autosearch/popups

#1 hi, ich hab den rechner von einem freund vor mir stehn, den ich wieder zum laufen bringen soll. der hatte div. ad-ware oben gehabt (zb. surfsidekick 2) habe ich alles schon weg bekommen, nur autosearch bekomm ich einfach nicht weg. es gehen auch immer wieder popups auf selbst wenn ich den IE nicht offen hab und die taskleiste verstellt sich immer beim neustart. nachdem die popups erschienen sind startet der rechner nach einiger zeit neu, wobei die zeit sehr unterschiedlich mal dauert es 1-2 stunden mal auch nur ein paar minuten.
hab schon ad-adware, spybot, spysweeper und cwshredder drüberrennen lassen hat alles nichts gebracht, ich hoffe ihr könnt mir helfen.

hier der hijackthis log:

Zitat

Logfile of HijackThis v1.99.0 (BETA)
Scan saved at 11:33:27, on 12.12.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\PROGRA~1\GEMEIN~1\Nokia\Services\SERVIC~1.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\devldr32.exe
C:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *new-search.net*;*x-google.net*
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O23 - Service: Adobe LM Service - Unknown - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe

die einträge:
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
hab ich schon öfters gelöscht, aber nach jedem neustart sind sie wieder da.

#2 Bitte mal Escan deinen Rechner pruefen lassen:

http://www.rokop-security.de/board/index.php?showtopic=3867
Dann die Datei suchen, die als look2me identifiziert wird, schreib welche.

Dann mal bitte das bei Start/Ausfueren eingeben und enter drueckern (Ohne"")

"c:\%windir%\system32 /a:r *.dll >c:\look.txt"
Eingeben und den Inhalt der look.txt im Hauptverzeichniss von c: auch posten.
__________
MfG Ralf
SEO-Spam Hunter

#3 escan hab ich als erstes drüber rennen lassen (hab es auch vorher upgedatet). mir ist aber keine datei aufgefallen die look2me heißt und das mit dem ausführen hat auch nicht funktioniert.
ich könnte das log file von escan posten aber das ist ein bischen lang

achja die popups heißen: funnybuddys oder so und das 2. ist so klein das man nur einen teil der statusleiste sieht man kann es auch nicht vergrössern.

#4 Das fehlt noch!

Zitat

Dann mal bitte das bei Start/Ausfueren eingeben und enter drueckern (Ohne"")

"c:\%windir%\system32 /a:r *.dll >c:\look.txt"
Eingeben und den Inhalt der look.txt im Hauptverzeichniss von c: auch posten.
--

Was hat escan alles gefunden?
__________
MfG Ralf
SEO-Spam Hunter

#5 wenn ich das so eingebe wie du es geschrieben hast bekomm ich die meldung das ich nicht auf das laufwerk c:\C:\WINDOWS nicht zugreifen kann. lass ich das c: weg, geht nur ein fenst von diesem ordner auf und sonst nichts. ich hab auch nach "look" auf laufwerk c: gesucht aber nichts gefunden.

escan hat sehr viel gefunden da unzählige ad- und spy-ware auf dem rechner war.

#6 Entschuldig, ich wusste nicht, das das ueber Start /Ausfuehren nicht funktioniert.

du musst ueber Start/Ausfuehren "CMD" eingeben und enter druecken:

Dort in der Dosbox musst du das eingeben und enter druecken:

dir /a:r c:\windows\\system32 *.dll >c:\look.txt

Dann wird auch die look.txt erzeugt. DIe Dateien, die Escan gefunden hast, hast du so weit wie moeglich geloescht?
__________
MfG Ralf
SEO-Spam Hunter

#7 ich bin bei escan auf scan&clear gegangen, ca. die hälfte der datein hat er auch löschen können den rest hab ich dann mit div. anderen prog. gekillt.

