Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Backdoor.Win32.Agent.rw und weitere trojaner (https://www.trojaner-board.de/29751-backdoor-win32-agent-rw-trojaner.html)

tigga_koeln 05.06.2006 16:54
Backdoor.Win32.Agent.rw und weitere trojaner
 
kurze vorgeschichte:

hatte seit gestern beim hochfahren immer eine *normale error* meldung bekommen, dass mit einer CSYIU.exe was nicht stimmt und man sich an den hersteller wenden muss.

habe dann heute mal geschaut wo diese exe ist und habe den ordner windows/sestem geöffnet, wo sie drin ist.
da schlug sofort AntiVir an und meldete sofort einen trojaner ( tr/d/dr.agent.uj.1) in dieser exe.

habe dann mit Antivir gelöscht und schon kam die nächste warnung für eine weitere exe.

desweiteren hab ich festgestellt, dass in wndows/system so einige verdächtige kleine exe´n sind, die alle das erstellungsdatum 01.01.06 haben und wohl immer nach dem löschen wieder kommen.

habe darauf einen HijackThis ´gemacht, wo die CSYIU exe als bösartig angezeigt worden ist und gefixt wurde. sie ist aber wieder im ordner - taucht aber bei HijackThis nicht mehr auf.


ferner habe ich einen online scan über kaspersky machen lassen windows + temps mit dem folgenen ergebnis :


Tuesday, June 06, 2006 4:45:21 PM
Operating System: Microsoft Windows 98
Kaspersky On-line Scanner version: 5.0.78.0
Kaspersky Anti-Virus database last update: 5/06/2006
Kaspersky Anti-Virus database records: 186673


Scan Settings
Scan using the following antivirus database standard
Scan Archives true
Scan Mail Bases true

Scan Target Critical Areas
C:\WINDOWS
C:\TEMP\

Scan Statistics
Total number of scanned objects 10516
Number of viruses found 1
Number of infected objects 1
Number of suspicious objects 0
Duration of the scan process 00:19:47

Infected Object Name Virus Name Last Action
C:\WINDOWS\SYSTEM\idemlog.exe Infected: Backdoor.Win32.Agent.rw skipped

Scan process completed.


bin aber nicht schlau geworden, ob und wie man ihn über kaspersky löschen kann. - kann man das dann direkt ? wenn ja wie.



hier jetzt noch mein Hj logfile:


Logfile of HijackThis v1.99.1
Scan saved at 17:30:39, on 06.06.06
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\SYSTEM\ZONELABS\MINILOG.EXE
C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\SCHEDM.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\LVCOMSX.EXE
C:\WINDOWS\STARTER.EXE
C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZONEALARM.EXE
C:\PROGRAMME\MSOFFICE\OFFICE\OSA.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\MSN MESSENGER\MSNMSGR.EXE
C:\PROGRAMME\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\PROGRAMME\DAP\DAPIEBAR.DLL
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [LVCOMSX] c:\windows\SYSTEM\LVCOMSX.EXE
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [avgctrl] "C:\Programme\AntiVir PersonalEdition Classic\avgctrl.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\RunServices: [RNBOStart] C:\WINDOWS\SYSTEM\RNBOSENT\SENTSTRT.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [MiniLog] C:\WINDOWS\SYSTEM\ZONELABS\MINILOG.EXE -service
O4 - HKLM\..\RunServices: [schedm] "C:\Programme\AntiVir PersonalEdition Classic\schedm.exe"
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\MSOffice\Office\FINDFAST.EXE
O4 - Startup: Office-Start.lnk = C:\Programme\MSOffice\Office\OSA.EXE
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRAMME\YAHOO!\MESSENGER\YPAGER.EXE
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRAMME\YAHOO!\MESSENGER\YPAGER.EXE
O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - xttp://a840.g.akamai.net/7/840/537/20011202/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - xttp://sc.communities.msn.com/controls/PhotoUC/MsnPUpld.cab
O16 - DPF: {9A54032D-31F7-400D-B184-83B33BDE65FA} (MSN File Upload Control) - xttp://sc.communities.msn.com/controls/FileUC/MsnUpld.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - xttp://chat.msn.com/controls/msnchat45.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - xttp://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - xttp://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: Yahoo! Pool 2 - xttp://download.games.yahoo.com/games/clients/y/pote_x.cab
O16 - DPF: Yahoo! Chat - xttp://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - xttp://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - xttp://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - xttp://www.bul-online.de/scan/Msie/bitdefender.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} -
O16 - DPF: {AFAB176A-0D25-436A-8555-286F6D7AA388} (CRegFreezeScanModule Object) - xttp://www.actualresearch.com/de/files/rfscanax.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - xttp://by106fd.bay106.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - xttp://www.kaspersky.com/kos/english/kavwebscan_ansi.cab
O16 - DPF: Yahoo! Dominoes - xttp://download.games.yahoo.com/games/clients/y/dot8_x.cab
O16 - DPF: Yahoo! Chess - xttp://download.games.yahoo.com/games/clients/y/ct2_x.cab
O16 - DPF: Yahoo! Backgammon - ttp://download.games.yahoo.com/games/clients/y/at1_x.cab



