Adware Solutions (de-en)

[Ruby]

QuickSearch
(The English Original: Symantec / NewDotNet Variants/Varianten: doxdesk.com)

Alias:
QuickSearch Toolbar

Hersteller:
NewDotNet.com

Typ:
Spyware

Übersicht:
Internet Explorer Browser Helper Object, es zeichnet das Surf-Verhalten auf. Es kann ausserdem Updates runterladen und installieren. Die Toolbar, die diese Spyware enthält, kann manuell installiert werden, aber auch Anwendungen beigefügt sein oder mithilfe eines ActiveX Installer installiert werden.

Manuelle Entfernung vom System

Im Windows-Explorer:
>Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und
Ordner >"alle Dateien und Ordner anzeigen" aktivieren und
>Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner
>"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren.

Lade eines dieser Programme runter: WinsockFix
Lass das ausgewählte Programm auf deinem Rechner laufen, wenn es Probleme mit der Internet-Verbindung gibt.
Danach einfach den Rechner neu starten. Solltest du dich für LSP entscheiden, bitte das Programm laufen lassen, dann ein Häkchen in "I know what I'm doing" setzen und den Finished Button klicken.

Die QuickSearch Toolbar kann über die Systemsteuerung -> Programme hinzufügen/entfernen entfernt werden.

Beende im Taskmanager/Process Explorer
folgenden Prozess:

%ProgramFiles%\QuickSearch\Uninstall_QuickSearchBar.exe

Hinweis: Suche den Prozess und beende ihn!

Du solltest ein Back-Up deiner Registry machen, bevor du sie editierst: back up.

Öffne den Registry Editor.
Klicke auf Start >ausführen, schreib REGEDIT -> [enter]
(oder verwende Registrar Lite)

Entferne diese Einträge, soweit vorhanden:

Code:

HKEY_CURRENT_USER\Software\QuickSearch
HKEY_LOCAL_MACHINE\Software\QuickSearch
HKEY_CLASSES_ROOT\CLSID\{3c368c4a-827f-4f25-9c52-371bdf049912}
HKEY_CLASSES_ROOT\CLSID\{82315a18-6cfb-44a7-bdfd-90e36537c252}
HKEY_CLASSES_ROOT\QuickSearch.DeskSearchBand
HKEY_CLASSES_ROOT\QuickSearch.DeskSearchBand.1
HKEY_CLASSES_ROOT\QuickSearch.SearchBand
HKEY_CLASSES_ROOT\QuickSearch.SearchBand.1
HKEY_CLASSES_ROOT\Software\Classes\QuickSearch.SearchBand
HKEY_LOCAL_MACHINE\Software\Classes\TypeLib\{B7620AF8-B460-455a-946F-16F8BF52A9AD}
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\{82315A18-6CFB-44a7-BDFD-90E36537C252}
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{82315A18-6CFB-44a7-BDFD-90E36537C252}
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\QuickSearch Toolbar\QuickSearch Toolbar

Schliesse den Registry Editor.

Starte deinen Rechner neu in den abgesicherten Modus

Lösche diese Files, wenn vorhanden, mit dem Windows Explorer:
%ProgramFiles%\QuickSearch\QuickSearchBar3_30.dll
%ProgramFiles%\QuickSearch\Uninstall_QuickSearchBar.exe
%ProgramFiles%\QuickSearch\QuickSearchBar1_27.dll
%ProgramFiles%\QuickSearch\QuickSearchBar3_28.dll

Lösche diesen Ordner mit dem Windows Explorer:
%ProgramFiles%\QuickSearch

Hinweis:
%ProgramFiles% ist eine Variable (?). Normalerweise ist dies C:\Programme oder C:\Program Files.

Boote in den normalen Modus.

Leere den Inhalt der temporären Ordner mit dem System Cleaner 1.0 oder ClearProg.

Führe einen Free Anti-Spyware Scan durch.

Konfiguriere den IE wie hier empfohlen: Sicherheitseinstellungen!

Deaktiviere nach Beendigung der Arbeiten die Systemwiederherstellung, wenn du Windows XP und ME als Betriebssystem hast, boote deinen Rechner neu auf, aktiviere die Systemwiederherstellung, boote deinen Rechner. Vergib einen neuen Systemwiederherstellungspunkt.

Schwerpunktmäßige Übersetzung des englischen Originals/Translated from the English Website of Symantec into German by Ruby.

[Ruby]

Teil 1

Adware/NetPals -> (Lop.com)
(The English Original: eTrust

Alias:
TrojanDownloader.Win32.Swizzor.ae, Adware/Adtomi [Panda], Adware/Apropos [Panda], Adware/Lop [Panda], Adware/nCase [Panda], Adware/NetPals [Panda], Adware/WinActive [Panda], Adware-180Solutions [McAfee], C2 Media, after the company that makes it., Dialer.AL [Panda], Lop, LopAdvert [McAfee], MP3Search [McAfee], MpAdvert [McAfee], Spyware/Infameow [Panda], Trj/Downloader.HC [Panda], Trj/Downloader.HW [Panda], Trj/Downloader.HX [Panda], Trj/Zerolin.A [Panda], Trojan.Win32.SecondThought.h [Kaspersky], TrojanClicker.Win32.Rotarran (for Lop.Com.WinactiveJ), TrojanDownloader.Win32.Small.bp, TrojanDownloader.Win32.Small.bp [Kaspersky], TrojanDownloader.Win32.Swizzor.au [Kaspersky], TrojanDownloader.Win32.Swizzor.ba [Kaspersky], TrojanDownloader.Win32.Swizzor.bm [Kaspersky], TrojanDownloader.Win32.Swizzor.bn [Kaspersky], TrojanDownloader.Win32.Swizzor.br [Kaspersky], TrojanDownloader.Win32.Swizzor.i [Kaspersky], TrojanDownloader.Win32.Swizzor.q [Kaspersky], TrojanDropper.Win32.Small.fl [Kaspersky], VBS.ObjectDataHTA [Computer Associates], VBS.Suzer [Computer Associates], VBS/Inor.gen [Panda], VBS/Suzer.A!Dropper [Computer Associates], Win32/Polbya.A!Trojan [Computer Associates]

Typ:
Spyware, Browser Helper Object, Dialer, Downloader, Dropper, Hijacker, Search Hijacker, Toolbar, Trojan (Rootkit)

Übersicht:
Internet Explorer Browser Helper Object, es zeichnet das Surf-Verhalten auf. Es kann ausserdem Updates runterladen und installieren. Die Toolbar, die diese Spyware enthält, kann manuell installiert werden, aber auch Anwendungen beigefügt sein oder mithilfe eines ActiveX Installer installiert werden.

Manuelle Entfernung vom System

Im Windows-Explorer:
>Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und
Ordner >"alle Dateien und Ordner anzeigen" aktivieren und
>Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner
>"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren.

Die Adware/NetPals (Lop.com) kann über die Systemsteuerung -> Programme hinzufügen/entfernen entfernt werden. Das reinigt aber leider nicht die Masse an Files, die diese Adware auf einem System hinterlässt.

Öffne den Ordner "Application Data" unter Windows 95/98/Me im Windows Ordner; unter Windows 2000 und XP im Ordner 'Documents and Settings', unter Windows NT 4.0 innerhalb von 'WinNT\Profiles'.

Die Datei-Namen der Lop Files varieren bei jeder Lop Variante, aber normalerweise befinden sie sich in eigenen Ordnern. Bekannte Datei-Namen der Toolbar DLL (lop/Toolbar) oder ayb: protocol DLL (lop/AYB) enthalten:

eelykofrllfrpr.dll
ealymfrprwch.dll
yeecrsoustoull.dll
heeachmstll.dll
ziebaeeoaeepr.dll
prxzoustustgr.dll
llfggrdr.exe
plg_ie[any digit].dll
quizbt[any digit].dll
blztstull[letter 'a', 'c', 'j', 'p', 's', 't' or 'y'].dll
blztstull['pr', 'tr' or 'oo'].dll

Bekannte Datei-Namen für das system tray task und Hijacker Filez beinhalten:

oofrkxpe.exe
lopsearc.exe
shoucrck.exe
meemnckyqbr.exe
eaymulyl.exe
ulyuiexeechp.exe
byb_save.exe
peebqusz.exe
trstdris.exe

Andere Versionen dieser Adware beinhalten Icon Verzeichnisse (Bekannte Datei-Namen sind tchejea.lib und iCndE.lib) sowie Tonnen von GIFs. Sie können alle gelöscht werden. Einige davon können auch im Windows Ordner sein:

desktop.htm
dnserror.htm
jexpoofro.htm
i_dnserr.gif
s_dnserr.gif
r_dnserr.gif
b_dnserr.gif
tiejexpoo.gif
xiejexpoo.gif
oiejexpoo.gif
uiejexpoo.gif

Öffne die Registry (Start->Run->regedit) und finde den Schlüssel HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion \Run. Wenn du die Methode des Deinstallierens nicht gewählt hast, könnte es dort noch einen Wert geben, der so aussieht: 'C:\WINDOWS\APPLIC~1\(task name).exe -QuieT'; lösche ihn.
Der Name dieses Eintrags wechselt in/mit den verschiedenen Varianten. Bekannte Namen sind:

eeullz
ymste
abtu
zvoah
lssxsh
pprwly

Du solltest auch die folgenden Einträge löschen, wenn du sie auf deinem System hast und sie nicht 'blank' sind
(Registry Back-Up):

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion \Telephony\DomainName
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\MST CP\Domain
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\P arameters\Domain
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\P arameters\Interfaces\{...check all interfaces...}\Domain

Du kannst ausserdem den Lop Einstellungs-Schlüssel löschen, wenn du ihn findest. Er befindet sich innerhalb
HKEY_LOCAL_MACHINE\Software und trägt wieder variierende Namen. Bekantte Namen sind:

ckotetlllyllshz
kseateasteestoe
ssaxstxoaieoagrh
TrinityAYB (lop/Trinity variant)

Wenn du die Methode des Deinstallierens nicht gewählt hast, öffne das DOS command prompt window (über Start->Programme->Accessories) und gib folgenden Befehl ein:

cd "%WinDir%\System"
regsvr32 /u [Name der DLL]

Nachdem du den Rechner neu gebootet hast, sollte es möglich sein, alle Dateien zu löschen, die oben aufgeführt sind, und ausserdem alle Verknüpfungen auf dem Desktop und im Ordner Favoriten. Du kannst nun auch die Homepage und Suchseiten wieder einstellen. Wenn du Netscape/Mozilla verwendest, musst du die Einstellungen ebenfalls wieder zurücksetzen.

Beende im Taskmanager/Process Explorer
folgende Prozesse, so vorhanden:

Code:

1111.exe
2443.exe
24701.exe
64 wma type.exe
activeonce.exe
afa6d429.exe
ahlrfsoy.exe
ante.exe
aswnk.exe
atiupdate2.exe
bags more bold.exe
bash second cast.exe
bendaceproc.exe
bind funk inside.exe
binsect.exe
bitsplaygrid.exe
bore2mags.exe
bytemess.exe
c:\docume~1\yap?@w~1\applic~1\ckcoofrunea.exe
campglueflap.exe
cash remote.exe
corn bold media.exe
cyd1.exe
debug anti anti.exe
debugregs.exe
defy view.exe
does admin.exe
download_plugin.exe
each cdrom memo.exe
etu1.exe
femguyse.exe
film.exe
fmtah.exe
frag drv first boob.exe
freemp3z.exe
funktypebinfffccc.exe
great 1.exe
great each close.exe
greyplan.exe
heartflaw.exe
help support.exe
hope1media.exe
hoxujhed.exe
hpt1.exe
interarmy.exe
jumpnoundate.exe
keep comp.exe
keyhost.exe
kind joy bib.exe
kvgpmfiv.exe
lejytfqx.exe
liesbagslist.exe
lite cake loud.exe
lniegfer.exe
loadcashmeet.exe
logo vc.exe
longonlineplay.exe
lrgluoot.exe
mail mess.exe
mp3.exe
mp3_plugin.exe
mp3serch.exe
nxfbmzqu.exe
pile default.exe
pkajulyt.exe
plus size.exe
profilepath+\application data\brsswthg.exe
profilepath+\application data\ckcoofrunea.exe
profilepath+\application data\ddinxmdb.exe
profilepath+\application data\dgpxzhtb.exe
profilepath+\application data\djgxsbcl.exe
profilepath+\application data\efjwxjsl.exe
profilepath+\application data\eneqckap.exe
profilepath+\application data\flmgvmas.exe
profilepath+\application data\fqbhyhjh.exe
profilepath+\application data\gchmfrea.exe
profilepath+\application data\gqlfiqii.exe
profilepath+\application data\gzxqpghe.exe
profilepath+\application data\hlsctpay.exe
profilepath+\application data\hlyvjncf.exe
profilepath+\application data\idixbdmf.exe
profilepath+\application data\kmigeuhh.exe
profilepath+\application data\lckqdcvd.exe
profilepath+\application data\list cool loud math\objnew.exe
profilepath+\application data\lkxelvrg.exe
profilepath+\application data\lopsearch.exe
profilepath+\application data\memo01idleheart\roam info.exe
profilepath+\application data\mspuztbg.exe
profilepath+\application data\muqhatod.exe
profilepath+\application data\muxibdom.exe
profilepath+\application data\mycvbdqu.exe
profilepath+\application data\nimylprv.exe
profilepath+\application data\one bolt bleh anti\once each.exe
profilepath+\application data\ovnolxvi.exe
profilepath+\application data\pbgqwhoj.exe
profilepath+\application data\qhiqikdr.exe
profilepath+\application data\qtufbghm.exe
profilepath+\application data\qwxgxlrv.exe
profilepath+\application data\roam surf part tick\junk pure.exe
profilepath+\application data\roam surf part tick\puretrust.exe
profilepath+\application data\save third mfcd boob\loudmove.exe
profilepath+\application data\save third mfcd boob\vga admin.exe
profilepath+\application data\sefiqovd.exe
profilepath+\application data\srytuikb.exe
profilepath+\application data\taecoidy.exe
profilepath+\application data\trmugnsu.exe
profilepath+\application data\trstlskb.exe
profilepath+\application data\uljpmexe.exe
profilepath+\application data\vlluafrq.exe
profilepath+\application data\vygaeifz.exe
profilepath+\application data\wa_inst.exe
profilepath+\application data\xxdfwvli.exe
profilepath+\application data\ysaebwco.exe
profilepath+\application data\zaeoxdiu.exe
profilepath+\application data\zdmlfhmh.exe
profilepath+\application data\zvpkxxtu.exe
profilepath+\application data\zvxcypnh.exe
profilepath+\local settings\temp\ayw17f.exe
profilepath+\local settings\temp\bae1.exe
profilepath+\local settings\temp\bvj13.exe
profilepath+\local settings\temp\den1.exe
profilepath+\local settings\temp\fbf1.exe
profilepath+\local settings\temp\hqe1.exe
profilepath+\local settings\temp\now1.exe
profilepath+\local settings\temp\pfn1.exe
profilepath+\local settings\temp\pnt1.exe
profilepath+\local settings\temp\prab.exe
profilepath+\local settings\temp\pyo25.exe
profilepath+\local settings\temp\qhy81.exe
profilepath+\local settings\temp\rem15.exe
profilepath+\local settings\temp\rem24.exe
profilepath+\local settings\temp\rem25.exe
profilepath+\local settings\temp\rem2ea.exe
profilepath+\local settings\temp\rny1.exe
profilepath+\local settings\temp\sml1.exe
profilepath+\local settings\temp\sta3.exe
profilepath+\local settings\temp\szwe.exe
profilepath+\local settings\temp\txo1.exe
profilepath+\local settings\temp\uqg1.exe
profilepath+\local settings\temp\vyz1.exe
profilepath+\local settings\temp\wry1.exe
profilepath+\local settings\temp\znp1.exe
profilepath+\local settings\temporary internet files\content.ie5\s9grsz83\cam-6415[1].exe
profilepath+\owner\local settings\temp\rem18c.exe
programfilesdir+\active download\16537.exe
programfilesdir+\armymo~1\3549.exe
programfilesdir+\burn media meta\bdvcnypx.exe
programfilesdir+\cityai~1\binidledumb.exe
programfilesdir+\creati~1\jynqzshx.exe
programfilesdir+\creati~1\oozeboob.exe
programfilesdir+\creati~1\pazgtrve.exe
programfilesdir+\creati~1\plus thunk mags.exe
programfilesdir+\creati~1\settings browse.exe
programfilesdir+\creati~1\skfvhmqz.exe
programfilesdir+\driveh~1\64bikeabout.exe
programfilesdir+\dvdfindload\bore active info funk.exe
programfilesdir+\dvdfindload\bqssapdm.exe
programfilesdir+\dvdfindload\ftulpefl.exe
programfilesdir+\dvdfindload\funktypebin.exe
programfilesdir+\elsewa~1\16021.exe
programfilesdir+\fourat~1\bowsbleh.exe
programfilesdir+\fourat~1\fkrbssba.exe
programfilesdir+\fourat~1\ford wma dead.exe
programfilesdir+\fourat~1\gagmqvaf.exe
programfilesdir+\fourat~1\kcwarhnv.exe
programfilesdir+\fourat~1\pure bash.exe
programfilesdir+\fourat~1\qsrdfyqj.exe
programfilesdir+\freein~1\fastfirst.exe
programfilesdir+\freein~1\knynnyma.exe
programfilesdir+\global~1\mfcdpingwarnfast.exe
programfilesdir+\greato~1\activebitsflap.exe
programfilesdir+\greato~1\afniekvu.exe
programfilesdir+\greato~1\cakerdrplan.exe
programfilesdir+\greato~1\idle barb ball.exe
programfilesdir+\greato~1\vzmhfjyb.exe
programfilesdir+\inside~1\manager free.exe
programfilesdir+\manager ace gram\1072.exe
programfilesdir+\mathte~1\bold grim.exe
programfilesdir+\memoli~1\bzqzgkdq.exe
programfilesdir+\memoli~1\cjcegzut.exe
programfilesdir+\memoli~1\dentcurbfree.exe
programfilesdir+\memoli~1\drv list part corn.exe
programfilesdir+\memoli~1\flaw army name.exe
programfilesdir+\memoli~1\hojxfjdu.exe
programfilesdir+\memoli~1\loyftzhg.exe
programfilesdir+\nounbe~1\curbuser.exe
programfilesdir+\objcdrom\16logplayprogram.exe
programfilesdir+\objcdrom\bait cake part bash.exe
programfilesdir+\objcdrom\safesoaplicenseplay.exe
programfilesdir+\objels~1\sizebuildlogo.exe
programfilesdir+\oozejo~1\14599.exe
programfilesdir+\oozejo~1\19205.exe
programfilesdir+\oozejo~1\24758.exe
programfilesdir+\oozejo~1\29923.exe
programfilesdir+\progra~1\city tons.exe
programfilesdir+\progra~1\clock mags inter book.exe
programfilesdir+\progra~1\cmbjcmrq.exe
programfilesdir+\progra~1\else iso user bows.exe
programfilesdir+\progra~1\flapholdlogo.exe
programfilesdir+\progra~1\inter phone pile default.exe
programfilesdir+\progra~1\one cdrom type more.exe
programfilesdir+\progra~1\wipekind.exe
programfilesdir+\progra~1\zwsghqhs.exe
programfilesdir+\proxyn~1\boldabout.exe
programfilesdir+\proxyn~1\citydog.exe
programfilesdir+\proxyn~1\more.exe
programfilesdir+\proxyn~1\realaudio.exe
programfilesdir+\proxyn~1\roam.exe
programfilesdir+\proxyn~1\salrukuu.exe
programfilesdir+\roamju~1\delete play.exe
programfilesdir+\roamse~1\rulefindcamp.exe
programfilesdir+\roamse~1\window skip.exe
programfilesdir+\safeba~1\stop hope.exe
programfilesdir+\sectmp~1\skipbase.exe
programfilesdir+\showsu~1\ewgcgvzk.exe
programfilesdir+\showsu~1\jxmiyjlq.exe
programfilesdir+\showsu~1\lfgaukbm.exe
programfilesdir+\showsu~1\media else rdr.exe
programfilesdir+\showsu~1\nnzmpuhm.exe
programfilesdir+\showsu~1\wtmtyuls.exe
programfilesdir+\showsupport\media else rdr.exe
programfilesdir+\sitein~1\eksthzea.exe
programfilesdir+\sitein~1\gcvbdwdc.exe
programfilesdir+\sitein~1\intramemocomp.exe
programfilesdir+\sitein~1\jeursyec.exe
programfilesdir+\sitein~1\lsocnmju.exe
programfilesdir+\sitein~1\ocyixkfk.exe
programfilesdir+\sitein~1\uyibygkh.exe
programfilesdir+\sitein~1\zgplkbke.exe
programfilesdir+\thirda~1\etarwlaf.exe
programfilesdir+\thirda~1\glue blue tons.exe
programfilesdir+\thirda~1\mediawebdownload.exe
programfilesdir+\thirda~1\ozrkesxz.exe
programfilesdir+\thirda~1\qmgytdru.exe
programfilesdir+\thirda~1\ruledatawma.exe
programfilesdir+\trayokay\eygfyuoe.exe
programfilesdir+\trayokay\rppzstyl.exe
programfilesdir+\waveba~1\32437.exe
programfilesdir+\wavebo~1\20044.exe
programfilesdir+\wavebo~1\7310.exe
programfilesdir+\wavesu~1\1716.exe
programfilesdir+\window active\winactive.exe
refslow.exe
removelop.exe
rgg1.exe
rpzgnwux.exe
rvimsmkf.exe
sect name.exe
sekkzgif.exe
setup.exe
sign support mags.exe
sizewaitgrim.exe
soft team.exe
software_plugin.exe
sta1f.exe
sta2.exe
systemroot+\application data\asshuktr.exe
systemroot+\application data\bilyooas.exe
systemroot+\application data\byb_save.exe
systemroot+\application data\crgbeaoa.exe
systemroot+\application data\dmvcrthl.exe
systemroot+\application data\eaymulyl.exe
systemroot+\application data\eeublidc.exe
systemroot+\application data\glxshmcr.exe
systemroot+\application data\ijlysseb.exe
systemroot+\application data\jqumysto.exe
systemroot+\application data\kfriegbs.exe
systemroot+\application data\llfggrdr.exe
systemroot+\application data\lltckiey.exe
systemroot+\application data\lopsearc.exe
systemroot+\application data\meemnckyqbr.exe
systemroot+\application data\meepajlr.exe
systemroot+\application data\mprcouie.exe
systemroot+\application data\oofrkxpe.exe
systemroot+\application data\peebqusz.exe
systemroot+\application data\quveioot.exe
systemroot+\application data\shoucrck.exe
systemroot+\application data\ssmeeibl.exe
systemroot+\application data\tchpeatr.exe
systemroot+\application data\tglblrll.exe
systemroot+\application data\trdzhtxf.exe
systemroot+\application data\trstdris.exe
systemroot+\application data\ulyuiexeechp.exe
systemroot+\application data\vestufck.exe
systemroot+\application data\vfthrcbr.exe
systemroot+\application data\xogyfhp.exe
systemroot+\application data\ykphmbre.exe
systemroot+\application data\ylynfste.exe
systemroot+\downloaded program files\the_ultimate_browser_enhancer.exe
systemroot+\system32\sxbmat.exe
systemroot+\temp\rem9b.exe
systemroot+\temp\remd.exe
systemroot+\ubipwdk.exe
tfsuxbtg.exe
time funk aim.exe
toolbar_uninstall.exe
waybait.exe
web default one.exe
winactivej.exe
winactivej_unpacked.exe
wshbrybr.exe
xlj1.exe
xxeoxiqu.exe
xyq.exe
ystck32.exe
yxogltoo.exe
.

