Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Backdoor Agent B - Bitte um Hilfe! (https://www.trojaner-board.de/6789-backdoor-agent-b-bitte-um-hilfe.html)

Hüttendoof 11.08.2004 09:33
Backdoor Agent B - Bitte um Hilfe!
 
Liebes Forum,

ich bitte um Hilfe! Eingefangen habe ich mir den Backdoor Agent B, ich habe bereits Eure Forumsbeiträge zum Thema gelesen, das hilft mir als Hüttendoof aber nicht wirklich weiter. Ganz toll wäre eine etwas detailliertere Anleitung um den blöden Agenten wieder los zu werden.

Norton gibt beim Start eines beliebigen Programms immer die Meldung

Virusname: Backdoor.Agent.B
Datei: C:\WINNT\System32\winpgbk.dll
Ablageort: C:\WINNT\System32
Durchgeführte Aktion: Säubern fehlgeschlagen : Isolieren fehlgeschlagen

Bei einem Scan im abgesicherten Modus wird der Eintrag von HiJack nicht angezeigt. Im normalen Modus läßt sich der Eintrag 020 zwar fixen, er erscheint aber immer wieder. In der Registry habe ich noch nie rumgefummelt, ich kenne mich echt nicht gut aus... Kann sich jemand die Zeit nehmen mir zu helfen? :(

Vielen Dank im Voraus!

Logfile of HijackThis v1.98.0
Scan saved at 10:28:54, on 11.08.2004
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\FnUtil\Launch Manager\hotkeyex.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINNT\System32\ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\NavNT\defwatch.exe
C:\WINNT\system32\cba\pds.exe
C:\Programme\NavNT\rtvscan.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\cba\xfr.exe
C:\WINNT\system32\MsgSys.EXE
C:\WINNT\Explorer.EXE
C:\WINNT\System32\Atiptaxx.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\FnUtil\Launch Manager\LaunchAp.exe
C:\Programme\Acer\Powerkey\Powerkey.exe
C:\WINNT\System32\Keymap.exe
C:\WINNT\System32\PRPCUI.exe
C:\Programme\NavNT\vptray.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\System32\internat.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\thellmann\Eigene Dateien\Progs\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tagesschau.de/
O2 - BHO: MyObj Class - {275636E4-A535-4668-9FF1-86DC0C62D446} - C:\WINNT\madopew.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: IRDIXAObj Class - {f760cb9e-c60f-4a89-890e-fae8b849493e} - C:\WINNT\madise.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\FnUtil\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [AcerPowerkey] "C:\Programme\Acer\Powerkey\Powerkey.exe"
O4 - HKLM\..\Run: [KEYMAP] C:\WINNT\System32\Keymap.exe
O4 - HKLM\..\Run: [Winupdate] regedit /s C:\Winnt\Discover.reg
O4 - HKLM\..\Run: [PRPCMonitor] PRPCUI.exe
O4 - HKLM\..\Run: [vptray] C:\Programme\NavNT\vptray.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [winlogon] c:\winnt\winserv.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - http://install.global-netcom.de/ieloader.cab
O16 - DPF: {f760cb9e-c60f-4a89-890e-fae8b849493e} (IRDIXAObj Class) -
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = actum.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{38D78FA1-AC8F-4DF1-9DF2-3F619C70EB3E}: Domain = actum.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{38D78FA1-AC8F-4DF1-9DF2-3F619C70EB3E}: NameServer = 10.3.2.2,212.63.33.66
O17 - HKLM\System\CCS\Services\Tcpip\..\{CAC809B8-D723-4CA8-A6F7-A864E427CF77}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = actum.de
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = actum.de
O18 - Protocol: saphtmlp - {D1F8BD1E-7967-11D2-B43A-006094B9EADB} - C:\Programme\SAPpc\frontend\Controls\saphtmlp.dll
O18 - Protocol: sapr3 - {D1F8BD1E-7967-11D2-B43A-006094B9EADB} - C:\Programme\SAPpc\frontend\Controls\saphtmlp.dll
O18 - Filter: text/html - {EE7A946E-61FA-4979-87B8-A6C462E6FA62} - C:\WINNT\digfilt.dll
O20 - AppInit_DLLs: C:\WINNT\System32\winpgbk.dll

MountainKing 11.08.2004 10:56
Zunächst mal dies ausführen

http://www.trojaner-board.de/42731-escan-anleitung.html

Dann ein neues Log machen und posten.

