Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Bargain Buddy, c.azjmp.com und andere Nettigkeiten

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 28.12.2004, 19:44   #1
lalune
 
Bargain Buddy, c.azjmp.com und andere Nettigkeiten - Icon23

Bargain Buddy, c.azjmp.com und andere Nettigkeiten



Hallo!

Nach langen virenfreien Jahren hat es mich auch erwischt. Habe mir vor zwei tagen den msn messenger runtergeaden und eine Hotmailaddy eingercihtet und seit damals geht es hier rund.

Habe mir anscheinend bargain buddy eingefangen und alle Popup Seiten beginnen mit c.azjmp.com/... oder c.qckjmp.com/az/... bevor sie sich in american singles oder funweb blablabla umwandeln. Diverse Virenprogramme und Spyware-Proggies finden jeweils verschiedene verseuchte dateien, die aber tw. nicht entfernt werden können. zB: "C\WINDOW\system32\guard.tmp"

Ausserdem kriege ich jetzt dauernd beim Neustart kryptische RUNDLL Errormeldungen wie zB:
Beim Ausführen von ""C:\windows\system32\mhiole16.dll",UMonitor" ist eine Ausnahme aufgetreten.

Antivir kann nicht upgedated werden, wie immer, wenn was nciht in Ordnung ist. E-Scan stellt wohl fest (jede Menge Trojs), repariert aber anscheinend nicht? Mit HijackThis habe ich einiges löschen können, nichts destotrotz poppen ständig diese Fenster auf und der Compi ist megalangsam.

Kann mir hier jemand vielleicht helfen?
__________________
Liebe Grüsse,
Ulrike

Alt 28.12.2004, 19:50   #2
chaosman
 
Bargain Buddy, c.azjmp.com und andere Nettigkeiten - Standard

Bargain Buddy, c.azjmp.com und andere Nettigkeiten



@lalune
poste doch mal ein HJT logfile und das
EscanErgebnis
Teile uns das Ergebnis des eScan mit: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen

chaosman
__________________

__________________

Alt 28.12.2004, 20:08   #3
lalune
 
Bargain Buddy, c.azjmp.com und andere Nettigkeiten - Icon27

Bargain Buddy, c.azjmp.com und andere Nettigkeiten



Hi Chaosman,

Logfile of HijackThis v1.99.0
Scan saved at 20:05:43, on 28.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\windows\system32\spoolsv.exe
C:\windows\Explorer.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\PROGRA~1\eScan\TRAYSSER.EXE
C:\PROGRA~1\NORTON~1\NORTON~4\GHOSTS~2.EXE
C:\PROGRA~1\eScan\avpm.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\PROGRA~1\NORTON~1\NORTON~3\NPROTECT.EXE
C:\windows\System32\devldr32.exe
C:\Programme\ScanSoft\OmniPagePro12.0\Opware12.exe
C:\WINDOWS\TWAIN_32\D66U\D066UUTY.EXE
C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
C:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe
C:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe
C:\PROGRA~1\NORTON~1\NORTON~3\SPEEDD~1\NOPDB.EXE
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\windows\System32\svchost.exe
C:\PROGRA~1\eScan\TRAYICOS.EXE
C:\PROGRA~1\eScan\MAILDISP.EXE
C:\PROGRA~1\eScan\AVPMWrap.EXE
C:\windows\System32\ctfmon.exe
C:\Program Files\interMute\SpySubtract\SpySub.exe
C:\PROGRA~1\Webshots\webshots.scr
C:\PROGRA~1\eScan\AvpM.exe
C:\PROGRA~1\eScan\MAILSCAN.EXE
C:\PROGRA~1\eScan\SPOOLER.EXE
C:\PROGRA~1\eScan\kavss.exe
C:\Programme\Outlook Express\msimn.exe
C:\windows\system32\rundll32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\windows\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\Ui\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.pawpeds.com/cgi-bin/MCO
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O3 - Toolbar: (no name) - {6b95678d-30a4-4ff8-a72f-4208340c1f7f} - (no file)
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Opware12] "C:\Programme\ScanSoft\OmniPagePro12.0\Opware12.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [D066UUtility] C:\WINDOWS\TWAIN_32\D66U\D066UUTY.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [AcctMgr] C:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe /startup
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Programme\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~1\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [eScan Monitor] C:\PROGRA~1\eScan\AVPMWrap.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\windows\System32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Free WebSite Tools.lnk = ?
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Startup: Printkey2000.lnk = C:\Programme\PrintKey2000\Printkey2000.exe
O4 - Startup: SpySubtract.lnk = C:\Program Files\interMute\SpySubtract\SpySub.exe
O4 - Startup: Webshots.lnk = C:\Programme\Webshots\Launcher.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Free WebSite Tools.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Printkey2000.lnk = C:\Programme\PrintKey2000\Printkey2000.exe
O4 - Global Startup: SpySubtract.lnk = C:\Program Files\interMute\SpySubtract\SpySub.exe
O4 - Global Startup: Webshots.lnk = C:\Programme\Webshots\Launcher.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - E:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - E:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O10 - Broken Internet access because of LSP provider 'mwtsp.dll' missing
O16 - DPF: {08BEF711-06DA-48B2-9534-802ECAA2E4F9} (PlxInstall Class) - http://down.plaxo.com/down/release/PlaxoInstall.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {5D9E4B6D-CD17-4D85-99D4-6A52B394EC3B} (WSDownloader Control) - http://www.webshots.com/samplers/WSDownloader.ocx
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1094466435637
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab
O16 - DPF: {D18F962A-3722-4B59-B08D-28BB9EB2281E} (PhotosCtrl Class) - http://de.f1.pg.photos.yahoo.com/ocx...lorer1_9us.cab
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: eScan Server-Updater - MWTI2 - C:\PROGRA~1\eScan\TRAYSSER.EXE
O23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~4\GHOSTS~2.EXE
O23 - Service: ISEXEng - Unknown - C:\windows\System32\angelex.exe (file missing)
O23 - Service: eScan Monitor Service - Kaspersky Labs. - C:\PROGRA~1\eScan\avpm.exe
O23 - Service: Norton Unerase Protection - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~3\NPROTECT.EXE
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~3\SPEEDD~1\NOPDB.EXE
O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe



Die O1 dateien hatte ich schon mehrfach gelöscht, kommen aber immer wieder.

Wie geht das genau mit dem e-scan? Ich kenne das programm überhaupt nicht und habe es halt einfach drüberlaufen lassen - und war schwer enttäuscht, als es die gefundenen Sachen nicht gelöscht hat. Wenn ich das programm öffne und auf Logflie gebe, kriegt man halt die ganze Wurst. Und wenn ich über den Explorer auf öffnen mit ... gehe, kriege ich auch keine mwav.log vorgeschlagen. Sorry, aber ich bin halt doch ein ziemlicher DAU.
__________________
__________________

Alt 28.12.2004, 20:12   #4
Cidre
Administrator, a.D.
 
Bargain Buddy, c.azjmp.com und andere Nettigkeiten - Standard

Bargain Buddy, c.azjmp.com und andere Nettigkeiten



Hallo,
Zitat:
gehe, kriege ich auch keine mwav.log vorgeschlagen.
gehe wie folgt vor: http://www.trojaner-board.de/showpos...58&postcount=5
__________________
Gruß, Cidre


Alt 28.12.2004, 20:31   #5
lalune
 
Bargain Buddy, c.azjmp.com und andere Nettigkeiten - Frage

Bargain Buddy, c.azjmp.com und andere Nettigkeiten



Habe versucht, die in der Anweisung enthaltenen Links zu öffnen - kriege dauernd die Error-Seite von wegen SErver nichtz gefunden. Kriege auch keinen Google, kein Yahoo, meine eigene HP usw. Aus unerfindlichen Gründen jedoch geht dieses Board. Muß man das verstehen?

Ehrlich gesagt weiß ich nicht mal, wie man im angesicherten Modus startet. Bin ein ganz doofer selbstgestrickter HP-Bastler, besuche keine warez-Seiten und downloade noch nicht mal mpegs, weils mich net ineterssiert. Wieso fange ich mir dann sowas blödes trotz Norton & Co.?

