AdWare auf dem PC/ Ständig neue Tabs in Firefox

#0
30.10.2005, 13:04
...neu hier

Beiträge: 7
#1 Hallo zusammen,

ich bin seit einigen Tagen am üben, irgend eine bösartige Spyware von meinem Rechner zu kriegen- schaffe es aber nicht...
Das Problem: im Firefox (1.0 und Beta 1.5) öffen sich unablässig neue Tabs, verweisen auf Seiten wie http://adserver.softwareonline.com. Firefox startet sogar automatisch.
Ich hab Norman, AdAware, Spyware Doctor etc. drüber gelassen, brint alles nix.
Ich vergleiche meinen HijackThis-Eintrag mit bestehenden Einträgen in diesem Forum, finde aber nichts, vielleicht übersehe ich was...
Es wäre lieb, wenn jemand von Euch mal drauf schauen könnte - ich versteh das zuwenig.

tnx:-)tom


Logfile of HijackThis v1.99.1
Scan saved at 12:33:44, on 30.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Norman\Bin\Zanda.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Spyware Doctor\sdhelp.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Norman\Nvc\BIN\NVCSCHED.EXE
C:\Norman\bin\NJEEVES.EXE
C:\Norman\Nvc\BIN\nipsvc.exe
C:\Norman\Nvc\bin\nvcoas.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Norman\bin\ZLH.EXE
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Gemeinsame Dateien\ACD Systems\DE\DevDetect.exe
C:\Programme\D-Tools\daemon.exe
C:\Norman\Nvc\BIN\NIP.EXE
C:\Programme\Babylon\Babylon.exe
C:\Norman\Nvc\bin\cclaw.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spyware Doctor\swdoctor.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
P:\programme_zip\hijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\bin\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [Device Detector] DevDetect.exe -autorun
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Babylon Client] C:\Programme\Babylon\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [fmok] C:\PROGRA~1\COMMON~1\fmok\fmokm.exe
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=Q105&bd=pavilion&pf=laptop
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = hof3.local
O17 - HKLM\Software\..\Telephony: DomainName = hof3.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = hof3.local
O20 - Winlogon Notify: Themes - C:\WINDOWS\system32\enr6l19s1.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Programme\HPQ\SHARED\HPQWMI.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\Norman\Nvc\BIN\nipsvc.exe
O23 - Service: Norman NJeeves - Unknown owner - C:\Norman\bin\NJEEVES.EXE
O23 - Service: Norman ZANDA - Unknown owner - C:\Norman\Bin\Zanda.exe
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\Norman\Nvc\bin\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - C:\Norman\Nvc\BIN\NVCSCHED.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools - C:\Programme\Spyware Doctor\sdhelp.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
Seitenanfang Seitenende
30.10.2005, 13:12
Moderator

Beiträge: 7805
#2 Fix bitte das:

O4 - HKCU\..\Run: [fmok] C:\PROGRA~1\COMMON~1\fmok\fmokm.exe

Dazu dann noch bitte die Trial von Spy sweeper nutzen trojaner-board.de/showpost.php?p=172669&postcount=2

Schreib bitte, was es gefunden/gereinigt hat. Nutze auh noch die Datentraegerbereinigung http://support.microsoft.com/default.aspx?scid=kb;de;315246, mache einen Kontroll onlinescan mit Kaspersky: http://www.kaspersky.com/virusscanner
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
30.10.2005, 14:45
...neu hier

Themenstarter

Beiträge: 7
#3 Danke Ralf!

Schaut nicht schlecht aus - Firefox ist von der Tollwut wieder befreit...

"O4 - HKCU\..\Run: [fmok] C:\PROGRA~1\COMMON~1\fmok\fmokm.exe" hab ich gelöscht

Spy Sweeper findet folgedes:

The Spy Communication shield has blocked access to: www.ad-w-a-r-e.com
Adware found: ist yoursitebar
Adware found: icannnews
Spy Cookie found: falkag cookie
Spy Cookie found: atlas dmt cookie

Dann verlangt Spy Sweeper, den Rechner neu zu starten. Nach dem Neustart findet er zwei BHO-Objekte:

SWDOCTOR.EXE
SDHELP.EXE
iesdpb.dll

Diese Dinger wollen den Browser starten. Die freie Version von Spy Sweeper will die Teile nicht löschen können - ich kaufe also Spy Sw für 30$. Nach dem Lizensieren killt Spy Sweeper die drei Dinger anscheindend von alleine, ich finde die Programme auf jede Fall nicht mehr auf meinem Lap, Firefox hat sich beruhigt...

