Adware Solutions (de-en)

[Ruby]

Elite toolbar
(The English Original: eTrust)

Alias
Win32/EliteBar!BHO!Trojan[Computer Associates],
Win32.SillyDl.EW[Computer Associates],
Win32/EliteBar!BHO!Dropper[Computer Associates],
Adware/EliteBar[Panda],
Trojan.Win32.EliteBar.f [Kaspersky],

Typ:
Toolbar und Adware

Manuelle Entfernung vom System

Schritt 1
Im Windows-Explorer:
>Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und
Ordner >"alle Dateien und Ordner anzeigen" aktivieren und
>Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner
>"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren.

Schritt 2
Beendigung des Malware Programms

1. Öffne den Windows Task Manager.
2. Suche die unten angegebenen Prozesse in der Liste der laufenden Prozesse.
3. Wähle die zu löschenden Dateien, wähle "beenden".
4. Um zu überprüfen, ob der Prozess beendet ist, schliesse den Taskmanager. Öffne ihn dann gleich nochmal und schau, ob es den Prozess noch gibt.
5. Schliesse dann den Task Manager:

%windows%\etb\pokapoka79.exe
%system%\elitexdx32.exe
%system%\elitekck32.exe
%system%\elitefmj32.exe
%profile%\local settings\temporary internet files\silent_install.exe
%profile%\local settings\temp\suicidetb.exe
toolbar.exe
silent53.exe
silent093.exe
0000635.exe
c4t.exe
elitebar20.exe
elite toolbar.exe
pokapoka63.exe
sideb.exe
sb.exe
protopro.exe
protas.exe
pre8.exe
pokapoka78.exe
pokapoka76.exe

*Hinweis: Sollte der jeweilige Prozess nicht gut angegeben werden,
kannst du dazu den Process Explorer oder Idoswin Free verwenden.

Mit dem Starter kannst du die laufenden Prozesse ebenfalls beenden.

Schritt 3
Du kannst versuchen jene Teile der EliteToolbar, die du findest, mit dem Uninstall Cleaner 1.0 aus der Liste der vorhandenen Programme zu entfernen, falls es mit der Systemsteuerung > Programme hinzufügen/entfernen nicht funktioniert.

Schritt 4
Suche, finde und unregistere mit Regsvr32 folgende DLLs:

nt_hide78.dll
nt_hide76.dll
elitetoolbar.dll
elitetoolbar version 61.dll
elitetoolbar version 60.dll
elitetoolbar version 54.dll
elitetoolbar version 53.dll
81635062.dll
%windows%\elitetoolbar\elitetoolbar version 59.dll
%windows%\elitesidebar\elitesidebar 08.dll
%windows%\etb\nt_hide79.dll

Schritt 5
Du solltest ein Back-Up deiner Registry machen, bevor du sie editierst: back up.

Schritt 6
Öffne den Registry Editor.
Klicke auf Start >ausführen, schreib REGEDIT -> [enter]
(oder verwende Registrar Lite)

Schritt 7
Navigiere zu und lösche die folgenden Unterschlüssel:

HKEY_CLASSES_ROOT\clsid\{0a1d22c3-37be-470c-9c29-e3074ee0574b}
HKEY_CLASSES_ROOT\clsid\{28caeff3-0f18-4036-b504-51d73bd81abc}
HKEY_CLASSES_ROOT\clsid\{825cf5bd-8862-4430-b771-0c15c5ca8def}
HKEY_CLASSES_ROOT\clsid\{be8d0059-d24d-4919-b76f-99f4a2203647}
HKEY_CLASSES_ROOT\clsid\{ed103d9f-3070-4580-ab1e-e5c179c1ae41}
HKEY_CURRENT_USER\software\microsoft\internet explorer\toolbar\webbrowser {825cf5bd-8862-4430-b771-0c15c5ca8def}
HKEY_LOCAL_MACHINE\software\elitum
HKEY_LOCAL_MACHINE\software\elitum\elitetoolbar
HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\toolbar {825cf5bd-8862-4430-b771-0c15c5ca8def}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion \explorer\browser helper objects {ed103d9f-3070-4580-ab1e-e5c179c1ae41}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion \explorer\browser helper objects\{28caeff3-0f18-4036-b504-51d73bd81abc}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion \explorer\browser helper objects\{ed103d9f-3070-4580-ab1e-e5c179c1ae41}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion \run antiware
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion \run system service78
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion \run system service79
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion \uninstall\elitebar internet explorer toolbar
HKEY_LOCAL_MACHINE\software\ohbbackup

Schliesse den Registry Editor.

Schritt 8
Starte deinen Rechner neu in den abgesicherten Modus

Schritt 9
#Lösche diese Files, wenn vorhanden, mit dem Windows Explorer:

%windir%\etb\pokapoka79.exe
%windir%\elitetoolbar\elitetoolbar version 59.dll
%windir%\etb\nt_hide79.dll
%system%\elitefmj32.exe
%system%\elitekck32.exe
%system%\elitexdx32.exe
%windir%\elitesidebar\elitesidebar 08.dll
sideb.exe
silent_install.exe
silent093.exe
silent53.exe
start a business.url
suicidetb.exe
term life.url
toolbar.exe
virus.bmp
wzw.gamefly[1].com
%profile%\local settings\temp\suicidetb.exe
%profile%\local settings\temporary internet files\silent_install.exe
0000635.exe
50kwincash2.bmp
c4t.exe
casino.bmp
dating.bmp
dc14.tst
dc5.tmp
default.tbr
dental insurance.url
elite toolbar.exe
elite.inf
elite.ocx
81635062.dll
adult.tbr
elitebar20.exe
elitesidebar 08.dll
elitetoolbar version 53.dll
elitetoolbar version 54.dll
elitetoolbar version 59.dll
elitetoolbar version 60.dll
elitetoolbar version 61.dll
elitetoolbar version (irgendeine Nummer).dll
elitetoolbar.dll
etb.ini
etl
findemails.bmp
human resources.url
international travel.url
nt_hide76.dll
nt_hide78.dll
nt_hide79.dll
nt_hide(irgendeine Nummer).dll
pokapoka63.exe
pokapoka76.exe
pokapoka78.exe
pokapoka79.exe
pokapoka(irgendeine Nummer).exe
pre8.exe
protas.exe
protopro.exe
ringtones.bmp
sb.exe
search.mnu
searchpeople.bmp
shop.bmp

