Verweisseiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRAMME\FLASHGET\FLASHGET.EXE O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRAMME\FLASHGET\FLASHGET.EXE O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de/e60/ O16 - DPF: {94C53FB6-01B7-4BA7-848B-E43D11B84F5F} (WEB.DE IE Drop-Upload) - http://labor.fotoservice.web.de/static/download/WDU_1251.cab O16 - DPF: {8629CFEB-C31A-4429-9BB0-8765A8A24FDA} (MaxisUnleashedLotTeleX Control) - http://thesims.ea.com/teleport/unleashed/LOT/MaxisUnleashedLotTeleX.cab Danke, Andy Dieser Beitrag wurde am 22.02.2005 um 11:43 Uhr von Andy25 editiert.
|
|
|
||
22.02.2005, 17:24
Ehrenmitglied
Beiträge: 29434 |
#374
Andy25
Gehe in die Registry 1.Schritt: Bearbeiten-->suchen-->SE.DLL loesche alle Eintraege, die du findest 2.Schritt: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\SearchAssistant Uninstall Hier findet sich ein Eintrag: UninstallString "regsvr32 /s /u C:\WINDOWS\SYSTEM\....DLL Den Namen dieser *.dll notieren! Da diese Datei aber noch von Windows benutzt wird kann man sie noch nicht löschen und muss daher erst durch die Suchfunktion alle Einträge für diese *.dll in der Registry löschen! ------------------------------------------------------------------------------------ Starte neu..in den abgsicherten Modus Windows 98, Windows ME Schalten Sie den PC ein, drücken Sie nach max. 2 Sekunden die Taste [Strg] und halten Sie sie gedrückt, bis das Start-Menü erscheint. Weiter... Hinweis: Sie können durch Drücken der Taste [F5] nach Abschluss der BIOS-Meldungen auch direkt den Abgesicherten Modus starten (ohne Umweg über das Start-Menü). und loesche dort C:\WINDOWS\TEMP\SE.DLL und *.dll dann poste das neue Log vom HijackThis (mit dem IE) ____________________________________________________________________ #Alternativbrowser zum IE Firefox http://www.mozilla-europe.org/de/ Installation+Konfiguration Firefox http://www.pcwelt.de/know-how/software/103924/index1.html __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 22.02.2005 um 17:26 Uhr von Sabina editiert.
|
|
|
||
22.02.2005, 17:51
...neu hier
Beiträge: 4 |
#375
Hi, ich wieder!
Also bin deinen Anweisungen genau befolgt. Als ich nach dem abgesichertem modus normel gebootet habe sagte er das rundll "se.dll" nicht finden konnte. habe mit hijack gescant und da war der Eintrag "O4 - HKLM\..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall" immer noch da. den habe ich jetzt nochmal gefixt und nun "isser wech"! Und hier mein aktueller Log-File: Logfile of HijackThis v1.99.1 Scan saved at 17:49:30, on 22.02.05 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\STARTER.EXE C:\PROGRAMME\TYPHOON\TYPHOON UNPLUGGED MOUSE\1.0\LWBWHEEL.EXE C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE C:\PROGRAMME\FINEPIXVIEWER\QUICKDCF.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\WINDOWS\NOTEPAD.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\WINDOWS\SYSTEM\PSTORES.EXE C:\WINDOWS\DESKTOP\SPY\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von Anni und Andy O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:\PROGRAMME\FLASHGET\JCCATCH.DLL O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\PROGRAMME\FLASHGET\FGIEBAR.DLL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Typhoon\Typhoon Unplugged Mouse\1.0\lwbwheel.exe O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - Startup: Exif Launcher.lnk = C:\Programme\FinePixViewer\QuickDCF.exe O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: Mit FlashGet laden - D:\PROGRAMME\FLASHGET\jc_link.htm O8 - Extra context menu item: Alles mit FlashGet laden - D:\PROGRAMME\FLASHGET\jc_all.htm O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html O8 - Extra context menu item: Ähnliche Seiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html O8 - Extra context menu item: Verweisseiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRAMME\FLASHGET\FLASHGET.EXE O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRAMME\FLASHGET\FLASHGET.EXE O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de/e60/ O16 - DPF: {94C53FB6-01B7-4BA7-848B-E43D11B84F5F} (WEB.DE IE Drop-Upload) - http://labor.fotoservice.web.de/static/download/WDU_1251.cab O16 - DPF: {8629CFEB-C31A-4429-9BB0-8765A8A24FDA} (MaxisUnleashedLotTeleX Control) - http://thesims.ea.com/teleport/unleashed/LOT/MaxisUnleashedLotTeleX.cab Wie siehts aus? Grüße, Andy |
|
|
||
ich möchte mich sehr herzlich bei Dir bedanken !!!
Deine Lösungsansätze waren wirklich sehr hilfreich (keine Probleme mehr mit der lästigen StartSeite, und ich konnte sogar die DLLs und die Registry-Einträge löschen ! - wirklich super)
Besser noch : Unser Rechner funktioniert jetzt noch besser als davor !!!!!!!
Desshalb, nochmals recht herzlichen Dank für Deine Hilfe !
Es ist schön, daß es noch Menschen wie Dich gibt.
mvfg,
SlowLife.
---------------------------------------------------------------------------
P.S. :
Logfile of HijackThis v1.98.2
Scan saved at 11:28:52, on 09.02.05
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v5.50 SP1 (5.50.4522.1800)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\PROGRAMME\SYGATE\SPF\SMC.EXE
C:\WINDOWS\EXPLORER.EXE
C:\OPLIMIT\OCRAWARE.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\PDESK.EXE
C:\WINDOWS\STARTER.EXE
C:\T-ONLINE\BSW4\ISDN SPEEDMANAGER\TOMCAT.EXE
C:\OPLIMIT\OCRAWR32.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAMME\GRISOFT\AVG FREE\AVGCC.EXE
C:\PROGRAMME\GRISOFT\AVG FREE\AVGEMC.EXE
C:\PROGRAMME\GRISOFT\AVG FREE\AVGAMSVR.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OSA.EXE
C:\PROGRAMME\HP OFFICEJET SERIE 500\BIN\HPOSTART.EXE
C:\PROGRAMME\EUMEX 504PC USB\CAPICTRL.EXE
C:\WINDOWS\SYSTEM\WBEM\CIMOM.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\HP OFFICEJET SERIE 500\BIN\HPOJVDIX.EXE
C:\WINDOWS\SYSTEM\HPOMLCH.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\EIGENE DATEIEN\HIJACKTHIS.EXE
F1 - win.ini: load=C:\OPLIMIT\ocraware.exe
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.ExE
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Matrox PowerDesk] C:\WINDOWS\SYSTEM\PDesk.exe /Autolaunch
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [ISDN SpeedManager] "C:\T-ONLINE\BSW4\ISDN SPEEDMANAGER\TOMCAT.EXE"
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\SYGATE\SPF\SMC.EXE -startgui
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGCC.EXE /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGEMC.EXE
O4 - HKLM\..\Run: [AVG7_AMSVR] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGAMSVR.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SmcService] C:\PROGRAMME\SYGATE\SPF\SMC.EXE
O4 - Startup: Démarrage d'Office.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: HP OfficeJet Serie 500 - Start.lnk = C:\Programme\HP OfficeJet Serie 500\bin\HPOstart.exe
O4 - Startup: CAPI Control.lnk = C:\Programme\Eumex 504PC USB\Capictrl.exe