Adware Solutions (de-en)

[Ruby]

searchpage.cc

Überblick
searchpage.cc ist ein Browser helper object, das SearchURL, Search Bar, Search Page, Default Page URL, SearchAssistant und CustomizeSearch in nkvd.us oder searchpage.cc verändert.

Typ:
Adware

Datei-Angabe
mshelper.dll, mshelper_beta.dll

Manuelle Entfernung vom System


Im Windows-Explorer:
>Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und
Ordner >"alle Dateien und Ordner anzeigen" aktivieren und
>Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner
>"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren.

Bitte erstelle eine Sicherung Deiner Registry nach dieser Anleitung.

Öffne den Registry Editor.
Klicke auf Start >ausführen, schreib REGEDIT -> [enter]
(oder verwende Registrar Lite)

Wenn du diese Einträge findest, lösche sie:

'HKEY_LOCAL_MACHINE\SOFTWARE \ Classes \ CLSID \ {FF1BF4C7-4E08-4A28-A43F-9D60A9F7A880}'
'HKEY_LOCAL_MACHINE\SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer\Browser Helper Objects \ {FF1BF4C7-4E08-4A28-A43F-9D60A9F7A880}'

Schliesse den Registry Editor.

Starte den Computer neu in den abgesicherten Modus <= Anleitung.

Lösche diese Files, wenn vorhanden, mit dem Windows Explorer:

%SystemDir%\mshelper.dll
%SystemDir%\mshelper_beta.dll

Hinweis:
%SystemDir% ist eine Variable (?). Normalerweise ist dies C:\Windows\System (Windows 95/98/Me), C:\WINNT\System32 (Windows NT/2000), oder C:\Windows\System32 (Windows XP).

Scanne deinen Rechner im abgesicherten Modus mit CWShredder
Klicke auf den fix-Button und lass das Programm dein System scannen und reinigen.

Boote in den normalen Modus.

Leere den Inhalt der temporären Ordner mit dem CCleaner.

Führe einen X-Cleaner-Online Scan durch. Information dazu ->klick.

Vergib eine neue Startseite für den Internet Explorer.
Konfiguriere den IE wie hier empfohlen: Sicherheitseinstellungen!

Aktiviere nach Beendigung der Arbeiten die Systemwiederherstellung, wenn du Windows XP und ME als Betriebssystem hast.

[Ruby]

BDPlugin

Typ:
Toolbar and Browser Helper Object:

Manuelle Entfernung vom System

Im Windows-Explorer:
>Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und
Ordner >"alle Dateien und Ordner anzeigen" aktivieren und
>Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner
>"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren.

Deregistrieren von DLLs:
bdex.dll
bdplugin.dll
systemroot+\downloaded program files\bdhelper.dll
systemroot+\system\bdsrhook.dll
systemroot+\system32\bdsrhook.dll

Bitte erstelle eine Sicherung Deiner Registry nach dieser Anleitung.

Öffne den Registry Editor.
Klicke auf Start >ausführen, schreib REGEDIT -> [enter]
(oder verwende Registrar Lite)

Navigiere zu
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion \Run

Wenn du diesen Eintrag findest, lösche ihn und boote deinen Rechner sofort neu auf:
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion \run\bie

Navigiere zu und lösche die folgenden Unterschlüssel:
HKEY_CLASSES_ROOT\clsid\{2c5aa40e-8814-4eb6-876e-7efb8b3f9662}
HKEY_CLASSES_ROOT\clsid\{bc207f7d-3e63-4aca-99b5-fb5f8428200c}
HKEY_CLASSES_ROOT\software\microsoft\windows\currentversion\ explorer\browser helper objects\{bc207f7d-3e63-4aca-99b5-fb5f8428200c}
HKEY_CLASSES_ROOT\typelib\{2c5aa40e-8814-4eb6-876e-7efb8b3f9662}
HKEY_CLASSES_ROOT\typelib\{8522f9b3-38c5-4aa4-ae40-7401f1bbc851}
HKEY_CLASSES_ROOT\typelib\{ca92b524-bc8a-4610-bd2c-6bd3e28155d0}
HKEY_LOCAL_MACHINE\software\classes\clsid\{bc207f7d-3e63-4aca-99b5-fb5f8428200c}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion \explorer\browser helper objects\{bc207f7d-3e63-4aca-99b5-fb5f8428200c}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion \run\bie

Schließe den Registry Editor.

