Hallo,
falls es sich um look2me handelt(reine Mutmaßung meinerseits), wäre auch killbox erfolglos, da helfen nur die Spezialtools (l2mfix, Look2me Destroyer und Look2me Remover).


Grüße Wildone

@all
Ist Euch schon mal der Gedanke gekommen, dass hier Trollgefahr besteht?

Nein,
glaube ich auch nicht. Und die Antworten waren bisher alle schlüssig.


Grüße Wildone

Zitat:

Zitat von felix1

@all
Ist Euch schon mal der Gedanke gekommen, dass hier Trollgefahr besteht?

Besteht doch eigentlich in jedem Forum oder?

Ja, aber man sollte es rechtzeitig mitbekommen.

:aplaus:
danke für die vielen tipps, ich habs mit look2me-destroyer entfernen können.
ist echt ein tolles forum hier!

folgende dateien waren das problem:
C:\WINDOWS\system32\lcrmonui.dll
C:\WINDOWS\system32\llrmonui.dll

Hallo,
poste zur Kontrolle nochmal ein HijackThis Log.
Außerdem solltest du auch nochmal Ewido drüberlaufen lassen, es kommt häufig vor, dass Reste übrigbleiben, die Ewido dann entfernt.
Ansonsten, Finger weg von Cracks und Crackseiten!


Grüße Wildone

ich habe im moment noch einen scanner laufen, wenn der fertig ist poste ich den log nochmal. kannst du mir sagen, ob "spyfalcon" vertrauenswürdig ist??

Hallo,

Zitat:

kannst du mir sagen, ob "spyfalcon" vertrauenswürdig ist??

Ja, kann ich. Und nein Spyfalcon ist selbst Malware, die nicht ganz einfach zu beseitigen ist. Bekommst du Nachrichten in der Taskleiste, oder wie kommst du drauf?


Grüße Wildone

ganz genau, da steht ich sollte mal den ihre page besuchen und mir des programm ziehen. weisst du, wie ich den müll entferne?
ich scanne grad noch mit ewido...

hijack meint:

Logfile of HijackThis v1.99.1
Scan saved at 15:34:25, on 23.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\CyberLink\Shared files\RichVideo.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\ewido anti-malware\ewidoguard.exe
C:\Programme\ewido anti-malware\ewidoctrl.exe
C:\Programme\ewido anti-malware\securitysuite.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\WINDOWS\System32\msiexec.exe
C:\Dokumente und Einstellungen\king.GOTT\Lokale Einstellungen\Temp\wzb212\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Nothing - {f79fd28e-36ee-4989-aa61-9dd8e30a82fa} - C:\WINDOWS\system32\hp549A.tmp (file missing)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe
O4 - HKLM\..\RunOnce: [AAW] "C:\Programme\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe" "+b1"
O4 - HKCU\..\Run: [a-squared] "C:\Programme\a-squared\a2guard.exe"
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {74CD40EA-EF77-4BAD-808A-B5982DA73F20} - http://yax-download.yazzle.net/YazzleActiveX.cab?refid=1123
O20 - Winlogon Notify: winhld32 - winhld32.dll (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido anti-malware\ewidoguard.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared files\RichVideo.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

Hallo,
na super, von einem Problem direkt zum nächsten, denke mal ein wenig über deine Surfgewohnheiten nach, so kann das nicht weiter gehen.

Lösche deine Temp dateien mit Cleanup! und poste die vier Logfiles der Datfind.bat, aber nur die Dateien des letzten Monats abkopieren.

Außerdem besorgst du dir folgendes Programm und läßt es mit der Option "2", wie in der Anleitung beschrieben laufen. Danach postest du den Inhalt der Datei C:\rapport.txt


Grüße Wildone

datfind.bat:
Verzeichnis von C:\WINDOWS\system32

23.05.2006 15:56 4.947 OODBS.lor
23.05.2006 13:46 6.268 ikhcore.log
23.05.2006 11:05 156.672 oins.exe
23.05.2006 11:04 325.133 regperf.exe
23.05.2006 09:10 2 stera.log
22.05.2006 10:10 2.323.072 TUKernel.exe
21.05.2006 21:32 311.604 perfh009.dat
21.05.2006 21:32 39.992 perfc009.dat
21.05.2006 21:32 48.156 perfc007.dat
21.05.2006 21:32 316.594 perfh007.dat
21.05.2006 21:11 299.008 miccyhook.dll
18.05.2006 12:30 24.576 rmoc3260.dll
18.05.2006 05:48 112.584 FNTCACHE.DAT
15.05.2006 09:51 94.208 algchk.exe
07.05.2006 12:30 176.167 rmocx.dll
07.05.2006 12:23 6.656 pndx5016.dll
07.05.2006 12:23 5.632 pndx5032.dll
07.05.2006 12:23 278.528 pncrt.dll
04.05.2006 22:17 28 '
01.05.2006 11:42 1.989 sdbackup.reg
01.05.2006 09:56 895.600 PerfStringBackup.INI
27.04.2006 20:16 2.206 wpa.dbl
27.04.2006 20:13 90 spupdwxp.log
27.04.2006 17:49 288.417 SrchSTS.exe
27.04.2006 17:42 34.064 lhacm.acm
27.04.2006 15:20 3.157 jupdate-1.4.2_03-b02.log
26.04.2006 20:47 16.832 amcompat.tlb
26.04.2006 20:47 23.392 nscompat.tlb
26.04.2006 20:46 2.272 w95inf16.dll
26.04.2006 20:46 4.608 w95inf32.dll
23.04.2006 15:31 0 h323log.txt
23.04.2006 15:31 27.429 NULL
23.04.2006 15:11 22 ati64hlp.stb
23.04.2006 14:47 25.065 wmpscheme.xml
23.04.2006 14:40 249 $winnt$.inf
23.04.2006 14:37 2.951 CONFIG.NT
23.04.2006 14:36 488 WindowsLogon.manifest
23.04.2006 14:36 488 logonui.exe.manifest
23.04.2006 14:36 749 wuaucpl.cpl.manifest
23.04.2006 14:36 749 ncpa.cpl.manifest
23.04.2006 14:36 749 sapi.cpl.manifest
23.04.2006 14:36 749 cdplayer.exe.manifest
23.04.2006 14:36 749 nwc.cpl.manifest
23.04.2006 14:35 21.740 emptyregdb.dat

