Forum
Tipps
News
Menu-Icon

Entfernen von: res://x:..\xxx.dll/sp.html#xxxx

Dieser Hijacker besteht aus mindestens 2 Exe-Dateien und 1 Dll: Beispiel unten...

Entfernung:

1. Taskmanger öffnen (Ctrl+Alt+Del)->Oben auf den Spaltenkopf: name klicken um nach Prozessname zu sortieren.
Durchscrollen und nach den im LOG rot markierten Dateien suchen->rechtsklick auf die Dateien->process beenden und dateien löschen.

Die Dateien hier im Log sind nur Beispiele.
Man kann sie aber daran erkennen das meistens die Beschreibung gleich dem Dateinamen ist und das die Dateien im system32-Ordner liegen

Beispiel:
O4 - HKLM\..\RunOnce: (sysqw.exe) C:\WINDOWS\system32\sysqw.exe

Falls solche Dateien nicht zu finden sind oder es nicht klar ist welche Dateien gemeint sind, vorher ein Log posten und nachfragen, und/oder bei 2. weitermachen...

2. Start->ausführen->Eingabe: Services.msc  (+Return/OK)

3. Nach 'Network Security Service' suchen->rechtsklick->beenden
Nochmal rechtsklick darauf->Eigenschaften:
Dort Startart auf disabled stellen und bei Pfad zur Exe schauen, und diese Datei im Windows-explorer suchen und löschen

Sicherstellen das alle Dateien angezeigt werden: Windows-explorer->Extras->Ordneroptionen->Ansicht
- Geschützte systemdateien ausblenden-> Häkchen weg
- Dateinamenerweiterungen bei bekannten Dateitypeb ausblenden -> Häkchen weg
- Versteckten Dateien und Ordner->alle dateien und Ordner auswählen

4. Hijackthis starten und dazugehörige Einträge fixen: Rx, O2 BHO-Dll, O4 Exe-Einträge der beendeten processe

5. In den abgesicherten-Modus booten: Neustart->beim booten F8 drücken->im Bootmenü abges-Modus wählen

6. Hijackthis starten und nach neuen Einträgen suchen und wenn vorhanden fixen + dazugehörige Dateien löschen.

7. Neustarten normal

8. Text-Editor(Notepad/Wordpad etc.) öffnen und folgendes reinkopieren:

REGEDIT4

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY___NS_SERVICE_3]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\__NS_Service_3]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY___NS_SERVICE_3]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\__NS_Service_3]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\HSA]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SE]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SW]


Datei->speichern unter...:
Dateityp: von Textdateien(*.txt) auf 'Alle Dateien' ändern
Dateiname: fix.reg
(nicht fix.reg.txt, passiert wenn nicht auf Alle Datein geändert wird!!!)

Datei starten(doppelklick auf fix.reg)->Abfrage ob die Informationen eingetragen werden sollen mit JA/OK beantworten

9. Upgedatete Spywaretools drüberlaufen lassen (Spybot/Adaware/CwsShredder) um Registrierungseinträge zu bereinigen

10. Virenscanner Updaten und im abgesicherten-Modus den Rechner scannen.

11. Windows-Update ausführen und/oder Browser wechseln.

Sollte sich Einstellungen/Systemsteuerung danach nicht mehr öffnen lassen, Control.exe von der CD wiederherstellen oder hier downloaden

Wer Spybot installiert hat sollte dort auch noch Sdhelper.dll downloaden und ins Spybot-Programmverzeichnis kopieren/ersetzen und neu registrieren:
Start->ausführen->Eingabe: regsvr32 "x:\Pfad_zur_Datei\sdhelper.dll"
x:\ = Platzhalter für Installationslaufwerk/Partition der eigenen Win-Installation meistens isses C:\
Beispiel:
regsvr32 "C:\Programme\Spybot - Search & Destroy\sdhelper.dll"

############## Beispiel ################

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\sysqw.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\apiqd32.exe
D:\Download\Virus\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\mphtd.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://mphtd.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://mphtd.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\mphtd.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://mphtd.dll/index.html#96676