Starte den Computer neu in den abgesicherten Modus <= Anleitung.


Lösche diese Files, wenn vorhanden, mit dem Windows Explorer:
bdex.dll
bdplugin.dll
bdplugin.txt
bdsearch.inf
systemroot+\downloaded program files\bdhelper.dll
systemroot+\system\bdsrhook.dll
systemroot+\system32\bdsrhook.dll

Hinweis:
systemroot+ ist eine Variable (?). Normalerweise ist dies C:\Windows (Windows 95/98/Me/XP) oder C:\WINNT (Windows NT/2000).

Reboote in den normalen Modus.

Leere den Inhalt der temporären Ordner mit dem CCleaner.

Führe einen X-Cleaner-Online Scan durch. Information dazu ->klick.

Vergib eine neue Startseite für den Internet Explorer.
Konfiguriere den IE wie hier empfohlen: Sicherheitseinstellungen!

Aktiviere nach Beendigung der Arbeiten die Systemwiederherstellung, wenn du Windows XP und ME als Betriebssystem hast.

[Ruby]

Need2Find

Überblick
BrowserHelperObjekt und Toolbar

Diese Direct Marketing Anwendung ist ein Error Page Hijacker. Error Page Hijacker sind Programme, welche die Einstellungen des Internet Explorers so einstellen, dass eine neue Error Seite eingestellt wird, wenn eine Seite nicht gefunden werden kann.

Typ:
Adware/Spyware

Manuelle Entfernung vom System

Im Windows-Explorer:
>Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und
Ordner >"alle Dateien und Ordner anzeigen" aktivieren und
>Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner
>"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren.

Deregistrieren von DLLs:

File: NPND2FN.DLL
Hash: f217630186f9991ee4c1df3cb23fda2e

File: N2PLUGIN.DLL
Hash: e03ca7d18a3f2073cdd7da483df6127a

File: ND2FNBAR.DLL
Hash: a2799fc1585474709d8eb2629552e926

Bitte erstelle eine Sicherung Deiner Registry nach dieser Anleitung.

Öffne den Registry Editor.
Klicke auf Start >ausführen, schreib REGEDIT -> [enter]
(oder verwende Registrar Lite)

Wenn du diese Einträge findest, lösche sie:

HKEY_CURRENT_USER\Software\Need2Find
HKEY_LOCAL_MACHINE\Software\Need2Find
HKEY_CLASSES_ROOT\Need2FindBar.SettingsPlugin
HKEY_CLASSES_ROOT\Need2FindBar.ToolbarPlugin.1

Schliesse den Registry Editor.

Starte den Computer neu in den abgesicherten Modus <= Anleitung.

Diese Ordner werden auf deinem System erstellt::

%Program Files%\Need2Find
%Program Files%\Need2Find\bar
%Program Files%\Need2Find\bar\Cache
%Program Files%\Need2Find\bar\History
%Program Files%\Need2Find\bar\Settings

Lösche folgenden Ordner mit dem Windows Explorer:

%Program Files%\Need2Find

Hinweis:
%Program Files% ist eine Variable (?). Normalerweise ist dies C:\Windows\Programme (Windows 95/98/Me/XP) oder C:\WINNT\Programme (Windows NT/2000).

Suche und lösche folgende Files mit dem Windows Explorer:

NPND2FN.DLL
N2PLUGIN.DLL
ND2FNBAR.DLL

Boote in den normalen Modus.

Leere den Inhalt der temporären Ordner mit dem CCleaner.

Führe einen X-Cleaner-Online Scan durch. Information dazu ->klick.

Konfiguriere den IE wie hier empfohlen: Sicherheitseinstellungen!

Aktiviere nach Beendigung der Arbeiten die Systemwiederherstellung, wenn du Windows XP und ME als Betriebssystem hast.

[Ruby]

Spyware.Relevancy


Überblick
BrowserHelperObjekt

Spyware.Relevancy ist ein Browser Helper Object, das Search Anzeigen verändert.

Typ:
Spyware

Manuelle Entfernung vom System

Im Windows-Explorer:
>Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und
Ordner >"alle Dateien und Ordner anzeigen" aktivieren und
>Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner
>"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren.