Sys29" = "%system%\win[3 random letters]32.exe
"kalvsys" = "%system%\kalv[3 random letters]32.exe"
"etbrun" = "%system%\elit[3 random letters]32.exe"
"antiware" = "%system%\elit[3 random letters]32.exe"
"System Service[NUMBER]" = "%windir%\etb\pokapoka[NUMBER].exe"

Hinweis:
%windir%, %system%, %profile%, %ProgramFiles% sind Variable (?).
Normalerweise ist dies C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), oder C:\Windows\System32 (Windows XP), der Programme-Ordner, User Name.

Schritt 10
Boote in den normalen Modus.

Schritt 11
Die Einträge im Windows Hosts File editieren.
Diese Adware verändert das Windows Hosts File. Windows verwendet das
Hosts file, um den Besuch zu Internet Deiten zu beschleunigen. Es kann jedoch
dergestalt mißbraucht werden, dass dein Rechner bestimmte Seiten nicht
erreichen kann oder zu einer Seite geleitet wird, die du nicht angesteuert hast.

Da es leider nicht möglich ist, herauszufinden, welche Einträge diese Adware
dem Windows Hosts File hinzugefügt hat, ist es am einfachsten alle Einträge
zu editieren, ausser der Zeile für den 127.0.0.1 localhost. (Wenn du in einem
Netzwerk arbeitest, konsultiere vorher den Network Administrator oder die IT/EDV Abteilung.)

Hinweis: Der Ort des Windows Hosts File kann variieren und
manche Rechner führen dieses Hosts File nicht.
Es kann auch noch weitere Kopieen dieses Files an verschiedenen Orten geben.

Folge der Anleitung deines Betriebssystems:

* Windows 95/98/Me/NT/2000
1. START > suche > Dokumente und Ordner.
2. Suche unter (C: ) und sorge dafür, dass auch in den Unterordnern gesucht wird.
3. Gib als Suchauftrag an:

hosts

4. Suche
5. Klicke jedes Hosts File das du findest mit der rechten maustaste an und gib an "öffnen mit
6. "Wähle "verwende immer dieses Programm zum öffnen".
7. Scrolle solange bis du Notepad findest.
8. Wenn sich der File öffnet, lösche alle Linien bis auf diese:

127.0.0.1 localhost

9. Schliesse Notepad und speichere das File. Achte darauf, dass das File keine Endung hat.

* Windows XP
1. START > Suche.
2. Alle Dateien und Ordner.
3. Schreib unter "Alles oder nur den datei Namen":

hosts

4. Such auf der örtlichen "Festplatte" oder auf (C: ).
5. klicke auf die Option für Fortgeschrittene.
6. Suche im System Ordner.
7. Suche in den Unter-Ordnern.
8. gib ein Suche.
9. gib ein "jetzt suchen".
10. Klicke jedes Hosts File das du findest mit der rechten maustaste an und gib an "öffnen mit
11. "Wähle "verwende immer dieses Programm zum öffnen".
12. Scrolle solange bis du Notepad findest.
13. Wenn sich der File öffnet, lösche alle Linien bis auf diese:

127.0.0.1 localhost

14. Schliesse Notepad und speichere das File. Achte darauf, dass das File keine Endung hat.

Alternativ kannst du auch HijackThis verwenden, um das Hosts File zu editieren:

1.Boote in den abgesicherten Modus.
2. Schliesse alle Programme einschliesslich Internet Explorer.
3. Suche das Hosts-File auf, du findest es unter C:\Windows
4. Lass Hijackthis laufen

Config< Misc Tools < Open Hosts file Manager < Delete line <
lösche alles bis auf:

# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost
127.0.0.1 localhost

Das Hosts File ersetzen:

Lade das hosts.zip runter.
Entpacke es mit einem Zip-Programm (TUGZip ist kostenlos) in
einen "temp" Ordner und füge es dann seinem Platz zu.

Schritt 12
Lade den Disk Cleaner runter.
Lass den Disk Cleaner laufen
Setze ein Häkchen in alle Fächer, die gereinigt werden müssen:
Temporary Internet Files und Temporary System Files, Cache, History (Windows XP: Prefetch)
und in soviele Fächer wie möglich.

Schritt 13
Scanne deinen Rechner mit einem Full-System-Scan mit dem Panda Active Online-Scan.
Lass das Programm alles entfernen, was es findet.
Der Scan kann ca 2-3 Stunden dauern.
Speichere das Logfile des Scans.
Boote deinen Rechner danach neu auf.

Für den Online Scan bitte die Sicherheitsvorkehrungen im Internet-Explorer heruntersetzen und ActiveX erlauben.
Vergiss nicht, die Sicherheitseinstellungen nach dem Scan wieder hochzustellen.

Windows XP und ME: bitte die Systemwiederherstellung deaktivieren, den Rechner booten, dann die SWH wieder aktivieren. Vergib einen neuen Systemwiederherstellungspunkt.

