"Lop.com" infection. *http://mysearchnow.com/passthrough/newpass2.html*

#0
17.12.2004, 13:28
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#1 LOG VON @Tuti

Logfile of HijackThis v1.98.2
Scan saved at 15:58:13, on 15.12.2003
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
E:\Network\lmgrd.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
E:\Network\adskflex.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\Messenger Plus! 3\MsgPlus.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\PestPatrol\PPControl.exe
C:\Programme\PestPatrol\PPMemCheck.exe
C:\Programme\PestPatrol\CookiePatrol.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Logitech\Video\LogiTray.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Logitech\Video\FxSvr2.exe
C:\Programme\Trillian\trillian.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\Tutili\Desktop\hijackthis1982\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.owwhuedqyincetguqdsxabcg.net/usm3yhmoUOCyOQ/PHEib1mr6Ov/bwGDxhEoLRGor_akJ1yQOiqtapICnjJt8H6A4.htm
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {70D1573C-C6CF-B68D-AEDA-79EF7C578F6C} - C:\DOKUME~1\Tutili\ANWEND~1\mealtray\LESSFRAG.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Programme\PestPatrol\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [comp grid eggs axis] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ExtraThisCompGrid\mediasoap.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [AboutPeak] C:\DOKUME~1\Tutili\ANWEND~1\CLOSEF~1\bone bore third.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-12.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1095777486640
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} - http://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2710F4F1-0FB6-49AF-B7BC-32B139402324}: NameServer = 217.237.151.225 217.237.150.225
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 17.12.2004 um 13:56 Uhr von Sabina editiert.
Seitenanfang Seitenende
17.12.2004, 13:54
Ehrenmitglied
Themenstarter
Avatar Sabina

Beiträge: 29434
#2 Hallo@Tuti

Trojan.RhmTox.A/Trojan.Swizzor/AdWare.Lop.e -->Lop.com Adware
-------------------------------------------------------------------------------------
Deaktivieren Wiederherstellung
«XP
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

Lade:
#eScan-Erkennungstool
-->update , wie erklaert, aber scanne noch nicht (erst im abgesicherten Modus)
http://www.rokop-security.de/board/index.php?showtopic=3867

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.owwhuedqyincetguqdsxabcg.net/usm3yhmoUOCyOQ/PHEib1mr6Ov/bwGDxhEoLRGor_akJ1yQOiqtapICnjJt8H6A4.htm
O2 - BHO: (no name) - {70D1573C-C6CF-B68D-AEDA-79EF7C578F6C} - C:\DOKUME~1\Tutili\ANWEND~1\mealtray\LESSFRAG.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [comp grid eggs axis] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ExtraThisCompGrid\mediasoap.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [AboutPeak] C:\DOKUME~1\Tutili\ANWEND~1\CLOSEF~1\bone bore third.exe

NEUstarten
<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

Deinstalliere:
[MessengerPlus3]

#Windows Explorer -> "Extras/Ordneroptionen" ->
"Ansicht" -> Haken entfernen bei "Geschützte Systemdateien
ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen"
aktivieren -> "OK"


Loesche:
C:\DOKUME~1\Tutili\ANWEND~1\mealtray\LESSFRAG.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ExtraThisCompGrid\mediasoap.exe
C:\DOKUME~1\Tutili\ANWEND~1\CLOSEF~1\bone bore third.exe


Datenträgerbereinigung:
und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

scanne mit mwav.exe (escan)

das Tool wird dir verschieden Dateien anzeigen, wie zum Beispiel:
AdWare.Lop.e"
C:\DOKUME~1\user\LOKALE~1\Temp\.......
"TrojanDownloader.Win32.Swizzor.ca"
C:\DOKUME~1\user\LOKALE~1\Temp\.......
AdWare.Lop.e
C:\DOKUME~1\user\LOKALE~1\Temp\exizdizp.exe
C:\DOKUME~1\user\LOKALE~1\Temp\lrtwtnwi.exe
C:\DOKUME~1\user\LOKALE~1\Temp\qpdmbaby.exe
C:\DOKUME~1\user\LOKALE~1\Temp\sptfpzwr.exe
C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temp\15336b.exe

TrojanDownloader.Win32.Swizzor.cb"
C:\Dokumente und Einstellungen\user\Anwendungsdaten\.............

usw. usw.....

die musst du dann alle loeschen (am besten immer im abgesicherten Modus)
<Öffne die mwav.log [oder: -->klick: "view Log" ] -> Bearbeiten -> Suchen ->
Wenn man infizierte Dateien in dem "eScan- Log" finden will, sollte
man nach infected suchen und die Einträge hier posten, bzw
die Dateien im abgesicherten Modus loeschen

danach:
#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 17.12.2004 um 14:09 Uhr von Sabina editiert.
Seitenanfang Seitenende
17.12.2004, 15:05
...neu hier

Beiträge: 1
#3 AHh super ,, ich danke vom ganzen herzen. Endlich ist es weg... Dank dir

Tuti
Dieser Beitrag wurde am 17.12.2004 um 16:03 Uhr von Sabina editiert.
Seitenanfang Seitenende
17.12.2004, 16:03
Ehrenmitglied
Themenstarter
Avatar Sabina

Beiträge: 29434
#4 Hallo@tuti

Poste mal das neue Log , bitte
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 17.12.2004 um 16:04 Uhr von Sabina editiert.
Seitenanfang Seitenende