Deregistrieren von DLLs:

cd "%WinDir%\System"
regsvr32 /u "\Program Files\SearchRelevancy\searchrelevancy.dll"

Oder, für die Relevant Variante:

cd "%WinDir%\System"
regsvr32 /u "\Program Files\SearchRelevant\searchrelevant.dll"

Deinstalliere das Programm "Search Relevancy" über die Funktion Programme hinzufügen/entfernen der Systemsteuerung.

Bitte erstelle eine Sicherung Deiner Registry nach dieser Anleitung.

Öffne den Registry Editor.
Klicke auf Start >ausführen, schreib REGEDIT -> [enter]
(oder verwende Registrar Lite)

Wenn du diese Einträge findest, lösche sie:
HKEY_CLASSES_ROOT\SearchRelevancy
HKEY_CLASSES_ROOT\CLSID\{1D7E3B41-23CE-469B-BE1B-A64B877923E1}
HKEY_LOCAL_MACHINE\SOFTWARE\SearchRelevancy
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Uninstall\SearchRelevancy

Schliesse den Registry Editor.

Starte den Computer neu in den abgesicherten Modus <= Anleitung.

Suche und lösche folgende Files mit dem Windows Explorer:
# %ProgramFiles%\SearchRelevancy\SearchRelevancy.dll
# %ProgramFiles%\SearchRelevancy\SearchRelevancy.xml
# %ProgramFiles%\SearchRelevancy\uninstall.exe
# %System%\ide21201.vxd

Lösche folgenden Ordner mit dem Windows Explorer:
# %ProgramFiles%\SearchRelevancy

Hinweis:
%Program Files% ist eine Variable (?). Normalerweise ist dies C:\Windows\Programme (Windows 95/98/Me/XP) oder C:\WINNT\Programme (Windows NT/2000).

Boote in den normalen Modus.


Leere den Inhalt der temporären Ordner mit dem CCleaner.


Führe einen X-Cleaner-Online Scan durch. Information dazu ->klick.

Konfiguriere den IE wie hier empfohlen: Sicherheitseinstellungen!

Aktiviere nach Beendigung der Arbeiten die Systemwiederherstellung, wenn du Windows XP und ME als Betriebssystem hast.

[Ruby]

Adware.Cydoor


Überblick
Adware.Cydoor ist ein Adware Program, das Werbung von einem Server runterlädt und sie auf deinem Rechner abspielt.

Typ:
Adware

Manuelle Entfernung vom System

Im Windows-Explorer:
>Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und
Ordner >"alle Dateien und Ordner anzeigen" aktivieren und
>Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner
>"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren.

Beende im Taskmanager[/URL] folgenden Prozess:[/B]

%System%\Cd_load.exe

Hinweis: Suche nach dem Prozess und beende ihn!

Deregistrieren von DLLs:

regsvr32 /u "%WinDir%\%System%\Cd_clint.dll"
regsvr32 /u "%WinDir%\%System%\cd_htm.dll"

Bitte erstelle eine Sicherung Deiner Registry nach dieser Anleitung.

Öffne den Registry Editor.
Klicke auf Start >ausführen, schreib REGEDIT -> [enter]
(oder verwende Registrar Lite)

Wenn du diese Einträge findest, lösche sie:
HKEY_USERS\.DEFAULT\Software\Cydoor Services
HKEY_USERS\.DEFAULT\Software\Cydoor
HKEY_CURRENT_USER\Software\Cydoor
HKEY_CURRENT_USER\Software\Cydoor Services
HKEY_LOCAL_MACHINE\Software\Cydoor
HKEY_LOCAL_MACHINE\Software\Cydoor Services
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Uninstall\AdSupport_291
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Uninstall\AdSupport_202
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Uninstall\AdSupport_336

Schliesse den Registry Editor.

Starte den Computer neu in den abgesicherten Modus <= Anleitung.

Suche und lösche folgende Files mit dem Windows Explorer:

# %System%\Cd_clint.dll
# %System%\Cd_load.exe
# %System%\cd_htm.dll

Hinweis:
%WinDir%\%System% sind Variable (?). Normalerweise ist dies C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), oder C:\Windows\System32 (Windows XP).

