Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Backdoor Agent B - Bitte um Hilfe!

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 11.08.2004, 09:33   #1
Hüttendoof
 
Backdoor Agent B - Bitte um Hilfe! - Icon16

Backdoor Agent B - Bitte um Hilfe!



Liebes Forum,

ich bitte um Hilfe! Eingefangen habe ich mir den Backdoor Agent B, ich habe bereits Eure Forumsbeiträge zum Thema gelesen, das hilft mir als Hüttendoof aber nicht wirklich weiter. Ganz toll wäre eine etwas detailliertere Anleitung um den blöden Agenten wieder los zu werden.

Norton gibt beim Start eines beliebigen Programms immer die Meldung

Virusname: Backdoor.Agent.B
Datei: C:\WINNT\System32\winpgbk.dll
Ablageort: C:\WINNT\System32
Durchgeführte Aktion: Säubern fehlgeschlagen : Isolieren fehlgeschlagen

Bei einem Scan im abgesicherten Modus wird der Eintrag von HiJack nicht angezeigt. Im normalen Modus läßt sich der Eintrag 020 zwar fixen, er erscheint aber immer wieder. In der Registry habe ich noch nie rumgefummelt, ich kenne mich echt nicht gut aus... Kann sich jemand die Zeit nehmen mir zu helfen?

Vielen Dank im Voraus!

Logfile of HijackThis v1.98.0
Scan saved at 10:28:54, on 11.08.2004
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\FnUtil\Launch Manager\hotkeyex.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINNT\System32\ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\NavNT\defwatch.exe
C:\WINNT\system32\cba\pds.exe
C:\Programme\NavNT\rtvscan.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\cba\xfr.exe
C:\WINNT\system32\MsgSys.EXE
C:\WINNT\Explorer.EXE
C:\WINNT\System32\Atiptaxx.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\FnUtil\Launch Manager\LaunchAp.exe
C:\Programme\Acer\Powerkey\Powerkey.exe
C:\WINNT\System32\Keymap.exe
C:\WINNT\System32\PRPCUI.exe
C:\Programme\NavNT\vptray.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\System32\internat.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\thellmann\Eigene Dateien\Progs\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tagesschau.de/
O2 - BHO: MyObj Class - {275636E4-A535-4668-9FF1-86DC0C62D446} - C:\WINNT\madopew.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: IRDIXAObj Class - {f760cb9e-c60f-4a89-890e-fae8b849493e} - C:\WINNT\madise.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\FnUtil\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [AcerPowerkey] "C:\Programme\Acer\Powerkey\Powerkey.exe"
O4 - HKLM\..\Run: [KEYMAP] C:\WINNT\System32\Keymap.exe
O4 - HKLM\..\Run: [Winupdate] regedit /s C:\Winnt\Discover.reg
O4 - HKLM\..\Run: [PRPCMonitor] PRPCUI.exe
O4 - HKLM\..\Run: [vptray] C:\Programme\NavNT\vptray.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [winlogon] c:\winnt\winserv.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - http://install.global-netcom.de/ieloader.cab
O16 - DPF: {f760cb9e-c60f-4a89-890e-fae8b849493e} (IRDIXAObj Class) -
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = actum.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{38D78FA1-AC8F-4DF1-9DF2-3F619C70EB3E}: Domain = actum.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{38D78FA1-AC8F-4DF1-9DF2-3F619C70EB3E}: NameServer = 10.3.2.2,212.63.33.66
O17 - HKLM\System\CCS\Services\Tcpip\..\{CAC809B8-D723-4CA8-A6F7-A864E427CF77}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = actum.de
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = actum.de
O18 - Protocol: saphtmlp - {D1F8BD1E-7967-11D2-B43A-006094B9EADB} - C:\Programme\SAPpc\frontend\Controls\saphtmlp.dll
O18 - Protocol: sapr3 - {D1F8BD1E-7967-11D2-B43A-006094B9EADB} - C:\Programme\SAPpc\frontend\Controls\saphtmlp.dll
O18 - Filter: text/html - {EE7A946E-61FA-4979-87B8-A6C462E6FA62} - C:\WINNT\digfilt.dll
O20 - AppInit_DLLs: C:\WINNT\System32\winpgbk.dll

Alt 11.08.2004, 10:56   #2
MountainKing
 
Backdoor Agent B - Bitte um Hilfe! - Standard

Backdoor Agent B - Bitte um Hilfe!



