se.dll/sp.html -> manuell entfernen

[Ruby]

Anleitung zum entfernen von se.dll/sp.html
(siehe dazu: Hilfe für Erstanwender)

nachträglich eingefügt: Link zum Remover

***

Ich suche Freiwillige, die bereit sind, ihre Registry manuell zu editieren
und mir/uns mitzuteilen, ob sich die se.dll/sp.html auf diese Weise dauerhaft entfernen läßt.

***

--> Windows XP und ME: Bitte die Systemwiederherstellung deaktivieren!

Lade dir bitte folgende Programme runter und lies die Anleitungen:

auf dem Desktop installieren: Dllcompare - mit CompareDll Anleitung.

CWShredder.exe - CWShredder Anleitung -> Das Programm ausführen, wie beschrieben.

Registrar Lite

KillBox - auf dem Desktop installieren.

Cleanup
IE Privacy Keeper 2.3
DELLATER.ZIP auf dem Desktop installieren, ausführen und auf ok klicken.

Installiere jedes Programm in einem eigenen Ordner und führe alle Programme aus.

Es wird empfohlen ein back-Up der Registry zu machen, bevor man sie editiert:
Anleitung zum Registry Back Up

***

Bitte die gesamte Anleitung ausdrucken oder als Textfile speichern (*.txt)

Editieren der Registry mit Registrar Lite
im abgesicherten Modus offline arbeiten!

Löschen mit Registrar Lite:
die Datei mit der rechten Maustaste anklicken,
im dann erscheinenden Fensterchen das rote X wählen,
drauf klicken, eventuell bestätigen.
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

navigiere zu:
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\internet explorer\main
Value : HOMEOldSP

-> lösche mit Registrar Lite im rechten Fenster:
Value : HOMEOldSP

navigiere zu:
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\windows\currentversion\run
Value : sp

-> lösche mit Registrar Lite im rechten Fenster:
Value : sp

navigiere zu:
Rootkey : HKEY_CLASSES_ROOT
Object : protocols\filter\text/plain

-> lösche mit Registrar Lite im linken(!) Fenster:
text/plain

navigiere zu:
Rootkey : HKEY_CLASSES_ROOT
Object : protocols\filter\text/plain
Value : CLSID

-> lösche mit Registrar Lite im rechten Fenster:
Value : CLSID

navigiere zu:
Rootkey : HKEY_CLASSES_ROOT
Object : protocols\filter\text/html

-> lösche mit Registrar Lite im linken(!) Fenster:
text/html

navigiere zu:
Rootkey : HKEY_CLASSES_ROOT
Object : protocols\filter\text/html
Value : CLSID

-> lösche mit Registrar Lite im rechten Fenster:
Value : CLSID

navigiere zu:
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\windows\currentversion\uninstal l\searchassistant uninstall
Comment : CWS.about:Blank

-> lösche mit Registrar Lite im linken(!) Fenster:
searchassistant uninstall

navigiere zu:
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\windows\currentversion\uninstall
searchassistant uninstall
Value : DisplayName
Comment : CWS.about:Blank

->lösche mit Registrar Lite im rechten Fenster:
Value : DisplayName
Comment : CWS.about:Blank

navigiere zu:
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\windows\currentversion\uninstal l\searchassistant uninstall
Value : UninstallString
Comment : CWS.about:Blank

->lösche mit Registrar Lite im linken(!) Fenster:
searchassistant uninstall
und im rechten Fenster:
Value : UninstallString
Comment : CWS.about:Blank


navigiere zu:
Rootkey : HKEY_CURRENT_USER
Object : software\microsoft\internet explorer\main
Value : Search Bar

-> lösche mit Registrar Lite im rechten Fenster:
Value : Search Bar

navigiere zu:
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\internet explorer\main
Value : Use Custom Search URL

-> lösche mit Registrar Lite im rechten Fenster:
Value : Use Custom Search URL

navigiere zu:
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\internet explorer\main
Value : Use Search Asst

-> lösche mit Registrar Lite im rechten Fenster:
Value : Use Search Asst

navigiere zu:
Rootkey : HKEY_LOCAL_MACHINE
Object : software\classes\protocols\filter\text/html
Value : CLSID

-> lösche mit Registrar Lite im linken Fenster:
text/html
und im rechten Fenster:
Value : CLSID

navigiere zu:
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\internet explorer\main
Value : Use Search Asst
Data : no

