Trojaner eingehandelt |
||
|---|---|---|
| #0
| ||
|
07.07.2004, 16:08
...neu hier
Beiträge: 3 |
||
 
|
|
|
|
07.07.2004, 16:18
Member
Beiträge: 80 |
#2
Mach zuerst alle vorhandenen Windows Updates drauf
http://v4.windowsupdate.microsoft.com/de/default.asp Fixe dann folgende Einträge: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://be.agilent.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\pgpff.dll/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://pgpff.dll/index.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://pgpff.dll/index.html#37 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\system32\pgp R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\pgpff.dll/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://pgpff.dll/index.html#37049 R3 - Default URLSearchHook is missing O4 - HKCU\..\Run: [SIDEBAR] "C:\Program Files\Desktop Sidebar\sidebar.exe" O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = agilent.com O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = agilent.com O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = agilent.com Lösche dann die Datei C:\Program Files\Desktop Sidebar\sidebar.exe Manche Programme kenne ich überhaupt nicht da musst du dann nochmal die richtigen Profis ranlassen  Mach die Updates von Norton drauf und scanne im Abgesicherten Modus. Besorge dir Adaware, Cwshredder und Spybot, Update diese Programme und lösche alle was sie finden. __________ lg Geri |
|
|
|
|
|
|
07.07.2004, 17:29
...neu hier
Themenstarter Beiträge: 3 |
#3
Hallo Geri,
vielen Dank für die Info. Ich habe alles so gemacht wie vorgeschlagen, leider ohne Erfolg. Die Einträge in der Registry erscheinen immer wieder sobald ich den Internet Explorer starte. Es muss irgend ein File (dll oder exe) geben, dass mir die Registry Einträge überschreibt. Ich habe nur leider noch nicht herausgefunden wo das File is und wie es heisst. Einen Suche nach modifzierten Files blieb bis jetzt erfolglos. Irgenwelche weiteren Hinweise? Eine zusätzliche Frage: Wissen Sie ob diese Pferdchen ausser dass sie unheimlich lästig sind, noch einen weiteren Schaden anrichten können? Mit fällt nämlich auf, dass beim starten meines PC's manchmal ein Prozess gestartet wird, der scih selbst vervielfältigt. Ich muss dann den PC nochmal neu starten damit ich überhaupt auf den Desktop komme. Ein weiterer Punkt der mir aufgefallen ist, dass von Zeit zu Zeit eine Fehlermeldun erscheint File not found Shell.dll. Dieses File ist aber definitiv in Windows/System32 vorhanden Vielen Dank für die Unterstützung Franz |
|
|
|
|
|
|
07.07.2004, 17:55
Member
Beiträge: 80 |
#4
Ok,
Dann anders kopier dir das was ich oben gepostet habe in ein Word dokument oder ähnliches und starte im Abgesicherten Modus (beim booten F8 drücken) und fixe die von mir bereits genannten einträge (siehst du dann im Word file da du im Abgesicherten modus nicht aufs inet zugreifen kannst) dann sollte es funktionieren. Ansonsten hast du alles upgedatet? Beschreib am besten kurz was du bereits gemacht hast. Überprüfe diese Dateien mit dem Kaspersky online scanner (falls die Dateien zu groß sind in ein .zip oder .rar file packen) C:\HP\IDA\IDA.EXE C:\WINNT\system32\HpMmKbd.exe C:\Agilent\adci\adcist.exe C:\HP\IDA\IDASched.exe C:\WINNT\system32\winrb32.exe C:\WINNT\syspr.exe C:\ADS2003C\bin\hpeesofemx.exe C:\ADS2003C\bin\hpeesofde.exe C:\ADS2003C\bin\hpeesofhelp.exe C:\ADS2003C\bin\hpeesofdds.exe C:\ADS2003C\bin\hpeesofbrowser.exe Poste dann bitte von jeder infizierten Datei das Ergebnis. __________ lg Geri |