Was ich spannend finde:
Warum sind Norman, AdAware, Spyware Doctor alle überfordert und finden nichts - ist Spy Sweeper so viel besser? Und ist es neu, dass auch Firefox infisziert wird?
Hab immer gedacht, ich sei da auf der sicheren Seite.

gruss, tom
Seitenanfang Seitenende
30.10.2005, 14:54
Moderator

Beiträge: 7805
#4 Oh, Spysweeper haettest du nicht kaufen brauchen, aber ein Fehlkauf ist es auch nicht. Es gehoert schon zu den besten Produkten, man sollte ihm aber, genau wie bei anderen Programmen auch, nicht blind vertrauen!
Firefox war wohl nicht direkt infiziert, es ist nur so, das Spy/Adware einfach hingeht und dem Betriebsystem sagt,"oeffne diese Seite" und dann wird mit dem Programm die Seite geoeffnet, welches als Standard eingetragen ist. Ist es firefox, dann wird der gestartet.
Poste bitte noch ein neues Hijackthis log
BTW:

SWDOCTOR.EXE
SDHELP.EXE
iesdpb.dll
Sind Teile von Spyware doctor!;)
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
30.10.2005, 15:22
...neu hier

Themenstarter

Beiträge: 7
#5 Ach so - Teile von Spyware doctor!
Langsam wird es vor lauter "Sicherheitsmassnahmen" für mich immer schwieriger, im Schlachtgetümmel die Bösen von den Lieben zu unterscheiden ;-)
Soll ich den Spyware doctor deinstallieren - oder lassen sich die unbehelligt?

Zz. läuft der Kapersky - hier vorab das neue Logfile:


Logfile of HijackThis v1.99.1
Scan saved at 15:15:16, on 30.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Norman\Bin\Zanda.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Spyware Doctor\sdhelp.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
C:\Norman\Nvc\BIN\NVCSCHED.EXE
C:\Norman\Nvc\BIN\nipsvc.exe
C:\Norman\bin\NJEEVES.EXE
C:\Norman\Nvc\bin\nvcoas.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Norman\bin\ZLH.EXE
C:\Programme\Gemeinsame Dateien\ACD Systems\DE\DevDetect.exe
C:\Programme\D-Tools\daemon.exe
C:\Norman\Nvc\BIN\NIP.EXE
C:\Programme\Babylon\Babylon.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Spyware Doctor\swdoctor.exe
C:\WINDOWS\System32\svchost.exe
C:\Norman\Nvc\bin\cclaw.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Internet Explorer\iexplore.exe
P:\programme_zip\hijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\bin\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [Device Detector] DevDetect.exe -autorun
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Babylon Client] C:\Programme\Babylon\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=Q105&bd=pavilion&pf=laptop
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = hof3.local
O17 - HKLM\Software\..\Telephony: DomainName = hof3.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = hof3.local
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Programme\HPQ\SHARED\HPQWMI.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\Norman\Nvc\BIN\nipsvc.exe
O23 - Service: Norman NJeeves - Unknown owner - C:\Norman\bin\NJEEVES.EXE
O23 - Service: Norman ZANDA - Unknown owner - C:\Norman\Bin\Zanda.exe
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\Norman\Nvc\bin\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - C:\Norman\Nvc\BIN\NVCSCHED.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools - C:\Programme\Spyware Doctor\sdhelp.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
Seitenanfang Seitenende
30.10.2005, 15:29
Moderator

Beiträge: 7805
#6 Ich wuerde Spydoctor deinstallieren, zumindest alle Teile deaktivieren, die beim Start ausgefuehrt werden, damit es keinen konflikt zwischen deinen Antispy Programme gibt.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
30.10.2005, 15:54
...neu hier

Themenstarter

Beiträge: 7
#7 ups, Kaspersky entdeckt zwei weitere Sachen:

C:\DOKUME~1\TOM~1.HOF\LOKALE~1\Temp\GLF37DGLF37D.EXE/WISE0007.BIN Infected: Trojan-Downloader.Win32.TSUpdate.j
C:\DOKUME~1\TOM~1.HOF\LOKALE~1\Temp\GLF37DGLF37D.EXE Infected: Trojan-Downloader.Win32.TSUpdate.j

Wie lösche ich GLF37DGLF37D.EXE sauber?

(spydoctoer deinstalliert - danke für die Hilfe)

;-)tom
Seitenanfang Seitenende
30.10.2005, 15:58
Moderator

Beiträge: 7805
#8 Du kannst die Datentraegerbereinigung nehmen, du kannst es aber auch mit cleaner machen. www.ccleaner.com
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
30.10.2005, 16:29
...neu hier

Themenstarter

Beiträge: 7
#9 Alles klar!
CCcleaner gefällt mir - hat 80MB gelöscht...

Ralf, ich stosse auf Dich an - opferst Deinen Sonntag, um Leuten zu helfen, die sich bei fahrlässigem Internetverkehr infiszieren! Astalavista- so hartnäckig wurde mir noch nie was untergejubelt...

Ein grossens Danke!

gruss, tom


..und doch noch eine Frage/Bemerkung:

Hab gedacht, wenn ich schon am durchtschecken bin, lass ich noch den Norman drüberlaufen.
Norman findet in
c/system volume information/_restore [ziemlich viele zahlen...]/A00008784.exe

Werbung W32Isearch.e und am selben Ort Werbung:W32/SurfAccuracy.F

Die waren schon vor zwei Tagen da, und ich komme an die "Syseminformation" nicht ran. Norman stellt die Dinger in Quarantäne, aber sie tauchen anscheinend wieder auf.
Nun stören sie mich nicht mehr, da ich Ralf sei Dank wieder in Ruhe surfen und arbeite kann. Allerdings staunen ich, wo sich Malware so überall versteckt...

;-)tom
Dieser Beitrag wurde am 30.10.2005 um 16:53 Uhr von tom hof3 editiert.
Seitenanfang Seitenende
31.10.2005, 18:37
Moderator

Beiträge: 7805
#10 Oh, habe dein Posting fast ueberlesen. Du musst die Systemwiederherstellung deaktivieren, neu starten und wieder aktivieren:
http://www.bsi.bund.de/av/texte/wiederher.htm
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
12.01.2006, 16:14
...neu hier

Beiträge: 2
#11 ich habe das selbe problem, firefox (mein Standardbrowser) will auch immer auf www.ad-w-a-r-e.com zugreifen.

kaspersky und Spybot finden nix.

ich poste gleich mal das hijacklog:

Zitat

Logfile of HijackThis v1.99.1
Scan saved at 15:54:39, on 12.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\Compaq\COMPAQ~1\CHKADMIN.EXE
C:\Programme\Atheros\ACU\Utility\ACU.exe
C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe
C:\Programme\SecureCenterXP\SecureUserInfo.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\Logitech\SetPoint\KEM.exe
C:\Programme\Logitech\SetPoint\KHALMNPR.EXE
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Compaq\Compaq Management Agents\cpqalert.exe
C:\PROGRA~1\Compaq\COMPAQ~1\CPQWEB~1\WebDmi.exe
C:\WINDOWS\Cpqdiag\Cpqdfwag.exe
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programme\SecureCenterXP\SecureCS.Exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Programme\Compaq\Compaq Management Agents\Dmi\Win32\bin\Win32sl.exe
C:\Programme\SecureCenterXP\SecureWipeService.Exe
C:\PROGRA~1\Compaq\COMPAQ~1\cpqdmi.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\mIRC\G-Scriptv3.2\mircG32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Downloads\movie\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/Dokumente%20und%20Einstellungen/hitz/Eigene%20Dateien/Eigene%20Webs/index.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.java.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ChkAdmin] C:\PROGRA~1\Compaq\COMPAQ~1\CHKADMIN.EXE
O4 - HKLM\..\Run: [ACU_QSB] C:\Programme\Atheros\ACU\Utility\ACU.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [LastLogin] C:\Programme\SecureCenterXP\SecureUserInfo
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\RunServices: [CPQDFWAG] C:\WINDOWS\Cpqdiag\CpqDfwAg.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: M.bat
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O18 - Protocol: bw+0 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw+0s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw-0 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw-0s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw00 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw00s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw10 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw10s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw20 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw20s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw30 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw30s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw40 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw40s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw50 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw50s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw60 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw60s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw70 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw70s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw80 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw80s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw90 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw90s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwa0 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwa0s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwb0 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwb0s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwc0 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwc0s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwd0 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwd0s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwe0 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwe0s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwf0 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwf0s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: bwg0 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwg0s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwh0 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwh0s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwi0 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwi0s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwj0 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwj0s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwk0 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwk0s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwl0 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwl0s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwm0 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwm0s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwn0 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwn0s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwo0 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwo0s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwp0 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwp0s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwq0 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwq0s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwr0 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwr0s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bws0 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bws0s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwt0 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwt0s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwu0 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwu0s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwv0 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwv0s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bww0 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bww0s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwx0 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwx0s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwy0 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwy0s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwz0 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwz0s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: offline-8876480 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\system32\btxppanel.dll
O20 - Winlogon Notify: RunServices - C:\WINDOWS\system32\f40o0ed3eh0.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Insight Local Alerter (CPQALERT) - Hewlett-Packard Company - C:\Programme\Compaq\Compaq Management Agents\cpqalert.exe
O23 - Service: cpqdmi - Compaq Computer Corporation - C:\PROGRA~1\Compaq\COMPAQ~1\cpqdmi.exe
O23 - Service: Insight Web Agent (cpqWebDmi) - Hewlett-Packard Company - C:\PROGRA~1\Compaq\COMPAQ~1\CPQWEB~1\WebDmi.exe
O23 - Service: Remote Diagnostics Enabling Agent (DfwWebAgent) - Hewlett-Packard - C:\WINDOWS\Cpqdiag\Cpqdfwag.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Programme\HPQ\SHARED\HPQWMI.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: SecureCS (SCSService) - ARMASUISSE - C:\Programme\SecureCenterXP\SecureCS.Exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Win32Sl (WIN32SL) - Intel - C:\Programme\Compaq\Compaq Management Agents\Dmi\Win32\bin\Win32sl.exe
O23 - Service: SCXPWP (WipeService) - ARMASUISSE - C:\Programme\SecureCenterXP\SecureWipeService.Exe
Danke falls sich jemand dieser sache annimmt, und freundliche Grüsse
Dieser Beitrag wurde am 12.01.2006 um 21:47 Uhr von roycele editiert.
Seitenanfang Seitenende
13.01.2006, 13:40
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 roycele

