![]() |
|
Plagegeister aller Art und deren Bekämpfung: Trojaner Buddy.F, Agent.CP, Stervice.C und ClickeAgeDB.DllWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
![]() |
|
![]() | #1 |
| ![]() Trojaner Buddy.F, Agent.CP, Stervice.C und ClickeAgeDB.Dll Hallo, ich habe es verbockt. Und zwar so richtig. In einem Anfall von genervtem "Ja, nu mach schon weiter - ich sagte OK, ich will es - nu' mach schon" habe ich wohl einmal zu oft auf "Ok" geklickt und habe mein System verseucht. An sich wäre es nicht ganz so schlimm, da ich kurz vor einer neuer HDD mit neuem Aufsetzen des Systems stehe, aber ich habe leider noch nicht alles gesichert, was ich gerne gesichert hätte. Daher meine Bitte: Kann mir jmd. ne Anleitung für Dummies geben, wie ich das Problem so unterdrücken oder beseitigen kann, dass ich das erforderliche an Daten noch gefahrlos auf CD brennen kann um es auf die neue CD zu bringen? Oder krieg ich irgendwie das System selbst noch mal provisorisch sauber? Mein AntiVir meldet sich zu: c:\Windows\QCBUAFBJI.exe (Buddy.F) c:\Windows\System32\Poller.exe (Agent.CP) c:\Windows\System32\DRPMON.Dll (Click.AgeDB.Dll) c:\Windows\SVCPROC.EXE (Stervice.c) wobei die ersten beiden die deutlich häufigeren sind, soll heissen, die beiden letzteren sind bisher erst einmal aufgeploppt. Ich habe XoftSpy, a-squared, AntiVir und AdAware, sowie einige Anleitungen in unterschiedlichen Foren versucht, leider ohne Erfolg. Hier meine eScan nebst Hijackthis-Ergebnisse: eScan: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Funde für "infected" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Wed Jun 08 19:33:50 2005 => System found infected with Zango Spyware/Adware ({99410cde-6f16-42ce-9d49-3807f78f0287})! Action taken: No Action Taken. Wed Jun 08 19:38:25 2005 => System found infected with iSearch Spyware/Adware (patch.exe)! Action taken: No Action Taken. Wed Jun 08 19:39:14 2005 => Total Disinfected Files: 0 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Funde für "tagged" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Wed Jun 08 19:39:14 2005 => Total Virus(es) Found: 3 Wed Jun 08 19:39:14 2005 => Total Errors: 34 Wed Jun 08 19:39:14 2005 => Time Elapsed: 00:06:17 Wed Jun 08 19:39:13 2005 => Total Objects Scanned: 10081 Wed Jun 08 18:53:36 2005 => Virus Database Date: 2005/06/06 Wed Jun 08 19:32:49 2005 => Virus Database Date: 2005/06/06 Wed Jun 08 19:39:14 2005 => Virus Database Date: 2005/06/06 Wed Jun 08 19:39:55 2005 => Virus Database Date: 2005/06/06 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ ~~~~~~~ © Haui ;-) ~~~~~~~ ~~~~~~~ Dank an Cidre ~~~~~~~ Hijackthis (editiert und neu nach diversen Scans mit unterschiedlichen Programmen - siehe nachfolgende Beiträge): Logfile of HijackThis v1.99.1 Scan saved at 21:57:16, on 08.06.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE C:\Programme\McAfee.com\Agent\mcagent.exe c:\windows\system32\emxkpoe.exe C:\Programme\QuickTime\qttask.exe C:\WINDOWS\System32\CTHELPER.EXE C:\Programme\Java\jre1.5.0_02\bin\jusched.exe C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe F:\iTunes\iTunesHelper.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe C:\WINDOWS\System32\CTSvcCDA.EXE C:\Programme\AnalogX\CookieWall\cookie.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\Programme\iPod\bin\iPodService.exe C:\WINDOWS\System32\wuauclt.exe F:\Downloads\HijackThis.exe F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {206E52E0-D52E-11D4-AD54-0000E86C26F6} - C:\Programme\FreshDevices\FreshDownload\FDCatch.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /O5 "LPT1:" /M "Stylus C84" O4 - HKLM\..\Run: [MCAgentExe] C:\Programme\McAfee.com\Agent\mcagent.exe O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\McAfee.com\Agent\McUpdate.exe O4 - HKLM\..\Run: [Mskexe] c:\programme\mcafee\spamkiller\spamkiller.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe O4 - HKLM\..\Run: [OpwareSE2] "C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe" O4 - HKLM\..\Run: [iTunesHelper] F:\iTunes\iTunesHelper.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [lbkcwl] c:\windows\system32\emxkpoe.exe r O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Startup: CookieWall.lnk = C:\Programme\AnalogX\CookieWall\cookie.