__________________
Liebe Grüsse,
Ulrike

Alt 28.12.2004, 23:04   #6
Shadowdance
 
Bargain Buddy, c.azjmp.com und andere Nettigkeiten - Standard

Bargain Buddy, c.azjmp.com und andere Nettigkeiten



@ lalune

*Brille rüberreicht* .. unterstrichene Worte sind Links ... schau mal genau hin. Und wenn Du es geschafft hast, zu lesen, was hier schon steht .. dann .. dann .. dann beantworten wir weitere Fragen ;-)

SD

Alt 29.12.2004, 11:33   #7
lalune
 
Bargain Buddy, c.azjmp.com und andere Nettigkeiten - Standard

Bargain Buddy, c.azjmp.com und andere Nettigkeiten



Hm, wollte Euch eigentlich einen kleine Screenshot von meinem nicht mehr funktionierenden Nortan anhängen, dabei ist diese SEite zweimal abgestürzt, also ohne.

Aber von vorne: Aaalso, nach anfänglichen Schwierigkeiten habe ich alles ganz brav nach Anleitung gemacht - danke übrigens für's Brille ausleihen, es hat geholfen. :-) Die Treffer von eScan hängen unten dran, das aktuelle Logfile vom Hijacker kommt in einer gesonderten Nachricht. Die meisten dateien wurden umbenannt, allerdings hat mich heute früh ein nicht funktionierendes netzwerk (wurde automatisch von Spysubtract behoben) begrüßt - und nachdem das wieder lief, die sattsam bekannten Werbefenster von c.azjmb.com... Und der Norton funkt auch nicht mehr, läßt sich auch nicht mehr aktivieren.

Was also ist nun zu tun? Wann wird die Systemwiederherstellung reaktiviert. was muß manuell rausgelöscht werden? Danke auf jeden Fall für Eure Hilfsbereitschaft, muß schon nertvig sein mit lauter so gestressten zeitgenossen, die sich nicht auskennen, wie ich eine bin! :-)





File C:\windows\system32\guard.tmp infected by "not-a-virus:AdWare.Look2Me.r" Virus. Action Taken: File to be deleted on reboot.

File C:\windows\System32\fpl2033oe.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: File Renamed.

File C:\windows\System32\irn4l55q1.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: File Renamed.

File C:\windows\System32\mac80ex.idf infected by "not-a-virus:AdWare.BargainBuddy.l" Virus. Action Taken: File Renamed.

File C:\windows\System32\netut80ex.vxd infected by "not-a-virus:AdWare.BargainBuddy.n" Virus. Action Taken: File Renamed.

File C:\windows\System32\q068laju1do8.dll infected by "not-a-virus:AdWare.Look2Me.r" Virus. Action Taken: File Renamed.

File C:\windows\System32\wyv8dmod.dll infected by "not-a-virus:AdWare.Look2Me.r" Virus. Action Taken: File Renamed.

File C:\windows\System32\cpmaddin.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: File Renamed.

File C:\windows\System32\instsrv.exe tagged as not-a-virus:RiskWare.Tool.ServiceRunner.f. No Action Taken.

File C:\windows\System32\mexml3a.dll infected by "not-a-virus:AdWare.Look2Me.r" Virus. Action Taken: File Renamed.

File C:\windows\System32\mhsec.dll infected by "not-a-virus:AdWare.Look2Me.r" Virus. Action Taken: File Renamed.

File C:\Programme\MyWebSearch\bar\1.bin\MWSBAR.DLL infected by "not-a-virus:AdWare.ToolBar.MyWebSearch" Virus. Action Taken: File Renamed.

File C:\Programme\MyWebSearch\bar\1.bin\MWSOEMON.EXE infected by "not-a-virus:AdWare.ToolBar.MyWebSearch" Virus. Action Taken: File Renamed.

File C:\Programme\MyWebSearch\bar\1.bin\MWSOEPLG.DLL infected by "not-a-virus:AdWare.ToolBar.MyWebSearch" Virus. Action Taken: File Renamed.

File C:\Programme\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL infected by "not-a-virus:AdWare.ToolBar.MyWebSearch" Virus. Action Taken: File Renamed.