Zunächst mal dies ausführen

http://www.trojaner-board.de/42731-escan-anleitung.html

Dann ein neues Log machen und posten.

In deinem aktuellen wäre zu fixen (ebenfalls im abgesicherten Modus):

O2 - BHO: MyObj Class - {275636E4-A535-4668-9FF1-86DC0C62D446} - C:\WINNT\madopew.dll
O2 - BHO: IRDIXAObj Class - {f760cb9e-c60f-4a89-890e-fae8b849493e} - C:\WINNT\madise.dll
O4 - HKLM\..\Run: [Winupdate] regedit /s C:\Winnt\Discover.reg
O4 - HKCU\..\Run: [winlogon] c:\winnt\winserv.exe
O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - http://install.global-netcom
O16 - DPF: {f760cb9e-c60f-4a89-890e-fae8b849493e} (IRDIXAObj Class) -
O20 - AppInit_DLLs: C:\WINNT\System32\winpgbk.dll
__________________


Alt 11.08.2004, 11:23   #3
Hüttendoof
 
Backdoor Agent B - Bitte um Hilfe! - Standard

Backdoor Agent B - Bitte um Hilfe!



Danke, MountainKing!

Ich habe jetzt escan im abgesicherten laufen lassen und es hat wohl ganz ordentlich aufgeräumt. Den ollen Agenten habe ich aber immer noch.

Hier das aktuelle Log, und noch mal vielen Dank für Deine Mühe!

Logfile of HijackThis v1.98.0
Scan saved at 12:15:14, on 11.08.2004
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\FnUtil\Launch Manager\hotkeyex.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINNT\System32\ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\NavNT\defwatch.exe
C:\WINNT\system32\cba\pds.exe
C:\Programme\NavNT\rtvscan.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\cba\xfr.exe
C:\WINNT\system32\MsgSys.EXE
C:\WINNT\Explorer.EXE
C:\WINNT\System32\Atiptaxx.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\FnUtil\Launch Manager\LaunchAp.exe
C:\Programme\Acer\Powerkey\Powerkey.exe
C:\WINNT\System32\Keymap.exe
C:\WINNT\System32\PRPCUI.exe
C:\Programme\NavNT\vptray.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\System32\internat.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\thellmann\Eigene Dateien\Progs\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tagesschau.de/
O2 - BHO: MyObj Class - {275636E4-A535-4668-9FF1-86DC0C62D446} - C:\WINNT\madopew.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\FnUtil\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [AcerPowerkey] "C:\Programme\Acer\Powerkey\Powerkey.exe"
O4 - HKLM\..\Run: [KEYMAP] C:\WINNT\System32\Keymap.exe
O4 - HKLM\..\Run: [Winupdate] regedit /s C:\Winnt\Discover.reg
O4 - HKLM\..\Run: [PRPCMonitor] PRPCUI.exe
O4 - HKLM\..\Run: [vptray] C:\Programme\NavNT\vptray.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - http://install.global-netcom.de/ieloader.cab
O16 - DPF: {f760cb9e-c60f-4a89-890e-fae8b849493e} (IRDIXAObj Class) -
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = actum.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{38D78FA1-AC8F-4DF1-9DF2-3F619C70EB3E}: Domain = actum.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{38D78FA1-AC8F-4DF1-9DF2-3F619C70EB3E}: NameServer = 10.3.2.2,212.63.33.66
O17 - HKLM\System\CCS\Services\Tcpip\..\{CAC809B8-D723-4CA8-A6F7-A864E427CF77}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = actum.de
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = actum.de
O18 - Protocol: saphtmlp - {D1F8BD1E-7967-11D2-B43A-006094B9EADB} - C:\Programme\SAPpc\frontend\Controls\saphtmlp.dll
O18 - Protocol: sapr3 - {D1F8BD1E-7967-11D2-B43A-006094B9EADB} - C:\Programme\SAPpc\frontend\Controls\saphtmlp.dll
O18 - Filter: text/html - {EE7A946E-61FA-4979-87B8-A6C462E6FA62} - C:\WINNT\digfilt.dll
O20 - AppInit_DLLs: C:\WINNT\System32\winpgbk.dll
__________________

