Hallo,

ich habe es verbockt. Und zwar so richtig. In einem Anfall von genervtem "Ja, nu mach schon weiter - ich sagte OK, ich will es - nu' mach schon" habe ich wohl einmal zu oft auf "Ok" geklickt und habe mein System verseucht. An sich wäre es nicht ganz so schlimm, da ich kurz vor einer neuer HDD mit neuem Aufsetzen des Systems stehe, aber ich habe leider noch nicht alles gesichert, was ich gerne gesichert hätte. Daher meine Bitte:

Kann mir jmd. ne Anleitung für Dummies geben, wie ich das Problem so unterdrücken oder beseitigen kann, dass ich das erforderliche an Daten noch gefahrlos auf CD brennen kann um es auf die neue CD zu bringen? Oder krieg ich irgendwie das System selbst noch mal provisorisch sauber?

Mein AntiVir meldet sich zu:

c:\Windows\QCBUAFBJI.exe (Buddy.F)
c:\Windows\System32\Poller.exe (Agent.CP)
c:\Windows\System32\DRPMON.Dll (Click.AgeDB.Dll)
c:\Windows\SVCPROC.EXE (Stervice.c)

wobei die ersten beiden die deutlich häufigeren sind, soll heissen, die beiden letzteren sind bisher erst einmal aufgeploppt.

Ich habe XoftSpy, a-squared, AntiVir und AdAware, sowie einige Anleitungen in unterschiedlichen Foren versucht, leider ohne Erfolg. Hier meine eScan nebst Hijackthis-Ergebnisse:

eScan:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Wed Jun 08 19:33:50 2005 => System found infected with Zango Spyware/Adware ({99410cde-6f16-42ce-9d49-3807f78f0287})! Action taken: No Action Taken.
Wed Jun 08 19:38:25 2005 => System found infected with iSearch Spyware/Adware (patch.exe)! Action taken: No Action Taken.
Wed Jun 08 19:39:14 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Wed Jun 08 19:39:14 2005 => Total Virus(es) Found: 3
Wed Jun 08 19:39:14 2005 => Total Errors: 34
Wed Jun 08 19:39:14 2005 => Time Elapsed: 00:06:17
Wed Jun 08 19:39:13 2005 => Total Objects Scanned: 10081
Wed Jun 08 18:53:36 2005 => Virus Database Date: 2005/06/06
Wed Jun 08 19:32:49 2005 => Virus Database Date: 2005/06/06
Wed Jun 08 19:39:14 2005 => Virus Database Date: 2005/06/06
Wed Jun 08 19:39:55 2005 => Virus Database Date: 2005/06/06
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~


Hijackthis (editiert und neu nach diversen Scans mit unterschiedlichen Programmen - siehe nachfolgende Beiträge):

Logfile of HijackThis v1.99.1
Scan saved at 21:57:16, on 08.06.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\McAfee.com\Agent\mcagent.exe
c:\windows\system32\emxkpoe.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
F:\iTunes\iTunesHelper.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\WINDOWS\System32\CTSvcCDA.EXE
C:\Programme\AnalogX\CookieWall\cookie.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\wuauclt.exe
F:\Downloads\HijackThis.exe

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {206E52E0-D52E-11D4-AD54-0000E86C26F6} - C:\Programme\FreshDevices\FreshDownload\FDCatch.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /O5 "LPT1:" /M "Stylus C84"
O4 - HKLM\..\Run: [MCAgentExe] C:\Programme\McAfee.com\Agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\McAfee.com\Agent\McUpdate.exe
O4 - HKLM\..\Run: [Mskexe] c:\programme\mcafee\spamkiller\spamkiller.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [OpwareSE2] "C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [iTunesHelper] F:\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [lbkcwl] c:\windows\system32\emxkpoe.exe r
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: CookieWall.lnk = C:\Programme\AnalogX\CookieWall\cookie.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Download &All by FD - file://C:\Programme\FreshDevices\FreshDownload\fdiectx2.htm
O8 - Extra context menu item: Download with &FD - file://C:\Programme\FreshDevices\FreshDownload\fdiectx.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - h**p://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1099858985328
O16 - DPF: {68BCE50A-DC9B-4519-A118-6FDA19DB450D} (Info Class) - h**p://www.wow-europe.com/signup/de/wowbeta/Si.cab
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - h**p://toolbar.google.com/data/de/big/1.1.62-big/GoogleNav.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - h**p://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {8EDAD21C-3584-4E66-A8AB-EB0E5584767D} - h**p://toolbar.google.com/data/GoogleActivate.cab
O16 - DPF: {90A29DA5-D020-4B18-8660-6689520C7CD7} (DmiReader Class) - h**p://support.euro.dell.com/global/apps/systemprofiler/PROFILER.CAB
O16 - DPF: {99410CDE-6F16-42ce-9D49-3807F78F0287} - h**p://www.180searchassistant.com/180saax.cab
O16 - DPF: {B3872502-F9FD-4E96-93FF-0D37298F0689} (SOESysInfo Control) - h**p://everquest2.station.sony.com/beta_reg/soesysinfo.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - h**p://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {F54C1137-5E34-4B95-95A5-BA56D4D8D743} (Secure Delivery) - h**p://www.gamespot.com/KDX/kdx.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{47E34DF6-28D9-471C-B693-42998A193031}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{80057516-0508-4C8D-B025-F8FAE6FD830F}: NameServer = 192.168.1.0
O17 - HKLM\System\CS1\Services\Tcpip\..\{47E34DF6-28D9-471C-B693-42998A193031}: NameServer = 192.168.0.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{47E34DF6-28D9-471C-B693-42998A193031}: NameServer = 192.168.0.1
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTSvcCDA.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe


Wäre super, wenn mir irgendjemand dazu ne Hilfestellung zu geben könnte, die über "installiers neu und hau SP2 mit drauf" geben könnte - letzteres werde ich ohnehin tun...

Vielen Dank,

Alex

Zitat:

Zitat von Mumintroll

... Mein AntiVir meldet sich zu:

c:\Windows\QCBUAFBJI.exe (Buddy.F)
c:\Windows\System32\Poller.exe (Agent.CP)
c:\Windows\System32\DRPMON.Dll (Click.AgeDB.Dll)
c:\Windows\SVCPROC.EXE (Stervice.c) ...

Gaaanz einfach:
Du kannst in AntiVir einen gründlich Scan durchführen und bei jeder möglichen Gefahr auswählen was passieren soll.
So ist es also möglich befallene Dateien zu überschreiben und zu löschen!

Wichtig: Aktuelle Signatur (UpDate)!
Sonst schau noch HIER!

Öh - wenns so einfach wäre - das habe ich schon seit etwa 3 Tagen jedes Mal wieder gemacht, leider kommen die Drecksdinger immer wieder....

Soll heissen, ich habe sowohl mehrfache FullScans mit Antivir gemacht (der mal was findet und mal nicht) und lasse bei jeder aufploppenden Warnung das Ding löschen - leider ohne Effekt.

Schon
"Ad-Aware SE Personal",
"Spybot - Search & Destroy",
"Stinger" von McAfee und
"Trojancheck"
ausprobiert?

Ad-Aware hatte ich schon mehrfach benutzt (hatte ich glaube ich auch im Ursprungsposting geschrieben), Spybot hat auch noch was gefunden, Stinger und Trojancheck nicht. Ich habe mal HijackThis aktualisiert und wieder gepostet.

Gruß,

Alex

P.S.: Nach Spybot kommt nur noch Buddy.F, die anderen geben (bisher) Ruhe...

So - ich habe nun auch die letzten Versuche gestartet, das ganze in den Griff zu bekommen, egal was ich versuche, ich bekomme es nicht hin.

Gibt es noch jmd. da draussen, der eine Idee hat? Oder wohlmöglich eine Reinigungsanleitung?

Danke,

Alex

@ Mumintroll

versuch mal das hier abzuarbeiten und poste danach ein aktuelles HJT Logfile

Danke für den neuen Vorschlag, das habe ich mal versucht. Ich habe das wie beschrieben durchgeführt, aber die bolger.dll nirgendwo gefunden. Die Zeile

O4 - HKLM\..\Run: [mpemnju] F:\Windwos\System32\piqgxkx.exe r

habe ich dann gefixed. Dann den Panda drüber laufen lassen, der aber komischerweise nach etwa 30 sec erklärt hat, dass alles sauber sei. Also vorsichtshalber Housecall von Trendmicro nochmal und der hat auch nichts gefunden.

