Look2Me - kriege diese Plage einfach nicht vom PC !

Thema ist geschlossen!
Thema ist geschlossen!
#0
12.02.2006, 15:29
...neu hier

Beiträge: 2
#1 Hallo,

ich habe mir einen Look2Me-Trojaner eingefangen und bekomme diesen einfach nicht mehr weg.
Lösungsvoschläge aus den diversen Foren habe ich befolgt, jedoch ohne Erfolg.

Wenn ich meinen Rechner starte bleibt er stehen, sobald er den Prozessor angezeigt wird. Die Hardwarekomponenten werden erst nach eine Stillstand von etwas 2 Minuten gelistet.

Nachdem das Windows-Logo erscheint bleibt der Bildschirm ca. weitere 90 Sekunden dunkel.
Erst danach kann ich das Benutzerkonto (wir führen 2) anklicken und das Weitere lädt sich im normalen Zeitrahmen.

Nachfolgend meine diversen Versuche und Einstellungen:
Systemwiederherstellung deaktivert
Absicherter Modus: Spyware Doctor mit vollständier Suche hat nichts gefunden
Beim Start vonSpywaer StartupShile wird jedoch NvCplDameon angezeigt - Registry on StartupFolder: HKLM:RUN


Protokolle von diversen genutzten Programmen:

Aktuell mit CleanUP:
C:\WINDOWS\Prefetch\XPTUNER2004.EXE-33AE74E9.pf - deleted
WordPad Recent File List - removed from the registry.
Telnet's MRU list - removed from the registry.
WinZip Extract MRU list - removed from the registry.
WinZip File MRU list - removed from the registry.
CleanUp! 4.0 recovered 969.1 KB of disk space from 26 files.
CleanUp! finished on 02/12/06 14:57:25.

Simons Tools Task-ManagerPro
Prozesse:
csrss - Priorität Hoch (13)
winlogon.exe - Hoch (13)
smss.exe - Höher als normal (11) = c:\windows\system32 Process ID 692

Autostart:
NvCplDameon
Befehlszeile RUNDLL32.EXE c:\windows\system32\nvcpl.dll,nvstartup

Hier das Hijacker-Protokoll:

Logfile of HijackThis v1.99.1
Scan saved at 15:14:55, on 12.02.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\ewido anti-malware\ewidoctrl.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Spyware Doctor\sdhelp.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
E:\HiJacker\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://news.google.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.gmx.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = localhost:4001
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - F:\ICQToolbar\toolbaru.dll (file missing)
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - F:\ICQToolbar\toolbaru.dll (file missing)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &ICQ Toolbar Search - res://F:\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Add to WebSite-Watcher - C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\aignes\WebSite-Watcher\config\settings\wswie.htm
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.1_01\bin\npjpi141_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.1_01\bin\npjpi141_01.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programme\Spyware Doctor\sdhelp.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Nchfolgend Protokoole mit datFind.bat estellt:

