Ist Trojaner Trojan.Agent jemals aktiv geworden?
 

Hallo,

erstmals im Board habe ich nun eine Frage:

Wie kann ich feststellen, ob der Trojaner Trojan.Agent jemals aktiv geworden ist, oder die verdächtige Datei nur dumm rum gelegen hat?
Die von Malwarebytes gefundene Datei befindet sich nämlich auch schon auf einem Backup, welches ich vor ca. 1 Jahr mal angefertigt habe, und habe bisher keine Ausspähungen bemerken können.

Hab schon einiges rumgegoogelt, konnte mir aber noch keine wirkliche Meinung bilden, ob nun mit dem Löschen der Datei schon alles getan ist.
Mir ist auch nicht so ganz klar, welche Art von Tätigkeit denn von dem Trojan.Agent so zu erwarten ist. Wenn ich richtig verstanden habe, soll das ja eine Java-Malware sein, die ohne laufendes Java ja dann harmlos sein müßte.
Die gleiche Frage auch wegen des Worm.Autorun.B.
Der war übrigens weg, nachdem ich Avast installiert hatte, und im Sicherheitscenter die AntiVirus-Überwachung wieder eingestellt hatte.
Da hatte meine bis dato installierte und upgedatete Version von NortonAV prof. 2004 wohl reingefunkt.

Drauf gekommen bin ich, weil ein bestimmter Browser-Plugin-Test Zicken macht.
Im Firefox-Forum gab es widersprüchliche Meinungen, ob das beobachtete Phänomen (2 plugin-container.exe Instanzen) auf aktive Malware hindeutet.

Malwarebytes log:

Hallo und :hallo:

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

OTL-Log (unter eingeschränktem Benutzer ausgeführt, hoffentlich OK so)
--- --- ---
Danke für die schnelle Anwort

Du hast Malwarebytes vorher nicht aktualisiert. Wir müssten jetzt bei DB-Version 4710 oder höher sein. Bitte updaten und einen Vollscan machen.

Doch, hatte ich. Am 22.09.2010, wo der Scan lief, war das die aktuelle.

Da die betreffenden Dateien sich schon seit ca. 1 Jahr oder mehr auf dem Rechner vorhanden sind (kann ich durch ein früheres Backup erkennen), dachte ich, es käme auf 5 Tage dann auch nicht mehr an.
Deswegen bin ich ja auch recht zuversichtlich, daß der Trojaner nie aktiv geworden ist, denn alle meine Online-Konten sind nach wie vor in Ordnung, und auch sonst hatte ich nie was Verdächtiges bemerkt, und Norton AV auch nicht (der hätte doch meckern müssen, wenn irgend ein Programm da drauf zugegriffen hätte?).

Ja am 22.09. ich wollte noch einen aktuellen Vollscan sehen ;)

OK, laß ich heute Nacht laufen.

Der Vollscan hat nochwas entdeckt. (Bei genauerem Hinsehen: Der Scan vom 22.9. dauerte nur 1:45 Std., das war der, den ich vorzeitig abgebrochen hatte.)

Der heutige brachte noch einen Adware.ADON zum Vorschein. Den hatte ich übrigens auch schon auf meiner ca. 1 Jahr unbenutzten Backup-Platte gefunden.
Malwarebytes fror ein, als ich auf Löschen geklickt hatten. Ich mußte das Programm dann nach 10 Min. abschießen. Log war dann leider auch weg. Glücklicherweise hatte Malwarebytes den Schädling aber wenigstens in Quarantäne geschickt. Nach "Wiederherstellen" konnte ich dann über den Ordner noch einen Quicktest machen, sodaß folgendes Protokoll entstand. Erneutes Löschen ging wieder schief.
Mögliche Gründe:
- Ich hatte gleichzeitig den betreffenden Ordner im Windows-Ordner offen.
- parallel zum Admin-Benutzer, von welchem der Scan gestartet war, hatte ich per Benutzerwechsel noch einen 2. eingeschränkten Benutzer aktiv.

Auch im Vollscan wurde nur dieser Eintrag (...eBayShortcuts.exe (Adware.ADON)) entdeckt?

Ja!

Allerdings dauerte dieser Vollscan während laufendem Betrieb auf 2. eingeschränkten Benutzer merkwürdigerweise nur ca. 5 Stunden auf meiner aktuellen 160 GB 2,5" Platte.
Auf meiner alten 80 GB 2,5" Platte (Inhalt wurde vor ca. 1 Jahr auf die neue geklont) dauerte er über Nacht über 8 Stunden.
Möglicherweise ist die alte Platte aber einfach nur langsamer.

Poste bitte nochmal ein frisches OTL.txt, im letzten fehlen einige Passagen...

Meintest Du die Extras.txt (ich mache heute auch noch mal einen neuen)? :

OTL.txt:

Extras.txt:
[CODE]14:00 01.10.2010OTL EXTRAS Logfile:
--- --- ---

Da fehlen schon wieder Passagen!!
Bist Du sicher, dass Du OTL direkt nach der Anleitung ausführst? :wtf:

Eigentlich schon.
Kann es daran liegen, daß ich unter eingeschränktem Benutzer scanne?

Ja :D
Deswegen fragte ich auch, ob Du nach Anleitung ausgeführt hast, das bedeutet unter XP mit einem Adminkonto und unter Vista/7 per Rechtsklick als Admin ausführen!

Aus der Anleitung schien mir, daß das spezielle Administrator-Handling nur für Vista/W7 gelte. So nahm ich an, daß OTL sich schon beschweren würde, wenn es unter XP als Administrator laufen will. Vielleicht das noch genauer für XP in der Anleitung erwähnen.
Hast meinen Hinweis "OTL-Log (unter eingeschränktem Benutzer ausgeführt, hoffentlich OK so)" wohl übersehen, und im log stand ja auch:
"NOT logged in as Administrator."

Macht nichts. Ich mach's dann halt nochmal.

LOP- und Purity-Prüfung hatte ich nicht angehakt, dafür aber "Scanne alle Benutzer" und 60 Tage.

Merkwürdigerweise kriege ich auch immer, wenn ich vom admin-Konto abmelde, und dann wieder zum eingeschränkten Konto zurück gehe folgende Meldung:

Ich sollte vielleicht auch erwähnen, daß mein normales Benutzerkonto bis vor kurzem immer Admin-Rechte hatte. Erst seit www.camp-firefox.de/forum/viewtopic.php?p=678884#p678884 habe ich es eingeschränkt, und ein zusätzliches admin-Konto eingerichtet.

Dass Du nicht als Admin eingeloggt warst hab ich tatsächlich übersehen. Eigentlich solte es aber auch klar sein, dass man nur vernünftig analysieren und bereinigen kann, wenn man alle Rechte hat.

Verisign ist eine Zertifizierungststelle. Und rundll32.exe ist ein betriebbsystembestandteil. Dein Rechner will vermutlich wohl nur ein Zertifikat abgleichen. Es gibt da keinen Grund sowas blockieren zu wollen, Du kannst dieses sinnfreie FritzDSL-Protect getrost deinstallieren. Erst recht bringt so ein Programm Dir rein garnichts wenn Du die Meldungen nicht verstehst. Du erlaubst dann alles solange bis irgendwann alles so funktioniert wie Du es willst.


Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)


Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Auf der einen Seite JA, auf der anderen Seite gibt es Programme, die (1), obwohl vom eingeschränkten Benutzer aus gestartet, durchaus System-Voll-Zugriff haben, z.B. Virenscanner, Update-Installer etc., oder (2) meckern, wenn sie ihn vermissen.
Ich wußte ja nicht, (3) was OTL so alles scannt, (4) ob es in Default/Quick Konfiguration evtl. auch ohne Admin-Rechte auskommt, (5) bei spezieller Konfiguration dann evtl. ein extra Hinweis von Dir käme
und last but not least, (6) daß es sinnfrei klaglos weitermacht, wenn es keine Admin-Rechte hat.

Aber klar, es wäre nicht unlogisch gewesen, Admin-Rechte obligatorisch vorauszusetzen.

Würde es in der Anleitung nicht besser heißen:
Wenn mit Administrator-Rechten eingeloggt: Doppelklick auf die OTL.exe
Sonst: Rechtsklick auf die OTL.exe und "Ausführen als..." Administrator wählen

P.S.: Meine geposteten Malwarebytes scans sind, wenn ich mich recht entsinne, zum Teil auch ohne Admin-Rechte gelaufen. Kannst Du deren Aussagekraft noch mal überfliegen?

Danke! Ich dachte bislang, rundll32.exe kann auch von malware angestoßen und wie auch immer mißbraucht werden. Muß man da nicht vorsichtig sein? Wird doch schon seinen Sinn haben, warum FritzDSL-Protect da skeptisch nachfragt, statt einfach durchzuwinken.
Da kennst Du mich aber schlecht. Ich erlaube längst nicht alles, selbst wenn es vertrauenswürdige SW ist. So habe ich eine prima Kontrolle über so manches, was da so heimlich im Hintergrund abgeht, und ich kann resourcen-fressende Aktionen unterbinden, bis ich mit meiner Arbeit fertig bin.

- Es poppte kein log auf, und es wurde auch keins an die übliche Stelle geschrieben.
- Das ganze dauerte so ca. 10 Minuten.
- Unter Extra Registry, wählte ich NICHT Use SafeList
- Vor dem Start hat sich mal eben noch schnell ein Windows-Update dazwischen gemogelt, welches ich abgewartet habe, der Neustart-Anfrage aber zunächst nicht entsprochen habe (erst nach dem OTL-Scan).
- Höflicherweise hat OTL erst danach gefragt. :applaus:
- Nach dem Neustart hatte ich mindestens 20 Minuten einen schwarzen Bildschirm und gelegentliche Festplattenaktivität.
- Was dann noch wielange passierte ???, denn ich bin dann zu meiner Freundin. :pfeiff:
- Am nächsten Morgen begrüßte mich aber ein gutgelauntes Windows. :heilig:

Und an dieser Stelle schon mal ein herzliches Dankeschön für all die Bemühungen bisher.

So, nun habe ich das Log doch gefunden.:headbang:

Nachdem ich den eingeschränkten Benutzer wieder abgemeldet hatte, um dann das OTL-Script nochmal auszuführen, meldete ich mich nochmal als Administrator an.
Tja, und was sah ich da...
Ohne weiteres Zutun war auf einmal das Log auf dem Schirm. Wieder per Zufall fand ich dann auch noch den Speicherort, als ich per "Speichern unter" in den Datei-Dialog gelangte, welcher mir genau diesen anbot, nämlich einen Ordner _OTL im Wurzelverzeichnis meiner Daten-Partition (ein voriger Hinweis darauf hätte mir einige Zeit und einiges Rätseln erspart).
Hier ist er also:

So, auch der default Browser? ;)
Wirklich böse Sachen kannst Du nicht (zuverlässig) blockieren, aber behalt es ruhig wenn Du meinst es sei ein tolles Hilfsmittel.

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Ich würde ungerne ALLES löschen.
Bei den Cookies z.B. sind ja durchaus einige auch nützlich.

Reichen nicht vielleicht auch folgende Einstellungen?

Ja das reicht auch aus. Deine Cookies kannste behalten.

Neue Ergebnisse:
- Sofort nach Start von CoFi wurde erst mal der Rechner neu gestartet.
- Dieser mündete dann in "kein Zugriff"-Meldungen seitens CoFi, da automatische der eingeschränkte Nutzer gebootet wurde.
- Also nochmal booten, Shift-Taste festhalten und CoFi neu starten.
- Dann wurde die Wiederherstellungskonsole downgeloadet und installiert.
- ungefähr nach Schritt 5..7 kam ein Anwendungfehler wegen Exception.
- Nach einiger Zeit war das Hintergrundbild verschwunden, und ist nach späterem Neustart auch nicht mehr wiedergekommen.
- Ebenfalls wurden die Links des Startmenüs auf default desetzt.

Hier nun das Log-File:

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus

Downloade Dir anschließend bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur eine Sekunde.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Mal 'ne kurze Zwischenfrage:
War mein Rechner tatsächlich wirklich befallen, und der Trojaner auch schon aktiv,
oder sind wir noch in der Untersuchungs-Phase?

Ein Zwischenergebnis Deiner Einschätzung würde mich sehr interessieren, und woran (grob) Du das erkennen konntest.
Danke!

Ein paar Sachen waren dabei. Aber wirklich Böses hab ich noch nicht ausgemacht. Wird sich zeigen wie die nächsten Logs aussehen.

Danke für den kurzen Zwischenbericht. Kannst Du evtl. Stellen in meinen logs aufzeigen, wo ich näheres über die "Ein paar Sachen" erkennen kann?

GMER habe ich ausgeführt.
Als ich am nächsten Morgen den etwas zugeklappten Notebook-Bildschirm öffnete, sah es zunächst für einen kurzen Blick aus dem Augenwinkel ganz gut aus, doch stieß ich dann versehentlich an die Maus (ohne Klick) und sah dann denn berühmten Anwendungsfehler-Dialog. Evtl. irre ich mich, aber ich hatte den Eindruck, daß der erst mit dem Anstoßen an die Maus dazukam. Das soll nur so mitgeteilt werden, vielleicht ist es ja von Wichtigkeit.

OSAM konnte ich leider nicht runterlagen, da der auf der Anleitung angegebene Link mehrmals in "Die Verbindung zum Server wurde zurückgesetzt, während die Seite geladen wurde." endete.
Hier nun das GMER-log:

OSAM hatte ich als zip vor ein paar Wochen mal hochgeladen => File-Upload.net - osam.zip

Danke!

Danke für den kurzen Zwischenbericht. Kannst Du evtl. Stellen in meinen logs aufzeigen, wo ich näheres über die "Ein paar Sachen" erkennen kann?

Ansonsten scheint die Datenbank für OSAM leider offline zu sein...

Die DB-Abfrage von OSAM brauchst du nicht. Ich will einfach nur das Log sehen.

Als ich vom AdministratorBenutzer wieder hierher zurückgekehrt bin, fragte mich meine FRITZ!Protect-Firewall, ob OSAM der Zugriff zum Internet erlaubt werden soll, und das, obwohl ich OSAM unter dem AdministratorBenutzer komplett geschlossen hatte. Es scheint also einen Unterprozess zu geben, welcher noch im eingeschränkten Benutzermodus aktiv zu sein scheint.
Das zum Thema, warum ich diese Firewall und deren Infomationen für nützlich halte.