Hinweis: Suche die Prozesse und beende sie!

>>Teil 2>>

[Ruby]

Teil 2

Du solltest ein Back-Up deiner Registry machen, bevor du sie editierst: back up.

Öffne den Registry Editor.
Klicke auf Start >ausführen, schreib REGEDIT -> [enter]
(oder verwende Registrar Lite)

Code:

Entferne diese Autorun-Einträge, soweit vorhanden:
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\blehantimapimeta
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\cam-6415[1]
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\defyactive
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\ford site
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\frckshll
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\idle heart free wipe
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\iso real
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\list 4
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\loud math help cash
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\meta mail
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\mfcd boob film frag
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\move delete
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\parttickwaitjugs
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\proxycity
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\setup wipe
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\start idle
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\two bags
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\twquh
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\ubipwdk
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\uqzborauqedw
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\winactive
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\window balm
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\ws2f35t
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\wstpsh
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\ybmk

Entferne diese Registry-Einträge, soweit vorhanden:
HKEY_CLASSES_ROOT\clsid\{00000012-890e-4aac-afd9-000000000000}
HKEY_CLASSES_ROOT\clsid\{03e3d2bf-051f-5094-5068-c5ee261285bc}
HKEY_CLASSES_ROOT\clsid\{07c0d34d-11d7-43f7-832b-c6bb41726f5f}
HKEY_CLASSES_ROOT\clsid\{0d4312e2-5e4d-4a27-a9d8-043e43904277}
HKEY_CLASSES_ROOT\clsid\{139e58c9-85b4-45db-9fc9-3919813709f0}
HKEY_CLASSES_ROOT\clsid\{1502ab76-0376-4b7b-8226-d34c941072f2}
HKEY_CLASSES_ROOT\clsid\{162ab497-087d-4fb3-83ba-4f5159613796}
HKEY_CLASSES_ROOT\clsid\{189210a0-36c2-11d7-9928-444553540000}
HKEY_CLASSES_ROOT\clsid\{18fd2e3d-35df-aa65-0952-7875de70845f}
HKEY_CLASSES_ROOT\clsid\{1a35419c-7394-4989-b3c5-6189eb06bd66}
HKEY_CLASSES_ROOT\clsid\{1e62ecd8-ae05-988b-f40a-369b2026409e}
HKEY_CLASSES_ROOT\clsid\{24f13043-edfc-446c-a07c-8ed6beb9e39e}
HKEY_CLASSES_ROOT\clsid\{25f1bb0d-2d8c-4dda-ad46-684719d09b7e}
HKEY_CLASSES_ROOT\clsid\{289848e1-2d29-4d00-9ff1-0c09a1256662}
HKEY_CLASSES_ROOT\clsid\{2e1162f8-d289-359d-b1e4-0a4d9301a7d1}
HKEY_CLASSES_ROOT\clsid\{3247f2dc-f2a1-9d95-a072-dbb3e1690643}
HKEY_CLASSES_ROOT\clsid\{3dcdb313-84a2-6218-64ee-1110caa46fb5}
HKEY_CLASSES_ROOT\clsid\{4b8edc53-6cfd-4ee4-9504-38ce7a5bc416}
HKEY_CLASSES_ROOT\clsid\{562a6158-bcae-e53f-d40e-403ef85b70a4}
HKEY_CLASSES_ROOT\clsid\{56d59f1a-e81a-c85f-d7bb-07a6f380a834}
HKEY_CLASSES_ROOT\clsid\{7b49a2a5-b45f-46f3-ac60-2578477671ee}
HKEY_CLASSES_ROOT\clsid\{80fddae7-d472-4e1f-8c3a-36b75a091c44}
HKEY_CLASSES_ROOT\clsid\{84b55b37-aff7-8942-25ac-f0c5d7a32619}
HKEY_CLASSES_ROOT\clsid\{8522f9b3-38c5-4aa4-ae40-7401f1bbc851}
HKEY_CLASSES_ROOT\clsid\{8f1a15a7-92b0-4467-ad12-369f60174008}
HKEY_CLASSES_ROOT\clsid\{914d0f58-630a-465d-8e28-aea5158e6606}
HKEY_CLASSES_ROOT\clsid\{9b35a850-66ab-4c6d-8a66-136ecadcd904}
HKEY_CLASSES_ROOT\clsid\{a27d4f42-3018-59ed-19ff-4c1b7a2c18fa}
HKEY_CLASSES_ROOT\clsid\{b0a11536-00dc-268e-042a-6cb617e6965e}
HKEY_CLASSES_ROOT\clsid\{b9c38317-4e71-4d7b-b072-3aa8dda923b3}
HKEY_CLASSES_ROOT\clsid\{bcd5534b-2f54-428e-b3f3-e03b6f10a233}
HKEY_CLASSES_ROOT\clsid\{bd8fd0b2-0e6b-4ffa-916f-db8ff7411d5f}
HKEY_CLASSES_ROOT\clsid\{c4b41c0c-4e7b-37e0-7b80-ed6437c8eb2c}
HKEY_CLASSES_ROOT\clsid\{c5d6b9c5-1c08-43f9-bd04-6aefa21dd754}
HKEY_CLASSES_ROOT\clsid\{c61c874f-60bb-4ee7-8afa-92dc85b180c9}
HKEY_CLASSES_ROOT\clsid\{c65cad7f-e382-4b90-95c6-89123d0aee61}
HKEY_CLASSES_ROOT\clsid\{cfadae1d-f67a-c8f7-46a6-eb20e32a92cd}
HKEY_CLASSES_ROOT\clsid\{d1d9e2f6-c179-4386-b197-c4a85c026f67}
HKEY_CLASSES_ROOT\clsid\{d3119527-9be0-422c-b9fa-5143d75dfbea}
HKEY_CLASSES_ROOT\clsid\{d31e488c-9ed3-4fb0-8f82-f1d559553c06}
HKEY_CLASSES_ROOT\clsid\{d44b5436-b3e4-4595-b0e9-106690e70a58}
HKEY_CLASSES_ROOT\clsid\{e58e7c45-c426-993a-2a9f-3640a22bf60e}
HKEY_CLASSES_ROOT\clsid\{e69e6d3b-861e-4c8b-bdd4-a8b7a61af313}
HKEY_CLASSES_ROOT\clsid\{eb9bdd24-ccf1-4a87-98c0-579dba9bda83}
HKEY_CLASSES_ROOT\clsid\{ec28a907-37ac-4d9a-a928-ee2ba555a141}
HKEY_CLASSES_ROOT\clsid\{f2a5a613-88e0-b267-ce78-aedd8db3ce45}
HKEY_CLASSES_ROOT\clsid\{fe289ae1-16e9-9235-420a-95ff90a194f4}
HKEY_CLASSES_ROOT\clsid\{fe54e96b-f246-4ed7-97a2-e27086ce5b21}
HKEY_CLASSES_ROOT\coal.insidechic
HKEY_CLASSES_ROOT\coal.insidechic.1
HKEY_CLASSES_ROOT\dybvi.rngrstrm
HKEY_CLASSES_ROOT\dybvi.rngrstrm.1
HKEY_CLASSES_ROOT\invisiblepop.invisible
HKEY_CLASSES_ROOT\invisiblepop.invisible.1
HKEY_CLASSES_ROOT\pop.phonebird
HKEY_CLASSES_ROOT\pop.phonebird.1
HKEY_CLASSES_ROOT\proto.handler
HKEY_CLASSES_ROOT\proto.handler.1
HKEY_CLASSES_ROOT\protocols\handler\ayb
HKEY_CLASSES_ROOT\software\microsoft\windows\currentversion\explorer\browser helper objects\{d44b5436-b3e4-4595-b0e9-106690e70a58}
HKEY_CLASSES_ROOT\swish.browserhelper
HKEY_CLASSES_ROOT\swish.browserhelper.1
HKEY_CLASSES_ROOT\swish.toolband
HKEY_CLASSES_ROOT\swish.toolband.1
HKEY_CLASSES_ROOT\typelib\{1a35419c-7394-4989-b3c5-6189eb06bd66}
HKEY_CLASSES_ROOT\typelib\{8f1a15a7-92b0-4467-ad12-369f60174008}
HKEY_CLASSES_ROOT\typelib\{c65cad7f-e382-4b90-95c6-89123d0aee61}
HKEY_CLASSES_ROOT\typelib\{d31e488c-9ed3-4fb0-8f82-f1d559553c06}
HKEY_CLASSES_ROOT\typelib\{dffe1ccf-e1e8-4470-9962-73277cc2c898}
HKEY_CLASSES_ROOT\typelib\{fe54e96b-f246-4ed7-97a2-e27086ce5b21}
HKEY_CLASSES_ROOT\udhiu.rngrstrjyvscd
HKEY_CLASSES_ROOT\udhiu.rngrstrjyvscd.1
HKEY_CURRENT_USER\software\microsoft\internet explorer\toolbar\webbrowser\{18fd2e3d-35df-aa65-0952-7875de70845f}
HKEY_CURRENT_USER\software\microsoft\internet explorer\toolbar\webbrowser\{2e1162f8-d289-359d-b1e4-0a4d9301a7d1}
HKEY_CURRENT_USER\software\microsoft\internet explorer\toolbar\webbrowser\{38d8beb0-8e9c-48e2-b36e-759615f9930f}
HKEY_CURRENT_USER\software\microsoft\internet explorer\toolbar\webbrowser\{562a6158-bcae-e53f-d40e-403ef85b70a4}
HKEY_CURRENT_USER\software\microsoft\internet explorer\toolbar\webbrowser\{56d59f1a-e81a-c85f-d7bb-07a6f380a834}
HKEY_CURRENT_USER\software\microsoft\internet explorer\toolbar\webbrowser\{84b55b37-aff7-8942-25ac-f0c5d7a32619}
HKEY_CURRENT_USER\software\microsoft\internet explorer\toolbar\webbrowser\{a27d4f42-3018-59ed-19ff-4c1b7a2c18fa}
HKEY_CURRENT_USER\software\microsoft\internet explorer\toolbar\webbrowser\{b0a11536-00dc-268e-042a-6cb617e6965e}
HKEY_CURRENT_USER\software\microsoft\internet explorer\toolbar\webbrowser\{e58e7c45-c426-993a-2a9f-3640a22bf60e}
HKEY_CURRENT_USER\software\microsoft\internet explorer\toolbar\webbrowser\{fe289ae1-16e9-9235-420a-95ff90a194f4}
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\backup
HKEY_CURRENT_USER\software\trinityayb
HKEY_CURRENT_USER\software\winactive
HKEY_CURRENT_USER\software\xsswbrwougouecr
HKEY_LOCAL_MACHINE\software\classes\clsid\{092d8662-f5c6-41a3-be1d-14d940f6010d}
HKEY_LOCAL_MACHINE\software\classes\clsid\{139e58c9-85b4-45db-9fc9-3919813709f0}
HKEY_LOCAL_MACHINE\software\classes\clsid\{162ab497-087d-4fb3-83ba-4f5159613796}
HKEY_LOCAL_MACHINE\software\classes\clsid\{289848e1-2d29-4d00-9ff1-0c09a1256662}
HKEY_LOCAL_MACHINE\software\classes\clsid\{33a4af42-fc94-4873-8bc0-1da97d6edd6d}
HKEY_LOCAL_MACHINE\software\classes\clsid\{80fddae7-d472-4e1f-8c3a-36b75a091c44}
HKEY_LOCAL_MACHINE\software\classes\clsid\{914d0f58-630a-465d-8e28-aea5158e6606}
HKEY_LOCAL_MACHINE\software\classes\clsid\{9b35a850-66ab-4c6d-8a66-136ecadcd904}
HKEY_LOCAL_MACHINE\software\classes\clsid\{b0a11536-00dc-268e-042a-6cb617e6965e}
HKEY_LOCAL_MACHINE\software\classes\clsid\{b9c38317-4e71-4d7b-b072-3aa8dda923b3}
HKEY_LOCAL_MACHINE\software\classes\clsid\{bd8fd0b2-0e6b-4ffa-916f-db8ff7411d5f}
HKEY_LOCAL_MACHINE\software\classes\clsid\{c5d6b9c5-1c08-43f9-bd04-6aefa21dd754}
HKEY_LOCAL_MACHINE\software\classes\clsid\{c8a113e0-6da0-4f0e-bb89-9726212aaf32}
HKEY_LOCAL_MACHINE\software\classes\clsid\{d3119527-9be0-422c-b9fa-5143d75dfbea}
HKEY_LOCAL_MACHINE\software\classes\clsid\{d44b5436-b3e4-4595-b0e9-106690e70a58}
HKEY_LOCAL_MACHINE\software\classes\clsid\{e69e6d3b-861e-4c8b-bdd4-a8b7a61af313}
HKEY_LOCAL_MACHINE\software\classes\clsid\{f689307b-c3cd-4d10-aaf2-d1f75358a5c2}
HKEY_LOCAL_MACHINE\software\classes\clsid\{fe289ae1-16e9-9235-420a-95ff90a194f4}
HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\toolbar\{18fd2e3d-35df-aa65-0952-7875de70845f}
HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\toolbar\{1e62ecd8-ae05-988b-f40a-369b2026409e}
HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\toolbar\{289848e1-2d29-4d00-9ff1-0c09a1256662}
HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\toolbar\{2e1162f8-d289-359d-b1e4-0a4d9301a7d1}
HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\toolbar\{562a6158-bcae-e53f-d40e-403ef85b70a4}
HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\toolbar\{56d59f1a-e81a-c85f-d7bb-07a6f380a834}
HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\toolbar\{7b49a2a5-b45f-46f3-ac60-2578477671ee}
HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\toolbar\{80fddae7-d472-4e1f-8c3a-36b75a091c44}
HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\toolbar\{84b55b37-aff7-8942-25ac-f0c5d7a32619}
HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\toolbar\{914d0f58-630a-465d-8e28-aea5158e6606}
HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\toolbar\{9b35a850-66ab-4c6d-8a66-136ecadcd904}
HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\toolbar\{a27d4f42-3018-59ed-19ff-4c1b7a2c18fa}
HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\toolbar\{b0a11536-00dc-268e-042a-6cb617e6965e}
HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\toolbar\{c4b41c0c-4e7b-37e0-7b80-ed6437c8eb2c}
HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\toolbar\{c5d6b9c5-1c08-43f9-bd04-6aefa21dd754}
HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\toolbar\{d3119527-9be0-422c-b9fa-5143d75dfbea}
HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\toolbar\{e58e7c45-c426-993a-2a9f-3640a22bf60e}
HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\toolbar\{ec28a907-37ac-4d9a-a928-ee2ba555a141}
HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\toolbar\{f689307b-c3cd-4d10-aaf2-d1f75358a5c2}
HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\toolbar\{fe289ae1-16e9-9235-420a-95ff90a194f4}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{03e3d2bf-051f-5094-5068-c5ee261285bc}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{092d8662-f5c6-41a3-be1d-14d940f6010d}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{139e58c9-85b4-45db-9fc9-3919813709f0}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{162ab497-087d-4fb3-83ba-4f5159613796}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{24f13043-edfc-446c-a07c-8ed6beb9e39e}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{26dc15e7-ea6e-378b-68aa-cd224b3ad7c3}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{3247f2dc-f2a1-9d95-a072-dbb3e1690643}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{33a4af42-fc94-4873-8bc0-1da97d6edd6d}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{3dcdb313-84a2-6218-64ee-1110caa46fb5}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{4b8edc53-6cfd-4ee4-9504-38ce7a5bc416}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{b9c38317-4e71-4d7b-b072-3aa8dda923b3}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{bd8fd0b2-0e6b-4ffa-916f-db8ff7411d5f}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{c8a113e0-6da0-4f0e-bb89-9726212aaf32}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{cfadae1d-f67a-c8f7-46a6-eb20e32a92cd}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{d44b5436-b3e4-4595-b0e9-106690e70a58}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{e69e6d3b-861e-4c8b-bdd4-a8b7a61af313}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{f2a5a613-88e0-b267-ce78-aedd8db3ce45}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\installer\products\c8d617f6f8933d11581e000540386890\webpublfiles\usage
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\blehantimapimeta
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\cam-6415[1]
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\defyactive
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\ford site
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\frckshll
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\idle heart free wipe
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\iso real
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\list 4
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\loud math help cash
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\meta mail
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\mfcd boob film frag
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\move delete
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\parttickwaitjugs
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\proxycity
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\setup wipe
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\start idle
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\two bags
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\twquh
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\ubipwdk
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\uqzborauqedw
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\winactive
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\window balm
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\ws2f35t
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\wstpsh
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\ybmk
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\nthlllleth
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\pprwazmprss
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\shubryochuss
.

