Look2Me, Newton Knows usw. ich werde sie nicht los

#0
31.01.2004, 12:04
...neu hier

Beiträge: 2
#1 Hallo,

allmählich bin ich am verzweifeln.
Vor knapp 1 Woche habe ich meinen PC gescannt und diverse Trojaner darauf entdeckt.
Nun bin ich nicht gerade ein PC-Profi und es hat mich einige TAGE, viele Nerven und Kaffee gekostet, fast alles zu beseitigen (Dialer + zig Trojaner).
Ich habe mich im Forum umgesehen und inzwischen Spybot, Ad-aware und Hijackthis kennengelernt.

Nun hänge ich absolut fest und es trennt mich wirklich nicht mehr viel von einem kompletten FormatC....

Über Spybot Search&Destroy:
InternetExplorer bereits blockiert, immunisiert, Host-Liste geladen, so daß unsichere Seiten auch gesperrt sind.
Findet immer noch und lässt sich darüber auch NICHT bereinigen:
Look2Me -und- VX2/h.ABetterInternet
Über Ad-aware:
VX2.BetterInternet
Newton Knows
Virtumundo!
Die restlichen variieren. Natürlich kommt alles in Quarantäne aber der : d:\windows\system32\inetadpt.dll von NewtonKnows lässt sich nicht über Ad-aware in Quarantäne geben. Und auch das VX2 erscheint immer wieder.

Ich hab’s auch schon über die Regedit probiert (Explorer dabei über Task-Manager ausgeschaltet).
Um Look2Me und VX2 zu beseitigen habe ich mal gegoogelt und dabei gelesen, daß ich auch die msg (...).dll´s in der Windows/System32 löschen muss. Klappt auch nicht bei allen, weil diese teilweise den Zugriff verweigern.

Ausserdem startet der PC wieder automatisch hoch, wenn ich ihn runter gefahren habe. Womit das zusammenhängt, hab ich noch nicht heraus gefunden. Und mich verfolgt ein Pop-Up Fenster vom Smiley-Central Download.

Ich werde diese Viecher absolut nicht los!! Ich setze nun meine ganze Hoffnung auf Euch und hoffe, daß Ihr mir weiter helfen könnt (*verweifel*). Wie gesagt, ich bin kein Computerprofi, deswegen eventuelle Erklärungen bitte in möglichst einfachen Worten *g*.

Anbei noch mein aktueller Hijackthis-Log (ich nutze übrigens DSL über einen Router):

Logfile of HijackThis v1.97.7
Scan saved at 11:46:24, on 31.01.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\System32\nvsvc32.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\System32\CTHELPER.EXE
D:\Programme\Microsoft Hardware\Mouse\point32.exe
D:\Programme\ahead\InCD\InCD.exe
D:\WINDOWS\System32\ctfmon.exe
D:\Programme\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
D:\Programme\Microsoft Office\Office\WINWORD.EXE
D:\Dokumente und Einstellungen\Nicole\Eigene Dateien\Dialer\HiJackThis\HijackThis.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [NeroCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] D:\Programme\ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [MessengerPlus2] "D:\Programme\Messenger Plus! 2\MsgPlus.exe"
O4 - HKLM\..\Run: [EILOSYCFI] D:\WINDOWS\EILOSYCFI.exe
O4 - HKLM\..\Run: [VDKQX] D:\WINDOWS\VDKQX.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TKYQEWY] D:\WINDOWS\TKYQEWY.exe
O4 - HKLM\..\Run: [Trojancheck 6 Guard] D:\Programme\Trojancheck 6\tcguard.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "D:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Pinnacle Scheduler.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\EMAIL\INCRED~1\bin\resources\WebMenuImg.htm
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {14F65762-96FB-44B9-8DAC-93845F377A0E} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/de/filesharingctrl.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.142/code/PWActiveXImgCtl.CAB
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/virusinfo/webscan.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bul-online.de/scan/Msie/bitdefender.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-32.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab
Seitenanfang Seitenende
31.01.2004, 13:36
Member

