Hilfe bei Trojan-Downloader.Win32.Agent.jb

Constance · 02.03.2005, 11:16

Hallo und guten Tag!

Seit heute morgen habe ich im 3 bis 5 Sekundentakt eine Meldung von Gdata mit folgendem Inhalt:

datei (die Namen wechseln immer)
C:\Windows

KAV-Engine
Trojan-Downloader.Win32.Agent.jb

und eine zweite:

Backdoor.Win.Small.dc

Leider kenn ich mich mit Computern was die Technik genau angeht gar nicht aus.
Wie aber bekomm ich das wieder runter, ohne dass mir Daten verloren gehen?

Ich bin für jede Hilfe dankbar!

Viele Grüße
Constance

cacatoa · 02.03.2005, 11:25

Hi,
damit ist nicht zu spaßen. Bitte poste mal ein HiJackThis Logfile; ich möchte sehen, was sonst noch so los ist.
cacatoa

Gigamail · 02.03.2005, 11:27

Hi,

bei einem Backdoor im System gibt es nur den Rat System Neuaufsetzen.
Der rechner ist Komprimittiert, soll heißen er gehört Dir nicht mehr allein. Man kann in so einem Fall auch nicht genau sagen was am System verändert wurde.
Mein Rat dazu setze neu auf sichere Deine Daten wie z.B. Dokumente, Bilder usw. auf CD oder DVD und verzichte dabei auf ausführbare Dateien

Hier noch was zum lesen über Kompromittierung

Hilfe für's Neuaufsetzen

cacatoa · 02.03.2005, 11:38

Backdoor.Win32.Small.dc
ist kein Backdoor-Trojaner, sondern ein Downloader ohne Backdoor-Funktionen.
Deshalb halte ich vorerst ein Neuaufsetzen nicht für angesagt.
Vorerst deshalb, weil ich erst seine Umgebung sehen möchte.
cacatoa

Gigamail · 02.03.2005, 12:21

@ cacatoa

aber jetzt... was soll ich glauben

[QUOTE=cacatoa][QUOTE=Gigamail]

Zitat:

Zitat von cacatoa

Hi, Giga,
der da:
Backdoor.Win32.Small.dc
ist ein echter Backdoor:
http://www.viruslist.com/en/viruses/...?virusid=69753
Nicht nur auf die "Sophos"-Beschreibung verlassen.
Grüße
cacatoa

Zitat:

Backdoor.Win32.Small.dc ist kein Backdoor-Trojaner, sondern ein Downloader ohne Backdoor-Funktionen

cacatoa · 02.03.2005, 19:10

@ gigamail:
Deshalb wollte ich vor dem Formatieren die Umgebung sehen. Denn die Beschreibungen gehen auseinander bei den einzelnen AV´lern...
Kennst mich ja, bei Backdoors bin ich immer für´s neue Aufsetzen; aber vielleicht ist es ja nicht nötig.
cacatoa

Constance · 03.03.2005, 12:27

Hallo,

vielen Dank für Eure Antworten!

Hier hab ich nun das Logfile. Ich hoffe, daraus lässt sich was erkennen.

