Erstmal moinsen allerseits

Ich habe gestern mein System neu aufgesetzt und mir wohl schon beim Ziehen diverser AntiSpyWare, Virenschutzprogramme, Windows-Updates usw. eine Menge Nettigkeiten eingefangen (trotz Firewall, die hat den Namen wohl echt nicht verdient).

Ad-Aware meldete bislang 137 gelöschte Dateien in 7 Scans.

Antivir XP brachte es auf insg. 66 Dateien in 2 Scans.

Spybot S&D hat um die 100 gelöschte Einträge zu verzeichnen, stolze Leistung für ca. 2 Std Internetaufenthalt finde ich

Habe auch alles soweit runtergeputzt, habe jetzt nur noch einen sehr hartnäckigen Kandidaten namens Exact Advertising.BargainsBuddy. Dieser tummelt sich in dem Registryeintrag
HKEY_CLASSES_ROOT\CLSID\{F4E04583-354E-4076-BE7D-ED6A80FD66DA}

Habe dazu folgenden Thread hier aufgestöbert: http://www.trojaner-board.de/archive...p/t-17442.html

Mein Problem an der Sache: Ich habe keine exe namens svcproc.exe.

Zitat:

Logfile of HijackThis v1.99.1
Scan saved at 16:06:32, on 17.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton Internet Security\ISSVC.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\wpabaln.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Timba 2k5\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://81.222.131.49/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://81.222.131.49/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://81.222.131.49/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = h**p://81.222.131.49/index.php
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://h**p://v5.windowsupdate.micro...?1116255286475
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://h**p://www.pandasoftware.com/...as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{18848A38-374F-497B-AC7B-20867E1FB637}: NameServer = 213.191.74.18 213.191.92.87
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe (file missing)

Folglich hatte ich bislang keine Chance irgendwas zu löschen, der Registryeintrag widersteht hartnäckig allen Versuchen ihn zu verändern geschweige denn ihn zu löschen.

-----------------------------------------------------------------------------------

Das war erst der erste Streich, doch der Zweite folgt sogleich

Problem Nummer 2:

Updaten konnte ich per WindoofUpdate gestern abend noch, habe dazu gleich Firefox nebenher runtergeladen (ein weiser Entschluss *g*). Nun entschloss sich mein IE zu einer neuen Glanztat: Er weigert sich irgendeine Site zu öffnen. Egal welche: "Server nicht gefunden, Seite kann nicht angezeigt werden.

Vorher erscheint ein AlertWindow mit dem Text: Die Suchseite kann nicht gefunden werden. In der Statusleiste kann man das nette Spiel des IE beobachten, statt zum Bleistift google.de zu suchen, sucht er google.de.net, google.de.com usw... What the hack?

Desweiteren ist es mir unmöglich, mich irgendwo anzumelden, ICQ (*würg*), MSN, sowie sämtliche Emailanbieter wie hotmail.com oder web.de weisen meine Einwahlversuche mit den erotischen Worten: "Beim Versuch *piep* zu kontaktieren, wurde die Verbindung zurückgesetzt." zurück .

So bin ich jetzt ziemlich von der "Außenwelt" abgeschnitten, da ich weder einen Internet Explorer für Updates usw. habe noch einen Firefox, der sich irgendwo anmelden kann. Auch einige Downloads z.B. von FTPs wurden so zurückgewiesen.

Den Gedanken, mein System nochmal neu zu machen, habe ich ziemlich schnell fallen gelassen, da ich genau dies ja vor der Invasion der Würmer & Special Guests getan habe und auch keine Möglichkeiten sehe, großartig etwas anders zu machen. Die Updates fliegen ja nicht auf meine Platte... (außerdem will ich nicht wieder 3 Std. hier sitzen und Treiber CDs usw. suchen ).

Also: büttö helft mir!

EDIT: Habe hoffentlich jetzt alle Links raus.




I

Also:
http://www.trojaner-board.de/showthread.php?t=17492

Im abgesicherten Modus mit HJT fixen:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://81.222.131.49/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://81.222.131.49/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://81.222.131.49/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = h**p://81.222.131.49/index.php
Ergebnisse von eScan hier posten.

Mache bitte die WWW-Adressen unkenntlich.