Hier das aktuelle HijackThis-Log:

Logfile of HijackThis v1.99.1
Scan saved at 20:49:59, on 09.06.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\McAfee.com\Agent\mcagent.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
F:\iTunes\iTunesHelper.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\CTSvcCDA.EXE
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AnalogX\CookieWall\cookie.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\wuauclt.exe
F:\Downloads\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {206E52E0-D52E-11D4-AD54-0000E86C26F6} - C:\Programme\FreshDevices\FreshDownload\FDCatch.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /O5 "LPT1:" /M "Stylus C84"
O4 - HKLM\..\Run: [MCAgentExe] C:\Programme\McAfee.com\Agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\McAfee.com\Agent\McUpdate.exe
O4 - HKLM\..\Run: [Mskexe] c:\programme\mcafee\spamkiller\spamkiller.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [OpwareSE2] "C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [iTunesHelper] F:\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: CookieWall.lnk = C:\Programme\AnalogX\CookieWall\cookie.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Download &All by FD - file://C:\Programme\FreshDevices\FreshDownload\fdiectx2.htm
O8 - Extra context menu item: Download with &FD - file://C:\Programme\FreshDevices\FreshDownload\fdiectx.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - h**p://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1099858985328
O16 - DPF: {68BCE50A-DC9B-4519-A118-6FDA19DB450D} (Info Class) - h**p://www.wow-europe.com/signup/de/wowbeta/Si.cab
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - h**p://toolbar.google.com/data/de/big/1.1.62-big/GoogleNav.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - h**p://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {8EDAD21C-3584-4E66-A8AB-EB0E5584767D} - h**p://toolbar.google.com/data/GoogleActivate.cab
O16 - DPF: {90A29DA5-D020-4B18-8660-6689520C7CD7} (DmiReader Class) - h**p://support.euro.dell.com/global/apps/systemprofiler/PROFILER.CAB
O16 - DPF: {99410CDE-6F16-42ce-9D49-3807F78F0287} - h**p://www.180searchassistant.com/180saax.cab
O16 - DPF: {B3872502-F9FD-4E96-93FF-0D37298F0689} (SOESysInfo Control) - h**p://everquest2.station.sony.com/beta_reg/soesysinfo.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - h**p://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {F54C1137-5E34-4B95-95A5-BA56D4D8D743} (Secure Delivery) - h**p://www.gamespot.com/KDX/kdx.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{47E34DF6-28D9-471C-B693-42998A193031}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{80057516-0508-4C8D-B025-F8FAE6FD830F}: NameServer = 192.168.1.0
O17 - HKLM\System\CS1\Services\Tcpip\..\{47E34DF6-28D9-471C-B693-42998A193031}: NameServer = 192.168.0.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{47E34DF6-28D9-471C-B693-42998A193031}: NameServer = 192.168.0.1
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTSvcCDA.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe

Du solltest unbedingt Dein System updaten
Windowsupdate oder CD-Bestellung SP2
Das Logfile sieht jetzt nicht ganz so schlecht aus

Zitat:

O4 - HKLM\..\Run: [mpemnju] F:\Windwos\System32\piqgxkx.exe r

hast du auch die Datei dazu (falls noch vorhanden ) im abgesicherten Modus mit gelöscht, weil fixen allein bringt nichts.
Folgendes sollte noch gefixt werden:

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O16 - DPF: {99410CDE-6F16-42ce-9D49-3807F78F0287} - h**p://www.180searchassistant.com/180saax.cab

falls nicht bekannt auch fixen:

O16 - DPF: {90A29DA5-D020-4B18-8660-6689520C7CD7} (DmiReader Class) - h**p://support.euro.dell.com/global/apps/systemprofiler/PROFILER.CAB
O16 - DPF: {B3872502-F9FD-4E96-93FF-0D37298F0689} (SOESysInfo Control) - h**p://everquest2.station.sony.com/beta_reg/soesysinfo.cab
O16 - DPF: {F54C1137-5E34-4B95-95A5-BA56D4D8D743} (Secure Delivery) - h**p://www.gamespot.com/KDX/kdx.cab

Du solltest auch in Zukunft sichere Browser verwenden. IE nur noch für Windowsupdates, aber die regelmäßig durchführen
http://filepony.de/download-opera/
http://www.mozilla.org/
http://www.thunderbird-mail.de/thunderbird/

führe den eScan nochmal im abgesicherten Modus aus, lösche vorher die Logdatei, die wird neu erstellt und teile dann das Ergebnis mit

Zitat:

Wed Jun 08 19:39:14 2005 => Time Elapsed: 00:06:17

dein letzter Scan wurde nicht richtig ausgeführt, du musst die Haken richtig setzen, lese dazu nochmal die Anleitung.
hier eine bebilderte Anleitung

BTW: du solltest auch nur einen Virenscanner mit Hintergrundwächter laufen lassen, sonst kann es zu Problemen kommen und das System wird dadurch auch langsamer

Okido - erstmal danke vorab. Das mit dem SP2 ist klar - das ist ja der Hauptgrund meines Schreibens. Ich werde das Ding eben neu aufsetzen um SP2 zu installieren, das SP2 liegt nebst neuer Festplatte neben mir auf dem Tisch. Aber dazu muss/möchte ich ein paar Dateien vorher mit rüber retten und würde dann gerne ein sauberes System haben und nicht verseuchte Dinger mit rüber nehmen... :-)

Ach ja - und ich surfe nur mit Firefox, IE habe ich eigentlich nur für die OnlineScanner (die nehmen Firefox nicht) und das Windowsupdate in Gebrauch.

