Home » Spyware & Browser Hijacker Support Forum » seltsame popups stören beim spielen und arbeiten, sogar in abwesenheit! » Themenansicht

seltsame popups stören beim spielen und arbeiten, sogar in abwesenheit!
#0
08.03.2006, 16:36
m-o-t-U
Member

Beiträge: 11
#16 Alles getan, was der meister verlangt (hoffe ich) ;)

##############################################################
L2mfix 010406
Creating Account.
Der Befehl wurde erfolgreich ausgefhrt.

Adding Administrative privleges.
Checking for L2MFix account(0=no 1=yes):
1
Granting SeDebugPrivilege to L2MFIX ... successful

Running From:
C:\WINDOWS\system32

Killing Processes!

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 636 'smss.exe'

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 984 'winlogon.exe'
Killing PID 984 'winlogon.exe'
Killing PID 984 'winlogon.exe'

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 1632 'explorer.exe'
Killing PID 1632 'explorer.exe'

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Error, Cannot find a process with an image name of rundll32.exe
Restoring Sedebugprivilege:
Granting SeDebugPrivilege to Administratoren ... successful

Scanning First Pass. Please Wait!

First Pass Completed

Second Pass Scanning

Second pass Completed!



Restoring Windows Update Certificates.:

The following Is the Current Export of the Winlogon notify key:
****************************************************************************
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,\
6c,00,00,00
"Logoff"="ChainWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Logoff"="CryptnetWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]
"DLLName"="cscdll.dll"
"Logon"="WinlogonLogonEvent"
"Logoff"="WinlogonLogoffEvent"
"ScreenSaver"="WinlogonScreenSaverEvent"
"Startup"="WinlogonStartupEvent"
"Shutdown"="WinlogonShutdownEvent"
"StartShell"="WinlogonStartShellEvent"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Dynamic Directory]
"Asynchronous"=dword:00000000
"DllName"="C:\\WINDOWS\\system32\\r26u0cj9efo.dll"
"Impersonate"=dword:00000000
"Logon"="WinLogon"
"Logoff"="WinLogoff"
"Shutdown"="WinShutdown"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]
"DLLName"="wlnotify.dll"
"Logon"="SCardStartCertProp"
"Logoff"="SCardStopCertProp"
"Lock"="SCardSuspendCertProp"
"Unlock"="SCardResumeCertProp"
"Enabled"=dword:00000001
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"StartShell"="SchedStartShell"
"Logoff"="SchedEventLogOff"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]
"Logoff"="WLEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
"DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]
"DLLName"="WlNotify.dll"
"Lock"="SensLockEvent"
"Logon"="SensLogonEvent"
"Logoff"="SensLogoffEvent"
"Safe"=dword:00000001
"MaxWait"=dword:00000258
"StartScreenSaver"="SensStartScreenSaverEvent"
"StopScreenSaver"="SensStopScreenSaverEvent"
"Startup"="SensStartupEvent"
"Shutdown"="SensShutdownEvent"
"StartShell"="SensStartShellEvent"
"PostShell"="SensPostShellEvent"
"Disconnect"="SensDisconnectEvent"
"Reconnect"="SensReconnectEvent"
"Unlock"="SensUnlockEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"Logoff"="TSEventLogoff"
"Logon"="TSEventLogon"
"PostShell"="TSEventPostShell"
"Shutdown"="TSEventShutdown"
"StartShell"="TSEventStartShell"
"Startup"="TSEventStartup"
"MaxWait"=dword:00000258
"Reconnect"="TSEventReconnect"
"Disconnect"="TSEventDisconnect"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]
"DLLName"="wlnotify.dll"
"Logon"="RegisterTicketExpiredNotificationEvent"
"Logoff"="UnregisterTicketExpiredNotificationEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Zboard]
"DllName"="Winlognotif.dll"
"Impersonate"=dword:00000000
"Logoff"="WLEventLogoff"


The following are the files found:
****************************************************************************

Registry Entries that were Deleted:
Please verify that the listing looks ok.
If there was something deleted wrongly there are backups in the backreg folder.
****************************************************************************
REGEDIT4