Schliesse den Registry Editor.

Starte deinen Rechner neu in den abgesicherten Modus

Lösche diese Files, wenn vorhanden, mit dem Windows Explorer:

Code:

1111.exe
2443.exe
24701.exe
2dimensionofexploits.asm
2dimensionofexploitsenc.hta
2dimensionofexploitsenc.php
455ba634cc
64 wma type.exe
activeonce.exe
afa6d429.exe
agreement-.htm
ahlrfsoy.exe
ante.exe
antedefault.dll
aswnk.exe
aswwxs.reg
atiupdate2.exe
backup.reg
bags more bold.exe
bash second cast.exe
bendaceproc.exe
bike poke.dll
bind funk inside.exe
binsect.exe
bitsplaygrid.exe
bore2mags.exe
bytemess.exe
c:\docume~1\yap?@w~1\applic~1\ckcoofrunea.exe
campglueflap.exe
cash remote.exe
cast idle.dll
ckouvcrcgcea.dll
corn bold media.exe
cyd1.exe
debug anti anti.exe
debugregs.exe
defy view.exe
desktopdir+\adult.lnk
desktopdir+\gambling and online casinos.lnk
desktopdir+\mp3 music search.lnk
desktopdir+\news and sports.lnk
desktopdir+\online movies.lnk
does admin.exe
download_plugin.exe
each cdrom memo.exe
eshglkfvcr.dll
etu1.exe
exploit1.htm
favorites+\ adult entertainment.url