Die Datei habe ich auch mitgelöscht, nicht bloss gefixt, nur vergessen hin zu schreiben. Ich habe mich strikt an die Anweisung gehalten

Ach ja - eigentlich habe ich nur Antivir im Hintergrund laufen - jetzt ist aber durch das ganze ausprobieren auch SpyBot noch im Hintergrund aktiv....

So - soweit zu den ersten Erklärungen dazu, den Rest werde ich morgen ausprobieren, wenn ich wieder aus der Arbeit zurück bin.

Ach ja - das mit eScan wundert mich, habe eigentlich versucht, mich an das hier http://www.trojaner-board.de/showthread.php?t=17492
zu halten... Na egal, ich fixe erst mal wie von Dir vorgeschlagen und mach das nochmal.

Danke nochmal,

Alex

So - hab es wie vorgeschlagen nochmal mit eScan und den anderen Einstellungen durchgeführt. Gute Güte, da kommt ja ein katastrophales Ergebnis bei raus. Ich habe auch, wie in der "bebilderten Anleitung" vorgeschlagen, alle Cache- und TEMP-Ordner etc. im abgesicherten Modus mit abgeschalteter Systemwiederherstellung mittels ClearProg gelöscht.

Ach ja - bisher (=seit gestern Abend), hat sich mein Virenscanner kein einziges Mal mehr gemeldet.


