Startseite (a-z)

[Ruby]

Startseite: h**p://w*w.hotoffers.info/179/

STEP 1 -> bitte beachten
Bei Windows XP und ME bitte die Systemwiederherstellung im Anschluß an die Reinigungsarbeiten einmal im Wechsel deaktivieren und aktivieren, dazwischen jedes mal neu booten. Zum Schluss muss die Systemwiederherstellung aktiviert, also angestellt sein. Vergib dann auch einen neuen Systemwiederherstellungspunkt.

STEP 2
Geupdatete Software bietet einen gewissen Schutz. Wohingegen ungepatchte und ungeupdatete Software Tor und Türen öffnet für Malware aller Art. Daher empfiehlt es sich, das Windows XP SP2 aufspielen: www.windowsupdate.com

STEP 3
In den Ordneroptionen sollte zuerst das Häkchen entfernt werden bei "geschützte Systemdateien ausblenden" und etwas weiter unten wählt man bei "Versteckte Ordner und Verzeichnisse" den Punkt "Alle Dateien und Ordner anzeigen".

Es ist ausserdem darauf zu achten, dass das Programm HijackThis in einem eigenen Ordner läuft, da es sonst keine Back-Ups erstellen kann: C:\Programme\HijackThis

STEP 4
Download und Ausführung:

TraXEx.de(D)
ClearProg
Spybot Search & Destroy - installieren und updaten
Ad-Aware SE - installieren und updaten
WinsockXPFix.exe

Gib jedes Programm in ein eigenes Verzeichnis.

STEP 5
Verwende minimal zwei online virus scans.
Mache mindestens zwei, die du noch nicht genommen hast.

Trend micro, Bit defender and Panda scannen mit hoher Qualität,
aber sie sind alle gut.
Boote nach jedem Scan neu.

Hier findest du die kostenlosen Online Viren Scanner:

* http://housecall.trendmicro.com
wähle 'autoclean' vor dem Scan

* Panda ActiveScan
Panda ist der gründlichste und der Beste.
Er braucht ungefähr eine Stunde. Er scannt auch Messages und Heuristik.

* http://www3.ca.com/virusinfo/virusscan.aspx

* http://bitdefender.com/scan/licence.php
Mach alle PopupBlocker aus, wenn du zu dieser Seite kommst.

Lass die Scans alles reinigen und alles löschen, was sie finden.
Wenn sie hängen bleiben, beginne noch mal von vorne oder klicke "refresh".
Lass dir Zeit zun scannen. Boote dann neu.

STEP 6

Schau im C:\windows\system32...
siehst du dort eine Datei, die sich systr.dll nennt?
Wenn ja, benenne sie um in systr.old Wenn du diese Datei
umbennst, ist das Hijacking beendet.

Man klickt auf eine Datei mit der rechten Maustaste,
weise auf umbenennen und benenne sie um.

Wenn es dir nicht gelingt die Datei umzubennen,
vergewissere dich, dass du die verborgenen Ordner und Dateien siehst.
Boote in den angesicherten Modus[F8}.
Suche dann die Datei auf und benenne sie um.

STEP 7
Druck diese Anweisung bitte aus oder speichere sie als TEXTFILE (*.txt)
da du von jetzt an offline im abgesicherten Modus arbeiten musst. Geh nun offline.

STEP 8
Schließe alle Fenster, alle Programme einschließlich dem Internet Explorer.
Starte Hijackthis, klick scan, mach ein Häkchen neben jeden der Einträge.
Klick dann auf den Fix Button:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.hotoffers.info/179/

STEP 9
Starte Ad-Aware SE und wähle:
Use Perform full Systemscan options
Lass deine gesamte Festplatte scannen und alles entfernen.
Speichere das Logfile ab und klicke auf Finish.
Wenn der Scan abgeschlossen ist, speichere das Logfile ab und
klicke dann mit rechts auf die Ordner, lösche ihren Inhalt.

STEP 10
Scanne deinen Rechner mit Spybot Search & Destroy.
Lass alle Probleme beheben. Immunisiere deinen Rechner.

