Hallo MedusaO ,

eine ganz neue Erkenntnis mit lop.com, aber leider auch eher eine schlechte Erkenntnis. Berühmt-berüchtigt und gib's auch in vielen Varianten, ab und zu  taucht mal wieder eine neue auf.
Schlimm ist, daß es sehr viele Einträge im PC verändert, ihn so richtig verseucht.
Hier eine Lop.com-Liste:
  www3.ca.com/securityadvisor/pest/search.aspx?pst=Lop&allwords=true

Wenn dein PC im Normalmodus beim scannen mit clearprog etc. abstürzt, hast du es schon auch im abgesicherten Modus versucht?
Du hast es auch über folgenden Weg (auch gleich im abgesicherten Modus) versuchen:
Start-->ausführen--> dort  cleanmgr  eingeben, dann OK
drücken. Dort dann ALLES anhaken (übertragene Programmdateien, temporäre Dateien, temporäre Internetdateien usw.) und dann löschen lassen.
Diese temporäre Dateien, temporäre Internetdateien und  der Rest dort müssen unbedingt sauber sein.

Hast du auch schon mit Hilfe des HJT-Tools mal in deine Hosts-Datei reingeschaut, was ich dir vor Tagen schrieb?  
Bin mir bei lop.com (je nach Variante) sicher, daß
dort Einträge sind, die da nicht reingehören.
Wie schon gesagt, bei der Hosts-Datei darf als letzte Zeile dort nur stehen:
127.0.0.1   local host

Alle anderen Einträge, die dann folgen, kannst du gleich mit HJT-Tool anklicken und dort rauslöschen. Sonst hast du ewig diese Nachlader.

Evlt. wäre auch der Einsatz von pestpatrol (erkennt praktische alle Varianten) zu überlegen.
Gibt eine kostenlose 30-Tage-Testversion bei:
 http://www.pestpatrol.de

Nein, es stürzt im abges. Modus ab, das ist es ja..   In meiner Hosts-Datei steht auch nur dieser eine Eintrag... Ich versuch es jetzt einfach mit Pestpatrol und melde mich dann nochmal. Aber danke das ihr (du) so geduldig hilfst =)

So, ich hab es jetzt mit Pestpartol versucht und es kam sogar was dabei raus ^^ Das Problem ist nur das man mit der Test-Version nicht löschen kann, und kein anderes meiner Programme die Spyware findet.
Ich liste einfach mal auf was gefunden wurde:

Spyware Cookies:

Zedo
Z1.Adserver.com
Trafficmarketplace
Tradedoubler.com
Revenue.net
Kazaacjt1.net (das wurde 2 mal gefunden)
As1falkag.de
Adtech.de
2o7.net


Adware:

CWS.GoogleMS.3


Und wie krieg ich dieser Viecher nun weg?
Sie stören EIGENTLICH ja nicht sonderlich, bloss ich hab eh zu wenig Arbeitsspeicher und durch diese ganzen Sachen die im Hintergrund laufen kann ich kaum noch was machen, da die Auslagerungsdatei so groß wird   Deswegen würd ich die schon ganz gern demnääächst mal weg haben ^^

Hallo Medusa0 ,

der Spyware-Kampf geht weiter aber nur nicht aufgeben :-)

Diese Sypwarecookies sind relativ harmlos und ungefährlich. Einfach Cookies manuell über Extras-->
Internetoptionen löschen und weg sind. Oder eben mit Tools wie Clearprog.

Interessante Erkenntnisse von Pestpatrol mit CWS.GoogleMS.3 . Kein Tool findet alles, leider.
Problemchen ist, daß es einige Berichte gibt, wonach dieser Fund bei Pestpatrol ein sog. false positiv sein soll, also fehlerhaft was gefunden wird.Liegen aber schon fast 1 Jahr wieder zurück.
Die Einzelheiten werden hier genannt,wo er sich auf dem PC einträgt:
www3.ca.com/securityadvisor/pest/pest.aspx?id=453078847

Aber egal, ob es wirklich der CWS.GoogleMS.3 bei dir
ist. CWS gibt's in über 40 Varianten und sind teilweise extrem schwer zu entfernen.
Hier mal die Liste (deiner ist Nr. 17) dazu:
http://ftp.officefive.org.uk/sites/cwshredder.net/cwshredder/cwschronicles.html

Gottseidank gibt's dazu ein kostenloses Removaltool
CWShredder Version 2.14  bei:
 www.intermute.com/products/cwshredder.html
Lade es dir herunter und lasse es laufen, gffls mehrmals nötig.

Hoffe, dass du auch deine temp-Dateien sauber bekommst, dass ist hierbei sehr wichtig. Da kann sich einiges einnisten.
Wenn clearprog abstürzt (kein gutes Zeichen), dann
noch folgende Vorschläge:
1. gehe auf Start->ausführen-> gib  cmd ein,dann OK.
   gib dann im DOS-Fenster bei Cursor folg. ein:
   del c:\windows\temp
   dann wirst du gefragt: mit J und Enter beantworten.
2. oder per folgenden Tools von
   http://www.helmrohr.de  . Unter downloads gibt's
   - DelTempFiles (eine zip-file mit 1,44 kb)  und
   - TIF-Löscher 3.0 (Selbstextrah. Archiv, 47 kb)

   Damit konnte ich schon temps  usw.löschen, wo sonst
   nichts mehr anders ging.

