a-d-a-w-a-r-e

26.08.2005, 19:16

Hallo,

ich bin leider kein PC-Freak, sondern ein normaler Anwender und hatte mir was trojanermäßiges eingefangen. Laut Spybot und Ad-Aware ist mein System sauber. Mit Hijackthis habe ich noch drei registry-Einträge zu fremden Webseiten beseitigt. (Einträge von slotchbar.com, skoobidoo.com und windupdates.com als trusted sites)

Sygate Firewall blockt aber weiterhin den Aufruf zu www. a-d-w-a-r-e.com
am laufenden Band. Irgendwas auf meinem PC versucht, diese Seite anzuwählen, die dann wohl andere Seiten aufruft.

Dazu werden Meldungen angezeigt, wonach der Zugriff auf mein Netz blockiert wird, der aber immer wieder von anderswo versucht wird: winlogon.exe, rundll.32.exe, tdsladap.sys - ist das normal, oder sind die verseucht ?

Was ist am System noch böse und wie zu beseitigen ? Wäre nett, wenn jemand helfen könnte.:

Logfile of HijackThis v1.99.1
Scan saved at 18:58:41, on 26.08.2005
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
D:\Programme\Sygate\SPF\smc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\rundll32.exe
C:\WINNT\Explorer.EXE
C:\Programme\Java\j2re1.4.2_07\bin\jusched.exe
C:\Programme\RMClient\PMClient.exe
D:\Programme\RapidKey\RapidKey.exe
C:\Programme\TeDaPro\TeDaPro.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\Programme\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.scfreiburg.com/handler/aktuell/news
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://search.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 192.168.1.1:8080
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [JobHisInit] C:\Programme\RMClient\JobHisInit.exe
O4 - HKLM\..\Run: [MplSetUp] C:\Programme\RMClient\MplSetUp.exe
O4 - HKLM\..\Run: [Tweak UI 1.33 deutsch] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_07\bin\jusched.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINNT\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [SmcService] D:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - Startup: rapidkey.lnk = D:\Programme\RapidKey\RapidKey.exe
O4 - Startup: TeDaPro.exe.lnk = C:\Programme\TeDaPro\TeDaPro.exe
O4 - Global Startup: SmartNetMonitor for Client.lnk = C:\Programme\RMClient\PMClient.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O10 - Broken Internet access because of LSP provider 'c:\winnt\system32\aklsp.dll' missing
O16 - DPF: {0585238B-9CA6-4CCB-A9B2-FE4BA495E880} (AXWebMon Control) - https://www.smilecam.com/home/ezwebcam/e ... nProj1.cab
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:\foo.mht!https://82.179.166.145/x24.chm::/trs24.exe
O16 - DPF: {2685A3D0-1459-45EE-8426-5B8CF98899A8} - https://www.metacrawler1.de/metabar/metabar.cab
O16 - DPF: {51EA44E6-C8C3-4E30-8F3D-D8EE71A44DCB} (Upload Control) - https://img.web.de/v/filesharing/activex/upload.cab
O16 - DPF: {814EA0DA-E0D9-4AA4-833C-A1A6D38E79E9} (DASWebDownload Class) - https://das.microsoft.com/activate/cab/x ... DASAct.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{76E28440-5888-4470-970F-A936D2334CC5}: NameServer = 192.168.1.1
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - D:\Haufe\HaufeReader\HRInstmon.dll
O20 - Winlogon Notify: CSCSettings - C:\WINNT\system32\kt04l7dq1.dll
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - D:\Programme\Sygate\SPF\smc.exe

Mit Dank im voraus
stiro

26.08.2005, 19:22

Nach dem traffic-Protokoll von Sygate wird definitiv von den drei genanten Windowsdateien aus versucht, a-d-w-a-r-e aufzumachen.

