Moin,

habe seit kurzem WinXP auf meinem Rechner. Nach etwas "Rumgefrickel" lief eigentlich auch alles, aber ein paar Spiele muckten rum, woraufhin man mir das Service Pack 2 empfohl.

Gesagt getan, seit kurzem ist das Paket nun drauf.

Doch seitdem habe ich ein Problem mit einer Adware:

Sie oeffnet zufaellig Seiten mit meinem Standard-Browser (Firefox) die halt (grml, schon wieder) zu irgendwelchen Werbe-Sites fuehren.

Ich habe bereits Antivir, Adaware und Spybot ausrobiert. Die finden zwar auch alle was, koennen es jedoch nicht bereinigen. Ein Neustart wird dann jedes mal empfohlen, doch auch nach diesem ist die Adware wieder aktiv.

Weiss jemand Rat?

Was finden die Programme denn? Dann lässt sich gezielter sagen, was hilft, wenn die Standardsachen nicht weiter wissen.

Antivir:
Mediascr.exe

Spybot:
NicTechNetworks.Zestyfind

und die Dateien manuell löschen geht auch ned?

Schon mal per run->msconfig->startup nachgesehen was denn da immer automatisch startet??

Manuell loeschen geht schon, sind aber immer wieder da.

Im msconfig sind einige Sachen, von denen ich nicht weiss, was sie sind:

nwiz
mmc

Ich schalte die beiden mal raus und schaue, was passiert. Danke fuer den Tip. :)

Systemwiederherstellung ist aktiv?

Die sollte aus sein, wenn man adware dauerhaft löschen will. Oder abgesicherter Modus, da ist diese auch aus.

seiLaut[/POST]']Systemwiederherstellung ist aktiv?

Die sollte aus sein, wenn man adware dauerhaft löschen will.Schande ueber mich, aber wo stelle ich das aus? Habe XP nie zuvor genutzt. ;(

Systemsteuerung -> System und dann siehst du schon oben den Balken Systemwiederherstellung. Dort kann man sie deaktivieren.

Danke dir, ist aus. Werde dann berichten, ob der Fehler nochmal auftritt.

Hat leider alles nicht geholfen, die Popups kommen immer noch. :usad:

Weiterhin beanstanded Antivir eine Datei namens MSmedia.exe, die ich auch nicht wegbekomme.

Dies ist zum Beispiel eine der Seiten, auf die der Fox gelinkt wird: http://www.supercoupon-sales.com/tau.html

pubi[/POST]']Moin,

habe seit kurzem WinXP auf meinem Rechner. Nach etwas "Rumgefrickel" lief eigentlich auch alles, aber ein paar Spiele muckten rum, woraufhin man mir das Service Pack 2 empfohl.

Gesagt getan, seit kurzem ist das Paket nun drauf.

Doch seitdem habe ich ein Problem mit einer Adware:

Sie oeffnet zufaellig Seiten mit meinem Standard-Browser (Firefox) die halt (grml, schon wieder) zu irgendwelchen Werbe-Sites fuehren.

Ich habe bereits Antivir, Adaware und Spybot ausrobiert. Die finden zwar auch alle was, koennen es jedoch nicht bereinigen. Ein Neustart wird dann jedes mal empfohlen, doch auch nach diesem ist die Adware wieder aktiv.

Weiss jemand Rat? Erstell doch bitte mal mit HijackThis (http://www.merijn.org/downloads.html) ein Logfile und Poste das hier.

Der Eintrag nwiz mit Befehl nwiz.exe /install gehört übrigens zum Nvidia Grafiktreiber (NView um genau zu sein).


/edit
MSmedia.exe im abgesicherten Modus löschen bzw versuchen zu entfernen. Die ghört vermutlich zu W32/Tilebot-BG (http://www.sophos.de/virusinfo/analyses/w32tilebotbg.html), genau wie die Datei rdiv.sys

Hier der Hijacklog:


Logfile of HijackThis v1.99.1
Scan saved at 19:01:56, on 28.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Winamp\winampa.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\cisvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\mIRC\mirc.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\Winamp\winamp.exe
C:\WINDOWS\system32\devldr32.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Dokumente und Einstellungen\Tobi\Desktop\Downloads\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R3 - URLSearchHook: (no name) - {47976581-F438-FACB-3322-F16A6FA3D9CF} - C:\WINDOWS\System32\zah.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [Jsnmenui] C:\Dokumente und Einstellungen\Tobi\Anwendungsdaten\F?nts\??chost.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - Winlogon Notify: App Paths - C:\WINDOWS\
O20 - Winlogon Notify: Installer - C:\WINDOWS\
O20 - Winlogon Notify: mfreedft - mfreedft.dll (file missing)
O20 - Winlogon Notify: ShellCompatibility - C:\WINDOWS\system32\lv8o09l3e.dll
O20 - Winlogon Notify: Uninstall - C:\WINDOWS\
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Hier die Kurzauswertung von http://www.hijackthis.de.
R3 - URLSearchHook: (no name) - {47976581-F438-FACB-3322-F16A6FA3D9CF} - C:\WINDOWS\System32\zah.dll - Eventuell Böse
O4 - HKCU\..\Run: [Jsnmenui] C:\Dokumente und Einstellungen\Tobi\Anwendungsdaten\F?nts\??chost.exe - Unbekannt
O20 - Winlogon Notify: App Paths - C:\WINDOWS\ - Unbekannt
O20 - Winlogon Notify: Installer - C:\WINDOWS\ - Unbekannt
O20 - Winlogon Notify: mfreedft - mfreedft.dll (file missing) - Unbekannt
O20 - Winlogon Notify: ShellCompatibility - C:\WINDOWS\system32\lv8o09l3e.dll - Unbekannt
O20 - Winlogon Notify: Uninstall - C:\WINDOWS\ - Unbekannt

