AdWare.Lop -Verseuchung wegen: MessengerPlus3

#31 das muss geleoscht werden:

C:\WINDOWS\Downloaded Program Files\WinAdServX.dll
C:\WINDOWS\system32\vp.dat
C:\Dokumente und Einstellungen\razor\Favoriten\fun & games\games.lnk

die temporaeren Dateien ebenfalls:
ClaerProg..lade die neuste Version
http://virus-protect.org/temp.html
<und saeubere den Browser.
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Verlauf
- Temporäre Internetfiles (Cache)
- index.dat

vom LOP ist nichts mehr zu sehen, schau also, ob sich das Problem mit der verstellten Spyware duch loeschen der genannten Eintraege behebt.

dann:
spysweeper (trial-Version) --> scanne und poste den scanbericht
http://www.webroot.com/consumer/products/spysweeper/index.html
__________
MfG Sabina

rund um die PC-Sicherheit

#32 Hi!
War ein paar Tage weg, habe deshalb nichts geschrieben!
Die Datei C:\WINDOWS\Downloaded Program Files\WinAdServX.dll ist bei mir
nicht zu finden, da es den Ordner Downloaded Program Files bei mir garnet gibt...
die andern beiden sind entfernt! Die Datei zum ändern der Internetstartseite
existiert allerdings immernoch und wird jedesmal aktiv, wenn ich sie löschen will.

Beim löschen der Cache-sachen is mir was aufgefalln was irgendwie nich richtig sein kann.
Ich hab die Einträge einfach mal kopiert:

C:\DOKUME~1\razor\LOKALE~1\Temp\WER13ad.dir00\firefox.exe.hdmp 102,8MB
C:\DOKUME~1\razor\LOKALE~1\Temp\WER13ad.dir00\firefox.exe.mdmp 0,46MB
C:\DOKUME~1\razor\LOKALE~1\Temp\WER13dd.dir00\firefox.exe.hdmp 102,8MB
C:\DOKUME~1\razor\LOKALE~1\Temp\WER13dd.dir00\firefox.exe.mdmp 0,46MB
C:\DOKUME~1\razor\LOKALE~1\Temp\WER2a5a.dir00\firefox.exe.hdmp 102,8MB
C:\DOKUME~1\razor\LOKALE~1\Temp\WER2a5a.dir00\firefox.exe.mdmp 0,46MB

Das CCleaner hatte ich allerdings vor ca 5 Tagen oder so schonmal durchlaufen
es kann also irgendwie nich sein das sich da so schnell wieder 300Mb gesammelt haben, oder?

Zu dem Scan von Spy Sweeper schonmal soviel:

Adware found: blazefind
Adware found: winad
Adware found: ist yoursitebar
Trojan Horse found: dp trojan
Adware found: lopdotcom
Adware found: powerscan
Spy Cookie found: atlas dmt cookie
Spy Cookie found: atwola cookie
Spy Cookie found: tradedoubler cookie

läuft aber noch, ich poste den Bericht wenns durch is!

Gruß
Razor

[edit] Log:

********
21:34: | Start of Session, Samstag, 29. Oktober 2005 |
21:34: Spy Sweeper started
21:34: Sweep initiated using definitions version 564
21:34: Starting Memory Sweep
21:36: Memory Sweep Complete, Elapsed Time: 00:02:04
21:36: Starting Registry Sweep
21:36: Found Adware: blazefind
21:36: HKLM\software\classes\winservadx.installer\ (3 subtraces) (ID = 104512)
21:36: HKLM\software\microsoft\windows\currentversion\shareddlls\ || c:\windows\downloaded program files\winservadx.dll (ID = 104542)
21:36: HKLM\software\windows servead\ (1 subtraces) (ID = 104558)
21:36: HKCR\winservadx.installer\ (3 subtraces) (ID = 104577)
21:36: Found Adware: winad
21:36: HKLM\software\classes\winadservx.installer\ (3 subtraces) (ID = 147178)
21:36: HKLM\software\microsoft\windows\currentversion\shareddlls\ || c:\windows\downloaded program files\winadservx.dll (ID = 147224)
21:36: HKCR\winadservx.installer\ (3 subtraces) (ID = 147246)
21:36: Found Adware: ist yoursitebar
21:36: HKCR\clsid\{771a1334-6b08-4a6b-aedc-cf994ba2cebe}\ (11 subtraces) (ID = 147830)
21:36: HKCR\interface\{bf06da8e-2beb-4816-9bbd-f7625246e245}\ (8 subtraces) (ID = 147834)
21:36: HKLM\software\classes\clsid\{771a1334-6b08-4a6b-aedc-cf994ba2cebe}\ (11 subtraces) (ID = 147836)
21:36: HKLM\software\classes\interface\{bf06da8e-2beb-4816-9bbd-f7625246e245}\ (8 subtraces) (ID = 147840)
21:36: HKLM\software\classes\typelib\{db447818-96b4-40df-8a55-720da496f514}\ (9 subtraces) (ID = 147844)
21:36: HKLM\software\classes\ysbactivex.installer.1\ (3 subtraces) (ID = 147848)
21:36: HKCR\typelib\{db447818-96b4-40df-8a55-720da496f514}\ (9 subtraces) (ID = 147863)
21:36: HKCR\ysbactivex.installer.1\ (3 subtraces) (ID = 147867)
21:36: HKCR\ysbactivex.installer.1\clsid\ (1 subtraces) (ID = 147868)
21:36: Found Trojan Horse: dp trojan
21:36: HKU\S-1-5-21-583907252-1644491937-682003330-1004\software\freeverse\viagra\ (ID = 125365)
21:36: Found Adware: lopdotcom
21:36: HKU\S-1-5-21-583907252-1644491937-682003330-1004\software\microsoft\internet explorer\new windows\allow\ || lop.com (ID = 130287)
21:36: HKU\S-1-5-21-583907252-1644491937-682003330-1004\software\microsoft\internet explorer\new windows\allow\ || www.lop.com (ID = 130289)
21:36: Found Adware: powerscan
21:36: HKU\S-1-5-21-583907252-1644491937-682003330-1004\software\powerscan\ (ID = 136823)
21:36: Registry Sweep Complete, Elapsed Time:00:00:14
21:36: Starting Cookie Sweep
21:36: Found Spy Cookie: atlas dmt cookie
21:36: razor@atdmt[2].txt (ID = 2253)
21:36: Found Spy Cookie: atwola cookie
21:36: razor@atwola[1].txt (ID = 2255)
21:36: Found Spy Cookie: tradedoubler cookie
21:36: razor@tradedoubler[1].txt (ID = 3575)
21:36: Cookie Sweep Complete, Elapsed Time: 00:00:02
21:36: Starting File Sweep
21:37: winservadx.dll (ID = 90478)
21:42: winadservx.dll (ID = 90459)
21:55: Found Adware: sexfiles dialers
21:55: dating.lnk (ID = 75396)
21:55: viagra.exe (ID = 59318)
22:00: File Sweep Complete, Elapsed Time: 00:24:07
22:00: Full Sweep has completed. Elapsed time 00:26:29
22:00: Traces Found: 103
********
21:31: | Start of Session, Samstag, 29. Oktober 2005 |
21:31: Spy Sweeper started
21:32: There is a problem reaching the server. The cause may be in your connection, or on the server. Please try again later.
21:33: Updating spyware definitions
21:33: Your spyware definitions have been updated.
21:34: | End of Session, Samstag, 29. Oktober 2005 |
[/edit]

#33 loesche:

Gehe in die Registry

Start-->ausfuehren--> regedit

bearbeiten--> suchen -->freeverse
HKU\S-1-5-21-583907252-1644491937-682003330-1004\software\freeverse<--loeschen

bearbeiten--> suchen -->powerscan
HKU\S-1-5-21-583907252-1644491937-682003330-1004\software\powerscan<--loeschen

loeschen:
firefox.exe
viagra.exe
dating.lnk
C:\WINDOWS\Downloaded Program Files\WinAdServX.dll
C:\WINDOWS\Downloaded Program Files\winservadx.dl