favorites+\ adult\adult chat.url
favorites+\ adult\amateur photo.url
favorites+\ adult\asian ***.url
favorites+\ adult\ebony.url
favorites+\ adult\fetish.url
favorites+\ adult\gay and lesbian.url
favorites+\ adult\hardcore.url
favorites+\ adult\live video feeds.url
favorites+\ adult\matchmaking.url
favorites+\ adult\xxx cartoons.url
favorites+\ business and finance\b to b.url
favorites+\ business and finance\banking.url
favorites+\ business and finance\business.url
favorites+\ business and finance\careers.url
favorites+\ business and finance\credit cards.url
favorites+\ business and finance\finance.url
favorites+\ business and finance\insurance.url
favorites+\ business and finance\office.url
favorites+\ business and finance\printing.url
favorites+\ computers and tech\computer games.url
favorites+\ computers and tech\computer stores.url
favorites+\ computers and tech\dedicated server.url
favorites+\ computers and tech\domain names.url
favorites+\ computers and tech\hardware.url
favorites+\ computers and tech\laptops.url
favorites+\ computers and tech\software.url
favorites+\ computers and tech\telecommunication\mobile phones.url
favorites+\ computers and tech\telecommunication\telecommunication.url
favorites+\ computers and tech\telecommunication\telephone.url
favorites+\ computers and tech\telecommunication\text sms messaging.url
favorites+\ computers and tech\web design.url
favorites+\ computers and tech\web hosting.url
favorites+\ cool stuff\auction.url
favorites+\ cool stuff\classifieds.url
favorites+\ cool stuff\free emails.url
favorites+\ cool stuff\free homepages.url
favorites+\ cool stuff\free services.url
favorites+\ cool stuff\school essays and homework.url
favorites+\ cool stuff\services.url
favorites+\ entertainment\adult entertainment.url
favorites+\ entertainment\automotive.url
favorites+\ entertainment\dvd.url
favorites+\ entertainment\entertainment.url
favorites+\ entertainment\hot games and gaming.url
favorites+\ entertainment\mp3.url
favorites+\ entertainment\travel.url
favorites+\ gambling.url
favorites+\ gambling\black jack.url
favorites+\ gambling\chips.url
favorites+\ gambling\craps.url
favorites+\ gambling\multi player.url
favorites+\ gambling\online casinos.url
favorites+\ gambling\poker.url
favorites+\ gambling\roulette.url
favorites+\ gambling\slots.url
favorites+\ gambling\sports books.url
favorites+\ games.url
favorites+\ mp3 music.url
favorites+\ news.url
favorites+\ on lifestyle\art.url
favorites+\ on lifestyle\astrology.url
favorites+\ on lifestyle\books.url
favorites+\ on lifestyle\community.url
favorites+\ on lifestyle\ebooks.url
favorites+\ on lifestyle\education\education.url
favorites+\ on lifestyle\education\training.url
favorites+\ on lifestyle\health and beauty\beauty.url
favorites+\ on lifestyle\health and beauty\health and fitness.url
favorites+\ on lifestyle\health and beauty\pharmacy.url
favorites+\ on lifestyle\home and garden\construction.url
favorites+\ on lifestyle\home and garden\furniture.url
favorites+\ on lifestyle\home and garden\home and garden.url
favorites+\ on lifestyle\home and garden\real estate.url
favorites+\ on lifestyle\home and garden\utilities.url
favorites+\ on lifestyle\kids.url
favorites+\ on lifestyle\magazines.url
favorites+\ on lifestyle\matchmaking.url
favorites+\ on lifestyle\pets.url
favorites+\ on lifestyle\self help.url
favorites+\ on lifestyle\wine.url
favorites+\ on lifestyle\women.url
favorites+\ shopping and gifts\accessories.url
favorites+\ shopping and gifts\apparel.url
favorites+\ shopping and gifts\cards.url
favorites+\ shopping and gifts\electronics.url
favorites+\ shopping and gifts\flowers.url
favorites+\ shopping and gifts\gifts.url
favorites+\ shopping and gifts\jewlery.url
favorites+\ shopping and gifts\retail products.url
favorites+\ shopping and gifts\shoes.url
favorites+\ shopping and gifts\shopping.url
favorites+\ shopping and gifts\toys.url
favorites+\entertainment\games.url
femguyse.exe
film.exe
filmpeak.dll
fmtah.exe
frag drv first boob.exe
freemp3z.exe
fullscreenbar.htm
funktypebinfffccc.exe
glzchtb.lib
great 1.exe
great each close.exe
greyplan.exe
header (1).htm
header (2).htm
header (3).htm
header.htm
heart setup inside.bin
heartflaw.exe
help support.exe
hope1media.exe
hoxujhed.exe
hpt1.exe
install.htm
install.txt
installation report download_plugin.htm
interarmy.exe
jumpnoundate.exe
keep comp.exe
keyhost.exe
khzc256.tmp
kind joy bib.exe
ktbxbllyth.dll
kvgpmfiv.exe
lejytfqx.exe
liesbagslist.exe
links.txt
lite cake loud.exe
lniegfer.exe
loadcashmeet.exe
logo vc.exe
longonlineplay.exe
lop notes.txt
lrgluoot.exe
lyzkisnf.dll
mail mess.exe
mp3.exe
mp3_plugin.exe
mp3serch.exe
nxfbmzqu.exe
onlinecontent.lnk
passthrough[1].htm
pile default.exe
pkajulyt.exe
plus size.exe
popupbaropener[1].htm
profilepath+\application data\aybgwarn.htm
profilepath+\application data\aybwarn.htm
profilepath+\application data\brsswthg.exe
profilepath+\application data\chblgrstd.lib
profilepath+\application data\ckcoofrunea.exe
profilepath+\application data\ddinxmdb.exe
profilepath+\application data\deskicon.lib
profilepath+\application data\dgpxzhtb.exe
profilepath+\application data\djgxsbcl.exe
profilepath+\application data\drstesprpee.dll
profilepath+\application data\efjwxjsl.exe
profilepath+\application data\eneqckap.exe
profilepath+\application data\flmgvmas.exe
profilepath+\application data\fqbhyhjh.exe
profilepath+\application data\frlyjeebtrn.dll
profilepath+\application data\frlyjeebtru.dll
profilepath+\application data\frsezaeaast.dll
profilepath+\application data\frsezaeaav.dll
profilepath+\application data\gchmfrea.exe
profilepath+\application data\glckqksdr.dll
profilepath+\application data\gqlfiqii.exe
profilepath+\application data\gzxqpghe.exe
profilepath+\application data\hlsctpay.exe
profilepath+\application data\hlyvjncf.exe
profilepath+\application data\idixbdmf.exe
profilepath+\application data\ieeblostqly.dll
profilepath+\application data\kmigeuhh.exe
profilepath+\application data\lckqdcvd.exe
profilepath+\application data\list cool loud math\objnew.exe
profilepath+\application data\lkxelvrg.exe
profilepath+\application data\llssalycshh.dll
profilepath+\application data\lopsearch.exe
profilepath+\application data\memo01idleheart\roam info.exe
profilepath+\application data\mspuztbg.exe
profilepath+\application data\muqhatod.exe
profilepath+\application data\muxibdom.exe
profilepath+\application data\mycvbdqu.exe
profilepath+\application data\nimylprv.exe
profilepath+\application data\nshelstpgl.dll
profilepath+\application data\one bolt bleh anti\once each.exe
profilepath+\application data\oostshthptrv.dll
profilepath+\application data\ovnolxvi.exe
profilepath+\application data\pbgqwhoj.exe
profilepath+\application data\plg_ie0.dll
profilepath+\application data\prnshgrdssb.dll
profilepath+\application data\qhiqikdr.exe
profilepath+\application data\qtufbghm.exe
profilepath+\application data\qwxgxlrv.exe
profilepath+\application data\roam surf part tick\junk pure.exe
profilepath+\application data\roam surf part tick\puretrust.exe
profilepath+\application data\save third mfcd boob\loudmove.exe
profilepath+\application data\save third mfcd boob\vga admin.exe
profilepath+\application data\sefiqovd.exe
profilepath+\application data\srytuikb.exe
profilepath+\application data\taecoidy.exe
profilepath+\application data\trmugnsu.exe
profilepath+\application data\trstlskb.exe
profilepath+\application data\uljpmexe.exe
profilepath+\application data\vlluafrq.exe
profilepath+\application data\vygaeifz.exe
profilepath+\application data\wa_inst.exe
profilepath+\application data\xxdfwvli.exe
profilepath+\application data\ysaebwco.exe
profilepath+\application data\zaeoxdiu.exe
profilepath+\application data\zdmlfhmh.exe
profilepath+\application data\zvpkxxtu.exe
profilepath+\application data\zvxcypnh.exe
profilepath+\application data\zxenmgrbl.dll
profilepath+\local settings\temp\ayw17f.exe
profilepath+\local settings\temp\bae1.exe
profilepath+\local settings\temp\bvj13.exe
profilepath+\local settings\temp\den1.exe
profilepath+\local settings\temp\fbf1.exe
profilepath+\local settings\temp\hqe1.exe
profilepath+\local settings\temp\now1.exe
profilepath+\local settings\temp\pfn1.exe
profilepath+\local settings\temp\pnt1.exe
profilepath+\local settings\temp\prab.exe
profilepath+\local settings\temp\pyo25.exe
profilepath+\local settings\temp\qhy81.exe
profilepath+\local settings\temp\rem15.exe
profilepath+\local settings\temp\rem24.exe
profilepath+\local settings\temp\rem25.exe
profilepath+\local settings\temp\rem2ea.exe
profilepath+\local settings\temp\rny1.exe
profilepath+\local settings\temp\sml1.exe
profilepath+\local settings\temp\sta3.exe
profilepath+\local settings\temp\szwe.exe
profilepath+\local settings\temp\txo1.exe
profilepath+\local settings\temp\uqg1.exe
profilepath+\local settings\temp\vyz1.exe
profilepath+\local settings\temp\wry1.exe
profilepath+\local settings\temp\znp1.exe
profilepath+\local settings\temporary internet files\content.ie5\s9grsz83\cam-6415[1].exe
profilepath+\owner\local settings\temp\rem18c.exe
programfilesdir+\64comp~1\rule keep.dll
programfilesdir+\acidme~1\barbboob.dll
programfilesdir+\acidme~1\chin mfcd.bin
programfilesdir+\active download\16537.exe
programfilesdir+\active download\store funk.dll
programfilesdir+\active~1\store funk.dll
programfilesdir+\armymo~1\3549.exe
programfilesdir+\armymo~1\antitype.dll
programfilesdir+\armymo~1\hole title.dll
programfilesdir+\armymo~1\longpuresoft.bin
programfilesdir+\burn media meta\bdvcnypx.exe
programfilesdir+\cityai~1\binidledumb.exe
programfilesdir+\creati~1\jynqzshx.exe
programfilesdir+\creati~1\oozeboob.exe
programfilesdir+\creati~1\pazgtrve.exe
programfilesdir+\creati~1\plus thunk mags.exe
programfilesdir+\creati~1\settings browse.exe
programfilesdir+\creati~1\skfvhmqz.exe
programfilesdir+\driveh~1\64bikeabout.exe
programfilesdir+\dvdfindload\bore active info funk.exe
programfilesdir+\dvdfindload\bqssapdm.exe
programfilesdir+\dvdfindload\ftulpefl.exe
programfilesdir+\dvdfindload\funktypebin.exe
programfilesdir+\elsewa~1\16021.exe
programfilesdir+\elsewa~1\thatlong.dll
programfilesdir+\fourat~1\bowsbleh.exe
programfilesdir+\fourat~1\fkrbssba.exe
programfilesdir+\fourat~1\ford wma dead.exe
programfilesdir+\fourat~1\gagmqvaf.exe
programfilesdir+\fourat~1\kcwarhnv.exe
programfilesdir+\fourat~1\pure bash.exe
programfilesdir+\fourat~1\qsrdfyqj.exe
programfilesdir+\freein~1\fastfirst.exe
programfilesdir+\freein~1\knynnyma.exe
programfilesdir+\global~1\mfcdpingwarnfast.exe
programfilesdir+\greato~1\activebitsflap.exe
programfilesdir+\greato~1\afniekvu.exe
programfilesdir+\greato~1\cakerdrplan.exe
programfilesdir+\greato~1\idle barb ball.exe
programfilesdir+\greato~1\vzmhfjyb.exe
programfilesdir+\inside~1\manager free.exe
programfilesdir+\jugsse~1\pile inter grim.bin
programfilesdir+\logobi~1\deafdoes.dll
programfilesdir+\manager ace gram\1072.exe
programfilesdir+\mapigr~1\acid slow.bin
programfilesdir+\mapigr~1\peak that.dll
programfilesdir+\mathte~1\bold grim.exe
programfilesdir+\memoli~1\bzqzgkdq.exe
programfilesdir+\memoli~1\cjcegzut.exe
programfilesdir+\memoli~1\dentcurbfree.exe
programfilesdir+\memoli~1\drv list part corn.exe
programfilesdir+\memoli~1\flaw army name.exe
programfilesdir+\memoli~1\hojxfjdu.exe
programfilesdir+\memoli~1\loyftzhg.exe
programfilesdir+\metaac~1\phone internet.dll
programfilesdir+\nounbe~1\curbuser.exe
programfilesdir+\objcdrom\16logplayprogram.exe
programfilesdir+\objcdrom\bait cake part bash.exe
programfilesdir+\objcdrom\safesoaplicenseplay.exe
programfilesdir+\objels~1\sizebuildlogo.exe
programfilesdir+\oozejo~1\14599.exe
programfilesdir+\oozejo~1\19205.exe
programfilesdir+\oozejo~1\24758.exe
programfilesdir+\oozejo~1\29923.exe
programfilesdir+\oozejo~1\copy data.dll
programfilesdir+\oozejo~1\dent team.dll
programfilesdir+\progra~1\city tons.exe
programfilesdir+\progra~1\clock mags inter book.exe
programfilesdir+\progra~1\cmbjcmrq.exe
programfilesdir+\progra~1\else iso user bows.exe
programfilesdir+\progra~1\flapholdlogo.exe
programfilesdir+\progra~1\inter phone pile default.exe
programfilesdir+\progra~1\one cdrom type more.exe
programfilesdir+\progra~1\wipekind.exe
programfilesdir+\progra~1\zwsghqhs.exe
programfilesdir+\proxyn~1\boldabout.exe
programfilesdir+\proxyn~1\citydog.exe
programfilesdir+\proxyn~1\more.exe
programfilesdir+\proxyn~1\realaudio.exe
programfilesdir+\proxyn~1\roam.exe
programfilesdir+\proxyn~1\salrukuu.exe
programfilesdir+\roamju~1\delete play.exe
programfilesdir+\roamse~1\rulefindcamp.exe
programfilesdir+\roamse~1\window skip.exe
programfilesdir+\safeba~1\stop hope.exe
programfilesdir+\sectmp~1\skipbase.exe
programfilesdir+\showsu~1\ewgcgvzk.exe
programfilesdir+\showsu~1\jxmiyjlq.exe
programfilesdir+\showsu~1\lfgaukbm.exe
programfilesdir+\showsu~1\media else rdr.exe
programfilesdir+\showsu~1\nnzmpuhm.exe
programfilesdir+\showsu~1\wtmtyuls.exe
programfilesdir+\showsupport\media else rdr.exe
programfilesdir+\sitein~1\eksthzea.exe
programfilesdir+\sitein~1\gcvbdwdc.exe
programfilesdir+\sitein~1\intramemocomp.exe
programfilesdir+\sitein~1\jeursyec.exe
programfilesdir+\sitein~1\lsocnmju.exe
programfilesdir+\sitein~1\ocyixkfk.exe
programfilesdir+\sitein~1\uyibygkh.exe
programfilesdir+\sitein~1\zgplkbke.exe
programfilesdir+\thirda~1\etarwlaf.exe
programfilesdir+\thirda~1\glue blue tons.exe
programfilesdir+\thirda~1\mediawebdownload.exe
programfilesdir+\thirda~1\ozrkesxz.exe
programfilesdir+\thirda~1\qmgytdru.exe
programfilesdir+\thirda~1\ruledatawma.exe
programfilesdir+\trayokay\eygfyuoe.exe
programfilesdir+\trayokay\rppzstyl.exe
programfilesdir+\waveba~1\32437.exe
programfilesdir+\waveba~1\aim 1.dll
programfilesdir+\wavebo~1\20044.exe
programfilesdir+\wavebo~1\7310.exe
programfilesdir+\wavebo~1\acid team.dll
programfilesdir+\wavebo~1\elsemode.dll
programfilesdir+\wavesu~1\1716.exe
programfilesdir+\wavesu~1\great ante.dll
programfilesdir+\wavesu~1\moreamok.bin
programfilesdir+\waymov~1\acid stop.bin
programfilesdir+\waymov~1\curb bind.dll
programfilesdir+\wayvga~2\info wait.dll
programfilesdir+\window active\unbzip2s.dll
programfilesdir+\window active\winactive.exe
refslow.exe
removelop.exe
rgg1.exe
rpzgnwux.exe
rvimsmkf.exe
sect name.exe
sekkzgif.exe
setup time.dll
setup.exe
sfx71e4.tmp
sfxbe.tmp
sign support mags.exe
sizewaitgrim.exe
soft team.exe
software grim.dll
software_plugin.exe
ssaxstxoaieoagrh.reg
sta1f.exe
sta2.exe
systemroot+\application data\asshuktr.exe
systemroot+\application data\aybgwarn.htm
systemroot+\application data\aybwarn.htm
systemroot+\application data\bilyooas.exe
systemroot+\application data\byb_save.exe
systemroot+\application data\chksbdriya.dll
systemroot+\application data\crgbeaoa.exe
systemroot+\application data\dmvcrthl.exe
systemroot+\application data\droxtrdchdoo.dll
systemroot+\application data\eaeeishllblc.dll
systemroot+\application data\ealymfrprwch.dll
systemroot+\application data\eaymulyl.exe
systemroot+\application data\eelykofrllfrj.dll
systemroot+\application data\eelykofrllfrpr.dll
systemroot+\application data\eeublidc.exe
systemroot+\application data\epllkeeoopr.dll
systemroot+\application data\freabrlaouw.dll
systemroot+\application data\gldqumssfrie.dll
systemroot+\application data\glxshmcr.exe
systemroot+\application data\heeachmstll.dll
systemroot+\application data\hglllyxrxw.dll
systemroot+\application data\icdrhwno.dll
systemroot+\application data\ijlysseb.exe
systemroot+\application data\jqumysto.exe
systemroot+\application data\kfriegbs.exe
systemroot+\application data\llfggrdr.exe
systemroot+\application data\lltckiey.exe
systemroot+\application data\lopsearc.exe
systemroot+\application data\meemnckyqbr.exe
systemroot+\application data\meepajlr.dll
systemroot+\application data\meepajlr.exe
systemroot+\application data\mprcouie.exe
systemroot+\application data\oofrkxpe.exe
systemroot+\application data\ousszidrta.dll
systemroot+\application data\peebqusz.exe
systemroot+\application data\prnouestssstx.dll
systemroot+\application data\prxzoustustgr.dll
systemroot+\application data\quglwachfs.dll
systemroot+\application data\quveioot.exe
systemroot+\application data\shoucrck.exe
systemroot+\application data\ssmeeibl.exe
systemroot+\application data\sstroallhqch.dll
systemroot+\application data\tblchepruprgr.dll
systemroot+\application data\tchpeatr.exe
systemroot+\application data\tglblrll.exe
systemroot+\application data\trdzhtxf.exe
systemroot+\application data\trstdris.exe
systemroot+\application data\trstshcrscksr.dll
systemroot+\application data\ukfroigl.dll
systemroot+\application data\ulyuiexeechp.exe
systemroot+\application data\upckeetoutw.dll
systemroot+\application data\veaeyglckr.dll
systemroot+\application data\vestufck.exe
systemroot+\application data\vfthrcbr.exe
systemroot+\application data\woafrquzn.dll
systemroot+\application data\xogyfhp.exe
systemroot+\application data\yeecrsoustoull.dll
systemroot+\application data\ykphmbre.exe
systemroot+\application data\ylynfste.exe
systemroot+\application data\ziebaeeoaeepr.dll
systemroot+\b_dnserr.gif
systemroot+\desktop.htm
systemroot+\dnserror.htm
systemroot+\downloaded program files\the_ultimate_browser_enhancer.exe
systemroot+\i_dnserr.gif
systemroot+\jexpoofro.htm
systemroot+\r_dnserr.gif
systemroot+\s_dnserr.gif
systemroot+\system\donk_bar.dll
systemroot+\system\plg_ie0.dll
systemroot+\system32\donk_bar.dll
systemroot+\system32\npddeapi.dll
systemroot+\system32\plg_ie0.dll
systemroot+\system32\sxbmat.exe
systemroot+\system32\veg32.dll.dll
systemroot+\temp\rem9b.exe
systemroot+\temp\remd.exe
systemroot+\ubipwdk.exe
systemroot+\web\wallpaper\desktop.htm
systemroot+\web\wallpaper\desktop.swf
tchstlmmdrm.htm
tfsuxbtg.exe
time funk aim.exe
toolbar_uninstall.exe
twunk001.mtx
ulyfchcrcrdcr.htm
waybait.exe
web default one.exe
winactivej.exe
winactivej_unpacked.exe
wshbrybr.exe
xlj1.exe
xxeoxiqu.exe
xyq.exe
ystck32.exe
yxogltoo.exe
.

Lösche diese Ordner, soweit vorhanden, mit dem Windows Explorer:
favorites+\ shopping and gifts
profilepath+\local settings\temp\delete.me
programfilesdir+\dvdfindload
programfilesdir+\elsewa~1
programfilesdir+\logobi~1
programfilesdir+\proxyn~1
programfilesdir+\roamju~1
programfilesdir+\showsu~1
programfilesdir+\showsupport
programfilesdir+\sitein~1
programfilesdir+\waveba~1
programfilesdir+\wavesu~1
programfilesdir+\waymov~1
programfilesdir+\wayvga~2
programfilesdir+\window active

Hinweis:
programfilesdir+ ist eine Variable (?). Normalerweise ist dies C:\Programme oder C:\Program Files.
systemroot+ ist eine Variable (?). Normalerweise ist dies C:\Windows (Windows 95/98/Me/XP) oder C:\WINNT (Windows NT/2000).

Boote in den normalen Modus.

Leere den Inhalt der temporären Ordner mit dem System Cleaner 1.0 oder ClearProg.

Scanne deinen Rechner mit Free Anti-Spyware Scan, Ad-Aware SE und Spybot Search & Destroy.

Konfiguriere den IE wie hier empfohlen: Sicherheitseinstellungen!

Lop Remover

Lade entweder diesen Lopremover runter: http://clairvoyant.p2pforum.it/tools/lopremover.zip

Boote dazu in den abgesicherten Modus
Klicke auf die lopremover.exe
schreibe die Zahlen im Kasten, klicke dann auf UNINSTALL.
Starte den Rechner neu auf.

Oder verwende die einen der beiden -> hier angegebenen LopRemover
(siehe auch Firstadsolution.com Removal):
das lopxp.zip oder das NoLop.

Deaktiviere nach Beendigung der Arbeiten die Systemwiederherstellung, wenn du Windows XP und ME als Betriebssystem hast, boote deinen Rechner neu auf, aktiviere die Systemwiederherstellung, boote deinen Rechner. Vergib einen neuen Systemwiederherstellungspunkt.

Weiterführende Literatur/read more: spywareinfo.com, doxdesk.com, Symantec 1 und Symantec 2

[Ruby]

Wie entfernt man den Trojan.Vundo.B

Es gibt verschiedene Varianten des Trojan.Vundo.B
und verschiedene Methoden, ihn zu entfernen.

Drucke die jeweilig benötigte Anweisung entweder aus
oder speichere sie als *.txt-file,
da du u.a offline im abgesicherten Modus arbeiten wirst.

Folge den Nummern in der Reihenfolge:
-> Anweisung bitte sorgfältig lesen!

Code:

=> Wenn vorhanden: starte Spybot S&D, deaktiviere den "Resident 
"TeaTimer".
(Klicke auf "Advanced mode" > "JA" > "Tools" Menu > Klick 
auf "Resident" > das Häkchen entfernen aus der "Resident "TeaTimer" (Schutz 
aller Systemeinstellungen) aktiv." Box > exit.)

=> Wenn vorhanden: Microsoft AntiSpyware ausstellen 
Öffne Microsoft AntiSpyware > Klick auf "Tools", "Settings" > klicke auf der 
linken Seite auf "Real-time Protection" [Vollzeit Schutz] > unter "Startup 
Options" ["Startup Einstellungen"] das Häkchen rausnehmen bei "Enable the 
Microsoft AntiSpyware Security Agents on startup (recommended)" ["Aktiviere  
Microsoft AntiSpyware Security Agents beim Menustart (empfohlen)"] > Unter 
"Real-time spyware threat protection" [Vollzeit-Spyware-Schutz ] das 
Häkchen rausnehmen für "Enable real-time spyware threat protection 
(recommended)" ["Sktiviere den Vollzeit Spyware Schutz (empfohlen)".]
Klick auf "Save" [Speichern] und schliesse die Microsoft AntiSpyware.
Rechts-Klick auf das Microsoft AntiSpyware Icon auf dem System Tray > 
wähle "Shutdown Microsoft AntiSpyware" ["Beende Microsoft AntiSpyware"].

(während der Reinigungsarbeiten, diese Programme verhindern die Reinigung.)

=> Methode 1

Auswirkungen dieses Programms:
Es produziert Popups und richtet den Web Traffic auf Search42.com.

Hilfsprogramme für diesen Fix:

* HijackThis
* Killbox
* Process Explorer
* FixVundo.reg

Symptome in einem HijackThis Logfile werden folgendermassen ausshen:

Diese Infektion hat immer mindestens eine DLL die ein 'MSEvents Object' wird, wie weiter unten gezeigt. Die gleiche DLL taucht als O20 Winlogon Notify Eintrag wieder auf, wie weiter unten gezeigt. Diese DLLs tragen Random Namen, sie heissen also immer wieder anders. In diesen Anleitungen werden nur Beispiele genannt.

O2 - BHO: MSEvents Object - {827DC836-DD9F-4A68-A602-5812EB50A834} - C:\WINDOWS\system32\sstqq.dll
O20 - Winlogon Notify: sstqq - C:\WINDOWS\system32\sstqq.dll

Entfernungs-Anleitung:

1
Denk dran, dass das Programm HijackThis in einem eigenen Ordner laufen muss, um Backups erstellen zu können:
C:\Programme\HJT\HijackThis.exe oder C:\HJT\HijackThis.exe

2
Lade den Process Explorer (wahlweise den Prozess Radar) von Systernals runter und installiere ihn auf deinem Desktop. Lass ihn später laufen.

3
Lade runter und entpacke die Killbox mit einem Ziptool (zum Beispiel SIMPLYZIP)
Installiere das Programm auf deinem Desktop. Lass sie später laufen.

4
Lade das FixVundo.reg runter und apeichere es auf deinem Desktop.
Lass es später laufen.

5
Boote deinen rechner nun in den abgesicherten Modus (Anleitung)

6
Doppelklick auf die procexp.exe (Process Explorer).

7
Im oberen Teil des Process Explorer Schirms, einen Doppelklick auf die winlogon.exe machen, damit die Eigenschaften der winlogon.exe sicxhtbar werden. Klicke dazu auf den Tab.

8
Wenn du nun also diesen Schirm hast, klicke jede Instanz der sstqq.dll an, die gefunden wurde, während das Logfile analysirt worden ist und drücke auf die "Kill" (Lösch) Funktion. Wenn du weitere Files siehst, die den gleichen Namen, aber eine andere Endung tragen, wie .bak oder .ini kannst du diese dateien ebenfalls killen.

