Die Beta 5 hatte keinen Erfolg unter XP.

Immer wenn ich eine Seite öffne, die der IE nicht auflösen kann kommt die Serach for und macht sich breit...

Was ich vorher getan habe...

IE Temp files löschen
IE Add-Ons ausschalten bzw. löschen, nur java und flash ist an.
cookies löschen
mit hijack this alles fixen
beta5 remover drüber laufen lassen
neu starten

z.b. nach www.qwert.com surfen und der search.for ist wieder da ?! :koch:

tja... :headbang:


ich vergass...ein dickes lob schonmal and die hier unermüdlich "seekende" community :heilig:

Neuer Ansatz : se.dll auf WinXP
 

So,

da hab ich festgestellt, das mein IE unter

extras/internetoptionen/erweitert/beim suchen...


die option : zur wahrscheinlichsten seite wechseln

aktiviert hatte. diese führt immer zu einer search for seite.

es muss also irgendwo einen key geben, der dahin verweist ?!


gruss


pure_y2k

Moin pure_y2k,

eine gleichlautende Meldung hatte ich gestern/vorgerstern schon einmal per Mail...
Nur für mich noch einmal zum Verständnis. Diese Umleitung tritt 'nur' noch dann auf, wenn eine Seite nicht gefunden wird?

Kannst Du evtl. mal selbst in der Registry suchen, ob Du noch einen Verweis auf 'search.for' findest?

Schau mal bitte nach, was bei Dir in diesem Key in der Registry eingetragen ist.


Nachtrag:
Es kann natürlich auch gut sein, dass Du noch einen weiteren Hijacker im System hast! Poste doch mal bitte ein aktuelles HijackThis-Log und ein Log von Startdreck. Aber wg. der Übersichtlichkeit bitte in einem neuen Thread. Danke!

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchUrl

"http://www.google.com/keyword/%s"


gruss



pure_y2k

:mad:

search.for ist wieder da


aus heiterem himmel ?!



gruss



pure_y2k

Das sieht sauber aus...

Kann es sich um eine erneute Infektion handeln? Bist Du auf 'dubiosen' Seiten gewesen, bzw. dort aufgrund bspw. einer Google-Suche hingeleitet worden?
U.U. kann so ein Link auch in einer Werbe-Mail (gerne Casino, Sex,...) gesteckt haben.

Was passiert, wenn Du das Tool noch einmal ausführst?

Hier ein Bericht:

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\JULIAS~1\LOKALE~1\Temp\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {A0A855D3-A4F5-456C-9638-2EB95E6F4F8A} - C:\WINDOWS\System32\obkp.dll (file missing)
O4 - HKLM\..\Run: [sp] rundll32 C:\DOKUME~1\JULIAS~1\LOKALE~1\Temp\se.dll,DllInstall
O18 - Filter: text/html - {C754C223-E3F8-4BBA-86D8-C3BC8304230F} - C:\WINDOWS\System32\obkp.dll
O18 - Filter: text/plain - {C754C223-E3F8-4BBA-86D8-C3BC8304230F} - C:\WINDOWS\System32\obkp.dll
:mad:

AdAware
CoolWebSearch Object Recognized!
Type : RegValue
Data :
Category : Malware
Comment : "HOMEOldSP"
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\internet explorer\main
Value : HOMEOldSP

Possible Browser Hijack attempt Object Recognized!
Type : RegValue
Data :
Category : Malware
Comment : "sp"
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\windows\currentversion\run
Value : sp

CoolWebSearch Object Recognized!
Type : Regkey
Data :
Category : Malware
Comment :
Rootkey : HKEY_CLASSES_ROOT
Object : protocols\filter\text/plain

CoolWebSearch Object Recognized!
Type : RegValue
Data :
Category : Malware
Comment :
Rootkey : HKEY_CLASSES_ROOT
Object : protocols\filter\text/plain
Value : CLSID

CoolWebSearch Object Recognized!
Type : Regkey
Data :
Category : Malware
Comment :
Rootkey : HKEY_CLASSES_ROOT
Object : protocols\filter\text/html

CoolWebSearch Object Recognized!
Type : RegValue
Data :
Category : Malware
Comment :
Rootkey : HKEY_CLASSES_ROOT
Object : protocols\filter\text/html
Value : CLSID

CoolWebSearch Object Recognized!
Type : Regkey
Data :
Category : Malware
Comment : CWS.About:Blank
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\windows\currentversion\uninstall\searchassistant uninstall