File C:\Programme\Norton SystemWorks\Norton Antivirus\Quarantine\1BAD7154 infected by "not-a-virus:AdWare.Coreak" Virus. Action Taken: File Renamed.

File C:\RECYCLER\NPROTECT\00019113.DLL infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: File Renamed.

File C:\RECYCLER\NPROTECT\00019114.DLL infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: File Renamed.

File C:\RECYCLER\NPROTECT\00019609.DLL infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: File Renamed.

File C:\RECYCLER\NPROTECT\00019610.DLL infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: File Renamed.

File C:\RECYCLER\NPROTECT\00073144.DLL infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: File Renamed.

File C:\RECYCLER\NPROTECT\00073151.DLL infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: File Renamed.

File C:\RECYCLER\NPROTECT\00073214.DLL infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: File Renamed.

File C:\RECYCLER\NPROTECT\00073241.DLL infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: File Renamed.

File C:\RECYCLER\NPROTECT\00073242.DLL infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: File Renamed.

File C:\RECYCLER\NPROTECT\00073250.DLL infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: File Renamed.

File C:\WINDOWS\Downloaded Program Files\CONFLICT.1\HDPlugin1015.dll infected by "not-a-virus:AdWare.Gator.1015" Virus. Action Taken: File Renamed.

File C:\WINDOWS\Downloaded Program Files\CONFLICT.1\HDPlugin1018.dll infected by "not-a-virus:AdWare.Gator.1018" Virus. Action Taken: File Renamed.

File C:\WINDOWS\Downloaded Program Files\CONFLICT.1\HDPlugin1019.dll infected by "not-a-virus:AdWare.Gator.1019" Virus. Action Taken: File Renamed.

File C:\WINDOWS\Downloaded Program Files\CONFLICT.2\HDPlugin1018.dll infected by "not-a-virus:AdWare.Gator.1018" Virus. Action Taken: File Renamed.

File C:\WINDOWS\Downloaded Program Files\CONFLICT.2\HDPlugin1019.dll infected by "not-a-virus:AdWare.Gator.1019" Virus. Action Taken: File Renamed.

File C:\WINDOWS\Downloaded Program Files\CONFLICT.3\HDPlugin1019.dll infected by "not-a-virus:AdWare.Gator.1019" Virus. Action Taken: File Renamed.

File C:\WINDOWS\Downloaded Program Files\HDPlugin1019.dll infected by "not-a-virus:AdWare.Gator.1019" Virus. Action Taken: File Renamed.

File C:\WINDOWS\system32\instsrv.exe tagged as not-a-virus:RiskWare.Tool.ServiceRunner.f. No Action Taken.

File C:\WINDOWS\Temp\akcore.dll infected by "not-a-virus:AdWare.Coreak" Virus. Action Taken: File Renamed.

File E:\Eigene Dateien\Downloads\CoffeeHTML96.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

File E:\Eigene Dateien\Downloads\CoffeeHTML97.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

File E:\RECYCLER\S-1-5-21-1004336348-1078145449-1202660629-1003\De440\bar\1.bin\MWSBAR.DLL infected by "not-a-virus:AdWare.ToolBar.MyWebSearch" Virus. Action Taken: File Renamed.

File E:\RECYCLER\S-1-5-21-1004336348-1078145449-1202660629-1003\De440\bar\1.bin\MWSOEMON.EXE infected by "not-a-virus:AdWare.ToolBar.MyWebSearch" Virus. Action Taken: File Renamed.

File E:\RECYCLER\S-1-5-21-1004336348-1078145449-1202660629-1003\De440\bar\1.bin\MWSOEPLG.DLL infected by "not-a-virus:AdWare.ToolBar.MyWebSearch" Virus. Action Taken: File Renamed.

