Popups >> /yyy102.html

#1 Grüße!

Mein Mozilla öffnet Popups trotz Blocker etc., und davon hunderte!



Könnt ihr helfen?

Hier mein Logfile!


Logfile of HijackThis v1.99.1
Scan saved at 16:53:18, on 03.01.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\csrss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\System32\Ati2evxx.exe
E:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp WinStyler\WinStylerThemeSvc.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\WINDOWS\System32\alg.exe
C:\Programme\ewido anti-malware\ewidoctrl.exe
E:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\explorer.exe
E:\Programme\Common Files\VCClient\VCClient.exe
E:\Programme\Common Files\VCClient\VCMain.exe
E:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe
C:\Programme\Spyware Doctor\swdoctor.exe
E:\Programme\ArcorOnline\Arcor.exe
E:\WINDOWS\system32\rundll32.exe
C:\Programme\ICQLite\ICQLite.exe
E:\PROGRA~1\FIREFOX.EXE
C:\Programme\Winamp\winamp.exe
E:\Dokumente und Einstellungen\Ineptus\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis_199.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.arcor.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
F2 - REG:system.ini: Shell=explorer.exe "E:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe"
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - E:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - E:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [MCUpdateExe] E:\PROGRA~1\mcafee.com\agent\mcupdate.exe
O4 - HKCU\..\Run: [Shell] "E:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe"
O4 - HKCU\..\Run: [aupd] E:\WINDOWS\System32\sywsvcs.exe
O4 - HKCU\..\Run: [CU1] E:\Programme\Common Files\VCClient\VCClient.exe
O4 - HKCU\..\Run: [CU2] E:\Programme\Common Files\VCClient\VCMain.exe
O4 - HKCU\..\Run: [uzoz] E:\PROGRA~1\GEMEIN~1\uzoz\uzozm.exe
O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "E:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe"
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Adobe Gamma.lnk = E:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = E:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\MSMSGS.EXE
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {8597FDC8-E730-499E-82C7-E276F10BCD86} - E:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {8597FDC8-E730-499E-82C7-E276F10BCD86} - E:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/mcinsctl/en-us/4,0,0,83/mcinsctl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1134594229875
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1134594695875
O17 - HKLM\System\CCS\Services\Tcpip\..\{A82BBD40-E95F-4D02-9AC7-A5043D15E620}: NameServer = 195.50.140.250 195.50.140.114
O20 - Winlogon Notify: ShellServiceObjectDelayLoad - E:\WINDOWS\system32\hr2405fqe.dll
O23 - Service: Adobe LM Service - Adobe Systems - E:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - E:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - E:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: kavsvc - Kaspersky Lab - E:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - Networks Associates Technology, Inc - E:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee Corporation - E:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp WinStyler\WinStylerThemeSvc.exe

#2 Ineptus

stelle den Cleaner genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

kopiere die 4 Textdateien
http://virus-protect.org/datfindbat.html

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als list.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.--> die list.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders" >> files.txt
notepad files.txt

TR/Dedr.sma.bfy.5.B
http://virus-protect.org/artikel/spyware/inet20002.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Erstmal - Danke für die schnelle Hilfe - Sabina

- Mein PC wurde mit Cleanup! gereinigt

- Mit "http://virus-protect.org/artikel/spyware/inet20002.html" konnte ich noch nichts anfangen, hab erstmal mit CounterSpy durchgescannt, was aber nichts geändert hat

- Die 4 Textdateien:

Datentr„ger in Laufwerk E: ist Windows
Volumeseriennummer: 884C-6096

Verzeichnis von E:\

04.01.2006 18:20 0 sys.txt
04.01.2006 18:19 6.747 system.txt
04.01.2006 18:19 795 systemtemp.txt
04.01.2006 18:19 93.723 system32.txt
04.01.2006 18:13 0 files.txt
04.01.2006 16:48 805.306.368 pagefile.sys
27.12.2005 20:23 1.298 smitfiles.txt
7 Datei(en) 805.408.931 Bytes
0 Verzeichnis(se), 2.129.760.256 Bytes frei
________________________________________________________________