CoolWebSearch Object Recognized!
Type : RegValue
Data :
Category : Malware
Comment :
Rootkey : HKEY_CURRENT_USER
Object : software\microsoft\internet explorer\search
Value : SearchAssistant

CoolWebSearch Object Recognized!
Type : RegValue
Data :
Category : Malware
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\internet explorer\main
Value : Use Custom Search URL

CoolWebSearch Object Recognized!
Type : RegValue
Data :
Category : Malware
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\internet explorer\main
Value : Use Search Asst

CoolWebSearch Object Recognized!
Type : RegValue
Data :
Category : Malware
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\classes\protocols\filter\text/html
Value : CLSID

_______________________________________________________


REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "{C754C223-E3f8-4BBA-86D8-C3BC8304230F}" 24.02.2005 14:11:17

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C754C223-E3F8-4BBA-86D8-C3BC8304230F}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C754C223-E3F8-4BBA-86D8-C3BC8304230F}\InProcServer32]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter\text/html]
"CLSID"="{C754C223-E3F8-4BBA-86D8-C3BC8304230F}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter\text/plain]
"CLSID"="{C754C223-E3F8-4BBA-86D8-C3BC8304230F}"



ESCAN:
Sun Feb 20 12:02:48 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\SE.DLL.VIR

Sun Feb 20 12:02:48 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\SE.DLL.001

regsvr32 /u c:\system32\obkp.dll
wenn ich das reinkopiere zeigt er was an von datei nicht gefunden und die anderen dateien, die ich löschen soll, findet er auch nicht



AboutBuster
-- Scan 1 ---------------------------
About:Buster Version 4.0
Reference List : 23

ADS not scanned System(FAT)
Attempted Clean Of Temp folder.
Pages Reset... Done!

-- Scan 2 ---------------------------
About:Buster Version 4.0
Reference List : 23

ADS not scanned System(FAT)
Attempted Clean Of Temp folder.
Pages Reset... Done!

:mad:
C:\Dokumente und Einstellungen\JULIAS~1\Lokale Einstellungen\Temp\se.dll
In meinem Benutzerkonto finde ich sie, kann sie aber nicht löschen und im abgesicherten Modus ist sie nicht sichtbar.
________________________

StartDreck (build 2.1.7 public stable) - 2005-03-06 @ 14:07:13 (GMT +01:00)
Platform: Windows XP (Win NT 5.1.2600 Service Pack 1)
Internet Explorer: 6.0.2800.1106
Logged in as Julia Steinbusch at WILLOW

»Registry
»Run Keys
»Current User
»Run
*CTFMON.EXE=C:\WINDOWS\System32\ctfmon.exe
*MsnMsgr="C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
»RunOnce
»Default User
»Run
*CTFMON.EXE=C:\WINDOWS\System32\CTFMON.EXE
»RunOnce
»Local Machine
»Run
*nwiz=nwiz.exe /install
*CPLBTS88=C:\PROGRA~1\EzButton\CPLBTS88.EXE
*CeEKEY=C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
*Apoint=C:\Programme\Apoint2K\Apoint.exe
*TPNF=C:\Programme\TOSHIBA\TouchPad\TPTray.exe
*CeEPOWER=C:\Programme\TOSHIBA\Power Management\CePMTray.exe
*HPDJ Taskbar Utility=C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
*ezShieldProtector for Px=C:\WINDOWS\System32\ezSP_Px.exe
*Drag'n Drop CD=C:\Programme\Drag'n Drop CD\BinFiles\DragDrop.exe /StartUp
*IMJPMIG8.1="C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
*MSPY2002=C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC
*PHIME2002ASync=C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
*PHIME2002A=C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
*Share-to-Web Namespace Daemon=C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
*QuickTime Task="C:\Programme\QuickTime\qttask.exe" -atboottime
*sp=rundll32 C:\DOKUME~1\JULIAS~1\LOKALE~1\Temp\se.dll,DllInstall
*NvCplDaemon=RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
»RunOnce
»RunServices
»RunServicesOnce
»RunOnceEx
»RunServicesOnceEx
»Files
»System/Drivers
»Application specific


In der Dosbox kopiere bitte das
rundll32 C:\Dokumente und Einstellungen\Julia Steinbusch\Lokale Einstellungen\Temp\se.dll,DllUnregisterServer

Folgende Meldung kommt:
Fehler beim Laden von C:\Dokumente
Das angegebene Modul wurde nicht gefunden