Schwerpunktmäßige Übersetzung des englischen Originals/Translated from the English Website of eTrust into German by Ruby.

Removaltool

EliteToolbar Remover V.2.1.2

Hinweis: Dieses hervorragende Freeware-Removal-Tool kann im normalen
und im abgesicherten Modus laufen.
Es entfernt die Elitebar, die Pokapoka-Dateien und mehr.
Dem Tool liegt eine Bedienungsanleitung (Readme) und eine Liste der Malware bei, die es löscht.
Die deutsche Bedienungsanleitung findet sich hier.

Quellnachweis: Spywareguide, CA, Spywareinfo, Foro de Spyware u.a.
Frei ins Deutsche übertragen von /Free Translation from English to German by Ruby

[Ruby]

180 Search Assistant
(The English Original: www.kephyr.com )

Überblick
180 Search Assistant zeigt bestimmte Websites in neuen Browser-Fenstern, mit der Überschrift, "Brought to you by the 180search Assistant".

Typ:
Adware
Bundled software

Files
saap.exe, 180ax.exe, sau.exe, sais.exe, salm.exe

Alias
PMS/180Solutions.A.1 [AntiVir], Win32:Trojan-gen [Avast], Adware.Ncase.D, Adware.Searchassist.C [BitDefender], Trojan.Spy.Ncase-2 [ClamAV], Adware.nCase [Dr.Web], W32/Salm.A@bd, W32/Dyfuca.DM@dl [F-Prot Antivirus], Adware/180Solutions, Download/180Solutions [Fortinet], AdWare.180Solutions [Kaspersky Anti-Virus], .Ncase180 [mks_vir], W32/Ncase.D, W32/Dyfuca.DG [Norman Virus Control]

Manuelle Entfernung vom System

Bei Windows XP und ME: die Systemwiederherstellung vor den Arbeiten am System deaktivieren.

Im Windows-Explorer:
>Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und
Ordner >"alle Dateien und Ordner anzeigen" aktivieren und
>Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner
>"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren.

Du solltest ein Back-Up deiner Registry machen, bevor du sie editierst: back up.

Öffne den Registry Editor.
Klicke Start >ausführen, schreib REGEDIT -> [enter]
(oder verwende Registrar Lite)

Navigiere zu
'HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run'

Lösche rechts die Werte: 'sau', 'saap', '180ax', 'sais' and 'salm', wenn es sie gibt.

Schliesse den Registry Editor.

Beende im Taskmanager/Process Explorer
folgende Prozesse:

saap.exe, 180ax.exe, sau.exe, sais.exe, salm.exe

Boote deinen Rechner in den abgesicherten Modus

Lösche mit dem Windows Explorer:

c:\temp\salm.exe
c:\temp\fleok\
C:\Programme\180solutions\
C:\Programme\180search assistant\
C:\Programme\180searchassistant\
C:\Windows\180ax.exe
C:\Windows\temp\180ax.exe

Boote in den normalen Modus

Vergib eine neue Startseite für den Internet Explorer.
Konfiguriere den IE wie hier empfohlen: Sicherheitseinstellungen!


Schwerpunktmäßige Übersetzung des englischen Originals/Translated from the English Website of Bazooka™
into German by Ruby.

[Ruby]

Comet Cursor
(The English Original: www.kephyr.com)

Überblick
Comet Cursor ist ein Programm, das den Mauszeiger verändert.
Es ist als eines der ersten Programme bekannt geworden, das sich installieren konnte und User mitzog.

Typ:
Adware

Files
comet.dll, Brbho.dll, Csbho.dll

Manuelle Entfernung vom System

Bei Windows XP und ME: die Systemwiederherstellung vor den Arbeiten am System deaktivieren.

Im Windows-Explorer:
>Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und
Ordner >"alle Dateien und Ordner anzeigen" aktivieren und
>Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner
>"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren.

Du solltest ein Back-Up deiner Registry machen, bevor du sie editierst: back up.

Öffne den Registry Editor.
Klicke auf Start >ausführen, schreib REGEDIT -> [enter]
(oder verwende Registrar Lite)

Navigiere zu:
'HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run'
lösche auf der rechten Seite folgende Werte: 'DM_server' and 'CC2KUI', wenn vorhanden
# Lösche 'HKEY_LOCAL_MACHINE \ SOFTWARE \ Classes \ CLSID \ {1678F7E1-C422-11D0-AD7D-00400515CAAA}', wenn vorhanden
# Lösche 'HKEY_LOCAL_MACHINE \ SOFTWARE \ Classes \ CLSID \ {96DA5BEE-4ACC-476C-B3EC-54C6730C4293}', wenn vorhanden
# Lösche 'HKEY_LOCAL_MACHINE \ SOFTWARE \ Classes \ CLSID \ {D14D6793-9B65-11D3-80B6-00500487BDBA}', wenn vorhanden
# Lösche 'HKEY_LOCAL_MACHINE \ SOFTWARE \ Classes \ CLSID \ {FE6BC4EF-5676-484B-88AE-883323913256}', vorhanden

Navigiere zu:
'HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Internet Explorer \ Toolbar'
lösche auf der rechten Seite folgenden Wert: {FE6BC4EF-5676-484B-88AE-883323913256}wenn vorhanden

Navigiere zu:
'HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Internet Explorer \ Toolbar \ WebBrowser'
#lösche auf der rechten Seite folgenden Wert: {FE6BC4EF-5676-484B-88AE-883323913256}, wenn vorhanden.
# Lösche 'HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Browser Helper Objects \ {1678F7E1-C422-11D0-AD7D-00400515CAAA}', wenn vorhanden.
# Lösche 'HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Browser Helper Objects \ {96DA5BEE-4ACC-476C-B3EC-54C6730C4293}', wenn vorhanden.
# Lösche 'HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Browser Helper Objects \ {D14D6793-9B65-11D3-80B6-00500487BDBA}', wenn vorhanden.