Ansonsten kannst du auch jederzeit bzw. zur Reserve auch immer den o.g. eScan (ist ja mit den Kaspersky-Viren und AdwareSignaturen) herunterladen.
Immer gut,wenn man mehrere Meinungen hat und stört auch keinen anderen AV-Scanner, da eScan keinen Wächter hat.

Evlt. nach der CWS-Cleanen nochmals ein neues HJT-Logfile erstellen zur Nachkontrolle.
 
Viel Erfolg.

geh mal da drauf hier kannst du ein remove tool runtersaugen vieleicht geht damit bei mir gings
good luck
http://www.mysearchnow.com/help.html#startpage2

Also CWShredder findet auch nach vielen Durchläufen nichts ^^ Schon mal sehr gut
Hab mir jetzt eScan geholt, aber der löscht ja auch wieder nich sondern findet nur, aber immerhin ist jetzt was dabei rausgekommen:

File c:\dokume~1\jasmin\lokale~1\temp\bqxaqbac.exe infected by "not-a-virus:AdWare.Lop.m" Virus.

File C:\DOKUME~1\Jasmin\ANWEND~1\FILMGR~1\COOLSO~1.EXE infected by "not-a-virus:AdWare.Lop.m" Virus.

File C:\DOKUME~1\Jasmin\LOKALE~1\Temp\bqxaqbac.exe infected by "not-a-virus:AdWare.Lop.m" Virus.



Hab einfach mal ganz toll kopiert was da stand, ich weiss ja nich ob man damit was anfangen kann ^^

Die TIF konnte ich jetzt löschen und CleanProg stürzt auch nich mehr ab ^^ Wenigstens etwas


Achja, zu dem CWShredder gabs ja noch dieses SpySubtract und das auch noch was gefunden und habs gelöscht.

Trotzdem hocken hier noch so einige Sachen und treiben meinen PC und mich zum Wahnsinn ^^

Guten Morgen , Medusa0 !

lop.com war und ist ne 'harte Nuß'. aber es wird immer besser. Und eScan (= Kaspersky) findet immer noch was,wo andere versagen. Leider cleant eScan nicht mehr automatisch, muß man manuell gemacht werden. Aber ist auch kein Problem und geht wie folgt:

lade dir von http://www.bleepingcomputer.com/files/killbox.php
diese sog. Pocket KillBox  v.2.0.0.175 herunter.

Dann dort "Delete File on Reboot" anhaken.
Und klicke  immer auf das rote Kreuz,wenn gefragt wird, ob "Do you want to reboot? ----> klicke auf "no",und kopiere das naechste rein und erst beim letzten auf "yes".
Und kopiere dann dort die folg. 3 Einträge jeweils in dieser Art wie soeben beschrieben rein:

c:\dokume~1\jasmin\lokale~1\temp\bqxaqbac.exe infected by "not-a-virus:AdWare.Lop.m" Virus

C:\DOKUME~1\Jasmin\ANWEND~1\FILMGR~1\COOLSO~1.EXE infected by "not-a-virus:AdWare.Lop.m" Virus

C:\DOKUME~1\Jasmin\LOKALE~1\Temp\bqxaqbac.exe infected by "not-a-virus:AdWare.Lop.m" Virus

Schalte dann den PC aus und starte (= boote) neu.
Dann müssten (hoffentlich) diese 3 Missetäter weg sein.

Viel Erfolg.

@ tu: interessant, daß du mit dieser Page
  www.mysearchnow.com/help.html#startpage2 die
  Sache wegbekammst und überrascht mich.
  Ich kenne diese Seite auch, aber habe diese
  bewußt nie empfohlen. Ich habe zwar keine
  handfesten Beweise, aber ich halte das ganze
  von der Aufmachung (Online Casino, Adult
  Entertainment usw.) einfach für unseriös,wenn
  man im gleichen Atemzuge dann Removaltools
  anbietet.
  Searchtheweb, lop.com, mywebsearch sind alles
  "zweifelhafte" Seiten aus meiner Sicht.
  Ich konzentriere mich immer möglichst auf
  anerkannte Seiten/tools, sonst multipliziert man
  möglicherweise noch seine Probleme.

So, ich hab jetzt alle Virenprogramme die ich habe mehrmals im abges. Modus laufen lassen und dabei noch so einiges gefunden, was nun aber alles gelöscht ist. Soweit ich das sehe läuft wieder alles einwandfrei =)
Danke für eure Hilfe und Geduld =)
Hier nochmal HJT log zum nachkontrollieren:

Logfile of HijackThis v1.99.1
Scan saved at 14:52:06, on 15.04.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\Jasmin\Desktop\AntiViren Kram\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.rxfoqgasbdhjkorpgdnlmcz.info/huhhdBbfSyAnShJemjasByZ9YhwimJa8u542bCfEkbsimajt6qKvZ7ZdG049I2G3.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [ICQ Lite] E:\Programme\ICQ Lite\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [Zone Labs Client] "E:\Programme\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [IncrediMail] E:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: SpySubtract.lnk = C:\bases\cws\SpySub.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - E:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQ Lite\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQ Lite\ICQLite\ICQLite.exe
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bul-online.de/scan/Msie/bitdefender.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Ich hoffe die Log zählt, ich war gerade im abges. Modus als ich sie erstellt lassen habe.

Hallo,

meine Tochter hatte mysearchnow auch schon oft drauf. Hier gibt es ein Removal-Tool (ganz unten ist der uninstaller):

http://www.mysearchnow.com/help.html

Da muss man dann einen Code eingeben und weg ist mysearchnow!

Gruss

Eva