STEP 11
Boote in den normalen Modus.

STEP 12
Verwende WinsockXPFix.exe um den Eintrag unter 010 zu reparieren.

STEP 13
Lass TraXEx.de(D) laufen, es muss ALLES angefinkt sein, so wie auf den Abbildungen!

STEP 14
Lass das ClearProg laufen: "Clear all" und "Clear" anfinken.

STEP 15
Poste das Logfile von Ad-Aware. Erstelle und poste ein neues HijackThis Logfile.

Teil-Quelle: thatcomputerguy

Hinweis: - Entfernen von Adware T.V. Media-POP UPs - Windows Adstatus

[Ruby]

DyFuCa/Internet Optimizer

Code:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.191.52/1076/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.191.52/1076/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.191.52/1076/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://69.50.191.52/1076/sp.php
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem220.dll (file missing)

Es kann sein, dass diese aggressive Adware für die Entführung deines Internet Explorers verantwortlich ist.

Lade den Registrar Lite runter, um einfacher in der Registry arbeiten zu können.

O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem220.dll (file missing):

Öffne die Eingabeaufforderung: Funktion Programme hinzufügen und entfernen -> suche dort die Programme
‘Active Alert’ und ‘Internet Optimizer’. Wenn du sie entfernt hast, vergewissere dich, dass die Infektionsherde
MoneyTree/DyFuCA, Roimoi or CrmRest nicht mehr länger geladen werden. Entferne über die Windows-Suche den ‘Media Manager’ Eintrag.

Für andere und weitere Varianten öffne den Windows Ordner. Dort sollte es dir möglich sein, diese Einträge zu finden:
‘ioptiXXX.dll’ (Iopti variant), ‘nemXXX.dll’ (Nem variant) oder ‘wsemXXX.dll’ (Wsem variant). Die XXX unterscheidet verschiedene Versionen; gemeinsame Versionen sind: ‘iopti130.dll’, ‘nem207.dll’ und ‘wsem210.dll’.

Öffne die registry (klick ‘Start’, wähle ‘Run’ und schreibe ‘regedit’ enter) finde diesen Schlüssel: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion \Run. Lösche die Einträge ‘DyFuCA’ und ‘DyFuCA Active Alerts’.

Öffne nun ein DOS Commando prompt Window (über Start->Programs->Accessories), und trage folgende Commandos ein (für die Iopti Variante):

cd "%WinDir%\System"
regsvr32 /u ..\iopti130.dll

Oder für die Nem Variante:

cd "%WinDir%\System"
regsvr32 /u ..\nem207.dll

Oder für die Wsem Variante:

cd "%WinDir%\System"
regsvr32 /u ..\wsem210.dll

Boote neu. Nun sollte es dir möglich sein die dll's aus dem betreffenden Windows-Ordner und die ‘DyFuCA’ zu löschen.
Auch ‘Internet Optimizer’ oder ‘STWSI’ Ordner könntest du unter deinen Programm Files haben,. Du kannst auch den Schlüssel ‘FCI’ in HKEY_LOCAL_MACHINE\Software und HKEY_CURRENT_USER\Software löschen, wenn du magst.

Quelle: doxdesk

O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Programme\SideFind\sfbho.dll: Troj/IstBar-M

[Ruby]

h**p://w*w.searchmaid.com/

STEP 1
In den Ordneroptionen sollte zuerst das Häkchen entfernt werden bei "geschützte Systemdateien ausblenden" und etwas weiter unten wählt man bei "Versteckte Ordner und Verzeichnisse" den Punkt "Alle Dateien und Ordner anzeigen".

STEP 2
Download und Ausführung:

--> !!! speichere den Text unter "alle datei Typen" auf deinem Desktop!!! --> DelDomains.inf
Schliesse den Internet Explorer!
Doppel-Klick auf "DelDomains.inf" um sie zu starten.
Das Programm zieht die Einträge aus der "Trusted Zone" und den "Ranges".

KillBox - speiche sie auf dem Desktop
TraXEx.de(D)
ClearProg
cleanup
Spybot Search & Destroy - installieren und updaten
Ad-Aware SE - installieren und updaten

Gib jedes Programm in ein eigenes Verzeichnis.