CCleaner (loesche alle temporaeren Dateien)
http://virus-protect.org/temp.html

scanne mit Counterspy
http://virus-protect.org/counterspy.html

nach dem Scan muss man sich entscheiden für:
*Ignore
*Remove
*Quarantaine

wähle immer Remove und starte den PC neu (dann kopiere den Scanreport ab und ins Sicherheitsforum)

scanne online mit Kaspersky und poste hier den Scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#34 Spyware Scan Details
Start Date: 29.10.2005 23:17:02
End Date: 30.10.2005 00:20:02
Total Time: 1 hrs 3 mins

Detected spyware
No spyware were found during this scan.

Counterspy findet nichts den habich allerdings auch vor n paa Tagen schon durchlaufen lassen.
Mit Kaspersky das klappt noch nich so ganz habe zwar die Interneteinstellungen auf medium und habe Adminrechte bekomme aber trotzdem die Meldung:

Failed to load Kaspersky On-line Scanner ActiveX control!

You must have administrative rights on this computer;
you also must have the IE security settings to the Medium level.

was nu? ...

#35 dann scanne mit Panda, wenn der Kaspersky nicht funktioniert und berichte
Ich hoffe, das der Scanner funktioniert.

falls alles versagt:
http://virus-protect.org/escan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#36 Incident Status Location

Adware:adware/cws No disinfected C:\Dokumente und Einstellungen\razor\Favoriten\LIVING\Find a Degree.lnk
Spyware:spyware/dyfuca No disinfected C:\Dokumente und Einstellungen\razor\Internet Optimizer
Adware:adware/savenow No disinfected Windows Registry


Im HijackThis finde ich übrigens immernoch den Eintrag
"R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.nldeagsbsrnggzluzhpkej.org/yYFbZRqvKiMjmYMWcw5n9zeV/aHtWmTlTVSe05jux0wV_j7gI/hDS/Vztko78Il2.html"
und beim löschen von dem Teil erstellt es sich neu.
Als Spy Sweeper durchgelaufen ist, hat der auch was davon entdeckt, was ich natürlich
durch das Programm löschen wollte. Das Ergebnis war, dass ich pausenlos Meldungen
von Counterspy bekomme in denen steht dass meine Startseite verändert werden
soll... ich habe die Meldungen nun einfach mit jedesmal blocken markiert und nun habe ich Ruhe.

#37 loesche:

C::\Dokumente und Einstellungen\razor\Favoriten\LIVING\Find a Degree.lnk
C:\Dokumente und Einstellungen\razor\Internet Optimizer
__________
MfG Sabina

rund um die PC-Sicherheit

#38 beide Ordner samt Inhalten gelöscht!
Ich starte jetzt mal neu und schau obs den Eintrag im Logfile von Hijackthis noch gibt.

[edit]
Der Eintrag ist nach erneutem fixen verschwunden und scheint behoben!
Das neue Logfile von HijackThis sieht folgendermaßen aus:

Logfile of HijackThis v1.99.1
Scan saved at 16:05:51, on 30.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunThreatEngine.exe
C:\Programme\Sunbelt Software\CounterSpy\Consumer\SunProtectionServer.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\PC-Zeit\trap.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\SetPoint\KEM.exe
C:\Programme\Logitech\SetPoint\KHALMNPR.EXE
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\ICQLite\ICQLite.exe
D:\Programme\Hijackthis\HijackThis.exe
C:\Programme\Mozilla Firefox\firefox.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [pczeit] "C:\Programme\PC-Zeit\trap.exe"
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SunServer] C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1098139004937
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {D7A4D8FB-83F0-40E5-954F-88F48D15AE96} (ICQVideoWindow Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe

Ist der PC jetzt sauber?

Gruß
Kai

#39 uff...ja...der PC ist sauber
__________
MfG Sabina

rund um die PC-Sicherheit

#40 Jippieeee!!!

Vielen vielen Dank für deine großartige Hilfe!!!! ^^

Gruß
Kai