Hallo!

ich habe mir vor ein paar tagen mit einem software-patch (ja, selbst schuld, ich weiss) irgendne adware/spyware oder sonstwas gefangen. hab schon viel versucht, ohne ergebnis. würd ungern das system (winXP inkl. SP2) neu aufsetzen - und deswegen dieser thread!


PROBLEM:

beim surfen im netz werde ich im akuellen fenster ständig auf werbeseiten umgeleitet -per inaktivität des pcs aber eher selten. dazu kommen werbe pop-ups. sehr vervig!! das ganze tritt nur auf wenn firefox läuft, I-explorer scheint nicht davon betroffen zu sein (firefox ist als standart-browser definiert).



SCHON VERSUCHT:

f-prot erkannte w32/downloader.uax in system_volum_info\restore
-> hab die systemwiederherstellung ausgestellt - womit der restore ordner ja gelöscht wird.

spyware & ad-aware haben keine probs gefunden - counterspy (trialversion) fand dann aber adware und nen trojaner - und hat das angebelich behoben.

das problem blieb.

ich hab auch schon den cache vom browser (firefox) geleert und java-script ausgestellt. auch kein erfolg. auch den firefox neu zu installieren hat nichts gebracht.


ein scan mit counterspy und mit f-prot liefert keine weiteren ergebnisse, aber das problem ist immer noch vorhanden.


hat irgendwer ne idee?? oder soll ich erstmal so einen hjt-scan result hierrein packen??
bin dankbar für jede hilfe! muss mit dem pc arbeiten und das ist so echt nervig!

MfG!

Hallo,
poste mal ein HijackThis log wie hier beschrieben.


Grüße Wildone

so, nun hier also das HJT log-file.
hab nur meinen namen in *USER* geändert. sonst absolut orignal.


Logfile of HijackThis v1.99.1
Scan saved at 20:07:09, on 15.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\F-Prot\F-StopW.EXE
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Tracker Software\PDF-XChange 3\pdfSaver\pdfSaver3.exe
C:\Programme\AudioSystem EWX 2496\EwxCpl.exe
C:\Programme\F-Prot\fpavupdm.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\thunderbird\thunderbird.exe
C:\PortableFirefox\firefox\firefox.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Dokumente und Einstellungen\*USER*\Eigene Dateien\HJT\HijackThis.exe

O4 - HKLM\..\Run: [F-StopW] C:\Programme\F-Prot\F-StopW.EXE
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [pdfSaver3] "C:\Programme\Tracker Software\PDF-XChange 3\pdfSaver\pdfSaver3.exe"
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: EWX 2496 ControlPanel.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Send to Mindjet MindManager - {531B9DC0-D8EE-4c76-A6EE-6C1E50569655} - C:\Programme\Mindjet\MindManager 6\Mm6InternetExplorer.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - Winlogon Notify: BITS - C:\WINDOWS\system32\kt4ul7h91.dll
O23 - Service: F-Prot Antivirus Update Monitor - FRISK Software - C:\Programme\F-Prot\fpavupdm.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe



hoffe daraus wird jemand schlau und kann mir mit meinem problem weiterhelfen ?!

Hallo,
mache folgendes, danach läßt du noch Ewido drüberlaufen und postest ein neues HijackThis Log.


Grüße Wildone

lade die prgoz gerade runter und schau mal was bei rauskommt.

nur wg der neugier und wenn es nicht zuviel fragerei ist: woran hast du erkannt das es dieser look2me teil ist? ich mein, hab auch mal über das log-file geschaut, aber für mit schien da nichts auffälliges bei ?!

Hallo,
erstmal weil es gerade sehr en vogue ist look2me zu haben, und zweitens weil du einen Zufallseintrag in der Winlogon(O20-Eintrag) hast.
Übrigens solltest du vorsichtiger mit runtergeladenen Cracks/Keygens oder ähnlichem Gedöns umgehen.


Grüße Wildone

soooo.....


erstmal einen riesen dank, wilder!

mal ganz ehrlich: ICH BIN GESCHOCKT!
mal ganz abgesehen von dem look2me wurden noch diverese andere spyware gefunden!! 4 mit spysweeper und über 40 (!) mit ewido!

spybot und adaware klopp ich ab sofort in die tonne....
und von cracks werd ich wohl erstmal die finger lassen!!


ALSO:
ewido hat nicht wirklich inaktive dateien gefunden, aber auch den look2me (4-mal). wie auch immer, die pop-up plage ich scheinbar verschwunden! auch wenn ich jetzt nicht mehr en-vogue bin - so ist mir der computer 1000mal lieber!


so... hier nochmal das letzte HJT logfile (nach den beiden scans)

Logfile of HijackThis v1.99.1
Scan saved at 22:13:50, on 15.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\F-Prot\F-StopW.EXE
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Tracker Software\PDF-XChange 3\pdfSaver\pdfSaver3.exe
C:\Programme\AudioSystem EWX 2496\EwxCpl.exe
C:\Programme\F-Prot\fpavupdm.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\ewido\security suite\ewidoguard.exe
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Daniel\Eigene Dateien\HJT\HijackThis.exe

O4 - HKLM\..\Run: [F-StopW] C:\Programme\F-Prot\F-StopW.EXE
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKCU\..\Run: [pdfSaver3] "C:\Programme\Tracker Software\PDF-XChange 3\pdfSaver\pdfSaver3.exe"
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: EWX 2496 ControlPanel.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Send to Mindjet MindManager - {531B9DC0-D8EE-4c76-A6EE-6C1E50569655} - C:\Programme\Mindjet\MindManager 6\Mm6InternetExplorer.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe
O23 - Service: F-Prot Antivirus Update Monitor - FRISK Software - C:\Programme\F-Prot\fpavupdm.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe




sieht es jetzt "besser" aus?

nochmal vielen für die schnelle und kompetente hilfe!
Gruß!

Hallo,
ja, jetzt bist du wieder vollkommen unmodern .Was Ewido und Spysweeper angeht, so sind dieses kostenlose Trialversionen, die nur 14 Tage nutzbar sind. Also für den Hausgebrauch reichen Ad-Aware und Spybot eigentlich aus, bei vielem von dem was Ewido gefunden hat wird es sich um Tracking Cookies und ähnliches handeln, also nichts wirklich dramatisches.


Grüße Wildone

da bin ich ja etwas beruhigter - so ein ausmass hielt ich auch für sehr übertrieben (doppelnennungen usw).

welches ist denn deiner meinung nach das beste freeware atni spy tool?
counterspy ist ja auch keine freeware, das hat ja immerhin angeschlagen aber nichts geändert.... wenn geld bezahlen wär edwiso meine wahl - sah nett aus und hat am meisten gefunden.

aber freeware? ist die in dem bereich überhaupt noch zulässig? ich meine, die entwickler lassen sich ja evtl. auch kaufen und übersehen das die ein oder andere ware?!


will jetzt keine diskussion starten, nur mal ne 2. meinung hören. und evtl nen tipp von nem versierten user bzgl anti-spy ware.

gruss von mir. und noch ein danke schön! :-)