|
Plagegeister aller Art und deren Bekämpfung: Hilfe, PopUps!!Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
22.10.2005, 18:06 | #1 |
| Hilfe, PopUps!! hi! also, auf anraten eines admins eröffne ich hier einen neuen thread, bezüglich des gleichen problems wie hier das problem besteht darin, dass sich in unperiodischen zeitabständen neue links im firefox öffnen, die u.A so aussehen: h**p://www.coupon-online.com/normal/yyy34.html h**p://www.cash-coupon.com/normal/yyy34.html h**p://www.virtual-coupon.com/normal/yyy34.html h**p://www.searc-h.com/normal/yyy34.html h**p://www.super-stock.com/normal/yyy34.html h**p://e.rn11.com/adbuys/a405-admed-ron außerdem ist mir aufgefallen, dass seit ich dieses problem hab, ich z.B den StarwindService (treiber für alcohol 120%) im task-manager nicht mehr beenden kann. Auch funktioniert der Unlocker (siehe hier) nicht mehr. hier mal mein hijack-log: Code:
ATTFilter Logfile of HijackThis v1.99.1 Scan saved at 18:56:57, on 22.10.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\Explorer.EXE D:\Appz\Internet\NetLimiter\NetLimiter.exe D:\appz\system\powerstrip\pstrip.exe C:\WINDOWS\system32\nvsvc32.exe D:\Appz\Brenner\Alcohol\Alcohol 120\StarWind\StarWindService.exe C:\WINDOWS\system32\svchost.exe D:\APPZ\INTERNET\MOZILL~1\FIREFOX.EXE C:\WINDOWS\system32\NOTEPAD.EXE C:\WINDOWS\system32\NOTEPAD.EXE C:\Dokumente und Einstellungen\jerk\Desktop\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R3 - Default URLSearchHook is missing O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Jet Detection] D:\Appz\System\Soundblaster\PROGRAM\ADGJDet.exe O4 - HKLM\..\Run: [NetLimiter] D:\Appz\Internet\NetLimiter\NetLimiter.exe /s O4 - HKLM\..\Run: [PowerStrip] d:\appz\system\powerstrip\pstrip.exe O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide O8 - Extra context menu item: Alles mit FlashGet laden - D:\Appz\Internet\FlashGet\jc_all.htm O8 - Extra context menu item: Mit FlashGet laden - D:\Appz\Internet\FlashGet\jc_link.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\Appz\SONSTI~1\Office\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\Appz\Internet\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\Appz\Internet\ICQ\ICQ.exe O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\Appz\SONSTI~1\Office\OFFICE11\REFIEBAR.DLL O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\Appz\Internet\FlashGet\flashget.exe O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\Appz\Internet\FlashGet\flashget.exe O20 - Winlogon Notify: Internet Settings - C:\WINDOWS\system32\ir2sl5f71.dll O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PsShutdown (PsShutdownSvc) - Systems Internals - C:\WINDOWS\System32\PSSDNSVC.EXE O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\Appz\Brenner\Alcohol\Alcohol 120\StarWind\StarWindService.exe O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe O20 - Winlogon Notify: Internet Settings - C:\WINDOWS\system32\ir2sl5f71.dll diese zeile ändert sich allerdings bei jedem neustart & hijack-scan. ich bin total gefrustet, da ich bis jetzt sämtliche probleme in den griff gekriegt hab, aber hier weiss ich wirklich nicht weiter. nichts ungewöhnliches im autostart, erfolglose scans mit avg, mcafee & f-prot, sowie spybot & ad-aware. wer kann helfen ? |
23.10.2005, 11:49 | #3 |
| Hilfe, PopUps!! Hey!
__________________Also dein gepostetes Tool hat bei mir nichts gebracht, ich hab nach dem Neustart gar kein Log bekommen irgendwie... Hab mich eben diesem kleinen Tool anvertraut, obwohl ich erst dachte, dass ich jetzt noch mehr von diesem Spyware Zeug kriege. Aber siehe da, alles wieder wunderbar ! Kann das Tool nur jedem empfehlen, der von Look2Me geplagt ist. |
23.10.2005, 20:29 | #4 |
| Hilfe, PopUps!! Herzlichen Glückwunsch mit diesem uninstaller hast Du Look2me die Dir Ihren werbetrojaner auch einpflanzt haben alles über Deinen PC mitgeteilt. Darum wird der Uninstaller von keinem empfohlen... |
25.10.2005, 20:46 | #5 | |
| Hilfe, PopUps!!Zitat:
Das Tool wirkt aber. |
25.10.2005, 22:25 | #6 |
| Hilfe, PopUps!! Wir wissen das es unter anderem überträgt welche Programme Du installiert hast, anscheinend auch Produktkeys. Selbst wenn nicht geht es die TransponderGang nichts an welche Programme installiert sind. Diejenigen die das Tool zu Verfügung stellen haben Dir das Ding erst untergeschoben! Zum Dank dafür spionieren sie Deinen PC aus.