Datentr„ger in Laufwerk E: ist Windows
Volumeseriennummer: 884C-6096

Verzeichnis von E:\WINDOWS

04.01.2006 18:03 563.527 setupapi.log
04.01.2006 16:50 0 0.log
04.01.2006 16:50 1.174.633 WindowsUpdate.log
04.01.2006 16:50 50 wiaservc.log
04.01.2006 16:50 159 wiadebug.log
04.01.2006 16:48 2.048 bootstat.dat
04.01.2006 04:35 116 NeroDigital.ini
03.01.2006 18:31 32.640 SchedLgU.Txt
31.12.2005 01:09 67 StationRipper.INI
29.12.2005 02:47 2.940 mozver.dat
29.12.2005 02:08 451 system.ini
29.12.2005 02:08 451 system.tmp
29.12.2005 00:42 34 cdplayer.ini
27.12.2005 23:57 607 win.ini
27.12.2005 23:57 607 win.tmp
27.12.2005 20:52 230.756 ntbtlog.txt
27.12.2005 20:28 188.596 setupact.log
27.12.2005 19:22 35.840 tool1.exe
27.12.2005 19:22 0 uniq
18.12.2005 23:39 190.089 DirectX.log
16.12.2005 21:30 21.434 wmsetup.log
16.12.2005 21:30 316.640 WMSysPr9.prx
15.12.2005 19:03 0 nsreg.dat
15.12.2005 19:03 107.132 UninstallFirefox.exe
15.12.2005 16:14 1.393 imsins.log
15.12.2005 16:14 106.206 tsoc.log
15.12.2005 16:14 50.018 ntdtcsetup.log
15.12.2005 16:14 277.960 iis6.log
15.12.2005 16:14 11.889 tabletoc.log
15.12.2005 16:14 85.309 comsetup.log
15.12.2005 16:14 45.321 KB899587.log


31.10.2000 12:00 307.200 vidcap32.Exe
131 Datei(en) 9.488.636 Bytes
0 Verzeichnis(se), 2.129.764.352 Bytes frei
________________________________________________________________

