Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: BargainsBuddy und andere Nettigkeiten...

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 17.05.2005, 15:49   #1
Timba
 
BargainsBuddy und andere Nettigkeiten... - Standard

BargainsBuddy und andere Nettigkeiten...



Erstmal moinsen allerseits

Ich habe gestern mein System neu aufgesetzt und mir wohl schon beim Ziehen diverser AntiSpyWare, Virenschutzprogramme, Windows-Updates usw. eine Menge Nettigkeiten eingefangen (trotz Firewall, die hat den Namen wohl echt nicht verdient).

Ad-Aware meldete bislang 137 gelöschte Dateien in 7 Scans.

Antivir XP brachte es auf insg. 66 Dateien in 2 Scans.

Spybot S&D hat um die 100 gelöschte Einträge zu verzeichnen, stolze Leistung für ca. 2 Std Internetaufenthalt finde ich

Habe auch alles soweit runtergeputzt, habe jetzt nur noch einen sehr hartnäckigen Kandidaten namens Exact Advertising.BargainsBuddy. Dieser tummelt sich in dem Registryeintrag
HKEY_CLASSES_ROOT\CLSID\{F4E04583-354E-4076-BE7D-ED6A80FD66DA}

Habe dazu folgenden Thread hier aufgestöbert: http://www.trojaner-board.de/archive...p/t-17442.html

Mein Problem an der Sache: Ich habe keine exe namens svcproc.exe.


Zitat:
Logfile of HijackThis v1.99.1
Scan saved at 16:06:32, on 17.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton Internet Security\ISSVC.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\wpabaln.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Timba 2k5\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://81.222.131.49/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://81.222.131.49/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://81.222.131.49/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = h**p://81.222.131.49/index.php
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://h**p://v5.windowsupdate.micro...?1116255286475
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://h**p://www.pandasoftware.com/...as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{18848A38-374F-497B-AC7B-20867E1FB637}: NameServer = 213.191.74.18 213.191.92.87
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe (file missing)
Folglich hatte ich bislang keine Chance irgendwas zu löschen, der Registryeintrag widersteht hartnäckig allen Versuchen ihn zu verändern geschweige denn ihn zu löschen.

-----------------------------------------------------------------------------------

Das war erst der erste Streich, doch der Zweite folgt sogleich

Problem Nummer 2:

Updaten konnte ich per WindoofUpdate gestern abend noch, habe dazu gleich Firefox nebenher runtergeladen (ein weiser Entschluss *g*). Nun entschloss sich mein IE zu einer neuen Glanztat: Er weigert sich irgendeine Site zu öffnen. Egal welche: "Server nicht gefunden, Seite kann nicht angezeigt werden.

Vorher erscheint ein AlertWindow mit dem Text: Die Suchseite kann nicht gefunden werden. In der Statusleiste kann man das nette Spiel des IE beobachten, statt zum Bleistift google.de zu suchen, sucht er google.de.net, google.de.com usw... What the hack?

Desweiteren ist es mir unmöglich, mich irgendwo anzumelden, ICQ (*würg*), MSN, sowie sämtliche Emailanbieter wie hotmail.com oder web.de weisen meine Einwahlversuche mit den erotischen Worten: "Beim Versuch *piep* zu kontaktieren, wurde die Verbindung zurückgesetzt." zurück .

So bin ich jetzt ziemlich von der "Außenwelt" abgeschnitten, da ich weder einen Internet Explorer für Updates usw. habe noch einen Firefox, der sich irgendwo anmelden kann. Auch einige Downloads z.B. von FTPs wurden so zurückgewiesen.

Den Gedanken, mein System nochmal neu zu machen, habe ich ziemlich schnell fallen gelassen, da ich genau dies ja vor der Invasion der Würmer & Special Guests getan habe und auch keine Möglichkeiten sehe, großartig etwas anders zu machen. Die Updates fliegen ja nicht auf meine Platte... (außerdem will ich nicht wieder 3 Std. hier sitzen und Treiber CDs usw. suchen ).

Also: büttö helft mir!

EDIT: Habe hoffentlich jetzt alle Links raus.




I

Geändert von Timba (17.05.2005 um 19:30 Uhr)

Alt 17.05.2005, 16:21   #2
felix1
/// Helfer-Team
 
BargainsBuddy und andere Nettigkeiten... - Standard

BargainsBuddy und andere Nettigkeiten...



Also:
http://www.trojaner-board.de/showthread.php?t=17492

Im abgesicherten Modus mit HJT fixen:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://81.222.131.49/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://81.222.131.49/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://81.222.131.49/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = h**p://81.222.131.49/index.php
Ergebnisse von eScan hier posten.

