64.192.130.141 bzw. www.ad-w-a-r-e.com/

Ralf M. · 08.11.2005, 00:34

64.192.130.141 bzw. www.ad-w-a-r-e.com/
nerft. was tun? kann jemand helfen?

Logfile of HijackThis v1.99.1
Scan saved at 00:16 Uhr , on 08.11.2005
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\MDM.EXE
C:\WINDOWS\SYSTEM\WSYS.EXE
C:\PROGRAMME\NORTON INTERNET SECURITY\NISSERV.EXE
C:\PROGRAMME\NORTON INTERNET SECURITY\NISUM.EXE
C:\PROGRAMME\NORTON INTERNET SECURITY\IAMAPP.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE
D:\RETTUNGSORTNER\KILL WINDOW 2.0\KILL WINDOW 2.0.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\POPROXY.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\TASKMON.EXE
C:\PROGRAMME\TUNEUP UTILITIES 2006\MEMOPTIMIZER.EXE
D:\RETTUNGSORTNER\DOWNLOADS\UHR\TCLOCK.EXE
C:\PROGRAMME\ONLINECOUNTER 2002\ONLINECOUNTER.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\MOZILLA-1.8A6.DE-AT.WIN32\MOZILLA.EXE
C:\00\! ASIA-1\07.11.2005\NEUER ORDNER (7)\HIJACKTHIS V1.99.1.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://goggle.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.google.de/
R3 - URLSearchHook: (no name) - _{855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\LOGITECH\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [Kill Window] "D:\RETTUNGSORTNER\KILL WINDOW 2.0\KILL WINDOW 2.0.exe"
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [MSRESEARCH] C:\WINDOWS\MSRESEARCH.exe
O4 - HKLM\..\Run: [NAV DefAlert] C:\PROGRA~1\NORTON~1\DEFALERT.EXE
O4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE /LOADQUIET
O4 - HKLM\..\Run: [Norton eMail Protect] C:\Programme\Norton AntiVirus\POPROXY.EXE
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE
O4 - HKLM\..\RunServices: [windll] C:\WINDOWS\SYSTEM\wsys.exe
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\PROGRAMME\TUNEUP UTILITIES 2006\MEMOPTIMIZER.EXE" autostart
O4 - HKCU\..\Run: [HijackThis startup scan] C:\00\! ASIA-1\07.11.2005\NEUER ORDNER (7)\HijackThis.exe /startupscan
O4 - Startup: TClock.lnk = D:\Rettungsortner\Downloads\Uhr\TClock.exe
O4 - Startup: Logox Taskleisten Icon.lnk = C:\WINDOWS\Logox\LgxTNA.exe
O4 - Startup: E-Color.lnk = C:\Programme\E-Color\Common\IconMgr.exe
O4 - Startup: OnlineCounter 2002-Autostart.lnk = C:\Programme\OnlineCounter 2002\OnlineCounter-Autostart.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Trennen - {1FB507B3-841F-4ed4-BED8-E11F0E5E47A1} - C:\PROGRAMME\ONLINECOUNTER 2002\OCHangUp.exe (HKCU)
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll
O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://tw.msi.com.tw/autobios/client/iftwclix.cab

was muß ich der reihe nach machen um das nerfige-teil los zu werden? help?

dartus · 08.11.2005, 01:08

Hallo Ralf M.

downloade Ewido . Installieren und updaten.

Wechsel in den abgesicherten Modus http://www.systemwiederherstellung-d...indows-xp.html und fixe folgende Einträge (Scan mit HJT und Häckchen vor Eintrag):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h..p://goggle.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R3 - URLSearchHook: (no name) - _{855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O4 - HKLM\..\Run: [MSRESEARCH] C:\WINDOWS\MSRESEARCH.exe
O4 - HKLM\..\RunServices: [windll] C:\WINDOWS\SYSTEM\wsys.exe

Lösche manuell:
C:\WINDOWS\MSRESEARCH.exe
C:\WINDOWS\SYSTEM\wsys.exe

Scanne nacheinander mit Ewido und Norton. Lösche alle Funde.

Neues Logfile und berichten

dartus

Wildone · 08.11.2005, 01:28

Hallo,
und dieses mal vorallem ein komplettes Logfile posten, besonders der O20 Eintrag sollte interessant sein

Grüße Wildone

dartus · 08.11.2005, 09:34

Hallo Wildone,

beachte bitte das System, es ist Win98. Da kommt nicht mehr.
Schauen wir mal, ob es langt.

dartus

Wildone · 08.11.2005, 11:29

Hallo,
ups, das kommt davon wenn man die Kopfzeile überliest. Würde mich aber trotzdem interessierren ob das ein Ableger von look2me ist, oder andere Adware, die die selben Server verwendet.
@Ralf M.
Kannst du, wenn du Ewido drüberlaufen läßt, danach mal das Log posten (bereinigt von den Cookiesmeldungen).

Grüße Wildone

raman · 08.11.2005, 17:33

Ja, das ist look2me, nur kannst du ihn da in einem HijackThis log unter Win9X gar nicht sehen. Aber man hat den Vorteil, die Dateien im Dosmodus loeschen zu koennen.

Achso, ewido funktioniert nicht unter Win9x!

Wildone · 08.11.2005, 17:49

Hallo,
weißt du zufällig auch ob l2mfix mit Win98 kompatibel ist? Bzw. wie es mit der Entfernung per Spysweeper aussieht?

Grüße Wildone

raman · 08.11.2005, 18:02

Nein, das funktioniert nicht unter Win98. Bei Spysweeper habe ich es noch nicht probiert, sollte aber funktionieren....

Wildone · 08.11.2005, 18:13

Hallo,
@raman
na dann sollten wir es doch mal mit Spysweeper versuchen, danke für deine Hinweise.
@Ralf M.
Führe mal folgendes durch. Da danach häufig noch infizierte Dateien zurück bleiben, solltest du danach noch mal mit Escan (Anleitung sorgfältig lesen!) dein System untersuchen und das Log wie in der Anleitung beschrieben posten.

Grüße Wildone

dartus · 08.11.2005, 22:36

War wohl doch zu spät gestern, da meine Empfehlung Ewido war.

dartus

08.11.2005, 01:28	#3
Wildone	64.192.130.141 bzw. www.ad-w-a-r-e.com/ Hallo, und dieses mal vorallem ein komplettes Logfile posten, besonders der O20 Eintrag sollte interessant sein Grüße Wildone __________________

08.11.2005, 09:34	#4
dartus	64.192.130.141 bzw. www.ad-w-a-r-e.com/ Hallo Wildone, beachte bitte das System, es ist Win98. Da kommt nicht mehr. Schauen wir mal, ob es langt. dartus __________________ Kein Support per PN

08.11.2005, 11:29	#5
Wildone	64.192.130.141 bzw. www.ad-w-a-r-e.com/ Hallo, ups, das kommt davon wenn man die Kopfzeile überliest. Würde mich aber trotzdem interessierren ob das ein Ableger von look2me ist, oder andere Adware, die die selben Server verwendet. @Ralf M. Kannst du, wenn du Ewido drüberlaufen läßt, danach mal das Log posten (bereinigt von den Cookiesmeldungen). Grüße Wildone

08.11.2005, 17:33	#6
raman	64.192.130.141 bzw. www.ad-w-a-r-e.com/ Ja, das ist look2me, nur kannst du ihn da in einem HijackThis log unter Win9X gar nicht sehen. Aber man hat den Vorteil, die Dateien im Dosmodus loeschen zu koennen. Achso, ewido funktioniert nicht unter Win9x! __________________ --> 64.192.130.141 bzw. www.ad-w-a-r-e.com/

08.11.2005, 17:49	#7
Wildone	64.192.130.141 bzw. www.ad-w-a-r-e.com/ Hallo, weißt du zufällig auch ob l2mfix mit Win98 kompatibel ist? Bzw. wie es mit der Entfernung per Spysweeper aussieht? Grüße Wildone

08.11.2005, 18:02	#8
raman	64.192.130.141 bzw. www.ad-w-a-r-e.com/ Nein, das funktioniert nicht unter Win98. Bei Spysweeper habe ich es noch nicht probiert, sollte aber funktionieren.... __________________ MfG Ralf

08.11.2005, 18:13	#9
Wildone	64.192.130.141 bzw. www.ad-w-a-r-e.com/ Hallo, @raman na dann sollten wir es doch mal mit Spysweeper versuchen, danke für deine Hinweise. @Ralf M. Führe mal folgendes durch. Da danach häufig noch infizierte Dateien zurück bleiben, solltest du danach noch mal mit Escan (Anleitung sorgfältig lesen!) dein System untersuchen und das Log wie in der Anleitung beschrieben posten. Grüße Wildone

08.11.2005, 22:36	#10
dartus	64.192.130.141 bzw. www.ad-w-a-r-e.com/ War wohl doch zu spät gestern, da meine Empfehlung Ewido war. dartus __________________ Kein Support per PN

64.192.130.141 bzw. www.ad-w-a-r-e.com/

Log-Analyse und Auswertung: 64.192.130.141 bzw. www.ad-w-a-r-e.com/