Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Trojaner Buddy.F, Agent.CP, Stervice.C und ClickeAgeDB.Dll

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 08.06.2005, 19:13   #1
Mumintroll
 
Trojaner Buddy.F, Agent.CP, Stervice.C und ClickeAgeDB.Dll - Standard

Trojaner Buddy.F, Agent.CP, Stervice.C und ClickeAgeDB.Dll



Hallo,

ich habe es verbockt. Und zwar so richtig. In einem Anfall von genervtem "Ja, nu mach schon weiter - ich sagte OK, ich will es - nu' mach schon" habe ich wohl einmal zu oft auf "Ok" geklickt und habe mein System verseucht. An sich wäre es nicht ganz so schlimm, da ich kurz vor einer neuer HDD mit neuem Aufsetzen des Systems stehe, aber ich habe leider noch nicht alles gesichert, was ich gerne gesichert hätte. Daher meine Bitte:

Kann mir jmd. ne Anleitung für Dummies geben, wie ich das Problem so unterdrücken oder beseitigen kann, dass ich das erforderliche an Daten noch gefahrlos auf CD brennen kann um es auf die neue CD zu bringen? Oder krieg ich irgendwie das System selbst noch mal provisorisch sauber?

Mein AntiVir meldet sich zu:

c:\Windows\QCBUAFBJI.exe (Buddy.F)
c:\Windows\System32\Poller.exe (Agent.CP)
c:\Windows\System32\DRPMON.Dll (Click.AgeDB.Dll)
c:\Windows\SVCPROC.EXE (Stervice.c)

wobei die ersten beiden die deutlich häufigeren sind, soll heissen, die beiden letzteren sind bisher erst einmal aufgeploppt.

Ich habe XoftSpy, a-squared, AntiVir und AdAware, sowie einige Anleitungen in unterschiedlichen Foren versucht, leider ohne Erfolg. Hier meine eScan nebst Hijackthis-Ergebnisse:

eScan:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Wed Jun 08 19:33:50 2005 => System found infected with Zango Spyware/Adware ({99410cde-6f16-42ce-9d49-3807f78f0287})! Action taken: No Action Taken.
Wed Jun 08 19:38:25 2005 => System found infected with iSearch Spyware/Adware (patch.exe)! Action taken: No Action Taken.
Wed Jun 08 19:39:14 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Wed Jun 08 19:39:14 2005 => Total Virus(es) Found: 3
Wed Jun 08 19:39:14 2005 => Total Errors: 34
Wed Jun 08 19:39:14 2005 => Time Elapsed: 00:06:17
Wed Jun 08 19:39:13 2005 => Total Objects Scanned: 10081
Wed Jun 08 18:53:36 2005 => Virus Database Date: 2005/06/06
Wed Jun 08 19:32:49 2005 => Virus Database Date: 2005/06/06
Wed Jun 08 19:39:14 2005 => Virus Database Date: 2005/06/06
Wed Jun 08 19:39:55 2005 => Virus Database Date: 2005/06/06
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~


Hijackthis (editiert und neu nach diversen Scans mit unterschiedlichen Programmen - siehe nachfolgende Beiträge):

Logfile of HijackThis v1.99.1
Scan saved at 21:57:16, on 08.06.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\McAfee.com\Agent\mcagent.exe
c:\windows\system32\emxkpoe.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
F:\iTunes\iTunesHelper.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\WINDOWS\System32\CTSvcCDA.EXE
C:\Programme\AnalogX\CookieWall\cookie.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\wuauclt.exe
F:\Downloads\HijackThis.exe