Boote in den normalen Modus.

Leere den Inhalt der temporären Ordner mit dem CCleaner.

Führe einen X-Cleaner-Online Scan durch. Information dazu ->klick.

Konfiguriere den IE wie hier empfohlen: Sicherheitseinstellungen!

Aktiviere nach Beendigung der Arbeiten die Systemwiederherstellung, wenn du Windows XP und ME als Betriebssystem hast.

[Ruby]

Adware.Savenow

Überblick
Adware.Savenow ist ein Adware Program, das Werbung von einem Server runterlädt und sie auf deinem Rechner abspielt.

Typ:
Adware

Manuelle Entfernung vom System

Im Windows-Explorer:
>Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und
Ordner >"alle Dateien und Ordner anzeigen" aktivieren und
>Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner
>"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren.

Beende im Taskmanager folgende Prozesse:

Save.exe
VVSN.exe
xplus.exe
savenow.exe
WUInst.dll

Hinweis: Suche nach den Prozessen und beende sie!

Deregistrieren von DLLs:

regsvr32 /u "%WinDir%\%System%\SSubTmr.dll"
regsvr32 /u "%WinDir%\%System%\UNACE.DLL"
regsvr32 /u "%WinDir%\%System%\UNRAR.dll"
regsvr32 /u "%WinDir%\%System%\Unzip32.dll"

Deinstalliere das Programm "SaveUninst.exe" über die Funktion Programme hinzufügen/entfernen der Systemsteuerung.

Bitte erstelle eine Sicherung Deiner Registry nach dieser Anleitung.

Öffne den Registry Editor.
Klicke auf Start >ausführen, schreib REGEDIT -> [enter]
(oder verwende Registrar Lite)

Wenn du diese Einträge findest, lösche sie:

HKEY_LOCAL_MACHINE\SOFTWARE\WhenUSave
HKCR\WUSN.1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Uninstall\SaveNow
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Uninstall\Xtractor Plus_is1
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\Free Software
HKEY_CLASSES_ROOT\CLSID\{E2F2B9D0-96B9-4B25-B90C-636ECB207D18}

Navigiere zu:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run

und lösche auf der rechten Hälfte:

"VVSN" = "%ProgramFiles%\VVSN\VVSN.exe"
"SaveNow" = "%ProgramFiles%\SaveNow\SaveNow.exe"
"WhenUSave" = "%ProgramFiles%\Save\Save.exe"

Schliesse den Registry Editor.

Starte den Computer neu in den abgesicherten Modus <= Anleitung.

Suche und lösche folgende Einträge, wenn vorhanden, mit dem Windows Explorer:

# %ProgramFiles%\Save\Save.exe
# %ProgramFiles%\Save\Save.html
# %ProgramFiles%\Save\Readme.txt
# %ProgramFiles%\Save\SaveUninst.exe
# %ProgramFiles%\VVSN\VVSN.exe
# %ProgramFiles%\SaveNow\Readme.txt
# %ProgramFiles%\SaveNow\SaveNow.exe
# %ProgramFiles%\SaveNow\SaveNow.htm
# %ProgramFiles%\SaveNow\Uninst.exe
# %ProgramFiles%\Xtractor Plus\hh.html
# %ProgramFiles%\Xtractor Plus\readme.txt
# %ProgramFiles%\Xtractor Plus\unins000.dat
# %ProgramFiles%\Xtractor Plus\unins000.exe
# %ProgramFiles%\Xtractor Plus\xp.exe
# %ProgramFiles%\Xtractor Plus\Xplus.CNT
# %ProgramFiles%\Xtractor Plus\XPLUS.HLP
# %System%\CCRPFTV6.OCX
# %System%\SSubTmr.dll
# %System%\TABCTL32.OCX
# %System%\UNACE.DLL
# %System%\UNRAR.dll
# %System%\Unzip32.dll
# %Windir%\hh.ico
# %Windir%\hhs.url
# %Windir%\Downloaded Program Files\WUInst.dll
# %UserProfile%\Start Menu\Programs\WhenU\Learn More About Save!.url
# %UserProfile%\Start Menu\Programs\WhenU\Learn More About SaveNow.url
# %UserProfile%\Start Menu\Programs\WhenU\WhenU.com Website.url

Hinweis:
%WinDir%, %System%, %ProgramFiles% sind Variable (?). Normalerweise ist dies C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), oder C:\Windows\System32 (Windows XP) und der Programme-Ordner.