In deinem aktuellen wäre zu fixen (ebenfalls im abgesicherten Modus):

O2 - BHO: MyObj Class - {275636E4-A535-4668-9FF1-86DC0C62D446} - C:\WINNT\madopew.dll
O2 - BHO: IRDIXAObj Class - {f760cb9e-c60f-4a89-890e-fae8b849493e} - C:\WINNT\madise.dll
O4 - HKLM\..\Run: [Winupdate] regedit /s C:\Winnt\Discover.reg
O4 - HKCU\..\Run: [winlogon] c:\winnt\winserv.exe
O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - http://install.global-netcom
O16 - DPF: {f760cb9e-c60f-4a89-890e-fae8b849493e} (IRDIXAObj Class) -
O20 - AppInit_DLLs: C:\WINNT\System32\winpgbk.dll

Hüttendoof 11.08.2004 11:23
Danke, MountainKing!

Ich habe jetzt escan im abgesicherten laufen lassen und es hat wohl ganz ordentlich aufgeräumt. Den ollen Agenten habe ich aber immer noch.

Hier das aktuelle Log, und noch mal vielen Dank für Deine Mühe!

Logfile of HijackThis v1.98.0
Scan saved at 12:15:14, on 11.08.2004
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\FnUtil\Launch Manager\hotkeyex.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINNT\System32\ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\NavNT\defwatch.exe
C:\WINNT\system32\cba\pds.exe
C:\Programme\NavNT\rtvscan.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\cba\xfr.exe
C:\WINNT\system32\MsgSys.EXE
C:\WINNT\Explorer.EXE
C:\WINNT\System32\Atiptaxx.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\FnUtil\Launch Manager\LaunchAp.exe
C:\Programme\Acer\Powerkey\Powerkey.exe
C:\WINNT\System32\Keymap.exe
C:\WINNT\System32\PRPCUI.exe
C:\Programme\NavNT\vptray.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\System32\internat.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\thellmann\Eigene Dateien\Progs\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tagesschau.de/
O2 - BHO: MyObj Class - {275636E4-A535-4668-9FF1-86DC0C62D446} - C:\WINNT\madopew.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\FnUtil\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [AcerPowerkey] "C:\Programme\Acer\Powerkey\Powerkey.exe"
O4 - HKLM\..\Run: [KEYMAP] C:\WINNT\System32\Keymap.exe
O4 - HKLM\..\Run: [Winupdate] regedit /s C:\Winnt\Discover.reg
O4 - HKLM\..\Run: [PRPCMonitor] PRPCUI.exe
O4 - HKLM\..\Run: [vptray] C:\Programme\NavNT\vptray.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - http://install.global-netcom.de/ieloader.cab
O16 - DPF: {f760cb9e-c60f-4a89-890e-fae8b849493e} (IRDIXAObj Class) -
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = actum.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{38D78FA1-AC8F-4DF1-9DF2-3F619C70EB3E}: Domain = actum.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{38D78FA1-AC8F-4DF1-9DF2-3F619C70EB3E}: NameServer = 10.3.2.2,212.63.33.66
O17 - HKLM\System\CCS\Services\Tcpip\..\{CAC809B8-D723-4CA8-A6F7-A864E427CF77}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = actum.de
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = actum.de
O18 - Protocol: saphtmlp - {D1F8BD1E-7967-11D2-B43A-006094B9EADB} - C:\Programme\SAPpc\frontend\Controls\saphtmlp.dll
O18 - Protocol: sapr3 - {D1F8BD1E-7967-11D2-B43A-006094B9EADB} - C:\Programme\SAPpc\frontend\Controls\saphtmlp.dll
O18 - Filter: text/html - {EE7A946E-61FA-4979-87B8-A6C462E6FA62} - C:\WINNT\digfilt.dll
O20 - AppInit_DLLs: C:\WINNT\System32\winpgbk.dll

Rene-gad 11.08.2004 11:32
Hallo
Zitat:
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Das Ganze hat gar keinen Sinn, bevor du dein Win und IE nicht entsprechend updatest.
Außerdem, du hast nicht alles gefixt, was der MountainKing dir gesagt hat.
Zitat:
O2 - BHO: MyObj Class - {275636E4-A535-4668-9FF1-86DC0C62D446} - C:\WINNT\madopew.dll
O2 - BHO: IRDIXAObj Class - {f760cb9e-c60f-4a89-890e-fae8b849493e} - C:\WINNT\madise.dll
O4 - HKLM\..\Run: [Winupdate] regedit /s C:\Winnt\Discover.reg
O4 - HKCU\..\Run: [winlogon] c:\winnt\winserv.exe
O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - http://install.global-netcom
O16 - DPF: {f760cb9e-c60f-4a89-890e-fae8b849493e} (IRDIXAObj Class) -
O20 - AppInit_DLLs: C:\WINNT\System32\winpgbk.dll

MountainKing 11.08.2004 11:33
Ok, zu fixen sind:

O2 - BHO: MyObj Class - {275636E4-A535-4668-9FF1-86DC0C62D446} - C:\WINNT\madopew.dll
O4 - HKLM\..\Run: [Winupdate] regedit /s C:\Winnt\Discover.reg
O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - http://install.global-netcom
O16 - DPF: {f760cb9e-c60f-4a89-890e-fae8b849493e} (IRDIXAObj Class) -
O20 - AppInit_DLLs: C:\WINNT\System32\winpgbk.dll

Falls diese letzte Datei im abgesicherten Modus nicht erscheint, lösche sie im selben Modus per Hand. Dazu musst du eventuell erst das Anzeigen von Systemdateien aktivieren: im Explorer auf Extras/Ordneroptionen/Ansicht und dann Häkchen bei Geschützte Systemdateien ausblenden ENTFERNEN und bei Inhalte von Systemordnern EINFÜGEN.
Ich nehme an, diese www.actum.de ist eine von dir eingestellte bzw. frequentierte Seite?
Für die Zukunft sei auf jedne Fall schon mal der Umstieg auf einen Alternativbrowser empfohlen, firefox. Opera oder Mozilla. Und vor allem in der Tat das Winupdate!

Hüttendoof 11.08.2004 12:18
Ich habe den Haken bei "geschützte Systemdateien ausblenden" entfernt. Ich sehe aber "Inhalte von Systemordnern" nicht, kann also auch keinen Haken setzen. Im abgesicherten Modus erscheint die Datei weder im Log noch in dem entsprechenden Ordner... die Sau. :pfui:

Ich sollte also wahrscheinlich mal mit den Updates anfangen?!

MountainKing 11.08.2004 12:56
Ja, Updaten solltest du so schnell wie möglich. Kannst du die Datei denn im normalen Modus sehen und löschen? Eventuell muss ein dazugehöriger Eintrag im Taskmanager deaktiviert werden.

Hüttendoof 12.08.2004 08:41
So, ich habe gestern noch tüchtig upgedated. Geiles Wort.

Aber es bleibt dabei, im abgesicherten erschent der Agent nicht im Log, die Datei winpgbk.dll ist im System32 Ordner nicht zu finden, im normalen Modus kann ich die 020 zwar fixen, bringt aber nichts weil der Eintrag beim nächsten Scan sofort wieder da ist. :confused:

Logfile of HijackThis v1.98.0
Scan saved at 09:33:52, on 12.08.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\FnUtil\Launch Manager\hotkeyex.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINNT\System32\ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\NavNT\defwatch.exe
C:\WINNT\system32\cba\pds.exe
C:\Programme\NavNT\rtvscan.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\cba\xfr.exe
C:\WINNT\system32\MsgSys.EXE
C:\WINNT\Explorer.EXE
C:\WINNT\system32\Atiptaxx.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\FnUtil\Launch Manager\LaunchAp.exe
C:\Programme\Acer\Powerkey\Powerkey.exe
C:\WINNT\System32\Keymap.exe
C:\WINNT\system32\PRPCUI.exe
C:\Programme\NavNT\vptray.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\system32\internat.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Lotus\Notes\NLNOTES.EXE
C:\Lotus\Notes\nhldaemn.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\thellmann\Eigene Dateien\Progs\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tagesschau.de/
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\FnUtil\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [AcerPowerkey] "C:\Programme\Acer\Powerkey\Powerkey.exe"
O4 - HKLM\..\Run: [KEYMAP] C:\WINNT\System32\Keymap.exe
O4 - HKLM\..\Run: [PRPCMonitor] PRPCUI.exe
O4 - HKLM\..\Run: [vptray] C:\Programme\NavNT\vptray.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = actum.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{38D78FA1-AC8F-4DF1-9DF2-3F619C70EB3E}: Domain = actum.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{38D78FA1-AC8F-4DF1-9DF2-3F619C70EB3E}: NameServer = 10.3.2.2,212.63.33.66
O17 - HKLM\System\CCS\Services\Tcpip\..\{CAC809B8-D723-4CA8-A6F7-A864E427CF77}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = actum.de
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = actum.de
O18 - Protocol: saphtmlp - {D1F8BD1E-7967-11D2-B43A-006094B9EADB} - C:\Programme\SAPpc\frontend\Controls\saphtmlp.dll
O18 - Protocol: sapr3 - {D1F8BD1E-7967-11D2-B43A-006094B9EADB} - C:\Programme\SAPpc\frontend\Controls\saphtmlp.dll
O18 - Filter: text/html - {EE7A946E-61FA-4979-87B8-A6C462E6FA62} - C:\WINNT\digfilt.dll
O20 - AppInit_DLLs: C:\WINNT\System32\winpgbk.dll

Hüttendoof 13.08.2004 08:19
Anyone? Please?