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {206E52E0-D52E-11D4-AD54-0000E86C26F6} - C:\Programme\FreshDevices\FreshDownload\FDCatch.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /O5 "LPT1:" /M "Stylus C84"
O4 - HKLM\..\Run: [MCAgentExe] C:\Programme\McAfee.com\Agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\McAfee.com\Agent\McUpdate.exe
O4 - HKLM\..\Run: [Mskexe] c:\programme\mcafee\spamkiller\spamkiller.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [OpwareSE2] "C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [iTunesHelper] F:\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [lbkcwl] c:\windows\system32\emxkpoe.exe r
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: CookieWall.lnk = C:\Programme\AnalogX\CookieWall\cookie.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Download &All by FD - file://C:\Programme\FreshDevices\FreshDownload\fdiectx2.htm
O8 - Extra context menu item: Download with &FD - file://C:\Programme\FreshDevices\FreshDownload\fdiectx.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - h**p://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1099858985328
O16 - DPF: {68BCE50A-DC9B-4519-A118-6FDA19DB450D} (Info Class) - h**p://www.wow-europe.com/signup/de/wowbeta/Si.cab
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - h**p://toolbar.google.com/data/de/big/1.1.62-big/GoogleNav.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - h**p://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {8EDAD21C-3584-4E66-A8AB-EB0E5584767D} - h**p://toolbar.google.com/data/GoogleActivate.cab
O16 - DPF: {90A29DA5-D020-4B18-8660-6689520C7CD7} (DmiReader Class) - h**p://support.euro.dell.com/global/apps/systemprofiler/PROFILER.CAB
O16 - DPF: {99410CDE-6F16-42ce-9D49-3807F78F0287} - h**p://www.180searchassistant.com/180saax.cab
O16 - DPF: {B3872502-F9FD-4E96-93FF-0D37298F0689} (SOESysInfo Control) - h**p://everquest2.station.sony.com/beta_reg/soesysinfo.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - h**p://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {F54C1137-5E34-4B95-95A5-BA56D4D8D743} (Secure Delivery) - h**p://www.gamespot.com/KDX/kdx.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{47E34DF6-28D9-471C-B693-42998A193031}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{80057516-0508-4C8D-B025-F8FAE6FD830F}: NameServer = 192.168.1.0
O17 - HKLM\System\CS1\Services\Tcpip\..\{47E34DF6-28D9-471C-B693-42998A193031}: NameServer = 192.168.0.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{47E34DF6-28D9-471C-B693-42998A193031}: NameServer = 192.168.0.1
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTSvcCDA.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe


Wäre super, wenn mir irgendjemand dazu ne Hilfestellung zu geben könnte, die über "installiers neu und hau SP2 mit drauf" geben könnte - letzteres werde ich ohnehin tun...

Vielen Dank,

Alex

Geändert von Mumintroll (08.06.2005 um 21:05 Uhr) Grund: Stinger, Spybot etc. verwendet

Alt 08.06.2005, 19:26   #2
DeeeJay
 
Trojaner Buddy.F, Agent.CP, Stervice.C und ClickeAgeDB.Dll - Ausrufezeichen

Trojaner Buddy.F, Agent.CP, Stervice.C und ClickeAgeDB.Dll



Zitat:
Zitat von Mumintroll
... Mein AntiVir meldet sich zu:

c:\Windows\QCBUAFBJI.exe (Buddy.F)
c:\Windows\System32\Poller.exe (Agent.CP)
c:\Windows\System32\DRPMON.Dll (Click.AgeDB.Dll)
c:\Windows\SVCPROC.EXE (Stervice.c) ...
Gaaanz einfach:
Du kannst in AntiVir einen gründlich Scan durchführen und bei jeder möglichen Gefahr auswählen was passieren soll.
So ist es also möglich befallene Dateien zu überschreiben und zu löschen!

Wichtig: Aktuelle Signatur (UpDate)!
Sonst schau noch HIER!
__________________

__________________

Alt 08.06.2005, 19:35   #3
Mumintroll
 
Trojaner Buddy.F, Agent.CP, Stervice.C und ClickeAgeDB.Dll - Standard

Trojaner Buddy.F, Agent.CP, Stervice.C und ClickeAgeDB.Dll



Öh - wenns so einfach wäre - das habe ich schon seit etwa 3 Tagen jedes Mal wieder gemacht, leider kommen die Drecksdinger immer wieder....

Soll heissen, ich habe sowohl mehrfache FullScans mit Antivir gemacht (der mal was findet und mal nicht) und lasse bei jeder aufploppenden Warnung das Ding löschen - leider ohne Effekt.
__________________

Alt 08.06.2005, 19:51   #4
DeeeJay
 
Trojaner Buddy.F, Agent.CP, Stervice.C und ClickeAgeDB.Dll - Pfeil

Trojaner Buddy.F, Agent.CP, Stervice.C und ClickeAgeDB.Dll



Schon
"Ad-Aware SE Personal",
"Spybot - Search & Destroy",
"Stinger" von McAfee und
"Trojancheck"
ausprobiert?
__________________
Schau einfach mal HIER !
DeeeJays Motto: "Es ist leichter einem Elefanten auszuweichen, als einer Mücke!"
DeeeJays Spruch: "Windows-Tasten sin un bleiben ein Bug!"

Alt 08.06.2005, 21:07   #5
Mumintroll
 
Trojaner Buddy.F, Agent.CP, Stervice.C und ClickeAgeDB.Dll - Standard

Trojaner Buddy.F, Agent.CP, Stervice.C und ClickeAgeDB.Dll



Ad-Aware hatte ich schon mehrfach benutzt (hatte ich glaube ich auch im Ursprungsposting geschrieben), Spybot hat auch noch was gefunden, Stinger und Trojancheck nicht. Ich habe mal HijackThis aktualisiert und wieder gepostet.

