Ärger mit Adware

[sverebom]

Hallo,

irgendwie hab ich mir da ein ganz fieses Mistding eingefangen, das sporadisch aber gerne getarnt simultan zu anderen Webseitenaufrufen PopUps aufruft. Natürlich habe ich schon divere Helferlein gegen Ad-/Spyware über das System laufen lassen und Alles entfernt, aber dieses Mistding muß sich gut versteckt haben, denn es werden immernoch ständig PopUps aufgerufen. Nun glaube ich, das ich dem Kerl mit Hijackthis auf die Schliche gekommen bin. Hier mal ein Log:

Logfile of HijackThis v1.99.1
Scan saved at 19:48:03, on 20.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Spyware Doctor\sdhelp.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\GevatterTod\Desktop\hijackthis\HijackThis.exe

O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O20 - Winlogon Notify: Nls - C:\WINDOWS\system32\q668lgju16o8.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools - C:\Programme\Spyware Doctor\sdhelp.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

Alle Elemente des Logs kann ich eindeutig zuordnen und als sicher einstufen bis auf die Nummer 020. Laut einer hijackthis-Anleitung ist die Nummer 20 höchstwahrscheinlich der Drecksack und natürlich hab ich auch den aus der Registry geschmissen sowie von hijackthis beim rebooten löschen lassen, aber jedesmal taucht dieser Eintrag neu auf mit einer neuen dll-Datei (datiert auf den heutigen Tag). Nun bin ich mit dem Latein am Ende. Löschen bringt nichts und wie ich sonst an das Mistding ran kommen soll weiß ich nicht.

Das System ist frisch aufgesetzt und auf dem neuesten Stand. An Helferlein gegen Adware habe ich wie gesagt schon einiges ausprobiert. Gebt mir als bitte nur dann Ratschläge, wenn ihr wirklich wißt, wovon ihr redet. Ich will jetzt nicht "auf Zuruf" blind ein weiteres Dutzend Programme zur Schädlingsbekämpfung ausporbieren.

Danke

 

[PuppetMaster]

Hilft denn löschen im abgesicherten Modus?

 

[d[Vi]b]

hi
kannst ja auch solche proggis benutzten, die daten restlos von der festplatte löschen und die datei damit löschen. leider kann ich dir jetzt keine namen nennen, weil ich kp plan habe, wie dinger alle heißen... gibt 1000 von solchen proggis.... musst einfach ma googlen..
oder hast du schon ma spybot versucht. also mit spybot habe ich bis jetzt alles wegbekommen, was an adware auf meinem pc war...
MfG

 

[sverebom]

Möp, das Mistding hat mich schon ganz weich in der Birne gemacht. Das hab ich noch nicht versucht. Wie schauts denn mit der Systemwiederherstellung aus? Reichts, wenn ich die in den Systemeigenschaften deaktiviere?

Aso, hab eben noch was davon gehört, das diese Mistidnger teilweise Dienste laufen lassen, über die sie sich selber jedes Mal neu installieren. Einen solchen Dienst konnte ich über herkömmlichen Weg natürlich nicht ausfindig machen. hat vielleicht jemand eine IDee, was man da machen könnte, falls ein solcher Dienst läuft?

 

[PuppetMaster]

Na, Systemwiederherstellung deaktivieren und in den abgesicherten Modus gehen.

 

[sverebom]

So, habs eben gemacht und es hat nichts gebracht. Vom abgesicherten Modus konnte ich auch nicht mehr machen als im Standardmodus. Nun taucht folgendes im Log auf:

O20 - Winlogon Notify: IPConfTSP - C:\WINDOWS\system32\m2820cloefqc0.dll

Wenn ich die nun entfernen lasse, taucht gleich wieder eine andere Datei auf.

 

[PuppetMaster]

Du hast die Wiederherstellung abgeschaltet, bist im abgesicherten Modus und hast dort den Eintrag in HijackThis sowie manuell die DLL gelöscht?
Dann probier' noch andere Tools wie AdAware, Spybot auch auch das MS-Antispyware-Tool.

Alle wie gesagt im abgesicherten Modus mit deaktivierter Wiederherstellung, ohne dies wird nichts helfen.

 

[sverebom]

Das habe ich Alles wie gesagt bereits von gestern auf heute gemacht, im abgesicherten Modus und ohne Systemwiederherstellung. Nun habe ich eben folgendes entdeckt:

Winlogon Notify

Extensions, H323TSP, Hints, Installer, Internet
Settings, IPConfTSP, Media Center, MediaContentIndex,

random named dll in the System32 folder

Variant of Adware.Look2Me

Vielleicht habe ich nun wenigstens den namen des Plagegeists gefunden. Nur muß ich den jetzt irgendwie entfernen

 

[PuppetMaster]

Geh das mal bitte durch: (leider sehr aufwändig... )

http://forum.hijackthis.de/showthread.php?t=2307


(Warscheinlich wirst du nur Teile davon brauchen, kannst ja mal durcharbeiten.)

 

[sverebom]

ich hab jetzt erst einmal was anderes gemacht und dabei raus gefunden, das es sich bei dem Störenfried wohl um cws.look2me handelt. CWS ist eine Adware, die tatsähclich kaum bis garnicht gefunden werden kann.

Das Tool CWShredder soll angeblich Abhilfe schaffen, tut dies aber auch nicht wirklich. Es entfernt zwar den Schädling, aber beim anschließenden notwendigen Reboot fährt sich das System ein weiteres Mal neu hoch und das Mistding ist wieder da. Ich such mal nach einer Dokumentation zu dem Schädling (und deinen Link schau ich mir auch mal an).

 

[Speedyweb]

ich hab jetzt erst einmal was anderes gemacht und dabei raus gefunden, das es sich bei dem Störenfried wohl um cws.look2me handelt. CWS ist eine Adware, die tatsähclich kaum bis garnicht gefunden werden kann.

Das Tool CWShredder soll angeblich Abhilfe schaffen, tut dies aber auch nicht wirklich. Es entfernt zwar den Schädling, aber beim anschließenden notwendigen Reboot fährt sich das System ein weiteres Mal neu hoch und das Mistding ist wieder da. Ich such mal nach einer Dokumentation zu dem Schädling (und deinen Link schau ich mir auch mal an).

hi, formatiert oder gesäubert ?

 

[Mc-lol]

Den Spyware Doctor solltest auch mal runterschmeissen und gegen Spyware Search & Destroy tauschen.


huhu Speedy

 

[MAFRI]

vergiss es w4lla hatte auch das prob er musste reistallen. denke das ist wohl das besten. haben es gar nicht runterbekommen.

cu
mfg
mafri