Boote in den normalen Modus.

Leere den Inhalt der temporären Ordner mit dem CCleaner.

Führe einen X-Cleaner-Online Scan durch. Information dazu ->klick.

Konfiguriere den IE wie hier empfohlen: Sicherheitseinstellungen!

Bei Windows XP und ME bitte die Systemwiederherstellung im Anschluss an die Reinigungsarbeiten einmal im Wechsel deaktivieren und aktivieren, dazwischen jedes mal neu booten. Zum Schluss muss die Systemwiederherstellung aktiviert, also angestellt sein. Vergib nun einen neuen Systemwiederherstellungspunkt.

[Ruby]

My Search

Typ:
Toolbar

Manuelle Entfernung vom System

Im Windows-Explorer:
>Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und
Ordner >"alle Dateien und Ordner anzeigen" aktivieren und
>Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner
>"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren.

Beende im Taskmanager folgende Prozesse:

s42ns.exe
s4sept.exe

Hinweis: Suche nach den Prozessen und beende sie!

Starte den Computer neu in den abgesicherten Modus <= Anleitung.

Lösche diese Files, wenn vorhanden, mit dem Windows Explorer:

00bb48b3
00bb4950
files.ini
pagerevisor.dll
partner.dat
programfilesdir+\mysearch\bar\1.bin\mysearchpluginproxy.clas s
programfilesdir+\mysearch\bar\1.bin\npmysrch.dll
programfilesdir+\mysearch\bar\1.bin\s42ns.exe
programfilesdir+\mysearch\bar\1.bin\s4bar.dll
s4ezsetp.dll
s4sept.exe

Lösche diesen Ordner, wenn vorhanden, mit dem Windows Explorer:

programfilesdir+\mysearch

Hinweis:
programfilesdir+ ist eine Variable (?). Normalerweise ist dies C:\Programme oder C:\Program Files.

Boote in den normalen Modus.

Leere den Inhalt der temporären Ordner mit dem CCleaner.

Führe einen dieser Online-Scans durch.

Konfiguriere den IE wie hier empfohlen: Sicherheitseinstellungen!

Deaktiviere nach Beendigung der Arbeiten die Systemwiederherstellung, wenn du Windows XP und ME als Betriebssystem hast, boote deinen Rechner neu auf, aktiviere die Systemwiederherstellung, boote deinen Rechner. Vergib einen neuen Systemwiederherstellungspunkt.

[Ruby]

CWS.TheRealSearch

Alias
Adware.Conspy, CoolWebSearch.quicken, TROJ_CONSPY.C,

Typ:
Hijacker

Manuelle Entfernung vom System

Im Windows-Explorer:
>Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und
Ordner >"alle Dateien und Ordner anzeigen" aktivieren und
>Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner
>"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren.

Beende im Taskmanager folgende Prozesse:

systemroot+\editpad.exe
systemroot+\quicken.exe

Hinweis: Suche nach den Prozessen und beende sie!

Starte den Computer neu in den abgesicherten Modus

Lösche diese Files, wenn vorhanden, mit dem Windows Explorer:

systemroot+\editpad.exe
systemroot+\quicken.exe

Hinweis:
systemroot+ ist eine Variable (?). Normalerweise ist dies C:\Windows (Windows 95/98/Me/XP) oder C:\WINNT (Windows NT/2000).

Boote in den normalen Modus.

Leere den Inhalt der temporären Ordner mit dem CCleaner.

Führe einen dieser Online-Scans durch.

Konfiguriere den IE wie hier empfohlen: Sicherheitseinstellungen!

Deaktiviere nach Beendigung der Arbeiten die Systemwiederherstellung, wenn du Windows XP und ME als Betriebssystem hast, boote deinen Rechner neu auf, aktiviere die Systemwiederherstellung, boote deinen Rechner. Vergib einen neuen Systemwiederherstellungspunkt.