Gruß,

Alex

P.S.: Nach Spybot kommt nur noch Buddy.F, die anderen geben (bisher) Ruhe...


Geändert von Mumintroll (09.06.2005 um 05:26 Uhr) Grund: Update der Trojaner-Aktivität

Alt 09.06.2005, 13:08   #6
Mumintroll
 
Trojaner Buddy.F, Agent.CP, Stervice.C und ClickeAgeDB.Dll - Standard

Trojaner Buddy.F, Agent.CP, Stervice.C und ClickeAgeDB.Dll



So - ich habe nun auch die letzten Versuche gestartet, das ganze in den Griff zu bekommen, egal was ich versuche, ich bekomme es nicht hin.

Gibt es noch jmd. da draussen, der eine Idee hat? Oder wohlmöglich eine Reinigungsanleitung?

Danke,

Alex

Antwort

Themen zu Trojaner Buddy.F, Agent.CP, Stervice.C und ClickeAgeDB.Dll
.dll, adobe, adobe reader, antivir, antivir update, antivirus, antivirus scan, bho, computer, diverse, drivers, ellung, escan, explorer, google, hijack, hotkey, infected, internet, internet explorer, microsoft, problem, programme, registry, super, symantec, system, trojaner, virus, windows, windows xp




Ähnliche Themen: Trojaner Buddy.F, Agent.CP, Stervice.C und ClickeAgeDB.Dll


  1. Discount Buddy entfernen
    Anleitungen, FAQs & Links - 27.11.2013 (2)
  2. Hi, buddy, thanks for your article.
    Mülltonne - 29.05.2008 (0)
  3. TR/Buddy.F/TR/Click.Age.DB.Dll/TR/Dldr.Spybi.1/TR/Stervice.C
    Plagegeister aller Art und deren Bekämpfung - 19.06.2005 (18)
  4. TR/Buddy-TR/Stervice-TR/Click.Age.DB.DLL
    Plagegeister aller Art und deren Bekämpfung - 18.06.2005 (22)
  5. Log-Analyse erbeten - TR\Agent.CP & TR\Stervice.C
    Log-Analyse und Auswertung - 14.06.2005 (3)
  6. TR/Buddy.F + TR/Agent.CP
    Log-Analyse und Auswertung - 06.06.2005 (1)
  7. buddy.f und agent.cp trojaner
    Log-Analyse und Auswertung - 04.06.2005 (1)
  8. TR/Buddy.F und Andere
    Log-Analyse und Auswertung - 02.06.2005 (4)
  9. TR/Dldr.Lastad.H , TR/Buddy.F , TR/Agent.CP
    Plagegeister aller Art und deren Bekämpfung - 02.06.2005 (0)
  10. TR/BUDDY.F - Wer kann mein Logfile analysieren?
    Log-Analyse und Auswertung - 01.06.2005 (1)
  11. ich habe den TR/Buddy.F
    Log-Analyse und Auswertung - 31.05.2005 (6)
  12. TR Buddy.F!!!!
    Plagegeister aller Art und deren Bekämpfung - 29.05.2005 (6)
  13. Trojaner Spyware etc. (QUrl-3, Small.OF.F, Dldr.1296, Buddy.F)
    Log-Analyse und Auswertung - 11.05.2005 (3)
  14. Trojaner Buddy.F, geht nicht weg :-/ Help !
    Plagegeister aller Art und deren Bekämpfung - 09.05.2005 (5)
  15. Hilfe bei Bargain Buddy
    Plagegeister aller Art und deren Bekämpfung - 30.01.2005 (6)
  16. Hi Jacker Problem Bargain Buddy und andere
    Plagegeister aller Art und deren Bekämpfung - 18.01.2005 (1)
  17. bargain buddy
    Log-Analyse und Auswertung - 01.12.2004 (5)

Zum Thema Trojaner Buddy.F, Agent.CP, Stervice.C und ClickeAgeDB.Dll - Hallo, ich habe es verbockt. Und zwar so richtig. In einem Anfall von genervtem "Ja, nu mach schon weiter - ich sagte OK, ich will es - nu' mach schon" - Trojaner Buddy.F, Agent.CP, Stervice.C und ClickeAgeDB.Dll...
Archiv
Du betrachtest: Trojaner Buddy.F, Agent.CP, Stervice.C und ClickeAgeDB.Dll auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.