Spyware nicht entfernbar

Habe die 4 Sachen gefixt aber es hat sich nichts verändert.

Selbst wenn ich alle Browser zu habe und mitm Inet verbunden bin, öffnet der meinen Avantbrowser und zeigt Werbung.

hm

Den Avantbrowser habe ich deinstalliert.

O20 - Winlogon Notify: drivers32 - C:\WINDOWS\system32\f60olgd3160.dll

Diesen Eintrag habe ich entfernt, danach wurde aus drivers32 - Internet Settings und jetzt ist es cscsettings.
Die Werbung ist weniger irgendwie aber es komm gelegentlich noch was. Jedes PopUp hat ein schachbrettähnliches Icon vor http und jede Addy geht auf realmedia.com zurück...weiss da einer was ?

Logfile of HijackThis v1.99.1
Scan saved at 20:56:11, on 16.11.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\TRENDM~1\INTERN~2\PcCtlCom.exe
C:\Programme\Trend Micro\Internet Security 2005\pccguide.exe
C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe
C:\PROGRA~1\TRENDM~1\INTERN~2\Tmntsrv.exe
C:\PROGRA~1\TRENDM~1\INTERN~2\tmproxy.exe
C:\PROGRA~1\TRENDM~1\INTERN~2\TmPfw.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Programme\Winamp\Winamp.exe
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\Dokumente und Einstellungen\g0dlik3\Desktop\hijackthis_199\Hijac kThis.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [pccguide.exe] "C:\Programme\Trend Micro\Internet Security 2005\pccguide.exe"
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe" autostart
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - https://software-dl.real.com/152dd5097d0 ... 601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - https://update.microsoft.com/windowsupda ... 0853815544
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - https://update.microsoft.com/microsoftup ... 1075210631
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - https://messenger.msn.com/download/MsnMe ... loader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6BC7446E-8EA7-4125-BF23-5ECB2D67E503}: NameServer = 217.237.150.225 217.237.150.141
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: CSCSettings - C:\WINDOWS\system32\hrlu0539e.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~2\PcCtlCom.exe
O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~2\Tmntsrv.exe
O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~2\TmPfw.exe
O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~2\tmproxy.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

Gestern hat es angefangen.

Ich hatte gestern die Gratisversion des Realplayers gezogen, glaube aber eher nicht das die einen so übel zuspammen, oder ? Die ist aber auch schon wieder runter.

Sonst habe ich nichts in der letzten Zeit installiert.

Das ist echt hart - formatieren wird wohl die schnellste Lösung sein oder ?

Das Problem scheint doch mehr zu betreffen, in letzter Zeit sehr häufig.

google konnte doch helfen.

Also erstes Indiz für look2me sind Beschreibungen nach denen Popups aufgingen, obwohl der Browser geschloßen sei.
Zweites Indiz ist ein O20-Zufallseintrag im HijackThis Log (Winlogon).
Manchmal stellt eine Firewall eine Verbindung zu den Seiten w*w.ad-w-a-r-e.com oder w*w.a-d-w-a-r-e.com fest (angeblich auf Port 1070 ist aber nicht gesichert)
Um auf Nummer Sicher zu gehen kann man den Betroffnen empfehlen Escan oder Ewido anzuwenden, diese Programme können look2me erkennen, aber nicht beseitigen.
Zum beseitigen gibt es zwei mir bekannte Möglichkeiten.

1. Möglichkeit:
Sich dieses Tool besorgen https://virus-protect.net/l2mfix.html , unter der Option eins wird ein Logfile erstellt anhand dessen man look2me nochmal bestätigen kann.
Z.B. so ein Eintrag in der Winlogin, mit der Datei aus dem O20 Eintrag von HijackThis:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Themes]
"Asynchronous"=dword:00000000
"DllName"="C:\\WINDOWS\\system32\\fpl02435me.d ll"
"Impersonate"=dword:00000000
"Logon"="WinLogon"
"Logoff"="WinLogoff"
"Shutdown"="WinShutdown"

Mehrere Zufallsdateien im System32 Ordner die eine Größe zwischen 230k und 290k haben.

Wenn vorhanden, wird eine Datei namens guard.tmp gefunden, das ist auch ein sicheres Anzeichen für eine look2me Verseuchung.

Dann sollte man das Tool mit der Option 2 ausführen, dieses beseitigt im Normalfall die Verseuchung. Es gibt auch Fälle, bei denen es das Tool nicht schafft(dann Möglichkeit 2 anwenden).
Dann sollte noch die Option 4 ausgeführt werden um die winlogon wiederherzustellen.


2. Möglichkeit:
Das Programm Spysweeper https://www.webroot.com/consumer/downloads/ kann auch in der Free Trial Version look2me beseitigen, allerdings bleiben noch mehrere infizierte Datein zurück. Diese Dateien kann man entweder mit https://www.ewido.net/de/ oder mit dem oben beschriebenem Tool beseitigen.


Die Infektionsquellen sind sehr wahrscheinlich verschiedene Warezseiten, wie genau die Infektion von statten geht ist mir noch nicht bekannt, es sind aber sowohl IE als auch Firefox betroffen.
Ab und zu kommen auch noch folgende Dateien in der Peripherie von look2me vor (was dort was nachlädt ist mir nicht bekannt):
C:\windows\sp2update00.exe <--Trojan-Downloader.Win32.VB.nh (Kaspersky)
C:\WINDOWS\<Zufallsordner>\command.exe <--AdWare.Win32.CommAd.a (Kasperspy)
(wird als NT-Service gestartet)



Ich hoffe ich konnte ein wenig zur Eindämmung der look2me Seuche beitragen.

Alles geht nicht weg aber es ist noch weniger.

edit: Geschafft
Habe bei Spysweeper unter Options/SweepOptions/WhatToSweep alles angekreuzt, dann komplett durchlaufen lassen. l2mfix gemacht und danach nochmal mit Ewido rüber, der findet noch eine oder so.
Bin jetzt "frei".

Vielen Dank an Euch für die schnellen Antworten

Hallo,

Zu "escan" hätte ich eine Frage.
Wie "aktiviert" man den Virusmonitor?
https://www.VSpeicher.de/files2/escan.JPG