|
Plagegeister aller Art und deren Bekämpfung: farmmextWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
19.03.2005, 14:33 | #1 |
| farmmext Hallo zusammen! Seit einiger Zeit nervt mich so ein fieser Eindringling namens "farmmext". Ich benutze Steganos AntiSpyware 7. Dieser erkennt den Bösewicht, entfernt ihn auch. Beim nächsten Hochfahren ist er allerdings wieder da und das selbe Spiel beginnt von vorn. Kann mir wer helfen und sagen was ich da tun kann/soll ? Greetz max |
19.03.2005, 15:17 | #2 |
| farmmext Hi,
__________________erstelle ein Hijack This Logfile und poste es mittels copy&paste:Direktdownload hier Denk bitte daran, dass das Programm Hijack This in einem neuen Ordner unter C: laufen sollte, siehe dazu auch Hijack This
__________________ |
19.03.2005, 15:39 | #3 |
| farmmext Bei Farmmext handelt es sich um Adware. Sollte von Adaware, Spybot oder a² erkannt und beseitigt werden.
__________________Meine empfohlene Vorgehensweise: Keiner der am Markt angebotenen Virenscanner ist perfekt. Es ist deshalb eine gute Idee mit einem zweiten oder dritten Antivirenprogramm zu scannen. Sehr leistungsfähige (kostenlose) Virenscanner sind escan (Kaspersky Engine) und BitdefenderFree. Da aber alle Virenscanner Probleme mit Trojanern und Spyware haben, grundsätzlich mit Spyware- und Trojanerscanner zusätzlich prüfen: Spybot Search&Destroy und a² (emisoft). Für alle eingesetzten Programme gilt: Vor dem Einsatz aktualisieren (updaten)! Dannach checken mit HijackThis und MSConfig. Dann Systemwiederherstellung (nur Windows XP) deaktivieren und im abgesicherten Modus booten. Nochmal Virenscanner, Spybot und a² drüber laufen lassen und mit HijackThis überprüfen/fixen. Wenn keine Fehler mehr, neu booten und die Systemwiederherstellung wieder aktivieren. Eine Garantie, dass der Schädling weg ist, hast du aber nicht. Hier hilft nur Formatieren und Neuinstallation der Festplatte. Du solltest dir aber mal grundlegende Gedanken machen, warum du den Schädling bekommen hast und entsprechende Vorsorgemaßnahmen ergreifen (Stichwort 10 goldene Regeln). Infos und Downloads zum Thema findest du auf meiner Webpage |
19.03.2005, 16:03 | #4 |
| farmmext Hi ! Zuerstmal danke für die raschen Atworten ! Ich habe mich schon gefragt, wie es sein kann, das ich mir diese Adware-Dinger eingetreten habe. Habe auch Norton Antivirus und die Firewall laufen (beides am letzten Stand) Auch alle Sicherheitsupdates vom XP sind drauf. Norton AntiVirus erkennt Farmmext und auch noch ein paar andere Mistdinger. Doch kann er nur einen Teil davon entfernen. Es erscheint doch eher schwierig und langwierig sich von solchen unerwünschten Programmen zu entledigen. Mindestens genauso langwierig ist es aber auch mein System mit allem drumm und drann neu aufzusetzen. Eine Frage hätte ich noch: Weswegen die Systemwiederherstellung deaktivieren? Was bringt dies? Greetz max |
19.03.2005, 16:13 | #5 |
| farmmext Ok, und nun das Logfile: Logfile of HijackThis v1.99.1 Scan saved at 16:11:27, on 19.03.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\drivers\CDAC11BA.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\NORTON~2\NORTON~1\NPROTECT.EXE C:\PROGRA~1\NORTON~2\NORTON~1\SPEEDD~1\NOPDB.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wdfmgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Saitek\Saitek Gaming Extensions\saicnfig.exe C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\WINDOWS\system32\RUNDLL32.exe C:\WINDOWS\System32\ibkjukd.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe C:\Programme\Winamp\winampa.exe C:\Programme\Nokia\Nokia PC Suite 6\Launch Application 2.exe C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE C:\WINDOWS\System32\alg.exe C:\Programme\Steganos AntiSpyware 7\aspy7.exe C:\Programme\WinZip\WZQKPICK.EXE C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE C:\Programme\Norton AntiVirus\SAVScan.exe C:\Programme\Hijackthis\HijackThis.exe C:\Programme\Messenger\msmsgs.