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O4 - HKLM\..\Run: [LastLogin] C:\Programme\SecureCenterXP\SecureUserInfo
O20 - Winlogon Notify: RunServices - C:\WINDOWS\system32\f40o0ed3eh0.dll
------------------------------------------------------------------------

nimm diese Eintraege ebenfalls aus dem Autostart...haben dort nichts verloren
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe

O18 - Protocol: bw+0 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw+0s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw-0 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw-0s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw00 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw00s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw10 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw10s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw20 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw20s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw30 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw30s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw40 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw40s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw50 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw50s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw60 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw60s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw70 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw70s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw80 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw80s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw90 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw90s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwa0 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwa0s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwb0 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwb0s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwc0 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwc0s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwd0 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwd0s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwe0 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwe0s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwf0 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwf0s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: bwg0 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwg0s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwh0 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwh0s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwi0 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwi0s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwj0 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwj0s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwk0 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwk0s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwl0 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwl0s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwm0 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwm0s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwn0 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwn0s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwo0 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwo0s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwp0 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwp0s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwq0 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwq0s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwr0 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwr0s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bws0 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bws0s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwt0 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwt0s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwu0 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwu0s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwv0 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwv0s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bww0 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bww0s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwx0 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwx0s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwy0 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwy0s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwz0 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwz0s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: offline-8876480 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

PC neustarten

was ist das fuer ein Programm ?? Wo hast du das geladen ??
C:\Programme\SecureCenterXP
--------------------------------------------------------------

L2MRemover.zip - Look2Me Remover
http://virus-protect.org/l2mfix.html
http://www.simplytech.it/L2MRemover/index_de.htm

Entpacke das Programm mit einem Ziptool
in den neu zu erstellenden Ordner C:\Programme\Look2meRemover.

1. Klicke auf die L2MRemover.exe, um das Programm zu starten.
2. Klicke auf "About" "Check for updates..." im Menu des Programms und aktualisiere das Programm.
3. Drücke auf den "Scan" Button und lasse dein gesamtes System, Speicher und Registry scannen.

(Wenn es eine bekannte Variante der Malware findet, wird es sie ermitteln und sie unbrauchbar machen, indem es den ST-Code während des Scannens in die Malware injiziert. Dann wird es die Registry Schlüssel auflisten, die die Malware bei jedem Systemstart neu laden.)

4. Betätige den "Delete Keys" Button, um die Registry von den Schlüsseln zu bereinigen, die dafür sorgen, dass die Malware sich mit jedem Neustart wieder neu auflädt.

(Wenn dir das Entfernen der Registerschlüssel zu riskant ist, kannst du ein Häkchen setzen bei "Save before delete", damit ein Backuo-File *.reg gespeichert werden kann, für den Fall, dass du die gelöschten Schlüssel neu erstellen möchtest.)

Hinweis: Der "Look2me Remover" entfernt nur die Variationen der Look2Me Malware, die seit November 2005 im Umlauf sind.

