hi!

also, auf anraten eines admins eröffne ich hier einen neuen thread, bezüglich des gleichen problems wie hier

das problem besteht darin, dass sich in unperiodischen zeitabständen neue links im firefox öffnen, die u.A so aussehen:

h**p://www.coupon-online.com/normal/yyy34.html
h**p://www.cash-coupon.com/normal/yyy34.html
h**p://www.virtual-coupon.com/normal/yyy34.html
h**p://www.searc-h.com/normal/yyy34.html
h**p://www.super-stock.com/normal/yyy34.html

h**p://e.rn11.com/adbuys/a405-admed-ron

außerdem ist mir aufgefallen, dass seit ich dieses problem hab, ich z.B den StarwindService (treiber für alcohol 120%) im task-manager nicht mehr beenden kann. Auch funktioniert der Unlocker (siehe hier) nicht mehr.

hier mal mein hijack-log:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of HijackThis v1.99.1
Scan saved at 18:56:57, on 22.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
D:\Appz\Internet\NetLimiter\NetLimiter.exe
D:\appz\system\powerstrip\pstrip.exe
C:\WINDOWS\system32\nvsvc32.exe
D:\Appz\Brenner\Alcohol\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
D:\APPZ\INTERNET\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\jerk\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = 
R3 - Default URLSearchHook is missing
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Jet Detection] D:\Appz\System\Soundblaster\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [NetLimiter] D:\Appz\Internet\NetLimiter\NetLimiter.exe /s
O4 - HKLM\..\Run: [PowerStrip] d:\appz\system\powerstrip\pstrip.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O8 - Extra context menu item: Alles mit FlashGet laden - D:\Appz\Internet\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - D:\Appz\Internet\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\Appz\SONSTI~1\Office\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\Appz\Internet\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\Appz\Internet\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\Appz\SONSTI~1\Office\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\Appz\Internet\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\Appz\Internet\FlashGet\flashget.exe
O20 - Winlogon Notify: Internet Settings - C:\WINDOWS\system32\ir2sl5f71.dll
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PsShutdown (PsShutdownSvc) - Systems Internals - C:\WINDOWS\System32\PSSDNSVC.EXE
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\Appz\Brenner\Alcohol\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
         

also meiner meinung befindet da sich nichts ungewöhnliches, bis auf das mir unbekannte:
O20 - Winlogon Notify: Internet Settings - C:\WINDOWS\system32\ir2sl5f71.dll

diese zeile ändert sich allerdings bei jedem neustart & hijack-scan.
ich bin total gefrustet, da ich bis jetzt sämtliche probleme in den griff gekriegt hab, aber hier weiss ich wirklich nicht weiter.
nichts ungewöhnliches im autostart, erfolglose scans mit avg, mcafee & f-prot, sowie spybot & ad-aware. wer kann helfen ?

Hallo,
verwende mal folgendes Tool, poste aber nur das zweite Log.


Grüße Wildone

Hey!

Also dein gepostetes Tool hat bei mir nichts gebracht, ich hab nach dem Neustart gar kein Log bekommen irgendwie...
Hab mich eben diesem kleinen Tool anvertraut, obwohl ich erst dachte, dass ich jetzt noch mehr von diesem Spyware Zeug kriege. Aber siehe da, alles wieder wunderbar ! Kann das Tool nur jedem empfehlen, der von Look2Me geplagt ist.

Herzlichen Glückwunsch mit diesem uninstaller hast Du Look2me die Dir Ihren werbetrojaner auch einpflanzt haben alles über Deinen PC mitgeteilt. Darum wird der Uninstaller von keinem empfohlen...

Zitat:

Zitat von Gnmpf

Herzlichen Glückwunsch mit diesem uninstaller hast Du Look2me die Dir Ihren werbetrojaner auch einpflanzt haben alles über Deinen PC mitgeteilt. Darum wird der Uninstaller von keinem empfohlen...

Und was bitte wurde alles mitgeteilt?
Das Tool wirkt aber.

Wir wissen das es unter anderem überträgt welche Programme Du installiert hast, anscheinend auch Produktkeys. Selbst wenn nicht geht es die TransponderGang nichts an welche Programme installiert sind. Diejenigen die das Tool zu Verfügung stellen haben Dir das Ding erst untergeschoben! Zum Dank dafür spionieren sie Deinen PC aus.