Mache bitte die WWW-Adressen unkenntlich.
__________________


Alt 17.05.2005, 21:47   #3
Timba
 
BargainsBuddy und andere Nettigkeiten... - Standard

BargainsBuddy und andere Nettigkeiten...



OK,

zuerst das Logfile der eScan Log:

Zitat:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Tue May 17 20:44:48 2005 => System found infected with Bargain Buddy Spyware/Adware ({f4e04583-354e-4076-be7d-ed6a80fd66da})! Action taken: No Action Taken.
Tue May 17 20:44:52 2005 => System found infected with cws.xplugin Spyware/Adware (xplugin.dll)! Action taken: No Action Taken.
Tue May 17 20:47:06 2005 => File C:\WINDOWS\system32\xplugin.dll infected by "Trojan-Downloader.Win32.Esepor.ac" Virus! Action Taken: No Action Taken.
Tue May 17 20:47:42 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\ExactAdvertisingBargainsBuddy8.zip infected by "Password-protected-EXE" Virus! Action Taken: No Action Taken.
Tue May 17 20:47:47 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\TIBS.zip infected by "Password-protected-EXE" Virus! Action Taken: No Action Taken.
Tue May 17 20:50:57 2005 => File C:\Dokumente und Einstellungen\Timba 2k5\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0HIZOPQF\set2[1].html infected by "Trojan-Clicker.JS.Linker.j" Virus! Action Taken: No Action Taken.
Tue May 17 20:51:00 2005 => File C:\Dokumente und Einstellungen\Timba 2k5\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0HIZOPQF\ysb_prompt[1].php infected by "Trojan-Downloader.JS.IstBar.j" Virus! Action Taken: No Action Taken.
Tue May 17 20:51:08 2005 => File C:\Dokumente und Einstellungen\Timba 2k5\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0XABG1UJ\hpp3n[1].hta infected by "Trojan.JS.StartPage.a" Virus! Action Taken: No Action Taken.
Tue May 17 20:51:14 2005 => File C:\Dokumente und Einstellungen\Timba 2k5\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0XABG1UJ\prompt[1].php infected by "Trojan-Downloader.JS.IstBar.j" Virus! Action Taken: No Action Taken.
Tue May 17 20:51:19 2005 => File C:\Dokumente und Einstellungen\Timba 2k5\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GTM7CDEN\adv684[1].php infected by "Exploit.HTML.Mht" Virus! Action Taken: No Action Taken.
Tue May 17 20:51:29 2005 => File C:\Dokumente und Einstellungen\Timba 2k5\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GTM7CDEN\mtrslib2[1].js infected by "Trojan-Downloader.JS.Small.ag" Virus! Action Taken: No Action Taken.
Tue May 17 20:51:38 2005 => File C:\Dokumente und Einstellungen\Timba 2k5\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WTEVSL6Z\c4t[1].html infected by "Trojan-Clicker.JS.Linker.j" Virus! Action Taken: No Action Taken.
Tue May 17 20:51:55 2005 => File C:\Dokumente und Einstellungen\Timba 2k5\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WTEVSL6Z\x[1].chm infected by "Trojan-Downloader.Win32.Small.vg" Virus! Action Taken: No Action Taken.
Tue May 17 20:52:29 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Tue May 17 21:09:37 2005 => File C:\WINDOWS\system32\xplugin.dll infected by "Trojan-Downloader.Win32.Esepor.ac" Virus! Action Taken: No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Habe alles danach per Total Commander gelöscht sowie deine angesprochenen Punkte gelöscht.

Das sagt HijackThis jetzt dazu:

Zitat:
Logfile of HijackThis v1.99.1
Scan saved at 22:27:23, on 17.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton Internet Security\ISSVC.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wpabaln.exe
C:\Dokumente und Einstellungen\Timba 2k5\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://h**p://v5.windowsupdate.micro...?1116255286475
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://h**p://www.pandasoftware.com/...as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{18848A38-374F-497B-AC7B-20867E1FB637}: NameServer = 213.191.74.18 213.191.92.87
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe (file missing)
Und ein letzter Scan per eScan (kein abgesicherter Modus):