Alt 11.08.2004, 11:32   #4
Rene-gad
 
Backdoor Agent B - Bitte um Hilfe! - Standard

Backdoor Agent B - Bitte um Hilfe!



Hallo
Zitat:
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Das Ganze hat gar keinen Sinn, bevor du dein Win und IE nicht entsprechend updatest.
Außerdem, du hast nicht alles gefixt, was der MountainKing dir gesagt hat.
Zitat:
O2 - BHO: MyObj Class - {275636E4-A535-4668-9FF1-86DC0C62D446} - C:\WINNT\madopew.dll
O2 - BHO: IRDIXAObj Class - {f760cb9e-c60f-4a89-890e-fae8b849493e} - C:\WINNT\madise.dll
O4 - HKLM\..\Run: [Winupdate] regedit /s C:\Winnt\Discover.reg
O4 - HKCU\..\Run: [winlogon] c:\winnt\winserv.exe
O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - http://install.global-netcom
O16 - DPF: {f760cb9e-c60f-4a89-890e-fae8b849493e} (IRDIXAObj Class) -
O20 - AppInit_DLLs: C:\WINNT\System32\winpgbk.dll

Alt 11.08.2004, 11:33   #5
MountainKing
 
Backdoor Agent B - Bitte um Hilfe! - Standard

Backdoor Agent B - Bitte um Hilfe!



Ok, zu fixen sind:

O2 - BHO: MyObj Class - {275636E4-A535-4668-9FF1-86DC0C62D446} - C:\WINNT\madopew.dll
O4 - HKLM\..\Run: [Winupdate] regedit /s C:\Winnt\Discover.reg
O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - http://install.global-netcom
O16 - DPF: {f760cb9e-c60f-4a89-890e-fae8b849493e} (IRDIXAObj Class) -
O20 - AppInit_DLLs: C:\WINNT\System32\winpgbk.dll

Falls diese letzte Datei im abgesicherten Modus nicht erscheint, lösche sie im selben Modus per Hand. Dazu musst du eventuell erst das Anzeigen von Systemdateien aktivieren: im Explorer auf Extras/Ordneroptionen/Ansicht und dann Häkchen bei Geschützte Systemdateien ausblenden ENTFERNEN und bei Inhalte von Systemordnern EINFÜGEN.
Ich nehme an, diese www.actum.de ist eine von dir eingestellte bzw. frequentierte Seite?
Für die Zukunft sei auf jedne Fall schon mal der Umstieg auf einen Alternativbrowser empfohlen, firefox. Opera oder Mozilla. Und vor allem in der Tat das Winupdate!


Alt 11.08.2004, 12:18   #6
Hüttendoof
 
Backdoor Agent B - Bitte um Hilfe! - Standard

Backdoor Agent B - Bitte um Hilfe!



Ich habe den Haken bei "geschützte Systemdateien ausblenden" entfernt. Ich sehe aber "Inhalte von Systemordnern" nicht, kann also auch keinen Haken setzen. Im abgesicherten Modus erscheint die Datei weder im Log noch in dem entsprechenden Ordner... die Sau.

Ich sollte also wahrscheinlich mal mit den Updates anfangen?!

Alt 11.08.2004, 12:56   #7
MountainKing
 
Backdoor Agent B - Bitte um Hilfe! - Standard

Backdoor Agent B - Bitte um Hilfe!



