Werbe-Virus

Diese hier musst du unbedingt fixen:

Böse

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_page.html?&account_id=134272

O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\WINDOWS\system32\shdocvw.dll

O14 - IERESET.INF: START_PAGE_URL=http://de8.hpwis.com

O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} - http://www.ysbweb.com/ist/softwares/v4.0/ysb_* bitte keine illegalen Tipps *s.cab



Unnötig

O3 - Toolbar: (no name) - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - (no file)     

O3 - Toolbar: (no name) - {77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F} - (no file)

O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\RmFtaWxpZSBXb2xm\command.exe (file missing)

O23 - Service: Network Monitor - Unknown owner - C:\Programme\Network Monitor\netmon.exe (file missing)

***

Wie man das macht siehst du hier, bebilderte Anleitung:

http://www.windowspower.de/artikel_HijackThis+Anleitung_653.html

***

Danach hiermit bitte scannen:

Panda
http://www.pandasoftware.com/activescan/de/activescan_principal.htm
(Online-Scanner; mit dem IE öffnen)

Spybot
http://www.chip.de/downloads/c1_downloads_13001443.html

Vorher Systemwiederherstellung deaktivieren (Start->Alle Programme->Zubehör->Systemprogramme->Systemwiederherstellung->Systemwiederherstellungseinstellungen).
Und wenn möglich immer im abgesicherten Modus scannen (neu starten->vor dem Windows-Logo mehrmals [F8] drücken).

***

Wenn du das gemacht hast, erstell bitte noch mal ein Logfile.

ok mach ich aber wie fixt man?

Wie man das macht siehst du hier, bebilderte Anleitung:

http://www.windowspower.de/artikel_HijackThis+Anleitung_653.html

***

Bitte diesen Link mal anklicken, da ist alles schön beschrieben.
Fixen ist nicht schwer. Du musst halt nur mal gucken da.

Hi,

aus dem Logfile of HijackThis finde ich noch eine sehr zweifelhafte Datei:
O20 - Winlogon Notify: CSCSettings - C:\WINDOWS\system32\dnj2011oe.dll

Teste die Datei einfach damit
http://www.virustotal.com/flash/index_en.html
dann weist du Bescheid.
Alternativ:
http://virusscan.jotti.org/de/

Ich gehe davon das bei ewido die Malware
Spyware.Look2Me
entdeckt wird!
Ein alter Bekannter für unerwünschte Werbeseiten.

Lade dir die kostenlose Software von Ewido herunter und nach einen Scan sollte das Problem mit dieser Malware erledigt sein.
ewido anti-malware, ca. 7,6 MB
http://www.ewido.net/de/download/
Bei der Installation bitte nicht den Hintergrundwächter aktivieren.
Nach der Installation der Software ist unbedingt noch das Update einzuspielen, gehe dazu auf
http://www.ewido.net/de/download/updates/

Um eine optimale Überprüfung mit dem Tool zu gewährleisten, sollte der PC ausschließlich mit der folgenden Anweisung gescannt werden.
1. PC vom Netzwerk und Internet trennen
2. Die Systemwiederherstellung deaktivieren  (Nur Windows XP und ME)
3. PC im abgesicherten Modus starten und alle Anwendungen schliesen.
(Für den Punkt 2 und 3 findet man unter http://www.bsi.de/av/texte/wiederher.htm eine Anleitung)
4. Die Antimalware-Software starten und eine komplette Überprüfung des Systems vornehmen. Bei einen erkannten Infektion sollte den Anweisungen der Software gefolgt werden.
5. PC wieder normal Starten und die Systemwiederherstellung aktivieren

Ansonsten folge den Tipps von @orchidee und scanne unbedingt deinen PC zu Kontrolle
mit dem Online-Scanner von Panda und der Software Spybot SD.

PS:
Es ist keine gute Idee zwei Virenscanner mit einen Hintergrundwächter aktiv auf dem System zu haben. Das führt nur zu Problemen wie z.B. zu Abstürze, PC ist langsam oder die Wächter kommen sich ins quere mit dem möglichen Ergebnis, das keiner von beiden den Schädling erkennt. 

So ich habe alles getan aber die werbeseiten kommen immer noch hier ein aktueeler hjiack

Logfile of HijackThis v1.99.1
Scan saved at 16:35:41, on 15.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
c:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
c:\Programme\Norton AntiVirus\navapsvc.exe
c:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\cisvc.exe
D:\Programme\ewido anti-malware\ewidoctrl.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\svchost.exe
c:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\HP\KBD\KBD.EXE
C:\WINDOWS\Dit.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\msiexec.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\wuauclt.exe
D:\down\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=Q404&bd=pavilion&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de8.hpwis.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_DE&c=Q404&bd=pavilion&pf=desktop
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=Q404&bd=pavilion&pf=desktop
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - c:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [ccApp] "c:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {01010E00-5E80-11D8-9E86-0007E96C65AE} (SupportSoft SmartIssue) - http://www.symantec.com/techsupp/asa/ctrl/tgctlsi.cab
O16 - DPF: {01012101-5E80-11D8-9E86-0007E96C65AE} (SupportSoft Script Runner Class) - http://www.symantec.com/techsupp/asa/ctrl/tgctlsr.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - http://www.symantec.com/techsupp/asa/ctrl/LSSupCtl.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1101228590656
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://cdn2.zone.msn.com/binFramework/v10/ZIntro.cab34246.cab
O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697516} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp6_mp3.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - http://www.symantec.com/techsupp/asa/ctrl/SymAData.cab
O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O20 - Winlogon Notify: ModuleUsage - C:\WINDOWS\system32\en8ml1l11.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: ewido security suite control - ewido networks - D:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: GGI - Sysinternals - www.sysinternals.com - C:\DOKUME~1\FAMILI~1\LOKALE~1\Temp\GGI.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - c:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - D:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

Ups,

hat sich die Malware wieder eingenistet?