rapport.txt:

SmitFraudFix v2.46

Scan done at 15:51:58,25, 23.05.2006
Run from C:\Dokumente und Einstellungen\king.GOTT\Desktop\123\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600]
Fix ran in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{e04408db-4812-4478-8d4d-e46edcffd3b6}"="AutoDisc Ware"

[HKEY_CLASSES_ROOT\CLSID\{e04408db-4812-4478-8d4d-e46edcffd3b6}\InProcServer32]
@="C:\WINDOWS\system32\fyhhxw.dll"

[HKEY_CURRENT_USER\Software\Classes\CLSID\{e04408db-4812-4478-8d4d-e46edcffd3b6}\InProcServer32]
@="C:\WINDOWS\system32\fyhhxw.dll"



»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\drsmartload1.exe Deleted
Problem while deleting C:\WINDOWS\system32\ld????.tmp
C:\WINDOWS\system32\ot.ico Deleted
Problem while deleting C:\WINDOWS\system32\regperf.exe
C:\WINDOWS\system32\simpole.tlb Deleted
Problem while deleting C:\WINDOWS\system32\stdole3.tlb
C:\WINDOWS\system32\ts.ico Deleted
C:\WINDOWS\system32\1024\ Deleted
C:\DOKUME~1\KING~1.GOT\FAVORI~1\Antivirus Test Online.url Deleted
C:\DOKUME~1\KING~1.GOT\STARTM~1\PROGRA~1\MalwareWipe Deleted

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

*** An error occured while opening C:\WINDOWS\system32\fyhhxw.dll ***


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

»»»»»»»»»»»»»»»»»»»»»»»» Reboot

C:\WINDOWS\system32\ld????.tmp Deleted
C:\WINDOWS\system32\stdole3.tlb Deleted

»»»»»»»»»»»»»»»»»»»»»»»» End

sorry, rapport.txt war falsch. guck dir mal diese an:

SmitFraudFix v2.46

Scan done at 16:00:27,34, 23.05.2006
Run from C:\Dokumente und Einstellungen\king.GOTT\Desktop\123\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600]
Fix ran in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{e04408db-4812-4478-8d4d-e46edcffd3b6}"="AutoDisc Ware"

[HKEY_CLASSES_ROOT\CLSID\{e04408db-4812-4478-8d4d-e46edcffd3b6}\InProcServer32]
@="C:\WINDOWS\system32\fyhhxw.dll"

[HKEY_CURRENT_USER\Software\Classes\CLSID\{e04408db-4812-4478-8d4d-e46edcffd3b6}\InProcServer32]
@="C:\WINDOWS\system32\fyhhxw.dll"



»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\WINDOWS\system32\regperf.exe Deleted
C:\WINDOWS\system32\1024\ Deleted

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

C:\WINDOWS\system32\fyhhxw.dll -> Missing File


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{e04408db-4812-4478-8d4d-e46edcffd3b6}"="AutoDisc Ware"

[HKEY_CLASSES_ROOT\CLSID\{e04408db-4812-4478-8d4d-e46edcffd3b6}\InProcServer32]
@="C:\WINDOWS\system32\fyhhxw.dll"

[HKEY_CURRENT_USER\Software\Classes\CLSID\{e04408db-4812-4478-8d4d-e46edcffd3b6}\InProcServer32]
@="C:\WINDOWS\system32\fyhhxw.dll"



»»»»»»»»»»»»»»»»»»»»»»»» End

Hallo,
lösche noch folgende Dateien mit killbox (Option "delete on reboot"):

23.05.2006 11:05 156.672 oins.exe
23.05.2006 11:04 325.133 regperf.exe (falls vorhanden)

Untersuche mal folgende Dateien bei virustotal und poste wieder das Ergebnis:

C:\WINDOWS\system32\fyhhxw.dll
C:\WINDOWS\system32\algchk.exe


Grüße Wildone