Zitat:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Tue May 17 22:30:55 2005 => System found infected with IBIS Spyware/Adware ({339bb23f-a864-48c0-a59f-29ea915965ec})! Action taken: No Action Taken.
Tue May 17 22:30:55 2005 => System found infected with Bargain Buddy Spyware/Adware ({f4e04583-354e-4076-be7d-ed6a80fd66da})! Action taken: No Action Taken.
Tue May 17 22:44:07 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Tue May 17 22:31:57 2005 => File C:\WINDOWS\yyjuui.exe tagged as "not-a-virus:AdWare.BetterInternet.c". Action Taken: No Action Taken.
Tue May 17 22:33:08 2005 => File C:\WINDOWS\system32\KILLAPPS.EXE tagged as not-a-virus:RiskWare.Tool.KillApp.b. No Action Taken.
Tue May 17 22:34:24 2005 => File C:\DOKUME~1\TIMBA2~1\LOKALE~1\Temp\180SAInstaller.exe tagged as "not-a-virus:AdWare.180Solutions.g". Action Taken: No Action Taken.
Tue May 17 22:34:25 2005 => File C:\DOKUME~1\TIMBA2~1\LOKALE~1\Temp\B51926549\build2.exe tagged as "not-a-virus:AdWare.ToolBar.ISearch.d". Action Taken: No Action Taken.
Tue May 17 22:34:34 2005 => File C:\DOKUME~1\TIMBA2~1\LOKALE~1\Temp\CRF000\Drivers\COMMON\KILLAPPS.EXE tagged as not-a-virus:RiskWare.Tool.KillApp.b. No Action Taken.
Tue May 17 22:36:05 2005 => File C:\DOKUME~1\TIMBA2~1\LOKALE~1\Temp\resCB.tmp tagged as "not-a-virus:AdWare.180Solutions.g". Action Taken: No Action Taken.
Tue May 17 22:36:24 2005 => File C:\DOKUME~1\TIMBA2~1\LOKALE~1\TEMPOR~1\Content.IE5\0HIZOPQF\MediaTicketsInstaller[1].cab tagged as "not-a-virus:AdWare.MediaTickets.f". Action Taken: No Action Taken.
Tue May 17 22:36:33 2005 => File C:\DOKUME~1\TIMBA2~1\LOKALE~1\TEMPOR~1\Content.IE5\0XABG1UJ\aurora[1].exe tagged as "not-a-virus:AdWare.BetterInternet.c". Action Taken: No Action Taken.
Tue May 17 22:37:26 2005 => File C:\DOKUME~1\TIMBA2~1\LOKALE~1\TEMPOR~1\Content.IE5\WTEVSL6Z\package_adp_SIAC[1].exe tagged as "not-a-virus:AdWare.BargainBuddy.n". Action Taken: No Action Taken.
Tue May 17 22:38:39 2005 => File C:\Dokumente und Einstellungen\Timba 2k5\Anwendungsdaten\aatt.exe tagged as "not-a-virus:AdWare.PurityScan.w". Action Taken: No Action Taken.
Tue May 17 22:40:29 2005 => File C:\Dokumente und Einstellungen\Timba 2k5\Lokale Einstellungen\Temp\180SAInstaller.exe tagged as "not-a-virus:AdWare.180Solutions.g". Action Taken: No Action Taken.
Tue May 17 22:40:30 2005 => File C:\Dokumente und Einstellungen\Timba 2k5\Lokale Einstellungen\Temp\B51926549\build2.exe tagged as "not-a-virus:AdWare.ToolBar.ISearch.d". Action Taken: No Action Taken.
Tue May 17 22:40:40 2005 => File C:\Dokumente und Einstellungen\Timba 2k5\Lokale Einstellungen\Temp\CRF000\Drivers\COMMON\KILLAPPS.EXE tagged as not-a-virus:RiskWare.Tool.KillApp.b. No Action Taken.
Tue May 17 22:42:03 2005 => File C:\Dokumente und Einstellungen\Timba 2k5\Lokale Einstellungen\Temp\resCB.tmp tagged as "not-a-virus:AdWare.180Solutions.g". Action Taken: No Action Taken.
Tue May 17 22:42:24 2005 => File C:\Dokumente und Einstellungen\Timba 2k5\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0HIZOPQF\MediaTicketsInstaller[1].cab tagged as "not-a-virus:AdWare.MediaTickets.f". Action Taken: No Action Taken.
Tue May 17 22:42:35 2005 => File C:\Dokumente und Einstellungen\Timba 2k5\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0XABG1UJ\aurora[1].exe tagged as "not-a-virus:AdWare.BetterInternet.c". Action Taken: No Action Taken.
Tue May 17 22:43:35 2005 => File C:\Dokumente und Einstellungen\Timba 2k5\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WTEVSL6Z\package_adp_SIAC[1].exe tagged as "not-a-virus:AdWare.BargainBuddy.n". Action Taken: No Action Taken.
Muss ich das jetzt verstehen? Irgendwie werden das mehr als weniger.