Datentr„ger in Laufwerk C: ist Programme
Volumeseriennummer: 981A-E781

Verzeichnis von C:\WINDOWS\system32

12.02.2006 15:05 35.875 vsconfig.xml
12.02.2006 15:02 2.869.353 kspydoc.log
12.02.2006 15:02 0 Sweeper.cfg
10.02.2006 19:36 43.573 nvapps.xml
10.02.2006 19:04 56 direct.txt
10.02.2006 19:02 222 lo2.txt
10.02.2006 19:02 10 flag.txt
28.01.2006 12:37 380.350 perfh009.dat
28.01.2006 12:37 52.764 perfc009.dat
28.01.2006 12:37 391.000 perfh007.dat
28.01.2006 12:37 63.580 perfc007.dat
28.01.2006 12:37 872.024 PerfStringBackup.INI
28.01.2006 12:31 2.206 wpa.dbl
25.01.2006 11:06 492.544 WRLogonNtf.dll
25.01.2006 11:06 8.192 ssiefr.EXE
25.01.2006 11:05 17.920 wrlzma.dll
12.01.2006 11:32 543.496 LegitCheckControl.DLL
05.01.2006 04:41 2.836.320 MRT.exe
02.01.2006 19:05 34 oeminfo.ini
29.12.2005 03:54 280.064 gdi32.dll
18.12.2005 14:35 1.820 ModemLog_ISDN RAS (PPP over ISDN).txt
18.12.2005 14:35 1.808 ModemLog_ISDN Custom Config.txt
18.12.2005 14:35 1.798 ModemLog_ISDN FAX (G3).txt
18.12.2005 14:35 1.830 ModemLog_ISDN Internet (PPP over ISDN).txt
10.12.2005 04:16 180.224 NVUNINST.EXE
10.12.2005 03:06 1.339.392 nvdspsch.exe
10.12.2005 03:06 573.440 nvhwvid.dll
10.12.2005 03:06 1.466.368 nview.dll
10.12.2005 03:06 229.376 nvmccs.dll
10.12.2005 03:06 45.056 nvmccsrs.dll
10.12.2005 03:06 86.016 nvmctray.dll
10.12.2005 03:06 286.720 nvnt4cpl.dll
10.12.2005 03:06 16.356 nvdisp.nvu
10.12.2005 03:06 5.402.624 nvoglnt.dll
10.12.2005 03:06 319.488 nvrsar.dll
10.12.2005 03:06 241.664 nvrscs.dll
10.12.2005 03:06 245.760 nvrsda.dll
10.12.2005 03:06 7.311.360 nvcpl.dll
10.12.2005 03:06 274.432 nvrsel.dll
10.12.2005 03:06 241.664 nvrseng.dll
10.12.2005 03:06 274.432 nvrses.dll
10.12.2005 03:06 266.240 nvrsesm.dll
10.12.2005 03:06 241.664 nvrsfi.dll
10.12.2005 03:06 147.456 nvcolor.exe
10.12.2005 03:06 35.840 nvcodins.dll
10.12.2005 03:06 278.528 nvrsfr.dll
10.12.2005 03:06 319.488 nvrshe.dll
10.12.2005 03:06 253.952 nvrshu.dll
10.12.2005 03:06 274.432 nvrsit.dll
10.12.2005 03:06 258.048 nvrsja.dll
10.12.2005 03:06 253.952 nvrsko.dll
10.12.2005 03:06 294.912 nvwrsda.dll
10.12.2005 03:06 266.240 nvrsnl.dll
10.12.2005 03:06 249.856 nvrsno.dll
10.12.2005 03:06 249.856 nvrspl.dll
10.12.2005 03:06 266.240 nvrspt.dll
10.12.2005 03:06 262.144 nvrsptb.dll
10.12.2005 03:06 262.144 nvrsru.dll
10.12.2005 03:06 249.856 nvrssk.dll