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.jahoo.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.jahoo.de R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = O2 - BHO: (no name) - {00000000-59D4-4008-9058-080011001200} - (no file) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SAITEKAUTOCONFIGURE] C:\Programme\Saitek\Saitek Gaming Extensions\saicnfig.exe /autorun O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [WildTangent CDA] RUNDLL32.exe "C:\Programme\WildTangent\Apps\CDA\cdaEngine0400.dll",cdaEngineMain O4 - HKLM\..\Run: [ivvapg] C:\WINDOWS\System32\ibkjukd.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [AcctMgr] C:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe /startup O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\Launch Application 2.exe -onlytray O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKCU\..\Run: [SpyKiller] C:\Programme\SpyKiller\spykiller.exe /startup O4 - HKCU\..\Run: [AntiSpyware7] "C:\Programme\Steganos AntiSpyware 7\aspy7.exe" /0 O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~2\NORTON~1\NPROTECT.EXE O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~2\NORTON~1\SPEEDD~1\NOPDB.EXE O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe na dann bin ich mal gespannt... Greetz Max |
19.03.2005, 16:36 | #6 |
farmmext Genau das gleiche Prob hatte ich auch. Bzw hab es noch. Nur hab ich einige dieser Biester gekillt bekommen. Erstmal mit RegEdit die Einträge gekillt, dann in der Eingabeaufforderung (Windows mit Eingabeaufforderung starten) die entsprechenden Ordner und Dateien gelöscht. Einige gingen nicht zu löschen, klar. Aber wenigstens ein paar.
__________________ --> farmmext |
19.03.2005, 16:38 | #7 | |
| farmmextZitat:
2. Wieso solltest du ein infiziertes System wiederherstellen wollen? Nach erfolgter, nachhaltiger Säuberung kannst du die Systemwiederherstellung ja wieder aktivieren. |
19.03.2005, 16:41 | #8 |
| farmmext C:\WINDOWS\System32\ibkjukd.exe diese datei mal hier online scannen lassen Ergebnis mitteilen. Sollte sie nicht sichtbar sein, Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK" |
19.03.2005, 16:42 | #9 |
| farmmext O4 - HKLM\..\Run: [WildTangent CDA] RUNDLL32.exe "C:\Programme\WildTangent\Apps\CDA\cdaEngine0400.dl l",cdaEngineMain und O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52...meInstaller.exe solltest du unbedingt fixen! 02 - BHO: (no name) - {00000000-59D4-4008-9058-080011001200} - (no file) kannst du auch gleich rausschmeissen. |
19.03.2005, 16:49 | #11 |
| farmmext |
19.03.2005, 17:20 | #12 |
| farmmext Hi nochmal ! Habe die genannten Einträge entfernt. Bzw. der Wild Tangent- Eintrag verschwand mit der Deinstalation des Programmes. Dannach wollte ich diese Datei "C:\WINDOWS\System32\ibkjukd.exe" an die genannten Adressen hochladen... Denkste- das Ding weigert sich- das Teil lässt sich nicht kopieren, löschen, verschieben noch irgendwohin hochladen.... Denke es wird von einer laufenden Anwendung benutzt. @Gigamail: Danke für den Link! Auf der Site war ich schon vor ein paar Tagen. Brachte mir einige Lachkrämpfe wegen der genialen Übersetzung Die beschriebenen Prozesse laufen nicht, die Reg. ist farmmext-frei (bis auf einen Eintrag unter Spyware 7 ???) und die Dateien wurden auch entfernt, kommen aber immer wieder (Digitale Reinkarnation der besonderen Art) Greetz max |
19.03.2005, 18:32 | #13 | |
| farmmextZitat:
|
Themen zu farmmext |
antispyware, beginnt, eindringling, einiger, entfern, entfernt, erkenn, erkennt, fieser, hallo zusammen, helfen, hochfahren, namens, nervt, spiel, steganos, zusammen |