Hallo Gnmpf,

kannst Du Deine Aussage in irgendeiner Art und Weise belegen?
Das würde mich sehr interessieren.

dartus

Ich bin einer der Trusted Advisor bei www.spywareinfo.com. Der Entwickler des tools L2mfix auf dem Wildone auch verklinkt, hat sich dem "uninstaller" angenommen und folgende Aussage gemacht:
shadowwar:
this thing compiles every piece of information in can find about the pc through the registry. install date.. os type, pc name.. etc.,, looking for more

Wenn Du mehr willst muss ich mich erst mit ihm in verbindung setzen.

Mir allerdings reicht diese Aussage. Ausserdem käme ich nie auf den Gedanken diesen Uninstaller einzusetzen. Eher würde ich meinen PC neuinstallieren.

Es gibt aber andere Wege Look2me in der letzten version loszuwerden. (Bis Shadowwar sein tool upgedated hat)
Der einfachste Weg. Downloade Spysweeper trial und installiere und update es. Unter optionen, sweep optionen alles anhaken. Laufen lassen wenn es nach einem reboot fragt SOFORT neustarten und es ist weg (bis auf einen inaktive .dll)

Hallo,
danke für die Info, habe mich mal ein wenig auf spywareinfo.com umgeschaut, dort wird häufig erst lspfix (option1+Log posten) dann Spysweeper dann wieder lspfix (option 2) angewendet, scheint eine ganz erfolgsversprechende Mischung zu sein.

Ich muss aber gestehen dass ich beim lesen der l2mfix logs noch ein wenig schwach auf der Brust bin, weißt du nach was genau man dort suchen muss um eine l2m Infektion zu verifizieren? Nur nach den Dateien, die am Schluß aufgelistet werden?


Grüße Wildone

jo nur ist es nicht lspfix sondern L2mfix

ALs beispiel nehme ich mal dieses Log:
http://forums.spywareinfo.com/index....9692&hl=L2mfix

Sichtbar ist L2m im HijackThis log :
O20 - Winlogon Notify: Themes - C:\WINDOWS\system32\fpl0033me.dll

Es ist immer ein O20, Winlogon key mit zufälligen beinamen hier:Themes
und einer .dll mit ebenfalls zufälligen Namen. (Gilt nur für Win2k/XP, in WIN98/ME sieht man nichts)

option1 ist zum feststellen der infektion
Dann spysweeper um die infektion zu killen und option2 um die Registryberechtigungen wiederherzustellen und die eine verbleibende inaktive .dll zu löschen.

In diesem fall findest du die .dll immer im Log von option1 wieder:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Themes]
"Asynchronous"=dword:00000000
"DllName"="C:\\WINDOWS\\system32\\fpl0033me.dll"
"Impersonate"=dword:00000000
"Logon"="WinLogon"
"Logoff"="WinLogoff"
"Shutdown"="WinShutdown"

Weitere Symptome:
User agent mit Random CLSID:
useragent:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
"{4D1278D9-D11D-87B2-D855-C1D95569C645}"=""

Diverse Dateien .dlls mit einer Größe zwischen 230k und 290K und /oder 417K
und zufälligen Dateinamen

In manchen Logs wird unter Locate .tmp Dateien, die guard.tmp angezeigt.

guard.tmp ist ein 100% treffer für L2m.

Lonny geht in diesem fall einen anderen Weg den langen.
In diesem Log gehts wie von Dir beschrieben:
http://forums.spywareinfo.com/index....9440&hl=L2mfix

Ein weiteres merkmal ist das nach dem Fixen mit HijackThis ein neuer O20 im nächsten Log erscheint.
Du wirst es in diesem Topic sehen
http://www.trojaner-board.de/showthread.php?t=23041

Beim scannen mit Ewido/Adaware und demnächst auch Spybot wird L2m angezeigt.

Hallo,

Zitat:

jo nur ist es nicht lspfix sondern L2mfix

Ups, richtig, aber zum Glück wußtest du ja was ich meinte.
Danke für deine Mühe, wird es mir sehr erleichtern zukünftig die logs zu lesen, und so wie es aussieht rollt ja gerade eine regelrechte l2me Welle.


Grüße Wildone

Ja leider nun auch über den deutschsprachigen Raum.

Ich hoffe das shadowwar bald sein standalone tool upgedated hat.