[Ruby]

FavoriteMan

Typ:
IE Browser Helper Object

Übersicht:
FavoriteMan ist ein IE Browser Helper Object. Es verbindet sich mit Servern, die es kontrollieren und es dirigieren andere Programme runterzuladen und zu installieren. Es fügt Einträge in das Menu der IE Favoriten.
Zu den Programmen, die heruntergeladen werden können, zählen u.a.:

VX2, NetPal, ClickTheButton, ezCyberSearch toolbar, SideStep, BargainBuddy/Adp, NewDotNet, IGetNet, HotBar, n-Case,(180solutions), Mail.com Alerts (which also comes bundled with BargainBuddy/Apuc), various homepage hijackers

Manuelle Entfernung vom System

Im Windows-Explorer:
>Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und
Ordner >"alle Dateien und Ordner anzeigen" aktivieren und
>Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner
>"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren.

FavoriteMan/F1 ist die einzige Variante, die ein Entfernungstool anbietet: Systemstuerung->Programme hinzufügen/entfernen, wähle 'F1' -> 'Entfernen'.

Die Software findet sich im System-Ordner.. Bei Windows 95/98/Me 'System' bei Windows NT, 2000 und XP 'System32'.


Deregistrieren von DLLs:
regsvr32 /u "%WinDir%\System32\favorite.dll"

Bei Windows 95, 98 oder Me:
cd "%WinDir%\System"
regsvr32 /u favorite.dll

Tausche den Namen 'favorite.dll' gegen die variante aus, die du auf dem System hast: ofrg.dll, favorite.dll, lwz.dll oder F1.dll.

Wenn du das getan hast, und deinen Rechner neu gestartet hast, kannst du den jeweiligen File löschen. Das Gleiche gilt für die Files favboot.dll, FavMan.dll oder SysLdr.dll im selben Ordner (es ist überhaupt keine *.dll), und die Einstellungen in der Registry in den Einträgen 'Counter', 'Server' und 'Object', die sich verbergen unter HKEY_CURRENT_USER\Software\Microsoft\Windows.

Bitte erstelle eine Sicherung Deiner Registry nach dieser Anleitung.

Öffne den Registry Editor.
Klicke auf Start >ausführen, schreib REGEDIT -> [enter]
(oder verwende Registrar Lite)

Entferne die oben genannten Einträge und soweit vorhanden:

Code:

HKEY_CLASSES_ROOT\clsid\{000000f1-34e3-4633-87c6-1aa7a44296da}
HKEY_CLASSES_ROOT\clsid\{00000ef1-0786-4633-87c6-1aa7a44296da}
HKEY_CLASSES_ROOT\clsid\{00000ef1-34e3-4633-87c6-1aa7a44296da}
HKEY_CLASSES_ROOT\clsid\{139d88e5-c372-469d-b4c5-1fe00852ab9b}
HKEY_CLASSES_ROOT\clsid\{ebbd88e5-c372-469d-b4c5-1fe00352ab9b}
HKEY_CLASSES_ROOT\f1.organizer
HKEY_CLASSES_ROOT\f1.organizer.1
HKEY_CLASSES_ROOT\f1.organizer\curver f1.organizer.1
HKEY_CLASSES_ROOT\fone.organizer
HKEY_CLASSES_ROOT\fone.organizer.1
HKEY_CLASSES_ROOT\software\microsoft\windows\currentversion\explorer\browser helper objects\{000000da-0786-4633-87c6-1aa7a4429ef1}
HKEY_CLASSES_ROOT\software\microsoft\windows\currentversion\explorer\browser helper objects\{000000f1-34e3-4633-87c6-1aa7a44296da}
HKEY_CLASSES_ROOT\software\microsoft\windows\currentversion\explorer\browser helper objects\{00000ef1-0786-4633-87c6-1aa7a44296da}
HKEY_CLASSES_ROOT\software\microsoft\windows\currentversion\explorer\browser helper objects\{00000ef1-34e3-4633-87c6-1aa7a44296da}
HKEY_CLASSES_ROOT\software\microsoft\windows\currentversion\explorer\browser helper objects\{139d88e5-c372-469d-b4c5-1fe00852ab9b}
HKEY_CLASSES_ROOT\software\microsoft\windows\currentversion\explorer\browser helper objects\{ebbd88e5-c372-469d-b4c5-1fe00352ab9b}
HKEY_CLASSES_ROOT\typelib\{00000ef1-34e3-4633-87c6-1aa7a44296da}
HKEY_CLASSES_ROOT\typelib\{ebbd88e5-c372-469d-b4c5-1fe00352ab9b}
HKEY_CLASSES_ROOT\typelib\{ef100007-f409-426a-9e7c-cb211f2a9030}
HKEY_CLASSES_ROOT\typelib\{ef100607-f409-426a-9e7c-cb211f2a9030}
HKEY_CURRENT_USER\object\object
HKEY_CURRENT_USER\software\microsoft\windows\counter
HKEY_CURRENT_USER\software\microsoft\windows\server
HKEY_LOCAL_MACHINE\software\classes\clsid\{000000da-0786-4633-87c6-1aa7a4429ef1}
HKEY_LOCAL_MACHINE\software\classes\clsid\{000000f1-34e3-4633-87c6-1aa7a44296da}
HKEY_LOCAL_MACHINE\software\classes\clsid\{00000ef1-34e3-4633-87c6-1aa7a44296da}
HKEY_LOCAL_MACHINE\software\classes\clsid\{139d88e5-c372-469d-b4c5-1fe00852ab9b}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{000000f1-34e3-4633-87c6-1aa7a44296da}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{00000ef1-0786-4633-87c6-1aa7a44296da}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{00000ef1-34e3-4633-87c6-1aa7a44296da}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{139d88e5-c372-469d-b4c5-1fe00852ab9b}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{b549456d-f5d0-4641-bced-8648a0c13d83}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{ebbd88e5-c372-469d-b4c5-1fe00352ab9b}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\f1
.

Schliesse den Registry Editor.

Starte den Computer neu in den abgesicherten Modus <= Anleitung.

Lösche diese Files, wenn vorhanden, mit dem Windows Explorer:

Code:

*.dll-Files

aess2.dll
atpart~1.dll
atpartners.dll
in10b6s.dll
pdfzzy.dll
systemroot+\system\emesx.dll
systemroot+\system\f1.dll
systemroot+\system\favboot.dll
systemroot+\system\favman.dll
systemroot+\system\favorite.dll
systemroot+\system\fone.dll
systemroot+\system\im64.dll
systemroot+\system\lwz.dll
systemroot+\system\n3tpa1p.dll
systemroot+\system\ofrg.dll
systemroot+\system\ss32.dll
systemroot+\system\sysldr.dll
systemroot+\system32\emesx.dll
systemroot+\system32\f1.dll
systemroot+\system32\favboot.dll
systemroot+\system32\favman.dll
systemroot+\system32\favorite.dll
systemroot+\system32\fone.dll
systemroot+\system32\gr02.dll
systemroot+\system32\im64.dll
systemroot+\system32\lwz.dll
systemroot+\system32\mbr32.dll
systemroot+\system32\mpz300.dll
systemroot+\system32\n3tpa1p.dll
systemroot+\system32\ofrg.dll
systemroot+\system32\otw0i.dll
systemroot+\system32\ss32.dll
systemroot+\system32\sysldr.dll

und Files

adware.txt
aess2.dll
atpart~1.dll
atpartners.dll
in10b6s.dll
pdfzzy.dll
systemroot+\system\emesx.dll
systemroot+\system\f1.dll
systemroot+\system\favboot.dll
systemroot+\system\favman.dll
systemroot+\system\favorite.dll
systemroot+\system\fone.dll
systemroot+\system\im64.dll
systemroot+\system\lwz.dll
systemroot+\system\n3tpa1p.dll
systemroot+\system\ofrg.dll
systemroot+\system\ss32.dll
systemroot+\system\sysldr.dll
systemroot+\system32\emesx.dll
systemroot+\system32\f1.dll
systemroot+\system32\favboot.dll
systemroot+\system32\favman.dll
systemroot+\system32\favorite.dll
systemroot+\system32\fone.dll
systemroot+\system32\gr02.dll
systemroot+\system32\im64.dll
systemroot+\system32\lwz.dll
systemroot+\system32\mbr32.dll
systemroot+\system32\mpz300.dll
systemroot+\system32\n3tpa1p.dll
systemroot+\system32\ofrg.dll
systemroot+\system32\otw0i.dll
systemroot+\system32\ss32.dll
systemroot+\system32\sysldr.dll
.

