Hi,
Ich habe mir vor 2 Tagen blöderweise den MSN Wurm TR/Dldr.VB.agk
zugezogen.
Ich war ganz Froh als ich mit AntiVir alles ganz gut wegbekommen habe von dem Virus.

Nun habe ich aber das Problem, dass sich andauernd irgendwelche Explorer öffnen, mit allerlei Werbung für Musik oder sowas und für Programme die mich vor Adware und Malware schützen sollen.

Ich hab schon mehrere Suchläufe mit Ad-aware und Spybot S&D durchgeführt und jedesmal findet er einen Eintrag welchen er nicht löschen kann und nach dem Reboot löschen will, was aber auch nicht funktioniert.
Einerseits ist das bei C:\WINDOWS\system32\guard.tmp der Fall und auch bei einer .dll Datei welche dauernd ihren Namen ändert.

Hier der HijackThis-Log:

Logfile of HijackThis v1.99.1
Scan saved at 12:26:53, on 09.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\nvraidservice.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
D:\Programme\D-Tools\daemon.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\wbem\unsecapp.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\NETGEAR WG311v2 Adapter\wlancfg5.exe
C:\WINDOWS\system32\rundll32.exe
e:\Eigene Dateien\eMule\eMule.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\Downloads\hijackthis\HijackThis.exe

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\System32\nvraidservice.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KeyBoard] C:\\kybrdff_16.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.1\bin\npjpi141.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.1\bin\npjpi141.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1103830102265
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: OptimalLayout - C:\WINDOWS\system32\lvr0099me.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: V2i Protector - PowerQuest Corporation - C:\Programme\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe

Ich hoffe ihr könnt mir helfen das loszuwerden, denn beim Spielen oder Surfen nervts ein wenig immer Popups schließen zu müssen.
Danke schonmal

Gruß Vqmpire

Hallo,

hast du den Beitrag von Yopie nichtgelesen?

MSN Wurm macht die Runde .

Da steht das einzig richtige in diesem Fall drin.
Warum glaubst du, das Antivir diesen Wurm entfernt hat?
Ist ja wohl nicht so, wenn du noch Probleme hast.

Lasse mal die Datei,. die du nicht löschen kannst bei Jotti und Virustotal auswerten. Link in meiner SIG! Poste das gesamte Ergebnis einschließlich der größe der Datei aus der Auswertung!

Auch Hilfreich: dieser Thread


Gruß Mellosun

Zuerst die Datei guard.tmp:

Jotti:

Datei: guard.tmp
Auslastung: 0% 100%

Status: INFIZIERT/MALWARE
Entdeckte Packprogramme: -

AntiVir Adware-Spyware/Look2Me.ab adware gefunden
ArcaVir Keine Viren gefunden
Avast Win32:Lookme-gen gefunden
AVG Antivirus Look2me gefunden
BitDefender Keine Viren gefunden
ClamAV Adware.Lookme-26 gefunden
Dr.Web Adware.Look2me gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Adware/Look2me gefunden
Kaspersky Anti-Virus not-a-virus:AdWare.Win32.Look2Me.ab gefunden
NOD32 Win32/Adware.Look2Me application gefunden
Norman Virus Control W32/Look2Me.DJ gefunden
UNA Keine Viren gefunden
VirusBuster Trojan.PolyAgent.A gefunden
VBA32 Keine Viren gefunden

VirusTotal:

STATUS: FINISHEDComplete scanning result of "guard.tmp", received in VirusTotal at 09.09.2006, 13:22:53 (CET).