OK,

zuerst das Logfile der eScan Log:

Zitat:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Tue May 17 20:44:48 2005 => System found infected with Bargain Buddy Spyware/Adware ({f4e04583-354e-4076-be7d-ed6a80fd66da})! Action taken: No Action Taken.
Tue May 17 20:44:52 2005 => System found infected with cws.xplugin Spyware/Adware (xplugin.dll)! Action taken: No Action Taken.
Tue May 17 20:47:06 2005 => File C:\WINDOWS\system32\xplugin.dll infected by "Trojan-Downloader.Win32.Esepor.ac" Virus! Action Taken: No Action Taken.
Tue May 17 20:47:42 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\ExactAdvertisingBargainsBuddy8.zip infected by "Password-protected-EXE" Virus! Action Taken: No Action Taken.
Tue May 17 20:47:47 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\TIBS.zip infected by "Password-protected-EXE" Virus! Action Taken: No Action Taken.
Tue May 17 20:50:57 2005 => File C:\Dokumente und Einstellungen\Timba 2k5\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0HIZOPQF\set2[1].html infected by "Trojan-Clicker.JS.Linker.j" Virus! Action Taken: No Action Taken.
Tue May 17 20:51:00 2005 => File C:\Dokumente und Einstellungen\Timba 2k5\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0HIZOPQF\ysb_prompt[1].php infected by "Trojan-Downloader.JS.IstBar.j" Virus! Action Taken: No Action Taken.
Tue May 17 20:51:08 2005 => File C:\Dokumente und Einstellungen\Timba 2k5\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0XABG1UJ\hpp3n[1].hta infected by "Trojan.JS.StartPage.a" Virus! Action Taken: No Action Taken.
Tue May 17 20:51:14 2005 => File C:\Dokumente und Einstellungen\Timba 2k5\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0XABG1UJ\prompt[1].php infected by "Trojan-Downloader.JS.IstBar.j" Virus! Action Taken: No Action Taken.
Tue May 17 20:51:19 2005 => File C:\Dokumente und Einstellungen\Timba 2k5\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GTM7CDEN\adv684[1].php infected by "Exploit.HTML.Mht" Virus! Action Taken: No Action Taken.
Tue May 17 20:51:29 2005 => File C:\Dokumente und Einstellungen\Timba 2k5\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GTM7CDEN\mtrslib2[1].js infected by "Trojan-Downloader.JS.Small.ag" Virus! Action Taken: No Action Taken.
Tue May 17 20:51:38 2005 => File C:\Dokumente und Einstellungen\Timba 2k5\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WTEVSL6Z\c4t[1].html infected by "Trojan-Clicker.JS.Linker.j" Virus! Action Taken: No Action Taken.
Tue May 17 20:51:55 2005 => File C:\Dokumente und Einstellungen\Timba 2k5\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WTEVSL6Z\x[1].chm infected by "Trojan-Downloader.Win32.Small.vg" Virus! Action Taken: No Action Taken.
Tue May 17 20:52:29 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Tue May 17 21:09:37 2005 => File C:\WINDOWS\system32\xplugin.dll infected by "Trojan-Downloader.Win32.Esepor.ac" Virus! Action Taken: No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Habe alles danach per Total Commander gelöscht sowie deine angesprochenen Punkte gelöscht.

Das sagt HijackThis jetzt dazu:

Zitat:

Logfile of HijackThis v1.99.1
Scan saved at 22:27:23, on 17.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton Internet Security\ISSVC.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wpabaln.exe
C:\Dokumente und Einstellungen\Timba 2k5\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://h**p://v5.windowsupdate.micro...?1116255286475
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://h**p://www.pandasoftware.com/...as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{18848A38-374F-497B-AC7B-20867E1FB637}: NameServer = 213.191.74.18 213.191.92.87
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe (file missing)

Und ein letzter Scan per eScan (kein abgesicherter Modus):