STEP 3-1
1) Lege einen Ordner c:\bases an (Einführung in Windows)
2) Download der mwav.exe

STEP 3-2
3) Entpacke (mit einem Zip-Programm SIMPLYZIP) !!! die Datei mwav.exe in diesen Ordner c:\bases. Wenn der Pfad nicht genau so angegeben wird, funktioniert der scanner/updater nicht!

STEP 3-3
4) Doppelklick auf die Datei kavupd.exe, damit wird der update gestartet.

STEP 4
Druck diese Anweisung bitte aus oder speichere sie ALS TEXTFILE (*.txt) da du von jetzt an offline im abgesicherten Modus arbeiten musst. Geh nun offline.

STEP 5
Schließe alle Fenster, alle Programme einschließlich dem Internet Explorer.
Starte Hijackthis, klick scan, mach ein Häkchen neben jeden der Einträge.
Klick dann auf den Fix Button:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.searchmaid.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://www.searchmaid.com/search.php?qq=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://searchmaid.com/bar/index.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://www.searchmaid.com/search.php?qq=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.searchmaid.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.searchmaid.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://www.searchmaid.com/search.php?qq=%s
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://searchmaid.com/bar/index.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://www.searchmaid.com/search.php?qq=%s
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.searchmaid.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://www.searchmaid.com/search.php?qq=%s
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = h**p://www.searchmaid.com/search.php?qq=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://www.searchmaid.com/search.php?qq=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = h**p://www.searchmaid.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = h**p://www.searchmaid.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://ie.redirect.hp.com/svs/rdr?T...lion&pf=desktop
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
F2 - REG:system.ini: Shell=Explorer.exe, msmsgs.exe
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLLO3 - Toolbar: Virtual Maid - {77B2F8DE-CB3F-4b6b-839B-807DD1ADBA1C} - C:\PROGRA~1\VIRTUA~1\VIRTUA~1.DLL
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [MSN Messenger] C:\WINDOWS\system32\msmsgs.exe
O4 - HKLM\..\Run: [AltnetPointsManager] C:\Program Files\Altnet\Points Manager\Points Manager.exe -s
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKCU\..\Run: [Wallpaper4U] C:\PROGRA~1\WALLPA~1\WALLPA~1.EXE -w
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Global Startup: Smart Wizard Wireless Settings.lnk = ?
O8 - Extra context menu item: &RSDN Search - res://C:\PROGRA~1\VIRTUA~1\VIRTUA~1.DLL/GoVM.dll.htm
O9 - Extra button: Microsoft AntiSpyware helper - {53DF70ED-8E56-4BB7-8275-A4DA95E1B989} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {53DF70ED-8E56-4BB7-8275-A4DA95E1B989} - (no file) (HKCU)
O9 - Extra button: Microsoft AntiSpyware helper - {DFC984BE-B525-4115-999E-8EE9FFE78D44} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {DFC984BE-B525-4115-999E-8EE9FFE78D44} - (no file) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=h**p://de8.hpwis.com
O15 - Trusted Zone: *.musicmatch.com
O15 - Trusted Zone: *.musicmatch.com (HKLM)

STEP 6
Boote in den normalen Modus.

STEP 7
Beende im Task Manager:

ps2.exe
msmsgs.exe
Points Manager.exe
CMESys.exe
WALLPA~1.EXE
GMT.exe

mim.exe
P2P Networking.exe
adm4005.exe

STEP 8
Doppelklick auf die Killbox.exe um sie zu starten. Setze das Häkchen bei Delete on Reboot. "Use Dummys". In die Spalte "Full Path of File to Delete" kopiere jeden einzelnen Eintrag, klicke dann auf den roten Kreis mit dem X in der Mitte. Du wirst gefragt, ob das File beim nächsten Reboot gelöscht werden soll. Klicke Ja. Beantworte die Frage, ob das Programm jetzt rebooten soll mit nein:

C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
C:\PROGRA~1\VIRTUA~1\VIRTUA~1.DLL
C:\WINDOWS\system32\ps2.exe
C:\WINDOWS\system32\msmsgs.exe
C:\Program Files\Altnet\Points Manager\Points Manager.exe
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
C:\PROGRA~1\WALLPA~1\WALLPA~1.EXE
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
C:\Programme\Musicmatch\Musicmatch Jukebox\mim.exe
C:\WINDOWS\system32\P2P Networking\P2P Networking.exe
C:\PROGRA~2\Altnet\DOWNLO~1\adm4005.exe

Lies erst alle Files ein, boote dann neu.

