Hallo,

ich habe es verbockt. Und zwar so richtig. In einem Anfall von genervtem "Ja, nu mach schon weiter - ich sagte OK, ich will es - nu' mach schon" habe ich wohl einmal zu oft auf "Ok" geklickt und habe mein System verseucht. An sich wäre es nicht ganz so schlimm, da ich kurz vor einer neuer HDD mit neuem Aufsetzen des Systems stehe, aber ich habe leider noch nicht alles gesichert, was ich gerne gesichert hätte. Daher meine Bitte:

Kann mir jmd. ne Anleitung für Dummies geben, wie ich das Problem so unterdrücken oder beseitigen kann, dass ich das erforderliche an Daten noch gefahrlos auf CD brennen kann um es auf die neue CD zu bringen? Oder krieg ich irgendwie das System selbst noch mal provisorisch sauber?

Mein AntiVir meldet sich zu:

c:\Windows\QCBUAFBJI.exe (Buddy.F)
c:\Windows\System32\Poller.exe (Agent.CP)
c:\Windows\System32\DRPMON.Dll (Click.AgeDB.Dll)
c:\Windows\SVCPROC.EXE (Stervice.c)

wobei die ersten beiden die deutlich häufigeren sind, soll heissen, die beiden letzteren sind bisher erst einmal aufgeploppt.

Ich habe XoftSpy, a-squared, AntiVir und AdAware, sowie einige Anleitungen in unterschiedlichen Foren versucht, leider ohne Erfolg. Hier meine eScan nebst Hijackthis-Ergebnisse:

eScan:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Wed Jun 08 19:33:50 2005 => System found infected with Zango Spyware/Adware ({99410cde-6f16-42ce-9d49-3807f78f0287})! Action taken: No Action Taken.
Wed Jun 08 19:38:25 2005 => System found infected with iSearch Spyware/Adware (patch.exe)! Action taken: No Action Taken.
Wed Jun 08 19:39:14 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Wed Jun 08 19:39:14 2005 => Total Virus(es) Found: 3
Wed Jun 08 19:39:14 2005 => Total Errors: 34
Wed Jun 08 19:39:14 2005 => Time Elapsed: 00:06:17
Wed Jun 08 19:39:13 2005 => Total Objects Scanned: 10081
Wed Jun 08 18:53:36 2005 => Virus Database Date: 2005/06/06
Wed Jun 08 19:32:49 2005 => Virus Database Date: 2005/06/06
Wed Jun 08 19:39:14 2005 => Virus Database Date: 2005/06/06
Wed Jun 08 19:39:55 2005 => Virus Database Date: 2005/06/06
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~


Hijackthis (editiert und neu nach diversen Scans mit unterschiedlichen Programmen - siehe nachfolgende Beiträge):

Logfile of HijackThis v1.99.1
Scan saved at 21:57:16, on 08.06.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\McAfee.com\Agent\mcagent.exe
c:\windows\system32\emxkpoe.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
F:\iTunes\iTunesHelper.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\WINDOWS\System32\CTSvcCDA.EXE
C:\Programme\AnalogX\CookieWall\cookie.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\wuauclt.exe
F:\Downloads\HijackThis.exe

