Hallo!

ich habe mir vor ein paar tagen mit einem software-patch (ja, selbst schuld, ich weiss) irgendne adware/spyware oder sonstwas gefangen. hab schon viel versucht, ohne ergebnis. würd ungern das system (winXP inkl. SP2) neu aufsetzen - und deswegen dieser thread!


PROBLEM:

beim surfen im netz werde ich im akuellen fenster ständig auf werbeseiten umgeleitet -per inaktivität des pcs aber eher selten. dazu kommen werbe pop-ups. sehr vervig!! das ganze tritt nur auf wenn firefox läuft, I-explorer scheint nicht davon betroffen zu sein (firefox ist als standart-browser definiert).



SCHON VERSUCHT:

f-prot erkannte w32/downloader.uax in system_volum_info\restore
-> hab die systemwiederherstellung ausgestellt - womit der restore ordner ja gelöscht wird.

spyware & ad-aware haben keine probs gefunden - counterspy (trialversion) fand dann aber adware und nen trojaner - und hat das angebelich behoben.

das problem blieb.

ich hab auch schon den cache vom browser (firefox) geleert und java-script ausgestellt. auch kein erfolg. auch den firefox neu zu installieren hat nichts gebracht.


ein scan mit counterspy und mit f-prot liefert keine weiteren ergebnisse, aber das problem ist immer noch vorhanden.


hat irgendwer ne idee?? oder soll ich erstmal so einen hjt-scan result hierrein packen??
bin dankbar für jede hilfe! muss mit dem pc arbeiten und das ist so echt nervig!

MfG!

Hallo,
poste mal ein HijackThis log wie hier beschrieben.


Grüße Wildone

so, nun hier also das HJT log-file.
hab nur meinen namen in *USER* geändert. sonst absolut orignal.


Logfile of HijackThis v1.99.1
Scan saved at 20:07:09, on 15.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\F-Prot\F-StopW.EXE
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Tracker Software\PDF-XChange 3\pdfSaver\pdfSaver3.exe
C:\Programme\AudioSystem EWX 2496\EwxCpl.exe
C:\Programme\F-Prot\fpavupdm.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\thunderbird\thunderbird.exe
C:\PortableFirefox\firefox\firefox.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Dokumente und Einstellungen\*USER*\Eigene Dateien\HJT\HijackThis.exe

O4 - HKLM\..\Run: [F-StopW] C:\Programme\F-Prot\F-StopW.EXE
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [pdfSaver3] "C:\Programme\Tracker Software\PDF-XChange 3\pdfSaver\pdfSaver3.exe"
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: EWX 2496 ControlPanel.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Send to Mindjet MindManager - {531B9DC0-D8EE-4c76-A6EE-6C1E50569655} - C:\Programme\Mindjet\MindManager 6\Mm6InternetExplorer.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - Winlogon Notify: BITS - C:\WINDOWS\system32\kt4ul7h91.dll
O23 - Service: F-Prot Antivirus Update Monitor - FRISK Software - C:\Programme\F-Prot\fpavupdm.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe



hoffe daraus wird jemand schlau und kann mir mit meinem problem weiterhelfen ?!

Hallo,
mache folgendes, danach läßt du noch Ewido drüberlaufen und postest ein neues HijackThis Log.


Grüße Wildone

lade die prgoz gerade runter und schau mal was bei rauskommt.

nur wg der neugier und wenn es nicht zuviel fragerei ist: woran hast du erkannt das es dieser look2me teil ist? ich mein, hab auch mal über das log-file geschaut, aber für mit schien da nichts auffälliges bei ?!

Hallo,
erstmal weil es gerade sehr en vogue ist look2me zu haben, und zweitens weil du einen Zufallseintrag in der Winlogon(O20-Eintrag) hast.
Übrigens solltest du vorsichtiger mit runtergeladenen Cracks/Keygens oder ähnlichem Gedöns umgehen.


Grüße Wildone