Schliesse den Registry Editor.

Boote deinen Rechner in den abgesicherten Modus

#Lösche mit dem Windows Explorer:

C:\%ProgramsDir%\Comet\
C:\%ProgramsDir%\Comet Systems\
C:\ %SystemDir%\comet.dll

Hinweis: %SystemDir% ist eine Variable (?). Normalerweise ist dies C:\Windows\System (Windows 95/98/Me), C:\WINNT\System32 (Windows NT/2000), oder C:\Windows\System32 (Windows XP).
Hinweis: %ProgramsDir% ist eine Variable (?). Normalerweise ist dies C:\Program Files, C:\Programme.

Boote deinen Rechner wieder in den normalen Modus.

Vergib eine neue Startseite für den Internet Explorer.
Konfiguriere den IE wie hier empfohlen: Sicherheitseinstellungen!


Schwerpunktmäßige Übersetzung des englischen Originals/Translated from the English Website of Bazooka™
into German by Ruby.

[Ruby]

Conscorr
(The English Original: www.kephyr.com)

Überblick
Im Conscorr.exe File steht ein Statement, das darauf hinweist, dass dieses Programm in einer Beziehung zu 'IPInsight' und der 'Cliks Software' steht.

Typ:
unbekannt

Files
conscorr.exe

Manuelle Entfernung vom System

Bei Windows XP und ME: die Systemwiederherstellung vor den Arbeiten am System deaktivieren.

Im Windows-Explorer:
>Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und
Ordner >"alle Dateien und Ordner anzeigen" aktivieren und
>Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner
>"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren.

Du solltest ein Back-Up deiner Registry machen, bevor du sie editierst: back up.

Öffne den Registry Editor.
Klicke auf Start >ausführen, schreib REGEDIT -> [enter]
(oder verwende Registrar Lite)

Navigiere zu:
'HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run'

#Lösche auf der rechten Seite folgende Werte: 'conscorr' oder 'CONSCORR', wenn vorhanden.

Schliesse den Registry Editor.

Beende im Taskmanager/Process Explorer
folgenden Prozess:

conscorr.exe

Boote deinen Rechner in den abgesicherten Modus

#Lösche mit dem Windows Explorer:

C:\Windows\conscorr.exe

Boote deinen Rechner in den normalen Modus.

Vergib eine neue Startseite für den Internet Explorer.
Konfiguriere den IE wie hier empfohlen: Sicherheitseinstellungen!


Schwerpunktmäßige Übersetzung des englischen Originals/Translated from the English Website of Bazooka™
into German by Ruby.

[Ruby]

Internet Optimizer
(The English Original: www.kephyr.com)

Überblick
Der Internet Optimizer verändert die Browser Fehler-Seite.

Typ:
Adware

Files
iopti130.dll, nem220.dll, nem207.dll, nem212.dll, nem214.dll, wsem210.dll, wsem216.dll, optimize.exe, actalert.exe

Manuelle Entfernung vom System

Bei Windows XP und ME: die Systemwiederherstellung vor den Arbeiten am System deaktivieren.

Im Windows-Explorer:
>Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und
Ordner >"alle Dateien und Ordner anzeigen" aktivieren und
>Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner
>"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren.

Du solltest ein Back-Up deiner Registry machen, bevor du sie editierst: back up.

Öffne den Registry Editor.
Klicke auf Start >ausführen, schreib REGEDIT -> [enter]
(oder verwende Registrar Lite)

Navigiere zu:
'HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run'
# Lösche auf der rechten Seite folgenden Wert: 'Internet Optimizer', wenn vorhanden.
# Lösche 'HKEY_LOCAL_MACHINE \ SOFTWARE \ Classes \ CLSID \ {F7F808F0-6F7D-442C-93E3-4A4827C2E4C8}', wenn vorhanden.
# Lösche 'HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Browser Helper Objects \ {F7F808F0-6F7D-442C-93E3-4A4827C2E4C8}', wenn vorhanden.

Schliesse den Registry Editor.

Beende im Taskmanager/Process Explorer
folgende Prozesse:

optimize.exe, actalert.exe

Boote deinen Rechner in den abgesicherten Modus

#Lösche den folgenden Ordner:

C:\Programme\Internet Optimizer\

#Lösche mit dem Windows Explorer:

C:\Windows\iopti130.dll
C:\Windows\nem207.dll
C:\Windows\nem212.dll
C:\Windows\nem214.dll
C:\Windows\nem220.dll
C:\Windows\wsem210.dll
C:\Windows\wsem216.dll

Reboote in den normalen Modus.

Leere den Inhalt der temporären Ordner mit dem System Cleaner 1.0 oder CleanUp.

Vergib eine neue Startseite für den Internet Explorer.
Konfiguriere den IE wie hier empfohlen: Sicherheitseinstellungen!


Schwerpunktmäßige Übersetzung des englischen Originals/Translated from the English Website of Bazooka™
into German by Ruby.

[Ruby]

ISTBar
(The English Original: www.kephyr.com)

Überblick
Die ISTBar hat sehr verschiedenartige Varianten, wie zum Beispiel AUpdate, MSCache und die XXXToolbar.
Diese Software hijacked deine Homepage und Suchseiten.