9
Wenn du alle Instanzen dieser DLL unter winlogon gekillt hast, klick OK.

10
Doppelklick auf die explorer.exe, wähle diese Tabelle, klicke wieder auf jede Instanz der DLL die du als Teil der Infektion erkannt hast. Wenn se eingefärbt ist, drücke auf den Kill button, wie unter Punkt 7. Wenn du auf diese Weise die Werte der BHO (O2) ausgeschaltet hast, wirst du sie in diesem Schritt nicht mehr finden und kannst somit weitermachen.

11
Wenn du damit fertig bist, klicke wieder auf "OK".

12
Lass HijackThis laufen, schliesse alle Anwendungen, drücke auf den Scan Button.

13
Setze ein Häkchen neben die Einträge, die du als schlecht erkannt hast:

O2 - BHO: MSEvents Object - {827DC836-DD9F-4A68-A602-5812EB50A834} - C:\WINDOWS\system32\sstqq.dll
O20 - Winlogon Notify: sstqq - C:\WINDOWS\system32\sstqq.dll

14
Wenn du alle Einträge angehakt hast, drücke auf den Fix button und schliesse HijackThis.

15
Doppelklick auf das FixVundo.reg, erlaube die Information aufzunehmen.

16
Doppelklick auf die Killbox.exe.
Wähle die delete on reboot Option.
Trage nun den vollen Pfad mit dem datei-Namen in das Eingabe-Feld ein:

C:\WINDOWS\system32\sstqq.dll

17
Klicke auf den roten Kreis mit dem weissen Kreuz, wähle JA/Yes um den Delete-Befehl auszuführen und dann JA/YES, um den Rechner sofort neu aufzustarten.

18
Der Rechner sollte nun von dem Trojan.Vundo.B befreit sein.
Es kann sein, dass diese malware mit anderer malware zusammen installiert worden ist.

19
Lass HijackThis nochmal laufen und
erstelle ein neues HJT-Logfile.

Mit Dank an Bleepingcomputer für einen tollen Fix.

=> Methode 2

Trojan.Vundo ist eine Komponente eines Adware Programms, das Pop-up Dienstleistungen herunterlädt und abspielt. Man nimmt an, dass es sich dabei um einen Link aus einer Spam-Mail handelt, der angeklickt wurde.

Zur Entfernung zu verwendende Programme:

HijackThis
VundoFix
VirtumundoBeGone
Symantec-FixVundo

Hinweis: die Einträge konnen durchaus verschiedene Namen haben. Es gibt einen Eintrag unter 02, der das Wort "MSEvents" enthalten kann und einen Eintrag unter 020, der den gleichen Namen trägt, wie der Eintrag unter 02.

O2 - BHO: MSEvents Object - {8DBF02DA-4360-4A7E-BEA1-347B87816327} - C:\WINDOWS\System32\ddaya.dll
O20 - Winlogon Notify: ddaya - C:\WINDOWS\System32\ddaya.dll

O2 - BHO: MSEvents Object - {79A576C4-B7A9-47EC-B57C-2CE5CA6ECC6A} - C:\WINDOWS\system32\ddabx.dll
O20 - Winlogon Notify: ddabx - C:\WINDOWS\system32\ddabx.dll

O2 - BHO: MSEvents Object - {52B1DFC7-AAFC-4362-B103-868B0683C697} - C:\WINDOWS\system32\mllml.dll
O20 - Winlogon Notify: mllml - C:\WINDOWS\system32\mllml.dll

O2 - BHO: MSEvents Object - {CE70731D-F28D-4D81-9D61-C8EE60378401} - C:\WINDOWS\System32\gebyy.dll
O20 - Winlogon Notify: gebyy - C:\WINDOWS\System32\gebyy.dll

Anleitung zur Entfernung:

Drucke diese Anweisung entweder aus oder speichere sie als *.txt-file,
da du u.a offline im abgesicherten Modus arbeiten wirst.
Folge den Nummern in der Reihenfolge:
-> Anweisung bitte sorgfältig lesen!

Lade VirtumundoBegone runter und speichere es auf deinem Desktop, als "VirtumundoBegone"

Boote in den abgesicherten Modus (Anleitung)

Doppelklick auf die "VirtumundoBeGone.exe".
Folge den Hinweisen des Programms. Schliesse das Programm, wenn es beendet ist.

Lass HijackThis laufen und schau nach, ob es die fraglichen Einträge immer noch gibt. Wenn "(file missing)" dabei steht, können die Einträge mit HijackThis gefixt werden. Wenn diese Einträge immer noch vorhanden sind und die Files nicht fehlen, ist die Adware weiterhin aktiv und muss weiterbehandelt werden.

Boote in den normalen Modus.

=> Methode 3

Lade das Symantec Vundo Removal Tool (Hinweis von Marc) runter.

Boote in den abgesicherten Modus (Anleitung)

Doppelklick auf die "Symantec Vundo Removal Tool".
Folge den Hinweisen des Programms. Schliesse das Programm, wenn es beendet ist.

Lass HijackThis laufen und schau nach, ob es die fraglichen Einträge immer noch gibt. Wenn "(file missing)" dabei steht, können die Einträge mit HijackThis gefixt werden. Wenn diese Einträge immer noch vorhanden sind und die Files nicht fehlen, ist die Adware weiterhin aktiv und muss weiterbehandelt werden.

Boote in den normalen Modus.

=> Methode 4

Lade den CCleaner runter,
installieren, starten -> unter options settings -> german einstellen, nun bereinige damit dein System (windows, applications, registry) (quick-tour und screenshots).

Lass HijackThis laufen und schau nach, ob es die fraglichen Einträge immer noch gibt. Wenn "(file missing)" dabei steht, können die Einträge mit HijackThis gefixt werden. Wenn die beiden Einträge immer noch vorhanden sind und die Files nicht fehlen, fixe die beiden Einträge mit HijackThis.

Lass HijackThis nochmal laufen -> config -> misc tools --> delete a file on reboot, wähle die zu löschende Datei:

C:\WINDOWS\System32\gebyy.dll

beantworte auf die Frage zum Neustart mit JA.
Starte den Rechner neu auf.

Lass HijackThis laufen und schau nach, ob es die fraglichen Einträge immer noch gibt. Wenn "(file missing)" dabei steht, können die Einträge mit HijackThis gefixt werden. Wenn diese Einträge immer noch vorhanden sind und die Files nicht fehlen, ist die Adware weiterhin aktiv und muss weiterbehandelt werden.

=> Methode 5

Lade den SpywareBlaster runter.
Deutsche SpywareBlaster Anleitung
Installiere und update das Programm.
(Hinweis zur weiteren Verwendung über diese Reinigung hinaus:
vor jeder Sitzung im Netz anwenden, das Programm 1 mal wöchentlich updaten.)
-> damit kannst du den Trojan.Vundo.B nicht entfernen, aber verhindern.

Information aus dem Englischen übertragen: -> u.a. Quelle.

=> Methode 6

Hier die Anweisung für das VundoFix in der Version 6.4.1:

• Lade die VundoFix.exe herunter und speichere sie auf deinem Desktop.

  

• Mach einen Doppelklick auf die VundoFix.exe, um sie zu starten.
• Wenn das VundoFix wieder aufgeht, klicke auf den Scan for Vundo Button.
• Wenn es gescannt hat, klicke auf den Remove Vundo Button.
• Nun wirst du gefragt, ob du die Dateien entfernen willst? Klicke auf YES
• Wenn du auf "Yes" geklickt hast, wird dein Desktop hell werden, um den Vundo zu entfernen.
• Wenn dieser Vorgang beendet ist, wirst du gefragt, ob du deinen Rechner neu aufstarten möchtest, klick auf OK.
• Im Forum: bitte poste den Inhalt des C:\vundofix.txt.

Hinweis: es kann sein, dass das VundoFix die eine oder andere Datei aufzählt, die es nicht entfernen konnte.
Lass in diesem Falle das VundoFix nach dem neu aufstarten nochmal laufen, und folge den Anweisungen ab

• Wenn das VundoFix wieder aufgeht, klicke auf den Scan for Vundo Button.

Many Thanks to Atribune

-> Wenn das alles nicht funktioniert, melde dich bitte im Forum.

[Ruby]

WinFixer 2005
(The English Original: eTrust)

Überblick
WinFixer 2005 spielt PopUps ab.
Er installiert sich selbst, ohne Wissen des Users und lässt sich nicht deinstallieren.

Typ:
Adware

Manuelle Entfernung vom System

Beende im Taskmanager/Process Explorer
folgende Prozesse:

programfilesdir+\winfixer 2005\install.exe
programfilesdir+\winfixer 2005\sr.exe
uwfx5lp_0001_0802netinstaller.exe
programfilesdir+\winfixer 2005\unins000.exe
programfilesdir+\winfixer 2005\updater.exe
programfilesdir+\winfixer 2005\wfx5.exe

Hinweis: Suche nach den Prozessen und beende sie!

Du solltest ein Back-Up deiner Registry machen, bevor du sie editierst: back up.

Öffne den Registry Editor.
Klicke auf Start >ausführen, schreib REGEDIT -> [enter]
(oder verwende Registrar Lite)

Navigiere zu und lösche diese Werte:

HKEY_CLASSES_ROOT\compcleancore.appcleaner.1\clsid
HKEY_CLASSES_ROOT\compcleancore.appcleaner\clsid
HKEY_CLASSES_ROOT\compcleancore.appcleaner\curver
HKEY_CLASSES_ROOT\compcleancore.filecleaner.1\clsid
HKEY_CLASSES_ROOT\compcleancore.filecleaner\clsid
HKEY_CLASSES_ROOT\compcleancore.filecleaner\curver
HKEY_CLASSES_ROOT\compcleancore.inetcleaner.1\clsid
HKEY_CLASSES_ROOT\compcleancore.inetcleaner\clsid
HKEY_CLASSES_ROOT\compcleancore.inetcleaner\curver
HKEY_CLASSES_ROOT\compcleancore.regcleaner.1\clsid
HKEY_CLASSES_ROOT\compcleancore.regcleaner\clsid
HKEY_CLASSES_ROOT\compcleancore.regcleaner\curver
HKEY_CLASSES_ROOT\compcleancore.systemcleaner.1\clsid
HKEY_CLASSES_ROOT\compcleancore.systemcleaner\clsid
HKEY_CLASSES_ROOT\compcleancore.systemcleaner\curver
HKEY_CLASSES_ROOT\df_fixer.fixer.1\clsid
HKEY_CLASSES_ROOT\df_fixer.fixer\clsid
HKEY_CLASSES_ROOT\df_fixer.fixer\curver
HKEY_CLASSES_ROOT\df_proxy.drivermanipulate.1\clsid
HKEY_CLASSES_ROOT\df_proxy.drivermanipulate\clsid
HKEY_CLASSES_ROOT\df_proxy.drivermanipulate\curver
HKEY_CLASSES_ROOT\ffcom.flfixer\clsid
HKEY_CLASSES_ROOT\ffwraper.ffenginwraper.1\clsid
HKEY_CLASSES_ROOT\ffwraper.ffenginwraper\clsid
HKEY_CLASSES_ROOT\ffwraper.ffenginwraper\curver
HKEY_CLASSES_ROOT\fixcore.mmfixcore.1\clsid
HKEY_CLASSES_ROOT\fixcore.mmfixcore\clsid
HKEY_CLASSES_ROOT\fixcore.mmfixcore\curver
HKEY_CLASSES_ROOT\interface\{1ce1c25b-f8b4-4974-99d2-5d4ae96b9900}
HKEY_CLASSES_ROOT\interface\{9e984934-cd94-4763-9dbc-618e483d4b7f}
HKEY_CLASSES_ROOT\typelib\{30ed49a5-ca6c-4918-b5f3-5e6818c91d8b}\1.0
HKEY_CLASSES_ROOT\typelib\{6a077841-5016-42c8-92c8-f2d6b865bcd1}
HKEY_CLASSES_ROOT\typelib\{ad70ac89-f460-4e7e-b5a5-7eaf7e207736}
HKEY_CLASSES_ROOT\typelib\{b6625280-8cd8-4632-97c0-83cec12a49a3}
HKEY_CLASSES_ROOT\typelib\{f458adae-d53b-4859-b99f-9fa127791278}
HKEY_CLASSES_ROOT\typelib\{fc76a5b8-db35-4f3e-8b9a-bf0eea098d64}
HKEY_CURRENT_USER\software\winsoftware\winfixer 2005

Schliesse den Registry Editor.
Starte deinen Rechner neu auf in den abgesicherten Modus

#Lösche mit dem Windows Explorer:

Code:

programfilesdir+\common files\winsoftware\crxml.dll
programfilesdir+\common files\winsoftware\pcheck.dll
programfilesdir+\winfixer 2005\activate.dat
programfilesdir+\winfixer 2005\bnlink.dat
programfilesdir+\winfixer 2005\compcln.dll
programfilesdir+\winfixer 2005\database.sav
programfilesdir+\winfixer 2005\df_fixer.dll
programfilesdir+\winfixer 2005\df_kmd.sys
programfilesdir+\winfixer 2005\df_proxy.dll
programfilesdir+\winfixer 2005\ffcom.dll
programfilesdir+\winfixer 2005\ffwraper.dll
programfilesdir+\winfixer 2005\fixcore.dll
programfilesdir+\winfixer 2005\flash.ini
programfilesdir+\winfixer 2005\ftrec.dll
programfilesdir+\winfixer 2005\idletrac.dll
programfilesdir+\winfixer 2005\install.exe
programfilesdir+\winfixer 2005\lapv.dat
programfilesdir+\winfixer 2005\license.rtf
programfilesdir+\winfixer 2005\lock.dat
programfilesdir+\winfixer 2005\oedrop.dll
programfilesdir+\winfixer 2005\program.sav
programfilesdir+\winfixer 2005\pv.dat
uwfx5lp_0001_0802netinstaller.exe
wfx5.exe
wfx5.url
commonprograms+\winfixer 2005\contact customer support.lnk
commonprograms+\winfixer 2005\uninstall winfixer 2005.lnk
commonprograms+\winfixer 2005\winfixer 2005 on the web.lnk
commonprograms+\winfixer 2005\winfixer 2005.lnk
compcln.dll
df_fixer.dll
df_proxy.dll
ffcom.dll
ffwraper.dll
fixcore.dll
ftrec.dll
idletrac.dll
install.exe
mmfix.dll
oedrop.dll
sr.exe
strres.dll
support.url
updater.exe
programfilesdir+\winfixer 2005\updater.exe
programfilesdir+\winfixer 2005\mmfix.dll
programfilesdir+\winfixer 2005\sr.exe
programfilesdir+\winfixer 2005\sr.log
programfilesdir+\winfixer 2005\strres.dll
programfilesdir+\winfixer 2005\support.url
programfilesdir+\winfixer 2005\template.dbx
programfilesdir+\winfixer 2005\trace.log
programfilesdir+\winfixer 2005\unins000.dat
programfilesdir+\winfixer 2005\unins000.exe
programfilesdir+\winfixer 2005\up.dat
programfilesdir+\winfixer 2005\update.log
programfilesdir+\winfixer 2005\updater.dat
programfilesdir+\winfixer 2005\wfx5.exe
programfilesdir+\winfixer 2005\wfx5.url
.

Hinweis: Suche nach den Einträgen und lösche sie!

#Lösche folgende Ordner:

programfilesdir+\winfixer 2005
programfilesdir+\winfixer 2005\backup
programfilesdir+\winfixer 2005\mp3db
programfilesdir+\winfixer 2005\mpegdb
programfilesdir+\winfixer 2005\repaired
programfilesdir+\winfixer 2005\tasks
programfilesdir+\winfixer 2005\wavedb

Hinweis: %programfilesdir% ist eine Variable (?). Normalerweise ist dies C:\Program Files, C:\Programme.
Suche nach den Einträgen und lösche sie!

Leere den Inhalt der temporären Ordner mit dem Disk Cleaner.

Konfiguriere den IE wie hier empfohlen: Sicherheitseinstellungen!

Bei Windows XP und ME bitte die Systemwiederherstellung im Anschluß an die Reinigungsarbeiten einmal im Wechsel deaktivieren und aktivieren, dazwischen jedes mal neu booten. Zum Schluss muss die Systemwiederherstellung aktiviert, also angestellt sein. Vergib nun einen neuen Systemwiederherstellungspunkt.


Schwerpunktmäßige Übersetzung des englischen Originals/Translated from the English Website of eTrust into German by Ruby.

[Ruby]

Adware-Tubby
(The English Original: McAfee)

Typ:
Adware: "potentially unwanted program" (unerwünschtes Programm)

Manuelle Entfernung vom System

Du solltest ein Back-Up deiner Registry machen, bevor du sie editierst: back up.

Öffne den Registry Editor.
Klicke auf Start >ausführen, schreib REGEDIT -> [enter]
(oder verwende Registrar Lite)

Navigiere zu und lösche diese Schlüssel:

Code:

HKEY_CURRENT_USER\Software\ADV TON
HKEY_CLASSES_ROOT\CLSID\{9EAC0102-5E61-2312-BC2D-414456544F4E}
HKEY_CLASSES_ROOT\Tubby.ToolBandObj
HKEY_CLASSES_ROOT\Tubby.ToolBandObj.1
HKEY_CLASSES_ROOT\TypeLib\{9EAC0102-5E61-2312-BC2B-414456544F4E}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\Browser Helper Objects\{9EAC0102-5E61-2312-BC2D-414456544F4E}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Uninstall\Advanced Search
.

