Trojaner im Recycler und Logfile

paranoid3000 · 27.12.2004, 21:57

Als Neuling in der Runde wollt ich mal ein freundliche sHallo in die Runde schicken!
...und euch natürlich gleich mal um Hilfe bitten.

Was PC-Technik und PC-Sicherheit angeht, hab ich mich bischer immer als "Poweruser" bezeichnet, aber nu ist das wohl doch anders...;-)

Bei uns laufen täglich verschieden Scanner über die Platte (SpySweeper, A-Squared, eScan/mwav, Ad-Aware/Lavasoft und SpyBot), Spybot und Spysweeper auch mit ihren resistenten Parts und Antivir natürlich auch noch.
War bisher die preisgünstigste und wie ich fand auch sicherste Methode.
Doch heut gabs eine Meldung von eScan, dass wir einen Trojaner auf der Maschine haben und zwar im Recycled-Ordner/Mülleimer. Dieser ist aber weder dort zu finden noch durch Leeren des Mülleimers zu entfernen.

Ich hoffe, Ihr könnt mir bei dieser "Herausforderung" helfen.

eScan Meldung und HijackThis-Log wie folgt:

eScan:
File C:\Recycled\Q330995.exe infected by "Trojan-Downloader.Win32.Agent.ew" Virus. Action Taken: No Action Taken.

HijackThis-Log :
StartupList report, 27.12.2004, 21:58:22
StartupList version: 1.52.2
Started from : C:\basis\HijackThis.EXE
Detected: Windows XP SP1 (WinNT 5.01.2600)
Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106)
* Using default options
* Showing rarely important sections
==================================================

Running processes:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
d:\Programme\Kerio\Personal Firewall\persfw.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\CpuIdle\cpuidle.exe
D:\Programme\D-Tools\daemon.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\System32\taskmgr.exe
F:\emule\emule.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
d:\Programme\Winamp\Winamp.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\PROGRA~1\MICROS~1\Office10\OUTLOOK.EXE
D:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\WINDOWS\msagent\AgentSvr.exe
C:\basis\HijackThis.exe

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

CpuIdle = D:\Programme\CpuIdle\cpuidle.exe
DAEMON Tools-1033 = "D:\Programme\D-Tools\daemon.exe" -lang 1033
AVGCtrl = C:\Programme\AVPersonal\AVGNT.EXE /min

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

CTFMON.EXE = C:\WINDOWS\System32\ctfmon.exe
SpybotSD TeaTimer = D:\Programme\Spybot - Search & Destroy\TeaTimer.exe

--------------------------------------------------

Enumerating Active Setup stub paths:
HKLM\Software\Microsoft\Active Setup\Installed Components
(* = disabled by HKCU twin)

[>{22d6f312-b0f6-11d0-94ab-0080c74c7e95}]
StubPath = C:\WINDOWS\inf\unregmp2.exe /ShowWMP

[>{26923b43-4d38-484f-9b9e-de460746276c}] *
StubPath = %systemroot%\system32\shmgrate.exe OCInstallUserConfigIE

[>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}] *
StubPath = %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE

[{2C7339CF-2B09-4501-B3F3-F3508C9228ED}] *
StubPath = %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll

[{44BBA840-CC51-11CF-AAFA-00AA00B6015C}] *
StubPath = "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install

[{7790769C-0471-11d2-AF11-00C04FA35D02}] *
StubPath = "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install

[{89820200-ECBD-11cf-8B85-00AA005B4340}] *
StubPath = regsvr32.exe /s /n /i:U shell32.dll

[{89820200-ECBD-11cf-8B85-00AA005B4383}] *
StubPath = %SystemRoot%\system32\ie4uinit.exe

--------------------------------------------------

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe
SCRNSAVE.EXE=C:\WINDOWS\System32\logon.scr
drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry key not found*
HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------

Checking for EXPLORER.EXE instances:

C:\WINDOWS\Explorer.exe: PRESENT!

C:\Explorer.exe: not present
C:\WINDOWS\Explorer\Explorer.exe: not present
C:\WINDOWS\System\Explorer.exe: not present
C:\WINDOWS\System32\Explorer.exe: not present
C:\WINDOWS\Command\Explorer.exe: not present
C:\WINDOWS\Fonts\Explorer.exe: not present

--------------------------------------------------

Checking for superhidden extensions:

.lnk: HIDDEN! (arrow overlay: yes)
.pif: HIDDEN! (arrow overlay: yes)
.exe: not hidden
.com: not hidden
.bat: not hidden
.hta: not hidden
.scr: not hidden
.shs: HIDDEN!
.shb: HIDDEN!
.vbs: not hidden
.vbe: not hidden
.wsh: not hidden
.scf: HIDDEN! (arrow overlay: NO!)
.url: HIDDEN! (arrow overlay: yes)
.js: not hidden
.jse: not hidden

--------------------------------------------------

Enumerating Browser Helper Objects:

(no name) - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
(no name) - C:\Programme\IE URL Spoofing Patch\IEWorkaround3.dll - {08442457-929D-4522-AE24-9D3E4664A0C1}
(no name) - D:\PROGRA~1\SPYBOT~1\SDHelper.dll - {53707962-6F74-2D53-2644-206D7942484F}

--------------------------------------------------

Enumerating Windows NT/2000/XP services

Umgebung für die AFD-Netzwerkunterstützung: \SystemRoot\System32\drivers\afd.sys (autostart)
AntiVir Service: C:\Programme\AVPersonal\AVGUARD.EXE (autostart)
Ati HotKey Poller: %SystemRoot%\System32\Ati2evxx.exe (autostart)
ATI Smart: C:\WINDOWS\system32\ati2sgag.exe (autostart)
Windows Audio: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Kryptografiedienste: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)
Verwaltung logischer Datenträger: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
DNS-Client: %SystemRoot%\System32\svchost.exe -k NetworkService (autostart)
Ereignisprotokoll: %SystemRoot%\system32\services.exe (autostart)
Kerio Personal Firewall: "d:\Programme\Kerio\Personal Firewall\persfw.exe" (autostart)
Plug & Play: %SystemRoot%\system32\services.exe (autostart)
Geschützter Speicher: %SystemRoot%\system32\lsass.exe (autostart)
Remoteprozeduraufruf (RPC): %SystemRoot%\system32\svchost -k rpcss (autostart)
Sicherheitskontenverwaltung: %SystemRoot%\system32\lsass.exe (autostart)
Systemereignisbenachrichtigung: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)
Shellhardwareerkennung: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Druckwarteschlange: %SystemRoot%\system32\spoolsv.exe (autostart)
Systemwiederherstellungsdienst: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
StyleXPService: "C:\Programme\TGTSoft\StyleXP\StyleXPService.exe" (autostart)
Designs: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Webclient: %SystemRoot%\System32\svchost.exe -k LocalService (autostart)
Windows-Verwaltungsinstrumentation: %systemroot%\system32\svchost.exe -k netsvcs (autostart)

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

PostBootReminder: C:\WINDOWS\system32\SHELL32.dll
CDBurn: C:\WINDOWS\system32\SHELL32.dll
SysTray: C:\WINDOWS\System32\stobject.dll

--------------------------------------------------
End of report, 7.822 bytes
Report generated in 0,100 seconds

Vielen Dank für eure Unterstützung

Gruß
Paranoid3000

paranoid3000 · 27.12.2004, 22:06

...sorry, das hat ich hier noch vergessen....

Logfile of HijackThis v1.99.0
Scan saved at 22:06:47, on 27.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
d:\Programme\Kerio\Personal Firewall\persfw.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\CpuIdle\cpuidle.exe
D:\Programme\D-Tools\daemon.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\System32\taskmgr.exe
F:\emule\emule.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
d:\Programme\Winamp\Winamp.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\basis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: IEWorkaround Class - {08442457-929D-4522-AE24-9D3E4664A0C1} - C:\Programme\IE URL Spoofing Patch\IEWorkaround3.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [CpuIdle] D:\Programme\CpuIdle\cpuidle.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O17 - HKLM\System\CCS\Services\Tcpip\..\{21B7BD64-CEB7-47C1-ACEF-3CC2662083CC}: NameServer = 217.237.151.33 217.237.149.225
O17 - HKLM\System\CS1\Services\Tcpip\..\{21B7BD64-CEB7-47C1-ACEF-3CC2662083CC}: NameServer = 217.237.151.33 217.237.149.225
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Kerio Personal Firewall - Kerio Technologies - d:\Programme\Kerio\Personal Firewall\persfw.exe
O23 - Service: StyleXPService - Unknown - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe

gruß
Paranoid3000

Cidre · 27.12.2004, 22:37

Hallo,
dein Log-File ansich ist sauber.

Mach mal folgendes:
Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"

Navigiere zum Ordner File C:\Recycled und überprüfe nochmals, ob die Datei vorhanden ist.

paranoid3000 · 27.12.2004, 22:58

Hallo Cidre,

vielen Dank für die schnelle Bestätigung, dass meine Logs clean sind.
Windowseinstellungen hatte ich schon so eingestellt, dass ich "alle Dateine sehen kann". ;-)
Trotzdem will diese Datei aus dem Mülleimer nicht erscheinen. Hab schon probiert den Mülleimer auf 0% zu setzen, damit er wirklich leer ist, aber leider ohne Erfolg. eScan meldet leider immer noch den Trojaner und Kaspersky's onlinescanner auch. :-(

Kaspersky onlinecheck:

Zu überprüfende Datei: Q330995.exe
Q330995.exe - packed with FSG
Q330995.exe Infiziert: Trojan-Downloader.Win32.Agent.ew
Statistiken:
Bekannte Viren: 113003 Updated: 27-12-2004
Größe der Datei (Kb): 25 Viren-Korpus: 1
Datei: 2 Warnungen: 0
Archive: 0 Verdächtigt: 0

Bin echt etwas ratlos......

Gruß
Paranoid

Cidre · 27.12.2004, 23:33

Lösche jetzt den Ordner C:\Recycled und starte dein System neu. Danach sollte dieser Trojan-Downloader.Win32.Agent.ew entfernt sein.

btw:
Keine Angst, der Ordner C:\Recycled wird beim Systemstart automatisch wieder neu erstellt.

paranoid3000 · 27.12.2004, 23:52

Hallo Cidre,

ich hatte, bevor ich hier gepostet habe schon einige threads gelesen und der Trick mit dem löschen des Mülleimers funktioniert bei mir nicht. Kommt eine Windows-Fehlermeldung, dass Recycled nicht gelöscht werden kann, da sie verwendet wird (Kurzform der Originalmeldung). Hab auch schon probiert den Mülleimer in abgesicherten Modus zu löschen...leider erfolglos. Hab es jetzt gerade ganz banal mittels Dos geschafft. Jetzt sind, wenn ich "dir c:\recycled /a" ausführe noch zwei Dateien vorhanden: desktop.ini und info2
Kannst du mal bitte checken, ob die bei dir auch vorhanden sind.
Dank und Gruß
Paranoid

Cidre · 28.12.2004, 00:11

Zitat:

ausführe noch zwei Dateien vorhanden: desktop.ini und info2

Das ist normal, siehe http://support.microsoft.com/default...d=kb;de;136517

paranoid3000 · 28.12.2004, 00:20

Hi Cidre!

Prima, dann bin ich erstmal wieder frei von dem ganzen Ungeziefer und kann beruhigt schlafen gehen. ;-)

Vielen Dank nochmal

Gruß

Paranoid

27.12.2004, 23:33	#5
Cidre Administrator, a.D.	Trojaner im Recycler und Logfile Lösche jetzt den Ordner C:\Recycled und starte dein System neu. Danach sollte dieser Trojan-Downloader.Win32.Agent.ew entfernt sein. btw: Keine Angst, der Ordner C:\Recycled wird beim Systemstart automatisch wieder neu erstellt. __________________ Gruß, Cidre [B]Neuaufsetzen des Systems/Absicherung - Wie poste ich falsch?

Trojaner im Recycler und Logfile

Log-Analyse und Auswertung: Trojaner im Recycler und Logfile