netmon.exe

netmon.exe - Spyware.Look2Me

netmon.exe

HijackThis

O23 - Service: Network Monitor - Unknown owner - C:\Programme\Network Monitor\netmon.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINNT\TVc\command.exe

C:\Programme\Network Monitor\netmon.exe -> Monitor.Win32.NetMon.a

C:\WINDOWS\system32\drivers\netpt.sys
C:\WINDOWS\uninstall_nmon.vbs
C:\Programme\Network Monitor\netmon.exe
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\NetMon

Avenger

Drivers to disable:
netpt

Drivers to delete:
netpt

registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\{645FF040-5081-101B-9F08-00AA002F954E}
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\{6BF52A52-394A-11D3-B153-00C04F79FAA6}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{A394E835-C8D6-4B4B-884B-D2709059F3BE}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{3877C2CD-F137-4144-BDB2-0A811492F920}
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NETWORK_MONITOR
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Network Monitor
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NETWORK_MONITOR
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Network Monitor
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_NETWORK_MONITOR
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Network Monitor
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_MONITOR
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Network Monitor

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CMDSERVICE
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\cmdService
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_CMDSERVICE
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\cmdService
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_CMDSERVICE
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\cmdService
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CMDSERVICE
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cmdService

Files to delete:
C:\WINDOWS\system32\drivers\netpt.sys
C:\WINDOWS\uninstall_nmon.vbs
C:\Programme\Network Monitor\netmon.exe
C:\WINDOWS\system32\atmtd.dll._
C:\WINDOWS\system32\atmtd.dll

Folders to delete:
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\NetMon
C:\Programme\Network Monitor

Beispiel:

D:\WINNT\TVc\asappsrv.dll -> Spyware.CommAd
D:\WINNT\TVc\command.exe -> Adware.CommAd

C:\WINDOWS\Q29sbGluZw\asappsrv.dll -> Adware.CommAd
C:\WINDOWS\Q29sbGluZw\command.exe -> Adware.CommAd

datfindbat

Verzeichnis von D:\WINNT\system32
27.01.2006 10:07 235.772 CAVFAT.DLL
27.01.2006 10:04 235.772 p04ulah91d4.dll
27.01.2006 09:53 235.772 m4rmle911h.dll
26.01.2006 20:38 235.772 fuamebuf.dll
26.01.2006 20:28 235.772 mwr.dll
26.01.2006 20:16 235.772 dlkquoui.dll
26.01.2006 20:12 234.272 e2jm0c11ef.dll
26.01.2006 19:59 45.110 wmedia32.exe
26.01.2006 19:55 687.592 atmtd.dll._
26.01.2006 19:55 687.592 atmtd.dll
26.01.2006 19:54 479.232 msupdate32.dll
26.01.2006 19:53 7.285 paytime.exe
26.01.2006 19:53 7.507 400.exe
26.01.2006 19:53 1.921.380 explore.exe
26.01.2006 19:53 105.472 networknbh.exe
02.11.2005 00:44 127.574 tsuninst.exe

Verzeichnis von D:\WINNT\system32
29.01.2006 01:51 235.883 iXssdo.dll
29.01.2006 01:51 0 atmtd.dll.tmp
29.01.2006 01:48 235.772 fp2o03f3e.dll
29.01.2006 01:09 235.883 dnjm0111e.dll

Verzeichnis von D:\
26.01.2006 20:17 1.921.380 explore.exe
26.01.2006 20:17 7.507 400.exe

Verzeichnis von D:\WINNT
27.01.2006 12:30 50.912 iconu.exe
27.01.2006 10:02 24.296 icont.exe
26.01.2006 20:00 0 tool1.exe
26.01.2006 19:59 3.072 secure32.html
26.01.2006 19:59 72.019 kl.exe

26.01.2006 19:54 780 hosts

nach Löschen der hosts -> anwenden: HostsXpert.zip
HostsXpert.zip
Press 'Restore Original Hosts' and press 'OK' Exit Program.

26.01.2006 19:54 1.024 tool5.exe
26.01.2006 19:54 1.024 tool4.exe
26.01.2006 19:54 2.560 tool3.exe
26.01.2006 19:53 1.999 desktop.html
26.01.2006 19:53 0 uniq

C:\Programme\Gemeinsame Dateien\okui -> Downloader.TSUpdate.l
C:\Installer.exe -> Spyware.Look2Me --> anwenden:
l2mfix (Option 2)

winpfind3

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
{6B728068-E166-48D9-B3F9-A6909107BD4E} = D:\WINNT\system32\DPCPSAPI.DLL
{16561998-762D-4E0A-9817-0B08334FC16A} = D:\WINNT\system32\iXssdo.dll
{E7FC7003-BD5F-4E9B-B8AC-8B20D18A969F} = D:\WINNT\system32\guard.tmp --> anwenden: l2mfix (Option 2)

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
SpySheriff C:\Program Files\SpySheriff\SpySheriff.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Microsoft Network Neighbourhood networknbh.exe
PayTime D:\WINNT\system32\paytime.exe
winsysupd c:\windows\winsysupd3.exe
winsysban C:\windows\winsysban3.exe
myupdates c:\windows\myupdates.exe
ntdll.dll D:\WINNT\system32\paytime.exe