:mad:


* DLLCompare Log version(1.0.0.127)
Files Found that Windows does not See or cannot Access
*Not everything listed here means you are infected!
________________________________________________

O^E says: "There were no files found Smile"
________________________________________________

1.388 items found: 1.388 files, 0 directories.
Total of file sizes: 256.641.548 bytes 244,75 M

Administrator Account = True

--------------------End log---------------------


:mad:

"Silent Runners.vbs", revision 32, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\System32\ctfmon.exe" [MS]
"MsnMsgr" = ""C:\Programme\MSN Messenger\MsnMsgr.Exe" /background" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"CPLBTS88" = "C:\PROGRA~1\EzButton\CPLBTS88.EXE" ["Dritek System Inc."]
"CeEKEY" = "C:\Programme\TOSHIBA\E-KEY\CeEKey.exe" ["COMPAL ELECTRONIC INC."]
"Apoint" = "C:\Programme\Apoint2K\Apoint.exe" ["Alps Electric Co., Ltd."]
"TPNF" = "C:\Programme\TOSHIBA\TouchPad\TPTray.exe" ["COMPAL ELECTRONIC INC."]
"CeEPOWER" = "C:\Programme\TOSHIBA\Power Management\CePMTray.exe" ["COMPAL ELECTRONIC INC."]
"Default" = (no data)
"HPDJ Taskbar Utility" = "C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe" ["HP"]
"ezShieldProtector for Px" = "C:\WINDOWS\System32\ezSP_Px.exe" ["Easy Systems Japan Ltd."]
"Drag'n Drop CD" = "C:\Programme\Drag'n Drop CD\BinFiles\DragDrop.exe /StartUp" [empty string]
"IMJPMIG8.1" = ""C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32" [MS]
"MSPY2002" = "C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC" [null data]
"PHIME2002ASync" = "C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC" [MS]
"PHIME2002A" = "C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName" [MS]
"Share-to-Web Namespace Daemon" = "C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe" ["Hewlett-Packard"]
"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
"sp" = "rundll32 C:\DOKUME~1\JULIAS~1\LOKALE~1\Temp\se.dll,DllInstall" [MS]
"NvCplDaemon" = "RUNDLL32.EXE NvQTwk,NvCplDaemon initialize" [MS]

HKLM\Software\Microsoft\Active Setup\Installed Components\
{306D6C21-C1B6-4629-986C-E59E1875B8AF}\(Default) = (no title provided)
\StubPath = ""C:\WINDOWS\System32\rundll32.exe" "C:\Programme\Messenger\msgsc.dll",ShowIconsUser" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx" [empty string]
{BDF3E430-B101-42AD-A544-FADC6B084872}\(Default) = "NAV Helper"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop-Explorer"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{9ED66769-A198-41FE-8615-601691C68846}" = "TouchPad Property Sheet"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\TPprop.dll" ["COMPAL ELECTRONIC INC."]
"{8FF43EAA-2BB1-4A53-8E18-D9221E56E593}" = "CePMTab Property Sheet"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\CePMTab.dll" ["Compal"]
"{e57ce731-33e8-4c51-8354-bb4de9d215d1}" = "Universelle Plug & Play-Geräte"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\upnpui.dll" [MS]
"{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\Audiodev.dll" [MS]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\Audiodev.dll" [MS]

HKLM\Software\Classes\PROTOCOLS\Filter\
INFECTION WARNING! text/html\CLSID = "{C754C223-E3F8-4BBA-86D8-C3BC8304230F}"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\obkp.dll" [file not found]
INFECTION WARNING! text/plain\CLSID = "{C754C223-E3F8-4BBA-86D8-C3BC8304230F}"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\obkp.dll" [file not found]

Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\ssmypics.scr" [MS]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir Update, AVWUpSrv, ""C:\Programme\AVPersonal\AVWUPSRV.EXE"" ["H+BEDV Datentechnik GmbH, Germany"]
Einfache TCP/IP-Dienste, SimpTcp, "C:\WINDOWS\System32\tcpsvcs.exe" [MS]
Fax, Fax, "C:\WINDOWS\system32\fxssvc.exe" [MS]
NVIDIA Driver Helper Service, NVSvc, "C:\WINDOWS\System32\nvsvc32.exe" ["NVIDIA Corporation"]
RIP-Überwachung, Iprip, "C:\WINDOWS\System32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\iprip.dll" [MS]}
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\System32\wdfmgr.exe" [MS]

Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 04, 07 - 18
%SystemRoot%\system32\rsvpsp.dll [MS], 05 - 06

This report excludes default entries except where indicated.
To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.