File E:\RECYCLER\S-1-5-21-1004336348-1078145449-1202660629-1003\De440\SrchAstt\1.bin\MWSSRCAS.DLL infected by "not-a-virus:AdWare.ToolBar.MyWebSearch" Virus. Action Taken: File Renamed.
__________________
Liebe Grüsse,
Ulrike

Alt 29.12.2004, 11:34   #8
lalune
 
Bargain Buddy, c.azjmp.com und andere Nettigkeiten - Standard

Bargain Buddy, c.azjmp.com und andere Nettigkeiten



So, nun das Logfile:


Logfile of HijackThis v1.99.0
Scan saved at 11:12:28, on 29.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\windows\system32\spoolsv.exe
C:\windows\system32\rundll32.exe
C:\windows\Explorer.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\cisvc.exe
C:\PROGRA~1\NORTON~1\NORTON~4\GHOSTS~2.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe
C:\PROGRA~1\NORTON~1\NORTON~3\NPROTECT.EXE
C:\windows\System32\devldr32.exe
C:\Programme\ScanSoft\OmniPagePro12.0\Opware12.exe
C:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe
C:\WINDOWS\TWAIN_32\D66U\D066UUTY.EXE
C:\PROGRA~1\NORTON~1\NORTON~3\SPEEDD~1\NOPDB.EXE
C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
C:\windows\System32\svchost.exe
C:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\windows\System32\ctfmon.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\PrintKey2000\Printkey2000.exe
C:\Program Files\interMute\SpySubtract\SpySub.exe
C:\PROGRA~1\Webshots\webshots.scr
C:\Programme\Outlook Express\msimn.exe
C:\WINDOWS\System32\cidaemon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Ui\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.pawpeds.com/cgi-bin/MCO
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O3 - Toolbar: IEMenuExtension toolbar - {6b95678d-30a4-4ff8-a72f-4208340c1f7f} - C:\Programme\IEMenuExtension\tbextn.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Opware12] "C:\Programme\ScanSoft\OmniPagePro12.0\Opware12.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [D066UUtility] C:\WINDOWS\TWAIN_32\D66U\D066UUTY.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [AcctMgr] C:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe /startup
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [BullsEye Network] C:\Programme\BullsEye Network\bin\bargains.exe
O4 - HKLM\..\Run: [IE Menu Extension toolbar] rundll32.exe "C:\PROGRA~1\IEMENU~1\tbextn.dll" DllShowTB
O4 - HKCU\..\Run: [CTFMON.EXE] C:\windows\System32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Free WebSite Tools.lnk = ?
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Startup: Printkey2000.lnk = C:\Programme\PrintKey2000\Printkey2000.exe
O4 - Startup: SpySubtract.lnk = C:\Program Files\interMute\SpySubtract\SpySub.exe
O4 - Startup: Webshots.lnk = C:\Programme\Webshots\Launcher.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Free WebSite Tools.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Printkey2000.lnk = C:\Programme\PrintKey2000\Printkey2000.exe
O4 - Global Startup: SpySubtract.lnk = C:\Program Files\interMute\SpySubtract\SpySub.exe
O4 - Global Startup: Webshots.lnk = C:\Programme\Webshots\Launcher.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - E:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - E:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O16 - DPF: {08BEF711-06DA-48B2-9534-802ECAA2E4F9} (PlxInstall Class) - http://down.plaxo.com/down/release/PlaxoInstall.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {5D9E4B6D-CD17-4D85-99D4-6A52B394EC3B} (WSDownloader Control) - http://www.webshots.com/samplers/WSDownloader.ocx
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1094466435637
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab
O16 - DPF: {D18F962A-3722-4B59-B08D-28BB9EB2281E} (PhotosCtrl Class) - http://de.f1.pg.photos.yahoo.com/ocx...lorer1_9us.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1793AA4F-384C-44D1-8C02-585822B49405}: NameServer = 195.3.96.67 195.3.96.68
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~4\GHOSTS~2.EXE
O23 - Service: ISEXEng - Unknown - C:\windows\System32\angelex.exe (file missing)
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe
O23 - Service: Norton Unerase Protection - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~3\NPROTECT.EXE
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~3\SPEEDD~1\NOPDB.EXE
O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
__________________
Liebe Grüsse,
Ulrike