Habe die baks mal gesichert. Leider hat das loeschen dieser Dinger aber auch nichts gebracht. ;(

So, neue Infos. :ugly:

Bin mir ziemlich sicher, den Uebeltaeter ausfindig gemacht zu haben. Antivir und Spybot beanstanden jetzt nichts mehr, aber Adaware hat noch was:


Name: Adware.Look2Me
Category: Adware
Object Type: Process
Size:-
Location: C:\WINDOWS\system32\f42mlef11h2.dll
Last Activity: 28.05.2006 18:25:49
Relevance: High
TAC index: 7
Comment:i ieshare.dll.dmp
Description: Adware.Look2Me operates in stealth, monitoring web surfing activity, transmitting the information to remote servers and displaying pop-up targeted advertisements in your web browser. There are no license terms or EULA for this software. Adware.Look2Me is known to be installed by variants of CoolWebSearch and/or variants of the VX2 family.

Problem, der Name dieser dubiosen DLL aendert sich mit jedem Start und ist weder im normalen, noch im abgesicherten Modus loeschbar.

Weiss wer Rat?

€: Hat sich erledigt, die Loesung gibt es hier (http://www.symantec.com/avcenter/venc/data/spyware.look2me.html). Danke nochmal an alle, was fuer ein Kampf. :usweet:

- Erstmal die Systemwiederherstellung deaktivieren (Rechtsklick auf Arbeitsplatz)
- Temp-Ordner komplett leeren
- Temporäre Internet Dateien löschen (über die Interneteinstellungen)
- Mit killbox (http://virus-protect.org/killbox.html) die Datei beim nächsten Booten löschen lassen (auch andere aus dem Temp-Ordner, falls nötig)
- Look2me-Destroyer wie hier (http://virus-protect.org/l2mfix.html)beschrieben ausführen

/edit
na toll, zu lahm X-(

Trotzdem danke, Sephi. :D

Dieses Tool (http://www.simplytech.it/L2MRemover/index_de.htm) ist auch sehr gut bei L2M-Befall.

pubi[/POST]']Moin,

habe seit kurzem WinXP auf meinem Rechner. Nach etwas "Rumgefrickel" lief eigentlich auch alles, aber ein paar Spiele muckten rum, woraufhin man mir das Service Pack 2 empfohl.

Gesagt getan, seit kurzem ist das Paket nun drauf.

Doch seitdem habe ich ein Problem mit einer Adware:

Sie oeffnet zufaellig Seiten mit meinem Standard-Browser (Firefox) die halt (grml, schon wieder) zu irgendwelchen Werbe-Sites fuehren.

Ich habe bereits Antivir, Adaware und Spybot ausrobiert. Die finden zwar auch alle was, koennen es jedoch nicht bereinigen. Ein Neustart wird dann jedes mal empfohlen, doch auch nach diesem ist die Adware wieder aktiv.

Weiss jemand Rat? was ich schon oft gehört habe

SYSTEMWIEDERHERTSELLUNG ausschalten

im ABGESICHERTEN MODUS starten

Virenscanner ausführen fertig .neustarten Systemwiederherstellung anschalten

ng

thomas62[/POST]']SYSTEMWIEDERHERTSELLUNG ausschalten
halte ich wirklich für einen fatalen tipp...denn, man sollte bei einer derartigen komprommitierung erstmal versuchen mit der systemwiederherstellung den nächst möglichen wiederherstellungstag herstellen -> evtl wurden systemdateien verändert...

dann kann man die systemwiederherstellung abstellen und versuchen mit den geläufigen scannern ans werk gehen

thomas62[/POST]']was ich schon oft gehört habe

SYSTEMWIEDERHERTSELLUNG ausschalten

im ABGESICHERTEN MODUS starten

Virenscanner ausführen fertig .neustarten Systemwiederherstellung anschalten

ng
Jup, das hatte in diesem Fall leider nicht geholfen. Also wenn einer auch mal Probleme mit dem Look2Me hat, einfach eines der Removal-Tools benutzen, gibt es inzwischen von fast jedem Antivir-Hersteller als Standalone-Datei.