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
****************************************************************************
Desktop.ini Contents:
****************************************************************************
****************************************************************************
Checking for L2MFix account(0=no 1=yes):
0
Zipping up files for submission:
zip warning: name not matched: dlls\*.*

zip error: Nothing to do! (backup.zip)
adding: backregs/92E97EFA-F6AC-405D-8ADE-1347543DFEE0.reg (212 bytes security) (deflated 70%)
adding: backregs/notibac.reg (140 bytes security) (deflated 87%)
Seitenanfang Seitenende
08.03.2006, 17:54
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#17

Zitat

Alles getan, was der meister verlangt (hoffe ich)
Die Meisterin ,bitte ;)

Hoster.zip
http://www.funkytoad.com/download/hoster.zip
Press 'Restore Original Hosts' and press 'OK' Exit Program.

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.03.2006, 19:55
m-o-t-U
Member

Beiträge: 11
#18 Große meisterin natürlich ;) sorry...

soooo hier die auswertung, ich hoffe es ist so genehm=

TEXT 1
################

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: DC25-8F53

Verzeichnis von C:\WINDOWS\system32

08.03.2006 16:33 13.646 wpa.dbl
08.03.2006 15:45 0 lo2.txtt
01.03.2006 20:00 16 RgsdData.dat
18.02.2006 20:22 29.204 nvapps.xml
16.02.2006 14:14 391.330 perfh007.dat
16.02.2006 14:14 52.900 perfc009.dat
16.02.2006 14:14 380.486 perfh009.dat
16.02.2006 14:14 63.778 perfc007.dat
16.02.2006 14:14 897.954 PerfStringBackup.INI
18.01.2006 13:05 57.344 avsda.dll
12.01.2006 17:12 16 DataRnvx.dat
01.01.2006 19:31 176.167 rmoc3260.dll
01.01.2006 19:31 5.632 pndx5032.dll
01.01.2006 19:31 6.656 pndx5016.dll
01.01.2006 19:31 278.528 pncrt.dll

#########

TEXT 2

#########

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: DC25-8F53

Verzeichnis von C:\DOKUME~1\MARKUS~1\LOKALE~1\Temp

#########

TEXT 3

#########

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: DC25-8F53

Verzeichnis von C:\WINDOWS

08.03.2006 16:34 0 0.log
08.03.2006 16:33 159 wiadebug.log
08.03.2006 16:33 50 wiaservc.log
08.03.2006 16:33 2.048 bootstat.dat
08.03.2006 15:30 32.634 SchedLgU.Txt
05.03.2006 15:21 131.905 wmsetup.log
05.03.2006 14:43 2.260.245 setupapi.log
03.03.2006 07:40 446.737 DirectX.log
02.03.2006 22:40 551 win.ini
01.03.2006 20:00 16 odbctrp.ini
22.02.2006 21:34 107.134 UninstallFirefox.exe
22.02.2006 21:34 5.045 mozver.dat
22.02.2006 17:17 42.736 icont.exe
17.02.2006 14:27 0 winsysupd91.dat
16.02.2006 21:51 32 wininit.ini
16.02.2006 21:50 54.097 iis6.log
16.02.2006 21:50 18.404 comsetup.log
16.02.2006 21:50 9.710 ntdtcsetup.log
16.02.2006 21:50 1.917 imsins.log
16.02.2006 21:50 14.783 tsoc.log
16.02.2006 21:50 1.668 tabletoc.log
16.02.2006 21:50 4.069 netfxocm.log
16.02.2006 21:50 1.347 msgsocm.log
16.02.2006 21:50 21.583 ocgen.log
16.02.2006 21:50 1.404 ocmsn.log
16.02.2006 21:50 18.327 FaxSetup.log
16.02.2006 21:49 11.762 msmqinst.log
16.02.2006 21:13 43 drsmartload2.dat
16.02.2006 21:12 0 gimmygames91.dat
16.02.2006 21:12 36.864 gimmygames9.exe
16.02.2006 21:12 90.112 winsysban9.exe
16.02.2006 21:11 40.960 winsysupd9.exe
12.02.2006 22:13 0 mngui.INI
05.02.2006 14:56 30 Iedit.INI
02.02.2006 18:45 23.560 Codec Pack - All In 1 Setup Log.txt
02.02.2006 18:44 737.280 iun6002.exe
28.01.2006 17:28 316.640 WMSysPr9.prx
12.01.2006 17:12 16 backodbc.ini
01.01.2006 19:32 25 cdplayer.ini

