Hallo,

habe mir leider ne Malware eingefangen.

eScan sagt es sind: whenu.savenow, casinoclient, fresh devices und searchexe

Hab in meiner Firewall den IE deaktiviert, jetzt nimmt er halt den Opera.

Hab hier schon alles gelesen und probiert, das ding geht nicht weg.

Danke schonmal vorab !

HiJack-Log hängt an !

lösche im abgesicherten modus alle dateien die in den folgenden links aufgelistet sind:
(die registrierungseinträge erreichst du über: "startmenu" --> "ausführen" --> "regedit" eingeben.)
http://www3.ca.com/securityadvisor/p...x?id=453078883
http://www3.ca.com/securityadvisor/p...x?id=453094342
http://www3.ca.com/securityadvisor/p...x?id=453087588
http://www3.ca.com/securityadvisor/p...x?id=453075520

dazu fixt du mit hijackthis (ebenfalls im abgesicherten modus) diese einträge:

R3 - Default URLSearchHook is missing

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

O20 - Winlogon Notify: DateTime - C:\WINNT\system32\lv0m09d1e.dll

Erstmal Danke für die Hilfe, hat aber leider nichts genützt. Habe alles wie beschrieben durchgeführt. Die Dateien und Reg-Einträge hatte ich aber auch nicht auf meinem Rechner. Anbei neues HiJack-Log-File.

Übrigens, sperrt man IE und Opera nimmt die Malware sich einfach den Firefox ! Der scheint richtig nerven zu können !

Ich hätte auch noch das eScan-Logfile, hat aber 6 MB !!!

Gruß

das gehört bestimmt zu diesem casinoclient:
O20 - Winlogon Notify: MS-DOS Emulation - C:\WINNT\system32\h04m0ah1ed4.dll

fix das auch mal im abges. modus.
scan mal mit ad-ware und spybot (zu finden über google)

Leider kein Erfolg.

Der O20 Eintrag in HiJack lässt sich nicht fixen, nach dem fixen heisst die DLL wieder anders, jetzt z. B. k0800......dll (siehe neues HiJack-Log, hab das ganze 4 mal probiert, leider ohne Erfolg.

Spybot hat nix gefunden, AdAware auch nicht (Log anbei),

Bin langsam am verzweifeln, online Scan von Symantec bringt auch nix.

hm, ich glaube du hast l2me.
lad dir mal den look2me remover runter:
http://www.simplytech.it/L2MRemover/setup.zip
das fixen wenn oben gen, durchgeführt (alles im abgesicherten modus):

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O20 - Winlogon Notify: Group Policy - C:\WINNT\system32\k0800almedqa0.dll

Hallo,

@Juli: Fischen im Nebel

@mb1403: Scanne die Datei C:\WINNT\system32\k0800almedqa0.dll bei Jotti und poste das Ergebnis hier.

Gruß

Schrulli

Hallo !

war Look2Me, endlich wieder ruhe mit den Browsern !

Vielen Vielen Dank für Eure Unterstützung !



(mach mir jetzt eins auf) !

Zitat:

Zitat von Schrulli

Hallo,

@Juli: Fischen im Nebel
Schrulli

aber recht gehabt

@mb1403: schön das ich helfen konnte

Hallo,

warten wir seinen nächsten Post ab....

Gruß

Schrulli

vielleicht währe ein weiteres, aktuelles HijackThis log zur kontrolle nicht verkehrt.

Hallo,

vielen Dank allen, die sich hier aktiv um diese "Bösewichter" kümmern !
Ich habe rund 48 Stunden gekämpft, weder Ad-Aware, noch SpyBot,
Kaspersky, AntiVir, oder CWShredder hatten Look2Me gefunden. Auch
das HiJackThis-Log brachte keinen Erfolg (die verursachende DLL wurde
zwar gefunden, konnte aber nicht gefixt werden).

Erst L2MRemover hat meinen PC (und mich ) gerettet !

Mille Grazie nach Italien (und natürlich ans Trojaner-Board)