Typ:
Adware

Files
mscache.exe, aupdate.exe, aupdate_uninstall.exe, istsvc.exe, mscache.dll, istbar.dll

Manuelle Entfernung vom System

Bei Windows XP und ME: die Systemwiederherstellung vor den Arbeiten am System deaktivieren.

Im Windows-Explorer:
>Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und
Ordner >"alle Dateien und Ordner anzeigen" aktivieren und
>Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner
>"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren.

Deinstallation:
Deinstalliere die ISTBar mit der Funktion "Programme hinzufügen/entfernen" im Windows® Kontroll Zenter.
Suche nach jedem Eintrag MS AUpdate, MS Updates, XXXToolbar, ISTsvc oder ISTBar.
Wenn keiner dieser Einträge existiert, suche einen Fachmann auf.

Du solltest ein Back-Up deiner Registry machen, bevor du sie editierst: back up.

Öffne den Registry Editor.
Klicke auf Start >ausführen, schreib REGEDIT -> [enter]
(oder verwende Registrar Lite)

Navigiere zu:
'HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run'
# lösche auf der rechten Seite folgenden Wert: 'MS Updates', 'AutoUpdater' and 'IST Service', wenn vorhanden.
# Lösche 'HKEY_LOCAL_MACHINE\SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Uninstall \ ISTsvc \ DisplayName', wenn vorhanden.
# Lösche 'HKEY_LOCAL_MACHINE\SOFTWARE \ Microsoft \ Windows \ CurrentVersion\Uninstall \ ISTbarISTbar \ DisplayName', wenn vorhanden.
# Lösche 'HKEY_LOCAL_MACHINE\SOFTWARE \ Classes \ CLSID \ {5F1ABCDB-A875-46c1-8345-B72A4567E486}', wenn vorhanden.

# Navigiere zu:
'HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Internet Explorer \ Toolbar'
# Lösche auf der rechten Seite folgenden Wert: {5F1ABCDB-A875-46c1-8345-B72A4567E486}, wenn vorhanden.
# Navigiere zu::
'HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Internet Explorer \ Toolbar \ WebBrowser'
# Lösche auf der rechten Seite folgenden Wert: {5F1ABCDB-A875-46c1-8345-B72A4567E486}, wenn vorhanden.

Schliesse den Registry Editor.

Beende im Taskmanager/Process Explorer
folgende Prozesse:

mscache.exe, aupdate.exe, aupdate_uninstall.exe, istsvc.exe

Boote deinen Rechner in den abgesicherten Modus

#Lösche folgende Ordner:

%ProgramsDir%\ISTBar\
%ProgramsDir%\ISTsvc\

Hinweis: %ProgramsDir% ist eine Variable (?). Normalerweise ist dies C:\Program Files, C:\Programme.

#Lösche mit dem Windows Explorer:

mscache.dll
istbar.dll

Reboote in den normalen Modus.

Leere den Inhalt der temporären Ordner mit dem System Cleaner 1.0 oder CleanUp.

Vergib eine neue Startseite für den Internet Explorer.
Konfiguriere den IE wie hier empfohlen: Sicherheitseinstellungen!


Schwerpunktmäßige Übersetzung des englischen Originals/Translated from the English Website of Bazooka™
into German by Ruby.

[Ruby]

SideFind
(The English Original: www.kephyr.com)

Überblick
SideFind, auch IS Technologies SideFind genannt, ist ein UPX compressed Browser Helper Object und eine Toolbar für den Internet Explorer. SideFind verwendet Microsoft .NET als seine runtime Umgebene. Laut Sophos kann SideFind durch den Troj/IstBar-M gedownloadet werden.

Typ:
Browser Helper Object
Internet Explorer Toolbar

Files
SFBHO.DLL, sfbho13.dll

Manuelle Entfernung vom System

Bei Windows XP und ME: die Systemwiederherstellung vor den Arbeiten am System deaktivieren.

Im Windows-Explorer:
>Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und
Ordner >"alle Dateien und Ordner anzeigen" aktivieren und
>Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner
>"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren.

Du solltest ein Back-Up deiner Registry machen, bevor du sie editierst: back up.

Öffne den Registry Editor.
Klicke auf Start >ausführen, schreib REGEDIT -> [enter]
(oder verwende Registrar Lite)

Navigiere zu und lösche:
# 'HKEY_LOCAL_MACHINE \ SOFTWARE \ Classes \ CLSID \ {A3FDD654-A057-4971-9844-4ED8E67DBBB8}', wenn vorhanden
# 'HKEY_LOCAL_MACHINE \ SOFTWARE \ Classes \ CLSID \ {8CBA1B49-8144-4721-A7B1-64C578C9EED7}', wenn vorhanden
# 'HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Internet Explorer \ Explorer Bars \ {8CBA1B49-8144-4721-A7B1-64C578C9EED7}', wenn vorhanden

Navigiere zu und lösche:
# 'HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Browser Helper Objects \ {A3FDD654-A057-4971-9844-4ED8E67DBBB8}', wenn vorhanden
Schliesse den Registry Editor.

Beende im Taskmanager/Process Explorer
folgenden Prozess:

sidefind.exe

Boote deinen Rechner in den abgesicherten Modus

#Lösche folgenden Ordner:

%ProgramsDir%\SIDEFIND\

Hinweis: %ProgramsDir% ist eine Variable (?). Normalerweise ist dies C:\Program Files, C:\Programme.

#Lösche mit dem Windows Explorer:

%WinDir%\temp\sidefind.exe, SFBHO.DLL, sfbho13.dll

Hinweis: %WinDir% ist eine Variable (?). Normalerweise ist dies C:\Windows (Windows 95/98/Me/XP) oder C:\WINNT (Windows NT/2000).