#########

TEXT 4

#########

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: DC25-8F53

Verzeichnis von C:\

08.03.2006 19:54 0 sys.txt
08.03.2006 19:54 8.970 system.txt
08.03.2006 19:53 136 systemtemp.txt
08.03.2006 19:52 113.720 system32.txt
08.03.2006 16:33 1.073.270.784 hiberfil.sys
08.03.2006 16:30 1.610.612.736 pagefile.sys
02.02.2006 19:39 8.454 avi_log.txt




####################################

habe bisher kein einziges pop-up mehr bekommen...

;)
Seitenanfang Seitenende
08.03.2006, 23:01
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#19 o.k. Meisterin schaerft den Virenblick und hofft, alle zu erwischen ;)

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: .....

C:\WINDOWS\system32\o2.txtt
C:\WINDOWS\icont.exe
C:\WINDOWS\winsysupd91.dat
C:\WINDOWS\drsmartload2.dat
C:\WINDOWS\gimmygames91.dat
C:\WINDOWS\gimmygames9.exe
C:\WINDOWS\winsysban9.exe
C:\WINDOWS\winsysupd9.exe
C:\WINDOWS\iun6002.exe

PC neustarten

nach dem Neustart suche: C:\!KillBox
und loesche alle dort befindlichen Dateien manuell

scanne mit spysweeper (trial) und poste den scanreport
http://virus-protect.org/spysweeper.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.03.2006, 15:35
m-o-t-U
Member

Beiträge: 11
#20 in arbeit... "KillBox" schritt bereits abgeschlossen

Spysweeper scannt...
Seitenanfang Seitenende
09.03.2006, 15:40
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#21 wenn der scan zu ende ist, buegel noch mal mit kaspersky drueber und poste den scanreport (deaktiviere aber vorher die Systemwiederherstellung)
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.03.2006, 18:56
m-o-t-U
Member

Beiträge: 11
#22 sooo hier der text, sorry, hat ein wenig länger gedauert...

###############################

********
15:34: | Start of Session, Donnerstag, 9. März 2006 |
15:34: Spy Sweeper started
15:34: Sweep initiated using definitions version 629
15:34: Starting Memory Sweep
15:38: Memory Sweep Complete, Elapsed Time: 00:03:30
15:38: Starting Registry Sweep
15:38: Found Adware: whenu savenow
15:38: HKCR\wusn.1\ (1 subtraces) (ID = 140463)
15:38: Found Adware: icannnews
15:38: HKLM\software\microsoft\windows nt\currentversion\winlogon\notify\dynamic directory\ (6 subtraces) (ID = 359346)
15:38: HKCR\wusn.1\ (1 subtraces) (ID = 635412)
15:38: HKLM\software\classes\wusn.1\ (1 subtraces) (ID = 635554)
15:38: Found Adware: dollarrevenue
15:38: HKLM\software\microsoft\drsmartload2\ (1 subtraces) (ID = 1134137)
15:38: Found Adware: findthewebsiteyouneed hijack
15:38: HKU\S-1-5-21-1390067357-1177238915-839522115-1003\software\microsoft\internet explorer\search\searchassistant explorer\main\ || default_search_url (ID = 555437)
15:38: Registry Sweep Complete, Elapsed Time:00:00:27
15:38: Starting Cookie Sweep
15:38: Found Spy Cookie: atwola cookie
15:38: markus schumacher@atwola[1].txt (ID = 2255)
15:38: Cookie Sweep Complete, Elapsed Time: 00:00:01
15:38: Starting File Sweep
15:38: Warning: Failed to open file "c:\dokumente und einstellungen\localservice\anwendungsdaten\webroot\spy sweeper\temp\sscse95b86ff-1654-4adc-a994-3b28c03b0cea.tmp". Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird
15:38: Warning: Failed to open file "c:\dokumente und einstellungen\localservice\anwendungsdaten\webroot\spy sweeper\temp\sscsa64108ca-ccb5-41ee-af5c-fcfaf783d0a1.tmp". Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird
15:39: Warning: Failed to open file "c:\dokumente und einstellungen\localservice\anwendungsdaten\webroot\spy sweeper\temp\sscs3527398d-34bd-4fdd-aa73-e7f008fa5a75.tmp". Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird
15:40: Warning: Failed to open file "c:\dokumente und einstellungen\localservice\anwendungsdaten\webroot\spy sweeper\temp\sscs8ba3c373-0c11-4436-9162-947c87cc5a9d.tmp". Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird

15:57: Warning: Failed to open file "c:\dokumente und einstellungen\all users\anwendungsdaten\microsoft\network\downloader\qmgr1.dat". Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird
15:59: Warning: Failed to open file "c:\dokumente und einstellungen\localservice\anwendungsdaten\webroot\spy sweeper\temp\sscs678d970c-c675-4fb9-ba4b-5f7856a0f9fb.tmp". Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird
15:59: Warning: Failed to open file "c:\dokumente und einstellungen\localservice\anwendungsdaten\webroot\spy sweeper\temp\sscs8179ea90-c655-47dd-b51e-a47eb6777452.tmp". Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird
16:00: Warning: Failed to open file "c:\incomplete\". Das System kann den angegebenen Pfad nicht finden
16:00: Warning: Failed to open file "c:\dokumente und einstellungen\localservice\anwendungsdaten\webroot\spy sweeper\temp\sscs57df0ca7-f3bf-46c5-bd2b-fc9faec11b8a.tmp". Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird
18:54: File Sweep Complete, Elapsed Time: 03:16:09
18:54: Full Sweep has completed. Elapsed time 00:37:16
18:54: Traces Found: 17
18:55: Removal process initiated
18:55: Quarantining All Traces: icannnews
18:55: Quarantining All Traces: dollarrevenue
18:55: Quarantining All Traces: findthewebsiteyouneed hijack
18:55: Quarantining All Traces: atwola cookie
18:55: Quarantining All Traces: whenu savenow
18:55: Removal process completed. Elapsed time 00:00:03
********
15:33: | Start of Session, Donnerstag, 9. März 2006 |
15:33: Spy Sweeper started
15:33: Messenger service has been disabled.
15:34: Your spyware definitions have been updated.
15:34: | End of Session, Donnerstag, 9. März 2006 |
Seitenanfang Seitenende
10.03.2006, 01:51
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#23

Zitat

Sabina postete
wenn der scan zu ende ist, buegel noch mal mit kaspersky drueber und poste den scanreport (deaktiviere aber vorher die Systemwiederherstellung)
http://virus-protect.org/onlinescan.html

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.03.2006, 14:00
m-o-t-U
Member

Beiträge: 11
#24 der online-scanner geht bei mir nicht..
Seitenanfang Seitenende
10.03.2006, 15:19
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#25 dann versuch es mit Panda oder irgendeinem, der in der Tabelle ist.

Und aktiviere ActiveX im IE
Internet - Explorer -- Menü Extras -- Internetoptionen -- Sicherheit
ActiveX-Steuerelemente ausführen, die für Scripting sicher sind:
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.03.2006, 00:25
m-o-t-U
Member

Beiträge: 11
#26 hab alles aktiviert, was geht... ;)

das fenster geht auf, und nach ca. 4 sekunden schliesst es sich.. egal welchen scanner ich nehme

:-(
Seitenanfang Seitenende
11.03.2006, 00:33
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#27 o.k. dann musst du eben noch einen anderen scanner laden.
deinstalliere spysweeper und lade ewido (scanne im abgesicherten Modus)
und poste dann den scanreport
http://virus-protect.org/ewido.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 12