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Fri Jun 10 16:41:25 2005 => System found infected with iSearch Spyware/Adware (patch.exe)! Action taken: No Action Taken.
Fri Jun 10 16:45:54 2005 => File C:\DOKUME~1\Alex\LOKALE~1\Temp\Del2A.tmp infected by "Trojan-Downloader.Win32.Small.asf" Virus! Action Taken: No Action Taken.
Fri Jun 10 17:11:17 2005 => File C:\DOKUME~1\Alex\LOKALE~1\TEMPOR~1\Content.IE5\OVJ7Q0HP\dia484[1].htm infected by "Exploit.HTML.Mht" Virus! Action Taken: No Action Taken.
Fri Jun 10 17:23:53 2005 => File C:\Dokumente und Einstellungen\Alex\Lokale Einstellungen\Temp\Del2A.tmp infected by "Trojan-Downloader.Win32.Small.asf" Virus! Action Taken: No Action Taken.
Fri Jun 10 17:49:01 2005 => File C:\Dokumente und Einstellungen\Alex\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OVJ7Q0HP\dia484[1].htm infected by "Exploit.HTML.Mht" Virus! Action Taken: No Action Taken.
Fri Jun 10 18:02:32 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Fri Jun 10 18:19:17 2005 => File C:\Programme\The Bat!\MAIL\Marions WEB-Mail\Inbox\MESSAGES.TBB infected by "Email-Worm.Win32.Sobig.e" Virus! Action Taken: No Action Taken.
Fri Jun 10 18:20:48 2005 => File C:\Programme\The Bat!\MAIL\T-Online\Inbox\MESSAGES.TBB infected by "Email-Worm.Win32.Tanatos.b.dam" Virus! Action Taken: No Action Taken.
Fri Jun 10 18:21:02 2005 => File C:\Programme\The Bat!\MAIL\T-Online\Inbox\Spam\MESSAGES.TBB infected by "Email-Worm.Win32.Tanatos.b.dam" Virus! Action Taken: No Action Taken.
Fri Jun 10 18:22:49 2005 => File C:\Programme\The Bat!\MAIL\T-Online\Trash\MESSAGES.TBB infected by "Email-Worm.Win32.Tanatos.b.dam" Virus! Action Taken: No Action Taken.
Fri Jun 10 19:24:05 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Fri Jun 10 16:42:22 2005 => File C:\WINDOWS\oeaztkd.exe tagged as "not-a-virus:AdWare.BetterInternet.c". Action Taken: No Action Taken.
Fri Jun 10 16:43:29 2005 => File C:\WINDOWS\System32\KILLAPPS.EXE tagged as not-a-virus:Tool.Win32.KillApp.c. No Action Taken.
Fri Jun 10 16:44:48 2005 => File C:\DOKUME~1\Alex\LOKALE~1\Temp\180sainstaller.exe tagged as "not-a-virus:AdWare.180Solutions.b". Action Taken: No Action Taken.
Fri Jun 10 16:45:37 2005 => File C:\DOKUME~1\Alex\LOKALE~1\Temp\CRF000\creaf_ms.cab tagged as not-a-virus:Tool.Win32.KillApp.c. No Action Taken.
Fri Jun 10 17:21:05 2005 => File C:\Dokumente und Einstellungen\Alex\Eigene Dateien\Reinstall\EAX4DRV_AUDIGY2_1_84_50.exe tagged as not-a-virus:Tool.Win32.KillApp.c. No Action Taken.
Fri Jun 10 17:22:41 2005 => File C:\Dokumente und Einstellungen\Alex\Lokale Einstellungen\Temp\180sainstaller.exe tagged as "not-a-virus:AdWare.180Solutions.b". Action Taken: No Action Taken.
Fri Jun 10 17:23:35 2005 => File C:\Dokumente und Einstellungen\Alex\Lokale Einstellungen\Temp\CRF000\creaf_ms.cab tagged as not-a-virus:Tool.Win32.KillApp.c. No Action Taken.
Fri Jun 10 18:02:48 2005 => File C:\Programme\BitTorrent\uninstall.exe tagged as not-a-virus:Tool.Win32.Processor.1001. No Action Taken.
Fri Jun 10 18:03:59 2005 => File C:\Programme\Creative\SBAudigy2ZS\Program\WDM\COMMON\killapps.exe tagged as not-a-virus:Tool.Win32.KillApp.c. No Action Taken.
Fri Jun 10 18:35:06 2005 => File C:\WINDOWS\oeaztkd.exe tagged as "not-a-virus:AdWare.BetterInternet.c". Action Taken: No Action Taken.
Fri Jun 10 18:44:23 2005 => File C:\WINDOWS\system32\KILLAPPS.EXE tagged as not-a-virus:Tool.Win32.KillApp.c. No Action Taken.
Fri Jun 10 18:46:49 2005 => File C:\WINDOWS\Temp\CTZAPXX\Drivers\WDM\Common\killapps.exe tagged as not-a-virus:Tool.Win32.KillApp.c. No Action Taken.
Fri Jun 10 19:08:56 2005 => File F:\Kazaa DLs\BitTorrent-4.0.2.exe tagged as not-a-virus:Tool.Win32.Processor.1001. No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Fri Jun 10 19:24:05 2005 => Total Virus(es) Found: 23
Fri Jun 10 19:24:05 2005 => Total Errors: 51
Fri Jun 10 19:24:05 2005 => Time Elapsed: 02:49:25
Fri Jun 10 19:24:05 2005 => Total Objects Scanned: 125325
Fri Jun 10 16:33:55 2005 => Virus Database Date: 2005/06/06
Fri Jun 10 19:24:05 2005 => Virus Database Date: 2005/06/06
Fri Jun 10 19:36:37 2005 => Virus Database Date: 2005/06/06
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

Ok Restmüllbeseitigung,
Windowstaste+R --> %temp% --> <enter>
Inhalt löschen
Lösche die temporary internet files
Windowstaste+R --> cleanmgr --> <enter>
klick bei temporary internet files
klick bei Temp
Ok
(hätte eigentlich schon mit ClearProg weg sein müssen)
Deinen email Clienten kenne ich nicht, du solltest aber dort die nichtbekannten Mails löschen und um den Wurm restlos zu entfernen sollte es die Option Ordner Komprimieren geben. Erst dann sind sie wirklich gelöscht
Lösche von Hand im abgesicherten Modus bei deaktivierter Systemwiederherstellung

C:\WINDOWS\oeaztkd.exe
Den Rest kannst du glaube ich vernachlässigen

Vorab erst einmal: Vielen, vielen Dank! Das hier schreibe ich schon mit dem neuen System (inkl. SP2 ).

Ich hatte mich etwas unklar ausgedrückt, ich hatte ClearProg NACH eScan benutzt, daher sind die TEMP- und Cache-Dateien noch da gewesen. Ich habe nun endgültig alles gelöscht und retten können, was ich benötigt habe.

Nochmal vielen Dank! Geniales Board - auch wenn ich als ewiger stiller Mitleser eigentlich gehofft hatte, mich niemals wegen eines solchen Problems extra anmelden zu müssen

Gruß,

Alex