Ja, Updaten solltest du so schnell wie möglich. Kannst du die Datei denn im normalen Modus sehen und löschen? Eventuell muss ein dazugehöriger Eintrag im Taskmanager deaktiviert werden.

Alt 12.08.2004, 08:41   #8
Hüttendoof
 
Backdoor Agent B - Bitte um Hilfe! - Standard

Backdoor Agent B - Bitte um Hilfe!



So, ich habe gestern noch tüchtig upgedated. Geiles Wort.

Aber es bleibt dabei, im abgesicherten erschent der Agent nicht im Log, die Datei winpgbk.dll ist im System32 Ordner nicht zu finden, im normalen Modus kann ich die 020 zwar fixen, bringt aber nichts weil der Eintrag beim nächsten Scan sofort wieder da ist.

Logfile of HijackThis v1.98.0
Scan saved at 09:33:52, on 12.08.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\FnUtil\Launch Manager\hotkeyex.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINNT\System32\ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\NavNT\defwatch.exe
C:\WINNT\system32\cba\pds.exe
C:\Programme\NavNT\rtvscan.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\cba\xfr.exe
C:\WINNT\system32\MsgSys.EXE
C:\WINNT\Explorer.EXE
C:\WINNT\system32\Atiptaxx.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\FnUtil\Launch Manager\LaunchAp.exe
C:\Programme\Acer\Powerkey\Powerkey.exe
C:\WINNT\System32\Keymap.exe
C:\WINNT\system32\PRPCUI.exe
C:\Programme\NavNT\vptray.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\system32\internat.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Lotus\Notes\NLNOTES.EXE
C:\Lotus\Notes\nhldaemn.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\thellmann\Eigene Dateien\Progs\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tagesschau.de/
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\FnUtil\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [AcerPowerkey] "C:\Programme\Acer\Powerkey\Powerkey.exe"
O4 - HKLM\..\Run: [KEYMAP] C:\WINNT\System32\Keymap.exe
O4 - HKLM\..\Run: [PRPCMonitor] PRPCUI.exe
O4 - HKLM\..\Run: [vptray] C:\Programme\NavNT\vptray.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = actum.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{38D78FA1-AC8F-4DF1-9DF2-3F619C70EB3E}: Domain = actum.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{38D78FA1-AC8F-4DF1-9DF2-3F619C70EB3E}: NameServer = 10.3.2.2,212.63.33.66
O17 - HKLM\System\CCS\Services\Tcpip\..\{CAC809B8-D723-4CA8-A6F7-A864E427CF77}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = actum.de
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = actum.de
O18 - Protocol: saphtmlp - {D1F8BD1E-7967-11D2-B43A-006094B9EADB} - C:\Programme\SAPpc\frontend\Controls\saphtmlp.dll
O18 - Protocol: sapr3 - {D1F8BD1E-7967-11D2-B43A-006094B9EADB} - C:\Programme\SAPpc\frontend\Controls\saphtmlp.dll
O18 - Filter: text/html - {EE7A946E-61FA-4979-87B8-A6C462E6FA62} - C:\WINNT\digfilt.dll
O20 - AppInit_DLLs: C:\WINNT\System32\winpgbk.dll

Alt 13.08.2004, 08:19   #9
Hüttendoof
 
Backdoor Agent B - Bitte um Hilfe! - Standard

Backdoor Agent B - Bitte um Hilfe!



Anyone? Please?

Alt 13.08.2004, 09:02   #10
MountainKing
 
Backdoor Agent B - Bitte um Hilfe! - Standard

Backdoor Agent B - Bitte um Hilfe!



Schalte die Systemwiederherstellung aus:

http://www.systemwiederherstellung-d...indows-xp.html

dann fixe den Eintrag, lösche die Datei und starte neu. Dann müsste es weg sein und du kannst die Wiederherstellung wieder aktivieren.

Fixe und lösche (!) auch:

O18 - Filter: text/html - {EE7A946E-61FA-4979-87B8-A6C462E6FA62} - C:\WINNT\digfilt.dll

und fixe

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT

Alt 13.08.2004, 10:16   #11
Hüttendoof
 
Backdoor Agent B - Bitte um Hilfe! - Standard

Backdoor Agent B - Bitte um Hilfe!