Viele Grüße
Constance

Logfile of HijackThis v1.99.1
Scan saved at 12:23:56, on 03.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Antivir\AVGUARD.EXE
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\Virenschutz\AVKService.exe
C:\Programme\Virenschutz\AVKWCtl.exe
C:\Programme\avmclient\avmbtservice.exe
C:\Programme\avmclient\panapp.exe
C:\Programme\avmclient\AvmObexService.exe
C:\Programme\Antivir\AVWUPSRV.EXE
C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\NORTON~3\SPEEDD~1\nopdb.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\Tablet.exe
C:\Programme\Sony\vaio media music server\SSSvr.exe
C:\Programme\sony\photo server 20\appsrv\PicAppSrv.exe
C:\WINDOWS\wanmpsvc.exe
C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\SV_Httpd.exe
C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\UPnPFramework.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\avmclient\bluefritz.exe
C:\Programme\avmclient\AvmObex.exe
C:\Programme\avmclient\AvmObex.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE
C:\PROGRA~1\AOLPRI~1\AOLSP Scheduler.exe
C:\Programme\Antivir\AVGNT.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\AOL 9.0c\aoltray.exe
C:\Programme\FinePixViewer\QuickDCF.exe
C:\Programme\SEC\Natural Color\NaturalColorLoad.exe
C:\WINDOWS\system32\Wtablet\TabUserW.exe
C:\Programme\AOL 9.0\waol.exe
C:\Programme\AOL 9.0\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\Dokumente und Einstellungen\constance\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\srnct.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\srnct.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\srnct.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://customer.symantec.com/NASApp...&p_vendor_tag=
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {C88E144F-4510-0AF3-96D3-FA4B4D451F0F} - C:\WINDOWS\ieid32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\VERITAS Software\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Exif Initializer Ver.1.0] C:\Programme\FUJIFILM\Exif Initializer Ver.1.0\EXIFINIT.EXE
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [AVMBlueClient] C:\Programme\avmclient\bluefritz.exe
O4 - HKLM\..\Run: [AVMBLUEOBEX] C:\Programme\avmclient\AvmObex.exe -pushclient -ftpclient
O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE"
O4 - HKLM\..\Run: [AOL Spyware Protection] "C:\PROGRA~1\AOLPRI~1\AOLSP Scheduler.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\Antivir\AVGNT.EXE /min
O4 - HKLM\..\Run: [ieve.exe] C:\WINDOWS\system32\ieve.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0c\aoltray.exe
O4 - Global Startup: Exif Launcher.lnk = C:\Programme\FinePixViewer\QuickDCF.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\Teledat\IWatch.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: NaturalColorLoad.lnk = ?
O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\Wtablet\TabUserW.exe
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O12 - Plugin for .mts: C:\Programme\MetaCreations\MetaStream\npmetastream.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{A2B067B3-1C61-412C-839B-28D9145AFA41}: NameServer = 192.168.121.252,192.168.121.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{B1F1579E-44EE-407D-824F-E1EC00BDDCCD}: NameServer = 205.188.146.145
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\Antivir\AVGUARD.EXE
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: AOL Privacy Protection Service (AOLService) - Unknown owner - C:\Programme\AOL Privacy Protection\\aolserv.exe
O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\Virenschutz\AVKService.exe
O23 - Service: G DATA Virenschutz Wächter (AVKWCtl) - Unknown owner - C:\Programme\Virenschutz\AVKWCtl.exe
O23 - Service: AVM BT Connection Service - AVM Berlin - C:\Programme\avmclient\avmbtservice.exe
O23 - Service: AVM BT PAN Service - AVM Berlin - C:\Programme\avmclient\panapp.exe
O23 - Service: AVM BT OBEX Service (AvmObexService) - AVM Berlin - C:\Programme\avmclient\AvmObexService.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\Antivir\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\PROGRAMME\TELEDAT\de_serv.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~3\SPEEDD~1\nopdb.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\GEMEIN~1\SONYSH~1\AVLib\Sptisrv.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\System32\Tablet.exe
O23 - Service: VAIO Media Music Server (Application) (VAIOMediaPlatform-MusicServer-AppServer) - Unknown owner - C:\Programme\Sony\vaio media music server\SSSvr.exe" /Service=VAIOMediaPlatform-MusicServer-AppServer /DisplayName="VAIO Media Music Server (Application) (file missing)
O23 - Service: VAIO Media Music Server (HTTP) (VAIOMediaPlatform-MusicServer-HTTP) - Unknown owner - C:\Programme\Gemeinsame Dateien\Sony Shared\vaio media platform\sv_httpd.exe" /Service=VAIOMediaPlatform-MusicServer-HTTP /RegRoot="Software\Sony Corporation\VAIO Media Platform\2.0" /RegExt="Applications\MusicServer\HTTP (file missing)
O23 - Service: VAIO Media Music Server (UPnP) (VAIOMediaPlatform-MusicServer-UPnP) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\vaio media platform\UPnPFramework.exe
O23 - Service: VAIO Media Photo Server (Application) (VAIOMediaPlatform-PhotoServer-AppServer) - Unknown owner - C:\Programme\sony\photo server 20\appsrv\PicAppSrv.exe
O23 - Service: VAIO Media Photo Server (HTTP) (VAIOMediaPlatform-PhotoServer-HTTP) - Unknown owner - C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\SV_Httpd.exe" /Service=VAIOMediaPlatform-PhotoServer-HTTP /RegRoot="Software\Sony Corporation\VAIO Media Platform\2.0" /RegExt="\Applications\PhotoServer\HTTP (file missing)
O23 - Service: VAIO Media Photo Server (UPnP) (VAIOMediaPlatform-PhotoServer-UPnP) - Sony Corporation - C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\UPnPFramework.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
O23 - Service: Remote Procedure Call (RPC) Helper (%AFå¤¶À¨) - Unknown owner - C:\WINDOWS\system32\netqq.exe (file missing)

Dané · 03.03.2005, 12:45

@Constance

Deine Firewall scheint deaktiviert zu sein ,oder falls du keine hast ,dann solltest du dir eine anschaffen.

Die unten aufgelisteten können weg.

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\srnct.dll/sp.html#37049

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\srnct.dll/sp.html#37049

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\srnct.dll/sp.html#37049

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://customer.symantec.com/NASAp...=&p_vendor_tag=

R3 - Default URLSearchHook is missing

Dannach lade dir mal escan runter und lass nochmal durchlaufen und guck ob er noch was findet.

cacatoa · 03.03.2005, 13:14

@ constance:
Weiterhin auch das noch fixen:
O2 - BHO: (no name) - {C88E144F-4510-0AF3-96D3-FA4B4D451F0F} - C:\WINDOWS\ieid32.dll
O4 - Global Startup: NaturalColorLoad.lnk = ?
O23 - Service: VAIO Media Music Server (Application) (VAIOMediaPlatform-MusicServer-AppServer) - Unknown owner - C:\Programme\Sony\vaio media music server\SSSvr.exe" /Service=VAIOMediaPlatform-MusicServer-AppServer /DisplayName="VAIO Media Music Server (Application) (file missing)
O23 - Service: VAIO Media Music Server (HTTP) (VAIOMediaPlatform-MusicServer-HTTP) - Unknown owner - C:\Programme\Gemeinsame Dateien\Sony Shared\vaio media platform\sv_httpd.exe" /Service=VAIOMediaPlatform-MusicServer-HTTP /RegRoot="Software\Sony Corporation\VAIO Media Platform\2.0" /RegExt="Applications\MusicServer\HTTP (file missing)
O23 - Service: VAIO Media Photo Server (HTTP) (VAIOMediaPlatform-PhotoServer-HTTP) - Unknown owner - C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\SV_Httpd.exe" /Service=VAIOMediaPlatform-PhotoServer-HTTP /RegRoot="Software\Sony Corporation\VAIO Media Platform\2.0" /RegExt="\Applications\PhotoServer\HTTP (file missing)

Dann die Dateien:
C:\WINDOWS\ieid32.dll
C:\WINDOWS\srnct.dll/sp.html#37049
manuell löschen.

Bitte vorher die: C:\WINDOWS\ieid32.dll
und die: C:\WINDOWS\system32\ieve.exe zu
"Malware-upload" schicken (siehe meine Signatur) und ebenfalls bei Jotti online scannen lassen und das Ergebnis hierher posten!
cacatoa

Constance · 03.03.2005, 13:53

Es ist wie verhext,

habe die von Euch genannten Einträge gefixt, aber die, die ich versenden soll, und die ich manuell löschen soll sind nicht auffindbar.

Was nun???

Dann die Dateien:
C:\WINDOWS\ieid32.dll
C:\WINDOWS\srnct.dll/sp.html#37049
manuell löschen.

Bitte vorher die: C:\WINDOWS\ieid32.dll
und die: C:\WINDOWS\system32\ieve.exe zu
"Malware-upload" schicken (siehe meine Signatur) und ebenfalls bei Jotti online scannen lassen und das Ergebnis hierher posten!
cacatoa

cacatoa · 03.03.2005, 14:43

Die Dateien sind da:
Linke Maustaste Arbeitsplatz, Extras, Ordneroptionen, Ansicht, hier: Haken weg bei: geschützte Systemdateien ausblenden, Haken hin bei: Alle Dateien und Ordner anzeigen und Haken hin bei: Inhalte von Systemordnern anzeigen.
Dann findest du sie.
cacatoa

Constance · 03.03.2005, 17:08

Auch danach kann ich leider die Dateien nirgends finden... Einige sind nun im Windowsordner blau geschrieben, aber hier ist nichts mit dabei...

Ich finde nur eine C:\WINDOWS\srnct.dll jedoch ohne den Zusatz.

Hilfeeeeeeeee!

Dann die Dateien:
C:\WINDOWS\ieid32.dll
C:\WINDOWS\srnct.dll/sp.html#37049
manuell löschen.

Bitte vorher die: C:\WINDOWS\ieid32.dll
und die: C:\WINDOWS\system32\ieve.exe zu
"Malware-upload" schicken (siehe meine Signatur) und ebenfalls bei Jotti online scannen lassen und das Ergebnis hierher posten!
cacatoa[/QUOTE]

cacatoa · 03.03.2005, 20:29

Dann hätte ich doch gerne ein neues HJT-Logfile.
cacatoa

Hilfe bei Trojan-Downloader.Win32.Agent.jb

Plagegeister aller Art und deren Bekämpfung: Hilfe bei Trojan-Downloader.Win32.Agent.jb