:mad:

Onlinescann mit Panda
Incident Status Location

Spyware:Spyware/Cydoor No disinfected Windows Registry
Adware:Adware/MyWay No disinfected C:\Programme\MyWay
Adware:Adware/Twain-Tech No disinfected C:\WINDOWS\smdat32a.sys
Spyware:Spyware/Altnet No disinfected C:\WINDOWS\Temp\Adware
Adware:Adware/MyCustomIE No disinfected Windows Registry

:mad:

Stand;

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O4 - HKLM\..\Run: [sp] rundll32 C:\DOKUME~1\JULIAS~1\LOKALE~1\Temp\se.dll,DllInstall
O18 - Filter: text/html - {C754C223-E3F8-4BBA-86D8-C3BC8304230F} - (no file)
O18 - Filter: text/plain - {C754C223-E3F8-4BBA-86D8-C3BC8304230F} - (no file)

:mad:

SpSeHjfix

Die SpSeHjfix Datei kann ich nicht anzeigen, sie ist bschädigt. Aber es wurde nichts gefunden

:mad:

Der Cleaner funktioniert auch nur, wenn die entsprechenden Dateien und Eintraeg vorhanden sind. Sprich der Cleaner muss bei so einer "Infektion" als erstes gestartet werden, bevor man irgendwelche anderen Programme etwas loeschen oder man selber etwas aendert.

Unter Winxp/2000 scheint es diese Datei, die bei Win9x/me, im Startdrecklog auftaucht nicht zu geben.

ich hab mich mal im Net umgetan:

RunServicesOnce
**cb=rundll32 C:\WINDOWS\WAZD.BMP,DllGetClassObject

RunServicesOnce
**qmmb=rundll32 C:\WINDOWS\RAYAEO.BMP,DllGetClassObject

RunServicesOnce
**p=rundll32 C:\WINDOWS\BUBBLSS.BMP,DllGetClassObject

»RunServicesOnce
**jxg=rundll32 D:\WINDOWS\LUINSTAYL.LOG,DllGetClassObject

________________________________________________________

1. Click on Start, then Run and type msinfo32 and press the OK button.
2. Expand the Software Environment section.
3. Expand the System Hooks Section.
4. Look for the which may be listed As:

-Hook type: Window Procedure
-Hooked by: XXXXX.dll
-Application: RUNDLL32.EXE
-Dll path: C:\WINDOWS\SYSTEM\XXXXX.dll
-Application path: C:\WINDOWS\RUNDLL32.EXE

Where XXXXX..dll is the file name.

Here is the information you requested in STEP 1:
Hook type: Windows Procedure
Hooked by: bubblss.bmp
Application: RUNDLL32.EXE
DLL path: C:\WINDOWS\bubblss.bmp
Application path: C:\WINDOWS\RUNDLL32.EXE

»RunServicesOnce
**p=rundll32 C:\WINDOWS\BUBBLSS.BMP,DllGetClassObject

http://www.thetechguide.com/forum/in...howtopic=14183

Ja, der Dateiname aendert sich immer. Es ist immer einem Dateinamen im Verzeichniss aehnlich. Der zweitletzte Buchstabe im Dateinamen ist anders.

Also wird es hier:

C:\WINDOWS\bubblss.bmp eine Datei im selben Verzeichniss geben, die C:\WINDOWS\bubbles.bmp heisst

und hier D:\WINDOWS\LUINSTAYL.LOG eine Datei mit Namen
D:\WINDOWS\LUINSTALL.LOG.

Das hilft einem zwar nichts, ist aber interessant. :)

Der Cleaner in Version Beta6 sollte jetzt auch bei "Vorreinigung" besser funktionieren. Ich denke Lutz wird die Version nachher noch auf seinem Server aktualisieren.

Ja, wird er... :)

Link zur Beta6 entfernt, da weiter unten die aktuelle Beta7 verlinkt ist...
(Bitte nur noch diese Version verwenden. Die alte Version wird gleich auf dem Server verschwinden. Wer an anderer Stelle einen Deep-Link gemacht hat, hat dann zwar Pech, aber ich werde immer nur die jeweils aktuellste Version vorhalten!)

Wie raman schon sagte, funktioniert der Cleaner jetzt auch, wenn manuell schon die eine oder andere Datei manuell entfernt wurde, außerdem werden jetzt auch die about.blank-Einträge entfernt.