27.08.2005, 09:21

Hallöchen,

also folgende Einträge deines Logfile solltest du überprüfen und ggf. fixen:

Unbekannt:

O4 - Startup: rapidkey.lnk = D:\Programme\RapidKey\RapidKey.exe
O4 - Startup: TeDaPro.exe.lnk = C:\Programme\TeDaPro\TeDaPro.exe
O4 - Global Startup: SmartNetMonitor for Client.lnk = C:\Programme\RMClient\PMClient.exe
O16 - DPF: {0585238B-9CA6-4CCB-A9B2-FE4BA495E880} (AXWebMon Control) - https://www.smilecam.com/home/ezwebcam/e ... nProj1.cab
O16 - DPF: {2685A3D0-1459-45EE-8426-5B8CF98899A8} - https://www.metacrawler1.de/metabar/metabar.cab
O20 - Winlogon Notify: CSCSettings - C:\WINNT\system32\kt04l7dq1.dll

Unnötig:

O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE}

Böse:

O10 - Broken Internet access because of LSP provider 'c:\winnt\system32\aklsp.dll' missing
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:\foo.mht!https://82.179.166.145/x24.chm::/trs24.exe

Der O10 Eintrag kann aber nicht mit HijackThis gefixt werden, sondern dafür benötigst du das tool LSPfix von Cexx.org

27.08.2005, 20:34

#LSPfix.exe
https://www10.brinkster.com/expl0iter/fr ... L2M/ts.htm
<"I know what I'm doing">
bringe die c:\winnt\system32\aklsp.dll
von der echten auf die linke Seite und loesche.

29.08.2005, 16:50

Das Problem, daß der PC immer wieder versucht, auf https://www.a-d-w-a-r-e.com zuzugreifen, ist nicht weg. Holy Marcell, hast Du rechts und links verwechselt ? Habs erst so gemacht, wie Du schreibst, das Ding war noch da, dann aber rechts, also remove, belassen, weil das ja entfernen heißt. Nun sieht die Sache so aus:

Logfile of HijackThis v1.99.1
Scan saved at 16:47:25, on 29.08.2005
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
D:\Programme\Sygate\SPF\smc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\rundll32.exe
C:\WINNT\Explorer.EXE
C:\Programme\Java\j2re1.4.2_07\bin\jusched.exe
C:\Programme\RMClient\PMClient.exe
C:\Programme\TeDaPro\TeDaPro.exe
D:\Programme\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.scfreiburg.com/handler/aktuell/news
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://search.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 192.168.1.1:8080
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [JobHisInit] C:\Programme\RMClient\JobHisInit.exe
O4 - HKLM\..\Run: [MplSetUp] C:\Programme\RMClient\MplSetUp.exe
O4 - HKLM\..\Run: [Tweak UI 1.33 deutsch] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_07\bin\jusched.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINNT\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [SmcService] D:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - Startup: TeDaPro.exe.lnk = C:\Programme\TeDaPro\TeDaPro.exe
O4 - Global Startup: SmartNetMonitor for Client.lnk = C:\Programme\RMClient\PMClient.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O16 - DPF: {51EA44E6-C8C3-4E30-8F3D-D8EE71A44DCB} (Upload Control) - https://img.web.de/v/filesharing/activex/upload.cab
O16 - DPF: {814EA0DA-E0D9-4AA4-833C-A1A6D38E79E9} (DASWebDownload Class) - https://das.microsoft.com/activate/cab/x ... DASAct.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{76E28440-5888-4470-970F-A936D2334CC5}: NameServer = 192.168.1.1
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - D:\Haufe\HaufeReader\HRInstmon.dll
O20 - Winlogon Notify: Internet Settings - C:\WINNT\system32\g8220ifoe82c0.dll
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - D:\Programme\Sygate\SPF\smc.exe

Was winlogon bemerkt, ist wieder was anderes. Kann sich dieses Teil im Tode umbenennen ? Und was macht das O17 - HKLM\System\CCS\Services\Tcpip ?

29.08.2005, 16:54

Wiederum PS: tedapro ist ein harmloses tool, um vorgefertigte Texte einzufügen, rapidkey eigentlich auch, hab ich aber rausgeschmissen.
SmartNetMonitor gehört zu einer älteren Ansteuerung eines Ricoh-Druckers.

29.08.2005, 19:54

ich hab nun ein mwav-log besorgt, daß es einem schlecht werden kann:

das ist nur ein unvollständiger Auszug:
Mon Aug 29 18:44:51 2005 => File C:\WINNT\System32\NYMKCERT.DLL tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
Mon Aug 29 18:44:51 2005 => File C:\WINNT\System32\NZTEVENT.DLL tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
Mon Aug 29 18:44:53 2005 => File C:\WINNT\System32\oebc32gt.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
Mon Aug 29 18:44:53 2005 => File C:\WINNT\System32\ojbc32gt.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
Mon Aug 29 18:44:54 2005 => File C:\WINNT\System32\OLTEXT32.DLL tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
Mon Aug 29 18:44:54 2005 => File C:\WINNT\System32\OOFOX32.DLL tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
Mon Aug 29 18:44:54 2005 => File C:\WINNT\System32\OPBCP32r.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
Mon Aug 29 18:44:55 2005 => File C:\WINNT\System32\orbccr32.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
Mon Aug 29 18:44:55 2005 => File C:\WINNT\System32\OSTEXT32.DLL tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
Mon Aug 29 18:44:57 2005 => File C:\WINNT\System32\PMUTOENR.DLL tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
Mon Aug 29 18:45:00 2005 => File C:\WINNT\System32\PWWRPROF.DLL tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
Mon Aug 29 18:45:00 2005 => File C:\WINNT\System32\pxd.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
Mon Aug 29 18:45:00 2005 => File C:\WINNT\System32\q4nu0e59eh.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
Mon Aug 29 18:45:00 2005 => File C:\WINNT\System32\q8ps0i77e8.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
Mon Aug 29 18:45:03 2005 => File C:\WINNT\System32\ranv2fr.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
Mon Aug 29 18:45:05 2005 => File C:\WINNT\System32\rfnv2ihu.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
Mon Aug 29 18:45:05 2005 => File C:\WINNT\System32\Rhboex32.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
Mon Aug 29 18:45:05 2005 => File C:\WINNT\System32\rhnv2sv.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
Mon Aug 29 18:45:05 2005 => File C:\WINNT\System32\RHOCURS.DLL tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
Mon Aug 29 18:45:05 2005 => File C:\WINNT\System32\RISAUTO.DLL tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
Mon Aug 29 18:45:05 2005 => File C:\WINNT\System32\rlnvmon.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
Mon Aug 29 18:45:06 2005 => File C:\WINNT\System32\ROSMAN.DLL tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
Mon Aug 29 18:45:08 2005 => File C:\WINNT\System32\RQLMain.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
Mon Aug 29 18:45:10 2005 => File C:\WINNT\System32\RXCHED32.DLL tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
Mon Aug 29 18:45:11 2005 => File C:\WINNT\System32\SBGTAB.DLL tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
Mon Aug 29 18:45:12 2005 => File C:\WINNT\System32\SDMLIB.DLL tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
Mon Aug 29 18:45:14 2005 => File C:\WINNT\System32\SGLWID.DLL tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
Mon Aug 29 18:45:15 2005 => File C:\WINNT\System32\sKNB.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
Mon Aug 29 18:45:16 2005 => File C:\WINNT\System32\SPCURITY.DLL tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
Mon Aug 29 18:45:22 2005 => File C:\WINNT\System32\TCEMBED.DLL tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
Mon Aug 29 18:45:22 2005 => File C:\WINNT\System32\tcntsvrp.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
Mon Aug 29 18:45:23 2005 => File C:\WINNT\System32\TFPI32.DLL tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
Mon Aug 29 18:45:25 2005 => File C:\WINNT\System32\TVBCTDE.DLL tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
Mon Aug 29 18:45:25 2005 => File C:\WINNT\System32\TZPMIB.DLL tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
Mon Aug 29 18:45:25 2005 => File C:\WINNT\System32\UNAT.DLL tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
Mon Aug 29 18:45:26 2005 => File C:\WINNT\System32\UrzDll.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
Mon Aug 29 18:45:27 2005 => File C:\WINNT\System32\UTAT.DLL tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
Mon Aug 29 18:45:29 2005 => File C:\WINNT\System32\vuar332.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
Mon Aug 29 18:45:30 2005 => File C:\WINNT\System32\WE2_32.DLL tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
Mon Aug 29 18:45:31 2005 => File C:\WINNT\System32\WHSAPI32.DLL tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
Mon Aug 29 18:45:33 2005 => File C:\WINNT\System32\WMBVW.DLL tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
Mon Aug 29 18:45:36 2005 => File C:\WINNT\System32\WNVEMSP.DLL tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
Mon Aug 29 18:45:37 2005 => File C:\WINNT\System32\WUNNLS.DLL tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
Mon Aug 29 18:45:37 2005 => File C:\WINNT\System32\WVDAP32.DLL tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
Mon Aug 29 18:45:37 2005 => File C:\WINNT\System32\WX2HELP.DLL tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
Mon Aug 29 18:45:38 2005 => File C:\WINNT\System32\XGNROLL.DLL tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.

Es geht also erst mal um den Look2me.ab. Der vervielfältigt sich laufend und wurde leider von den bisher angewandten Sachen nicht erkannt.
Gibt es was, was den im Ganzen erschlagen kann ?

29.08.2005, 19:55

Und sind das Fantasienamen oder veränderte notwendige Systemdateien ?

29.08.2005, 20:35

Hallöchen,

also folgende Einträge solltest du mal überprüfen:

O4 - Startup: TeDaPro.exe.lnk = C:\Programme\TeDaPro\TeDaPro.exe
O4 - Global Startup: SmartNetMonitor for Client.lnk = C:\Programme\RMClient\PMClient.exe
O20 - Winlogon Notify: Internet Settings - C:\WINNT\system32\g8220ifoe82c0.dll

Sollten dir diese Einträge nicht bekannt vorkommen, dann unbedingt fixen. Vor dem Fixen solltest du unbedingt die Systemwiederherstellung deaktivieren.

30.08.2005, 10:41

wie schon gesagt sind tedapro (https://www.pics-software.de) und smartNetMonitor (Ricoh) absolut vertrauenswürdige Programme.

Der Eintrag unter 20 wechselt bei jedem Start und heißt heute
O20 - Winlogon Notify: Explorer - C:\WINNT\system32\lv8009lme.dll

Ich vermute mal, daß der Trojaner bei jedem Start gleich die Daten für den nächsten Start setzt. Ich würde gerne am Beispiel des heutigen und der oben aufgeführten dlls (es sind schon an die 200) wissen, ob diese veränderte Windowsdateien oder neue und nur dem Virus zugehörige sind, ob ich sie also einfach löschen kann.

aus dem ellenlangen mwav.log (eScan Antivirus - freier Teil) poste ich noch einige Einträge:

Mon Aug 29 18:38:59 2005 => ERROR!!! Invalid Entry {ABD7A42C-7782-41A9-9008-9FE121D21F62} = C:\WINNT\system32\guard.tmp (in key SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved). No Action Taken.
Mon Aug 29 18:38:59 2005 => ERROR!!! Invalid Entry {FA002FF8-4D66-46B5-8A84-25D7DB7D1DEA} = C:\WINNT\system32\guard.tmp (in key SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved). No Action Taken.
Mon Aug 29 18:38:59 2005 => ERROR!!! Invalid Entry {482E328A-86AE-4DB6-87B0-972089FF02ED} = C:\WINNT\system32\guard.tmp (in key SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved). No Action Taken.
Mon Aug 29 18:38:59 2005 => ERROR!!! Invalid Entry {ADDDFF49-3B45-4492-930F-83F7F7E47087} = C:\WINNT\system32\guard.tmp (in key SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved). No Action Taken.
Mon Aug 29 18:38:59 2005 => ERROR!!! Invalid Entry {6536E39F-8C5B-41E7-8735-CCC4DBB4FD3D} = C:\WINNT\system32\guard.tmp (in key SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved). No Action Taken.
Mon Aug 29 18:38:59 2005 => ERROR!!! Invalid Entry {E98970E5-4867-44C4-AC66-3EF59A6D347C} = C:\WINNT\system32\guard.tmp (in key SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved). No Action Taken.
Mon Aug 29 18:38:59 2005 => ERROR!!! Invalid Entry {5C5ED5AF-3C0D-4F23-9BC3-747B212FBD13} = C:\WINNT\system32\guard.tmp (in key SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved). No Action Taken.
Mon Aug 29 18:38:59 2005 => ERROR!!! Invalid Entry {B4D44CB7-EAE2-4B1F-BEB0-0F25E39F4E06} = C:\WINNT\system32\guard.tmp (in key SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved). No Action Taken.
Mon Aug 29 18:38:59 2005 => ERROR!!! Invalid Entry {6D176555-BF7A-49A7-A898-74DE50D7E6E0} = C:\WINNT\system32\guard.tmp (in key SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved). No Action Taken.
Mon Aug 29 18:38:59 2005 => ERROR!!! Invalid Entry {C1E2FAFF-543B-4B83-84AC-54AEBCAD5218} = C:\WINNT\system32\guard.tmp (in key SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved). No Action Taken.
Mon Aug 29 18:38:59 2005 => ERROR!!! Invalid Entry {6851132F-D53C-4B44-A118-824BA7759D20} = C:\WINNT\system32\guard.tmp (in key SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved). No Action Taken.
Mon Aug 29 18:38:59 2005 => ERROR!!! Invalid Entry {63063357-5EBF-4F83-9A49-3192264D739F} = C:\WINNT\system32\guard.tmp (in key SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved). No Action Taken.
Mon Aug 29 18:38:59 2005 => ERROR!!! Invalid Entry {7A82B473-DF1C-454E-8985-68E27D29A6D7} = C:\WINNT\system32\guard.tmp (in key SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved). No Action Taken.
Mon Aug 29 18:38:59 2005 => ERROR!!! Invalid Entry {E353CAB9-A275-4E7A-A508-A3BB14B74897} = C:\WINNT\system32\guard.tmp (in key SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved). No Action Taken.
Mon Aug 29 18:38:59 2005 => ERROR!!! Invalid Entry {BE519261-7237-44DE-AFA3-67D8A87F4F88} = C:\WINNT\system32\guard.tmp (in key SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved). No Action Taken.
Mon Aug 29 18:38:59 2005 => ERROR!!! Invalid Entry {22D3995F-27B4-4896-9961-A15FAB7FBDD1} = C:\WINNT\system32\guard.tmp (in key SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved). No Action Taken.
Mon Aug 29 18:38:59 2005 => ERROR!!! Invalid Entry {49B554C2-7C1F-4AE3-801E-2F2189B40B7F} = C:\WINNT\system32\guard.tmp (in key SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved). No Action Taken.
Mon Aug 29 18:38:59 2005 => ERROR!!! Invalid Entry {1FA5CEC0-FC5B-4032-B6D7-CD5BAA062B3A} = C:\WINNT\system32\guard.tmp (in key SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved). No Action Taken.
Mon Aug 29 18:38:59 2005 => ERROR!!! Invalid Entry {90719773-3E15-4CCE-BEE3-A53F6A7C4036} = C:\WINNT\system32\guard.tmp (in key SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved). No Action Taken.
Mon Aug 29 18:38:59 2005 => ERROR!!! Invalid Entry {A9898E23-3F2D-416E-BD67-1CF35ADF2191} = C:\WINNT\system32\guard.tmp (in key SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved). No Action Taken.
Mon Aug 29 18:38:59 2005 => ERROR!!! Invalid Entry {034E190B-4BFF-4D33-9BB8-057B9008282D} = C:\WINNT\system32\guard.tmp (in key SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved). No Action Taken.
Mon Aug 29 18:38:59 2005 => ERROR!!! Invalid Entry {C01E7614-3618-4A5D-9B37-A9EE5026AAD5} = C:\WINNT\system32\guard.tmp (in key SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved). No Action Taken.
Mon Aug 29 18:38:59 2005 => ERROR!!! Invalid Entry {D49B00F5-959E-4F21-9C2F-AD26C9D67F3D} = C:\WINNT\system32\guard.tmp (in key SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved). No Action Taken.

Mon Aug 29 18:38:59 2005 => ERROR!!! Invalid Entry {7A6AF3E4-90FF-4A93-AF23-6D242A75D6A8} = C:\WINNT\system32\guard.tmp (in key SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved). No Action Taken.
Mon Aug 29 18:38:59 2005 => ERROR!!! Invalid Entry {53CF6D4E-DE0E-4971-BBC4-8235715A74F0} = C:\WINNT\system32\guard.tmp (in key SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved). No Action Taken.
Mon Aug 29 18:38:59 2005 => ERROR!!! Invalid Entry {2BC52637-ED0D-447F-A2E1-E01109D93A90} = C:\WINNT\system32\guard.tmp (in key SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved). No Action Taken.
Mon Aug 29 18:38:59 2005 => ERROR!!! Invalid Entry {B58B32A7-BEA9-4AD8-93FB-8075F431B060} = C:\WINNT\system32\guard.tmp (in key SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved). No Action Taken.
Mon Aug 29 18:38:59 2005 => ERROR!!! Invalid Entry {D0D85210-1355-4415-BAFF-BF626DC6B197} = C:\WINNT\system32\guard.tmp (in key SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved). No Action Taken.
Mon Aug 29 18:38:59 2005 => ERROR!!! Invalid Entry {A7398E97-FC0C-4EBF-90C4-2BFAD61B0446} = C:\WINNT\system32\guard.tmp (in key SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved). No Action Taken.

Mon Aug 29 18:39:06 2005 => ERROR!!! Invalid Entry System32\DRIVERS\TDSLProt.sys in SYSTEM\CurrentControlSet\Services\TDSLProtocol...

Mon Aug 29 18:39:13 2005 => System found infected with TOFGER.AT spyware Spyware/Adware ({0F9561D0-03B2-44a3-89A6-E95E417CBA25})! Action taken: No Action Taken.
Mon Aug 29 18:39:14 2005 => System found infected with FastSearch Spyware/Adware ({85e517d1-1b6b-4662-af6e-4b9738091dcc})! Action taken: No Action Taken.

Mon Aug 29 18:40:01 2005 => Object "GoHip Spyware/Adware" found in File System! Action Taken: No Action Taken.

Mon Aug 29 18:42:28 2005 => System found infected with Conducent FlexPak Spyware/Adware (gpinstall.exe)! Action taken: No Action Taken.

Mon Aug 29 18:42:36 2005 => System found infected with TopConverting Spyware/Adware (loader2.ocx)! Action taken: No Action Taken.

Mon Aug 29 18:42:39 2005 => System found infected with TOFGER.AT spyware Spyware/Adware (cerbmod.dll)! Action taken: No Action Taken.

Mon Aug 29 18:42:46 2005 => System found infected with All-In-One Spy Spyware/Adware (log.dll)! Action taken: No Action Taken.

Danach meldet mwav eine lange Liste von registry-Einträgen "refers to invalid objects", zu mir unbekannten, oft auch zu wieder gelöschten Programmen. Sind das einfach verwaiste Einträge ? Mit was putz ich die Registry ?

Dann beim Scannen von WINNT:
Mon Aug 29 18:43:08 2005 => Datei C:\WINNT\cerbmod.dll infiziert von "Trojan.Win32.Dialer.bi" Virus. Aktion vorgenommen: No Action Taken.
Kann man das unbesehen killen ?

UND
Mon Aug 29 18:43:10 2005 => File C:\WINNT\icont.exe tagged as "not-a-virus:AdWare.AdURL.c". Action Taken: No Action Taken.

Dieses Teil sieht anders aus, als die massenhaften look2me Einträge und könnte die Mutter allen Übels sein. Auch hier: Ist das eine veränderte Windows-Systemdatei oder darf man es löschen ?

eScan Antivirus erkennt offensichtlich weit mehr als alles andere. Ist es ratsam, das zu kaufen und kann man damit den ganzen Spuk beseitigen ?

Mit Dank für die bisherige Mühe
Stiro

30.08.2005, 11:10

Hast du es schon mit den bekannten AntispywareTools probiert? Sehr viel Spyware lässt sich auch ganz normal über die Systemsteuerung - Software entfernen.

https://www.dirks-computerecke.de/downlo ... erheit.htm

Hole dir auch noch das Microsoft Tools:

https://www.microsoft.com/athome/ security/spyware/software/default.mspx

https://www.microsoft.com/downloads/deta ... b8eb148356

Hier gibt es noch eine Entferungsanleitung für die Adware look2me:

https://www.spyany.com/program/article_a ... ok2Me.html

Schöne Grüße
Nikki

30.08.2005, 18:45

cwshredder aktualisiert und mehrfach laufen lassen, danach war look2me erledigt. Das heißt, das Ding greift nicht mehr auf a-d-w-a-r-e zu. Die geschaffenen Einträge, die mwav findet, bestehen aber weiter. Weitere Tipps ?

31.08.2005, 07:34

Gehe hier nochmal alles durch:

https://securityresponse.symantec.com/av ... ok2me.html

Welches Antivirenprogramm hast du denn installiert? Panda, Kaspersky und Norton erkennen Look2me und vermutlich die anderen auch, wenn du die neuesten Virendefinitionen einsetzt. Antivirenhersteller reagieren im allgemeinen sehr schnell auf neue Viren.

Schöne Grüße
Nikki

08.09.2005, 19:58

Hallo nochmal,

zu der letzten Anfrage: ich hatte den Norton, nicht mal ganz aktuell, aber er hatte den look2me erkannt und doch nicht verhindert.

Da mir dazu keiner was sagen konnte: die weiteren eScan-Einträge des look2me waren alle zusätzlicher Dreck und keine veränderten Windows-Originale. Ich habe sie alle per Hand gelöscht. Weiter habe ich zwei Registry-cleaner laufen lassen, eScan meldete aber weitere Registry-Fehler.
eScan meldet auch Registry-Fehler als Folge von Spyware, die eindeutig keine Spyware sind, sondern verwaist. Ich habe diese alle gelöscht bis auf drei, die mein wichtigstes Anwenderprogramm gesetzt hat.

Nun meldet eScan nur noch folgendes, wobei ich bei den Fehlern noch ein paar zeilen davor und dahinter mitkopiere:

Thu Sep 08 19:10:26 2005 => Scanne Datei C:\WINNT\System32\DRIVERS\msgpc.sys
Thu Sep 08 19:10:26 2005 => Scanne Datei C:\WINNT\System32\DRIVERS\i8042prt.sys
Thu Sep 08 19:10:26 2005 => Scanne Datei C:\WINNT\system32\??????????????
Thu Sep 08 19:10:26 2005 => Result: ERROR!!! File C:\WINNT\system32\??????????????: Scanning Failure!!!
Thu Sep 08 19:10:26 2005 => ERROR!!! ScanFile Fails...
Thu Sep 08 19:10:26 2005 => Scanne Datei C:\WINNT\System32\DRIVERS\intelide.sys
Thu Sep 08 19:10:26 2005 => Scanne Datei C:\WINNT\System32\DRIVERS\ipfltdrv.sys
Thu Sep 08 19:10:29 2005 => Scanne Datei C:\WINNT\System32\DRIVERS\TDSLAdap.sys
Thu Sep 08 19:10:29 2005 => ERROR!!! Invalid Entry System32\DRIVERS\TDSLProt.sys in SYSTEM\CurrentControlSet\Services\TDSLProtocol...

Thu Sep 08 19:10:30 2005 => ***** Scanning Registry and File system for Adware/Spyware *****
Thu Sep 08 19:10:30 2005 => Loading Spyware Signatures from new External Database (Size: 134804).

Thu Sep 08 19:10:41 2005 => System found infected with TOFGER.AT spyware Spyware/Adware ({0F9561D0-03B2-44a3-89A6-E95E417CBA25})! Action taken: No Action Taken.
Thu Sep 08 19:10:42 2005 => System found infected with FastSearch Spyware/Adware ({85e517d1-1b6b-4662-af6e-4b9738091dcc})! Action taken: No Action Taken.

Thu Sep 08 19:14:03 2005 => Offending file found: C:\WINNT\DOWNLO~1
Thu Sep 08 19:14:03 2005 => System found infected with TopConverting Spyware/Adware (loader2.ocx)! Action taken: No Action Taken.

Bei den drivers existiert an der Stelle, an der die Fehlermeldung kommt, eine Datei, die eindeutig nicht zu der malware gehört.

Was beim TDSL-Protokoll stören könnte, kann ich nicht beurteilen.

Die drei Spyware-Meldungen geben mir Rätsel auf, weil ich nicht weiß, wo ich was kaputtmachen könnte. Wie krieg ich raus, welche Datei befallen ist ?

Zum Loader2.ocx sind die zugehörigen Registry-Einträge schon weg.
Rätselhaft ist aber, daß bei WINNT/Downloaded Program Files der Ordner sich leer zeigt, bei Kontrolle über "Eigenschaften" aber 7 Dateien in zwei Ordnern behauptet, die ich nicht sehen kann, obgleich ich bei Arbeitsplatz/Ordnereigenschaften vorgebe, daß auch versteckte Dateien gezeigt werden.

Wer blickt da tiefer durch ?

09.09.2005, 15:34

den loader2.ocx habe ich nun auch endgültig weg. Den downloaded program files - Ordner habe ich gekillt mit allem unsichtbaren Inhalt, er läßt sich ja neu wiederherstellen, und schon hatte ich verwaiste registry Einträge auf den loader ! Also war´s das insoweit. Danach und nach dem Löschen der entsprechenden registry-Einträge war er auch im eScan-log weg.
Nachahmung auf eigene Gefahr.

Aber kann denn wirklich keiner sagen, wie ich rauskriege, welche Dateien die anderen beiden beinhalten ?

09.09.2005, 17:59

Dank Eurer sehr präzisen Information ;-) hab ich jetzt für mich das Ergebnis erreicht, vielleicht spart ein anderer sich jetzt überflüssige Sucherei:

Tofger.at und FastSearch waren schon entfernt, wahrscheinlich durch Spybot. eScan findet aber danach noch registry-Einträge und meldet daher die malware.

Es scheinen registry-Einträge zu sein, die nicht auf die schon gelöschten dll´s etc verweisen - dann würden sie von eScan als verwaist erkannt und gemeldet - sondern die ins Netz oder sonstwohin zeigen.

Welche das zu Fastsearch sind, hab ich nicht gefunden. eScan meldet daher noch FastSearch. Es handelt sich aber um eine Suchmaschine, die nicht mehr da ist und die ich nicht verwende, Gefährlichkeit minimal, sie sammelt halt Surfverhalten a la Alexa.

Zu Tofger.at, einem amerikanischen Späher, der Bankverbindungsdaten ausliest, verweist die hilfreiche Seite
https://www.besuch-von-nebenan.de/up-to- ... iv-140.htm
(bißle unübersichtlich)
auf die Schutzsoftwareseite von McAfee, dort
https://vil.nai.com/vil/content/v_133750.htm

Da kann man lesen, welche Dateien zu Tofger gehören. Die dort genannten Dateien hatte ich nicht mehr, wohl aber zwei der dort genannten drei registry-Einträge (Adressen). Nach dem Löschen war der Tofger auch für eScan weg. eScan ist also übergenau.

Bei McAfee läßt sich auch nachlesen, daß der Tofger nur Daten zu bestimmten Banken ausliest, Liste dort zu finden.

Da Eure gute Seite und mein thread schon gegoogelt werden können, hoffe ich, daß das manchem hilft, jedenfalls mehr als bei anderem Boards, wo mancher arrogante Schnösel als einzige Hilfe nur zum Formatieren rät. Das ist bei manchem Büro-PC mit teurer Anwendersoftware, die man nicht selbst installieren kann, oft ein Problem.

Einen schönen Abend allerseits und möge der ruhmreiche SC Freiburg am Bieberer Berg gewinnen.

a-d-a-w-a-r-e

a-d-a-w-a-r-e

Nachtrag

erst mal danke, aber

und weiter:

das ist nicht der Kern des Übels

look2me und andere

zur allgemeinen Information:

Benutzer, die dieses Thema gelesen haben: 0