Beiträge: 1095
#2 Der muss gefixt werden
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.142/code/PWActiveXImgCtl.CAB
Link dazu
http://www.computercops.biz/modules.php?name=Forums&file=viewtopic&p=55934

Diese 3 auch mal Fixen
O4 - HKLM\..\Run: [EILOSYCFI] D:\WINDOWS\EILOSYCFI.exe
O4 - HKLM\..\Run: [VDKQX] D:\WINDOWS\VDKQX.exe
O4 - HKLM\..\Run: [TKYQEWY] D:\WINDOWS\TKYQEWY.exe
Ich finde absolut keine Infos darüber, das deutet auf zufällig erstellte Dateinamen hin. Diese sind meistens Trojan oder Spyware.

Jetzt neustart

Der Messenger soll Spyware enthalten
den kannst du wahrscheinlich über Systemsteuerung Software deinstallieren.
Mach dich aber nochmal schlau . Bei Google gibt s'ne Menge Einträge
O4 - HKLM\..\Run: [MessengerPlus2] "D:\Programme\Messenger Plus! 2\MsgPlus.exe"

Dann nochmal posten

Gruß Paff

P.S.
Ausserdem solltest du dein windows updaten.
www.windowsupdate.com ;)
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Dieser Beitrag wurde am 31.01.2004 um 14:01 Uhr von paff editiert.
Seitenanfang Seitenende
31.01.2004, 15:47
...neu hier

Beiträge: 4
#3 Mal ne Frage von einem Laien...woher wisst ihr immer was gelöscht werden muss?Habt ihr alles im Kopf oder habt ihr ein Programm dafür der euch sagt,was was ist...ich finde es immer wieder erstaunlich,das nach dem fixen meist alles wieder funzt..toll,das ihr leuten helft die kein Plan haben
Seitenanfang Seitenende
03.02.2004, 17:19
...neu hier

Themenstarter

Beiträge: 2
#4 Hallo, da bin ich wieder...

@ Paff: vielen Dank für die schnelle Rückantwort! Ich hatte sie am selben Tag noch gelesen und gleich an meinem PC herumgewerkelt. Hat auch soweit alles gut geklappt.

Nur... dann bin ich übermütig geworden. Ich hab anschließend noch probiert, ob ich die dll-Datei von NewtonKnows rausbekomme. "Leider" hat´s auch geklappt. In Papierkorb damit und den sogleich entleert. Seitdem ist die Internetverbindung futsch ;) .
Zu spät hab ich gelesen, daß NewtonK sich in den System-Treiber gesetzt hat. Und obwohl meine Lan-Verbindung und alles noch stand, konnte ich meinem InternetExplorer nicht mehr begreiflich machen, daß er diese nutzen soll. Reparieren, neue Verbindung erstellen ... gescheitert. Und ohne Internet natürlich auch keine Infos, die ich nachlesen kann.
FormatC der Systemfestplatte hat mich bis jetzt auch noch nicht weiter gebracht, denn der PC läuft immer noch nicht. Aber ich denke, mit noch etwas mehr Kaffe und gutem Zureden, bekomme ich das in den Griff.

@Andreas 2004: Ja, das ist mir meist auch ein Rätsel - aber klasse!!! Und vor allem konnte ich schon vor meinem Post eine Menge Infos aus diesem Forum gebrauchen ;) .

Zumindest bin ich jetzt um eine Erfahrung reicher (nicht mehr so voreilig zu sein).

Viele Grüße,
nici2004
Seitenanfang Seitenende
03.02.2004, 19:23
Member
Avatar Dafra

Beiträge: 1122
#5 @Andreas 2004
Also ich schau mir an, was mir komisch vorkommt, also Einträge, die ich nicht hab. Dann such ich nach Google nach dem Namen und finde Infos dazu. Und dann spielt auch noch en bissel Übung mit.

@Nici2004
schau mal was ich hier gefunden hab:
http://www.spywareguide.com/spydet_513_newtonknows.html
MFG
DAFRA
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: