Look2Me
Überblick
Homepage und Search Seiten Hijacker entführen den Browser auf andere Seiten, verlangsamen die Geschwindigkeit des Browsers.
Adware/Look2Me zeichnet Informationen zu besuchten Webseiten auf und übergibt die Information an einen Server. Es lädt ausserdem zahlreiche andere Adware und Spyware Programme runter.
Alias
Adware/Look2Me [Panda], AllAboutSearch.com, Spyware.Look2Me (Symantec)
Typ:
Adware/Spyware
Manuelle Entfernung vom System
Im Windows-Explorer:
>Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und
Ordner >"alle Dateien und Ordner anzeigen" aktivieren und
>Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner
>"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren.
Beende im Taskmanager folgenden Prozess:
no.exe
Hinweis: Suche nach dem Prozess und beende ihn!
Deregistrieren von DLLs:
systemroot+\system\msg{15dd85c0-1b81-11d8-a1e4-00a0cc251329}0113.dll
systemroot+\system32\allui.dll
systemroot+\system32\msg{1e253d5d-6add-4fe9-829c-f51038158be5}0110.dll
systemroot+\system32\msg{1e253d5d-6add-4fe9-829c-f51038158be5}0111.dll
systemroot+\system32\msg{46b08877-2be4-4f35-8e77-034c2142321c}0115.dll
systemroot+\system32\msg{5bef546a-e3c1-489c-996a-c9688d985ae0}0110.dll
systemroot+\system32\msg{5bef546a-e3c1-489c-996a-c9688d985ae0}0111.dll
systemroot+\system32\msg{63de1ad9-f0c6-4dac-886a-5a9707b0d23c}0110.dll
systemroot+\system32\msg{63de1ad9-f0c6-4dac-886a-5a9707b0d23c}0111.dll
systemroot+\system32\msg{93396c3f-aea3-4ac0-bb55-81f0f0414a24}0113.dll
systemroot+\system32\msg{9d4f5b7c-2a4b-46c5-99a7-4c775b688d45}0110.dll
systemroot+\system32\msg{9d4f5b7c-2a4b-46c5-99a7-4c775b688d45}0111.dll
systemroot+\system32\msg{aac5700f-954a-47b7-9746-871ae8e634e4}0115.dll
systemroot+\system32\msg{b9a9ac6a-2cc9-4a24-a250-bea974703ff8}0110.dll
systemroot+\system32\msg{b9a9ac6a-2cc9-4a24-a250-bea974703ff8}0111.dll
systemroot+\system32\msg{d331b768-d6da-41e8-a7b6-78ed724126c0}0115.dll
systemroot+\system32\msg{e01b47a7-a499-4fee-83c2-b0684ca28e6b}0115.dll
systemroot+\system32\msg{e8d8ffef-30a4-4df1-a618-e0599a0d0a15}0110.dll
systemroot+\system32\msg{e8d8ffef-30a4-4df1-a618-e0599a0d0a15}0111.dll
Bitte erstelle eine Sicherung Deiner Registry nach dieser Anleitung.
Öffne den Registry Editor.
Klicke auf Start >ausführen, schreib REGEDIT -> [enter]
(oder verwende Registrar Lite)
Wenn du diese Einträge findest, lösche sie:
HKEY_CURRENT_USER\software\look2me
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\guardianorvcb
Navigiere zu diesem Schlüssel:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion \Run
Lösche auf der rechten Seite folgenden Wert:
"SESync" = "%Program Files%\SED\SED.exe"
Navigiere zu und lösche folgende Unterschlüssel:
Code:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DDFFA75A-E81D-4454-89FC-B9FD0631E726}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A7CD5137-D2D6-4E2F-8279-4E7631159712}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E79061BA-B6E7-4A9D-A07C-C3CB561013B4}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0421701D-CF13-4E70-ADF0-45A953E7CB8B}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\HP.EXE
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{C81CFF28-6DF1-402F-B78C-D9493EF59882}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{1423903E-86CC-4470-8AB0-257C10D77D45}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{4DEA7CA1-3372-4204-937C-2DD4A6ED6562}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{A42DC659-33B5-409E-A433-650AC42ECCA4}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{A8516F49-8046-4295-8EE9-C59D5041C9E2}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{FB82CCD5-174B-4379-BC37-72D9B5ADAEDA}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{47350D97-09E9-4590-864E-3431DA53BF37}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{FA777197-4BF7-4AA9-A088-A0D803198DE0}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\HP.Hopper
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\HP.Hopper.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SP.SmartPops
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SP.SmartPops.1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0421701D-CF13-4E70-ADF0-45A953E7CB8B}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Recommended Hotfix - 421701D
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellExtensions\Approved\{DDFFA-E81D-4454-89FC-B9FD0631E726}
HKEY_CURRENT_USER\Software\Look2Me
HKEY_CURRENT_USER\Software\Hopper
.
Schreibe den Pfad jedes .dll Files auf, das als Spyware.Look2Me im %System%-Ordner gefunden wird.
Navigiere zu und lösche die folgenden Unterschlüssel die diesen o.g. .dll-Files entsprechen:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \ShellExtensions\Approved\[Random number]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\{Random name]
HKEY_CLASSES_ROOT\CLSID\[Random number]
Schliesse den Registry Editor.
Starte den Computer neu in den abgesicherten Modus <= Anleitung.
#Lösche diese Files, wenn vorhanden, mit dem Windows Explorer:
Code:
no.exe
systemroot+\system\msg{15dd85c0-1b81-11d8-a1e4-00a0cc251329}0113.dll
systemroot+\system32\allui.dll
systemroot+\system32\msg{1e253d5d-6add-4fe9-829c-f51038158be5}0110.dll
systemroot+\system32\msg{1e253d5d-6add-4fe9-829c-f51038158be5}0111.dll
systemroot+\system32\msg{46b08877-2be4-4f35-8e77-034c2142321c}0115.dll
systemroot+\system32\msg{5bef546a-e3c1-489c-996a-c9688d985ae0}0110.dll
systemroot+\system32\msg{5bef546a-e3c1-489c-996a-c9688d985ae0}0111.dll
systemroot+\system32\msg{63de1ad9-f0c6-4dac-886a-5a9707b0d23c}0110.dll
systemroot+\system32\msg{63de1ad9-f0c6-4dac-886a-5a9707b0d23c}0111.dll
systemroot+\system32\msg{93396c3f-aea3-4ac0-bb55-81f0f0414a24}0113.dll
systemroot+\system32\msg{9d4f5b7c-2a4b-46c5-99a7-4c775b688d45}0110.dll
systemroot+\system32\msg{9d4f5b7c-2a4b-46c5-99a7-4c775b688d45}0111.dll
systemroot+\system32\msg{aac5700f-954a-47b7-9746-871ae8e634e4}0115.dll
systemroot+\system32\msg{b9a9ac6a-2cc9-4a24-a250-bea974703ff8}0110.dll
systemroot+\system32\msg{b9a9ac6a-2cc9-4a24-a250-bea974703ff8}0111.dll
systemroot+\system32\msg{d331b768-d6da-41e8-a7b6-78ed724126c0}0115.dll
systemroot+\system32\msg{e01b47a7-a499-4fee-83c2-b0684ca28e6b}0115.dll
systemroot+\system32\msg{e8d8ffef-30a4-4df1-a618-e0599a0d0a15}0110.dll
systemroot+\system32\msg{e8d8ffef-30a4-4df1-a618-e0599a0d0a15}0111.dll
# %Temp%nsdtmp09.dll
# %Program Files%\Recommended Hotfix - 421701D\v15\RH.DLL
# %Program Files%\Recommended Hotfix - 421701D\v15\RH.exe
# %Program Files%\SED\SE.exe
# %Program Files%\SED\SED.exe
# %Windir%\Digital Signature [8 digit number].htm
# %Windir%\system\UpdInstall.exe
# %System%\InetFuel.exe
# %System%\[random file name].dll
.
Hinweis: Suche nach den Files und lösche sie!
Hinweis:
systemroot+ ist eine Variable (?). Normalerweise ist dies C:\Windows (Windows 95/98/Me/XP) oder C:\WINNT (Windows NT/2000).
Reboote in den normalen Modus.
Leere den Inhalt der temporären Ordner mit dem CCleaner.
Führe einen X-Cleaner-Online Scan durch. Information dazu ->klick.
Konfiguriere den IE wie hier empfohlen: Sicherheitseinstellungen!
Bei Windows XP und ME bitte die Systemwiederherstellung im Anschluss an die Reinigungsarbeiten einmal im Wechsel deaktivieren und aktivieren, dazwischen jedes mal neu booten. Zum Schluss muss die Systemwiederherstellung aktiviert, also angestellt sein. Vergib nun einen neuen Systemwiederherstellungspunkt.