hier die look.txt

Zitat

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8027-468B

Verzeichnis von c:\windows\system32

07.06.2003 19:38 749 cdplayer.exe.manifest
18.08.2001 13:00 27.200 ctl3dv2.dll
12.12.2004 10:56 224.148 d2j02c1mgf.dll
07.11.2004 11:01 <DIR> dllcache
13.12.2004 13:42 225.926 en28l1fu1.dll
12.12.2004 10:56 225.916 enj8l11u1.dll
07.12.2004 18:25 224.612 ennql1551.dll
06.12.2004 16:38 223.893 g8400ihme84a0.dll
13.12.2004 19:23 223.963 hrlu0539e.dll
18.08.2001 13:00 6.656 KBDAL.DLL
18.08.2001 13:00 5.632 kbdaze.dll
18.08.2001 13:00 5.632 kbdazel.dll
18.08.2001 13:00 5.632 kbdblr.dll
18.08.2001 13:00 5.632 kbdbu.dll
18.08.2001 13:00 6.656 kbdcr.dll
18.08.2001 13:00 7.168 kbdcz.dll
18.08.2001 13:00 6.656 kbdcz1.dll
18.08.2001 13:00 6.656 kbdcz2.dll
18.08.2001 13:00 6.144 kbdest.dll
18.08.2001 13:00 6.144 kbdgkl.dll
18.08.2001 13:00 5.632 kbdhe.dll
18.08.2001 13:00 5.632 kbdhe220.dll
18.08.2001 13:00 5.632 kbdhe319.dll
18.08.2001 13:00 6.144 kbdhela2.dll
18.08.2001 13:00 6.656 kbdhela3.dll
18.08.2001 13:00 8.192 kbdhept.dll
18.08.2001 13:00 6.656 kbdhu.dll
18.08.2001 13:00 5.632 kbdhu1.dll
18.08.2001 13:00 5.632 kbdkaz.dll
18.08.2001 13:00 5.632 kbdkyr.dll
18.08.2001 13:00 5.632 kbdlt.dll
18.08.2001 13:00 5.632 kbdlt1.dll
18.08.2001 13:00 6.144 kbdlv.dll
18.08.2001 13:00 6.144 kbdlv1.dll
18.08.2001 13:00 5.632 kbdmon.dll
18.08.2001 13:00 6.656 kbdpl.dll
18.08.2001 13:00 5.632 kbdpl1.dll
18.08.2001 13:00 5.632 kbdro.dll
18.08.2001 13:00 5.632 kbdru.dll
18.08.2001 13:00 5.632 kbdru1.dll
18.08.2001 13:00 6.656 kbdsl.dll
18.08.2001 13:00 6.656 kbdsl1.dll
18.08.2001 13:00 5.632 kbdtat.dll
18.08.2001 13:00 6.144 kbdtuf.dll
18.08.2001 13:00 6.144 kbdtuq.dll
18.08.2001 13:00 5.632 kbdur.dll
18.08.2001 13:00 5.632 kbduzb.dll
18.08.2001 13:00 5.632 kbdycc.dll
18.08.2001 13:00 6.656 kbdycl.dll
11.12.2004 11:08 223.646 ksdbe.dll
12.12.2004 10:37 226.018 l62slgf7162.dll
13.12.2004 17:19 223.028 l66olgj316o.dll
07.06.2003 19:38 488 logonui.exe.manifest
11.12.2004 16:21 223.148 lvr6099se.dll
07.06.2003 19:38 749 ncpa.cpl.manifest
07.06.2003 19:38 749 nwc.cpl.manifest
13.12.2004 13:42 224.439 p46s0ej7eho.dll
18.08.2001 13:00 57.838 perfmon.msc
18.08.2001 13:00 43.976 rsop.msc
07.06.2003 19:38 749 sapi.cpl.manifest
18.08.2004 09:34 442.368 vp6vfw.dll
07.06.2003 19:38 488 WindowsLogon.manifest
07.06.2003 19:38 749 wuaucpl.cpl.manifest
11.12.2004 11:23 226.254 wuhde.dll
63 Datei(en) 3.514.294 Bytes

Verzeichnis von C:\

#8 Die Dateien vom 7-13.12.2004 mit der groesse von ca 220 KB sind die verdaechtigen. Escan sollte von denen eigentlich einige finden. Diese solltest du loeschen.
__________
MfG Ralf
SEO-Spam Hunter

#9 hi raman

taugt das tool was, da ich keine infektion am rechner habe, kann ich es nicht beurteilen http://www.look2me.com/cgi-bin/UnInstaller
__________
lg
Speedyweb http://members.linzag.net/680262/ --> HijackThis1.99final,AntiVirPE,Mozilla,Security-Links

#10 Versuch ist es wert. Vor ca 5 Tagen, konnte es das soweit ich weiss noh nicht. Aber die koennen ja auh upgedatet haben!:
__________
MfG Ralf
SEO-Spam Hunter

#11 ich hab mit escan alles gelöscht was zu löschen ging! ich probier mal diesen uninstaller den speedyweb gepostet hat aus.

#12 Wie zu erwarten, der uninstaller macht nichts, bzw es sagt, das es kein Version zum deinstalliern vorhanden ist.

Kaspersky/Escan wird den Rest der derzeitig noch nicht erkannten Dateien wohl am Freitag erkennen koennen. Sie aktualisieren ihre Adware.avc nur einmal die Woche!
__________
MfG Ralf
SEO-Spam Hunter

#13 escan hab ich upgedatet und wieder drüberlaufen lassen, hat zwar wieder was gefunden, aber die problem sind noch immer vorhanden. sonst noch vorschläge??

#14 Du kannst die von mir oben angegebenen Dateien ja mit Killbox loeschen. Es gibt noch eine weitere Moeglichkeit mit comparedll oder wie gesagt mit einer Windows PE cd und Escan.

Ei relativ guten Ansatz findest du auch hier:
http://www.hijackthis.de/forum/showthread.php?t=902


DLLCOMPARE incl. englischer Anleitung findest du hier:
http://forums.subratam.org/index.php?showtopic=1725
__________
MfG Ralf
SEO-Spam Hunter

#15 thx, werd ich mir anschaun