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Download &All by FD - file://C:\Programme\FreshDevices\FreshDownload\fdiectx2.htm O8 - Extra context menu item: Download with &FD - file://C:\Programme\FreshDevices\FreshDownload\fdiectx.htm O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - h**p://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1099858985328 O16 - DPF: {68BCE50A-DC9B-4519-A118-6FDA19DB450D} (Info Class) - h**p://www.wow-europe.com/signup/de/wowbeta/Si.cab O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - h**p://toolbar.google.com/data/de/big/1.1.62-big/GoogleNav.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - h**p://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab O16 - DPF: {8EDAD21C-3584-4E66-A8AB-EB0E5584767D} - h**p://toolbar.google.com/data/GoogleActivate.cab O16 - DPF: {90A29DA5-D020-4B18-8660-6689520C7CD7} (DmiReader Class) - h**p://support.euro.dell.com/global/apps/systemprofiler/PROFILER.CAB O16 - DPF: {99410CDE-6F16-42ce-9D49-3807F78F0287} - h**p://www.180searchassistant.com/180saax.cab O16 - DPF: {B3872502-F9FD-4E96-93FF-0D37298F0689} (SOESysInfo Control) - h**p://everquest2.station.sony.com/beta_reg/soesysinfo.cab O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - h**p://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {F54C1137-5E34-4B95-95A5-BA56D4D8D743} (Secure Delivery) - h**p://www.gamespot.com/KDX/kdx.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{47E34DF6-28D9-471C-B693-42998A193031}: NameServer = 192.168.0.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{80057516-0508-4C8D-B025-F8FAE6FD830F}: NameServer = 192.168.1.0 O17 - HKLM\System\CS1\Services\Tcpip\..\{47E34DF6-28D9-471C-B693-42998A193031}: NameServer = 192.168.0.1 O17 - HKLM\System\CS2\Services\Tcpip\..\{47E34DF6-28D9-471C-B693-42998A193031}: NameServer = 192.168.0.1 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTSvcCDA.EXE O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe Wäre super, wenn mir irgendjemand dazu ne Hilfestellung zu geben könnte, die über "installiers neu und hau SP2 mit drauf" geben könnte - letzteres werde ich ohnehin tun... Vielen Dank, Alex Geändert von Mumintroll (08.06.2005 um 21:05 Uhr) Grund: Stinger, Spybot etc. verwendet |
![]() | #2 | |
![]() ![]() | ![]() Trojaner Buddy.F, Agent.CP, Stervice.C und ClickeAgeDB.DllZitat:
Du kannst in AntiVir einen gründlich Scan durchführen und bei jeder möglichen Gefahr auswählen was passieren soll. So ist es also möglich befallene Dateien zu überschreiben und zu löschen! Wichtig: Aktuelle Signatur (UpDate)! Sonst schau noch HIER! ![]()
__________________ |
![]() | #3 |
| ![]() Trojaner Buddy.F, Agent.CP, Stervice.C und ClickeAgeDB.Dll Öh - wenns so einfach wäre - das habe ich schon seit etwa 3 Tagen jedes Mal wieder gemacht, leider kommen die Drecksdinger immer wieder....
__________________Soll heissen, ich habe sowohl mehrfache FullScans mit Antivir gemacht (der mal was findet und mal nicht) und lasse bei jeder aufploppenden Warnung das Ding löschen - leider ohne Effekt. |
![]() | #4 |
![]() ![]() | ![]() Trojaner Buddy.F, Agent.CP, Stervice.C und ClickeAgeDB.Dll Schon "Ad-Aware SE Personal", "Spybot - Search & Destroy", "Stinger" von McAfee und "Trojancheck" ausprobiert?
__________________ Schau einfach mal HIER ! ![]() DeeeJays Motto: "Es ist leichter einem Elefanten auszuweichen, als einer Mücke!" DeeeJays Spruch: "Windows-Tasten sin un bleiben ein Bug!" |
![]() | #5 |
| ![]() Trojaner Buddy.F, Agent.CP, Stervice.C und ClickeAgeDB.Dll Ad-Aware hatte ich schon mehrfach benutzt (hatte ich glaube ich auch im Ursprungsposting geschrieben), Spybot hat auch noch was gefunden, Stinger und Trojancheck nicht. Ich habe mal HijackThis aktualisiert und wieder gepostet. Gruß, Alex P.S.: Nach Spybot kommt nur noch Buddy.F, die anderen geben (bisher) Ruhe... Geändert von Mumintroll (09.06.2005 um 05:26 Uhr) Grund: Update der Trojaner-Aktivität |
![]() | #6 |
| ![]() Trojaner Buddy.F, Agent.CP, Stervice.C und ClickeAgeDB.Dll So - ich habe nun auch die letzten Versuche gestartet, das ganze in den Griff zu bekommen, egal was ich versuche, ich bekomme es nicht hin. ![]() Gibt es noch jmd. da draussen, der eine Idee hat? Oder wohlmöglich eine Reinigungsanleitung? Danke, Alex |
![]() |
Themen zu Trojaner Buddy.F, Agent.CP, Stervice.C und ClickeAgeDB.Dll |
.dll, adobe, adobe reader, antivir, antivir update, antivirus, antivirus scan, bho, computer, diverse, drivers, ellung, escan, explorer, google, hijack, hotkey, infected, internet, internet explorer, microsoft, problem, programme, registry, super, symantec, system, trojaner, virus, windows, windows xp |