Hi all,

ich habe den auch- einen Trojaner Namens
TR/Buddy.F
(C:\WINDOWS\ETXEWOABAEC.EXE)
zusätzlich noch einen mit namen:
TR/Stervice.C
(C:\WINDOWS\SVCPROC.EXE) und
TR/Click.Age.DB.Dll
(C:\WINDOWS\SYSTEM32\DRPMON.DLL)
Manuell kann ich die Dateien nihct finden, d.h. der Pfad wird zwar angegeben, aber die datei gibt es seltsamerweise nicht...
Antivir läuft bei mir im Hintergrund, meldet die drei auch, sie können aber nicht entfernt werden, anscheinend gehören sie zu einem Programm, welches die beiden immer wieder installiert- zwischenzeiltich bekomme ich alle 2 sek. den Hinweis auf den Trojaner, löschen geht nicht.
Ad-Aware und Spybot und reg.cleaner hab ich ausgeführt, ohne erfolg.
Antivir findet beim normalen Virenscan nix.
HJT hab ich auch durchgeführt, einige gefährliche Proggis habe ich bereits entfernt, aus das brachte keinen Erfolg.
Zusätzlich poppen bei mir ständig Werbefenster auf, trotz Pop-Up Sperre, das sind so etwas größere Werbefenster, namens Seeve- keine Ahnung ob das zu den Trojanern gehört, oder noch was anderes sein könnte.

Hab bei der Forensuche schon jemanden gefunden, bei dem der Buddy in der Registry entfernt werden konnte, die da angegebenen Schritte halfen aber bei mir nicht.
Ich weiß nicht, ob ich genug Infos gepostet habe, wäre aber nett, wenn mir einer helfen könnte.

LG
Bloody

@bloodymary

Zitat:

Manuell kann ich die Dateien nihct finden, d.h. der Pfad wird zwar angegeben, aber die datei gibt es seltsamerweise nicht...

Es gibt 2 Möglichkeiten:
1. Dateien kriegen nach dem Neubooten die anderen Namen.
2. Du suchst nicht ganz richtig:Dateien richtig suchen

Zitat:

HJT hab ich auch durchgeführt

Bitte Scan-Log hier posten.
HJT soll aus einem speziell angelegten Ordner ausgeführt werden.
Bitte alle Links im Log deaktivieren (z.B. h**p statt http)
Benutzername unerkennbar machen.

Zitat:

einige gefährliche Proggis habe ich bereits entfernt, aus das brachte keinen Erfolg.

Es gibt 2 Möglichkeiten:
1. Nich alle entfernt
2. Nicht alles entfernt
Öfters reicht es nicht , den Registry-Eintrag zu fixen. Es muss noch die Datei gelöscht werden.

Hier mal das HJT Logfile

Logfile of HijackThis v1.99.0
Scan saved at 12:18:05, on 29.05.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\TBPanel.exe
C:\Programme\SaferSurf Setup\SaferSurf Active.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Netscape\Netscape\Netscp.exe
c:\windows\system32\gcsjjm.exe
C:\Programme\AOL 9.0a\aoltray.exe
C:\Programme\AOL 9.0a\waol.exe
C:\Programme\AOL 9.0a\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\Programme\QuickTime\qttask.exe
C:\Dokumente und Einstellungen\******\Eigene Dateien\Virenprogramme\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ht****.be-blooded.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = ht****.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = [***://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/su/*ht****.yahoo.com[/url]
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - C:\Programme\GMX\GMX Toolbar\toolbar.dll
O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SaferSurf Active] C:\Programme\SaferSurf Setup\SaferSurf Active.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [ugvillc] c:\windows\system32\gcsjjm.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape\Netscp.exe" -turbo
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0a\aoltray.exe
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - [u*l]****aolcc.aol.de/computercheckup/qdiagcc.cab[/url]
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - [****://software-dl.real.com/018f049977d5f752e922/netzip/RdxIE601_de.cab[/url]
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - [***]h***://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093082887191[/url]
O16 - DPF: {CAFEEFAC-0014-0001-0002-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_02) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{469E8C92-0422-4140-BF7D-6DA5DAC84E02}: NameServer = 205.188.146.145
O17 - HKLM\System\CS1\Services\Tcpip\..\{469E8C92-0422-4140-BF7D-6DA5DAC84E02}: NameServer = 205.188.146.145
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AOL Connectivity Service - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Kodak Camera Connection Software - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: Macromedia Licensing Service - Unknown - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: ScsiAccess - Unknown - C:\WINDOWS\System32\ScsiAccess.EXE (file missing)

@bloodymary

Zitat:

Logfile of HijackThis v1.99.0

HJT-Version ist längs veraltet. Bitte Log mit der aktuellen Version (www.hijackthis.de) erstellen.

ok- hab die neue Version runtergeladen , hier das Loigfile dazu...



Logfile of HijackThis v1.99.1
Scan saved at 12:57:53, on 29.05.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\TBPanel.exe
C:\Programme\SaferSurf Setup\SaferSurf Active.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGNT.EXE
c:\windows\system32\qqgpmte.exe
C:\Programme\AOL 9.0a\aoltray.exe
C:\Programme\AOL 9.0a\waol.exe
C:\Programme\AOL 9.0a\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\Dokumente und Einstellungen\****\Eigene Dateien\Virenprogramme\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.be-blooded.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/su/*h**p://www.yahoo.com
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - C:\Programme\GMX\GMX Toolbar\toolbar.dll
O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SaferSurf Active] C:\Programme\SaferSurf Setup\SaferSurf Active.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [iuumcoz] c:\windows\system32\qqgpmte.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0a\aoltray.exe
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - h**p://aolcc.aol.de/computercheckup/qdiagcc.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://h**p://software-dl.real.com/0...dxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://h**p://v5.windowsupdate.micro...?1093082887191
O16 - DPF: {CAFEEFAC-0014-0001-0002-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_02) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{469E8C92-0422-4140-BF7D-6DA5DAC84E02}: NameServer = 205.188.146.145
O17 - HKLM\System\CS1\Services\Tcpip\..\{469E8C92-0422-4140-BF7D-6DA5DAC84E02}: NameServer = 205.188.146.145
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

@bloodymary

Zitat:

Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Du musst umgehend entweder eine WindowsXP SP2 CD-ROM Bestellen oder SP 2 Direkt von Microsoft Homepage downloaden

Zitat:

C:\Programme\SaferSurf Setup\SaferSurf Active.exe

SaferSurf ist IMHO unserios. Nutzung der Software auf eigene Gefahr

Zitat:

c:\windows\system32\qqgpmte.exe

Bitte bei http://virusscan.jotti.org/ online scannen, ergebnis hier posten.

Zitat:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.be-blooded.de/

Ist es wirklich deine Startpage? Wenn nein - bitte fixen

Zitat:

O4 - HKLM\..\Run: [iuumcoz] c:\windows\system32\qqgpmte.exe

Egal was für eine Datei ist es - im Startup muss sie nicht sein, also fixen.

edit:/Ok
hat sich erledigt
@chaosman neuer thread eröffnet

@KRS96
eröffne bitte einen neuen thread

chaosman