Moin,

ich brauch mal kompetente Hilfe. Und zwar hab ich hier den Rechner eines Bekannten stehen, der über Werbung und Viren klagte. Virenscanner, Adaware und Spybot fanden und entfernten auch einiges, aber das Werbeproblem blieb bestehen.

HijackThis findet (noch) folgendes

Zitat:

Logfile of HijackThis v1.99.1
Scan saved at 00:00:15, on 19.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Dokumente und Einstellungen\DG\Desktop\HijackThis.exe
C:\Programme\Internet Explorer\iexplore.exe

O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE
O20 - Winlogon Notify: Group Policy - C:\WINDOWS\system32\t48ulel91hq.dll
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: xControlCOM - Siemens - D:\Programme\T-Sinus 721\T-Sinus 721 PC\xControlCOM.exe

Die laufenden Prozesse scheinen alle zu Win oder zur T-Online-Software zu gehören. Aber die fetten Einträge erscheinen immer wieder, trotz wiederholten Entfernens. Die .dll ist aber immer wieder eine andere. Der Dateiname ist aber immer eine Zahlen-Buchstaben-Kombination nach dem selben Prinzip. Auch ein Löschen der jeweiligen .dll per delete-on-reboot aus dem abgesicherten Modus heraus half nicht.

Bin für jede Anregung dankbar,

Auch hier 'spielt' sich imho einiges im Verborgenen ab.
Da du sagst, es ist ein Rechner eines Bekannten, vermute ich, dass Du folgende Möglichkeit hast.
Schließe die Platte mal in einem anderen anderen Rechner als 'Slave' an und scanne diese dann mit eScan (siehe Signatur).
Auf das Log von eScan bin ich gespannt!

Ich hab die Platte bei mir eingebaut und die Systempartition mit eScan geprüft: Er findet nichts.

Aber der Onlinescanner aus deiner Sig findet in der t48ulel91hq.dll folgendes

Zitat:

Kaspersky Anti-Virus
not-a-virus:AdWare.Look2Me.ab (2.04 Sekunden)

Hast Du eScan vorher -wie beschrieben- aktualisiert?
eScan nutzt die Signaturen von Kaspersky. Und wenn KAV den findet, sollte eScan den auch finden.

Zitat:

Zitat von Lutz

Hast Du eScan vorher -wie beschrieben- aktualisiert?
eScan nutzt die Signaturen von Kaspersky. Und wenn KAV den findet, sollte eScan den auch finden.

Hab ich. Ich verstehs auch nicht. Zumal bei mir auch Kaspersky als Virenscanner läuft und der den auch nicht findet. Man weiß es nicht!

Edit: Hm, das läßt sich aber dadurch erklären, daß der nicht die erweiterten Datenbanken nutzte. Ich stell das mal gerade um und scanne die Platte nochmal und meld mich dann wieder.

nochmal Edit: Er scannt gerade und findet doch noch ne Menge.

Gaaaaaaanz viele solche dlls wurden noch mit dem Kasperskyscan entfernt und jetzt scheint es wieder zu laufen. Danke!

Was mich aber noch interessieren würde ist wie zur Hölle man es schafft seinen Rechner so zuzumüllen? Ich habe in jahrelanger Windowsnutzung noch nie solche Probleme mit Adware oder Viren gehabt. Wenn man nicht alles anklickt was bunt blinkt sollte so was doch eigentlich nicht passieren.

@Nevermore
dein freund benützt wahrscheinlich nur den IE, lass ihm mal auf den firefox umsteigen und sich mal gedanken machen über sein surfverhalten
mal was zum nachlesen
http://www.ntsvcfg.de/linkblock.html
http://www.emsisoft.de/de/kb/articles/tec040105/
http://www.datenschutzzentrum.de/sel...sie/config.htm
http://www.blafusel.de/ie.html
http://www.trojaner-board.com/showthread.php?t=9546


chaosman