Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Trojaner TR/AGENT 88064.8 (https://www.trojaner-board.de/52434-trojaner-tr-agent-88064-8-a.html)

Ernie140462 15.05.2008 10:34
Trojaner TR/AGENT 88064.8
 
Hallo zusammen,

hat jemand schon dieses Trojaner-Problem,
mit dem er nicht klarkommt, ich habe seit
einer Neuinstallation der Brother HL-1030
Treiber und der Aktualisierung von AntiVir
auf die neuste Version den Trojaner
TR/AGENT 88064.8 eingefangen, welchen
ich weder über AntiVir noch über Spyware-
Doctor loswerde ?

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:50:42, on 15.05.2008
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\brss01a.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Spyware Doctor\pctsTray.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Spyware Doctor\pctsAuxs.exe
C:\Programme\Spyware Doctor\pctsSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\system32\fxssvc.exe
C:\Dokumente und Einstellungen\Ernie\Desktop\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://portal.kabelbw.de/Citrix/MetaFrame/default/default.aspx
O2 - BHO: (no name) - {614A9E2B-CA06-4567-9989-86BEA4F8160B} - C:\WINDOWS\System32\BRSPL99.dll[/COLOR]
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Unknown owner - C:\PROGRA~1\SPYWAR~2\sp_rsser.exe (file missing)

--
End of file - 3555 bytes

boston 15.05.2008 10:45
hallo,
ich würde dir angesichts dieses patchlevels
Zitat:
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
neuaufsetzen empfehlen, auch wenn hier ein fehlalarm vorliegen sollte.

poste uns mal den genauen fund von antivir und lass diese datei
C:\WINDOWS\System32\BRSPL99.dll
bei
VirusTotal - Kostenloser online Viren- und Malwarescanner
auswerten und poste das komplette ergebnis.

Ernie140462 21.05.2008 07:44
Hallo,
das wäre nun die Antwort von virus-total als posting:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.5.20.0 2008.05.21 -
AntiVir 7.8.0.19 2008.05.21 TR/Agent.88064.8
Authentium 5.1.0.4 2008.05.21 -
Avast 4.8.1195.0 2008.05.21 -
AVG 7.5.0.516 2008.05.20 Generic9.BHTU
BitDefender 7.2 2008.05.21 Trojan.Generic.126043
CAT-QuickHeal 9.50 2008.05.19 -
ClamAV 0.92.1 2008.05.21 -
DrWeb 4.44.0.09170 2008.05.20 Trojan.DownLoader.59148
eSafe 7.0.15.0 2008.05.20 -
eTrust-Vet 31.4.5808 2008.05.21 Win32/Kvol!generic
Ewido 4.0 2008.05.20 -
F-Prot 4.4.2.54 2008.05.16 -
F-Secure 6.70.13260.0 2008.05.21 -
Fortinet 3.14.0.0 2008.05.21 -
GData 2.0.7306.1023 2008.05.21 -
Ikarus T3.1.1.26.0 2008.05.21 Virus.Trojan.Win32.Pakes.cdw
Kaspersky 7.0.0.125 2008.05.21 -
McAfee 5299 2008.05.20 -
Microsoft 1.3520 2008.05.21 Trojan:Win32/Boaxxe.B
NOD32v2 3115 2008.05.20 a variant of Win32/Agent.NSG
Norman 5.80.02 2008.05.20 W32/Smalltroj.DBEH
Panda 9.0.0.4 2008.05.21 Suspicious file
Prevx1 V2 2008.05.21 Malware Downloader
Rising 20.45.12.00 2008.05.20 Trojan.Clicker.Win32.Delf.mm
Sophos 4.29.0 2008.05.21 -
Sunbelt 3.0.1123.1 2008.05.17 -
Symantec 10 2008.05.21 Trojan Horse
TheHacker 6.2.92.314 2008.05.20 -
VBA32 3.12.6.6 2008.05.20 Trojan.DownLoader.59148
VirusBuster 4.3.26:9 2008.05.20 -
Webwasher-Gateway 6.6.2 2008.05.21 Trojan.Agent.88064.8
weitere Informationen
File size: 110592 bytes
MD5...: 7e39f16e246b51aa34e4e29b31aa60d1
SHA1..: 8466735d004b78d7d1b5e199de4b77937f812f5b
SHA256: 55bebf88bcf1530195d12300cc005540527370554eef3eb9d9a0a4fbeaf9056c
SHA512: a3b1d92ebb4f42c7a52f3f7f88467805d32ffc8104a4e160b63f2c4f6f5250ab
5dc0e77da91e5e6d8128ad99af190f3d7fb266b9817c8ce0fe8078559d6884d1
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x43a7c0
timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x25000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x26000 0x15000 0x14a00 7.90 845b38176fc57dfaaa7fbb5580a1ea99
.rsrc 0x3b000 0x1000 0xa00 3.60 16698fb5df61f2137569d187c93f75b9

( 7 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree
> advapi32.dll: RegCloseKey
> ole32.dll: IsEqualGUID
> oleaut32.dll: LoadTypeLib
> shell32.dll: SHGetMalloc
> user32.dll: SetTimer
> wininet.dll: InternetCrackUrlA

( 5 exports )
DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer, InitEntry0

Prevx info: 98787839.DLL - Prevx
packers (Kaspersky): PE_Patch.UPX, UPX
packers (F-Prot): UPX


Gruß
Ernie140462


Alle Zeitangaben in WEZ +1. Es ist jetzt 09:51 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131