10.12.2005 03:06 249.856 nvrssl.dll
10.12.2005 03:06 245.760 nvrssv.dll
10.12.2005 03:06 249.856 nvrstr.dll
10.12.2005 03:06 217.088 nvrszhc.dll
10.12.2005 03:06 118.784 nvrszht.dll
10.12.2005 03:06 311.296 nvwrsde.dll
10.12.2005 03:06 131.139 nvsvc32.exe
10.12.2005 03:06 73.728 nvtuicpl.cpl
10.12.2005 03:06 180.224 nvudisp.exe
10.12.2005 03:06 35.840 nvcod.dll
10.12.2005 03:06 442.368 nvappbar.exe
10.12.2005 03:06 110.592 nvapi.dll
10.12.2005 03:06 3.955.456 nv4_disp.dll
10.12.2005 03:06 425.984 keystone.exe
10.12.2005 03:06 270.336 nvrsde.dll
10.12.2005 03:06 81.920 nvwddi.dll
10.12.2005 03:06 1.662.976 nvwdmcpl.dll
10.12.2005 03:06 1.019.904 nvwimg.dll
10.12.2005 03:06 282.624 nvwrsar.dll
10.12.2005 03:06 466.944 nvshell.dll
10.12.2005 03:06 1.519.616 nwiz.exe
10.12.2005 03:06 167.936 nvwrszht.dll
10.12.2005 03:06 163.840 nvwrszhc.dll
10.12.2005 03:06 303.104 nvwrstr.dll
10.12.2005 03:06 294.912 nvwrssv.dll
10.12.2005 03:06 303.104 nvwrssl.dll
10.12.2005 03:06 299.008 nvwrssk.dll
10.12.2005 03:06 315.392 nvwrsru.dll
10.12.2005 03:06 319.488 nvwrsptb.dll
10.12.2005 03:06 323.584 nvwrspt.dll
10.12.2005 03:06 294.912 nvwrspl.dll
10.12.2005 03:06 299.008 nvwrsno.dll
10.12.2005 03:06 319.488 nvwrsnl.dll
10.12.2005 03:06 196.608 nvwrsko.dll
10.12.2005 03:06 212.992 nvwrsja.dll
10.12.2005 03:06 323.584 nvwrsit.dll
10.12.2005 03:06 315.392 nvwrshu.dll
10.12.2005 03:06 278.528 nvwrshe.dll
10.12.2005 03:06 327.680 nvwrsfr.dll
10.12.2005 03:06 303.104 nvwrsfi.dll
10.12.2005 03:06 327.680 nvwrsesm.dll
10.12.2005 03:06 335.872 nvwrses.dll
10.12.2005 03:06 286.720 nvwrseng.dll
10.12.2005 03:06 335.872 nvwrsel.dll
10.12.2005 03:06 286.720 nvwrscs.dll
01.12.2005 04:31 1.492.480 shdocvw.dll
27.11.2005 12:33 4.212 zllictbl.dat
24.11.2005 00:58 3.013.632 mshtml.dll
24.11.2005 00:58 1.022.464 browseui.dll
15.11.2005 00:51 71.440 zlcommdb.dll
15.11.2005 00:51 79.624 zlcomm.dll
15.11.2005 00:51 100.104 vsxml.dll
15.11.2005 00:51 382.728 vsutil.dll
15.11.2005 00:51 71.440 vsregexp.dll
15.11.2005 00:50 227.088 vspubapi.dll
15.11.2005 00:50 104.208 vsmonapi.dll
15.11.2005 00:50 141.064 vsinit.dll
15.11.2005 00:50 372.816 vsdatant.sys
15.11.2005 00:50 83.720 vsdata.dll
15.11.2005 00:34 54.960 vsutil_loc0407.dll
10.11.2005 12:22 189.000 FNTCACHE.DAT
05.11.2005 04:16 606.208 urlmon.dll
05.11.2005 04:16 1.056.256 danim.dll

Datentr„ger in Laufwerk C: ist Programme
Volumeseriennummer: 981A-E781

Verzeichnis von C:\DOKUME~1\Besitzer\LOKALE~1\Temp

09.02.2006 18:58 104 DFC5A2B2.TMP
1 Datei(en) 104 Bytes
0 Verzeichnis(se), 25.512.046.592 Bytes frei



Datentr„ger in Laufwerk C: ist Programme
Volumeseriennummer: 981A-E781

Verzeichnis von C:\WINDOWS

12.02.2006 15:05 0 0.log
12.02.2006 15:05 1.550.352 WindowsUpdate.log
12.02.2006 15:04 50 wiaservc.log
12.02.2006 15:04 157 wiadebug.log
12.02.2006 15:03 2.048 bootstat.dat
12.02.2006 14:58 32.622 SchedLgU.Txt
11.02.2006 20:08 95.485 setupapi.log
11.02.2006 12:31 189.956 ntbtlog.txt
10.02.2006 11:43 754 WORDPAD.INI
05.02.2006 14:24 5.987 Spy Sweeper 4.0.x FIX Setup Log.txt
05.02.2006 14:23 1.558 win.ini
28.01.2006 13:42 1.454 COM+.log
27.01.2006 21:49 227 system.ini
25.01.2006 19:45 54.156 QTFont.qfn
25.01.2006 19:39 1.409 QTFont.for
25.01.2006 11:06 478.720 WRUninstall.dll
21.01.2006 15:19 392 pugnax.ini
14.01.2006 16:51 67 StationRipper.INI
11.01.2006 11:22 1.374 imsins.log
11.01.2006 11:22 115.808 comsetup.log
11.01.2006 11:22 130.035 tsoc.log
11.01.2006 11:22 18.569 ocmsn.log
11.01.2006 11:22 10.093 KB908519.log
11.01.2006 11:22 16.924 msgsocm.log
11.01.2006 11:22 177.892 ocgen.log
11.01.2006 11:22 316.899 FaxSetup.log
05.01.2006 22:30 10.996 KB912919.log
05.01.2006 22:30 20.772 updspapi.log
18.12.2005 14:46 202 NeroDigital.ini
18.12.2005 14:35 4.212 ModemLog_Creatix V.9X DSP Data Fax Modem.txt
17.12.2005 19:37 9.918 KB910437.log
17.12.2005 19:37 15.878 KB905915.log
12.12.2005 15:18 0 PKTOPASS.INI
12.12.2005 14:04 82 PKVIEW.INI
12.12.2005 14:03 0 PKScan.INI
12.12.2005 14:03 79 maxlink.ini
30.11.2005 19:36 107.132 UninstallFirefox.exe
30.11.2005 19:36 8.392 mozver.dat
30.11.2005 18:17 1.125 winamp.ini
10.11.2005 11:33 11.798 KB896424.log
04.11.2005 10:32 121 GEARInstall.log

Datentr„ger in Laufwerk C: ist Programme
Volumeseriennummer: 981A-E781

Verzeichnis von C:\

12.02.2006 15:22 0 sys.txt
12.02.2006 15:22 12.353 system.txt
12.02.2006 15:21 292 systemtemp.txt
12.02.2006 15:18 108.884 system32.txt
12.02.2006 15:02 817.889.280 pagefile.sys
11.02.2006 20:08 2.153 ps_system_Zeit.txt
27.01.2006 21:49 211 boot.ini
19.01.2006 22:49 8.704 ToPassSrv.Dat
31.10.2005 16:56 700.416 StubInstaller.exe

Normaler nutzen wir Firefox fürs Internet. Betriebssystem ist WindowsXP.

Bitte um Hilfe um diese Nervtöter (möglichs ohne formatieren) endlich vom Rechner zu bekommen. Vielen Dank im voraus.

Klaus
Seitenanfang Seitenende
13.02.2006, 12:11
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 loesche:
C:\StubInstaller.exe

Hoster.zip
http://www.funkytoad.com/download/hoster.zip
Press 'Restore Original Hosts' and press 'OK' Exit Program.

L2mfix (arbeite Option 2 ab)
http://virus-protect.org/l2mfix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.02.2006, 22:21
...neu hier

Themenstarter

Beiträge: 2
#3 Hallo Sabina,

so wie es scheint, hat es funktioniert. Mit ewido habe ich nochmals einen Scan laufen lassen - ausser (harmlose) Cookies hat er nichts mehr gefunden.

Der lange Bootvorgang rührt wohl daher, dass das System den integrierten Kartenleser nicht mehr findet. Das ist aber ein anderes Problem an dem ich jetzt noch arbeite.

Viel wichtiger ist es mir, dass der Look2me-Trojaner endlich "von der Platte geputzt" wurde.

Vielen, vielen Dank!
Klaus
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: