Spyware nicht entfernbar

9Antworten
  1. #1
    Avatar von
    Themen Starter

    Standard Spyware nicht entfernbar

    Moin

    ich bin kurz vorm verzweifeln, ca. im 2 Minutentakt öffnet sich eine Werbeseite. Ich habe schon alles mögliche rüberlaufen lassen mit neuesten Updates der Progs, Ad-aware, Spybot. Spy Sweeper, Pc-Cillin Antivirus und eine Menge anderer kleiner Antispyprogramme die ich so finden konnte.
    Bin dann auf HijackThis gestossen aber mir fällt da nicht wirklich was....

    Könnte vielleicht einer kurz gucken ?

    Logfile of HijackThis v1.99.1
    Scan saved at 15:18:11, on 16.11.2005
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\WINDOWS\Explorer.EXE
    C:\PROGRA~1\TRENDM~1\INTERN~2\PcCtlCom.exe
    C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
    C:\PROGRA~1\TRENDM~1\INTERN~2\Tmntsrv.exe
    C:\PROGRA~1\TRENDM~1\INTERN~2\tmproxy.exe
    C:\Programme\Trend Micro\Internet Security 2005\pccguide.exe
    C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
    C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe
    C:\PROGRA~1\TRENDM~1\INTERN~2\TmPfw.exe
    C:\Programme\Avant Browser\avant.exe
    C:\Dokumente und Einstellungen\g0dlik3\Desktop\hijackthis_199\Hijac kThis.exe

    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [pccguide.exe] "C:\Programme\Trend Micro\Internet Security 2005\pccguide.exe"
    O4 - HKLM\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
    O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe" autostart
    O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - C:\Programme\Avant Browser\AddAllToADBlackList.htm
    O8 - Extra context menu item: Hervorheben - C:\Programme\Avant Browser\Highlight.htm
    O8 - Extra context menu item: In neuem Avant Browser öffnen - C:\Programme\Avant Browser\OpenInNewBrowser.htm
    O8 - Extra context menu item: Suchen - C:\Programme\Avant Browser\Search.htm
    O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - C:\Programme\Avant Browser\AddToADBlackList.htm
    O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - C:\Programme\Avant Browser\OpenAllLinks.htm
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
    O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
    O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
    O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
    O15 - Trusted Zone: https://awbeta.net-nucleus.com (HKLM)
    O16 - DPF: {33331111-1111-1111-1111-622221193458} - file://c:\ex.cab
    O16 - DPF: {52A5CD24-64C6-4BAF-A4EC-4D13F451763F} (CU LiveUpdate Control) - https://www.partnertausch.de/php/vchat2/ ... update.cab
    O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - https://software-dl.real.com/152dd5097d0 ... 601_de.cab
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - https://update.microsoft.com/windowsupda ... 0853815544
    O16 - DPF: {64311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
    O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - https://update.microsoft.com/microsoftup ... 1075210631
    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - https://messenger.msn.com/download/MsnMe ... loader.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{6BC7446E-8EA7-4125-BF23-5ECB2D67E503}: NameServer = 217.237.150.225 217.237.150.141
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
    O20 - Winlogon Notify: drivers32 - C:\WINDOWS\system32\f60olgd3160.dll
    O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~2\PcCtlCom.exe
    O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
    O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~2\Tmntsrv.exe
    O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~2\TmPfw.exe
    O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~2\tmproxy.exe
    O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

  2. #2
    Avatar von El Supremo
    El Supremo ist offline

    Title
    Benutzer
    seit
    18.01.2005
    Ort
    Ilsfeld, Lkr. Heilbronn, BW
    Beiträge
    1.552

    Standard

    fixe auf jeden fall
    O15 - Trusted Zone: https://awbeta.net-nucleus.com (HKLM)
    O16 - DPF: {33331111-1111-1111-1111-622221193458} - file://c:\ex.cab
    O16 - DPF: {64311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
    falls dir
    O16 - DPF: {52A5CD24-64C6-4BAF-A4EC-4D13F451763F} (CU LiveUpdate Control) - https://www.partnertausch.de/php/vchat2/ ... update.cab
    nicht bekannt vorkommt, fixe es auch (aber NUR dann!). ausserdem solltest du SP2 installieren.

  3. #3
    Avatar von
    Themen Starter

    Standard

    Habe die 4 Sachen gefixt aber es hat sich nichts verändert.

    Selbst wenn ich alle Browser zu habe und mitm Inet verbunden bin, öffnet der meinen Avantbrowser und zeigt Werbung.

    hm

  4. #4
    Avatar von computerdirk
    computerdirk ist offline

    Title
    Benutzer
    seit
    07.01.2005
    Ort
    Ilsede
    Beiträge
    12.171

    Standard

    Hallöchen,

    also folgender Eintrag kommt mir auch spanisch vor:

    Code:
    O20 - Winlogon Notify: drivers32 - C:\WINDOWS\system32\f60olgd3160.dll
    Eventuell ist ja auch der Avantbrowser selbst der Verursacher...

  5. #5
    Avatar von
    Themen Starter

    Standard

    Den Avantbrowser habe ich deinstalliert.

    O20 - Winlogon Notify: drivers32 - C:\WINDOWS\system32\f60olgd3160.dll

    Diesen Eintrag habe ich entfernt, danach wurde aus drivers32 - Internet Settings und jetzt ist es cscsettings.
    Die Werbung ist weniger irgendwie aber es komm gelegentlich noch was. Jedes PopUp hat ein schachbrettähnliches Icon vor http und jede Addy geht auf realmedia.com zurück...weiss da einer was ?

    Logfile of HijackThis v1.99.1
    Scan saved at 20:56:11, on 16.11.2005
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\WINDOWS\Explorer.EXE
    C:\PROGRA~1\TRENDM~1\INTERN~2\PcCtlCom.exe
    C:\Programme\Trend Micro\Internet Security 2005\pccguide.exe
    C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
    C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe
    C:\PROGRA~1\TRENDM~1\INTERN~2\Tmntsrv.exe
    C:\PROGRA~1\TRENDM~1\INTERN~2\tmproxy.exe
    C:\PROGRA~1\TRENDM~1\INTERN~2\TmPfw.exe
    C:\WINDOWS\System32\taskmgr.exe
    C:\Programme\Winamp\Winamp.exe
    C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
    C:\Dokumente und Einstellungen\g0dlik3\Desktop\hijackthis_199\Hijac kThis.exe

    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [pccguide.exe] "C:\Programme\Trend Micro\Internet Security 2005\pccguide.exe"
    O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe" autostart
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
    O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
    O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
    O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
    O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - https://software-dl.real.com/152dd5097d0 ... 601_de.cab
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - https://update.microsoft.com/windowsupda ... 0853815544
    O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - https://update.microsoft.com/microsoftup ... 1075210631
    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - https://messenger.msn.com/download/MsnMe ... loader.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{6BC7446E-8EA7-4125-BF23-5ECB2D67E503}: NameServer = 217.237.150.225 217.237.150.141
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
    O20 - Winlogon Notify: CSCSettings - C:\WINDOWS\system32\hrlu0539e.dll
    O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~2\PcCtlCom.exe
    O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~2\Tmntsrv.exe
    O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~2\TmPfw.exe
    O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~2\tmproxy.exe
    O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

  6. #6
    Avatar von computerdirk
    computerdirk ist offline

    Title
    Benutzer
    seit
    07.01.2005
    Ort
    Ilsede
    Beiträge
    12.171

    Standard

    Hallöchen,

    stimmt, jetzt lautet der Eintrag:

    Code:
    O20 - Winlogon Notify: CSCSettings - C:\WINDOWS\system32\hrlu0539e.dll
    Allerdings kann ich nicht erkennen woher der kommt... Seit wann hast du diese Werbung denn? Kann es eventuell durch eine Software bewußt erzeugt werden?

  7. #7
    Avatar von
    Themen Starter

    Standard

    Gestern hat es angefangen.

    Ich hatte gestern die Gratisversion des Realplayers gezogen, glaube aber eher nicht das die einen so übel zuspammen, oder ? Die ist aber auch schon wieder runter.

    Sonst habe ich nichts in der letzten Zeit installiert.

    Das ist echt hart - formatieren wird wohl die schnellste Lösung sein oder ?

  8. #8
    Avatar von
    Themen Starter

    Standard

    Das Problem scheint doch mehr zu betreffen, in letzter Zeit sehr häufig.

    google konnte doch helfen.

    Also erstes Indiz für look2me sind Beschreibungen nach denen Popups aufgingen, obwohl der Browser geschloßen sei.
    Zweites Indiz ist ein O20-Zufallseintrag im HijackThis Log (Winlogon).
    Manchmal stellt eine Firewall eine Verbindung zu den Seiten w*w.ad-w-a-r-e.com oder w*w.a-d-w-a-r-e.com fest (angeblich auf Port 1070 ist aber nicht gesichert)
    Um auf Nummer Sicher zu gehen kann man den Betroffnen empfehlen Escan oder Ewido anzuwenden, diese Programme können look2me erkennen, aber nicht beseitigen.
    Zum beseitigen gibt es zwei mir bekannte Möglichkeiten.

    1. Möglichkeit:
    Sich dieses Tool besorgen https://virus-protect.net/l2mfix.html , unter der Option eins wird ein Logfile erstellt anhand dessen man look2me nochmal bestätigen kann.
    Z.B. so ein Eintrag in der Winlogin, mit der Datei aus dem O20 Eintrag von HijackThis:
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Themes]
    "Asynchronous"=dword:00000000
    "DllName"="C:\\WINDOWS\\system32\\fpl02435me.d ll"
    "Impersonate"=dword:00000000
    "Logon"="WinLogon"
    "Logoff"="WinLogoff"
    "Shutdown"="WinShutdown"

    Mehrere Zufallsdateien im System32 Ordner die eine Größe zwischen 230k und 290k haben.

    Wenn vorhanden, wird eine Datei namens guard.tmp gefunden, das ist auch ein sicheres Anzeichen für eine look2me Verseuchung.

    Dann sollte man das Tool mit der Option 2 ausführen, dieses beseitigt im Normalfall die Verseuchung. Es gibt auch Fälle, bei denen es das Tool nicht schafft(dann Möglichkeit 2 anwenden).
    Dann sollte noch die Option 4 ausgeführt werden um die winlogon wiederherzustellen.


    2. Möglichkeit:
    Das Programm Spysweeper https://www.webroot.com/consumer/downloads/ kann auch in der Free Trial Version look2me beseitigen, allerdings bleiben noch mehrere infizierte Datein zurück. Diese Dateien kann man entweder mit https://www.ewido.net/de/ oder mit dem oben beschriebenem Tool beseitigen.


    Die Infektionsquellen sind sehr wahrscheinlich verschiedene Warezseiten, wie genau die Infektion von statten geht ist mir noch nicht bekannt, es sind aber sowohl IE als auch Firefox betroffen.
    Ab und zu kommen auch noch folgende Dateien in der Peripherie von look2me vor (was dort was nachlädt ist mir nicht bekannt):
    C:\windows\sp2update00.exe <--Trojan-Downloader.Win32.VB.nh (Kaspersky)
    C:\WINDOWS\<Zufallsordner>\command.exe <--AdWare.Win32.CommAd.a (Kasperspy)
    (wird als NT-Service gestartet)



    Ich hoffe ich konnte ein wenig zur Eindämmung der look2me Seuche beitragen.
    Alles geht nicht weg aber es ist noch weniger.

    edit: Geschafft
    Habe bei Spysweeper unter Options/SweepOptions/WhatToSweep alles angekreuzt, dann komplett durchlaufen lassen. l2mfix gemacht und danach nochmal mit Ewido rüber, der findet noch eine oder so.
    Bin jetzt "frei".

    Vielen Dank an Euch für die schnellen Antworten

  9. #9
    Avatar von computerdirk
    computerdirk ist offline

    Title
    Benutzer
    seit
    07.01.2005
    Ort
    Ilsede
    Beiträge
    12.171

    Standard

    Hallöchen,

    na ist doch prima das du es dann doch selbst losgeworden bist...


  10. #10
    Avatar von Mr_SNAiL
    Mr_SNAiL ist offline

    Title
    Benutzer
    seit
    15.05.2005
    Beiträge
    216

    Standard

    Hallo,

    Zu "escan" hätte ich eine Frage.
    Wie "aktiviert" man den Virusmonitor?
    https://www.VSpeicher.de/files2/escan.JPG

Ähnliche Themen

  1. Antworten: 1
    Letzter Beitrag: 14.05.2009, 22:28
  2. Spyware Meldung mit Spyware-Doktor

    Von chrissy1149 im Forum Antivirus und PC Sicherheit
    Antworten: 17
    Letzter Beitrag: 04.04.2008, 17:44
  3. Virus nicht entfernbar

    Von Sir McGrady im Forum Antivirus und PC Sicherheit
    Antworten: 29
    Letzter Beitrag: 06.09.2006, 18:57
  4. mit ezula spyware und precisionpop Spyware/Adware verseucht!

    Von hannah88 im Forum Antivirus und PC Sicherheit
    Antworten: 3
    Letzter Beitrag: 16.08.2006, 15:23
  5. Spyware oder nicht?

    Von im Forum Antivirus und PC Sicherheit
    Antworten: 8
    Letzter Beitrag: 13.06.2005, 21:23

Benutzer, die dieses Thema gelesen haben: 0

Derzeit gibt es keine Benutzer zum Anzeigen.
Diese Seite benutzt Cookies Durch die weitere Nutzung der Seite stimmen Sie der Verwendung von Cookies zu. Infos zum Datenschutz