Datentr„ger in Laufwerk E: ist Windows
Volumeseriennummer: 884C-6096

Verzeichnis von E:\WINDOWS\system32

04.01.2006 18:03 234.234 guard.tmp
04.01.2006 02:05 234.234 mvl8l93u1.dll
03.01.2006 15:14 234.659 s2pu0c79ef.dll
03.01.2006 08:54 234.234 f0l0la3m1d.dll
03.01.2006 08:48 234.234 plrfproc.dll
02.01.2006 15:55 41.280 Status.MPF
30.12.2005 02:24 234.729 fpjm0311e.dll
29.12.2005 00:54 234.729 wgdmlog.dll
27.12.2005 20:53 234.729 mlimg32.dll
27.12.2005 20:53 236.125 o6rolg9316.dll
27.12.2005 19:22 65 svcp.csv
27.12.2005 19:22 4 winsub.xml
26.12.2005 02:43 43.520 CmdLineExt03.dll
23.12.2005 11:34 97.456 FNTCACHE.DAT
22.12.2005 15:46 2.206 wpa.dbl
19.12.2005 01:51 380.350 perfh009.dat
19.12.2005 01:51 52.764 perfc009.dat
19.12.2005 01:51 63.580 perfc007.dat
19.12.2005 01:51 391.000 perfh007.dat
19.12.2005 01:51 786.220 PerfStringBackup.INI
14.12.2005 21:34 22 ati64hlp.stb
14.12.2005 21:29 4.212 zllictbl.dat
14.12.2005 20:43 25.065 wmpscheme.xml
14.12.2005 20:40 261 $winnt$.inf
14.12.2005 20:38 2.951 CONFIG.NT
14.12.2005 20:38 16.832 amcompat.tlb
14.12.2005 20:38 23.392 nscompat.tlb
14.12.2005 20:37 488 WindowsLogon.manifest
14.12.2005 20:37 488 logonui.exe.manifest
14.12.2005 20:37 749 wuaucpl.cpl.manifest
14.12.2005 20:37 749 cdplayer.exe.manifest
14.12.2005 20:37 749 nwc.cpl.manifest
14.12.2005 20:37 749 sapi.cpl.manifest
14.12.2005 20:37 749 ncpa.cpl.manifest
14.12.2005 20:35 21.740 emptyregdb.dat
14.12.2005 20:33 0 h323log.txt
08.12.2005 16:25 2.723.680 MRT.exe
07.12.2005 18:05 716.800 divxdec.ax
07.12.2005 18:05 573.952 DivX.dll
07.12.2005 18:05 679.936 divx_xx07.dll
07.12.2005 18:05 679.936 divx_xx0c.dll
07.12.2005 18:05 663.552 divx_xx11.dll
05.12.2005 21:51 10.716 dsm_ja.qm
05.12.2005 21:51 15.331 dsm_de.qm
05.12.2005 21:51 15.172 dsm_fr.qm
05.12.2005 18:09 2.323.664 d3dx9_28.dll
05.12.2005 18:07 61.136 xinput9_1_0.dll
05.12.2005 18:07 63.696 dxdllreg.exe
23.11.2005 07:56 307.200 atiiiexx.dll
23.11.2005 07:12 258.048 ATIDEMGR.dll
23.11.2005 06:20 6.684.672 atioglx1.dll
23.11.2005 05:08 4.960.256 atioglxx.dll
23.11.2005 05:00 4.276 divxsm.tlb
23.11.2005 05:00 778.240 DivXsm.exe
23.11.2005 04:51 252.928 ati2dvag.dll
23.11.2005 04:45 110.592 atipdlxx.dll
23.11.2005 04:45 77.824 Oemdspif.dll
23.11.2005 04:45 26.112 Ati2mdxx.exe
23.11.2005 04:45 40.960 ati2edxx.dll
23.11.2005 04:45 47.104 ati2evxx.dll
23.11.2005 04:43 393.216 ati2evxx.exe
23.11.2005 04:43 53.248 ATIDDC.DLL
23.11.2005 04:35 2.517.536 ati3duag.dll
23.11.2005 04:28 1.090.144 ativvaxx.dll
23.11.2005 04:14 151.552 atikvmag.dll
23.11.2005 03:49 17.408 atitvo32.dll
23.11.2005 03:43 237.568 ati2cqag.dll
22.11.2005 21:05 520.192 ati2sgag.exe
22.11.2005 17:39 2.700.288 MSHTML.DLL
16.11.2005 22:12 6.024 atifglpf.xml
15.11.2005 16:26 112.794 atiicdxx.dat
02.11.2005 00:44 127.574 tsuninst.exe
27.10.2005 20:37 53.248 dpuGUI10.dll
27.10.2005 20:37 86.016 dpl100.dll
27.10.2005 20:37 593.920 dpuGUI11.dll
27.10.2005 20:37 200.704 dtu100.dll
27.10.2005 20:37 339.968 dpus11.dll
27.10.2005 20:37 57.344 dpv11.dll
27.10.2005 20:37 294.912 dpu10.dll
27.10.2005 20:37 294.912 dpu11.dll
27.10.2005 20:07 229.888 srrstr.dll
21.10.2005 16:49 582.144 WININET.DLL
21.10.2005 16:49 496.640 MSTIME.DLL
21.10.2005 16:49 461.312 URLMON.DLL
21.10.2005 15:36 1.339.392 SHDOCVW.DLL
21.10.2005 12:49 192.512 DXTRANS.DLL
20.10.2005 23:33 1.003.008 esent.dll
20.10.2005 19:08 988.160 DANIM.DLL
20.10.2005 15:37 40.960 SDelete.dll
20.10.2005 15:37 24.924 openports.dll
13.10.2005 00:11 15.584 spmsg.dll
06.10.2005 04:20 260.608 gdi32.dll
06.10.2005 04:14 1.799.680 win32k.sys
28.09.2005 19:50 1.044.480 libdivx.dll
28.09.2005 19:50 200.704 ssldivx.dll
27.09.2005 01:41 611.840 xpsp2res.dll
23.09.2005 04:27 8.389.632 shell32.dll
10.09.2005 03:04 2.025.984 cdosys.dll
01.09.2005 02:51 278.528 winsrv.dll
01.09.2005 02:51 16.384 linkinfo.dll
31.08.2005 17:51 409.600 shlwapi.dll
30.08.2005 09:26 1.233.408 quartz.dll
29.08.2005 19:09 100.096 vsxml.dll
23.08.2005 04:51 112.128 umpnpmgr.dll
22.08.2005 19:36 154.624 netman.dll
12.08.2005 22:57 3.596.288 qt-dx331.dll
11.08.2005 16:21 57.856 nwwks.dll
09.08.2005 23:13 245.408 unicows.dll
09.08.2005 23:12 8.523 dpude.qm
09.08.2005 23:12 3.136 dtu_de.qm
09.08.2005 23:12 356.436 DivXMedia.ax
05.08.2005 18:23 234.496 msieftp.dll
29.07.2005 11:51 569.368 olelib.tlb
29.07.2005 11:51 212.240 RICHTX32.OCX
29.07.2005 11:51 22.212 olelib2.tlb
26.07.2005 05:36 97.280 txflog.dll
26.07.2005 05:36 11.776 xolehlp.dll