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\mphtd.dll/sp.html#96676
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx (disabled by BHODemon)
O2 - BHO: (no name) - {12FA8EE3-A02B-CF1E-DA5F-AEB55869AB79} - C:\WINDOWS\javapc.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [apiqd32.exe] C:\WINDOWS\system32\apiqd32.exe
O4 - HKLM\..\RunOnce: [WIAWizardMenu] RUNDLL32.EXE C:\WINDOWS\System32\sti_ci.dll,WiaCreateWizardMenu
O4 - HKLM\..\RunOnce: [sysqw.exe] C:\WINDOWS\system32\sysqw.exe
O4 - HKLM\..\RunOnce: [ienm32.exe] C:\WINDOWS\ienm32.exe
O4 - HKLM\..\RunOnce: [netdv32.exe] C:\WINDOWS\system32\netdv32.exe
O4 - HKLM\..\RunOnce: [addjx.exe] C:\WINDOWS\system32\addjx.exe
O4 - HKLM\..\RunOnce: [ntrf.exe] C:\WINDOWS\system32\ntrf.exe

O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Real.com (HKLM)
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37850.2790162037
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Gruß

« Letzte Änderung: 27.08.04, 22:02:44 von Nighty »


Antworten zu Entfernen von: res://x:..\xxx.dll/sp.html#xxxx:

Ich habe nach dem Schema alles Ausführen können, bis Punkt 8.

Nach öffnen der fix.reg Datei wird mir gesagt das die Datei nicht importiert werden kann, da es angeblich keine Registrierungsdatei sei

Keine Ahnung warum.

Was nun???

Ändere mal das Regedit4 in Windows Registry Editor Version 5.00 um, und probiers nochmal

Haste auch bei Dateitype auf Alle dateien gestellt?

Gruß

Wie geht das???

Naja einfach anstatt das regedit4 die andere Zeichenfolge reinkopieren und dann als fix.reg speichern

Biste auch sicher das du das so gemacht hast wie beschrieben?

Hab das grad bei mir probiert funktioniert ohne Probleme mit Regedit4.

Dateityp muss auf Alle Dateien stehn...sonst gehts nicht

Gruß

« Letzte Änderung: 25.06.04, 21:47:55 von Nighty »

Hallo Nighty

Sorry das ich mich jetzt erst melde, aber der Virenscanner brauchte länger im abgesicherten Modus.

Es hat geklappt!!!  ;D:D:):-*::)

Es scheint so als wäre das Ding weg, zumindest sind alle Spuren zu diesem Trojaner weg.

Kannst du mir kurz erklären was ich da überhaupt gemacht habe???

Und, ist der Trojaner gelöscht, oder nur deaktiviert und befindet er sich noch auf meinem Rechner???

Danke!!!

Gruß Marc D.

Ja du hast damit den Dienst beendet und die Dateien gelöscht die für die wiederkehrende Infektion verantwortlich sind.

Danach die Reg-Schlüsel des Dienstes entfernt mit der .reg-Datei und die restlichen Filterschlüssel in der Registry entfernt mit den Tools.

Und der Virenscanner sollte die evtl. vom Hijacker angelegten Dateien, gefunden und entfernt haben.

Der Hijacker dürfte jetzt entfernt sein, kannste ja nochmal ein LOG machen, kann ja sein das du mehrere drauf hattest.

Aber das LOG nicht hier machen sondern dort rein wo dein anderes LOG ist.

Gruß

Hallo liebe Leute,

kann mir (einem Computerlaien, der überhaupt froh ist, diese Frage hier stellen zu können) jemand erklären, nach welchen Programmen im Taskmanager man überhaupt suchen soll? Es steht ja nicht dran, welche exe.Datei diesen widerlichen Trojaner fabriziert. Da kann ich auch würfeln. By the way: Was bedeutet "fixen"? Und gibt es denn kein kleines Progeamm, das diese Aufgabe übernehmen kann? Norton 2002 und hijackthis und antivir und cwshred beheben das Problem nicht. Oder bin ich nur faul geworden?
Hoffentlich liest das überhaupt jemand. Falls doch, bedanke ich mich schon jetzt für eine freundliche Antwort!