Antivirus Version Update Result
AntiVir 7.1.1.16 09.09.2006 ADSPY/Look2Me.ab
Authentium 4.93.8 09.09.2006 no virus found
Avast 4.7.844.0 09.08.2006 Win32:Lookme-gen
AVG 386 09.08.2006 Look2me
BitDefender 7.2 09.09.2006 Adware.Dinky.A
CAT-QuickHeal 8.00 09.09.2006 Adware.Look2Me
ClamAV devel-20060426 09.09.2006 Adware.Lookme-26
DrWeb 4.33 09.09.2006 Adware.Look2me
eTrust-InoculateIT 23.72.120 09.08.2006 Win32/Candebe!Trojan
eTrust-Vet 30.3.3070 09.09.2006 Win32/Canbede
Ewido 4.0 09.09.2006 Adware.Look2Me
Fortinet 2.77.0.0 09.09.2006 Adware/Look2me
F-Prot 3.16f 09.09.2006 no virus found
F-Prot4 4.2.1.29 09.08.2006 no virus found
Ikarus 0.2.65.0 09.08.2006 AdWare.Look2Me.AB
Kaspersky 4.0.2.24 09.09.2006 not-a-virus:AdWare.Win32.Look2Me.ab
McAfee 4848 09.08.2006 potentially unwanted program Adware-Look2Me
Microsoft 1.1560 09.09.2006 Look2Me
NOD32v2 1.1746 09.08.2006 Win32/Adware.Look2Me
Norman 5.90.23 09.08.2006 W32/Look2Me.DJ
Panda 9.0.0.4 09.08.2006 Adware/Look2Me
Sophos 4.09.0 09.09.2006 no virus found
Symantec 8.0 09.09.2006 no virus found
TheHacker 5.9.8.208 09.08.2006 Adware/Look2Me
UNA 1.83 09.08.2006 no virus found
VBA32 3.11.1 09.09.2006 no virus found
VirusBuster 4.3.7:9 09.08.2006 Trojan.PolyAgent.A

Aditional Information
File size: 237279 bytes
MD5: 14cf7d3ea831c75405423f3340c33940
SHA1: f60fd40e97ddb84c2b5dfdeb81384fdc840806bb
packers: FakeNeo

Dann die DLL Datei:

Bei Jotti sagt er mir das die datei 0 kb groß sei und das eine Firewall oder ein Malware verhindert das ich die Datei hochladen könne.

bei VirusTotal:

STATUS: FINISHEDComplete scanning result of "lvr0099me.dll", received in VirusTotal at 09.09.2006, 13:28:32 (CET).

Antivirus Version Update Result
AntiVir n - no virus found
Authentium n - no virus found
Avast n - no virus found
AVG n - no virus found
BitDefender n - no virus found
CAT-QuickHeal n - no virus found
ClamAV n - no virus found
DrWeb n - no virus found
eTrust-InoculateIT n - no virus found
eTrust-Vet n - no virus found
Ewido n - no virus found
Fortinet n - no virus found
F-Prot n - no virus found
F-Prot4 n - no virus found
Ikarus n - no virus found
Kaspersky n - no virus found
McAfee n - no virus found
Microsoft n - no virus found
NOD32v2 n - no virus found
Norman n - no virus found
Panda n - no virus found
Sophos n - no virus found
Symantec n - no virus found
TheHacker n - no virus found
UNA n - no virus found
VBA32 n - no virus found
VirusBuster n - no virus found

Aditional Information
File size: 0 bytes
MD5: d41d8cd98f00b204e9800998ecf8427e
SHA1: da39a3ee5e6b4b0d3255bfef95601890afd80709
packers: MEW
packers: MEW


Den Thread von Yopie hab ich gelesen, aber ich wollt nich sehr gern neu aufsetzten :/ Sonst hätt ich auch mein imige direkt nach neuinstalation drüber schreiben können (das sollte doch funktionieren falls es kein anderer ausweg gibt? )

Zitat:

Zitat von Vqmpire

Sonst hätt ich auch mein imige direkt nach neuinstalation drüber schreiben können (das sollte doch funktionieren falls es kein anderer ausweg gibt? )

Mach das mit dem Image. Genau für diesen Zweck hast du es damals angelegt!

(Und jetzt wirkt es sich günstig aus, wenn deine Daten nicht auf der Systempartition liegen.)

Gruß
Yopie

Zitat:

Zitat von Yopie

Mach das mit dem Image. Genau für diesen Zweck hast du es damals angelegt!

(Und jetzt wirkt es sich günstig aus, wenn deine Daten nicht auf der Systempartition liegen.)

Gruß
Yopie

gesagt getan, thx 4 help