Navigiere zu und lösche diese Werte:

Code:

HKEY_CURRENT_USER\Software\ADV TON\Options "Dnl"
Data: 00, 00, 00, 00

HKEY_CURRENT_USER\Software\ADV TON\Options "Run"
Data: 01, 00, 00, 00

HKEY_CURRENT_USER\Software\ADV TON\Options "Shown"
Data: 00, 00, 00, 00

HKEY_CURRENT_USER\Software\ADV TON\Options "mlu"
Data: 75, AA, 0F, 00

HKEY_CLASSES_ROOT\CLSID\{9EAC0102-5E61-2312-BC2D-414456544F4E} "(Default)"
Data: Advanced Search

HKEY_CLASSES_ROOT\CLSID\{9EAC0102-5E61-2312-BC2D-414456544F4E}\InprocServer32 "(Default)"
Data: C:\WINDOWS\System32\ADV.dll

HKEY_CLASSES_ROOT\CLSID\{9EAC0102-5E61-2312-BC2D-414456544F4E}\InprocServer32 "ThreadingModel"
Data: Apartment

HKEY_CLASSES_ROOT\CLSID\{9EAC0102-5E61-2312-BC2D-414456544F4E}\ProgID "(Default)"
Data: Tubby.ToolBandObj.1

HKEY_CLASSES_ROOT\CLSID\{9EAC0102-5E61-2312-BC2D-414456544F4E}\Programmable "(Default)"
Data:

HKEY_CLASSES_ROOT\CLSID\{9EAC0102-5E61-2312-BC2D-414456544F4E}\TypeLib "(Default)"
Data: {9EAC0102-5E61-2312-BC2B-414456544F4E}

HKEY_CLASSES_ROOT\CLSID\{9EAC0102-5E61-2312-BC2D-414456544F4E}\Version "(Default)"
Data: 1.0

HKEY_CLASSES_ROOT\CLSID\{9EAC0102-5E61-2312-BC2D-414456544F4E}\VersionIndependentProgID "(Default)"
Data: Tubby.ToolBandObj

HKEY_CLASSES_ROOT\Tubby.ToolBandObj "(Default)"
Data: Advanced Search

HKEY_CLASSES_ROOT\Tubby.ToolBandObj\CLSID "(Default)"
Data: {9EAC0102-5E61-2312-BC2D-414456544F4E}

HKEY_CLASSES_ROOT\Tubby.ToolBandObj\CurVer "(Default)"
Data: Tubby.ToolBandObj.1

HKEY_CLASSES_ROOT\Tubby.ToolBandObj.1 "(Default)"
Data: Advanced Search

HKEY_CLASSES_ROOT\Tubby.ToolBandObj.1\CLSID "(Default)"
Data: {9EAC0102-5E61-2312-BC2D-414456544F4E}

HKEY_CLASSES_ROOT\TypeLib\{9EAC0102-5E61-2312-BC2B-414456544F4E}\1.0 "(Default)"
Data: TB 1.0 Type Library

HKEY_CLASSES_ROOT\TypeLib\{9EAC0102-5E61-2312-BC2B-414456544F4E}\1.0\0\win32 "(Default)"
Data: C:\WINDOWS\System32\ADV.dll

HKEY_CLASSES_ROOT\TypeLib\{9EAC0102-5E61-2312-BC2B-414456544F4E}\1.0\FLAGS "(Default)"
Data: 0

HKEY_CLASSES_ROOT\TypeLib\{9EAC0102-5E61-2312-BC2B-414456544F4E}\1.0\HELPDIR "(Default)"
Data: C:\WINDOWS\System32

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar "{9EAC0102-5E61-2312-BC2D-414456544F4E}"
Data:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\Browser Helper Objects\{9EAC0102-5E61-2312-BC2D-414456544F4E} "(Default)"
Data: Tubby

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Uninstall\Advanced Search "DisplayName"
Data: Advanced Search

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Uninstall\Advanced Search "UninstallString"
Data: regsvr32 /u /s C:\WINDOWS\System32\ADV.dll 
.

Schliesse den Registry Editor.
Starte deinen Rechner neu auf in den abgesicherten Modus

#Lösche mit dem Windows Explorer:

=> C:\WINDOWS\system32\ADV.dll
=> C:\WINDOWS\system32\ADV.ini

Hinweis: Suche nach den Einträgen und lösche sie!

Leere den Inhalt der temporären Ordner mit dem Disk Cleaner.

Vergib eine neue Startseite für den Internet Explorer.
Konfiguriere den IE wie hier empfohlen: Sicherheitseinstellungen!

Bei Windows XP und ME bitte die Systemwiederherstellung im Anschluß an die Reinigungsarbeiten einmal im Wechsel deaktivieren und aktivieren, dazwischen jedes mal neu booten. Zum Schluss muss die Systemwiederherstellung aktiviert, also angestellt sein. Vergib nun einen neuen Systemwiederherstellungspunkt.


Schwerpunktmäßige Übersetzung des englischen Originals/Translated from the English Website of McAfee into German by Ruby.

[Ruby]

DownloadWare
(The English Original: eTrust)

Überblick
DownloadWare ist ein Prozess der im Windows Startup läuft. Wenn es eine Internet-Verbindung gibt, verbindet das Programm sich mit seinem Server und kann dort den Auftrag erhalten, software aus dem Netz zu laden.

Typ:
Adware, Downloader, Search Hijacker, Toolbar, Trojan

Alias: MediaLoads oder ClipGenie, Win32.BettInet.F[Computer Associates], TrojanDownloader.Win32.Realtens.e[Kaspersky], Win32/TrojanDownloader.Realtens.E trojan[Eset], Adware/DownloadWare[Panda], TrojanDownloader.Win32.BHO[Kaspersky], TrojanDownloader.Win32.VB.ah[Kaspersky], Trojan Horse[Panda]

Manuelle Entfernung vom System

Beende im Taskmanager/Process Explorer
folgende Prozesse:

astart.exe
bi5.exe
dwcg.exe
c:\archivos de programa\downloadware\dw.exe
programfilesdir+\downloadware engine\in\alp2plib.exe
programfilesdir+\downloadware engine\in\dwe.exe
programfilesdir+\downloadware\dw.exe
systemroot+\temp\adware\webinstall.exe
programfilesdir+\movienetworks\movienetworks.exe

Hinweis: Suche nach den Prozessen und beende sie!

Du solltest ein Back-Up deiner Registry machen, bevor du sie editierst: back up.

Öffne den Registry Editor.
Klicke auf Start >ausführen, schreib REGEDIT -> [enter]
(oder verwende Registrar Lite)

Navigiere zu und lösche diese Werte:

HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion \run pagent
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion \run medialoads installer
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion \run downloadware engine
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion \run downloadware

HKEY_CLASSES_ROOT\clsid\{eb6afdab-e16d-430b-a5ee-0408a12289dc}
HKEY_CURRENT_USER\software\downloadware
HKEY_CURRENT_USER\software\medialoads
HKEY_CURRENT_USER\software\pagent
HKEY_LOCAL_MACHINE\software\classes\appid\{d6be4255-97c9-4d5c-9801-91dadda92d81}
HKEY_LOCAL_MACHINE\software\classes\btieinscriptconfigproj.b tieinscriptconfig
HKEY_LOCAL_MACHINE\software\classes\clsid\{000007ab-7059-463e-bd44-101a1750d732}
HKEY_LOCAL_MACHINE\software\classes\clsid\{1717a4a5-d63a-4f70-b373-ae4aa46d1236}
HKEY_LOCAL_MACHINE\software\classes\clsid\{26e8361f-bce7-4f75-a347-98c88b418322}
HKEY_LOCAL_MACHINE\software\classes\clsid\{49de8655-4d15-4536-b67c-2aa6c1106740}
HKEY_LOCAL_MACHINE\software\classes\clsid\{9368d063-44be-49b9-bd14-bb9663fd38fc}
HKEY_LOCAL_MACHINE\software\classes\clsid\{b3be5046-8197-48fb-b89f-7c767316d03c}
HKEY_LOCAL_MACHINE\software\classes\clsid\{c6958acd-d866-4349-9f7b-fdb73384f697}
HKEY_LOCAL_MACHINE\software\classes\interface\{1eb48aa7-d3fe-4e4c-ac8e-b01594496ac0}
HKEY_LOCAL_MACHINE\software\classes\interface\{26e8361f-bce7-4f75-a347-98c88b418321}
HKEY_LOCAL_MACHINE\software\classes\interface\{42bd9965-303d-4cfb-aae0-dcadcb791a55}
HKEY_LOCAL_MACHINE\software\classes\interface\{5c40012d-44ca-11d7-8411-0002a5f9d08e}
HKEY_LOCAL_MACHINE\software\classes\interface\{a351d4b1-bf54-41f1-bec0-8a1c4ecd72c7}
HKEY_LOCAL_MACHINE\software\classes\interface\{c809ee32-c648-459b-9a99-5cb20f61dcfc}
HKEY_LOCAL_MACHINE\software\classes\interface\{dae6416e-491d-11d5-ab93-00d0b760b4eb}
HKEY_LOCAL_MACHINE\software\classes\interface\{eb29cd69-7020-4d1d-a0be-72130dfba9f7}
HKEY_LOCAL_MACHINE\software\classes\interface\{f5f0a448-2bcd-459e-8743-c39154ee1ca8}
HKEY_LOCAL_MACHINE\software\classes\typelib\{26e8361f-bce7-4f75-a347-98c88b418328}
HKEY_LOCAL_MACHINE\software\classes\typelib\{53f066f0-a4c0-4f46-83eb-2dfd03f938cf}
HKEY_LOCAL_MACHINE\software\classes\typelib\{95b3af07-0e4f-4cdf-acfd-3d4efd9aec0b}
HKEY_LOCAL_MACHINE\software\classes\typelib\{963f349d-8b15-4a3b-ac6a-6e1958b21e20}
HKEY_LOCAL_MACHINE\software\classes\typelib\{a8f92c35-530b-4907-922c-ce31d4b6b14a}
HKEY_LOCAL_MACHINE\software\classes\typelib\{d6be4255-97c9-4d5c-9801-91dadda92d81}
HKEY_LOCAL_MACHINE\software\classes\typelib\{dae64161-491d-11d5-ab93-00d0b760b4eb}
HKEY_LOCAL_MACHINE\software\clipgeniep2p
HKEY_LOCAL_MACHINE\software\downloadware
HKEY_LOCAL_MACHINE\software\microgaming
HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{eb6afdab-e16d-430b-a5ee-0408a12289dc}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion \internet settings\user agent\post platform {6ea0f469-dfd6-40fa-8ec0-29c8bf23cf76}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion \internet settings\user agent\post platform {75f9eddb-7068-44f3-929e-5fe57a778e98}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion \moduleusage\c:/windows/downloaded program files/activeinstall2.dll
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion \run downloadware
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion \run downloadware engine
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion \run medialoads installer
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion \run pagent
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion \shareddlls c:\windows\downloaded program files\activeinstall2.dll
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion \shareddlls\c:\windows\downloaded program files activeinstall2.dll
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion \uninstall\downloadware
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion \uninstall\downloadware engine
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion \uninstall\medialoads installer
HKEY_LOCAL_MACHINE\software\mlh
HKEY_LOCAL_MACHINE\typelib\{963f349d-8b15-4a3b-ac6a-6e1958b21e20}
HKEY_USERS\.default\software\downloadware
HKEY_USERS\.default\software\webinstall

Schliesse den Registry Editor.
Starte deinen Rechner neu auf in den abgesicherten Modus

#Lösche mit dem Windows Explorer:

Code:

programfilesdir+\downloadware engine\in\alxml.dll
programfilesdir+\downloadware engine\in\alutil.dll
programfilesdir+\downloadware engine\in\alfile.dll
programfilesdir+\downloadware engine\in\aldlmanager.dll
programfilesdir+\downloadware engine\in\aldebug.dll
programfilesdir+\downloadware engine\in\alconfig.dll
programfilesdir+\downloadware engine\in\alcomms.dll
msg{75f9eddb-7068-44f3-929e-5fe57a778e98}0111.dll
msg{75f9eddb-7068-44f3-929e-5fe57a778e98}0110.dll
common.dll
gr03.dll
im64.dll
btiein.dll
gr0ck03.dll
activeinstall2.dll

astart.exe
astart.exe-14e61c6e.pf
auto financing.url
auto insurance.url
auto_update_install.exe-11d65c19.pf
autoupdate.exe-06160476.pf
banking.url
bi.exe-1ec08bb1.pf
activeinstall2.dll
activeinstall2.inf
ad-aware.exe-3262f7a9.pf
adult dating.url
alcomms.dll
alconfig.dll
alconfig.xml
aldebug.dll
aldlmanager.dll
alfile.dll
alp2plib.exe
alp2plib.log
alp2plib.log.bak
alutil.dll
alxml.dll
101.dl
1013.pid
104.dl
105.dl
109_100.dat.met
11 cd's free.url
1262.pid
1265.pid
1284.pid
142.dl
159.dl
172.dl
173.dat
173.dl
43.dl
51.dl
75.dl
89.dl
90.dl
91.dl
93.dl
94.dl
gr03.dll
bi5.exe
bi5.exe-30574c4c.pf
biprep.exe-340b95e9.pf
bpc.exe-23b5ff40.pf
bpc_gu.exe-18b7bf5f.pf
gr0ck03.dll
grokloader.exe-0d21bbe4.pf
grokloader.locked-0d1b568c.pf
grokster on the web.lnk
grokster.exe-0941c666.pf
grokster.lnk
gym gear & clothing.url
holiday & special occasion.url
home video equipment.url
housewares.url
idhost.exe-299c30a9.pf
idinst.exe-3142b965.pf
dwcg.exe
dwe.exe
ebatesmoemoneymaker.inf
envoloautoupdater.exe-23cf8753.pf
exercise programs.url
explorer.exe-082f38a9.pf
fantasy sports.url
find a better job.url
find a job.url
fine jewerly.url
fitness equipment.url
flashtlk.exe-0d37bf28.pf
flowers.url
folder.db
free car!.url
free dating services.url
free website.url
fsg.exe-11ec2912.pf
fsg_4104.exe-0cd7c723.pf
ft1_01_0_279_gepfah.exe-1c02c62b.pf
gain muscle.url
get you degree.url
getkey.exe-0a7088d9.pf
glj7.tmp-29626aa8.pf
global.cfg
global.sw
gourmet foods.url
btiein.dll
burn cd's.url
buy a car.url
buy a new car.url
buy cd's.url
buy it at auction.url
buy luggage.url
buy movies.url
bw.exe-367b1a50.pf
car dealers.url
cd_clint.001
cd_ins~1.exe-16060531.pf
cg.exe-0f28491b.pf
cg.exe-25490399.pf
cheap travel.url
check for grokster updates.lnk
christian singles.url
clipgenie.lnk
clrschp033.exe-0da20451.pf
college sports.url
common.dll
computer education.url
computers.url
concert tickets.url
counter.exe-03fd65a3.pf
credit repair.url
cruises.url
dating clubs.url
desktop.idf
diet foods.url
digital camera.url
digital signature 20031013.htm
domest~1.exe-23e169c9.pf
dw.exe
dw.exe-37245c54.pf
msg{75f9eddb-7068-44f3-929e-5fe57a778e98}0111.dll
mshta.exe-331df029.pf
music downloads.url
music for free.url
my grokster.lnk
mysetp.exe-07f63248.pf
nascar.url
nba.url
nfl.url
nhl.url
office & home supplies.url
office equipment.url
office space & rental.url
old port casino.url
online bets (18 over +).url
people search.url
personal electronics.url
pestinfoimportme.txt
photo personals.url
plan a trip.url
play games win cash prizegames.com.url
popinst.exe-2cde049c.pf
popsrv184.exe-11793f10.pf
relocate.url
rent a car.url
resume help.url
rundll32.exe-176ab354.pf
rundll32.exe-35cfb848.pf
rundll32.exe-3be2f107.pf
rundll32.exe-3c279889.pf
rundll32.exe-41f1cd0b.pf
rundll32.exe-4975d0c4.pf
rundll32.exe-4a4ccf68.pf
sahagent.exe-10273568.pf
sahdownloader.exe-29a481af.pf
sahuninstall_.exe-111f8dee.pf
save on car rentals.url
save on hotels.url
save on plane tickets.url
scb.exe-291caede.pf
scbar.exe-07b6af5c.pf
soccer.url
specialty items.url
sports merchandise.url
srng.exe-15f31f1d.pf
srnghelper.exe-22e32a1b.pf
srnghelper.exe-27b96182.pf
srngutil.exe-0a36fa75.pf
im64.dll
income tax.url
info.dat
ins1a.tmp-183ec932.pf
instal~1.exe-375cada8.pf
install.exe-01d7d0ae.pf
install.log
instructional aids.url
jewish singles.url
jobs online.url
las vegas.url
learn computers.url
lease a new car.url
logonui.exe-0af22957.pf
lose weight.url
lycos sidesearch.lnk
major league baseball.url
matchmaking services.url
monpop.exe-150628ba.pf
movie downloads.url
movie posters.url
movie showtimes.url
movies for rent.url
movies on dvd.url
movies reviews.url
mp3 - get them now!.url
msg{75f9eddb-7068-44f3-929e-5fe57a778e98}0110.dll
c:\archivos de programa\downloadware\dw.exe
profilepath+\local settings\temporary internet files\content.ie5\4pq7052j\dw[1].exe
profilepath+\local settings\temporary internet files\content.ie5\k5yfgler\dw[1].exe
profilepath+\local settings\temporary internet files\content.ie5\kdezgtij\dw[1].exe
profilepath+\local settings\temporary internet files\content.ie5\kdezgtij\dw[2].exe
profilepath+\local settings\temporary internet files\content.ie5\khirgp6n\dw[1].exe
profilepath+\local settings\temporary internet files\content.ie5\m6772vqj\dw[1].exe
programfilesdir+\downloadware\temp\cg.exe
programfilesdir+\downloadware\temp\dating.exe
programfilesdir+\downloadware\temp\me.exe
systemroot+\temp\adware\webinstall.exe
profilepath+\local settings\temporary internet files\content.ie5\o5u7kpqv\dw[1].exe
profilepath+\local settings\temporary internet files\content.ie5\sh2vwp2v\dw[1].exe
programfilesdir+\downloadware engine\in\alcomms.dll
programfilesdir+\downloadware engine\in\alconfig.dll
programfilesdir+\downloadware engine\in\aldebug.dll
programfilesdir+\downloadware engine\in\aldlmanager.dll
programfilesdir+\downloadware engine\in\alfile.dll
programfilesdir+\downloadware engine\in\alp2plib.exe
programfilesdir+\downloadware engine\in\alutil.dll
programfilesdir+\downloadware engine\in\alxml.dll
programfilesdir+\downloadware engine\in\dwe.exe
programfilesdir+\downloadware\dw.exe
programfilesdir+\movienetworks\movienetworks.exe
systemroot+\digital signature 20020710.htm
systemroot+\digital signature 20020802.htm
systemroot+\digital signature 20030720.htm
systemroot+\digital signature 20030807.htm
systemroot+\digital signature 20031120.htm
systemroot+\digital signature 20040624.htm
systemroot+\digital signature 20040714.htm
systemroot+\downloaded program files\activeinstall.inf
systemroot+\downloaded program files\conflict.2\activeinstall.inf
systemroot+\downloaded program files\conflict.27\activeinstall.inf
.