Zitat:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Tue May 17 22:30:55 2005 => System found infected with IBIS Spyware/Adware ({339bb23f-a864-48c0-a59f-29ea915965ec})! Action taken: No Action Taken.
Tue May 17 22:30:55 2005 => System found infected with Bargain Buddy Spyware/Adware ({f4e04583-354e-4076-be7d-ed6a80fd66da})! Action taken: No Action Taken.
Tue May 17 22:44:07 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Tue May 17 22:31:57 2005 => File C:\WINDOWS\yyjuui.exe tagged as "not-a-virus:AdWare.BetterInternet.c". Action Taken: No Action Taken.
Tue May 17 22:33:08 2005 => File C:\WINDOWS\system32\KILLAPPS.EXE tagged as not-a-virus:RiskWare.Tool.KillApp.b. No Action Taken.
Tue May 17 22:34:24 2005 => File C:\DOKUME~1\TIMBA2~1\LOKALE~1\Temp\180SAInstaller.exe tagged as "not-a-virus:AdWare.180Solutions.g". Action Taken: No Action Taken.
Tue May 17 22:34:25 2005 => File C:\DOKUME~1\TIMBA2~1\LOKALE~1\Temp\B51926549\build2.exe tagged as "not-a-virus:AdWare.ToolBar.ISearch.d". Action Taken: No Action Taken.
Tue May 17 22:34:34 2005 => File C:\DOKUME~1\TIMBA2~1\LOKALE~1\Temp\CRF000\Drivers\COMMON\KILLAPPS.EXE tagged as not-a-virus:RiskWare.Tool.KillApp.b. No Action Taken.
Tue May 17 22:36:05 2005 => File C:\DOKUME~1\TIMBA2~1\LOKALE~1\Temp\resCB.tmp tagged as "not-a-virus:AdWare.180Solutions.g". Action Taken: No Action Taken.
Tue May 17 22:36:24 2005 => File C:\DOKUME~1\TIMBA2~1\LOKALE~1\TEMPOR~1\Content.IE5\0HIZOPQF\MediaTicketsInstaller[1].cab tagged as "not-a-virus:AdWare.MediaTickets.f". Action Taken: No Action Taken.
Tue May 17 22:36:33 2005 => File C:\DOKUME~1\TIMBA2~1\LOKALE~1\TEMPOR~1\Content.IE5\0XABG1UJ\aurora[1].exe tagged as "not-a-virus:AdWare.BetterInternet.c". Action Taken: No Action Taken.
Tue May 17 22:37:26 2005 => File C:\DOKUME~1\TIMBA2~1\LOKALE~1\TEMPOR~1\Content.IE5\WTEVSL6Z\package_adp_SIAC[1].exe tagged as "not-a-virus:AdWare.BargainBuddy.n". Action Taken: No Action Taken.
Tue May 17 22:38:39 2005 => File C:\Dokumente und Einstellungen\Timba 2k5\Anwendungsdaten\aatt.exe tagged as "not-a-virus:AdWare.PurityScan.w". Action Taken: No Action Taken.
Tue May 17 22:40:29 2005 => File C:\Dokumente und Einstellungen\Timba 2k5\Lokale Einstellungen\Temp\180SAInstaller.exe tagged as "not-a-virus:AdWare.180Solutions.g". Action Taken: No Action Taken.
Tue May 17 22:40:30 2005 => File C:\Dokumente und Einstellungen\Timba 2k5\Lokale Einstellungen\Temp\B51926549\build2.exe tagged as "not-a-virus:AdWare.ToolBar.ISearch.d". Action Taken: No Action Taken.
Tue May 17 22:40:40 2005 => File C:\Dokumente und Einstellungen\Timba 2k5\Lokale Einstellungen\Temp\CRF000\Drivers\COMMON\KILLAPPS.EXE tagged as not-a-virus:RiskWare.Tool.KillApp.b. No Action Taken.
Tue May 17 22:42:03 2005 => File C:\Dokumente und Einstellungen\Timba 2k5\Lokale Einstellungen\Temp\resCB.tmp tagged as "not-a-virus:AdWare.180Solutions.g". Action Taken: No Action Taken.
Tue May 17 22:42:24 2005 => File C:\Dokumente und Einstellungen\Timba 2k5\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0HIZOPQF\MediaTicketsInstaller[1].cab tagged as "not-a-virus:AdWare.MediaTickets.f". Action Taken: No Action Taken.
Tue May 17 22:42:35 2005 => File C:\Dokumente und Einstellungen\Timba 2k5\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0XABG1UJ\aurora[1].exe tagged as "not-a-virus:AdWare.BetterInternet.c". Action Taken: No Action Taken.
Tue May 17 22:43:35 2005 => File C:\Dokumente und Einstellungen\Timba 2k5\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WTEVSL6Z\package_adp_SIAC[1].exe tagged as "not-a-virus:AdWare.BargainBuddy.n". Action Taken: No Action Taken.

Muss ich das jetzt verstehen? Irgendwie werden das mehr als weniger.

Noch zum Schluss: Mein Internetexplorer geht immer noch nicht, PW-Eingaben auch nicht

clearprog 1.4.1 final herunterladen:
http://www.clearprog.de/

Haken bei alles löschen setzen und löschen.

Herunterladen:
CWShredder
Spybot
AdAware SE
Programme installieren
Spybot updaten.