MountainKing 13.08.2004 09:02
Schalte die Systemwiederherstellung aus:

http://www.systemwiederherstellung-d...indows-xp.html

dann fixe den Eintrag, lösche die Datei und starte neu. Dann müsste es weg sein und du kannst die Wiederherstellung wieder aktivieren.

Fixe und lösche (!) auch:

O18 - Filter: text/html - {EE7A946E-61FA-4979-87B8-A6C462E6FA62} - C:\WINNT\digfilt.dll

und fixe

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT

Hüttendoof 13.08.2004 10:16
Nochmals Dank für Deine Zeit und Mühe!

Ich habe beide Einträge im abgesicherten gefixt.

Die Datei digfilt.dll konnte ich aber auch nicht löschen, sie ist im WINNT Ordner nicht zu lokalisieren.

Das Abschalten der Systemwiederherstellung muß bei Win2000 irgendwie anders funktionieren, laut Hilfe gibt es eine sogenannte Wiederherstellungskonsole die angeblich mit dem Befehl mmc/a aufgerufen werden kann, das klappt aber auch nicht. (Meldung: Die Datei mmc/a wurde nicht gefunden)

:pukeface:

Logfile of HijackThis v1.98.0
Scan saved at 11:06:59, on 13.08.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\FnUtil\Launch Manager\hotkeyex.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINNT\System32\ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\NavNT\defwatch.exe
C:\WINNT\system32\cba\pds.exe
C:\Programme\NavNT\rtvscan.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\cba\xfr.exe
C:\WINNT\system32\MsgSys.EXE
C:\WINNT\Explorer.EXE
C:\WINNT\system32\wuauclt.exe
C:\WINNT\system32\Atiptaxx.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\FnUtil\Launch Manager\LaunchAp.exe
C:\Programme\Acer\Powerkey\Powerkey.exe
C:\WINNT\System32\Keymap.exe
C:\WINNT\system32\PRPCUI.exe
C:\Programme\NavNT\vptray.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\system32\internat.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\thellmann\Eigene Dateien\Progs\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tagesschau.de/
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\FnUtil\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [AcerPowerkey] "C:\Programme\Acer\Powerkey\Powerkey.exe"
O4 - HKLM\..\Run: [KEYMAP] C:\WINNT\System32\Keymap.exe
O4 - HKLM\..\Run: [PRPCMonitor] PRPCUI.exe
O4 - HKLM\..\Run: [vptray] C:\Programme\NavNT\vptray.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = actum.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{38D78FA1-AC8F-4DF1-9DF2-3F619C70EB3E}: Domain = actum.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{38D78FA1-AC8F-4DF1-9DF2-3F619C70EB3E}: NameServer = 10.3.2.2,212.63.33.66
O17 - HKLM\System\CCS\Services\Tcpip\..\{CAC809B8-D723-4CA8-A6F7-A864E427CF77}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = actum.de
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = actum.de
O18 - Protocol: saphtmlp - {D1F8BD1E-7967-11D2-B43A-006094B9EADB} - C:\Programme\SAPpc\frontend\Controls\saphtmlp.dll
O18 - Protocol: sapr3 - {D1F8BD1E-7967-11D2-B43A-006094B9EADB} - C:\Programme\SAPpc\frontend\Controls\saphtmlp.dll
O20 - AppInit_DLLs: C:\WINNT\System32\winpgbk.dll

Rene-gad 13.08.2004 11:11
Zitat:
Die Datei digfilt.dll konnte ich aber auch nicht löschen, sie ist im WINNT Ordner nicht zu lokalisieren.
Die taucht mittlerweile nicht mehr auf, oder ?
Zitat:
Das Abschalten der Systemwiederherstellung muß bei Win2000 irgendwie anders funktionieren
Um Etwas abzuschalten muss man dieses Etwas haben. Bei Win2k gibt es nämlich die Systemwiederherstellung nicht.
Wiederherstellungskonsole soll AFAIK eingerichtet werden, nur dann steht die notfalls zur Verfügung.

Zitat:
O20 - AppInit_DLLs: C:\WINNT\System32\winpgbk.dll
Diesen Eintrag wurde schon am 11.08 um 11:56 von MountalinKing zum fixen verurteilt.

MountainKing 13.08.2004 12:03
Bah, sorry wegen der Verwirrung mit der Wiederherstellung, hab ich wieder überlesen.


Alle Zeitangaben in WEZ +1. Es ist jetzt 04:19 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131