Hinweis: Suche nach den Einträgen und lösche sie!

#Lösche folgende Ordner:

programfilesdir+\downloadware
programfilesdir+\downloadware engine
programfilesdir+\downloadware\cfg
programfilesdir+\downloadware\downloads
programfilesdir+\kfh
programfilesdir+\medch
programfilesdir+\mlh
programfilesdir+\movienetworks
programfilesdir+\popcorn.net
programfilesdir+\real-tens

Hinweis: %programfilesdir% ist eine Variable (?). Normalerweise ist dies C:\Program Files, C:\Programme.
Suche nach den Einträgen und lösche sie!

Leere den Inhalt der temporären Ordner mit demDisk Cleaner.

Vergib eine neue Startseite für den Internet Explorer.
Konfiguriere den IE wie hier empfohlen: Sicherheitseinstellungen!

Bei Windows XP und ME bitte die Systemwiederherstellung im Anschluß an die Reinigungsarbeiten einmal im Wechsel deaktivieren und aktivieren, dazwischen jedes mal neu booten. Zum Schluss muss die Systemwiederherstellung aktiviert, also angestellt sein. Vergib nun einen neuen Systemwiederherstellungspunkt.


Schwerpunktmäßige Übersetzung des englischen Originals/Translated from the English Website of eTrust into German by Ruby.

[Ruby]

ErrorSafe
(The English Original Sites: Symantec and eTrust)

Warnung
Bitte ErrorSafe NICHT installieren!
(siehe dazu auch ErrorSafe/Winfixer Sicherheits-News)

Überblick
ErrorSafe ist ein manuell installiertes Sicherheitsrisiko, das übertriebene Berichte zu angeblicher Malware auf dem System abspielt. Das Programm nötigt den User zum Kauf, um die angeblich vorhandene Malware vom System zu entfernen. Mit Abschluss des Lizens Vertrags von ErrorSafe tritt der Käufer die Rechte, Programme zu installieren und zu deinstallieren an ErrorSafe ab. ErrorSafe erstattet keinerlei Schadenersatz für entstandene Schäden, weder an nicht mehr funktionierenden Programmen noch am System
(sicher lesen: License Agreement/Lizens Vertrag).

Typ:
Adware; unerwünschte Software

Manuelle Entfernung vom System

Hinweis: (Wie man einen neuen Ordner anlegt, für neue Programme, kannst du diesem Windows Tutorial entnehmen.)

Beende im Taskmanager/Process Explorer
folgende Prozesse:

errorsafescannersetup2222.exe
programfilesdir+\errorsafe\ers.exe
errorsafescannerinstall_de.exe
df_kme.exe
programfilesdir+\errorsafe\install.exe
programfilesdir+\errorsafe\sr.exe
programfilesdir+\errorsafe\unins001.exe
programfilesdir+\errorsafe\unins000.exe

Hinweis: Suche nach den Prozessen und beende sie!

Du solltest ein Back-Up deiner Registry machen, bevor du sie editierst: back up.

Öffne den Registry Editor.
Klicke auf Start >ausführen, schreib REGEDIT -> [enter]
(oder verwende Registrar Lite)

# Hinweis: wenn sich der Registry Editor nicht öffnen lässt, besteht das Risiko, dass die Malware dies verhindert. Für diesen Fall hat Symantec ein Tool entwickelt, dass diese Veränderung zurücknehmen kann. Lade das Tool runter und mach dann mit dem Entfernen weiter: Symantec Registry Tool

Code:

# Navigiere zu diesem Schlüssel:

HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run errorsafe <- lösche den fettgedruckten Befehl

# Navigiere zu diesem Schlüssel:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

# Lösche auf der rechten Seite folgenden Wert:

"ErrorSafe" = "%ProgramFiles%\ErrorSafe\ers.exe /scan"

# Navigiere zu diesem Schlüssel:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs

# Lösche auf der rechten Seite folgenden Wert:

"%ProgramFiles%\ErrorSafe\esPCheck.dll" = "1"

Navigiere zu und lösche diese Werte:

HKEY_LOCAL_MACHINE\SOFTWARE\Classes
\CLSID\{05324ED1-05C0-4e3a-A34F-98BFC64426F5}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
\{184B0A26-4C9C-4757-ABF5-4B6AF71F9A45}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes
\CLSID\{18A41B20-E519-47a1-B545-FFC200730E9B}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes
\CLSID\{250D1063-5414-4fb0-86D5-AABB7A5D7DA7}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes
\CLSID\{2B334C22-40CA-438f-913A-61A8105C4CCD}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes
\CLSID\{43DB73EB-4C90-4418-B6AD-10DB22016908}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes
\CLSID\{4AA76F27-81BC-4C3F-9F24-CB99349C8CC9}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes
\CLSID\{4F4E2384-42AD-4fe4-B966-B6D50C7BF90A}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes
\CLSID\{5284AC2A-EF00-4750-9B82-B5B907D26536}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes
\CLSID\{59399E33-FB54-48AB-8AE4-AE108B36DAB4}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes
\CLSID\{6AE7418B-229F-4A2C-AE1B-D5962888F02D}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes
\CLSID\{7D435027-F646-4bf9-B2C5-0EF4940D5CA2}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes
\CLSID\{8DAE9202-0019-4D30-A5D2-AAF02D4DDC37}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes
\CLSID\{C833A552-F5AF-4a7b-87B3-6EBDE0DB3B43}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes
\CLSID\{EDF78E1B-31A2-4c6e-AD40-0AFCD0D55263}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes
\CLSID\{F5AB293C-2E21-4441-9AD8-B3646EB26DF5}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface
\{0D146B7F-FA35-465D-B716-BCBC1F9A92D3}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface
\{12813770-461E-4A9F-8C5B-C227A8E9FBE8}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface
\{1562D24E-F5BF-4BB4-AF4C-BBB610B62638}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface
\{2A1647E8-3EC2-49FE-B632-E12D765FA0CC}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface
\{2DECFCC9-D910-4BAC-94B8-FC006827A60F}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface
\{4AA76F27-81BC-4C3F-9F24-CB99349C8CC9}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface
\{59399E33-FB54-48AB-8AE4-AE108B36DAB4}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface
\{6813BFFD-BE81-4613-B4E6-AA7ED0DA8659}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface
\{7CA36000-3320-49D1-BAD1-4C5169D4084A}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface
\{7E7A1949-5C0C-45F3-A106-34FE038493EF}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface
\{8DAE9202-0019-4D30-A5D2-AAF02D4DDC37}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface
\{A0E2E5AB-C02F-489B-BD7B-58C329F774F3}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface
\{A92616B1-2E82-4052-B579-0A40C2304380}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface
\{CF5C9FCE-C963-49E5-A3A4-0A81FFFE1E55}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface
\{D090E12D-B79C-4B82-A76C-0E3BBE73C9EF}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface
\{D80A56D7-451C-41CF-9A74-1447E0887B97}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface
\{E0110779-5F79-4685-9C96-9D99EFD30CA2}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface
\{E7CCBD19-2EEA-4B6A-B9BE-E8A68613809C}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface
\{EA0F107F-2BF6-44A0-96C4-A99B74AFBC4A}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface
\{F709F572-86F5-47C8-AFCF-3CEBC468FADB}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface
\{F97E5B38-4887-444A-86F5-91C18331500B}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib
\{16DEEE6B-AEFC-4BA6-9F32-57BBE6783A7C}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib
\{21C724D0-B91A-4F35-99E7-55D325F00B20}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib
\{68BC55E9-4D3E-4C89-89AC-7559763C98B8}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib
\{692CA430-32C8-470D-BA1F-7E15E21E7043}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib
\{8ECC09E1-634B-42AC-8BE7-E6EDBB53C90E}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib
\{B869788C-35DF-4104-BACB-8FDB83AFFFFD}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib
\{BD9421BB-9F96-4272-802F-49BEC746056E}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib
\{F874A0AE-66E8-426B-A3F5-6BA6958DCDBA}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ESCompCleanCore.ESAppCleaner
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ESCompCleanCore.ESAppCleaner.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ESCompCleanCore.ESCCQuickScan
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ESCompCleanCore.ESCCQuickScan.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ESCompCleanCore.ESFileCleaner
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ESCompCleanCore.ESFileCleaner.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ESCompCleanCore.ESInetCleaner
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ESCompCleanCore.ESInetCleaner.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ESCompCleanCore.ESRegCleaner
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ESCompCleanCore.ESRegCleaner.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ESCompCleanCore.ESSystemCleaner
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ESCompCleanCore.ESSystemCleaner.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ESdf_fixer.ESFixer
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ESdf_fixer.ESFixer.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ESdf_proxy.ESDriverManipulate
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ESdf_proxy.ESDriverManipulate.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ESFFWraper.ESFFEnginWraper
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ESFFWraper.ESFFEnginWraper.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ESFixCore.ESMMFixCore
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ESFixCore.ESMMFixCore.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ESMMFixCtrl.ESCoFixEngine
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ESMMFixCtrl.ESCoFixEngine.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ESSPCheck.ESSPCheck
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ESSPCheck.ESSPCheck.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\FlFxr5.FlFixer5
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ERS_is1
HKEY_LOCAL_MACHINE\SOFTWARE\ErrorSafe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ersd.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\ersd.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ERSD
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ersd
HKEY_CURRENT_USER\Software\ErrorSafe
.

Schliesse den Registry Editor.
Starte deinen Rechner neu auf in den abgesicherten Modus

#Lösche mit dem Windows Explorer folgende Einträge und Dateien:
(Du kannst dazu auch Sysinternals Autoruns verwenden)

Code:

commonprograms+\errorsafe\contact customer support.lnk
commonprograms+\errorsafe\errorsafe deinstallieren.lnk
commonprograms+\errorsafe\errorsafe im netz.lnk
commonprograms+\errorsafe\errorsafe on the web.lnk
commonprograms+\errorsafe\errorsafe.lnk
commonprograms+\errorsafe\kundendienst kontaktieren.lnk
commonprograms+\errorsafe\uninstall errorsafe.lnk
desktopdir+\errorsafe.lnk
df_fixer.dll
df_kme.exe
df_kme.exe
df_proxy.dll
ecc.dll
errorsafescannerinstall_de.exe
errorsafescannersetup2222.exe
ers.exe
erssdd.sys
espcheck.dll
esspcheck.dll
ffwraper.dll
fixcore.dll
flfxr5.dll
ftrec.dll
install.exe
license.rtf
mmfix.dll
profilepath+\trace.log
programfilesdir+\errorsafe\activate.dat
programfilesdir+\errorsafe\appupdate.dat
programfilesdir+\errorsafe\bnlink.dat
programfilesdir+\errorsafe\database.sav
programfilesdir+\errorsafe\dcres.sys
programfilesdir+\errorsafe\df_fixer.dll
programfilesdir+\errorsafe\df_proxy.dll
programfilesdir+\errorsafe\diagnosis.dat
programfilesdir+\errorsafe\ecc.dll
programfilesdir+\errorsafe\emptyersf.exe
programfilesdir+\errorsafe\ers.exe
programfilesdir+\errorsafe\ers.url
programfilesdir+\errorsafe\erssdd.sys
programfilesdir+\errorsafe\espcheck.dll
programfilesdir+\errorsafe\esspcheck.dll
programfilesdir+\errorsafe\ffwraper.dll
programfilesdir+\errorsafe\fixcore.dll
programfilesdir+\errorsafe\flash.ini
programfilesdir+\errorsafe\flfxr5.dll
programfilesdir+\errorsafe\frec.dll
programfilesdir+\errorsafe\ftrec.dll
programfilesdir+\errorsafe\fwraper.dll
programfilesdir+\errorsafe\fxcore.dll
programfilesdir+\errorsafe\install.exe
programfilesdir+\errorsafe\lapv.dat
programfilesdir+\errorsafe\license.rtf
programfilesdir+\errorsafe\lock.dat
programfilesdir+\errorsafe\mmfix.dll
programfilesdir+\errorsafe\mmfx.dll
programfilesdir+\errorsafe\program.sav
programfilesdir+\errorsafe\pv.dat
programfilesdir+\errorsafe\sr.exe
programfilesdir+\errorsafe\sr.log
programfilesdir+\errorsafe\strres.dll
programfilesdir+\errorsafe\support.url
programfilesdir+\errorsafe\template.dbx
programfilesdir+\errorsafe\trace.log
programfilesdir+\errorsafe\unins000.dat
programfilesdir+\errorsafe\unins000.exe
programfilesdir+\errorsafe\unins000.exe
programfilesdir+\errorsafe\unins001.dat
programfilesdir+\errorsafe\unins001.exe
programfilesdir+\errorsafe\up.dat
programfilesdir+\errorsafe\update.log
programfilesdir+\errorsafe\updater.dat
programfilesdir+\errorsafe\updater.exe
programfilesdir+\errorsafe\wsres.sys
sr.exe
strres.dll
.

Hinweis: Suche nach den Einträgen und lösche sie!

#Lösche folgende Ordner:

programfilesdir+\errorsafe
programfilesdir+\errorsafe\backup
programfilesdir+\errorsafe\mp3db
programfilesdir+\errorsafe\mpegdb
programfilesdir+\errorsafe\repaired
programfilesdir+\errorsafe\tasks
programfilesdir+\errorsafe\wavedb
programfilesdir+\ErrorSafe\ers.url
programfilesdir+\ErrorSafe\support.rul

Hinweis: %programfilesdir% ist eine Variable (?). Normalerweise ist dies C:\Program Files, C:\Programme.
commonprograms+ bedeutet gemeinsame Programme+
Suche nach den Einträgen und lösche sie!

Boote nun in den normalen Modus.

Leere den Inhalt der temporären Ordner mit dem Disk Cleaner.

Konfiguriere den IE wie hier empfohlen: Sicherheitseinstellungen!
Du kannst auch den Browser Hijack Retaliator 4.1 verwenden, um dem Internet Explorer seine Ausgangsposition zurückzugeben.

Schwerpunktmäßige Übersetzung des englischen Originals/Translated from the English Websites of eTrust and Symantec into German by Ruby.


Zusätzlich zur manuellen Entfernung kann man CounterSpy anwenden,
entsprechend unserer Deutsche Anleitung:

ErrorSafe Rogue Security Program more information...
Details: ErrorSafe is a disabled data repair utility that nags the user to purchase it in order to fix the problems reported in its scan.
Status: Deleted

Infected registry entries detected
HKEY_CLASSES_ROOT\ESSPCheck.ESSPCheck
HKEY_CLASSES_ROOT\ESSPCheck.ESSPCheck\CLSID {5284AC2A-EF00-4750-9B82-B5B907D26536}
HKEY_CLASSES_ROOT\ESSPCheck.ESSPCheck\CurVer ESSPCheck.ESSPCheck.1
HKEY_CLASSES_ROOT\ESSPCheck.ESSPCheck WFX5PCheck Class
HKEY_CLASSES_ROOT\ESSPCheck.ESSPCheck.1
HKEY_CLASSES_ROOT\ESSPCheck.ESSPCheck.1\CLSID {5284AC2A-EF00-4750-9B82-B5B907D26536}
HKEY_CLASSES_ROOT\ESSPCheck.ESSPCheck.1 WFX5PCheck Class

(ein Eintrag aus unserem Forum)

Bei Windows XP und ME bitte die Systemwiederherstellung im Anschluß an die Reinigungsarbeiten einmal im Wechsel deaktivieren und aktivieren, dazwischen jedes mal neu booten. Zum Schluss muss die Systemwiederherstellung aktiviert, also angestellt sein. Vergib nun einen neuen Systemwiederherstellungspunkt.

[Ruby]

Adware SurfSideKick

SurfSideKick

Viele Wege führen nach Rom....