Gibt es bei mir noch Hoffnung?


Ich habe momentan das selbe Problem und habe mal diese Logfile auf meiner Hompage abgelegt. Ist sicher eine Herrausforderung.
Ich würde ja auch einfach die Festplatte formatieren und dann wäre es wohl erledigt.Aber ich habe einfach zu viele Daten für die ich ewig brauchen würde,die wieder neu einzugeben.Deshalb würde ich es gern vermeiden.
Andererseits habe ich auch keine Ahnung wie ich das Problem lösen soll.Um so mehr ich hier lese umso unüberwindbarer scheint mir alles zu sein.
Hier mal die Log Dateien.Ist aber ne Menge :crazy:

www.hobbyfliegerei.de/MWAV.LOG

Hmm... ist aber komisch.wenn man es anklickt.ladet es sich runter.
Keine Ahnung

Jetzt natuerlich auch auf Trojaner-Info. Vielen Dank an alle Leute, die mal wieder an diesem hervorragenden Tool mitgewirkt haben.

Auch in der alten Version konnten sich die User nicht taeuschen, denn es waren immerhin nur ueber unsere Seite 187.595 Downloads.
Sollte also so auf Platz drei oder vier unserer "All Time Download - Hits" rangieren.


Gruss Eisi ;-)

moin moin,

ich habe am montag den spy virus se.dell...... eingefangen, nach vielen suchen und vergeblichen loeschen bin ich im internet auf die seite hier gestossen und habe mich erstmal totgelesen........ :heilig: , mit dem programm hijackthis konnte ich alles fixen :kloppen: und mit regcleaner :sword2: alles bereinigen. :huepp:
natuerlich hab ich den ie direkt aufs alte eisen gelegt (mit hijackthis) und habe mir den firefox geladen :party:, konnte einer nach dem hier neuen programm den ie wieder nutzen???

Danke und Gruss

Hier ein Bericht vom neuen Tool: SPSeHjFix (wobei dazu gesagt werden muss, dass die se.dll nur ein Virus von vielen ist.....darauf moechte ich hier nicht eingehen...

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\dzdcp.dll/sp.html#24098
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\dzdcp.dll/sp.html#24098
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\dzdcp.dll/sp.html#24098
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\dzdcp.dll/sp.html#24098
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\dzdcp.dll/sp.html#24098
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\dzdcp.dll/sp.html#24098
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\dzdcp.dll/sp.html#24098
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {426F7571-0EFF-31B0-5A55-AB0647B91F4F} - C:\WINDOWS\d3jt.dll
O4 - HKLM\..\Run: [sp] rundll32 C:\DOKUME~1\Besitzer\LOKALE~1\Temp\se.dll,DllInstall

SPSeHjFix.log:

10.03.2005 10:07:40 SPSeHjFix started v1.06
10.03.2005 10:07:40 OS: 7
10.03.2005 10:07:40 Bad-Dll(IEP): faukw.dll
10.03.2005 10:07:40 UBF: 4
10.03.2005 10:07:40 UBB: 0
10.03.2005 10:07:40 UBR: 23
10.03.2005 10:07:40 Bad IE-pages found:
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Search Bar: res://C:\WINDOWS\faukw.dll/sp.html#24098
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Search Page: res://C:\WINDOWS\faukw.dll/sp.html#24098
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank
deleted: HKCU\Software\Microsoft\Internet Explorer\Search, SearchAssistant: res://C:\WINDOWS\faukw.dll/sp.html#24098
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Bar: res://C:\WINDOWS\faukw.dll/sp.html#24098
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Page: res://C:\WINDOWS\faukw.dll/sp.html#24098
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Default_Page_URL: about:blank
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Default_Search_URL: res://C:\WINDOWS\faukw.dll/sp.html#24098
deleted: HKLM\Software\Microsoft\Internet Explorer\Search, SearchAssistant: res://C:\WINDOWS\faukw.dll/sp.html#24098
10.03.2005 10:07:40 No Files to delete. End without Reboot
10.03.2005 10:08:11 SPSeHjFix started v1.06
10.03.2005 10:08:11 OS: 7
10.03.2005 10:08:11 Bad-Dll(IEP): faukw.dll
10.03.2005 10:08:11 UBF: 4
10.03.2005 10:08:11 UBB: 0
10.03.2005 10:08:11 UBR: 23
10.03.2005 10:08:11 Bad IE-pages found:
10.03.2005 10:08:11 No Files to delete. End without Reboot
10.03.2005 10:08:13 SPSeHjFix started v1.06
10.03.2005 10:08:13 OS: 7
10.03.2005 10:08:13 Bad-Dll(IEP): faukw.dll
10.03.2005 10:08:13 UBF: 4
10.03.2005 10:08:13 UBB: 0
10.03.2005 10:08:13 UBR: 23
10.03.2005 10:08:13 Bad IE-pages found:
10.03.2005 10:08:13 No Files to delete. End without Reboot
10.03.2005 10:08:13 SPSeHjFix started v1.06
10.03.2005 10:08:13 OS: 7
10.03.2005 10:08:13 Bad-Dll(IEP): faukw.dll
10.03.2005 10:08:13 UBF: 4
10.03.2005 10:08:13 UBB: 0
10.03.2005 10:08:13 UBR: 23
10.03.2005 10:08:13 Bad IE-pages found:
10.03.2005 10:08:13 No Files to delete. End without Reboot
10.03.2005 10:10:29 SPSeHjFix started v1.06
10.03.2005 10:10:29 OS: 7
10.03.2005 10:10:29 Bad-Dll(IEP): faukw.dll
10.03.2005 10:10:29 UBF: 4
10.03.2005 10:10:29 UBB: 0
10.03.2005 10:10:29 UBR: 23
10.03.2005 10:10:29 Bad IE-pages found:
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Search Bar: res://C:\WINDOWS\faukw.dll/sp.html#24098
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Search Page: res://C:\WINDOWS\faukw.dll/sp.html#24098
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank
deleted: HKCU\Software\Microsoft\Internet Explorer\Search, SearchAssistant: res://C:\WINDOWS\faukw.dll/sp.html#24098
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Bar: res://C:\WINDOWS\faukw.dll/sp.html#24098
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Page: res://C:\WINDOWS\faukw.dll/sp.html#24098
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Default_Page_URL: about:blank
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Default_Search_URL: res://C:\WINDOWS\faukw.dll/sp.html#24098
deleted: HKLM\Software\Microsoft\Internet Explorer\Search, SearchAssistant: res://C:\WINDOWS\faukw.dll/sp.html#24098
10.03.2005 10:10:29 No Files to delete. End without Reboot
10.03.2005 10:10:29 SPSeHjFix started v1.06
10.03.2005 10:10:29 OS: 7
10.03.2005 10:10:29 Bad-Dll(IEP): faukw.dll
10.03.2005 10:10:29 UBF: 4
10.03.2005 10:10:29 UBB: 0
10.03.2005 10:10:29 UBR: 23
10.03.2005 10:10:29 Bad IE-pages found:
10.03.2005 10:10:29 No Files to delete. End without Reboot
10.03.2005 10:10:30 SPSeHjFix started v1.06
10.03.2005 10:10:30 OS: 7
10.03.2005 10:10:30 Bad-Dll(IEP): faukw.dll
10.03.2005 10:10:30 UBF: 4
10.03.2005 10:10:30 UBB: 0
10.03.2005 10:10:30 UBR: 23
10.03.2005 10:10:30 Bad IE-pages found:
10.03.2005 10:10:30 No Files to delete. End without Reboot
10.03.2005 10:10:30 SPSeHjFix started v1.06
10.03.2005 10:10:30 OS: 7
10.03.2005 10:10:30 Bad-Dll(IEP): faukw.dll
10.03.2005 10:10:30 UBF: 4
10.03.2005 10:10:30 UBB: 0
10.03.2005 10:10:30 UBR: 23
10.03.2005 10:10:30 Bad IE-pages found:
10.03.2005 10:10:30 No Files to delete. End without Reboot
10.03.2005 10:11:21 SPSeHjFix started v1.06
10.03.2005 10:11:21 OS: 7
10.03.2005 10:11:21 Bad-Dll(IEP): (not found)
10.03.2005 10:11:21 BHO-DLL: (not found)
10.03.2005 10:11:21 UBF: 4
10.03.2005 10:11:21 UBB: 0
10.03.2005 10:11:21 UBR: 23
10.03.2005 10:11:21 Bad IE-pages found:
10.03.2005 10:11:21 Not infected->END


C:\DOKUME~1\Besitzer\LOKALE~1\Temp\se.dll,DllInstall
taucht im neuen Log nicht mehr auf :)

http://www.informationsarchiv.net/fo...979.html#86979