sage jetzt schon mal danke

Sunny 05.06.2006 17:50
Hallo tigga_koeln,

ich denke (bin mir zu 99,99% SICHER) das bei dir ein Trojaner mit Rootkittechnologie am Werk ist, scanne dein System mal mit F-Secure Blacklight, und poste danach das Ergebnis!

Gruß
Daniel

tigga_koeln 05.06.2006 17:57
so wioe es aussieht, bekomme ich es mit W98 nicht installiert. läuft laut seite erst ab W2000.

Sunny 05.06.2006 18:05
Huch, hab vergessen das F-Secure erst ab WIN2000 startet... :o

Suche auf deinem System folgende Dateien: (nur ein Versuch ob sie existieren!!)
oleadm.dll
wp.bmp
uninstIU.exe
favset.exe
filesafer23.exe
howiper.exe
cshru.exe
(die meisten davon sollten im System Ordner zu finden sein!)

Lass ausserdem folgende Datei bei Virustotal auswerten:
WININET.DLL

Gruß
Daniel

tigga_koeln 05.06.2006 18:30
oleadm.dll - nicht gefunden
wp.bmp - nicht gefunden
uninstIU.exe - nicht gefunden
favset.exe - nicht gefunden
filesafer23.exe - in windows / system
howiper.exe - nicht gefunden / die war aber in system - war aber befallen und ist gelöscht !?
cshru.exe nicht gefunden
(die meisten davon sollten im System Ordner zu finden sein!)

Lass ausserdem folgende Datei bei Virustotal auswerten:
WININET.DLL - tjaaa...also über funktion *suchen* wird mir sie angezeigt in windows/ system. schaue ich aber in den ordner ist sie nicht zu finden !!! habe somit auch keinen zugriff zum scannen

Sunny 05.06.2006 18:38
Versuch das nochmal:
http://www.trojaner-board.de/59624-a...-sichtbar.html

um die Datei zu finden! Wenn F-Secure schon nicht funktioniert, versuchen wir es halt auf dem anderen Wege! Ansonsten mach mal einen kompletten eScan, Anleitung dazu in meiner Signatur verlinkt.

Gruß
Daniel

tigga_koeln 05.06.2006 18:59
Lass ausserdem folgende Datei bei Virustotal auswerten:
WININET.DLL


wurde überall nichts gefunden. mache jetzt mal den escan.

kannst du mal bitte sagen, was es jetzt heisst, dass ich manche files nicht habe, bzw die howiper gelöscht ist ?


habe auch gerade in
sphlp32.exe den nächsten trojaner

Sunny 05.06.2006 19:02
mach erstmal den eScan, der sollte definitiv (fast!) alles finden, und zusätzlich auch eine Verzeichnisangabe! Somit sucht es sich definitiv schneller und man muss nicht die Nadel im heuhaufen suchen..

Gruß
Daniel

tigga_koeln 05.06.2006 21:18
auswertung Escan :

hoffe die angaben reichen jetzt aus, da der ganze logfile ellenlang ist.

es wurden 8 sachen gefunden.

Object "powerstrip Spyware/Adware" found in File System! Action Taken: No Action Taken.

Object "powerstrip Spyware/Adware" found in File System! Action Taken: No Action Taken.

Object "powerstrip Spyware/Adware" found in File System! Action Taken: No Action Taken.

Object "unspypc Unclassified" found in File System! Action Taken: No Action Taken.

Object "precisionpop Spyware/Adware" found in File System! Action Taken: No Action Taken.

File C:\WINDOWS\SYSTEM\tvrsq.dll tagged as "not-a-virus:AdWare.Win32.SBSoft.h". Action Taken: No Action Taken.

File C:\WINDOWS\SYSTEM\pppcgm.exe tagged as "not-a-virus:AdWare.Win32.Msnagent.b". Action Taken: No Action Taken.

File C:\WINDOWS\SYSTEM\idemlog.exe infected by "Backdoor.Win32.Agent.rw" Virus! Action Taken: No Action Taken.



wie fährt man denn jetzt weiter ?


***sage zwischendurch schon mal ein grosses Danke !!!

hoerni26 06.06.2006 15:37
Hallo,

ich würde dir raten dein System nach Anleitung in meiner Signatur neu aufzusetzen.
Alles andere würde dir nix bringen.


Alle Zeitangaben in WEZ +1. Es ist jetzt 15:55 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131