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {206E52E0-D52E-11D4-AD54-0000E86C26F6} - C:\Programme\FreshDevices\FreshDownload\FDCatch.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /O5 "LPT1:" /M "Stylus C84"
O4 - HKLM\..\Run: [MCAgentExe] C:\Programme\McAfee.com\Agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\McAfee.com\Agent\McUpdate.exe
O4 - HKLM\..\Run: [Mskexe] c:\programme\mcafee\spamkiller\spamkiller.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [OpwareSE2] "C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [iTunesHelper] F:\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [lbkcwl] c:\windows\system32\emxkpoe.exe r
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: CookieWall.lnk = C:\Programme\AnalogX\CookieWall\cookie.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Download &All by FD - file://C:\Programme\FreshDevices\FreshDownload\fdiectx2.htm
O8 - Extra context menu item: Download with &FD - file://C:\Programme\FreshDevices\FreshDownload\fdiectx.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - h**p://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1099858985328
O16 - DPF: {68BCE50A-DC9B-4519-A118-6FDA19DB450D} (Info Class) - h**p://www.wow-europe.com/signup/de/wowbeta/Si.cab
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - h**p://toolbar.google.com/data/de/big/1.1.62-big/GoogleNav.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - h**p://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {8EDAD21C-3584-4E66-A8AB-EB0E5584767D} - h**p://toolbar.google.com/data/GoogleActivate.cab
O16 - DPF: {90A29DA5-D020-4B18-8660-6689520C7CD7} (DmiReader Class) - h**p://support.euro.dell.com/global/apps/systemprofiler/PROFILER.CAB
O16 - DPF: {99410CDE-6F16-42ce-9D49-3807F78F0287} - h**p://www.180searchassistant.com/180saax.cab
O16 - DPF: {B3872502-F9FD-4E96-93FF-0D37298F0689} (SOESysInfo Control) - h**p://everquest2.station.sony.com/beta_reg/soesysinfo.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - h**p://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {F54C1137-5E34-4B95-95A5-BA56D4D8D743} (Secure Delivery) - h**p://www.gamespot.com/KDX/kdx.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{47E34DF6-28D9-471C-B693-42998A193031}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{80057516-0508-4C8D-B025-F8FAE6FD830F}: NameServer = 192.168.1.0
O17 - HKLM\System\CS1\Services\Tcpip\..\{47E34DF6-28D9-471C-B693-42998A193031}: NameServer = 192.168.0.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{47E34DF6-28D9-471C-B693-42998A193031}: NameServer = 192.168.0.1
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTSvcCDA.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe


Wäre super, wenn mir irgendjemand dazu ne Hilfestellung zu geben könnte, die über "installiers neu und hau SP2 mit drauf" geben könnte - letzteres werde ich ohnehin tun...

Vielen Dank,

Alex

Zitat:

Zitat von Mumintroll

... Mein AntiVir meldet sich zu:

c:\Windows\QCBUAFBJI.exe (Buddy.F)
c:\Windows\System32\Poller.exe (Agent.CP)
c:\Windows\System32\DRPMON.Dll (Click.AgeDB.Dll)
c:\Windows\SVCPROC.EXE (Stervice.c) ...

Gaaanz einfach:
Du kannst in AntiVir einen gründlich Scan durchführen und bei jeder möglichen Gefahr auswählen was passieren soll.
So ist es also möglich befallene Dateien zu überschreiben und zu löschen!

Wichtig: Aktuelle Signatur (UpDate)!
Sonst schau noch HIER!

Öh - wenns so einfach wäre - das habe ich schon seit etwa 3 Tagen jedes Mal wieder gemacht, leider kommen die Drecksdinger immer wieder....

Soll heissen, ich habe sowohl mehrfache FullScans mit Antivir gemacht (der mal was findet und mal nicht) und lasse bei jeder aufploppenden Warnung das Ding löschen - leider ohne Effekt.

Schon
"Ad-Aware SE Personal",
"Spybot - Search & Destroy",
"Stinger" von McAfee und
"Trojancheck"
ausprobiert?

Ad-Aware hatte ich schon mehrfach benutzt (hatte ich glaube ich auch im Ursprungsposting geschrieben), Spybot hat auch noch was gefunden, Stinger und Trojancheck nicht. Ich habe mal HijackThis aktualisiert und wieder gepostet.

Gruß,

Alex

P.S.: Nach Spybot kommt nur noch Buddy.F, die anderen geben (bisher) Ruhe...

So - ich habe nun auch die letzten Versuche gestartet, das ganze in den Griff zu bekommen, egal was ich versuche, ich bekomme es nicht hin.

Gibt es noch jmd. da draussen, der eine Idee hat? Oder wohlmöglich eine Reinigungsanleitung?

Danke,

Alex