Hinweis:
systemroot+ ist eine Variable (?). Normalerweise ist dies C:\Windows (Windows 95/98/Me/XP) oder C:\WINNT (Windows NT/2000).

Boote in den normalen Modus.

Leere den Inhalt der temporären Ordner mit dem CCleaner.

Führe einen dieser Online-Scans durch.

Konfiguriere den IE wie hier empfohlen: Sicherheitseinstellungen!

Deaktiviere nach Beendigung der Arbeiten die Systemwiederherstellung, wenn du Windows XP und ME als Betriebssystem hast, boote deinen Rechner neu auf, aktiviere die Systemwiederherstellung, boote deinen Rechner. Vergib einen neuen Systemwiederherstellungspunkt.

[Ruby]

Web3000

Alias:
eZula TopText

Typ:
Spyware

Übersicht:
Wenn es installiert wird, erstellt es folgende vier Registry Schlüssel:

* HKEY_USERS\.default\software\web3000.com\
* HKEY_CURRENT_USER\software\web3000.com\
* HKEY_LOCAL_MACHINE\software\web3000.com\
* HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion \run\w3knetwork "RunDll32.exe w3knet.dll,DLLInitRun"

Die folgenden fünf ausführenden Files werden ebenfalls installiert:

* C:\Windows\instnetmgr.dll
* C:\Windows\w3knet.dll
* C:\Windows\W3KNet.w3k
* C:\Windows\W3KNET_W3l.DLL
* C:\Program Files\[application directory]\W3kSelfInst.exe

Manuelle Entfernung vom System

Im Windows-Explorer:
>Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und
Ordner >"alle Dateien und Ordner anzeigen" aktivieren und
>Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner
>"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren.

Bitte erstelle eine Sicherung Deiner Registry nach dieser Anleitung.

Öffne den Registry Editor.
Klicke auf Start >ausführen, schreib REGEDIT -> [enter]
(oder verwende Registrar Lite)

Entferne diese Einträge, soweit vorhanden:

Code:

StartUp-Einträge
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run\msbb
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\w3knetwork
Registry-Einträge
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run\msbb
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\w3knetwork
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\stashedgmi
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\textwiz_is1
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\web3000 network
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\web3000 network\displayname
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\web3000 network\uninstallstring
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\xtractor plus_is1
HKEY_LOCAL_MACHINE\software\web3000.com
HKEY_USERS\.default\software\web3000.com

Schliesse den Registry Editor.

Starte den Computer neu in den abgesicherten Modus <= Anleitung.


Lösche diese Files, wenn vorhanden, mit dem Windows Explorer:

Code:

ausführende Files
0db5454c73019dcffcd0aa9159b0b5ca.exe
c:\imesh\fsg.exe
programfilesdir+\textwiz\tw.exe
programfilesdir+\textwiz\w3kselfinst.exe
programfilesdir+\xtractor plus\w3kselfinst.exe
systemroot+\w3kselfinst.exe

und DLL Files:
systemroot+\instnetmgr.dll
systemroot+\w3knet.dll
systemroot+\w3knet_rbt.dll
systemroot+\w3knet_w3i.dll
systemroot+\w3kpopup.dll
w3util2.dll

Lösche diese Ordner, wenn vorhanden, mit dem Windows Explorer:
commonprograms+\textwiz 1.5
programfilesdir+\textwiz

Hinweis:
systemroot+ ist eine Variable (?). Normalerweise ist dies C:\Windows (Windows 95/98/Me/XP) oder C:\WINNT (Windows NT/2000).
programfilesdir+ ist eine Variable (?). Normalerweise ist dies C:\Programme oder C:\Program Files.

Boote in den normalen Modus.

Leere den Inhalt der temporären Ordner mit dem CCleaner.

Führe einen dieser Online-Scans durch.

Konfiguriere den IE wie hier empfohlen: Sicherheitseinstellungen!

Deaktiviere nach Beendigung der Arbeiten die Systemwiederherstellung, wenn du Windows XP und ME als Betriebssystem hast, boote deinen Rechner neu auf, aktiviere die Systemwiederherstellung, boote deinen Rechner. Vergib einen neuen Systemwiederherstellungspunkt.