Agent.ADA / Poebot.C1 / SVCHOST.exe

kamikaze84 · 05.08.2005, 04:16

Moin!

Mein armer Rechner pfeift aus dem letzten Loch.
Angefangen hat alles heute Nachmittag: Urplötzlich tauchten Fenster von einem "Messenger Service" auf, dort war zu lesen meine Regestry sei beschädigt und ich sollte irgendwelche ominösen Internetseiten aufrufen um das Probleme zu beheben. Ich habe dann den Messengerservice deaktiviert.
Kurze Zeit später meldete mir mein Antivir ("einfache" Version) das im Verzeichnis Windows\system32 der Trojaner Agent.ADA in einer Datei namens BNKPVSBE.exe entdeckt wurde. Antivir hat diesen dann überschrieben und gelöscht, doch kurze Zeit später tauchte der Trojaner Agent.ADA immer wieder auf, immer in Dateien die so ähnlich aussahen wie die erste (Großbuchstaben / "Wirre" Buchstabenkombination - aber immer unterschiedlich). In der Flut der Agent.ADA's tauchte auch einmal ein Virus(?) namens Poebot.C1 auf.
Entnervt bin ich dann aus dem Internet und habe den Rechner neu gestartet - und plötzlich war Ruhe. Doch als ich wieder ins Internet ging, begann plötzlich die svchost.exe 9x% der Systemressourcen zu verbrauchen.
Ich habe dann begonnen nach der möglichen Ursache von diesem ganzen Mist zu suchen, bis jetzt leider ohne Ergebnis. Wenn ich im Internet bin, wird die SVCHOST.exe nach einiger Zeit überlastet und sporadisch taucht immer wieder der Agent.ADA im Verzeichnes Windows\system32 auf. Offline herrscht totale Ruhe - alles läuft wie immer.

Folgendes habe ich bisher gemacht:
- Ettliche HijackThis Protokolle erstellt und verglichen / ausgewertet - ohne Ergebnis

- Mehrere Systemscans durch Antivir (einmal im abgesicherten Modus). Dabei wurde wieder der Trojaner Agent.ADA im Verzeichnis Windows\system32 gefunden - unter den gleichen "wirren" Dateinamen wie immer.

- Onlinescan von Trendmicro - ohne Ergebnis

- Stinger von McAffee(?) - ohne Ergebnis

- Im Internet lese ich mich jetzt schon stundenlang durch Google (insbesondere zum Thema svchost.exe) - aber wirklich weiter komme ich da nicht. Ich bin mit meinem Latein am Ende.

Letztes Logfile vom Hijackthis:
Logfile of HijackThis v1.99.1
Scan saved at 04:16:04, on 05.08.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AVPersonal\AVGUARD.EXE
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Program Files\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
C:\WINDOWS\System32\CTHELPER.EXE
C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\FreePDF_XP\fpassist.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Creative\MediaSource\RemoteControl\RCMan.EXE
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Program Files\Opera7\Opera.exe
C:\bastel\hijackthis_199\HijackThis.exe

N3 - Netscape 7: user_pref("browser.startup.homepage", "http://home.netscape.com/bookmark/7_2/home.html"); (C:\Documents and Settings\Wfeld\Application Data\Mozilla\Profiles\default\efjsdv2c.slt\prefs.js)
N3 - Netscape 7: user_pref("browser.search.defaultengine", "http://www.google.com/"); (C:\Documents and Settings\Wfeld\Application Data\Mozilla\Profiles\default\efjsdv2c.slt\prefs.js)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Program Files\Ipswitch\WS_FTP Pro\wsbho2k0.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll
O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Program Files\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Program Files\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Program Files\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [RemoteCenter] C:\Program Files\Creative\MediaSource\RemoteControl\RCMan.EXE
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Download All by FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - C:\Program Files\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{12F25EA5-F8A1-49D2-BF40-9F6BB2C62D06}: NameServer = 217.237.150.225 217.237.150.141
O17 - HKLM\System\CS1\Services\Tcpip\..\{12F25EA5-F8A1-49D2-BF40-9F6BB2C62D06}: NameServer = 217.237.150.225 217.237.150.141
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\vsmon.exe

felix1 · 05.08.2005, 09:14

Dann mache mal den escan genau nach Anleitung:
http://www.trojaner-board.de/showthread.php?t=17492
Poste das mit der find.bat erzeugte Log.

kamikaze84 · 05.08.2005, 16:02

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Fri Aug 05 12:52:46 2005 => Scanne Verzeichniss: C:\Program Files\AVPersonal\INFECTED\*.*
Fri Aug 05 12:52:47 2005 => Scanne Datei C:\Program Files\AVPersonal\INFECTED\HZVFWGJ.EXE.VIR
Fri Aug 05 12:52:47 2005 => Datei C:\Program Files\AVPersonal\INFECTED\HZVFWGJ.EXE.VIR infiziert von "Trojan-Dropper.Win32.Paradrop.a" Virus. Aktion vorgenommen: No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

Gefunden hat er also nur eine Datei dich mit Antivir ins Quarantäneverzeichnis verschoben habe. Neu ist allerdings der damit identifizierte Virus! Statt Agent.ADA nun Trojan-Dropper.Win32.Paradrop.a

felix1 · 05.08.2005, 19:23

Lösche den Quarantäne von Antivir. Es ist normal, dass ein anders Programm das "anmeckert".
Lade und update Ad-aware, update Spybot und lasse die Programme laufen.
http://www.comsafe.de/download.html
Installiere cleanup, rufe es auf und setze den Haken bei alles löschen und dann Löschen drücken.
http://www.clearprog.de/

Berichte über die Ergebnisse.

05.08.2005, 09:14	#2
felix1 /// Helfer-Team	Agent.ADA / Poebot.C1 / SVCHOST.exe Dann mache mal den escan genau nach Anleitung: http://www.trojaner-board.de/showthread.php?t=17492 Poste das mit der find.bat erzeugte Log. __________________

05.08.2005, 19:23	#4
felix1 /// Helfer-Team	Agent.ADA / Poebot.C1 / SVCHOST.exe Lösche den Quarantäne von Antivir. Es ist normal, dass ein anders Programm das "anmeckert". Lade und update Ad-aware, update Spybot und lasse die Programme laufen. http://www.comsafe.de/download.html Installiere cleanup, rufe es auf und setze den Haken bei alles löschen und dann Löschen drücken. http://www.clearprog.de/ Berichte über die Ergebnisse.

Agent.ADA / Poebot.C1 / SVCHOST.exe

Plagegeister aller Art und deren Bekämpfung: Agent.ADA / Poebot.C1 / SVCHOST.exe