Übersetzte Anleitung von Shadow_Puter_Dude bei Major Geeks.com:

Downloade den Brute Force Uninstaller von Merijn (Author von Hijackthis).
(Weitere Download Spiegel: SpywareInfo, ComputerCops, MajorGeeks)
(Brauchst du ein Zip-Tool: WinZip)

• Mach einen Rechtsklick im BFU Ordner auf deinem Desktop und wähle "alles auspacken" / "extract all"
• Klicke auf Weiter "Next"
• Wenn du gefragt wirst, wohin du die Dateien auspacken sollst
• Klicke auf "Browse"
• Klicke auf das + Zeichen, neben "Mein Computer"
• Klicke auf "Local Disk ( C: )" oder eben auf deine örtliche Festplatte
• Klicke auf "Erstelle einen neuen Ordner" / "Make New Folder"
• Schreib rein BFU
• Klicke auf Weiter "Next", und setze ein Häkchen in die "Show Extracted Files" Box. Klicke dann auf Beenden/ "Finish".

RECHTS KLICK auf diesen Link (http://downloads.subratam.org/Lon/sidekickFix.bat), wähle "Speichern unter" -> Alle Dateitypen ("Save Target As") -> Downloade das SideKickFix von LonnyRJones.

Speichere es im gleichen Ordner wie den BFU (C:\BFU).

Schliesse alle Anwendungen und Fensterchen, mach einen Doppelklick auf das sidekickFix.bat. Klicke JA/YES und folge der Anweisung. Wenn du den Rechner neu aufstarten sollst, mach das bitte.

Lade den CCleaner runter, installiere ihn, starte ihn -> stelle unter Options -> German ein,
bereinige damit dein System (Windows, Applications, Issues)
Setze in alle Fächer ein Häkchen so wie du es auf den Screenshots siehst, aber bitte nicht in die Yahoo Toolbar. (Schau dir dazu die Quick-Tour und die Screenshots an).
Bei Windows XP bitte den Inhalt von C:\WINDOWS\Prefetch leeren.

Geh nun bitte auf START -> ausführen > schreib rein: cleanmgr > OK. Lass diese Ordner leeren:

Temporary Files
Temporary Internet Files
Recycle Bin

Klicke auf OK.
Starte den Rechner neu auf in den normalen Modus.

Quelle

Viele Wege führen nach Rom....

SurfSideKick

In einem Hijackthislog siehst du:
R3 - URLSearchHook: (no name) - {000AB005-FF12-42C2-8DF5-39E12E5F9C91} - C:\Program Files\SurfSideKick\SskBho.dll

O4 - HKLM\..\Run: [SurfSideKick] C:\Program Files\SurfSideKick\Ssk.exe
O4 - HKCU\..\Run: [SurfSideKick] C:\Program Files\SurfSideKick\Ssk.exe

Wie entfernt man das:
Systemsteuerung > Software > Programme hinzufügen/entfernen.
Deïnstalliere SurfSideKick.

Fixe alle Einträge im HijackThis Logfile

Entferne diesen Ordner: C:\PROGRAMME\SurfSideKick

Verwende dieses Reg, um die Registry zu reinigen:
REGEDIT4

[-HKEY_CURRENT_USER\Software\SurfSideKick]

[-HKEY_CLASSES_ROOT\CLSID\{000AB005-FF12-42C2-8DF5-39E12E5F9C91}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Uninstall\Surf Sidekick_is1]

[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Run\SurfSideKick]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{000AB005-FF12-42C2-8DF5-39E12E5F9C91}]

[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Run\SurfSideKick]

[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks\{000AB005-FF12-42C2-8DF5-39E12E5F9C91}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{CFBFAE00-17A6-11D0-99CB-00C04FD64497}"=""


Ins Deutsche übersetzt von Marckie's Spyware für die User von HijackThis.de.

======================

SurfSideKick 3

In einem Hijackthislog siehst du:
R3 - URLSearchHook: (no name) - {02EE5B04-F144-47BB-83FB-A60BD91B74A9} - C:\Programme\SurfSideKick 3\SskBho.dll

O4 - HKLM\..\Run: [SurfSideKick 3] C:\Programme\SurfSideKick 3\Ssk.exe
O4 - HKCU\..\Run: [SurfSideKick 3] C:\Programme\SurfSideKick 3\Ssk.exe
O20 - AppInit_DLLs: repairs303169569.dll

Wie entfernt man das:
Systemsteuerung > Software > Programme hinzufügen/entfernen.
Deïnstalliere SurfSideKick 3

Fixe alle Einträge im HijackThis Logfile

Entferne diesen Ordner: C:\PROGRAMME\SurfSideKick 3

Verwende dieses surfsidekick3.reg (surfsidekick3.zip), um die Registry zu reinigen:

REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{02EE5B04-F144-47BB-83FB-A60BD91B74A9}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Uninstall\SurfSideKick]

[-HKEY_LOCAL_MACHINE\Software\SurfSideKick3]

[-HKEY_CURRENT_USER\Software\SurfSideKick3]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\UrlSearchHooks]
"{02EE5B04-F144-47BB-83FB-A60BD91B74A9}"=-

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{02EE5B04-F144-47BB-83FB-A60BD91B74A9}"=-


Mit Dank an Marckie

Wenn du kein Zip-Programm hast, kannst du dir eine Testversion kostenlos runterladen: Winzip.


Detaillierte Anleitung zur Entfernung von SurfSideKick 3
(Alternative Möglichkeit)

Lade bitte den Uninstall Cleaner 1.0 herunter,
versuche damit die Adware SurfSideKick zu deinstallieren.
Scrolle so lange nach unten, bis du sie findest.

Wenn es nicht möglich ist, SurfSideKick 3 auf diese Weise zu entfernen, gibt es noch andere Wege:
-> bitte im Forum nachfragen.

Lade das surfsidekick3.zip herunter, entpacke es mit einem Zip-Programm auf deinen Desktop.
Mach einen Doppelklick mit der Maus auf das surfsidekick3.reg
und beantworte die Frage, ob es von der Registry aufgenommen werden soll, mit "ja" (ok).

Bitte die Ordneroptionen richtig einstellen:
Im Windows-Explorer:

>Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und
Ordner >"alle Dateien und Ordner anzeigen" aktivieren und
>Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner
>"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren.

Schliesse alle Programme einschliesslich Internet Explorer.
Du musst nun im abgesicherten Modus (Anleitung) arbeiten.

Lass Hijackthis laufen,
klicke scan und setze ein Häkchen neben jeden dieser Einträge.
Drücke dann auf den Fix Button:

R3 - URLSearchHook: (no name) - {02EE5B04-F144-47BB-83FB-A60BD91B74A9} - C:\Programme\SurfSideKick 3\SskBho.dll
O4 - HKLM\..\Run: [SurfSideKick 3] C:\Programme\SurfSideKick 3\Ssk.exe
O4 - HKCU\..\Run: [SurfSideKick 3] C:\Programme\SurfSideKick 3\Ssk.exe
O20 - AppInit_DLLs: repairs303169578.dll

Drücke auf den Fix Button.
Beende das Programm HijackThis.

Lösche diese Dateien
C:\Programme\SurfSideKick 3\Ssk.exe
C:\%windir%\%system%\repairs303169578.dll

Lösche diesen Ordner
C:\Programme\SurfSideKick 3

Boote in den normalen Modus.

Hinweis:
%windir%, %system% sind Variable (?).
Normalerweise ist dies C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), oder C:\Windows\System32 (Windows XP).

Windows XP und ME:
-> bitte die Systemwiederherstellung deaktivieren, den Rechner booten, dann die SWH wieder aktivieren. Vergib einen neuen Systemwiederherstellungspunkt.

[Ruby]

PurityScan
(The English Original Sites: eTrust)

Überblick
Spielt popup/popunder ads ab, die nicht mit dem Roten X rechts oben auf der Rahmenseite geschlossen werden können.
PurityScan installiert sich ohne die Kenntnis des Users.

Typ:
Adware, Browser Helper Object (BHO), Trojaner

Manuelle Entfernung vom System

Hinweis 1: Wie man einen neuen Ordner anlegt, für neue Programme, kannst du diesem Windows Tutorial entnehmen.
Hinweis 2: lade dir den Starter oder den Process Explorer herunter, wenn dein Taskmanager nicht funktioniert.
Ein Sprachpaket für Deutsch ist ebenfalls erhältlich (German, by easystuff mirror #0 #1 #2).
Hinweis 3: lade dir den Idoswin Free herunter, wenn du Probleme mit dem Windows Explorer hast.
Hinweis 4: lade dir die ->deutsche Version von Jarte herunter, wenn dein Wordpad nicht (mehr) funktioniert.

Beende im Taskmanager folgende Prozesse:

Code:

485b155c12.exe
5a00481596.exe
589a3eb820.exe
ac70952d74.exe
8865371611.exe
85d2b41586.exe
7d3d961e67.exe
csrss109.exe
cchkntfs.exe
eeee121.exe
e40a1da710.exe
db27ea1127.exe
d61081a111.exe
354fc48463.exe
1698a68b41.exe
000155130.exe
!update.exe
%system%\arpa.dll
%system%\lgnkrv.exe
%system%\winservn.exe
%system%\wapiit.exe
fxzrggu.exe
fbd9a97131.exe
ewhbh360.exe
othb.exe
seii.exe
purityscan2.exe
ps_uninstaller.exe
mil.exe
winlogon.exe
wnscpsvunpacked.exe
test117.exe
shex.exe
purityscan install.exe
%profile%\application data\mnss.exe
%profile%\local settings\temp\ps_install-grokster.exe
%profile%\application data\oeet.exe
%program_files%\purityscan\purityscanuninstall.exe
%program_files%\purityscan\purityscan.exe
%profile%\local settings\temp\wups.exe
%profile%\local settings\temp\pscanw.exe

Hinweis: Suche nach den Prozessen und beende sie!

Du solltest ein Back-Up deiner Registry machen, bevor du sie editierst: back up.

Öffne den Registry Editor.
Klicke auf Start >ausführen, schreib REGEDIT -> [enter]
(oder verwende Registrar Lite)

# Hinweis: wenn sich der Registry Editor nicht öffnen lässt, besteht das Risiko, dass die Malware dies verhindert. Für diesen Fall hat Symantec ein Tool entwickelt, dass diese Veränderung zurücknehmen kann. Lade das Tool runter und mach dann mit dem Entfernen weiter: Symantec Registry Tool

# Navigiere zu diesen Schlüsseln:
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion \run rpoo <- lösche den fettgedruckten Befehl
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion \run psguard <- lösche den fettgedruckten Befehl
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run notn <- lösche den fettgedruckten Befehl
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion \run amh <- lösche den fettgedruckten Befehl
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run ifu <- lösche den fettgedruckten Befehl
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run eudw <- lösche den fettgedruckten Befehl
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run contentservice <- lösche den fettgedruckten Befehl
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run brct <- lösche den fettgedruckten Befehl
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run aida <- lösche den fettgedruckten Befehl
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run {72a58725-2635-4725-8c53-676dfd1feb8d} <- lösche den fettgedruckten Befehl

# Navigiere zu und lösche diese Werte:

Code:

HKEY_CLASSES_ROOT\clsid\{25ae1a9b-87d2-418f-a3a6-5a46edc37a84} 
HKEY_CLASSES_ROOT\clsid\{38fd6621-c311-0ce3-8757-105504a62619} 
HKEY_CLASSES_ROOT\clsid\{43acaeec-4072-40dc-2b76-38b60d1df6c2} 
HKEY_CLASSES_ROOT\clsid\{9cc6f6d3-8b13-4206-abc1-8b285f9413a7} 
HKEY_CLASSES_ROOT\clsid\{9fe4d9e6-13bb-43e0-8c74-9800573da4d6} 
HKEY_CLASSES_ROOT\clsid\{a85c505e-aae3-4cb0-aee1-cb8213b140fb} 
HKEY_CLASSES_ROOT\clsid\{cf0fbbf5-1ddd-4d58-b480-ac2c2a4186d3} 
HKEY_CLASSES_ROOT\clsid\{eec056ce-3e1b-4571-bee1-eab9876b35f8} 
HKEY_CLASSES_ROOT\interface\{20f13844-04bc-4987-9964-2502f0da54d3} 
HKEY_CLASSES_ROOT\interface\{3e43040c-73c1-4898-a4f8-e2c9428b1167} 
HKEY_CLASSES_ROOT\typelib\{73d7abfe-d325-430a-817f-64c7bfd48813} 
HKEY_CLASSES_ROOT\typelib\{ee6f3f6a-ad8e-48da-9b1d-d5204b2d227d} 
HKEY_CLASSES_ROOT\vbdnr.ccookie 
HKEY_CLASSES_ROOT\vbdnr.cerrorlog 
HKEY_CLASSES_ROOT\vbdnr.chistory 
HKEY_CLASSES_ROOT\vbdnr.cregistryrouti 
HKEY_CLASSES_ROOT\vbdnr.cscheduler 
HKEY_CLASSES_ROOT\vbdnr.csignature 
HKEY_CLASSES_ROOT\vbdnr.cusersettings 
HKEY_CURRENT_USER\software\aubt 
HKEY_CURRENT_USER\software\etds 
HKEY_CURRENT_USER\software\meow 
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run {72a58725-2635-4725-8c53-676dfd1feb8d}
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run aida
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run brct
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run contentservice
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run eudw
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run ifu
HKEY_CURRENT_USER\software\purityscan 
HKEY_CURRENT_USER\software\toos 
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{38fd6621-c311-0ce3-8757-105504a62619} 
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run amh
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run notn
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run psguard
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run rpoo
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\purityscan 
HKEY_USERS\.default\software\ttee

Schliesse den Registry Editor.
Starte deinen Rechner neu auf in den abgesicherten Modus

#Lösche mit dem Windows Explorer, im abgesicherten Modus, folgende Einträge und Dateien:
(Du kannst dazu auch Sysinternals Autoruns oder die Killbox verwenden)

Code:

!update.exe
000155130.exe
1698a68b41.exe
2716657
2838402
2848151
2852189
2856273
2860828
2998889
354fc48463.exe
41c6d56863.dll
485b155c12.exe
589a3eb820.exe
5a00481596.exe
7d3d961e67.exe
85d2b41586.exe
8865371611.exe
ac70952d74.exe
arpa.dll
backup-20060321-124609-355.dll
cchkntfs.exe
clocksync.lnk
csrss109.exe
d61081a111.exe
db27ea1127.exe
e40a1da710.exe
%system%\winservn.exe
%program_files%\purityscan\purityscanuninstall.exe
%programs%\purityscan\purityscan.lnk
%system%\lgnkrv.exe
%system%\qyemk.dll
%system%\wapiit.exe
eeee121.exe
ewhbh360.exe
fbd9a97131.exe
fxzrggu.exe
hakixk443.dll
index.htm
instructions.html
mil.exe
min.html
more.html
jdn.dll
loading.html
othb.exe
purityscan install.exe
purityscan.exe
purityscan.lnk
purityscan.txt
purityscan2.exe
purityscanuninstall.exe
quick_coupon.html
quick_instructions.html
quick_search.html
quick_tutorial.html
rcagolbm.dll
right.html
save.db
search.db
ps_uninstaller.exe
seii.exe
shex.exe
ssfnhnr364.ex_
svchost.exe
test117.exe
vzluoxiq.dll
whenusearch desktop toolbar.lnk
winlogon.exe
winservn.exe
wnscpsvunpacked.exe
wups.exe
xulpcs.dll
zvb.dll
%profile%\application data\mnss.exe
%profile%\application data\oeet.exe
%profile%\local settings\temp\ps_install-grokster.exe
%profile%\local settings\temp\pscanw.exe
%profile%\local settings\temp\wups.exe
%profile%\recent\addestroyer.lnk
%program_files%\purityscan\purityscan.exe
.

Hinweis: Suche nach den Einträgen und lösche sie!

#Lösche folgende Ordner:
%profile%\application data\psue
%profile%\menu start\programma's\purityscan
%profile%\start menu\programs\purityscan
%program_files%\appliedsearch_autoinstall
%program_files%\purityscan
%systemdrive%\spyware\purityscan
%systemdrive%\spyware\updatelist
%systemdrive%\sww_searchtool

Hinweis: %programfilesdir% ist eine Variable (?). Normalerweise ist dies C:\Program Files, C:\Programme.
%WinDir%, %System%, %ProgramFiles% sind Variable (?). Normalerweise ist dies C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), oder C:\Windows\System32 (Windows XP) und der Programme-Ordner.

Suche nach den Einträgen und lösche sie!

Boote nun in den normalen Modus.

Leere den Inhalt der temporären Ordner mit dem ClearProg, setze die Häkchen, wie auf diesem Bild

.
Konfiguriere den IE wie hier empfohlen: Sicherheitseinstellungen!
Du kannst auch den Browser Hijack Retaliator 4.1 verwenden, um dem Internet Explorer seine Ausgangsposition zurückzugeben.

Schwerpunktmäßige Übersetzung des englischen Originals/Translated from the English Websites of eTrust into German by Ruby.

Wer zusätzliche Hilfe bei der Entfernung benötigt, möchte sich bei uns im Forum zu Wort melden.

Bei Windows XP und ME bitte die Systemwiederherstellung im Anschluß an die Reinigungsarbeiten einmal im Wechsel deaktivieren und aktivieren, dazwischen jedes mal neu booten. Zum Schluss muss die Systemwiederherstellung aktiviert, also angestellt sein. Vergib nun einen neuen Systemwiederherstellungspunkt.