Systemwiederherstellung deaktivieren.
Im abgesicherten Modus laufen lassen:
CWShredder
Spybot
AdAware SE

Danach im normalen Modus HJT und eScan und die Logs hier posten.

OK, alles gelöscht mit Clearprog.

AdAware und Spybot haben wie bei meinen Scans vorher nur meinen Buddy entdeckt. CWShredder findet nichts.

Zitat:

Logfile of HijackThis v1.99.1
Scan saved at 12:34:09, on 18.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton Internet Security\ISSVC.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Dokumente und Einstellungen\Timba 2k5\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://h**p://v5.windowsupdate.micro...?1116255286475
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://h**p://www.pandasoftware.com/...as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{18848A38-374F-497B-AC7B-20867E1FB637}: NameServer = 213.191.74.11 213.191.92.82
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe (file missing)

Und hier nochmal die Log von eScan:

Zitat:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Wed May 18 12:40:49 2005 => System found infected with Bargain Buddy Spyware/Adware ({f4e04583-354e-4076-be7d-ed6a80fd66da})! Action taken: No Action Taken.
Wed May 18 12:46:27 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Wed May 18 13:05:54 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Wed May 18 12:41:38 2005 => File C:\WINDOWS\yyjuui.exe tagged as "not-a-virus:AdWare.BetterInternet.c". Action Taken: No Action Taken.
Wed May 18 12:42:15 2005 => File C:\WINDOWS\system32\KILLAPPS.EXE tagged as not-a-virus:RiskWare.Tool.KillApp.b. No Action Taken.
Wed May 18 12:44:15 2005 => File C:\Dokumente und Einstellungen\Timba 2k5\Anwendungsdaten\aatt.exe tagged as "not-a-virus:AdWare.PurityScan.w". Action Taken: No Action Taken.
Wed May 18 12:48:19 2005 => File C:\Programme\Mozilla Firefox\extensions\{2bafa858-4ff3-4207-822e-ef46d1b431de}\chrome\isearch.jar tagged as "not-a-virus:AdWare.ToolBar.ISearch.e". Action Taken: No Action Taken.
Wed May 18 13:02:44 2005 => File C:\WINDOWS\system32\KILLAPPS.EXE tagged as not-a-virus:RiskWare.Tool.KillApp.b. No Action Taken.
Wed May 18 13:04:13 2005 => File C:\WINDOWS\yyjuui.exe tagged as "not-a-virus:AdWare.BetterInternet.c". Action Taken: No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Ein klein wenig scheints sich ja zu verbessern, aber es funktioniert immer noch nichts.

Lasse das
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\svcproc.exe
mal hier überprüfen:

http://virusscan.jotti.org/de/

Wenn Du keine Pandasoftware hast, dann fixe mit HJT im abgesicherten Modus:
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://h**p://www.pandasoftware.com.../as5/asinst.cab
Fixe weiterhin:
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe (file missing)

Hats Du S&D geupdatet, es sieht mir nicht so aus.

OK, da mir das ganze irgendwie zu bunt wurde:

-> kein MSN-Messenger
-> kein Inet-Explorer
-> keine Emails checken
-> nur beschränkte Downloads
-> festsitzender Eintrag in der Registry

hab ich mich für den wohl besten Virenscanner der Welt entschieden:

Format C:

Habe mich jetzt hinter einem geliehenen Router mit integrierter Firewall usw. verschanzt und alles läuft wieder komplett. Ad-Aware und Spybot melden beide klar Schiff, auch HJT meckert an nichts herum.

Ich verabschiede mich dann zum fröhlichen Wiederbepacken der HD, danke nochmal an dich, Felix1, für deine Hilfe!

Zitat:

Zitat von Timba

OK, da mir das ganze irgendwie zu bunt wurde:

-> kein MSN-Messenger
-> kein Inet-Explorer
-> keine Emails checken
-> nur beschränkte Downloads
-> festsitzender Eintrag in der Registry

hab ich mich für den wohl besten Virenscanner der Welt entschieden:

Format C:

Habe mich jetzt hinter einem geliehenen Router mit integrierter Firewall usw. verschanzt und alles läuft wieder komplett. Ad-Aware und Spybot melden beide klar Schiff, auch HJT meckert an nichts herum.

Ich verabschiede mich dann zum fröhlichen Wiederbepacken der HD, danke nochmal an dich, Felix1, für deine Hilfe!

Machmal geht Format C: auch am schnellsten.