__________________ --> Hilfe, PopUps!! |
25.10.2005, 23:15 | #7 |
| Hilfe, PopUps!! Hallo Gnmpf, kannst Du Deine Aussage in irgendeiner Art und Weise belegen? Das würde mich sehr interessieren. dartus
__________________ Kein Support per PN |
26.10.2005, 09:56 | #8 |
| Hilfe, PopUps!! Ich bin einer der Trusted Advisor bei www.spywareinfo.com. Der Entwickler des tools L2mfix auf dem Wildone auch verklinkt, hat sich dem "uninstaller" angenommen und folgende Aussage gemacht: shadowwar: this thing compiles every piece of information in can find about the pc through the registry. install date.. os type, pc name.. etc.,, looking for more Wenn Du mehr willst muss ich mich erst mit ihm in verbindung setzen. Mir allerdings reicht diese Aussage. Ausserdem käme ich nie auf den Gedanken diesen Uninstaller einzusetzen. Eher würde ich meinen PC neuinstallieren. Es gibt aber andere Wege Look2me in der letzten version loszuwerden. (Bis Shadowwar sein tool upgedated hat) Der einfachste Weg. Downloade Spysweeper trial und installiere und update es. Unter optionen, sweep optionen alles anhaken. Laufen lassen wenn es nach einem reboot fragt SOFORT neustarten und es ist weg (bis auf einen inaktive .dll) |
26.10.2005, 11:00 | #9 |
| Hilfe, PopUps!! Hallo, danke für die Info, habe mich mal ein wenig auf spywareinfo.com umgeschaut, dort wird häufig erst lspfix (option1+Log posten) dann Spysweeper dann wieder lspfix (option 2) angewendet, scheint eine ganz erfolgsversprechende Mischung zu sein. Ich muss aber gestehen dass ich beim lesen der l2mfix logs noch ein wenig schwach auf der Brust bin, weißt du nach was genau man dort suchen muss um eine l2m Infektion zu verifizieren? Nur nach den Dateien, die am Schluß aufgelistet werden? Grüße Wildone |
26.10.2005, 16:05 | #10 |
| Hilfe, PopUps!! jo nur ist es nicht lspfix sondern L2mfix ALs beispiel nehme ich mal dieses Log: http://forums.spywareinfo.com/index....9692&hl=L2mfix Sichtbar ist L2m im HijackThis log : O20 - Winlogon Notify: Themes - C:\WINDOWS\system32\fpl0033me.dll Es ist immer ein O20, Winlogon key mit zufälligen beinamen hier:Themes und einer .dll mit ebenfalls zufälligen Namen. (Gilt nur für Win2k/XP, in WIN98/ME sieht man nichts) option1 ist zum feststellen der infektion Dann spysweeper um die infektion zu killen und option2 um die Registryberechtigungen wiederherzustellen und die eine verbleibende inaktive .dll zu löschen. In diesem fall findest du die .dll immer im Log von option1 wieder: [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Themes] "Asynchronous"=dword:00000000 "DllName"="C:\\WINDOWS\\system32\\fpl0033me.dll" "Impersonate"=dword:00000000 "Logon"="WinLogon" "Logoff"="WinLogoff" "Shutdown"="WinShutdown" Weitere Symptome: User agent mit Random CLSID: useragent: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform] "{4D1278D9-D11D-87B2-D855-C1D95569C645}"="" Diverse Dateien .dlls mit einer Größe zwischen 230k und 290K und /oder 417K und zufälligen Dateinamen In manchen Logs wird unter Locate .tmp Dateien, die guard.tmp angezeigt. guard.tmp ist ein 100% treffer für L2m. Lonny geht in diesem fall einen anderen Weg den langen. In diesem Log gehts wie von Dir beschrieben: http://forums.spywareinfo.com/index....9440&hl=L2mfix Ein weiteres merkmal ist das nach dem Fixen mit HijackThis ein neuer O20 im nächsten Log erscheint. Du wirst es in diesem Topic sehen http://www.trojaner-board.de/showthread.php?t=23041 Beim scannen mit Ewido/Adaware und demnächst auch Spybot wird L2m angezeigt. |
26.10.2005, 16:48 | #11 | |
| Hilfe, PopUps!! Hallo, Zitat:
Danke für deine Mühe, wird es mir sehr erleichtern zukünftig die logs zu lesen, und so wie es aussieht rollt ja gerade eine regelrechte l2me Welle. Grüße Wildone |
Themen zu Hilfe, PopUps!! |
avg, desktop, dll, down, einstellungen, excel, explorer, firefox, helfen, hijackthis, icq, internet, internet explorer, locker, logfile, microsoft, neustart, nvidia, popups, programme, rundll, software, system, task-manager, urlsearchhook, windows, windows xp |