#4 Ineptus

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als list.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.--> die list.bat doppelt klicken--> kopiere den Text, der erscheint


cd\
dir "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders" >> files.txt
notepad files.txt




**
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Soll ich die roten Einträge mit ner Killbox löschen?

huch - ja - das war´s was ich noch vergessen hatte


Datentr„ger in Laufwerk E: ist Windows
Volumeseriennummer: 884C-6096

Verzeichnis von E:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders

30.12.2005 19:06 <DIR> .
30.12.2005 19:06 <DIR> ..
19.05.2001 08:57 561.209 MSONSEXT.DLL
19.03.1999 22:46 127.032 MSOWS407.DLL
04.06.1999 15:09 122.937 MSOWS409.DLL
3 Datei(en) 811.178 Bytes
2 Verzeichnis(se), 1.847.906.304 Bytes frei
Datentr„ger in Laufwerk E: ist Windows
Volumeseriennummer: 884C-6096

Verzeichnis von E:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders

30.12.2005 19:06 <DIR> .
30.12.2005 19:06 <DIR> ..
19.05.2001 08:57 561.209 MSONSEXT.DLL
19.03.1999 22:46 127.032 MSOWS407.DLL
04.06.1999 15:09 122.937 MSOWS409.DLL
3 Datei(en) 811.178 Bytes
2 Verzeichnis(se), 1.601.970.176 Bytes frei

#6 Ineptus

Download Registry Search by Bobbi Flekman
http://www.bleepingcomputer.com/files/regsearch.php
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

VCClient

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.

-----------------------------------------------------------------------

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked"

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

F2 - REG:system.ini: Shell=explorer.exe "E:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe"
O4 - HKCU\..\Run: [Shell] "E:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe"
O4 - HKCU\..\Run: [aupd] E:\WINDOWS\System32\sywsvcs.exe
O4 - HKCU\..\Run: [CU1] E:\Programme\Common Files\VCClient\VCClient.exe
O4 - HKCU\..\Run: [CU2] E:\Programme\Common Files\VCClient\VCMain.exe
O4 - HKCU\..\Run: [uzoz] E:\PROGRA~1\GEMEIN~1\uzoz\uzozm.exe
O20 - Winlogon Notify: ShellServiceObjectDelayLoad - E:\WINDOWS\system32\hr2405fqe.dll

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot / Process all in List )--> anhaken
reinkopieren:
...
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

E:\WINDOWS\system.tmp
E:\WINDOWS\win.tmp
E:\WINDOWS\ntbtlog.txt
E:\WINDOWS\setupact.log
E:\WINDOWS\tool1.exe
E:\WINDOWS\uniq

E:\Program Files\Common Files\VCClient\VCClient.exe
E:\Program Files\Common Files\VCClient\VCMail.exe
E:\Program Files\Common Files\VCClient\VCMain.exe

E:\Programme\Gemeinsame Dateien\uzoz

E:\WINDOWS\system32\guard.tmp
E:\WINDOWS\system32\mvl8l93u1.dll
E:\WINDOWS\system32\hr2405fqe.dll
E:\WINDOWS\system32\s2pu0c79ef.dll
E:\WINDOWS\system32\f0l0la3m1d.dll
E:\WINDOWS\system32\plrfproc.dll
E:\WINDOWS\system32\fpjm0311e.dll
E:\WINDOWS\system32\wgdmlog.dll
E:\WINDOWS\system32\mlimg32.dll
E:\WINDOWS\system32\o6rolg9316.dll
E:\WINDOWS\system32\vcp.csv
E:\WINDOWS\system32\winsub.xml

E:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe
E:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.dll
E:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00002.dll
E:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\tmp.tmp

E:\WINDOWS\System32\sywsvcs.exe
E:\WINDOWS\system32\tsuninst.exe


PC neustarten

loesche:
E:\Program Files\Common Files\VCClient
E:\Programme\Gemeinsame Dateien\uzoz

L2MRemover.zip - Look2Me Remover
http://www.simplytech.it/L2MRemover/index_de.htm

Entpacke das Programm mit einem Ziptool
in den neu zu erstellenden Ordner C:\Programme\Look2meRemover.

1. Klicke auf die L2MRemover.exe, um das Programm zu starten.
2. Klicke auf "About" "Check for updates..." im Menu des Programms und aktualisiere das Programm.
3. Drücke auf den "Scan" Button und lasse dein gesamtes System, Speicher und Registry scannen.

(Wenn es eine bekannte Variante der Malware findet, wird es sie ermitteln und sie unbrauchbar machen, indem es den ST-Code während des Scannens in die Malware injiziert. Dann wird es die Registry Schlüssel auflisten, die die Malware bei jedem Systemstart neu laden.)

4. Betätige den "Delete Keys" Button, um die Registry von den Schlüsseln zu bereinigen, die dafür sorgen, dass die Malware sich mit jedem Neustart wieder neu auflädt.

(Wenn dir das Entfernen der Registerschlüssel zu riskant ist, kannst du ein Häkchen setzen bei "Save before delete", damit ein Backuo-File *.reg gespeichert werden kann, für den Fall, dass du die gelöschten Schlüssel neu erstellen möchtest.)

Hinweis: Der "Look2me Remover" entfernt nur die Variationen der Look2Me Malware, die seit November 2005 im Umlauf sind.

5. Speichere das Logfile des Removers.

----------------------------------------------------------------------

L2mfix
http://virus-protect.org/l2mfix.html
--> wende Option 2 an, der PC wird neustarten, warte, bis der scan beendet ist, dann poste hier den scanreport
__________
MfG Sabina

rund um die PC-Sicherheit

#7 L2mfix Beta 122705
Creating Account.
Der Befehl wurde erfolgreich ausgef�hrt.

Adding Administrative privleges.
Checking for L2MFix account(0=no 1=yes):
1
Granting SeDebugPrivilege to L2MFIX ... successful

Running From:
E:\WINDOWS\system32

Killing Processes!

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 448 'smss.exe'

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 540 'winlogon.exe'
Killing PID 540 'winlogon.exe'

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 1464 'explorer.exe'
Killing PID 1464 'explorer.exe'

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 3404 'rundll32.exe'
Restoring Sedebugprivilege:
Granting SeDebugPrivilege to Administratoren ... successful

Scanning First Pass. Please Wait!

First Pass Completed

Second Pass Scanning

Second pass Completed!
moving: E:\WINDOWS\system32\dfound.dll
Successfully Moved: E:\WINDOWS\system32\dfound.dll
moving: E:\WINDOWS\system32\gp22l3fo1.dll
Successfully Moved: E:\WINDOWS\system32\gp22l3fo1.dll
moving: E:\WINDOWS\system32\hrr8059ue.dll
Successfully Moved: E:\WINDOWS\system32\hrr8059ue.dll
moving: E:\WINDOWS\system32\i060lajm1doa.dll
Successfully Moved: E:\WINDOWS\system32\i060lajm1doa.dll
moving: E:\WINDOWS\system32\syredir.dll
Successfully Moved: E:\WINDOWS\system32\syredir.dll
moving: E:\WINDOWS\system32\guard.tmp
Successfully Moved: E:\WINDOWS\system32\guard.tmp




Restoring Windows Update Certificates.:

The following Is the Current Export of the Winlogon notify key:
****************************************************************************
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,\
6c,00,00,00
"Logoff"="ChainWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Logoff"="CryptnetWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]
"DLLName"="cscdll.dll"
"Logon"="WinlogonLogonEvent"
"Logoff"="WinlogonLogoffEvent"
"ScreenSaver"="WinlogonScreenSaverEvent"
"Startup"="WinlogonStartupEvent"
"Shutdown"="WinlogonShutdownEvent"
"StartShell"="WinlogonStartShellEvent"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\DateTime]
"Asynchronous"=dword:00000000
"DllName"="E:\\WINDOWS\\system32\\i060lajm1doa.dll"
"Impersonate"=dword:00000000
"Logon"="WinLogon"
"Logoff"="WinLogoff"
"Shutdown"="WinShutdown"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]
"DLLName"="wlnotify.dll"
"Logon"="SCardStartCertProp"
"Logoff"="SCardStopCertProp"
"Lock"="SCardSuspendCertProp"
"Unlock"="SCardResumeCertProp"
"Enabled"=dword:00000001
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"StartShell"="SchedStartShell"
"Logoff"="SchedEventLogOff"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]
"Logoff"="WLEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
"DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]
"DLLName"="WlNotify.dll"
"Lock"="SensLockEvent"
"Logon"="SensLogonEvent"
"Logoff"="SensLogoffEvent"
"Safe"=dword:00000001
"MaxWait"=dword:00000258
"StartScreenSaver"="SensStartScreenSaverEvent"
"StopScreenSaver"="SensStopScreenSaverEvent"
"Startup"="SensStartupEvent"
"Shutdown"="SensShutdownEvent"
"StartShell"="SensStartShellEvent"
"PostShell"="SensPostShellEvent"
"Disconnect"="SensDisconnectEvent"
"Reconnect"="SensReconnectEvent"
"Unlock"="SensUnlockEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"Logoff"="TSEventLogoff"
"Logon"="TSEventLogon"
"PostShell"="TSEventPostShell"
"Shutdown"="TSEventShutdown"
"StartShell"="TSEventStartShell"
"Startup"="TSEventStartup"
"MaxWait"=dword:00000258
"Reconnect"="TSEventReconnect"
"Disconnect"="TSEventDisconnect"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]
"DLLName"="wlnotify.dll"
"Logon"="RegisterTicketExpiredNotificationEvent"
"Logoff"="UnregisterTicketExpiredNotificationEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001


The following are the files found:
****************************************************************************
E:\WINDOWS\system32\dfound.dll
E:\WINDOWS\system32\gp22l3fo1.dll
E:\WINDOWS\system32\hrr8059ue.dll
E:\WINDOWS\system32\i060lajm1doa.dll
E:\WINDOWS\system32\syredir.dll
E:\WINDOWS\system32\guard.tmp

Registry Entries that were Deleted:
Please verify that the listing looks ok.
If there was something deleted wrongly there are backups in the backreg folder.
****************************************************************************
Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{A5EF6A52-EE63-49F2-985C-5779AAA4D431}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{A5EF6A52-EE63-49F2-985C-5779AAA4D431}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{A5EF6A52-EE63-49F2-985C-5779AAA4D431}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{A5EF6A52-EE63-49F2-985C-5779AAA4D431}\InprocServer32]
@="E:\\WINDOWS\\system32\\dfound.dll"
"ThreadingModel"="Apartment"

REGEDIT4

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{42A2FCEE-BFAF-4BB2-8A43-83DB9F94F58B}"=-
"{A5EF6A52-EE63-49F2-985C-5779AAA4D431}"=-
[-HKEY_CLASSES_ROOT\CLSID\{42A2FCEE-BFAF-4BB2-8A43-83DB9F94F58B}]
[-HKEY_CLASSES_ROOT\CLSID\{A5EF6A52-EE63-49F2-985C-5779AAA4D431}]
REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
"SV1"=""
****************************************************************************
Desktop.ini Contents:
****************************************************************************

****************************************************************************
Checking for L2MFix account(0=no 1=yes):
0
Zipping up files for submission:
adding: dlls/dfound.dll (148 bytes security) (deflated 5%)
adding: dlls/gp22l3fo1.dll (148 bytes security) (deflated 5%)
adding: dlls/guard.tmp (148 bytes security) (deflated 5%)
adding: dlls/hrr8059ue.dll (148 bytes security) (deflated 5%)
adding: dlls/i060lajm1doa.dll (148 bytes security) (deflated 5%)
adding: dlls/syredir.dll (148 bytes security) (deflated 5%)
adding: backregs/A5EF6A52-EE63-49F2-985C-5779AAA4D431.reg (212 bytes security) (deflated 70%)
adding: backregs/notibac.reg (164 bytes security) (deflated 72%)
adding: backregs/shell.reg (164 bytes security) (deflated 73%)

__________________________________________________________________
__________________________________________________________________


Sieht so aus als währen die Popups weg!

!! Sabina for President !!

Hab leider kein Paypalkonto *sry*
Bin dir aber sehr dankbar - nur, dass du´s weißt

#8 Ineptus

Download Registry Search by Bobbi Flekman
http://www.bleepingcomputer.com/files/regsearch.php
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

VCClient

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.

__________
MfG Sabina

rund um die PC-Sicherheit

#9 Danke, dass du mich dran erinnerst *gg*


REGEDIT4

; Registry Search by Bobbi Flekman
; Version: 1.0.2.1

; Results at 05.01.2006 18:36:50 for strings:
; 'vcclient'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CU1]
"item"="VCClient"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CU1]
"command"="E:\\Programme\\Common Files\\VCClient\\VCClient.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CU2]
"command"="E:\\Programme\\Common Files\\VCClient\\VCMain.exe"

[HKEY_USERS\S-1-5-21-73586283-362288127-839522115-1003\Software\Neuber GbR\Security Task Manager\Cache]
"E:\\Programme\\Common Files\\VCClient\\VCMain.exe"="2080"

[HKEY_USERS\S-1-5-21-73586283-362288127-839522115-1003\Software\Neuber GbR\Security Task Manager\Cache]
"E:\\Programme\\Common Files\\VCClient\\VCClient.exe"="2080"

; End Of The Log...



"E:\\Programme\\Common Files\VCClient\\" ist jetzt tot ..
Hab´s vorher nicht gefunden weil mein Explorer keine "Program Files" fand und die Dateien angeblich da drin sein sollten *an kopf klatsch*

*wink*

#10 Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CU1]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CU2]

Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken


loesche: (falls es noch vorhanden ist)
E:\Programme\Common Files\VCClient

scanne mit panda und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#11 -------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Monday, January 09, 2006 03:42:19
Operating System: Microsoft Windows XP Professional, Service Pack 1 (Build 2600)
Kaspersky On-line Scanner version: 5.0.67.0
Kaspersky Anti-Virus database last update: 9/01/2006
Kaspersky Anti-Virus database records: 159654
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
A:\
C:\
D:\
E:\
F:\
G:\

Scan Statistics:
Total number of scanned objects: 46799
Number of viruses found: 0
Number of infected objects: 0
Number of suspicious objects: 0
Duration of the scan process: 1579 sec
No malware has been detected. The sections that have been scanned are CLEAN.

Scan process completed.


__________________

Dachte den hätte ich schon gepostet *awaken* ..
Ich dank dir für alles *knuuuutsch* :P