Nochmals Dank für Deine Zeit und Mühe!

Ich habe beide Einträge im abgesicherten gefixt.

Die Datei digfilt.dll konnte ich aber auch nicht löschen, sie ist im WINNT Ordner nicht zu lokalisieren.

Das Abschalten der Systemwiederherstellung muß bei Win2000 irgendwie anders funktionieren, laut Hilfe gibt es eine sogenannte Wiederherstellungskonsole die angeblich mit dem Befehl mmc/a aufgerufen werden kann, das klappt aber auch nicht. (Meldung: Die Datei mmc/a wurde nicht gefunden)



Logfile of HijackThis v1.98.0
Scan saved at 11:06:59, on 13.08.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\FnUtil\Launch Manager\hotkeyex.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINNT\System32\ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\NavNT\defwatch.exe
C:\WINNT\system32\cba\pds.exe
C:\Programme\NavNT\rtvscan.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\cba\xfr.exe
C:\WINNT\system32\MsgSys.EXE
C:\WINNT\Explorer.EXE
C:\WINNT\system32\wuauclt.exe
C:\WINNT\system32\Atiptaxx.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\FnUtil\Launch Manager\LaunchAp.exe
C:\Programme\Acer\Powerkey\Powerkey.exe
C:\WINNT\System32\Keymap.exe
C:\WINNT\system32\PRPCUI.exe
C:\Programme\NavNT\vptray.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\system32\internat.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\thellmann\Eigene Dateien\Progs\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tagesschau.de/
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\FnUtil\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [AcerPowerkey] "C:\Programme\Acer\Powerkey\Powerkey.exe"
O4 - HKLM\..\Run: [KEYMAP] C:\WINNT\System32\Keymap.exe
O4 - HKLM\..\Run: [PRPCMonitor] PRPCUI.exe
O4 - HKLM\..\Run: [vptray] C:\Programme\NavNT\vptray.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = actum.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{38D78FA1-AC8F-4DF1-9DF2-3F619C70EB3E}: Domain = actum.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{38D78FA1-AC8F-4DF1-9DF2-3F619C70EB3E}: NameServer = 10.3.2.2,212.63.33.66
O17 - HKLM\System\CCS\Services\Tcpip\..\{CAC809B8-D723-4CA8-A6F7-A864E427CF77}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = actum.de
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = actum.de
O18 - Protocol: saphtmlp - {D1F8BD1E-7967-11D2-B43A-006094B9EADB} - C:\Programme\SAPpc\frontend\Controls\saphtmlp.dll
O18 - Protocol: sapr3 - {D1F8BD1E-7967-11D2-B43A-006094B9EADB} - C:\Programme\SAPpc\frontend\Controls\saphtmlp.dll
O20 - AppInit_DLLs: C:\WINNT\System32\winpgbk.dll

Alt 13.08.2004, 11:11   #12
Rene-gad
 
Backdoor Agent B - Bitte um Hilfe! - Standard

Backdoor Agent B - Bitte um Hilfe!



Zitat:
Die Datei digfilt.dll konnte ich aber auch nicht löschen, sie ist im WINNT Ordner nicht zu lokalisieren.
Die taucht mittlerweile nicht mehr auf, oder ?
Zitat:
Das Abschalten der Systemwiederherstellung muß bei Win2000 irgendwie anders funktionieren
Um Etwas abzuschalten muss man dieses Etwas haben. Bei Win2k gibt es nämlich die Systemwiederherstellung nicht.
Wiederherstellungskonsole soll AFAIK eingerichtet werden, nur dann steht die notfalls zur Verfügung.

Zitat:
O20 - AppInit_DLLs: C:\WINNT\System32\winpgbk.dll
Diesen Eintrag wurde schon am 11.08 um 11:56 von MountalinKing zum fixen verurteilt.