Noch zum Schluss: Mein Internetexplorer geht immer noch nicht, PW-Eingaben auch nicht
__________________

Alt 18.05.2005, 09:53   #4
felix1
/// Helfer-Team
 
BargainsBuddy und andere Nettigkeiten... - Standard

BargainsBuddy und andere Nettigkeiten...



clearprog 1.4.1 final herunterladen:
http://www.clearprog.de/

Haken bei alles löschen setzen und löschen.

Herunterladen:
CWShredder
Spybot
AdAware SE
Programme installieren
Spybot updaten.

Systemwiederherstellung deaktivieren.
Im abgesicherten Modus laufen lassen:
CWShredder
Spybot
AdAware SE

Danach im normalen Modus HJT und eScan und die Logs hier posten.

Alt 18.05.2005, 12:13   #5
Timba
 
BargainsBuddy und andere Nettigkeiten... - Standard

BargainsBuddy und andere Nettigkeiten...



OK, alles gelöscht mit Clearprog.

AdAware und Spybot haben wie bei meinen Scans vorher nur meinen Buddy entdeckt. CWShredder findet nichts.

Zitat:
Logfile of HijackThis v1.99.1
Scan saved at 12:34:09, on 18.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton Internet Security\ISSVC.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Dokumente und Einstellungen\Timba 2k5\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://h**p://v5.windowsupdate.micro...?1116255286475
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://h**p://www.pandasoftware.com/...as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{18848A38-374F-497B-AC7B-20867E1FB637}: NameServer = 213.191.74.11 213.191.92.82
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe (file missing)
Und hier nochmal die Log von eScan:

Zitat:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Wed May 18 12:40:49 2005 => System found infected with Bargain Buddy Spyware/Adware ({f4e04583-354e-4076-be7d-ed6a80fd66da})! Action taken: No Action Taken.
Wed May 18 12:46:27 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Wed May 18 13:05:54 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Wed May 18 12:41:38 2005 => File C:\WINDOWS\yyjuui.exe tagged as "not-a-virus:AdWare.BetterInternet.c". Action Taken: No Action Taken.
Wed May 18 12:42:15 2005 => File C:\WINDOWS\system32\KILLAPPS.EXE tagged as not-a-virus:RiskWare.Tool.KillApp.b. No Action Taken.
Wed May 18 12:44:15 2005 => File C:\Dokumente und Einstellungen\Timba 2k5\Anwendungsdaten\aatt.exe tagged as "not-a-virus:AdWare.PurityScan.w". Action Taken: No Action Taken.
Wed May 18 12:48:19 2005 => File C:\Programme\Mozilla Firefox\extensions\{2bafa858-4ff3-4207-822e-ef46d1b431de}\chrome\isearch.jar tagged as "not-a-virus:AdWare.ToolBar.ISearch.e". Action Taken: No Action Taken.
Wed May 18 13:02:44 2005 => File C:\WINDOWS\system32\KILLAPPS.EXE tagged as not-a-virus:RiskWare.Tool.KillApp.b. No Action Taken.
Wed May 18 13:04:13 2005 => File C:\WINDOWS\yyjuui.exe tagged as "not-a-virus:AdWare.BetterInternet.c". Action Taken: No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Ein klein wenig scheints sich ja zu verbessern, aber es funktioniert immer noch nichts.


Alt 19.05.2005, 11:41   #6
felix1
/// Helfer-Team
 
BargainsBuddy und andere Nettigkeiten... - Standard

BargainsBuddy und andere Nettigkeiten...



Lasse das
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\svcproc.exe
mal hier überprüfen:

http://virusscan.jotti.org/de/

Wenn Du keine Pandasoftware hast, dann fixe mit HJT im abgesicherten Modus:
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://h**p://www.pandasoftware.com.../as5/asinst.cab
Fixe weiterhin:
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe (file missing)

Hats Du S&D geupdatet, es sieht mir nicht so aus.

Alt 19.05.2005, 15:36   #7
Timba
 
BargainsBuddy und andere Nettigkeiten... - Standard

BargainsBuddy und andere Nettigkeiten...



OK, da mir das ganze irgendwie zu bunt wurde:

-> kein MSN-Messenger
-> kein Inet-Explorer
-> keine Emails checken
-> nur beschränkte Downloads
-> festsitzender Eintrag in der Registry

hab ich mich für den wohl besten Virenscanner der Welt entschieden:

Format C:

Habe mich jetzt hinter einem geliehenen Router mit integrierter Firewall usw. verschanzt und alles läuft wieder komplett. Ad-Aware und Spybot melden beide klar Schiff, auch HJT meckert an nichts herum.

