Trojaner-Board - Spotresults.com & Pop-Ups treiben mich in den Wahnsinn

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Spotresults.com & Pop-Ups treiben mich in den Wahnsinn (https://www.trojaner-board.de/22072-spotresults-com-pop-ups-treiben-mich-wahnsinn.html)

Guten Morgen,

LSP-Fix zeigt mir nur folgende Sachen an:

mswsock.dll
winrnr.dll
nwprovau.dll
wshbth.dll
nl_lsp.dll
rsvpsp.dll

Werde jetzt mal von Hand die ausgesuchten Files aus dem eScan-Ergebnis von Hand löschen. Ich melde mich! Danke!

Hallo,
die mit LSPfix gefundenen dlls sollten alle in Ordnung sein, also dort nichts verändern.

Grüße Wildone

Auch schon wieder da :) ... Klasse ...

Also ich habe alle genannten Dateien gelöscht. Heute morgen kam noch eine weitere dll mit look2me hinzu - habe die auch gelöscht. Jetzt zeigt eScan "nurnoch" folgendes an:

Object "bearshare Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "bonzibuddy Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "zipitpro Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "eUniverse/Keenvalue variant Spyware/Adware" found in File System! Action Taken: No Action Taken.

Leider werden nachwievor Popups geladen ... scheinbar nicht mehr gaaanz so wild wie vorher, aber immernoch die gleichen ... es scheint ja auch noch irgendwas drauf zu sein. Hoffe auf weitere hilfreiche Instruktionen :)

Gruß,
Armin

Keines der 4 "Programme" habe ich bei mir installiert ... über Bearshare habe ich bei Google rausgefunden, dass das von emule kommen kann. ansonsten habe ich aber keine p2p-software installiert.

Ich bin aber echt ratlos, woher die Popups kommen. Sobald ich das 1. mal irgendwie die www-leitung benutze, geht´s los ... egal ob der browser an ist oder nicht.

Hallo,
schau mal unter Systemsteuerung>>Software ob da eines der genannten Programme auftaucht, wenn ja deinstallieren.
Sind das wirklich alle Einträge in Escan, da müssten doch eigentlich noch welche in der Art kommen:
File D:\Programme\RealVNC\WinVNC\winvnc.exe tagged as not-a-virus:RemoteAdmin.Win32.WinVNC-based.c. No Action Taken.
File D:\Programme\RealVNC\WinVNC\othread2.dll tagged as not-a-virus:RemoteAdmin.Win32.WinVNC-based.c. No Action Taken.
File D:\Programme\RealVNC\WinVNC\vnchooks.dll tagged as not-a-virus:RemoteAdmin.Win32.WinVNC-based.c. No Action Taken.
die solltest du ja nicht löschen.
Erstelle vielleicht auch noch mal ein neues HijackThis log.
Ansonsten bin ich relativ ratlos und werde mich mal noch nach weiteren Informationen über Look2me.ab mal umschauen.

Grüße Wildone

Hallo,
das ganze scheint doch etwas zu kompliziert für mich zu werden, da ich mit diesem Tool quasi keine Erfahrung habe. Führe mal das Programm aus, und lass es unter Option 1 laufen und poste dann das erstellte Log, ich schaue mal ob ich jemanden per PN erreichen kann, der es lesen kann.

Grüße Wildone

Danke! Habe das Tool gerade nach einer Anleitung von nikita benutzt. Nikita riet mir ewida zu benutzen.

Ewida findet folgende 2 Dateien, die ich zwar mit ewida löschen kann, die aber direkt beim nächsten scan wieder da sind:

guard.tmp und osjsel.dll (bei Look2Me verseucht) ... wie bekomme ich die weg? L2MFix hat soweit nicht wirklich geholfen ... zumindest gehen noch browser-fenster auf ... Pop-Ups kamen bisher noch nicht.

Vielleicht hast Du ja nach der Info wieder einen guten Rat. Danke nochmals für die konsequente Hilfe!!

aknox

Nikita bin ich ;)
da ich hier mehr Daten als im anderen Thread habe:

speicher diese reg-Datei lok.reg auf dem Desktop (oben im Browser-->Datei-->Seite speichern unter...--> waehle Desktop)
und boote in den abgesicherten Modus, dort klicke die lok.reg doppelt und fuege sie der Registry bei
http://virus-protect.net/virusprotect/reg/lok.reg

Zitat:

Verzeichnis von C:\WINDOWS\System32
23.09.2005 10:40 237.008 mvcmcde.dll
23.09.2005 10:39 237.008 guard.tmp

CCleaner (loesche alle temp-Dateien)
http://www.ccleaner.com/ccdownload.asp

•KillBox
http://www.bleepingcomputer.com/files/killbox.php
Anleitung: (bebildert)
http://nikita.eddys-domain.de/killbox.html

•Delete File on Reboot <--anhaken

und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

G:\__SOFTWARE__\__Communication__\netpumper-1.10.3-setup.exe
D:\WINNT\wt\wtbgm\wtbgmtt.exe
D:\Programme\Gemeinsame Dateien\CMEII\GController.dll
D:\Programme\Gemeinsame Dateien\CMEII\GStore.dll
D:\Programme\Gemeinsame Dateien\CMEII\GStoreServer.dll
C:\WINDOWS\system32\guard.tmp

PC neustarten

D:\Programme\Gemeinsame Dateien\CMEII <--loeschen

G:\__SOFTWARE__\__System__\__Desktop__\Bildschirmschoner - Websites - Freeware\gPhotoShow.exe<--loeschen

D:\WINNT\wt\wtbgm<--loeschen

noch einmal scannen mit:

L2mfix.
http://virus-protect.net/virusprotect/L2mfix.html
fuehre bitte alles nach Anleitung aus und poste die zwei Logs in den Thread.

