|
Log-Analyse und Auswertung: Trojaner identifiziert von Kaspersky kis 6.0 Trojan.spy.Agent.prWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
16.05.2007, 23:16 | #1 |
| Trojaner identifiziert von Kaspersky kis 6.0 Trojan.spy.Agent.pr Sorgenkinder: Backdoor.win32.ForBot.t erstellt April 2005 (vom PC gelöscht?) Trojan.Spy.Agent.pr Werte Trojaner-Boarder! Da ich mich auf dem Weg zum IT-Fachmenschen begeben habe, wollte ich mittels Ethereal meinen Netzerkverkehr anschauen, z.B. was passiert, wenn ich mich / man sich bei gmx anmeldet etc. Der PC ist als Testrechner neu aufgesetzt am 11.4.2005 und dementsprechend "nackt", es sind keine relevanten Daten darauf gespeichert. Ausser online-Anmeldungen zum gmx-Postfach läuft nichts darüber. Die Ethereal-Version (0.99?) habe ich von deren site gezogen. Beim ersten mal von einem europäischen Mirror und Kaspersky KIS 6.0 meldete nach einiger Zeit (Tagen) im Ethereal-Setup-Programm den Virus Backdoor.win32.ForBot.t. Dazu auch noch im Verzeichnis c:\system Volume information und irgendwo im Firefox. http://www.trojaner-board.de/images/smilies/frown.gif Es scheint, als hätte der sich, als Admin angemeldet, löschen lassen, auch wurde der Virus, der zudem im Verzeichnis System Volume Information sitzen sollte, angeblich gelöscht. http://www.trojaner-board.de/images/smilies/boogie.gif Beimzweiten Mal nun habe ich Ethereal 0.99 von der Standard-Quelle bezogen und installiert, einigen Traffic angeschaut und etliche Tage etwas anderes gemacht. Am 13.5. nun, nachdem Kasperky KIS 6.0 ein neues Update gezogen hatte, bekam ich wieder eine Trojaner-Identifikation: Trojan.Spy.Agent.pr , bei Grisoft genannt: PSW.Agent.AJ . http://www.trojaner-board.de/images/smilies/koch.gif Auch der war so wohl in der Ethereal-Setup-Datei als auch im System Volume information - Ordner. Am 13.5. wurde dieser nach dem Update von Kaspersky erkannt und nach ein paar Anläufen gelöscht - desinfizieren ging angeblich nicht. Warum werden die Dinger erst Tage später von Kaspersky/ einem Antivirenprogramm erkannt? (wenn überhaupt) und: Was kann ich dagegen tun - ausser das System als korrumpiert anzusehen und neu auf zu setzen - es lebe Acronis. Ausserdem interessiert es mich sehr, wie man an dem log eine Gefährdung erkennt. Wer mir antwortet, möchte bitte mit erzählen, wie er zu der Daignose gekommen ist oder einen Hinweis geben, wie ich mich in das Thema einarbeiten kann. Besten Dank. Hier mein HijackThis-Log von heute Abend: Logfile of Trend Micro HijackThis v2.0.0 (BETA) Scan saved at 10:27:39 PM, on 5/16/2007 Platform: Windows XP SP2 (WinNT 5.01.2600) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Ahead\InCD\InCDsrv.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe C:\WINDOWS\system32\wuauclt.exe C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe C:\Program Files\QuickTime\qttask.exe C:\Program Files\Common Files\InterVideo\FastTVSync\FastTVSync.exe C:\WINDOWS\system32\atiptaxx.exe C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe C:\Program Files\Ahead\InCD\InCD.exe C:\Program Files\Messenger\MSMSGS.EXE C:\Program Files\InterVideo\WinDVD4PR\SchSvr.exe C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe C:\WINDOWS\system32\taskmgr.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\cmd.exe E:\NetzTools\HiJackThis_v2_00_beta.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Versatel O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [FastTVSync] "C:\Program Files\Common Files\InterVideo\FastTVSync\FastTVSync.exe" O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\MSMSGS.EXE" /background O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Startup: taskmgr.exe.lnk = C:\WINDOWS\system32\taskmgr.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: InterVideo Scheduler server.lnk = C:\Program Files\InterVideo\WinDVD4PR\SchSvr.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\ie_banner_deny.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.versatel.de/internet-cd/ O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1176249918744 O17 - HKLM\System\CCS\Services\Tcpip\..\{4206B4CE-5B6D-4176-B2A6-0712400F4E5B}: NameServer = 62.72.64.237,62.72.64.241 O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe O23 - Service: iPod Service - Unknown owner - C:\Program Files\iPod\bin\iPodService.exe (file missing) O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe -- End of file - 6149 bytes Viel Spass 'am Diagnostizieren' & Dank für die Mühe, Gruss trojpecker.
__________________ Es gibt nicht Neues unter der Sonne. (Prediger) Ich bin der Geist, der stets verneint! Und das mit Recht; denn alles, was entsteht, ist wert, dass es zugrunde geht; ... (Mephistopheles zu Faust). Treiben uns also die Viren zur Fortentwicklung? |
29.06.2007, 04:03 | #2 | ||||
| Trojaner identifiziert von Kaspersky kis 6.0 Trojan.spy.Agent.pr Ernsthaft?
__________________Zitat:
Zitat:
Zitat:
Zitat:
Auch installiert zeigt mir KAV keine Infektion. Ja, ich habe extra für dich das Zeug installiert! btw kannst du die Weiterentwicklung whireshark nutzen, der Autor hat letztes Jahr ethereal verlassen und btw2: Bevor du dich das nächste Mal aufregst, dass dir keiner antwortet, stelle Fragen genau. good luck, das HJT-log schaffst du allein |
12.07.2007, 10:32 | #3 |
| Trojaner identifiziert von Kaspersky kis 6.0 Trojan.spy.Agent.pr @ ordell1234
__________________zunächst 'mal Dank für deine Aufmerksamkeit! Gleich zu Beginn eine Frage: wie funzt das mit dem Zitieren? noch eine Frage: wie komme ich ans das Edieren eines selbst geschriebenen Artikels/ Threads - wenn mir etwa ein Fehler unterläuft. Aber nun: "11.4.2005" installiert = (temporäre?!) geistige Umnachtung. der 11.4. stimmt, das 2005 aber nicht, es ist schon 2007. Als ich es merkte, hatte ich das Ganze schon abgeschickt und ich habe das Edieren hier bei Trojaner-Board noch nicht 'raus. Zur Verwirrung mit der ethereal-Setup-Datei: Ich hatte Ethereal installiert, aber zudem die setup.exe als Quelldatei auf einer anderen Partition einer 2. HDD abgelegt. Das war mir so selbstverständlich, dass ich es zu erwähnen vergass. Sorry. Es gab also das laufende Programm und die Quelldatei Setup.exe. In letzterer sollte der Trojaner sitzen, aber auch im Ordner "c:\system volume information" und irgendwo in den personal settings des Firefox. Da ich zu aufgeregt war, habe ich den Firefox- Infektionsort nicht notiert. Nach der Ethereal 0.99-Installation funzte Ethereal zunächst problemlos, bis NACH EINIGEN TAGEN Kaspersky kis 6 den Trojaner/ Virus meldete und zwar so wohl in der ethereal-Setup.exe als auch im c:\system volume information. Nach der "Löschung" des Trojaners durch Kaspersky, was bedeutet: Löschen der Ehtereal-Setup.exe, Deinstallieren von Ethereal und Löschen des Trojaners aus dem "c:\system volume information" (was nur als Admin angemeldet funktionierte), scheint der Backdoor.win32.ForBot.t-Trojaner vom System herunter zu sein, aber genau da steckt eine wichtige Frage: wie kann ich mir da sicher sein, dass ein System nicht korrumpiert ist? Gruss & Dank trojpecker.
__________________ |
12.07.2007, 14:07 | #4 | |
| Trojaner identifiziert von Kaspersky kis 6.0 Trojan.spy.Agent.pr Moin trojpecker, Die Sachen 'editieren' und 'zitieren' sollten sich geklärt haben, myrtille war so nett. ethereal: Wie gesagt, ich habe nichts derartiges beobachet, auch nicht einige Tage später. Bleiben folgende Möglichkeiten: - das setup war tatsächlich infiziert, ist aber unwahrscheinlich, wenn du die Datei von ethereal hast - false-positive von Kaspersky: durchaus möglich, deshalb meine Frage, ob das Problem auch mit aktuellen Signaturen besteht - Loch im Topf, d.h. du warst bereits infiziert oder hast dir im Lauf der Zeit was eingefangen Zitat:
Nützliche links: - Cidres Anleitung zum Neuaufsetzen, die weit über ne Anleitung zum Neuaufsetzen hinaus geht - Seiten von Oliver Schad - Grundsatzdiskussion Systembereinigung - der Linkblock Gruß |
16.07.2007, 08:58 | #5 | |
| Trojaner identifiziert von Kaspersky kis 6.0 Trojan.spy.Agent.prZitat:
schön'n Dank für die Antwort! Das was Du hier sagst, entspricht dem, was ich bereits in einem Wikipedia (?) - Artikel las. Das ist nicht beruhigend. Der Testrechner ist nicht mehr mit der infizierten Platte im Netz, ich hatte noch eine 2. und habe darauf neu installiert. Zum Loch im Topf: Was mich nun noch beunruhigt ist dies: Es gibt zwei Zeiten, wo ich sehr ungeschützt ins Netz MUSS: - Bei der MS- Aktivierung (wobei das auch heraus zu zögern ist, sprich nachträglich zu machen ist) und beim Ziehen der ersten MS-Updates. - Bei der Online-Aktivierung von Kasperky kis 6.0, sonst gibt es keine Updates und keine Produktaktivierung, mithin keinen Schutz durch KIS. >-| . Wie gross ist die Gefahr vom Internet aus infiziert zu werden, wenn man so ganz "nackt" mit Netzkarte und dsl-Modem im Internet hängt? Dass z.B. jemand per Portscanner den Rechner und seine Dienste ausfindig macht und durch einen laufenden Dienst böse Dinge auf den Rechner bringt? Ich sitze zwar mittlerweile hinter einem Router (DLINK dl-604) , bin aber nicht sicher, ob ich den wirklich gut konfiguriert habe. und zudem hilft der ja wohl nichts, wenn ein Port offen ist, dann hilft nur die Qualität des dahinter laufenden Dienstes, oder? (Als ich erstmals installierte hatte ich den noch nicht). Wie gross ist die Gefährdung an diesen beiden Stellen und wie kann ich sie umgehen? => Gibt es dazu schon einen Thread und wie kann ich den ggf. finden? P.S.: besten Dank für die Links, ich will mich heute abend darum tummeln.
__________________ Es gibt nicht Neues unter der Sonne. (Prediger) Ich bin der Geist, der stets verneint! Und das mit Recht; denn alles, was entsteht, ist wert, dass es zugrunde geht; ... (Mephistopheles zu Faust). Treiben uns also die Viren zur Fortentwicklung? |
26.12.2007, 22:34 | #6 |
| Trojaner identifiziert von Kaspersky kis 6.0 Trojan.spy.Agent.pr Moin an die, die es interessiert: ich habe etwas heraus gefunden und zwar wie man den System Volume Information-Ordner durchsuchen und säubern lassen kann. Das geht wie folgt: Der Ordner kann unter W2k und XP mittels Sicherheit das Administratoren-Konto, bzw. die Gruppe der Administratoren hinzugefügt bekommen derart, dass diese Gruppe das Recht auf Lesen Schreiben Ändern (evtl. auch auf Vollzugriff) bekommt. Wenn dann das Antiviren-Programm ("AVP") unter dem Administratoren-Zugang läuft, was bei Karpersky möglich ist einzustellen, dann wird ein Trojaner, der sich dort eingenistet hat, nicht nur erkannt, sondern auch nachhaltig gelöscht. Pfad: Start - reMaus - Windows-Explorer, Laufwerksbuchstabe, re-Maus, Freigabe und Sicherheit, Reiter: Sicherheit. Darin Gruppe oder Konto - Hinzufügen - Administratoren. Der hinzugefügten Administratoren-Gruppe sind noch ihre Rechte für den Ordner System-Volume-Information zu vergeben. Da habe ich "Ändern" gesetzt, damit Kasperky oder ein anderes AVP im Ordner nicht nur erkennen, sondern auch löschen bzw. quarantieren kann. Das AVP ist derart einzustellen, dass es unter dem Konto ... (z. B. Administrator) läuft. Diese Eigenschaft muss das AVP mitbringen. (Ansonsten muss man sich als Administrator anmelden und das AVP laufen lassen.) !!! Es hängt das Gefunden-Werden-Können eines Trojaners selbstredend von der Qualität der Signaturen des Antiviren-Programms ab. 100% Sicherheit wird es auch hiermit nicht geben. Aber einige Trojaner, die sich in diesem System Volume-Ordner verstecken, können damit wohl bekämpft werden. Analog kann man noch mit dem Recycle-Ordner verfahren. Das Ganze scheint zu funktionieren, aber ich wäre um Rückmeldungen/ Bewertungen dankbar. Fröhliche Weihnachten 2007, Gruss trojpecker.
__________________ --> Trojaner identifiziert von Kaspersky kis 6.0 Trojan.spy.Agent.pr |
Themen zu Trojaner identifiziert von Kaspersky kis 6.0 Trojan.spy.Agent.pr |
adobe, appinit_dlls, bho, browseui preloader, cyberlink, desinfizieren, gmx-postfach, helper, hijack, hkus\s-1-5-18, hotkey, internet, internet explorer, internet security, kaspersky, kis, log, löschen, messenger, micro, microsoft, neu, neu aufgesetzt, object, pdf, s-1-5-18, security, software, solution, system, system volume information, trend micro, trojaner, virus, windows, windows xp |