-> lösche mit Registrar Lite im rechten Fenster:
Value : Use Search Asst
Data : no

navigiere zu:
Rootkey : HKEY_CURRENT_USER
Software\Microsoft\Internet Explorer\Main,

-> lösche mit Registrar Lite im rechten Fenster:
Search Bar = res://C:\DOKUME~1\Name einfügen\LOKALE~1\Temp\se.dll/sp.html


navigiere zu:
Rootkey : HKEY_CURRENT_USER
Software\Microsoft\Internet Explorer\Main,

-> lösche mit Registrar Lite im rechten Fenster:
Search Page = about:blank


navigiere zu:
Rootkey : HKEY_LOCAL_MACHINE
Software\Microsoft\Internet Explorer\Main,

-> lösche mit Registrar Lite im rechten Fenster:
Search Bar = res://C:\DOKUME~1\Name einfügen\LOKALE~1\Temp\se.dll/sp.html


navigiere zu:
Rootkey : HKEY_LOCAL_MACHINE

Software\Microsoft\Internet Explorer\Main,

-> lösche mit Registrar Lite im rechten Fenster:
Search Page = about:blank


navigiere zu:
Rootkey : HKEY_CURRENT_USER
Software\Microsoft\Internet Explorer\Search,

-> lösche mit Registrar Lite im rechten Fenster:
SearchAssistant = about:blank


navigiere zu:
Rootkey : HKEY_LOCAL_MACHINE
Software\Microsoft\Internet Explorer\Search,

-> lösche mit Registrar Lite im rechten Fenster:
SearchAssistant = about:blank


navigiere zu:
Rootkey : HKEY_CURRENT_USER
Software\Microsoft\Internet Explorer\Main,

-> lösche mit Registrar Lite im rechten Fenster:
HomeOldSP = about:blank

navigiere zu:
Rootkey : HKEY_LOCAL_MACHINE
Software\Microsoft\Internet Explorer\Main,

-> lösche mit Registrar Lite im rechten Fenster:
HomeOldSP = about:blank

navigiere zu:
Rootkey : HKEY_LOCAL_MACHINE
Software\Microsoft\Windows\CurrentVersion\Run

-> lösche mit Registrar Lite im rechten Fenster:
[sp] rundll32 C:\DOKUME~1\Name einfügen\LOKALE~1\Temp\se.dll,DllI nstall

navigiere zu:
Rootkey : HKEY_LOCAL_MACHINE
SOFTWARE\Microsoft\Windows\CurrentVersion\Uni nstall\
SearchAssistant Uninstall\

-> lösche mit Registrar Lite im rechten Fenster:
UninstallString = "regsvr32 /s /u dropped.dll"


# Navigiere zu dem key:
HKEY_LOCAL_MACHINE\SOFTWARE\

Lösche den subkey:

Search-Exe


# Navigiere zu dem key:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\

Lösche die subkeys:

{00041A26-7033-432C-94C7-6371DE343822}
{002F4E27-B273-4FA5-ADFC-1FB9ED210B37}
{49DE8655-4D15-4536-B67C-2AA6C1106740}
{9368D063-44BE-49B9-BD14-BB9663FD38FC}

# Navigiere zu dem key:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\

Lösche die subkeys:

{1EB48AA7-D3FE-4E4C-AC8E-B01594496AC0}
{42BD9965-303D-4CFB-AAE0-DCADCB791A55}
{83A13E87-FA20-4B6A-AAE8-C1226B5E1573}
{F5F0A448-2BCD-459E-8743-C39154EE1CA8}

# Navigiere zu dem key:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\

Lösche den subkey:

{A8F92C35-530B-4907-922C-CE31D4B6B14A}

# Navigiere zu dem key:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\

Lösche die subkeys:

WebCom.WebBar
WebCom.WebBar.1
WebCom.WebBho
WebCom.WebBho.1
WebCom.WebCommand
WebCom.WebCommand.1
WebCom.WebSearch
WebCom.WebSearch.1

Schliesse Registrar Lite, verlasse die Registry

Verwende die Killbox:

"Use dummys", kill mit dem roten x, beantworte die Frage ob du rebooten willst mit YES
und die Frage, ob du jetzt rebooten willst, mit NEIN!

C:\WINDOWS\system32\xxx.dll --> diese DLL findet man in den beiden 018-Einträgen im HijackThis Logfile
C:\DOKUME~1\Name einfügen\LOKALE~1\Temp\se.dll,DllI nstall
C:\DOKUME~1\Name einfügen\LOKALE~1\Temp\se.dll
se.exe

wenn du diese Dateien in der Killbox gelöscht hast, darfst du booten.

Und sofort das Programm Cleanup ausführen. Es müssen ALLE Cache, alle Temporären Ordner, alle Ordner Temp, die Historie gelöscht werden. Alles löschen, was gelöscht werden kann. Lass Cleanup mehrfach laufen. Mit IE Privacy Keeper 2.3 ebenfalls alles reinigen: Internet Explorer, System und Registry, alles anfinken -> reinigen.

[Ruby]

Nachdem du nun hoffentlich deine Registry editiert hast, so wie ich es dir im letzten Posting gezeigt habe, geht es weiter:

Nun kommen wir zum nächsten Teil, dem HijackThis Logfile,
denn das muss ja auch noch bearbeitet werden.

STEP 1
In den Ordneroptionen sollte zuerst das Häkchen entfernt werden bei "geschützte Systemdateien ausblenden" und etwas weiter unten wählt man bei "Versteckte Ordner und Verzeichnisse" den Punkt "Alle Dateien und Ordner anzeigen".

=> Windows XP und ME: die Systemwiederherstellung deaktivieren.

STEP 2
Download: Fixagent-Trend Micro

STEP 3
Druck die Anweisung bitte aus, da du von jetzt an im abgesicherten Modus arbeiten wirst. Geh nun offline.

STEP 4
Führe den Fixagent-Trend Micro aus. Klick auf: "Desinfektion starten"

STEP 5
Schließe alle Fenster, einschließlich dem Internet Explorer.
Starte Hijackthis, Klick scan, mach ein Häkchen neben jeden der Einträge.
Klick dann auf den Fix Button:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Name einfügen\LOKALE~1\Temp\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Name einfügen\LOKALE~1\Temp\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

O2 - BHO: (no name) - {64DF9CF0-1A82-41BC-80D9-F474D18F8BBC} - C:\WINDOWS\system32\xxxx.dll
O18 - Filter: text/html - {2DB3FC94-B0A1-4595-9B63-9204D2129313} - C:\WINDOWS\system32\xxxx.dll
O18 - Filter: text/plain - {2DB3FC94-B0A1-4595-9B63-9204D2129313} - C:\WINDOWS\system32\xxxx.dll
O20 - Winlogon Notify: Unbekannte - C:\WINDOWS\SYSTEM32\unbekannte.dll

STEP 6
Starte Cwshredder-Fix
Setze das Häkchen und klicke auf "Fix".

STEP 7
Doppelklick auf die Killbox.exe um sie zu starten. Setze das Häkchen bei Delete on Reboot. In die Spalte "Full Path of File to Delete" kopiere jeden einzelnen Eintrag, klicke dann auf den roten Kreis mit dem X in der Mitte. Du wirst gefragt, ob das File beim nächsten Reboot gelöscht werden soll. Klicke Ja. Beantworte die Frage, ob das Programm jetzt rebooten soll mit nein:

C:\DOKUME~1\Name einfügen\LOKALE~1\Temp\se.dll/sp.html
C:\WINDOWS\system32\xxxx.dll
C:\WINDOWS\SYSTEM32\unbekannte.dll

STEP 8
Boote neu.

STEP 9
Starte CleanUp: lass die temporären Ordner säubern.

STEP 10
Installiere winfiles, wenn du error Berichte über fehlende Files bekommst.

STEP 11
Erstelle und poste ein neues HijackThis Logfile.

Wer wagt es? Wer probiert es aus? Und wer berichtet?

[Ruby]

Ja, das sind die komplizierten Antworten.

Möglicherweise gibt es auch eine ganz einfache Antwort, aber auch die ist nicht von mir. Die Lösung oben, im ersten Posting ist eine Gemeinschaftsproduktion von TrendMicro, Sophos, Symantec, Ad-Aware und meiner Idee, dass wenn es einmal klappt, es auch bei einem zweiten Mal so gehen müsste. Mit dem Editieren der registry kann man fast alles entfernen, wenn man weiß, wo man ansetzen muss.

Was man installiert, kann man normalerweise auch wieder deinstallieren. Versucht es mal: über START->Systemsteuerung->Software deinstallieren: "Search Assistant Uninstall". Wenn es funktioniert, hat ein User mit nur einem einzigen Posting an einem Forum, den Vogel vom Dach geholt......