5. Speichere das Logfile des Removers.

-----------------------------------------------------------------

stelle den Cleaner genauso ein, wie hier angegeben:

http://virus-protect.org/cleanup.html

Hoster.zip -> anwenden
http://www.funkytoad.com/download/hoster.zip
Press 'Restore Original Hosts' and press 'OK' Exit Program

L2mfix
http://www.downloads.subratam.org/l2mfix.exe
arbeite Option 2 ab , und nach neustart und scan kopiere hier den scanreport
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.01.2006, 11:14
...neu hier

Beiträge: 4
#13 Hi, ich hab auch ein prob mit look2me (seit dem 12 januar)...
über google hab ich dieses forum hier gefunden und habe auch schon alle erwähnten schritte ausgeführt (Hijackthis, cleanup, killbox...) nur leider kann ich den look2remover (http://www.simplytech.it/L2MRemover/index_de.htm) bzw den look2mefix nicht ausführen.

beim remover bekomm ich immer nen bluescreen, wo steht, dass das prog in die schreibgeschützte engine (sys oder dll) schreiben wollte (oder so ähnlich).
das selbe kommt auch im abgesicherten modus (nur ma so ;) )

den l2mfix kann ich ebenfalls nicht ausführen, da folgende meldung kommt:

c.\windows\system32\cmd.exe
config.nt. die systemdatei is nicht geeignet, um anwendungen für ms-do oder M$ windows auszuführen. klicken sie auf schließen um die anwendung zu beenden.

das kommt bei recht vielen progs, seit ich diesen look2me rotz draufhab.

die ganzen viren, trojaner etc die ich durch look2me bekommen hab, sind alle weg
und nachdem ich die schritte von sabina noch gemacht habe, öffnen sich keine popups mehr, es scheint also das schlimmste weg zu sein.
aber ich würde schon ganz gern eines der beiden l2m teile anwenden, leider geht das nicht.

hat irgendwer ne ahnung, warum das so is ?
(falls es von nöten ist, ich habe noch die ganzen logs von datfind.bat und list.bat, sowie nen hijack log...und auch ne liste mit dateien die ich mit killbox gelöscht habe.)
Seitenanfang Seitenende
14.01.2006, 14:55
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 Smelli

kopiere hier die aktuellen Daten von datfindbat ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.01.2006, 20:05
...neu hier

Beiträge: 4
#15 ok, hier die aktuellen listen (dateien ab dem 1.12.05):

Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 10AC-877C

Verzeichnis von C:\

15.01.2006 20:04 0 sys.txt
15.01.2006 20:03 19.162 system.txt
15.01.2006 20:03 921 systemtemp.txt
15.01.2006 20:03 109.341 system32.txt
14.01.2006 15:37 188 boot.ini
14.01.2006 10:45 1.073.741.824 pagefile.sys
05.01.2006 01:10 251.712 ntldr
05.01.2006 00:33 47.564 NTDETECT.COM
05.01.2006 00:21 171 BOOT.BKK
30.11.2005 14:03 95 hf.path
21.11.2005 19:12 0 itouch_crash_info.txt
21.11.2005 16:24 0 CONFIG.SYS
21.11.2005 16:24 0 MSDOS.SYS
21.11.2005 16:24 0 IO.SYS
21.11.2005 16:24 0 AUTOEXEC.BAT
18.08.2001 11:00 4.952 bootfont.bin
16 Datei(en) 1.074.175.930 Bytes
0 Verzeichnis(se), 2.909.184.000 Bytes frei



Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 10AC-877C

Verzeichnis von C:\WINDOWS

15.01.2006 19:08 116 NeroDigital.ini
14.01.2006 16:01 160.544 setupapi.log
14.01.2006 15:37 558 win.ini
14.01.2006 15:37 227 system.ini
14.01.2006 11:24 32 pavsig.txt
14.01.2006 10:46 0 0.log
14.01.2006 10:45 2.048 bootstat.dat
14.01.2006 10:42 3.865 WindowsUpdate.log
14.01.2006 10:40 102.312 ntbtlog.txt
13.01.2006 18:55 107.132 UninstallFirefox.exe
13.01.2006 18:55 7.286 mozver.dat
13.01.2006 11:57 68.396 wmsetup.log
05.01.2006 16:38 1.409 QTFont.for
05.01.2006 16:38 54.156 QTFont.qfn
05.01.2006 16:03 376 wmsetup10.log
05.01.2006 14:42 368.403 DirectX.log
05.01.2006 05:52 1.355 imsins.log
05.01.2006 05:52 286.001 ntdtcsetup.log
05.01.2006 05:52 77.906 tabletoc.log
05.01.2006 05:52 465.361 comsetup.log
05.01.2006 05:52 1.787.234 iis6.log
05.01.2006 05:52 728.913 tsoc.log
05.01.2006 05:52 273.287 netfxocm.log
05.01.2006 05:52 64.584 ocmsn.log
05.01.2006 05:52 63.710 KB910728.log
05.01.2006 05:52 67.708 medctroc.Log
05.01.2006 05:52 792.642 ocgen.log
05.01.2006 05:52 78.372 msgsocm.log
05.01.2006 05:52 1.565.582 FaxSetup.log
05.01.2006 05:52 496.388 msmqinst.log
05.01.2006 05:52 45.432 updspapi.log
05.01.2006 05:52 63.909 KB910720.log
05.01.2006 05:52 1.355 imsins.BAK

