Hallo,
Ewido wird dich hier nicht weiterbringen, der kann höchsten nach dem die Spezialtools am Werk waren die Reste bereinigen.
Ist der O20 Eintrag in deinem HijackThis Log immmernoch vorhanden? Oder ist ev. ein File Missing dahinter?
Wenn er immernoch da ist, bleibt noch das dritte Tool anzuwenden, den look2me destroyer 1.05.und berichte ob danach der O20 Eintrag weg ist (oder ein File missing dahinter steht).


Grüße Wildone

hier ist der look2me-destroyer log



Look2Me-Destroyer V1.0.7

Scanning for infected files.....
Scan started at 07.03.2006 16:31:29

Infected! C:\WINDOWS\system32\i4lole331h.dll
Infected! C:\WINDOWS\system32\dgcprop2.dll
Infected! C:\WINDOWS\system32\i4lole331h.dll
Infected! C:\WINDOWS\system32\l2n40c5qef.dll

Attempting to delete infected files...

Attempting to delete: C:\WINDOWS\system32\i4lole331h.dll
C:\WINDOWS\system32\i4lole331h.dll Deleted successfully!

Attempting to delete: C:\WINDOWS\system32\dgcprop2.dll
C:\WINDOWS\system32\dgcprop2.dll Deleted successfully!

Attempting to delete: C:\WINDOWS\system32\i4lole331h.dll
C:\WINDOWS\system32\i4lole331h.dll Deleted successfully!

Attempting to delete: C:\WINDOWS\system32\l2n40c5qef.dll
C:\WINDOWS\system32\l2n40c5qef.dll Deleted successfully!

Making registry repairs.

Removing: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Group Policy

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{0EA5D7B3-41F0-44F4-AB12-37A961487B6D}"
HKCR\Clsid\{0EA5D7B3-41F0-44F4-AB12-37A961487B6D}

Restoring Windows certificates.

Replaced hosts file with default windows hosts file


Restoring SeDebugPrivilege for Administratoren - Succeeded

und mein hijackthis log


Logfile of HijackThis v1.99.1
Scan saved at 16:38:41, on 07.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Office Mouse\moffice.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\spy\spybot\Spybot - Search & Destroy\SpybotSD.exe
C:\Programme\Office Mouse\MOUSE32A.DAT
C:\Programme\spy\spybot\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\WINDOWS\System32\cisvc.exe
C:\Programme\spy\ewido\ewido anti-malware\ewidoctrl.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\firefox\firefox.exe
C:\Programme\spy\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\Office Mouse\moffice.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [SpybotSnD] "C:\Programme\spy\spybot\Spybot - Search & Destroy\SpybotSD.exe" /autocheck /autofix
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\spy\spybot\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\MSN Messenger\icq\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\MSN Messenger\icq\ICQLite\ICQLite.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip\..\{E3CEEFDF-0852-44BF-B1B3-209347136CBA}: NameServer = 217.237.151.225,217.237.150.225
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - (no file)
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - (no file)
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - (no file)
O23 - Service: ewido security suite control - ewido networks - C:\Programme\spy\ewido\ewido anti-malware\ewidoctrl.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\sisoft\SiSoftware Sandra Lite 2005.SR3\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\sisoft\SiSoftware Sandra Lite 2005.SR3\RpcSandraSrv.exe

der O20 Eintrag ist nun weg!! :aplaus:

war das jetzt alles?? :confused:

ich hoffe doch! ;)


also bis jetzt ist kein popup mehr aufgegangen :aplaus:

Hallo,
du hast es geschafft, sicherheitshalber kannst du jetzt noch mal Ewido laufen lassen. Werde den look2me Destroyer wohl mal in meine nähere Auswahl nehmen.
Halte dich zukünftig von Crackseiten fern und installiere selbstverständlich auch keine, normalerweise holt man sich look2me nämlich über diese Infektionswege.


Grüße Wildone