Alt 13.08.2004, 12:03   #13
MountainKing
 
Backdoor Agent B - Bitte um Hilfe! - Standard

Backdoor Agent B - Bitte um Hilfe!



Bah, sorry wegen der Verwirrung mit der Wiederherstellung, hab ich wieder überlesen.

Antwort

Themen zu Backdoor Agent B - Bitte um Hilfe!
abgesicherten modus, acer, appinit_dlls, backdoor, bho, bitte um hilfe, dateien, einstellungen, excel, explorer, google, helper, hijack, hijackthis, hilfe, ics, internet, internet explorer, launch, microsoft, programme, regedit, registry, scan, software, system, system32, tcpip, update, windows



Ähnliche Themen: Backdoor Agent B - Bitte um Hilfe!


  1. Win32:Backdoor-ACX[Trj] Trojaner greift PC an, bitte um Hilfe ._.
    Plagegeister aller Art und deren Bekämpfung - 13.02.2015 (7)
  2. Bitte um Hilfe wegen BackDoor Generic11.AKNN
    Plagegeister aller Art und deren Bekämpfung - 31.08.2009 (1)
  3. Backdoor.Bot in system32.exe das ist hart !hilfe bitte!
    Log-Analyse und Auswertung - 22.01.2009 (16)
  4. Trojan.Agent.AIVO sowie Backdoor.Bot4120 befall bei mir bitte Hilfe
    Plagegeister aller Art und deren Bekämpfung - 27.06.2008 (13)
  5. Generic6.YD, Dialer.22.AQ, Backdoor.Agent.GAF, wer traut sich da ne Hilfe zu?
    Plagegeister aller Art und deren Bekämpfung - 06.11.2007 (1)
  6. Hilfe gegen Trojaner TR\Agent.aec bzw. Backdoor.Win32.Rukap.Gen
    Log-Analyse und Auswertung - 18.09.2007 (3)
  7. Bitte dringend um Hilfe, shangxing Backdoor!!!!!
    Log-Analyse und Auswertung - 27.08.2007 (11)
  8. Backdoor Pcclient oder nicht? Bitte um Hilfe.
    Plagegeister aller Art und deren Bekämpfung - 25.07.2007 (4)
  9. Backdoor.Win32.Bitforse.aej Bitte um Hilfe!!!
    Plagegeister aller Art und deren Bekämpfung - 16.05.2007 (5)
  10. Backdoor Angriff ? Bitte um Hilfe
    Plagegeister aller Art und deren Bekämpfung - 09.05.2007 (4)
  11. Bitte um Hilfe: backdoor.botget.ftpa.gen (& das Logfile)
    Log-Analyse und Auswertung - 11.04.2007 (3)
  12. bitte um hilfe mit: backdoor.win32.hacdef.bo
    Log-Analyse und Auswertung - 21.10.2005 (8)
  13. HILFE Antivir findet Backdoor BDS/Agent.AY
    Plagegeister aller Art und deren Bekämpfung - 24.05.2005 (3)
  14. Verdacht auf unbekannten Backdoor-Trojaner: Bitte um Hilfe !
    Plagegeister aller Art und deren Bekämpfung - 15.05.2005 (1)
  15. Bitte Helfen, Backdoor BDS/Agent.ay
    Log-Analyse und Auswertung - 02.01.2005 (7)
  16. hilfe zwecks Backdoor BDS/Agent.AY
    Log-Analyse und Auswertung - 30.11.2004 (11)
  17. Backdoor Agent.AY - bitte Log anschauen
    Log-Analyse und Auswertung - 06.10.2004 (7)

Zum Thema Backdoor Agent B - Bitte um Hilfe! - Liebes Forum, ich bitte um Hilfe! Eingefangen habe ich mir den Backdoor Agent B, ich habe bereits Eure Forumsbeiträge zum Thema gelesen, das hilft mir als Hüttendoof aber nicht wirklich - Backdoor Agent B - Bitte um Hilfe!...
Archiv
Du betrachtest: Backdoor Agent B - Bitte um Hilfe! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.