Trojaner-Board - SurfBuddy

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - SurfBuddy (https://www.trojaner-board.de/16544-surfbuddy.html)

Also ich habe folgendes Problem
Ich habe mir ein programm names Surfbuddy eingefangen

Logfile of HijackThis v1.99.1
Scan saved at 19:45:39, on 11.04.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
D:\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\wuauclt.exe
D:\Opera\opera.exe
D:\hijackthis\HijackThis.exe

O4 - HKLM\..\Run: [SurfBuddy] rundll32 "C:\Program Files\SurfBuddy\sbuddy.dll",run
O4 - HKCU\..\Run: [SurfBuddy] rundll32 "C:\Program Files\SurfBuddy\sbuddy.dll",run
O4 - Startup: WindowsUpdate72430[1].exe
O10 - Broken Internet access because of LSP provider 'xfire_lsp_10650.dll' missing
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\AVPersonal\AVWUPSRV.EXE

habe bereits mal in der registrie gesucht und auch gefunden doch es trägt sich selbst dort immer neu ein

das prob ist ich kann es nicht entfernen wisst ihr ne lösung

danke

das wird leicht.
gehe in den abgesicherten modus, lösche den ordner C:\Program Files\SurfBuddy\
fixe die einträge:
O4 - HKLM\..\Run: [SurfBuddy] rundll32 "C:\Program Files\SurfBuddy\sbuddy.dll",run
O4 - HKCU\..\Run: [SurfBuddy] rundll32 "C:\Program Files\SurfBuddy\sbuddy.dll",run
O4 - Startup: WindowsUpdate72430[1].exe
normaler modus, neues HJT Logfile posten

Logfile of HijackThis v1.99.1
Scan saved at 19:58:01, on 11.04.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
D:\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
D:\hijackthis\HijackThis.exe

O4 - Startup: WindowsUpdate72430[1].exe
O10 - Broken Internet access because of LSP provider 'xfire_lsp_10650.dll' missing
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\AVPersonal\AVWUPSRV.EXE

So surfbuddy ist weg schonmal super :D
Doch was hat es mit dem eintrag "O4 - Startup: WindowsUpdate72430[1].exe" auf sich?

das werden wir jetzt herausfinden.
wir wissen ja nicht wo sich die datei befindet. und ich vermute da mehr auf dem system. also führe das aus:
-lade dir escan runter und gehe genau nach dieser Anleitung vor
-öffne die datei mwav.log,klicke auf bearbeiten dann auf suchen
-gebe infected ein
-suche weiter,markiere die treffer und kopiere sie ins forum