Grüße

Ingo

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button
[...]
kann mir (einem Computerlaien, der überhaupt froh ist, diese Frage hier stellen zu können) jemand erklären, nach welchen Programmen im Taskmanager man überhaupt suchen soll? [...]

>> nicht nach einer *.exe, sondern nach "&"

By the way: Was bedeutet "fixen"? [...]

>> Der Begriff "fixen" kommt von dem Tool "HiJackThis" und bedeutet ein Problem oder eine fehlerhafte Einstellung wieder in einen funktionierenden Zustand zu bringen, manchmal auch zu löschen.

[...]

Befolge einfach die Anweisungen im ersten Posting von Nighty. Falls etwas nicht funktioniert kannst du natürlich jederzeot nochmal Posten.

Hier steht doch Lesen bei Start-Suchseiten Problem...

http://www.computerhilfen.de/hilfen-17-30578-0.html

Alles aufmerksam der Reihe nach lesen dann is mindestens die Hälfte aller Fragen beantwortet

Gruß

Da lese ich schon 3 Tage den Text hoch und runter.
Antivir meldet dauernd Trojaner wie TR/Dldr.Agent.AP2 und Agent.Z.2 und gibt dann EXE-Dateien an, die ich nicht finde, wer weiss warum. (Z.B. System32/Sysuk.EXE oder IEAW32.EXE oder WINEM.exe oder IEAN.exe usw. Dann wollte ich in meinem grundlosen Optimismus die Log-Datei posten aber das macht wohl Euer mailsystem nicht mit. Shit happends.

Haste im abgesicherten-Modus gescannt?

Und wenn das LOG solange ist, das es nicht in eine Antwort passt, haste die Anleitung nicht richtig gelesen.
Dort steht vorher alle Programme beenden auch die unter/neben der Uhr...
Ansonsten wenns dann immernoch zu lang ist einfach auf 2 Antworten aufteilen

Und das LOG bitte nicht hier rein, sondern in einen neuen Beitrag...

Gruß

Hi !

Ich hab das alles so gemacht wie beschrieben und es hat funktioniert ...

NUr hab ich jetzt ein grosses Problem ...

Geb ich im Internet Explorer Adressen ein z.b. www.test.de geht nichts ...

geb ich http://www.test.de funktioniert es ... Is natürlich weng blöd wenn ich jedes mal http:// davorschrieben muss ...

Hat einer ne Idee was das sein kann ?

Kannste den IE mal reparieren über Systemsteuerung->software->MS IE...->ändern->reparieren

Haste du den Eintrag dort nicht haste noch den IE6 von der INstallation drauf dann soltest sowieso auf IE6 -SP1 updaten

Gruß

Der Eintrag war bei mir nicht ...

Aber ich habe schon den Internet Explorer SP1 drauf und allen Windowsupdates ...

Ich habe mal versucht über Software den komplett zu deinstallieren ... und wieder zu installieren ...

Aber das hat nichst gebracht ...

Vielleicht noch ne andere Idee ? :)


« Auslandsdialer "hardcore.exe"Nichts rührt sich bei XP »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!

Fremdwörter? Erklärungen im Lexikon!
DLL Datei
Die Abkürzung DLL steht für Dynamic Link Library. Dies ist eine Windows-Datei mit Programmroutinen, auf die mehrere verschiedene Programme zurückgreifen k&...

Analog
Der Begriff Analog bedeutet kontinuierlich oder auch stufenlos und meint in der Regel ein elektrisch erzeugtes Signal. Analog ist auch das Gegenteil von digital. Im Vergl...

Logfile
Eine Log-Datei ist eine Datei mit einer Art Protokoll, dass Aufschluss gibt über jegliche Aktivität auf einem Rechner. Das automatrisch geführte Protokoll ...