Hallo,
nur als Frage gemeint, was die nl_lsp.dll angeht, gehört die nicht zum Programm Netlimiter und ist soweit unbedenklich?

Grüße Wildone

Habe gerade mit PE-Buider ein WinXP-ISO gezogen, das mal gestartet und dort die guard.tmp gelöscht ... die guard.tmp ist auch nach dem start nicht mehr aufgetaucht ... wäre ja schonmal ein erfolg ... ich glaube ich habe keine Google-Hijacks mehr ... mal sehen ob´s gleich aufpoppt ... ich hoffe nicht!

Danke schonmal ... ich melde mich in jedem Fall ob´s geholfen hat oder nicht!

speicher diese reg-Datei lok.reg auf dem Desktop (oben im Browser-->Datei-->Seite speichern unter...--> waehle Desktop)
und boote in den abgesicherten Modus, dort klicke die lok.reg doppelt und fuege sie der Registry bei
http://virus-protect.net/virusprotect/reg/lok.reg

noch einmal scannen mit:

L2mfix.
http://virus-protect.net/virusprotect/L2mfix.html
fuehre bitte alles nach Anleitung aus und poste die zwei Logs in den Thread.

XP/2000 (laden scannen und berichten) ;)
http://www.downloads.subratam.org/VX2Finder.exe

CWS-Shredder und auch ewida finden endlich keinen Look2Me mehr . Mensch ... danke!!! Ohne Euch hätte ich das natürlich nie geschafft!! Hat sich die Arbeit ja doch gelohnt.

Jetzt nochmal eine Frage an die Profis: Welche Software empfehlt ihr, im hintergrund laufen zu lassen. habe bisher den Spyware Doctor, Microsoft AntiSpyware und seit 2 Tagen PestPatrol-Guards aktiviert. Was empfehlt ihr mir, dass ich mich gegen genau solche Infizierungen möglichst gut verteidigen kann?

Danke nochmal! Bin echt sowas von happy! Habe eben schon nicht mehr damit gerechnet, dass System ohne Neustart sauber zu bekommen. Danke, Danke, Danke!

Hallo,
bevor du feierst wäre es vielleicht ganz sinnvoll wenn du mal die Anweisungen von Sabina ausführst, und nach den l2mfix Logs bist du jetzt drei mal gefragt worden.

Grüße Wildone

ups, sofort ... sorry

L2MFIX find log 1.04a
These are the registry keys present
**********************************************************************************
Winlogon/notify:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,\
6c,00,00,00
"Logoff"="ChainWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Logoff"="CryptnetWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]
"DLLName"="cscdll.dll"
"Logon"="WinlogonLogonEvent"
"Logoff"="WinlogonLogoffEvent"
"ScreenSaver"="WinlogonScreenSaverEvent"
"Startup"="WinlogonStartupEvent"
"Shutdown"="WinlogonShutdownEvent"
"StartShell"="WinlogonStartShellEvent"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]
"DLLName"="wlnotify.dll"
"Logon"="SCardStartCertProp"
"Logoff"="SCardStopCertProp"
"Lock"="SCardSuspendCertProp"
"Unlock"="SCardResumeCertProp"
"Enabled"=dword:00000001
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"StartShell"="SchedStartShell"
"Logoff"="SchedEventLogOff"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]
"Logoff"="WLEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
"DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]
"DLLName"="WlNotify.dll"
"Lock"="SensLockEvent"
"Logon"="SensLogonEvent"
"Logoff"="SensLogoffEvent"
"Safe"=dword:00000001
"MaxWait"=dword:00000258
"StartScreenSaver"="SensStartScreenSaverEvent"
"StopScreenSaver"="SensStopScreenSaverEvent"
"Startup"="SensStartupEvent"
"Shutdown"="SensShutdownEvent"
"StartShell"="SensStartShellEvent"
"PostShell"="SensPostShellEvent"
"Disconnect"="SensDisconnectEvent"
"Reconnect"="SensReconnectEvent"
"Unlock"="SensUnlockEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"Logoff"="TSEventLogoff"
"Logon"="TSEventLogon"
"PostShell"="TSEventPostShell"
"Shutdown"="TSEventShutdown"
"StartShell"="TSEventStartShell"
"Startup"="TSEventStartup"
"MaxWait"=dword:00000258
"Reconnect"="TSEventReconnect"
"Disconnect"="TSEventDisconnect"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]
"DLLName"="wlnotify.dll"
"Logon"="RegisterTicketExpiredNotificationEvent"
"Logoff"="UnregisterTicketExpiredNotificationEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wzcnotif]
"DLLName"="wzcdlg.dll"
"Logon"="WZCEventLogon"
"Logoff"="WZCEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000000

RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!

Access Control List for Registry key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify:
(NI) ALLOW Full access NT-AUTORITŽT\SYSTEM
(IO) ALLOW Full access NT-AUTORITŽT\SYSTEM
(ID-NI) ALLOW Read VORDEFINIERT\Benutzer
(ID-IO) ALLOW Read VORDEFINIERT\Benutzer
(ID-NI) ALLOW Read VORDEFINIERT\Hauptbenutzer
(ID-IO) ALLOW Read VORDEFINIERT\Hauptbenutzer
(ID-NI) ALLOW Full access VORDEFINIERT\Administratoren
(ID-IO) ALLOW Full access VORDEFINIERT\Administratoren
(ID-NI) ALLOW Full access NT-AUTORITŽT\SYSTEM
(ID-IO) ALLOW Full access NT-AUTORITŽT\SYSTEM
(ID-IO) ALLOW Full access ERSTELLER-BESITZER

**********************************************************************************
useragent:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
"{943D8FC1-CFE4-232F-0D59-354C9C384D4E}"=""