Alt 29.12.2004, 11:57   #9
MountainKing
 
Bargain Buddy, c.azjmp.com und andere Nettigkeiten - Standard

Bargain Buddy, c.azjmp.com und andere Nettigkeiten



Systemwiederherstellung deaktivieren, in den abgesicherten Modus booten:

http://www.bsi.bund.de/av/texte/wiederher_xp.htm


Mit HijackThis fixen (Scan/genannte Einträge markieren/"Fix checked" klicken):


O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O4 - HKLM\..\Run: [BullsEye Network] C:\Programme\BullsEye Network\bin\bargains.exe
O4 - HKLM\..\Run: [IE Menu Extension toolbar] rundll32.exe "C:\PROGRA~1\IEMENU~1\tbextn.dll" DllShowTB
O23 - Service: ISEXEng - Unknown - C:\windows\System32\angelex.exe (file missing)


Lösche die aufgeführten Dateien, starte wieder und aktiviere die Systemwiederherstellung.

Antwort

Themen zu Bargain Buddy, c.azjmp.com und andere Nettigkeiten
.dll, c:\windows, dateien, diverse, dll, gen, helfen, hijack, hijackthis, jahre, löschen, messenger, msn, msn messenger, neustart, nichts, popup, programme, rundll, seite, seiten, system, system32, web, windows




Ähnliche Themen: Bargain Buddy, c.azjmp.com und andere Nettigkeiten


  1. Discount Buddy entfernen
    Anleitungen, FAQs & Links - 27.11.2013 (2)
  2. Hi, buddy, thanks for your article.
    Mülltonne - 29.05.2008 (0)
  3. TR/Buddy.F/TR/Click.Age.DB.Dll/TR/Dldr.Spybi.1/TR/Stervice.C
    Plagegeister aller Art und deren Bekämpfung - 19.06.2005 (18)
  4. TR/Buddy-TR/Stervice-TR/Click.Age.DB.DLL
    Plagegeister aller Art und deren Bekämpfung - 18.06.2005 (22)
  5. Trojaner Buddy.F, Agent.CP, Stervice.C und ClickeAgeDB.Dll
    Plagegeister aller Art und deren Bekämpfung - 11.06.2005 (12)
  6. TR/Buddy.F + TR/Agent.CP
    Log-Analyse und Auswertung - 06.06.2005 (1)
  7. buddy.f und agent.cp trojaner
    Log-Analyse und Auswertung - 04.06.2005 (1)
  8. TR/Buddy.F und Andere
    Log-Analyse und Auswertung - 02.06.2005 (4)
  9. TR/Dldr.Lastad.H , TR/Buddy.F , TR/Agent.CP
    Plagegeister aller Art und deren Bekämpfung - 02.06.2005 (0)
  10. TR/BUDDY.F - Wer kann mein Logfile analysieren?
    Log-Analyse und Auswertung - 01.06.2005 (1)
  11. ich habe den TR/Buddy.F
    Log-Analyse und Auswertung - 31.05.2005 (6)
  12. TR Buddy.F!!!!
    Plagegeister aller Art und deren Bekämpfung - 29.05.2005 (6)
  13. BargainsBuddy und andere Nettigkeiten...
    Log-Analyse und Auswertung - 19.05.2005 (7)
  14. Trojaner Buddy.F, geht nicht weg :-/ Help !
    Plagegeister aller Art und deren Bekämpfung - 09.05.2005 (5)
  15. Hilfe bei Bargain Buddy
    Plagegeister aller Art und deren Bekämpfung - 30.01.2005 (6)
  16. Hi Jacker Problem Bargain Buddy und andere
    Plagegeister aller Art und deren Bekämpfung - 18.01.2005 (1)
  17. bargain buddy
    Log-Analyse und Auswertung - 01.12.2004 (5)

Zum Thema Bargain Buddy, c.azjmp.com und andere Nettigkeiten - Hallo! Nach langen virenfreien Jahren hat es mich auch erwischt. Habe mir vor zwei tagen den msn messenger runtergeaden und eine Hotmailaddy eingercihtet und seit damals geht es hier rund. - Bargain Buddy, c.azjmp.com und andere Nettigkeiten...
Archiv
Du betrachtest: Bargain Buddy, c.azjmp.com und andere Nettigkeiten auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.