Reboote in den normalen Modus.

Leere den Inhalt der temporären Ordner mit dem System Cleaner 1.0 oder CleanUp.

Vergib eine neue Startseite für den Internet Explorer.
Konfiguriere den IE wie hier empfohlen: Sicherheitseinstellungen!


Schwerpunktmäßige Übersetzung des englischen Originals/Translated from the English Website of Bazooka™
into German by Ruby.

[Ruby]

Unknown.startup.748
(The English Original: www.kephyr.com)

Überblick
Unknown.startup.748 ist der Name einer Gruppe von Software-Komponenten mit noch unbekannter Zielstellung. Unknown.startup.748 startet mit dem Systemstart. Du kannst die Software untersuchen, ob sie etwas ist, was du auf deinem System brauchst. Du kannst sie gegebenfalls über ihre Entfernungsroutine entfernen.

Typ:
unbekannt

Identifizierbar unter:
'Windows Nets', 'Win32 USB2 Driver', 'Windows Compliant', 'internet service', 'Norton AntiVirus Sys', 'MS lsassc Startup', 'dxset.exe', 'SearchUpgrader', 'WinDSNX', 'System Toolkit', 'pgtaff', 'SearchNavVersion', 'searchnav', 'runtimes19', '36HC#F22DW5ZX8', 'a2a14fae7d22' and '2921643a9e9b'

in der Registry

'HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run',
'HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunServices'
'HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunOnce'
'HKCU \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run'
'HKCU \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunServices'
'HKCU \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunOnce'

Files
WinNET.exe, smsc.exe, syscfg32.exe, NAVsys32.exe, dxsetu.exe, SearchUpgrader.exe, ope5.exe, Systools.exe, pgtaff.exe, searchnavversion.exe, searchnav.exe, runtimes.exe, browsewm.exe

Manuelle Entfernung vom System

Bei Windows XP und ME: die Systemwiederherstellung vor den Arbeiten am System deaktivieren.

Im Windows-Explorer:
>Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und
Ordner >"alle Dateien und Ordner anzeigen" aktivieren und
>Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner
>"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren.

Du solltest ein Back-Up deiner Registry machen, bevor du sie editierst: back up.

1. Öffne den Registry Editor.
2. Klicke auf Start >ausführen, schreib REGEDIT -> [enter]
(oder verwende Registrar Lite)

3. Navigiere zu und lösche:
'HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run'
4. Lösche auf der rechten Seite folgende Werte: 'Windows Nets', 'Win32 USB2 Driver', 'Windows Compliant', 'internet service', 'Norton AntiVirus Sys', 'MS lsassc Startup', 'dxset.exe', 'SearchUpgrader', 'WinDSNX', 'System Toolkit', 'pgtaff', 'SearchNavVersion', 'searchnav', 'runtimes19', '36HC#F22DW5ZX8', 'a2a14fae7d22' und '2921643a9e9b', wenn vorhanden. Schreib die Namen der Files auf (**) auf die sie hinweisen. (Diese Werte zu löschen, verhindert das mitaufstarten der Unknown.startup.748 wenn du das nächste mal deinen Rechner hochfährst.)

5. Navigiere zu und lösche:
'HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunServices'
6. Lösche auf der rechten Seite folgende Werte: 'Windows Nets', 'Win32 USB2 Driver', 'Windows Compliant', 'internet service', 'Norton AntiVirus Sys', 'MS lsassc Startup', 'dxset.exe', 'SearchUpgrader', 'WinDSNX', 'System Toolkit', 'pgtaff', 'SearchNavVersion', 'searchnav', 'runtimes19', '36HC#F22DW5ZX8', 'a2a14fae7d22' und '2921643a9e9b', wenn vorhanden. Schreib die Namen der Files auf (**) auf die sie hinweisen. (Diese Werte zu löschen, verhindert das mitaufstarten der Unknown.startup.748 wenn du das nächste mal deinen Rechner hochfährst.)

7. Navigiere zu und lösche:
'HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunOnce'
8. Lösche auf der rechten Seite folgende Werte: 'Windows Nets', 'Win32 USB2 Driver', 'Windows Compliant', 'internet service', 'Norton AntiVirus Sys', 'MS lsassc Startup', 'dxset.exe', 'SearchUpgrader', 'WinDSNX', 'System Toolkit', 'pgtaff', 'SearchNavVersion', 'searchnav', 'runtimes19', '36HC#F22DW5ZX8', 'a2a14fae7d22' und '2921643a9e9b', wenn vorhanden. Schreib die Namen der Files auf (**) auf die sie hinweisen. (Diese Werte zu löschen, verhindert das mitaufstarten der Unknown.startup.748 wenn du das nächste mal deinen Rechner hochfährst.)

9. Navigiere zu und lösche:
'HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run'
10. Lösche auf der rechten Seite folgende Werte: 'Windows Nets', 'Win32 USB2 Driver', 'Windows Compliant', 'internet service', 'Norton AntiVirus Sys', 'MS lsassc Startup', 'dxset.exe', 'SearchUpgrader', 'WinDSNX', 'System Toolkit', 'pgtaff', 'SearchNavVersion', 'searchnav', 'runtimes19', '36HC#F22DW5ZX8', 'a2a14fae7d22' und '2921643a9e9b', wenn vorhanden. Schreib die Namen der Files auf (**) auf die sie hinweisen. (Diese Werte zu löschen, verhindert das mitaufstarten der Unknown.startup.748 wenn du das nächste mal deinen Rechner hochfährst.)