Ich verabschiede mich dann zum fröhlichen Wiederbepacken der HD, danke nochmal an dich, Felix1, für deine Hilfe!

Alt 19.05.2005, 15:42   #8
felix1
/// Helfer-Team
 
BargainsBuddy und andere Nettigkeiten... - Standard

BargainsBuddy und andere Nettigkeiten...



Zitat:
Zitat von Timba
OK, da mir das ganze irgendwie zu bunt wurde:

-> kein MSN-Messenger
-> kein Inet-Explorer
-> keine Emails checken
-> nur beschränkte Downloads
-> festsitzender Eintrag in der Registry

hab ich mich für den wohl besten Virenscanner der Welt entschieden:

Format C:

Habe mich jetzt hinter einem geliehenen Router mit integrierter Firewall usw. verschanzt und alles läuft wieder komplett. Ad-Aware und Spybot melden beide klar Schiff, auch HJT meckert an nichts herum.

Ich verabschiede mich dann zum fröhlichen Wiederbepacken der HD, danke nochmal an dich, Felix1, für deine Hilfe!
Machmal geht Format C: auch am schnellsten.

Antwort

Themen zu BargainsBuddy und andere Nettigkeiten...
adobe, antispyware, antivir update, antivirus, avg, bho, confused, desktop, drivers, einstellungen, exe, explorer, file missing, firefox, firewall, heulen, hijack, hijackthis, icqtoolbar, internet explorer, internet security, löschen, mozilla, mozilla firefox, neu, neu aufgesetzt, nicht angezeigt, nicht gefunden, problem, proxy, security, settings manager, software, symantec, system, system neu, träge, urlsearchhook, web.de, windows xp




Ähnliche Themen: BargainsBuddy und andere Nettigkeiten...


  1. MWB vs andere ISS
    Antiviren-, Firewall- und andere Schutzprogramme - 08.02.2014 (8)
  2. TR/Small.XE und andere
    Plagegeister aller Art und deren Bekämpfung - 04.02.2013 (3)
  3. Google.de nicht erreichbar - andere Seiten sehr langsam - andere normal DNS-Provider Problem oder Trojaner?
    Log-Analyse und Auswertung - 05.09.2012 (2)
  4. TR/Medeyes A.1.3 und andere
    Plagegeister aller Art und deren Bekämpfung - 11.04.2012 (13)
  5. BKA Trojaner und Andere!
    Log-Analyse und Auswertung - 02.02.2012 (28)
  6. Andere Internetseiten
    Plagegeister aller Art und deren Bekämpfung - 03.05.2011 (22)
  7. Andere IP laut HJT
    Log-Analyse und Auswertung - 10.04.2009 (1)
  8. TR/Agent.rbc und andere
    Plagegeister aller Art und deren Bekämpfung - 09.06.2008 (3)
  9. andere ip
    Antiviren-, Firewall- und andere Schutzprogramme - 01.02.2008 (3)
  10. festplattencleaner.com und div. andere pop ups
    Log-Analyse und Auswertung - 16.01.2008 (8)
  11. CiD und andere PopUps
    Log-Analyse und Auswertung - 22.12.2007 (5)
  12. cmd und andere probleme...
    Plagegeister aller Art und deren Bekämpfung - 21.01.2006 (3)
  13. andere ftp probleme
    Alles rund um Windows - 24.12.2005 (2)
  14. TR/Buddy.F und Andere
    Log-Analyse und Auswertung - 02.06.2005 (4)
  15. Dropper S 180 und andere
    Log-Analyse und Auswertung - 04.04.2005 (1)
  16. Bargain Buddy, c.azjmp.com und andere Nettigkeiten
    Plagegeister aller Art und deren Bekämpfung - 29.12.2004 (8)
  17. eXact Advertising.BargainsBuddy
    Plagegeister aller Art und deren Bekämpfung - 18.11.2004 (4)

Zum Thema BargainsBuddy und andere Nettigkeiten... - Erstmal moinsen allerseits Ich habe gestern mein System neu aufgesetzt und mir wohl schon beim Ziehen diverser AntiSpyWare, Virenschutzprogramme, Windows-Updates usw. eine Menge Nettigkeiten eingefangen (trotz Firewall, die hat den - BargainsBuddy und andere Nettigkeiten......
Archiv
Du betrachtest: BargainsBuddy und andere Nettigkeiten... auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.