Es öffenen sich lästige Popups und ungewünschte Webseiten. Hab schon alles mögliche drüberlaufen lassen, keiner packt das. Alle ´Progs erkennen zwar das Problem, scheinen es zu eliminieren. 1 Min später sind die dinger wieder da. Es handelt sich wohl um CWS-Trojaner. Ich habe CWS-Schredder probiert, ad-aware, Spybot Search&Destroy, hijack-This. Alles ohne Erfolg. Alles auch schon im abgesicherten probiert - bringt auch nichts. Selbst im abgesicherten starten noch Popups ungewollt.

hier ist mein hijack - log

Logfile of HijackThis v1.98.2
Scan saved at 09:37:20, on 10.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Internet Explorer\iexplore.exe
D:\downloads\sicherheit\hijackthis_198\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.club-vaio.sony-europe.com/
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\aklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\aklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\aklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\aklsp.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab

Es geht wohl um die veränderten Hosts unter 01. Wenn ich die fixe, sind sie Sekunden später wieder da.

Auch die 015 crazywinnings

Ich habe noch kein SP2 auf diesem Rechner, aber ich trau mich auch nicht es drauf zu machen bevor diese Scheisse weg ist.

cu maggus

Fixe dies:

O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com

http://www.cexx.org/lspfix.htm LSP reparieren

Im abg. Modus löschen: c:\windows\system32\aklsp.dll

SP2 installieren: www.windowsupdate.com

sorry, war ne zeitlang nicht on mit dem notebook wo ich das Problem habe.
Jetzt geht mirs wieder tierisch auf die nerven.

Also: ich habe alles gefixt, was du geschrieben hast. Die Sachen von Sony und Vaio sind zwar ok, weils ein Sony notebook ist. Ich hab sie aber sicherheitshalber trotzdem gefixt. Bringt nix.

Das andere Zeug hab ich auch gefixt. Hab jetzt auch SP2 drauf. Aber der Mist ist Sekunden später wieder da (das Sonyzeugs natürlich nicht). Wie gehabt. LSP-fix hat nicht auffälliges gefunden. Hat alles nichts geholfen leider.

Ich glaube mir bleibt jetzt nur noch der Freitod oder eine Neuinstallation.

Trotzdem danke.

Übrigens das löschen im abgesicherten kann man vergessen: Zugriff verweigert. "stellen sie sicher daß die datei nicht schreibgeschützt ist oder gerade benutzt wird". Bringt auch sowieso nichts weil bei jedem booten eine andere datei generiert wird.

Hallo,

bezüglich der O15 Einträge:
http://www.trojaner-board.de/showpos...6&postcount=31

O1 Einträge:
Probiers mal mit der Vorgehensweise von Marc und halte uns bei jedem Schritt auf dem Laufenden.

@ maggus

bitte scanne Deinen Rechner mit dem eScan - entsprechend der Beschreibung im Link.

Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

Erstelle ein neues Hijack This Logfile und poste es.

Zitat:

Zitat von Cidre

Hallo,

bezüglich der O15 Einträge:
http://www.trojaner-board.de/showpos...6&postcount=31

O1 Einträge:
Probiers mal mit der Vorgehensweise von Marc und halte uns bei jedem Schritt auf dem Laufenden.

hi cidre.

bin nach marcs methode vorgegangen. Der uninstaller von look2me hat nichts gefunden,. und sed.exe hab ich ja eh nicht. Ich weiß nicht wie die aktuellen exes heißen die ich killen muss. Die 015 Einträge habe ich weggekriegt. Popups starten aber immer noch.

hier mein aktueller log.
Logfile of HijackThis v1.98.2
Scan saved at 01:51:09, on 31.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Sony\vaio media music server\SSSvr.exe
C:\Programme\sony\photo server 20\appsrv\PicAppSrv.exe
C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\SV_Httpd.exe
C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\UPnPFramework.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Messenger\msmsgs.exe
D:\downloads\sicherheit\hijackthis_198\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\wuauclt.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://ie.search.msn.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.search.msn.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://ie.search.msn.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1104433892309
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab

danke für eure hilfe
maggus

Was ergab die Überprüfung durch dllcompare?

Führe aber zuerst einmal, wie SD bereits postete, den eScan AntiVirus aus und poste uns die Virus Log Information.