STEP 9
Betätige die Windows Suche:

Virtual Maid
searchmaid

Lösche alles, was du dazu findest.

Lass TraXEx.de(D) laufen, es muss ALLES angefinkt sein, so wie auf den Abbildungen!

STEP 10
Starte Ad-Aware SE und wähle:
Use Perform full Systemscan options
Lass deine gesamte Festplatte scannen und alles entfernen. Speichere das Logfile ab und klicke auf Finish.
Klicke dann mit rechts auf die Ordner, lösche ihren Inhalt.

STEP 11
Scanne deinen Rechner mit Spybot Search & Destroy. Lass alle Probleme beheben. Immunisiere deinen Rechner.

STEP 12
Lass das ClearProg laufen: "Clear all" und "Clear"anfinken.

STEP 13
Starte CleanUp: lass u.a. die temporären Ordner säubern.

STEP 14
Lass den mwav scanner laufen (Der Scan kann ein paar Stunden dauern):
5) Wechsle in den abgesicherten Modus von Windows
6) Öffne den Explorer, navigiere zum Ordner c:\bases, starte mwavscan.com, schließe den Explorer.
7) Überprüfe die Einstellungen, unter scan option-->memory, startup folders, registry, system folders und services sowie drive (auswahl) und scan all files sollten aktiviert sein, dann den Button *SCAN/CLEAN* drücken.

STEP 15-1
8) Wenn der Scan beendet ist, wechselst du zurück in den normalen Modus.

STEP 15-2
9) Nun öffnest du mit einem Editor die mwav.log und wählst unter bearbeiten -> suchen, hier gibst du "virus" ein

jede Zeile in der "virus" steht, markieren, und hier einfügen, weitersuchen usw.

(Beispiel: file C:\WINDOWS\sssasasb32.exe infected by "Trojan-Downloader.Win32.Agent.ig" Virus. Action: Action Taken)

Ganz unten steht die Zusammenfassung, diese auch hier posten :

=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
=>Total Number of Disinfected Files:
=>Total Number of Files Renamed:
=>Total Number of Deleted Files:
=>Total Number of Errors:
***** Scanning complete. *****

STEP 16
-> bitte beachten
Bei Windows XP und ME bitte die Systemwiederherstellung im Anschluß an die Reinigungsarbeiten einmal im Wechsel deaktivieren und aktivieren, dazwischen jedes mal neu booten. Zum Schluss muss die Systemwiederherstellung aktiviert, also angestellt sein. Vergib dann auch einen neuen Systemwiederherstellungspunkt.

STEP 17
Poste das Ergebnis des mwavscan.
Poste das Logfile von Ad-Aware.
Erstelle und poste ein neues HijackThis Logfile.

Hinweis: Entfernen von Adware T.V. Media-POP UPs - Windows Adstatus

[Ruby]

se.dll/sp.html

Letztendlich wurde ein Mittel gefunden, auch dieses Hijackings Problem des Internet Explorers zu lösen.

Seeker, Programmierer des bekannten Cleaners "SpHjfix.exe" aus dem Vorjahr, hat ein neues Programm entwickelt, das Usern auf der ganzen Welt helfen kann, dieses Problem zu beenden:

Code:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {C3332D49-88A6-11D9-B31D-00E0910F19F0} - C:\WINDOWS\%system%\pfui.DLL
O4 - HKLM\..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall
O18 - Filter: text/html - {C3332D48-88A6-11D9-B31D-00E0FE43BC6B} - C:\WINDOWS\%system%\pfui.DLL
O18 - Filter: text/plain - {C3332D48-88A6-11D9-B31D-00E0FE43BC6B} - C:\WINDOWS\%system%\pfui.DLL

Der Cleaner wurde erfolgreich getestet unter Windows98/ME/2000/XP.

Nach dem Download der 30 KB der SpHjfix.exe, wird das Programm mit Doppelklick ausgeführt. Man drückt auf den Button "Desinfektion starten". Wenn der Cleaner eine Infektion auf dem System feststellt, wird es automatisch runtergefahren und neu aufgestartet. Das bedeutet, dass das System desinfiziert worden ist.

Downloads des

Cleaner für Windows 95/98/ME
Cleaner für Windows 2000/XP

können von dieser Seite getätigt werden: www.trojaner-info.de

[Ruby]

Adware:
(Browser Helper Objekte - Browser-Hijacker - Toolbars)

Hinweise zur Entfernung von:

o Windows Adstatus (Adware)

o Media Access - Malware

o Windows AdControl

o Wintools - Removal/Entfernung

o Adware.Begin2search

o Adware.InstaFinder

o Adware.180Search

o Aze Search Toolbar

o DashBar.Toolbar

o hzzp://www.web--search.com/

Unter Sicherheits-News werden auch Removal-Tools angeboten.

[Ruby]

rightfinder.net/search/

Boote in den abgesicherten Modus. Beende alle Programme inklusive den Internet Explorer.

Lass HijackThis laufen,
klick scan, und setze ein Häkchen neben jeden dieser Einträge.
Drücke dann auf den Fix Button:

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = h*tp://w*w.finetimesearch.com/index2.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h*tp://w*w.rightfinder.net/search/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h*tp://w*w.rightfinder.net/search/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h*tp://w*w.rightfinder.net/search/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h*tp://w*w.rightfinder.net/search/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = h*tp://w*w.rightfinder.net/search/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h*tp://w*w.rightfinder.net/hp/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = h*tp://w*w.rightfinder.net/search/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h*tp://w*w.rightfinder.net/search/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h*tp://w*w.rightfinder.net/search/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = h*tp://w*w.rightfinder.net/search/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h*tp://w*w.rightfinder.net/search/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h*tp://w*w.rightfinder.net/search/

O2 - BHO: (no name) - {CD4C3CF0-4B15-11D1-ABED-709549C10000} - (no file)

O4 - HKCU\..\Run: [AddClass] C:\WINDOWS\ADDCLASS.EXE


Reboote, beende und lösche: C:\WINDOWS\ADDCLASS.EXE


-> bitte beachten
Bei Windows XP und ME bitte die Systemwiederherstellung im Anschluß an die Reinigungsarbeiten einmal im Wechsel deaktivieren und aktivieren, dazwischen jedes mal neu booten. Zum Schluss muss die Systemwiederherstellung aktiviert, also angestellt sein. Vergib dann auch einen neuen Systemwiederherstellungspunkt.

Quelle

[Ruby]

"Home Search Assistant" und "Search Extender" vom System entfernen:

1
Download
Registrar Lite

2
Es wird zur Sicherheit empfohlen ein Back up der Registry zu machen, bevor sie editiert wird:


3
Hinweise zur Entfernung

1) Öffne den Registry Editor. Klick Start>ausführen> (schreib) REGEDIT drücke auf [Enter].
Du kannst aber auch Registrar Lite verwenden:

2) Auf der linken Seite, Doppelklick auf:
HKEY_CLASSES_ROOT>CLSID>{A37B1EF1-FF7A-A47A-8449-3BCE6606697A}>InprocServer32

3) In der rechten Hälfte, suche, finde und lösche den Eintrag oder die Einträge:
@ = C:\WINDOWS\System32\sdkns32.dll
ThreadingModel =Apartment

4) Auf der linken Seite, Doppelklick auf:
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>
CurrentVersion>Explorer>Browser Helper Objects>{A37B1EF1-FF7A-A47A-8449-3BCE6606697A}

5) In der rechten Hälfte, suche, finde und lösche den Eintrag oder die Einträge:
@ = ""

6) Auf der linken Seite, Doppelklick auf:
HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>Uninstall>HSA

7) In der rechten Hälfte, suche, finde und lösche den Eintrag oder die Einträge:
DisplayName = Home Search Assistent
UninstallString = "rundll32 url.dll,FileProtocolHandler hzzp://looking-for.cc/uninstall/HomeSearchAssistant.html"

8) Auf der linken Seite, Doppelklick auf:
HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>Uninstall>SE

9) In der rechten Hälfte, suche, finde und lösche den Eintrag oder die Einträge:
DisplayName = Search Extender
UninstallString = "rundll32 url.dll,FileProtocolHandler hzzp://looking-for.cc/uninstall/SearchExtender.html"

10) Auf der linken Seite, Doppelklick auf:
HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>Uninstall>SW

11) In der rechten Hälfte, suche, finde und lösche den Eintrag oder die Einträge:
DisplayName = Shopping Wizard
UninstallString = "rundll32 url.dll,FileProtocolHandler hzzp://looking-for.cc/uninstall/ShoppingWizard.html"

12) Schliesse den Registry Editor.
Starte den Rechner neu auf.

-> bitte beachten
Bei Windows XP und ME bitte die Systemwiederherstellung im Anschluß an die Reinigungsarbeiten einmal im Wechsel deaktivieren und aktivieren, dazwischen jedes mal neu booten. Zum Schluss muss die Systemwiederherstellung aktiviert, also angestellt sein. Vergib dann auch einen neuen Systemwiederherstellungspunkt.

Source

[Ruby]

hzzp://rl.webtracer.cc/-/?bayzm
Hinweise zur Entfernung

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hzzp://rl.webtracer.cc/-/?bayzm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hzzp://rl.webtracer.cc/-/?bayzm
O1 - Hosts: 1159680172 auto.search.msn.com
O19 - User stylesheet: C:\WINDOWS\stsheets.dat

Lade find.zip runter.

Man erstelle einen neuen Ordner (Einführung in Windows) C:\FINDIT.
Entpacke das "find.zip" mit einem Zip-Programm (SIMPLYZIP ist kostenlos) in den neuen Ordner C:\FINDIT.
Starte das Programm über die "find.bat".
Innerhalb einiger Sekunden erstellt das Programm einen "report.txt" im Ordner
C:\FINDIT. Bitte diesen "report.txt" im Forum posten.

Code:

C:\WINDOWS\SYSTEM32\DRIVERS\
   emupia2x.sys   Fri 19 Jul 2002   4:48:32   A....         31.744    31,00 K

1 item found:  1 file, 0 directories.
   Total of file sizes:  31.744 bytes     31,00 K

Unter C:\WINDOWS\SYSTEM32\DRIVERS\ wird eine *sys Datei gefunden werden, deren Name variabel ist.

Eine ausgebreitete StartupLog-Liste gibt Aufschluß darüber, ob sich die *sys Datei noch anderweitig auf dem System verbirgt.

Diese Datei *sys muss gelöscht, der Eintrag unter "O19 - User stylesheet: C:\WINDOWS\stsheets.dat" gefixt, und das File "C:\WINDOWS\stsheets.dat" vom System entfernt werden. Die Hosts-Datei läßt sich mittels HijackThis editieren.

Nun können die "webtracer" - Einträge im Internet Explorer gefixt werden.

-> bitte beachten
Bei Windows XP und ME bitte die Systemwiederherstellung im Anschluß an die Reinigungsarbeiten einmal im Wechsel deaktivieren und aktivieren, dazwischen jedes mal neu booten. Zum Schluss muss die Systemwiederherstellung aktiviert, also angestellt sein. Vergib dann auch einen neuen Systemwiederherstellungspunkt.

Ein Dankeschön an....

[Ruby]

res://C:\WINDOWS\any.dll/sp.html#66987 - (Search Extend)

Code:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\any.dll/sp.html#66987
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\any.dll/sp.html#66987
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\any.dll/sp.html#66987
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\any.dll/sp.html#66987
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\any.dll/sp.html#66987
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\any.dll/sp.html#66987
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\any.dll/sp.html#66987
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {436F9624-199F-6822-5382-0C16D6F54881} - C:\WINDOWS\system32\variabel.dll
O23 - Service: Network Security Service (NSS) ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\variabel.exe

A) Download: CWShredder

Starte das Programm, drücke auf *fix,* nicht scan und erlaube dem Programm die Infektion zu beseitigen.
Schliesse alle Anwendungen und Browserfenster, bevor du den Fix-Button betätigst.

B) Download: about:Buster

Entpacke das Programm auf deinen Desktop, starte es.
Gehe nun folgendermaßen vor:

01. Klicke "Update".
02. Klicke "Check For Update"

(Lade alle Updates runter)

03. Klicke "Download Update", und warte bis der Update fertig ist.
04. Klicke "Start".
05. Klicke "Exit".
06. Boote deinen Rechner neu auf.

C) Download: HSRemove

Lass das Programm auf deinem Rechner laufen.

D) Boote den Rechner neu auf, lass HijackThis nochmal laufen.
Erstelle und poste ein neues HJT-Logfile.

Die restlichen, zu dieser Browser-Hijacker-Variante gehörigen Einträge, können mittels fixen durch HijackThis entfernt werden.

-> bitte beachten
Bei Windows XP und ME bitte die Systemwiederherstellung im Anschluß an die Reinigungsarbeiten einmal im Wechsel deaktivieren und aktivieren, dazwischen jedes mal neu booten. Zum Schluss muss die Systemwiederherstellung aktiviert, also angestellt sein. Vergib dann auch einen neuen Systemwiederherstellungspunkt.

Quelle

[Ruby]

Hinweis zum Entfernen von hzzp://nkvd.us (obfuscated)

1
Download:
CleanUp
CWShredder

2
Boote in den abgesicherten Modus.

3
Schliesse alle Programme einschliesslich Internet Explorer.
Lass Hijackthis laufen, klick scan und setze ein Häkchen neben jeden dieser Einträge.
Drücke dann auf den Fix Button:

Code:

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = hzzp://nkvd.us (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = hzzp://nkvd.us (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hzzp://nkvd.us (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hzzp://nkvd.us (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hzzp://nkvd.us (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hzzp://nkvd.us (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = hzzp://nkvd.us (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = hzzp://nkvd.us (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hzzp://nkvd.us (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hzzp://nkvd.us (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hzzp://nkvd.us (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = hzzp://nkvd.us (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = hzzp://nkvd.us (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer,Search = hzzp://nkvd.us (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = hzzp://nkvd.us (obfuscated)
O13 - DefaultPrefix: hzzp://%6E%6B%76%64%2E%75%73/
O13 - WWW Prefix: hzzp://%6E%6B%76%64%2E%75%73/
O13 - Home Prefix: hzzp://%6E%6B%76%64%2E%75%73/
O13 - Mosaic Prefix: hzzp://%6E%6B%76%64%2E%75%73/
.

Beende das Programm HijackThis.

4
Bleib im abgesicherten Modus:
Führe CWShredder aus
Drücke auf *fix,* nicht auf den scan Button
Erlaube dem Programm die Infektion zu reinigen.
Schliesse alle Browser und Explorer Fenster bevor du auf den Fix Button drückst.

5
Boote in den normalen Modus.

6
Doppelklick auf "cleanup312.exe"

Geh zu "option"
Wähle ‘custom’
Setze Häkchen bei:

* Cookies
* Prefetch
* Temp
* All users.

Drücke den 'cleanup' Button

7
Vergib eine neue Startseite für den Internet Explorer, konfiguriere den IE entsprechend dieser Sicherheitseinstellungen.

8
Boote.

9
-> bitte beachten
Bei Windows XP und ME bitte die Systemwiederherstellung im Anschluß an die Reinigungsarbeiten einmal im Wechsel deaktivieren und aktivieren, dazwischen jedes mal neu booten. Zum Schluss muss die Systemwiederherstellung aktiviert, also angestellt sein. Vergib dann auch einen neuen Systemwiederherstellungspunkt.

Quelle