[COLOR="Navy"]ANLEITUNGEN ZUM ENTFERNEN NEUER VARIANTEN:
O20 - Winlogon Notify: Control Panel - C:\WINDOWS\system32\g6402ghmg64a2.dll
ist ein typisches Kennzeichen für eine Look2me-Infektion.
Es handelt sich hierbei um einen beliebigen Random-Eintrag,
wie er von der Adware Look2me erstellt wird.
Code:
Anleitung 1
Schritt 1
1. lade l2mfix.exe runter.
2. Speichere die Datei auf deinem Desktop und klicke doppelt auf l2mfix.exe.
3. Klicke auf installieren um die Dateien zu extrahieren und folge den
Anweisungen während der Installation.
4. Öffne den auf dem Desktop neuerstellten Ordner l2mfix
5. Doppelklick auf die Datei l2mfix.bat, tippe eine 1 und drücke [Enter], um
Find log laufen zu lassen. Dies wird deinen Rechner scannen. Es kann sein, das
es so aussieht als ob nichts passiert, aber nach 1 oder 2 Minuten wird sich
Notepad mit einem Log öffnen.
6. Kopiere den Inhalt durch Strg+A und füge ihn in deinen Thread durch
Strg+V...oder einfach mit der Maus kopieren.
WICHTIG: keine andere Option oder andere Dateien aus dem l2mfix Ordner verwenden!
Schritt 2
7. Schließe alle offenen Programme, da der nächste Schritt einen Neustart erfordert.
Klicke erneut auf l2mfix.bat und tippe eine 2 ein --> [Enter].
8. Drücke eine beliebige Taste um einen Systemneustart einzuleiten.
9. Nach dem Neustart, werden die Icons auf dem Desktop kurz erscheinen und
kurz verschwinden - dies ist ok.
10. L2mfix wird den Systemscan fortsetzen und wenn es fertig ist, wird sich
Notepad öffnen und ein Logfile anzeigen. Kopiere auch dieses Logfile hier in
den Thread/ins Forum (Strg+C & Strg+V). Poste ausserdem ein aktuelles HijackThis Logfile.
WICHTIG: Nutze keine andere Option und keine anderen Dateien aus dem l2mfix Ordner!
Schritt 3
11. Doppelklick auf l2mfix.bat und gib eine 4 ein. Bestätige mit [Enter].
(Dies stellt die Winlogon Standardeinstellungen wieder her.)
Code:
Anleitung 2
Schritt 1
1. Lade l2mfix.exe runter.
2. Speichere die Datei auf deinem Desktop und klicke doppelt auf l2mfix.exe.
3. Klicke auf installieren um die Dateien zu extrahieren und folge den
Anweisungen während der Installation.
4. Öffne den auf dem Desktop neuerstellten Ordner l2mfix
5. Doppelklick auf die Datei l2mfix.bat, tippe eine 1 und drücke [Enter], um
Find log laufen zu lassen. Dies wird deinen Rechner scannen. Es kann sein, das
es so aussieht als ob nichts passiert, aber nach 1 oder 2 Minuten wird sich
Notepad mit einem Log öffnen.
WICHTIG: keine andere Option oder andere Dateien aus dem l2mfix Ordner verwenden!
Schritt 2
lade nun das Programm CWShredder runter.
Schritt 3
Starte den Computer neu in den abgesicherten Modus <= Anleitung.
Schritt 4
Lass CWShredder laufen
Klicke auf den fix-Button und lass das Programm dein System scannen und reinigen.
Schritt 5
Starte den Rechner neu auf (in den normalen Modus), wenn das Programm CWShredder den Neustart wünscht.
Schritt 6
7. Schließe alle offenen Programme, da der nächste Schritt einen Neustart erfordert.
Klicke erneut auf l2mfix.bat und tippe eine 2 ein --> [Enter].
8. Drücke eine beliebige Taste um einen Systemneustart einzuleiten.
9. Nach dem Neustart, werden die Icons auf dem Desktop kurz erscheinen und
kurz verschwinden - dies ist ok.
10. L2mfix wird den Systemscan fortsetzen und wenn es fertig ist, wird sich
Notepad öffnen und ein Logfile anzeigen.
WICHTIG: Nutze keine andere Option und keine anderen Dateien aus dem l2mfix Ordner!
Doppelklick auf l2mfix.bat und gib eine 4 ein. Bestätige mit [Enter].
(Dies stellt die Winlogon Standardeinstellungen wieder her.)
Code:
Anleitung 3
Nur für MS Windows 2000/XP
Lade das L2MRemover.zip runter.
Entpacke das Programm mit einem Ziptool (zum Beispiel SIMPLYZIP)
in den neu zu erstellenden Ordner C:\Programme\Look2meRemover.
(Wie man einen neuen Ordner anlegen kann, kannst du diesem Windows Tutorial entnehmen.)
1. Klicke auf die L2MRemover.exe, um das Programm zu starten.
2. Klicke auf "About" > "Check for updates..." im Menu des Programms und aktualisiere das Programm.
3. Drücke auf den "Scan" Button und lasse dein gesamtes System,
Speicher und Registry scannen.
(Wenn es eine seit November 2005 auftretende, bekannte Variante
der Malware findet, wird es sie ermitteln und sie unbrauchbar machen, indem
es den ST-Code während des Scannens in die Malware injiziert. Dann wird es
die Registry Schlüssel auflisten, die die Malware bei jedem Systemstart neu laden.)
4. Betätige den "Delete Keys" Button, um die Registry von den
Schlüsseln zu bereinigen, die dafür sorgen, dass die Malware sich mit jedem
Neustart wieder neu auflädt.
(Wenn dir das Entfernen der Registerschlüssel zu riskant ist, kannst
du ein Häkchen setzen bei "Save before delete", damit ein Backup-File
*.reg gespeichert werden kann, für den Fall, dass du die gelöschten Schlüssel
neu erstellen möchtest.)
Hinweis: Der "Look2me Remover" entfernt nur die
Varianten der Look2Me Malware, die seit November 2005 im Umlauf sind.
Hinweis:
Wenn du eine Meldung bekommst, die besagt, dass du die Msinet.ocx or
Comctl32.ocx brauchst:
kannst du das DLLs.zip
herunterladen und die 2 ocx via Regsvr32 eintragen,
entsprechend der Anleitung in der Datei ReadMe.txt oder
das -> Look2Me Remover Setup Kit herunterladen! (Das ist am einfachsten.)
Website des L2MRemover
und Look2Me Remover (deutsche Anleitung)
.
Code:
Anleitung 4
Look2Me Remover
von Atribune.org
Bitte lade die Look2Me-Destroyer.exe herunter und speichere sie auf deinem Desktop.
* Schliesse alle Anwendungen bevor du weitermachst.
* Mach einen Doppelklick auf die Look2Me-Destroyer.exe, um sie zu starten.
* Setze ein Häkchen neben 'Run this program as a task' (Lass das Programm als Aufgabe laufen.
* Du wirst einen Bericht erhalten, der besagt 'Look2Me-Destroyer will close and re-open in approximately 10 seconds' (Der Look2Me-Destroyer wird sich in ungefähr 10 Sekunden schliessen und wieder öffnen). Klicke auf OK
* Wenn sich der Look2Me-Destroyer wieder öffnet, klicke auf den Scan für L2M Button, deine Desktop Iconen werden verschwinden, das ist normal.
* Wenn der Scan zuende ist, klicke auf den 'Remove L2M' Button (Entferne L2M Button).
* Du wirst nun einen 'Done Scanning' (Scan ist erledigt) Bericht erhalten, klicke OK.
* Wenn alles beendet ist, wirst du diesen Bericht erhalten: 'Done removing infected files! Look2Me-Destroyer will now shutdown your computer' (Die infizierten Files sind entfernt. Der Look2Me-Destroyer wird deinen Rechner nun herunterfahren). Klicke OK.
* Dein Rechner wird nun ausgeschaltet.
* Stelle deinen Computer wieder an.
* Bitte kopiere und poste den Inhalt des C:\Look2Me-Destroyer.txt und ein neues HiJackThis Logfile.
Für den Fall, dass du einen Bericht deiner Firewall bekommst, dass dieses Programm versucht, auf das Internet zuzugreifen, erlaube es bitte.
Falls du einen Runtime Error '339' erhältst, lade bitte die MSWINSCK.OCX herunter und gib sie in deinen C:\Windows\System32 Ordner.
Große Erfolge erzielt man auch mit dem Spy Sweeper - Danach lassen sich die verbleibenden Einträge fixen.
Es gibt sehr viele verschiedene Varianten der Look2me-Adware.
Ich empfehle: ausprobieren.
Eine Methode hilft mit Sicherheit.
Wenn nicht, melde dich bei uns.
