nervige Popups Hiijacklog

#1 Hi hab seit ca 2 Wochen sich ständig öffnende Popupfenster wie www.coupon-online.com; www.discount-home.com usw.. Hab shcon alles versucht was es an Adware und Spywareentfernungstools gibt. Habe mich jetzt entschlossen hier mal nen Hijackthis log reinzusetzen, wäre euch sehr danbar wenn ihr mir helfen könntet:

Logfile of HijackThis v1.99.1
Scan saved at 20:06:34, on 30.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
C:\Programme\ASUS\WLAN Card Utilities\Center.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\TVgenial\TVgenial.exe
C:\Programme\Trend Micro\Tmas\Tmas.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\eMule.de\emule.exe
C:\Programme\AnalogX\POW\pow.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\WINDOWS\explorer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\Programme\IncrediMail\bin\IncMail.exe
C:\Programme\Norton AntiVirus\OPScan.exe
C:\Dokumente und Einstellungen\Flo\Desktop\Scan Proggz\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [Control Center] C:\Programme\ASUS\WLAN Card Utilities\Center.exe
O4 - HKLM\..\Run: [Norton] C:\Programme\ASUS\WLAN Card Utilities\NorExec.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [TVgenial] C:\Programme\TVgenial\TVgenial.exe -d
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Trend Micro Anti-Spyware.lnk = C:\Programme\Trend Micro\Tmas\Tmas.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O20 - Winlogon Notify: DateTime - C:\WINDOWS\system32\dnp0017me.dll
O21 - SSODL: winmgmt - {81F4384C-F892-E719-8BD1-88DBC208C37B} - C:\WINDOWS\help\cscui.hlp
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

#2 Fix bitte das:

O21 - SSODL: winmgmt - {81F4384C-F892-E719-8BD1-88DBC208C37B} - C:\WINDOWS\help\cscui.hlp (nicht gefaehrlih, nur unnuetz)

deaktiviere den Teatimer und nutze die Tipps/Tools aus diesem Thread:
http://board.protecus.de/t19921.htm

Wo auch die Frage an dich geht, kannst du das Programm noch finden, welches dir den Look2me installiert hat? Es muss wohl eines sein, welches du ueber ein P2P Programm(z.B. emule) heruntergeladen und gestartet hat

Es waere super, wenn du es noch finden koenntest.
__________
MfG Ralf
SEO-Spam Hunter

#3 Habe vor einiger Zeit einen Crack heruntergeladen und seitdem ich diesen gestartet habe hab ich dieses Problem mit den Popups. Es war dieses Datei : http://www.Crac*hier nicht!*.net/d.php?j=822945 hier. Was meinst du mit teatimer deaktivieren?

#4 Schick mir den Link bitte mal via Email.

Bezgl. des Teeatimers, der funkt ab und zu gehoerig dazwischen, wenn man reinigen will....
__________
MfG Ralf
SEO-Spam Hunter

#5 Ok hab dir jetzt den Link per Mail gesendet
mfg Flo

#6 Danke, das hat sehr geholfen!
__________
MfG Ralf
SEO-Spam Hunter

#7 Denke daran, Spy sweeper einzusetzen, damit du den look2me los wirst!
__________
MfG Ralf
SEO-Spam Hunter

#8 Hi,
bin langsam a verzweifeln ich bekomme den look2me einfach nicht los. Wenn ich spysweeper drüberlaufen lasse erkennt er den look2me immer wieder in der registry bei HKLM/software/microsoft/windowsntcurrentversion/winlogon/notify/h323tsp//
Habs chon versucht per Spysweeper und per hand zu löschen aber es kommt immer wieder. Habe auch bemerkt das sich ständig neue .dll Dateien im System32 Ordner befinden die neu hinzukommen und mit dem look2me befallen sind. Hat vllt jmd noch Rat wie ich diesen Schädling endgültig entfernen kann?

#9 Klar! Es gibt noh einen look2me fix, aber ich weiss nicht, wie gut er die neuen Versionen killen kann. Du kannst auch noch cwshredder probieren, die kann auch einige l2m reinigen: http://www.trendmicro.com/cwshredder/

Oder aber du benennst die Dateien mit Hilfe einer BartPE cd um:
http://pcfreaks.big-clan.net/bartpe/index.shtml
__________
MfG Ralf
SEO-Spam Hunter

#10 Hi,
wo finde ich den diesen Fix? Cwshredder hab ich schon probiert (hab ca 10 programme die ich regelmässig drüberlaufne lasse aber keins hilft gegen diesne look2me). Und bei Part be is das Problem das ich kein Brenner hab um ne Cd zu erstellen (oder hab ich da was falsch verstanden??!)

mfg FLo

#11 Bitte deaktiviere den Teatimer von Sypbot und versuche dann nochmals mit Spy sweeper (4.5) look2me zu beseitigen! Ich habe das gerade nochmal geprueft die neuste Version wird von spy sweper geloescht.

BTW: So eine Batpe CD kan man ja auch auf einem anderen Rechner erstellen!
Auf PCwelt gibt es auch eine shoene deutsche Anleitung und tools dazu

http://www.pcwelt.de/downloads/tools_utilities/system-utilities/108595/
bzw http://www.pcwelt.de/wiki/index.php/Bart_PE_Builder
__________
MfG Ralf
SEO-Spam Hunter

#12 Hi,
jetz mal weiter mit dem Problem beschäftigt. Die Registryeinträge erstellen sich jedes mal neu wenn ich sie lösche. Einer der Einträge heisst dllname und führt mich zu einer Datei namens irl8l53u1.dll. Das Problem dieser Datei ist das ich sie nicht mit Norton oder anderen Programmen scannen kann stattdessen bekomme dann eine Meldung das ich dazu keine Befungis habe und diese Datei von anderen Programmen verwendet wird(bin als Admin eingeloggt). Kann auch nicht die Zugriffsrechte verändern. Wie kann ich den mit Batpe dieses Problem lösen? Muss ich diese Datei umbennen? Denke aber das ein weiteres Problem sein könnte das neue dll Dateien erstellt werden und es egal ist ob ich eine umbenne weil eh wider eine neue nachkommt.

PS: Gibt es ein programm oder eine Möglichkeit nachzuvollziehen welche Programme oder Dateien mit einer bestimmten Datei verknüpft sind?
mfg FLo

#13 Du startest von dieser Bart PE cd. Sprich das eigentliche Betriebssystem und damit auch look2me wird gar nicht gestartet und du kannst die Datei gefahrlos umbenennen. Identifizieren kannst du die Dateien auch recht einfah. Sie sind alle ziemlich gleich gross und haben immer das aktuelle Datum(Tag), aber z.B. Escan kann diese Dateien erkennen und so weisst du, was du umbenennen musst.
__________
MfG Ralf
SEO-Spam Hunter