29.01.2006 01:51:40 S 64 D:\WINNT\CSC\00000001
29.01.2006 01:09:04 S 64 D:\WINNT\CSC\00000002
28.01.2006 03:21:46 S 64 D:\WINNT\CSC\csc1.tmp
29.01.2006 01:49:00 R S 235772 D:\WINNT\system32\fp2o03f3e.dll
29.01.2006 01:51:50 R S 235883 D:\WINNT\system32\iXssdo.dll

O23 - Service: Command Service (cmdService) - Unknown owner - D:\WINDOWS\YXNk\command.exe
O23 - Service: Network Monitor - Unknown owner - D:\Programme\Network Monitor\netmon.exe

UninstallString wscript "C:\WINDOWS\SGFucyBVbHJpY2ggQmxpc3M\m3IRwV1pvJLDsZ00kAUDwag.vbs"

C:\WINDOWS\QWxleGFuZGVyIEFsYnJlY2h0\asappsrv.dll
C:\WINDOWS\QWxleGFuZGVyIEFsYnJlY2h0\kqU5y3IRt3pVKHIPsBL5sZ1X.vbs

anderer PC

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
O4 - HKLM\..\Run: [defender] C:\\defender25.exe
O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} - http://promo.dollarrevenue.com/activex/promocache/3735352D2D2D.exe
20 - Winlogon Notify: Telephony - C:\WINDOWS\system32\itetcomm.dll
O23 - Service: Network Monitor - Unknown owner - C:\Programme\Network Monitor\netmon.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\TWF0dGhpYXM\command.exe

----------------

Look2Me-Destroyer V1.0.5 anwenden
http://virus-protect.org/l2mfix.html

--------------

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

cd\
dir "C:\Programme\Network Monitor" >>files.txt
dir "C:\WINDOWS\TWF0dGhpYXM" >>files.txt
notepad files.txt

Verzeichnis von C:\Programme\Network Monitor

04.01.2006 18:09 94.208 netmon.exe
1 Datei(en) 94.208 Bytes

----------------------------

datfindbat

C:\WINDOWS\system32\atmtd.dll._
C:\WINDOWS\system32\atmtd.dll
C:\WINDOWS\system32\ir32_32.dll
C:\WINDOWS\system32\IR41_32.DLL
C:\WINDOWS\system32\itetcomm.dll
C:\WINDOWS\iconu.exe
C:\WINDOWS\icont.exe
C:\WINDOWS\keyboard1.dat
C:\WINDOWS\drsmartload2.dat
C:\WINDOWS\newname.dat
C:\WINDOWS\teller2.chk
C:\warebundle.exe
C:\defender25.exe
C:\WINDOWS\uninstall_nmon.vbs

Counterspy

AdvancedRemoteInfo Beta 0.6.4.2 Surveillance
c:\windows\system32\mbr_sqlite.dll
c:\windows\system32\sfframecontrol.ocx

Looking-For.Home Search Assistant Hijacker
c:\dokumente und einstellungen\User\anwendungsdaten\install.dat

Unclassified.Spyware.149 Adware
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\cmdinst.exe

SpySheriff Rogue Security Program
HKEY_CURRENT_USER\Software\SpySheriff
HKEY_CURRENT_USER\Software\SNO2

StartPage.TimesSquare Hijacker

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search\SearchAssistant Explorer\Main Default_Search_URL http://searchbar.findthewebsiteyouneed.com
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}

HijackThis

O20 - Winlogon Notify: Control Panel - C:\WINDOWS\system32\lvj8091ue.dll
O20 - Winlogon Notify: docent0 - C:\WINDOWS\SYSTEM32\docent0.dll
O23 - Service: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe

HijackThis

O20 - Winlogon Notify: docent0 - docent0.dll
O20 - Winlogon Notify: Mixer - sndmixex.dl
O20 - Winlogon Notify: Uninstall - C:\WINDOWS\system32\jt4q07h5e.dll

datfindbat

Verzeichnis von C:\WINDOWS\system32
18.01.2006 16:46 625 ws386.ini
18.01.2006 16:38 6'656 winmgmt32.dll -->Logger.Gepost.j
18.01.2006 16:38 24'064 xp182651.dll
10.01.2006 20:30 64 svcp.csv

Verzeichnis von C:\WINDOWS\
13.01.2006 16:39 0 enewsletterpro1.dat
10.01.2006 20:31 0 drsmartloadb1.dat
10.01.2006 20:28 0 uniq

C:\WINDOWS\system32\cjcdll.dll -> Spyware.Look2Me : Gesäubert mit Backup
C:\WINDOWS\system32\guard.tmp -> Spyware.Look2Me : Gesäubert mit Backup
C:\Programme\Network Monitor\netmon.exe -> Not-A-Virus.Monitor.Win32.NetMon.a

Killbox

C:\WINDOWS\system32\ws386.ini
C:\WINDOWS\system32\winmgmt32.dll
C:\WINDOWS\system32\xp182651.dll
C:\WINDOWS\system32\svcp.csv
C:\WINDOWS\system32\enewsletterpro1.dat
C:\WINDOWS\drsmartloadb1.dat
C:\WINDOWS\uniq