|
|
|
|
|
|
08.07.2004, 09:32
...neu hier
Themenstarter Beiträge: 3 |
#5
Hallo Geri,
vielen Dank für die Hilfe. Ich bin das Pferdchen los. Ich habe aus der Registry den Eintrag: O2 - BHO: (no name) - {1B1F3958-E5DB-92DD-091C-BB28BEF48189} - C:\WINNT\mfccq32.dll gelöscht und damit war der Spuk zu ende. Ein anschliessender Vierenscan brachte 4 infizierte Dateien 2 .dat und 2 .exe. Interessant dabei ist nur, dass mein normaler Virenscanner (Norton Antivirus) keinen Alarm gegeben hat. Nur ein Freeware tool hat die Dateien gefunden. Durch den Vierenscanner wurden die Dateien gelöscht, was mir jetzt das Problem eingebracht hat, dass mein Taskmanager keine umschalt Tabs mehr hat. Ich sehe nur noch die Liste der laufenden Prozesse und kann den Taskmanager nur noch beenden indem ich ihn abschiesse, wobei aber jedesmal ein Fensterchen auf dem Taskbar übrigbleibt. Nochmal vielen Dank und ich hoffe, dass Sie nicht noch vielen anderen helfen müssen solche Probleme zu lösen. Franz |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Seite(n): 1
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
hier ist wieder einer der siche einen Trojaner eingehandelt hat.
Dank Eurer Hilfe habe ich schon mals das Tool HiJack gefunden.
Hier das Logfile.
Bitte sagt mir wie ich weiter vorgehen muss, damit ich das Pferdchen wieder los werde.
Vielen Dank schon mal für Eure Hilfe
Franz
Logfile of HijackThis v1.98.0
Scan saved at 3:53:46 PM, on 7/7/2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.51 SP2 (5.51.4807.2300)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\Program Files\Sygate\SSA\smc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\ati2evxx.exe
c:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\WINNT\System32\svchost.exe
c:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\Atiptaxx.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\HP\IDA\IDA.EXE
C:\WINNT\system32\HpMmKbd.exe
C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\vptray.exe
C:\Agilent\adci\adcist.exe
C:\WINNT\system32\internat.exe
C:\HP\IDA\IDASched.exe
C:\WINNT\system32\winrb32.exe
C:\WINNT\syspr.exe
C:\PROGRA~1\MICROS~2\Office\OUTLOOK.EXE
C:\Program Files\Common Files\System\MAPI\1033\nt\MAPISP32.EXE
C:\ADS2003C\bin\hpeesofemx.exe
C:\ADS2003C\bin\hpeesofde.exe
C:\ADS2003C\bin\hpeesofhelp.exe
C:\ADS2003C\bin\hpeesofdds.exe
C:\ADS2003C\bin\hpeesofbrowser.exe
D:\Hacker\HijackThis.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://be.agilent.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\pgpff.dll/sp.html#37049
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://pgpff.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://pgpff.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\system32\pgpff.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\pgpff.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://pgpff.dll/index.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by Agilent Technologies, Inc.
