Hallo zusammen!

Seit einiger Zeit nervt mich so ein fieser Eindringling namens "farmmext".
Ich benutze Steganos AntiSpyware 7.
Dieser erkennt den Bösewicht, entfernt ihn auch.
Beim nächsten Hochfahren ist er allerdings wieder da und das selbe Spiel beginnt von vorn.

Kann mir wer helfen und sagen was ich da tun kann/soll ?

Greetz
max

Hi,

erstelle ein Hijack This Logfile und poste es mittels copy&paste:Direktdownload hier Denk bitte daran, dass das Programm Hijack This in einem neuen Ordner unter C: laufen sollte, siehe dazu auch Hijack This

Bei Farmmext handelt es sich um Adware. Sollte von Adaware, Spybot oder a² erkannt und beseitigt werden.

Meine empfohlene Vorgehensweise:

Keiner der am Markt angebotenen Virenscanner ist perfekt. Es ist deshalb eine gute Idee mit einem zweiten oder dritten Antivirenprogramm zu scannen. Sehr leistungsfähige (kostenlose) Virenscanner sind escan (Kaspersky Engine) und BitdefenderFree.

Da aber alle Virenscanner Probleme mit Trojanern und Spyware haben, grundsätzlich mit Spyware- und Trojanerscanner zusätzlich prüfen: Spybot Search&Destroy und a² (emisoft). Für alle eingesetzten Programme gilt: Vor dem Einsatz aktualisieren (updaten)!

Dannach checken mit HijackThis und MSConfig.

Dann Systemwiederherstellung (nur Windows XP) deaktivieren und im abgesicherten Modus booten. Nochmal Virenscanner, Spybot und a² drüber laufen lassen und mit HijackThis überprüfen/fixen. Wenn keine Fehler mehr, neu booten und die Systemwiederherstellung wieder aktivieren.

Eine Garantie, dass der Schädling weg ist, hast du aber nicht. Hier hilft nur Formatieren und Neuinstallation der Festplatte.

Du solltest dir aber mal grundlegende Gedanken machen, warum du den Schädling bekommen hast und entsprechende Vorsorgemaßnahmen ergreifen (Stichwort 10 goldene Regeln).

Infos und Downloads zum Thema findest du auf meiner Webpage

Hi !

Zuerstmal danke für die raschen Atworten !

Ich habe mich schon gefragt, wie es sein kann, das ich mir diese Adware-Dinger eingetreten habe.
Habe auch Norton Antivirus und die Firewall laufen (beides am letzten Stand)
Auch alle Sicherheitsupdates vom XP sind drauf.

Norton AntiVirus erkennt Farmmext und auch noch ein paar andere Mistdinger.
Doch kann er nur einen Teil davon entfernen.

Es erscheint doch eher schwierig und langwierig sich von solchen unerwünschten Programmen zu entledigen.
Mindestens genauso langwierig ist es aber auch mein System mit allem drumm und drann neu aufzusetzen.

Eine Frage hätte ich noch:
Weswegen die Systemwiederherstellung deaktivieren?
Was bringt dies?

Greetz
max

Ok, und nun das Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 16:11:27, on 19.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\NORTON~2\NORTON~1\NPROTECT.EXE
C:\PROGRA~1\NORTON~2\NORTON~1\SPEEDD~1\NOPDB.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Saitek\Saitek Gaming Extensions\saicnfig.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\RUNDLL32.exe
C:\WINDOWS\System32\ibkjukd.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Nokia\Nokia PC Suite 6\Launch Application 2.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\WINDOWS\System32\alg.exe
C:\Programme\Steganos AntiSpyware 7\aspy7.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\Programme\Hijackthis\HijackThis.exe
C:\Programme\Messenger\msmsgs.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.jahoo.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.jahoo.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O2 - BHO: (no name) - {00000000-59D4-4008-9058-080011001200} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SAITEKAUTOCONFIGURE] C:\Programme\Saitek\Saitek Gaming Extensions\saicnfig.exe /autorun
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [WildTangent CDA] RUNDLL32.exe "C:\Programme\WildTangent\Apps\CDA\cdaEngine0400.dll",cdaEngineMain
O4 - HKLM\..\Run: [ivvapg] C:\WINDOWS\System32\ibkjukd.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AcctMgr] C:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe /startup
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\Launch Application 2.exe -onlytray
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [SpyKiller] C:\Programme\SpyKiller\spykiller.exe /startup
O4 - HKCU\..\Run: [AntiSpyware7] "C:\Programme\Steganos AntiSpyware 7\aspy7.exe" /0
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~2\NORTON~1\NPROTECT.EXE
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~2\NORTON~1\SPEEDD~1\NOPDB.EXE
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

na dann bin ich mal gespannt...

Greetz
Max

Genau das gleiche Prob hatte ich auch.
Bzw hab es noch.
Nur hab ich einige dieser Biester gekillt bekommen.
Erstmal mit RegEdit die Einträge gekillt, dann in der
Eingabeaufforderung (Windows mit Eingabeaufforderung starten) die entsprechenden Ordner und Dateien gelöscht.
Einige gingen nicht zu löschen, klar.
Aber wenigstens ein paar.

Zitat:

Zitat von maxp

Hi !
Weswegen die Systemwiederherstellung deaktivieren?
Was bringt dies?

1. Einige Schädlinge verstecken sich im Systemwiederherstellungsverzeichnis und der Benutzer wundert sich dann, warum sie immer wieder auftauchen.
2. Wieso solltest du ein infiziertes System wiederherstellen wollen? Nach erfolgter, nachhaltiger Säuberung kannst du die Systemwiederherstellung ja wieder aktivieren.

C:\WINDOWS\System32\ibkjukd.exe
diese datei mal hier online scannen lassen Ergebnis mitteilen. Sollte sie nicht sichtbar sein, Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"

O4 - HKLM\..\Run: [WildTangent CDA] RUNDLL32.exe "C:\Programme\WildTangent\Apps\CDA\cdaEngine0400.dl l",cdaEngineMain
und
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52...meInstaller.exe
solltest du unbedingt fixen!
02 - BHO: (no name) - {00000000-59D4-4008-9058-080011001200} - (no file)
kannst du auch gleich rausschmeissen.

Und
C:\WINDOWS\System32\ibkjukd.exe
gleich auch noch hier zusätzlich uploaden.

@ maxp

schau mal hier und versuche das mit abzuarbeiten farmmext

Hi nochmal !

Habe die genannten Einträge entfernt.
Bzw. der Wild Tangent- Eintrag verschwand mit der Deinstalation des Programmes.

Dannach wollte ich diese Datei "C:\WINDOWS\System32\ibkjukd.exe" an die genannten Adressen hochladen...
Denkste- das Ding weigert sich- das Teil lässt sich nicht kopieren, löschen, verschieben noch irgendwohin hochladen....
Denke es wird von einer laufenden Anwendung benutzt.

@Gigamail:
Danke für den Link!
Auf der Site war ich schon vor ein paar Tagen.
Brachte mir einige Lachkrämpfe wegen der genialen Übersetzung
Die beschriebenen Prozesse laufen nicht, die Reg. ist farmmext-frei (bis auf einen Eintrag unter Spyware 7 ???) und die Dateien wurden auch entfernt, kommen aber immer wieder (Digitale Reinkarnation der besonderen Art)

Greetz
max

Zitat:

Dannach wollte ich diese Datei "C:\WINDOWS\System32\ibkjukd.exe" an die genannten Adressen hochladen...

schau im Taskmanager ob dort der Prozess geladen ist, wenn ja beenden und nochmal mit Hochladen versuchen