11. Navigiere zu und lösche:
'HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunServices'
12. Lösche auf der rechten Seite folgende Werte: 'Windows Nets', 'Win32 USB2 Driver', 'Windows Compliant', 'internet service', 'Norton AntiVirus Sys', 'MS lsassc Startup', 'dxset.exe', 'SearchUpgrader', 'WinDSNX', 'System Toolkit', 'pgtaff', 'SearchNavVersion', 'searchnav', 'runtimes19', '36HC#F22DW5ZX8', 'a2a14fae7d22' und '2921643a9e9b', wenn vorhanden. Schreib die Namen der Files auf (**) auf die sie hinweisen. (Diese Werte zu löschen, verhindert das mitaufstarten der Unknown.startup.748 wenn du das nächste mal deinen Rechner hochfährst.)

13. Navigiere zu und lösche:
'HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunOnce'
14. Lösche auf der rechten Seite folgende Werte: 'Windows Nets', 'Win32 USB2 Driver', 'Windows Compliant', 'internet service', 'Norton AntiVirus Sys', 'MS lsassc Startup', 'dxset.exe', 'SearchUpgrader', 'WinDSNX', 'System Toolkit', 'pgtaff', 'SearchNavVersion', 'searchnav', 'runtimes19', '36HC#F22DW5ZX8', 'a2a14fae7d22' und '2921643a9e9b', wenn vorhanden. Schreib die Namen der Files auf (**) auf die sie hinweisen. (Diese Werte zu löschen, verhindert das mitaufstarten der Unknown.startup.748 wenn du das nächste mal deinen Rechner hochfährst.)

Schliesse den Registry Editor.

Beende im Taskmanager/Process Explorer
folgende Prozesse:

WinNET.exe, smsc.exe, syscfg32.exe, NAVsys32.exe, dxsetu.exe, SearchUpgrader.exe, ope5.exe, Systools.exe, pgtaff.exe, searchnavversion.exe, searchnav.exe, runtimes.exe, browsewm.exe

Boote deinen Rechner in den abgesicherten Modus

#Lösche mit dem Windows Explorer:

Alle Files, die du oben gefunden hast.

Reboote in den normalen Modus.

Leere den Inhalt der temporären Ordner mit dem System Cleaner 1.0 oder CleanUp.

Vergib eine neue Startseite für den Internet Explorer.
Konfiguriere den IE wie hier empfohlen: Sicherheitseinstellungen!


Schwerpunktmäßige Übersetzung des englischen Originals/Translated from the English Website of Bazooka™
into German by Ruby.

[Ruby]

Adware.FlashEnhancer
(The English Original: Symantec)

Überblick
Adware.FlashEnhancer ist ein Adware Programm, das Werbung herunterlädt und anzeigt. Es fungiert als Browser Helper Object im Internet Explorer. Normalerweise wird das Programm über Webseiten runtergeladen.

Typ:
Adware

Files
XML.dll; Xcpy1_inst.exe; xclean.exe; flnclean.exe. flaclean.exe; Uninst.exe; flncpy.exe; and Xcpy1.exe,
fla.dll, flacpy.exe, Fla.dll, Flacpy_inst.exe

Manuelle Entfernung vom System

Bei Windows XP und ME: die Systemwiederherstellung vor den Arbeiten am System deaktivieren.

Im Windows-Explorer:
>Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und
Ordner >"alle Dateien und Ordner anzeigen" aktivieren und
>Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner
>"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren.

Unregistern des xml.dll file

1. Klick Start > Run.
2. Schreib oder copy&paste den folgenden text:

regsvr32 /u "[Pfad zu xml.dll]\XML.dll"

Klick OK.

3. Wenn du um Bestätigung gefragt wirst, klick OK.

Du solltest ein Back-Up deiner Registry machen, bevor du sie editierst: back up.

Öffne den Registry Editor.
Klicke auf Start >ausführen, schreib REGEDIT -> [enter]
(oder verwende Registrar Lite)

Navigiere zu diesem Unter-Schlüssel:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Run

Lösche auf der rechten Seite folgenden Wert:

"FlnCPY" = "[Pfad zum Original File]"

Navigiere zu diesem Unter-Schlüssel:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \RunOnce

Lösche auf der rechten Seite folgenden Wert:

"fln" = ""

Navigiere zu und lösche diese Unter-Schlüssel:

HKEY_CLASSES_ROOT\UnawareObj.UnawareObj
HKEY_CLASSES_ROOT\UnawareObj.UnawareObj.1
HKEY_CLASSES_ROOT\CLSID\{7CD20E91-1F31-41da-8379-479EA31DF969}
HKEY_CLASSES_ROOT\CLSID\{5EDB03AF-0341-4e96-9E9B-3171522E4BAF}
HKEY_CLASSES_ROOT\CLSID\{A749B4BC-7621-4a80-9220-D0A283367DD5}
HKEY_CLASSES_ROOT\TypeLib\{48E832EC-B061-49E2-BBC1-AC818623B742}
HKEY_CLASSES_ROOT\TypeLib\{1BD49631-AE36-42F4-A37B-CA7F53146821
HKEY_CLASSES_ROOT\Interface\{890089B7-B385-442F-97B6-99060E8BD08F}
HKEY_CLASSES_ROOT\Interface\{28168CCE-5310-4F12-AB58-9DA99A55AAEB}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Explorer
\Browser Helper Objects\{7CD20E91-1F31-41da-8379-479EA31DF969}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Explorer
\Browser Helper Objects\{5EDB03AF-0341-4e96-9E9B-3171522E4BAF}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Explorer
\Browser Helper Objects\{A749B4BC-7621-4a80-9220-D0A283367DD5}

Schliesse den Registry Editor.