C:\WINDOWS\system32\en8ml1l11.dll

Teste diese Datei noch mal damit
http://www.virustotal.com/flash/index_en.html
dann weist du Bescheid.
Alternativ:
http://virusscan.jotti.org/de/

Und poste das Protokoll wieder.

bei virusscan lotti steht irgendwas mit 0Byte und beim anderen das es größer als 10mb ist.

Hi,

hatten die Malware-Scanner von Panda, Spybot und Ewido keine Infektion entdeckt?
Die Protokolle der Scan`s  wären für eine Hilfe sehr Informativ.
Also, wenn sie noch vorliegen, bitte umgehend hier posten.

Ansonsten versuche mal den Trend Micro Anti-Spyware - Free Online Spyware Removal Utility, Nur in Englisch und für Windows XP und 2000
http://www.trendmicro.com/spyware-scan/
(Findet und bereinigt nur Spyware und Adware)
Und wenn möglich poste die Ergebnisse wieder.

spybot hat über 112 sachen mit regestrierungschlüsseln endeckt

ewido über 50 viren.es konnte aber nicht alle löschen z.B.C:\WINDOWSW\system32\guard.tmp

Hi,

auch die guard.tmp spricht für die Malware
Spyware.Look2Me

Schade nur das du nicht die vollständigen Scanprotokolle postet.
Sie sind für eine Lösung sehr hilfreich.

Wenn du sie nicht mehr hast, dann scanne deinen PC noch mal mit Ewido und poste das Protokoll. Lade aber zuvor noch die neuste Signaturdatenbank herunter.
http://www.ewido.net/de/download/updates/

WICHTIG!
***Scanne den PC nur nach der folgenden Anleitung***
1. PC vom Netzwerk und Internet trennen
2. Die Systemwiederherstellung deaktivieren (Nur Windows XP und ME)
3. PC im abgesicherten Modus starten und alle Anwendungen schließen.
(Für den Punkt 2 und 3 findet man unter http://www.bsi.de/av/texte/wiederher.htm eine Anleitung)
4. Die Antimalware-Software starten und eine komplette Überprüfung des Systems vornehmen. Bei einen erkannten Infektion sollte den Anweisungen der Software gefolgt werden.
5. PC wieder normal Starten

Weiter empfehle ich dir dringend dein System mit Trend Micro Anti-Spyware zu scannen
http://www.trendmicro.com/spyware-scan/
Und wenn möglich poste die Ergebnisse wieder.

Erst danach wieder die Systemwiederherstellung aktivieren!

Report vom system mit ewido

+ Erstellt am:      14:44:20, 18.03.2006
 + Report-Checksumme:   B1FB3F7C

 + Scanergebnis:

   [168] C:\WINDOWS\system32\atctres.dll -> Adware.Look2Me : Fehler beim Säubern
   [564] C:\WINDOWS\system32\guard.tmp -> Adware.Look2Me : Gesäubert mit Backup
   C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Temp\Cookies\familie [email protected][1].txt -> TrackingCookie.Adition : Gesäubert mit Backup
   C:\Dokumente und Einstellungen\*******\Lokale Einstellungen\Temp\Cookies\******@adtech[2].txt -> TrackingCookie.Adtech : Gesäubert mit Backup
   C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Temp\Cookies\familie wolf@ivwbox[2].txt -> TrackingCookie.Ivwbox : Gesäubert mit Backup
   C:\Dokumente und Einstellungen\*******\Lokale Einstellungen\Temp\Cookies\*****@tradedoubler[1].txt -> TrackingCookie.Tradedoubler : Gesäubert mit Backup
   C:\WINDOWS\system32\guard.tmp -> Adware.Look2Me : Gesäubert mit Backup
   C:\WINDOWS\Temp\Cookies\*******@ad.yieldmanager[2].txt -> TrackingCookie.Yieldmanager : Gesäubert mit Backup


::Report Ende



da ist alles weg aber im Arbeitsspeicher ist noch was


+ Erstellt am:      14:45:20, 18.03.2006
 + Report-Checksumme:   C1C9EF8C

 + Scanergebnis:

   [168] C:\WINDOWS\system32\atctres.dll -> Adware.Look2Me : Fehler beim Säubern
   [564] C:\WINDOWS\system32\guard.tmp -> Adware.Look2Me : Fehler beim Säubern


::Report Ende


Das geht nicht weg ich denke mal das guard.tmp das mit der werbung ist da die datei auch sehr groß ist

*****=persönliche angaben

Auch nicht im abges. Modus ???

Hast du gleich wieder gescannt ohne den erneut im abgesicherten Modus zu booten?
Ich glaube ja, oder?
Wie ich schon sagte, die guard.tmp Datei gehört zur Malware Look2Me und ist für dein Problem verantwortlich.

Lade dir bitte mal die Freeware Unlook herunter
http://ccollomb.free.fr/unlocker/index.htm#download
und lösche die beiden Dateien damit, sofern Sie noch vorhanden sind.

C:\WINDOWS\system32\atctres.dll
C:\WINDOWS\system32\guard.tmp

Gleich im Anschluss scanne deinen PC erneut Ewido, gemäß der bekannten Anweisung!
Poste das Ergebnis wieder.

ich danke dir sehr für deine hilfe aber ich habe mir einen look2me remove tool runtergeladen der alles entfernt hat.aber trotzdem danke für deine hilfe