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://autoproxy.germany.agilent.com/autoproxy/autoproxy
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = web-proxy:8088
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.agilent.com;*.cos.agilent.com;*.it.agilent.com;be.agilent.com;erp*.corporate.agilent.com;victor*.europe.agilent.com;<local>
R3 - Default URLSearchHook is missing
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,
O2 - BHO: (no name) - {1B1F3958-E5DB-92DD-091C-BB28BEF48189} - C:\WINNT\mfccq32.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IDA] C:\HP\IDA\IDA.EXE
O4 - HKLM\..\Run: [adcius.exe] c:\Agilent\adci\adcius.exe
O4 - HKLM\..\Run: [HpMmKbd] HpMmKbd.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [vptray] c:\Program Files\Symantec_Client_Security\Symantec AntiVirus\vptray.exe
O4 - HKLM\..\Run: [Alle meine Passworte] C:\PROGRA~1\AMP\AMP.EXE
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SSA\smc.exe -startgui
O4 - HKLM\..\Run: [LAAM] c:\Agilent\bin\s_user.exe
O4 - HKLM\..\Run: [syspr.exe] C:\WINNT\syspr.exe
O4 - HKLM\..\RunOnce: [winrb32.exe] C:\WINNT\system32\winrb32.exe
O4 - HKLM\..\RunOnce: [ACMWrapperV2.dll] c:\winnt\system32\regsvr32.exe /s "C:\Program Files\Common Files\Adaptec Shared\CDEngine\ACMWrapperV2.dll"
O4 - HKLM\..\RunOnce: [MediaPlayerV2.dll] c:\winnt\system32\regsvr32.exe /s "C:\Program Files\Common Files\Adaptec Shared\CDEngine\MediaPlayerV2.dll"
O4 - HKLM\..\RunOnce: [driversV2.dll] c:\winnt\system32\regsvr32.exe /s "C:\Program Files\Common Files\Adaptec Shared\CDEngine\driversV2.dll"
O4 - HKLM\..\RunOnce: [Cdbootable.dll] c:\winnt\system32\regsvr32.exe /s "C:\Program Files\Common Files\Adaptec Shared\CreatorAPI\Cdbootable.dll"
O4 - HKLM\..\RunOnce: [cdDataPS.dll] c:\winnt\system32\regsvr32.exe /s "C:\Program Files\Common Files\Adaptec Shared\CreatorAPI\cdDataPS.dll"
O4 - HKLM\..\RunOnce: [cdExtra.dll] c:\winnt\system32\regsvr32.exe /s "C:\Program Files\Common Files\Adaptec Shared\CreatorAPI\cdExtra.dll"
O4 - HKLM\..\RunOnce: [cdmp3.dll] c:\winnt\system32\regsvr32.exe /s "C:\Program Files\Common Files\Adaptec Shared\CreatorAPI\cdmp3.dll"
O4 - HKLM\..\RunOnce: [database.dll] c:\winnt\system32\regsvr32.exe /s "C:\Program Files\Common Files\Adaptec Shared\CreatorAPI\database.dll"
O4 - HKLM\..\RunOnce: [ISO9660.dll] c:\winnt\system32\regsvr32.exe /s "C:\Program Files\Common Files\Adaptec Shared\CreatorAPI\ISO9660.dll"
O4 - HKLM\..\RunOnce: [Joliet.dll] c:\winnt\system32\regsvr32.exe /s "C:\Program Files\Common Files\Adaptec Shared\CreatorAPI\Joliet.dll"
O4 - HKLM\..\RunOnce: [Udf.dll] c:\winnt\system32\regsvr32.exe /s "C:\Program Files\Common Files\Adaptec Shared\CreatorAPI\Udf.dll"
O4 - HKLM\..\RunOnce: [creator.dll] c:\winnt\system32\regsvr32.exe /s "C:\Program Files\Common Files\Adaptec Shared\CreatorAPI\creator.dll"
O4 - HKLM\..\RunOnce: [Translator.dll] c:\winnt\system32\regsvr32.exe /s "C:\Program Files\Common Files\Adaptec Shared\CreatorAPI\Translator.dll"
O4 - HKLM\..\RunOnce: [CDEngine.dll] c:\winnt\system32\regsvr32.exe /s "C:\Program Files\Common Files\Adaptec Shared\CDEngine\CDEngine.dll"
O4 - HKLM\..\RunOnce: [WMC_RebootCheck] C:\WINNT\inf\unregmp2.exe /FixUps
O4 - HKCU\..\Run: [adcist.exe] c:\Agilent\adci\adcist.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [SIDEBAR] "C:\Program Files\Desktop Sidebar\sidebar.exe"
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - (no file)
O9 - Extra 'Tools' menuitem: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - (no file)
O12 - Plugin for .rx: C:\Program Files\Internet Explorer\Plugins\iewrqxrx.dll
O12 - Plugin for .rxc: C:\Program Files\Internet Explorer\Plugins\iewrqxrx.dll
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = agilent.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = agilent.com
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = agilent.com
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINNT\msopt.dll