Beende im Taskmanager/Process Explorer
folgende Prozesse:

flacpy.exe, Flacpy_inst.exe, Xcpy1_inst.exe, xclean.exe, flnclean.exe, flaclean.exe, Uninst.exe, flncpy.exe, Xcpy1.exe,

Boote deinen Rechner in den abgesicherten Modus

#Lösche mit dem Windows Explorer:

[Pfad zum Original File+]:
XML.dll; Xcpy1_inst.exe; xclean.exe; flnclean.exe. flaclean.exe; Uninst.exe; flncpy.exe; and Xcpy1.exe,

c:\%ProgramsDir%\Fla\fla.dll; C:\%ProgramsDir%\COMMON~1\Java\flacpy.exe; C:\%ProgramsDir%\Fla\Fla.dll;
C:\%ProgramsDir%\Fla\Flacpy_inst.exe

Hinweis: %ProgramsDir% ist eine Variable (?). Normalerweise ist dies C:\Program Files, C:\Programme.

Reboote in den normalen Modus.

Leere den Inhalt der temporären Ordner mit dem System Cleaner 1.0 oder CleanUp.

Vergib eine neue Startseite für den Internet Explorer.
Konfiguriere den IE wie hier empfohlen: Sicherheitseinstellungen!


Schwerpunktmäßige Übersetzung des englischen Originals, ergänzt/Translated from the English Website of Symantec
into German, completed by Ruby: hijackthis.de

[Ruby]

Adware.ZestyFind
(The English Original: Symantec)

Überblick
Adware.ZestyFind speichert besuchte Websites, lädt die Information zu einem Server hoch und spielt dann PopUp-Werbung ein.
Diese Adware Komponente wird entweder manuell installiert oder als Komponente über ein anderes Programm.

Typ:
Adware

Files
msg117.dll, iconu.exe
Wenn die Adware.ZestyFind ausgeführt wird, setzt sie sich im Systemordner fest und 'tropft' einen weiteren File in den System-Ordner von Windows:

%System%\msg117.dll.

Hinweis: %System% ist eine Variable (?). Normalerweise ist dies C:\Windows\System (Windows 95/98/Me), C:\WINNT\System32 (Windows NT/2000), oder C:\Windows\System32 (Windows XP).

Die Adware ersetzt jeden Schlüssel, der gelöscht wird. Sie verursacht Fehlermeldungen, wenn Antiviren-Programme sie zu entfernen versuchen: es ist nicht möglich diesen File zu öffnen. Diese Datei wird entweder von einer anderen Anwendung gebraucht oder man hat keine Berechtigung diese Datei zu öffnen. Laut Berichten sorgt diese Adware für Instabilität bei Windows 95/98/Me, aber auch bei anderen Systemen.

Manuelle Entfernung vom System

Bei Windows XP und ME: die Systemwiederherstellung vor den Arbeiten am System deaktivieren.

Im Windows-Explorer:
>Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und
Ordner >"alle Dateien und Ordner anzeigen" aktivieren und
>Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner
>"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren.

# Benenne die msg117.dll um.
# Deaktiviere die Systemwiederherstellung (Windows Me/XP).
# Update dein AV-Programm.
# Lösche die Unterschlüssel aus der Registry.
# Lass einen Full System Scan laufen und lösche alle Files, die als Adware.ZestyFind entdeckt werden.

Fahre den Rechner runter, warte 30 Sekunden und fahre dann den Rechner wieder hoch, in den abgesicherten Modus, wähle Safe mode command prompt only" bei Windows 95/98/Me oder "Safe Mode with Command Prompt" bei Windows NT/2000/XP.

Schreib in den command prompt:

ren %system%\msg117.dll zesty.nav

Fahre den Rechner runter, warte 30 Sekunden und fahre dann den Rechner wieder hoch.

Du solltest ein Back-Up deiner Registry machen, bevor du sie editierst: back up.

Öffne den Registry Editor.
Klicke auf Start >ausführen, schreib REGEDIT -> [enter]
(oder verwende Registrar Lite)

Navigiere zu und lösche diese Unter-Schlüssel:

* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Guardian
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Shell Extensions\Approved\{DDFFA75A-E81D-4454-89FC-B9FD0631E726}
* HKEY_CLASSES_ROOT\CLSID\{DDFFA75A-E81D-4454-89FC-B9FD0631E726}
* HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DDFFA75A-E81D-4454-89FC-B9FD0631E726}

Schliesse den Registry Editor.

Suche mit (d)einem AV-Programm nach allen Files, die zu dieser Adware gehören. Lass alle Files löschen.

Beende im Taskmanager/Process Explorer
alle Prozesse die zu Adware.ZestyFind gehören:

iconu.exe u.a.m.

Boote deinen Rechner in den abgesicherten Modus

#Lösche mit dem Windows Explorer:

"C:\%WinDir%\iconu.exe" u. alle weiteren Files, die zu dieser Adware gerechnet werden.

Hinweis: %WinDir% ist eine Variable (?). Normalerweise ist dies C:\Windows (Windows 95/98/Me/XP) oder C:\WINNT (Windows NT/2000).

Reboote in den normalen Modus.

Führe einen Full System Scan durch und lass alle Files löschen, die zu Adware.ZestyFind gehören.

Leere den Inhalt der temporären Ordner mit dem System Cleaner 1.0 oder CleanUp.

Vergib eine neue Startseite für den Internet Explorer.
Konfiguriere den IE wie hier empfohlen: Sicherheitseinstellungen!


Schwerpunktmäßige Übersetzung des englischen Originals, ergänzt/Translated from the English Website of Symantec
into German and added with information (hijackthis.de) by Ruby