05.01.2006 00:45 28.848 spupdsvc.log
05.01.2006 00:45 1.053 DtcInstall.log
05.01.2006 00:45 1.510 OEWABLog.txt
05.01.2006 00:45 316.640 WMSysPr9.prx
05.01.2006 00:44 799.562 setuplog.txt
05.01.2006 00:42 608.382 svcpack.log
05.01.2006 00:39 1.190.098 setupapi.log.1.old
05.01.2006 00:37 200 cmsetacl.log
05.01.2006 00:37 1.330 sessmgr.setup.log
05.01.2006 00:26 50 wiaservc.log
05.01.2006 00:26 216 wiadebug.log
05.01.2006 00:24 1.335 svcpack.log.1.log
04.01.2006 22:56 32 go
03.01.2006 17:45 1.989 uninstall_nmon.vbs
02.01.2006 17:58 58.722 Windows Update.log
27.12.2005 17:06 175.050 spslpsrm.log
20.12.2005 01:37 383 ST6UNST.000
20.12.2005 01:37 73.216 ST6UNST.EXE
16.12.2005 03:01 1.945.006 NFSMW-MegaTrainer.CAB
15.12.2005 19:22 182.328 setupact.log
14.12.2005 18:54 319 CoDUO.INI
14.12.2005 18:42 709 CoD.INI


Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 10AC-877C

Verzeichnis von C:\WINDOWS\system32

14.01.2006 11:24 2.550 Uninstall.ico
14.01.2006 11:24 1.406 Help.ico
14.01.2006 11:24 30.590 pavas.ico
14.01.2006 11:07 10 sec.txt
14.01.2006 11:07 73 direct.txt
14.01.2006 10:59 0 asfiles.txt
14.01.2006 10:45 43.573 nvapps.xml
14.01.2006 10:45 1.164 OODBS.lor
14.01.2006 10:37 2.126 wpa.dbl
05.01.2006 14:44 380.350 perfh009.dat
05.01.2006 14:44 52.764 perfc009.dat
05.01.2006 14:44 63.580 perfc007.dat
05.01.2006 14:44 391.000 perfh007.dat
05.01.2006 14:44 897.954 PerfStringBackup.INI
05.01.2006 00:44 90 spupdwxp.log
05.01.2006 00:44 111.784 FNTCACHE.DAT
04.01.2006 21:23 7.999 second.bat
01.01.2006 15:41 3.584 wmfhotfix.dll
20.12.2005 20:33 34.064 lhacm.acm
10.12.2005 04:16 180.224 nvumctl.exe
10.12.2005 04:16 180.224 nvuaudio.exe
10.12.2005 04:16 180.224 NVUNINST.EXE
10.12.2005 04:16 180.224 nvuenet.exe
10.12.2005 04:16 180.224 nvugart.exe
10.12.2005 04:16 180.224 nvuide.exe
10.12.2005 03:06 35.840 nvcod.dll
10.12.2005 03:06 35.840 nvcodins.dll
10.12.2005 03:06 442.368 nvappbar.exe
10.12.2005 03:06 110.592 nvapi.dll
10.12.2005 03:06 3.955.456 nv4_disp.dll
10.12.2005 03:06 258.048 nvrsja.dll
10.12.2005 03:06 147.456 nvcolor.exe
10.12.2005 03:06 253.952 nvrsko.dll
10.12.2005 03:06 266.240 nvrsnl.dll
10.12.2005 03:06 249.856 nvrsno.dll
10.12.2005 03:06 249.856 nvrspl.dll
10.12.2005 03:06 266.240 nvrspt.dll
10.12.2005 03:06 262.144 nvrsptb.dll
10.12.2005 03:06 262.144 nvrsru.dll
10.12.2005 03:06 249.856 nvrssk.dll
10.12.2005 03:06 249.856 nvrssl.dll
10.12.2005 03:06 245.760 nvrssv.dll
10.12.2005 03:06 249.856 nvrstr.dll
10.12.2005 03:06 217.088 nvrszhc.dll
10.12.2005 03:06 7.311.360 nvcpl.dll
10.12.2005 03:06 16.356 nvdisp.nvu
10.12.2005 03:06 118.784 nvrszht.dll
10.12.2005 03:06 466.944 nvshell.dll
10.12.2005 03:06 1.339.392 nvdspsch.exe
10.12.2005 03:06 131.139 nvsvc32.exe
10.12.2005 03:06 73.728 nvtuicpl.cpl
10.12.2005 03:06 573.440 nvhwvid.dll
10.12.2005 03:06 1.466.368 nview.dll
10.12.2005 03:06 229.376 nvmccs.dll
10.12.2005 03:06 45.056 nvmccsrs.dll
10.12.2005 03:06 86.016 nvmctray.dll
10.12.2005 03:06 286.720 nvnt4cpl.dll
10.12.2005 03:06 81.920 nvwddi.dll
10.12.2005 03:06 1.662.976 nvwdmcpl.dll
10.12.2005 03:06 1.019.904 nvwimg.dll
10.12.2005 03:06 282.624 nvwrsar.dll
10.12.2005 03:06 286.720 nvwrscs.dll
10.12.2005 03:06 294.912 nvwrsda.dll
10.12.2005 03:06 311.296 nvwrsde.dll
10.12.2005 03:06 335.872 nvwrsel.dll
10.12.2005 03:06 286.720 nvwrseng.dll
10.12.2005 03:06 5.402.624 nvoglnt.dll
10.12.2005 03:06 335.872 nvwrses.dll
10.12.2005 03:06 327.680 nvwrsesm.dll
10.12.2005 03:06 303.104 nvwrsfi.dll
10.12.2005 03:06 327.680 nvwrsfr.dll
10.12.2005 03:06 278.528 nvwrshe.dll
10.12.2005 03:06 315.392 nvwrshu.dll
10.12.2005 03:06 323.584 nvwrsit.dll
10.12.2005 03:06 212.992 nvwrsja.dll
10.12.2005 03:06 319.488 nvrsar.dll
10.12.2005 03:06 196.608 nvwrsko.dll
10.12.2005 03:06 319.488 nvwrsnl.dll
10.12.2005 03:06 299.008 nvwrsno.dll
10.12.2005 03:06 294.912 nvwrspl.dll
10.12.2005 03:06 323.584 nvwrspt.dll
10.12.2005 03:06 319.488 nvwrsptb.dll
10.12.2005 03:06 315.392 nvwrsru.dll
10.12.2005 03:06 299.008 nvwrssk.dll
10.12.2005 03:06 303.104 nvwrssl.dll
10.12.2005 03:06 294.912 nvwrssv.dll
10.12.2005 03:06 303.104 nvwrstr.dll
10.12.2005 03:06 241.664 nvrscs.dll
10.12.2005 03:06 245.760 nvrsda.dll
10.12.2005 03:06 270.336 nvrsde.dll
10.12.2005 03:06 163.840 nvwrszhc.dll
10.12.2005 03:06 167.936 nvwrszht.dll
10.12.2005 03:06 1.519.616 nwiz.exe
10.12.2005 03:06 274.432 nvrsel.dll
10.12.2005 03:06 241.664 nvrseng.dll
10.12.2005 03:06 425.984 keystone.exe
10.12.2005 03:06 274.432 nvrses.dll
10.12.2005 03:06 266.240 nvrsesm.dll
10.12.2005 03:06 241.664 nvrsfi.dll
10.12.2005 03:06 278.528 nvrsfr.dll
10.12.2005 03:06 319.488 nvrshe.dll
10.12.2005 03:06 253.952 nvrshu.dll
10.12.2005 03:06 274.432 nvrsit.dll
08.12.2005 16:25 2.723.680 MRT.exe
05.12.2005 21:37 37.473 muzika.xm
05.12.2005 18:09 2.323.664 d3dx9_28.dll
05.12.2005 18:07 61.136 xinput9_1_0.dll
03.12.2005 11:25 36.864 frapsvid.dll
01.12.2005 04:32 1.495.040 shdocvw.dll


Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 10AC-877C

Verzeichnis von C:\DOKUME~1\-Smelli-\LOKALE~1\Temp

15.01.2006 18:39 0 e44710.tmp
15.01.2006 18:36 0 mno7b8op.pdf
14.01.2006 12:05 16.384 ~DF67C7.tmp
14.01.2006 10:43 16.384 ~DF550C.tmp
14.01.2006 10:43 16.384 ~DF4235.tmp
14.01.2006 10:42 16.384 ~DF2D41.tmp
14.01.2006 10:42 16.384 ~DF233E.tmp
14.01.2006 10:40 16.384 ~DF7619.tmp
14.01.2006 10:40 16.384 ~DF69BA.tmp
14.01.2006 10:38 16.384 ~DF5D7A.tmp
14.01.2006 10:37 16.384 ~DF3F08.tmp
14.01.2006 10:36 16.384 ~DFA98C.tmp
14.01.2006 10:32 892 kb.log
14.01.2006 10:19 16.384 ~DF20D0.tmp
14 Datei(en) 181.116 Bytes
0 Verzeichnis(se), 2.909.208.576 Bytes frei


Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 10AC-877C

Verzeichnis von C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders

22.11.2005 02:42 <DIR> .
22.11.2005 02:42 <DIR> ..
22.11.2005 02:42 <DIR> 1031
22.11.2005 02:42 <DIR> 1033
11.07.2003 02:15 1.292.872 MSONSEXT.DLL
14.07.2003 22:52 35.896 MSOSV.DLL
19.03.1999 08:46 127.032 MSOWS407.DLL
04.06.1999 01:09 122.937 MSOWS409.DLL
11.07.2003 02:25 80.448 PKMWS.DLL
5 Datei(en) 1.659.185 Bytes
4 Verzeichnis(se), 2.909.335.552 Bytes frei



Logfile of HijackThis v1.99.1
Scan saved at 20:22:28, on 15.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\Windows\System32\smss.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\Windows\system32\spoolsv.exe
C:\Windows\Explorer.EXE
E:\Logitech\Tastatur\iTouch\iTouch.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe
C:\Windows\CTHELPER.EXE
C:\Windows\system32\CTXFIHLP.EXE
C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe
C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe
E:\Norton\SystemWorks\Norton AntiVirus\navapsvc.exe
E:\DAEMON Tools\daemon.exe
C:\Windows\SYSTEM32\CTXFISPI.EXE
C:\Windows\system32\ctfmon.exe
E:\Norton\SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe
C:\Windows\System32\nvsvc32.exe
C:\Windows\System32\oodag.exe
C:\Windows\System32\tcpsvcs.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Creative\ShareDLL\CADI\NotiMan.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
E:\Norton\SYSTEM~1\NORTON~1\SPEEDD~1\NOPDB.EXE
E:\Alcohol 120\Alcohol 120\StarWind\StarWindService.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Windows\System32\svchost.exe


O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - E:\Norton\SystemWorks\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [zBrowser Launcher] e:\Logitech\Tastatur\iTouch\iTouch.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AudioDrvEmulator] "C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" -1 AudioDrvEmulator "C:\Programme\Creative\Shared Files\Module Loader\Audio Emulator\AudDrvEm.dll"
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [RCSystem] "C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" RCSystem * -Startup
O4 - HKLM\..\Run: [VolPanel] "C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe" /r
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [DAEMON Tools] "E:\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [ctfmon.exe] C:\Windows\system32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://e:\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - e:\MICROS~1\OFFICE11\REFIEBAR.DLL
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O20 - AppInit_DLLs: C:\Windows\System32\wmfhotfix.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - E:\Norton\SystemWorks\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - E:\Norton\SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\Windows\System32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\Windows\System32\oodag.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - Unknown owner - e:\Sandra\RpcDataSrv.exe (file missing)
O23 - Service: SAVScan - Symantec Corporation - E:\Norton\SystemWorks\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - E:\Norton\SYSTEM~1\NORTON~1\SPEEDD~1\NOPDB.EXE
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - E:\Alcohol 120\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe



ka, ob ich noch infizierte dateien auf dem rechner hab, jedenfalls zeigt kein scanner etwas an und ich bemerke auch nix.
in den listen sind ebenfalls keine dateien zu finden, welche ungewöhnlich zu sein scheinen.
wegen dem fehler bei dem l2mfix, würde es vtll helfen, wenn ich ne config.nt von nem andrem system nehme ?
die scheint ja nen treffer zu haben...da progs einige progs wie gesagt nichtmehr gehen.
und bei dem fehler beim l2mremover hab ich immernoch keinen erfolg.
Dieser Beitrag wurde am 15.01.2006 um 20:23 Uhr von Smelli editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
  • »
  • »
  • »
  • »
  • »