Trojaner Agent

KaiHawaii

Hi,

The Cleaner meldet mir beim Start, einen Trojaner namens Agent.
Anbei mein HiJack Log

Logfile of HijackThis v1.99.1
Scan saved at 15:32:13, on 15.03.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\msupd.exe
c:\bin\prog\numega\PCShared\NCS.EXE
C:\WINNT\system32\RKillSrv.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\ntptime.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\mdm.exe
C:\bin\hardware\logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\bin\comm\cfos_5_20\cFosDNT.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\bin\multimed\Winamp\winampa.exe
C:\WINNT\system32\internat.exe
C:\bin\system\seti\SETI@home.exe
C:\PROGRA~1\GEMEIN~1\COMPUW~1\NMDBInfo.EXE
C:\bin\comm\BinTec\BRICKware\brkmon.exe
C:\bin\office\Office\FINDFAST.EXE
C:\bin\office\Office\OSA.EXE
C:\bin\utils\winzip\WZQKPICK.EXE
C:\bin\utils\desknote\desktopnotes.exe
C:\bin\edit\UEdit\uedit32.exe
C:\WINNT\System32\MsiExec.exe
C:\Programme\Sophos\Sophos Anti-Virus\SavService.exe
C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
C:\Programme\Sophos\AutoUpdate\ALsvc.exe
C:\Programme\Sophos\AutoUpdate\ALMon.exe
C:\Programme\Sophos\Sophos Anti-Virus\SAVMain.exe
C:\Programme\Sophos\Sophos Anti-Virus\SavProgress.exe
C:\Programme\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=wwwproxy.flexis.de:3128
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.flexis.de;localhost;<local>
F2 - REG:system.ini: UserInit=C:\WINNT\system32\Userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\bin\edit\Adobe\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {2C1E9F92-1388-75FE-0A66-BC946110C595} - C:\WINNT\system32\uqkpdsxo.dll
O2 - BHO: (no name) - {7E9FA64D-5B41-DDE7-9BFF-412848A46AA3} - (no file)
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [WinVNC] "C:\bin\tools\winvnc\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [MOD] c:\bin\graphics\edit\microangelo\muamgr.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [EM_EXEC] C:\bin\hardware\logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [cFosDNT] C:\bin\comm\cfos_5_20\cFosDNT.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [WinampAgent] C:\bin\multimed\Winamp\winampa.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [seticlient] c:\bin\system\seti\SETI@home.exe -min
O4 - HKCU\..\Run: [NMDBInfo] C:\PROGRA~1\GEMEIN~1\COMPUW~1\NMDBInfo.EXE /Automation
O4 - Startup: Desktopnotes.lnk = C:\bin\utils\desknote\desktopnotes.exe
O4 - Startup: F-Laufwerk.lnk = C:\WINNT\system32\subst.exe
O4 - Global Startup: Activity Monitor.lnk = C:\bin\comm\BinTec\BRICKware\brkmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\bin\edit\Adobe\Reader\Reader\reader_sl.exe
O4 - Global Startup: AutoUpdate Monitor.lnk = C:\Programme\Sophos\AutoUpdate\ALMon.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\bin\hardware\logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\bin\office\Office\FINDFAST.EXE
O4 - Global Startup: Office-Start.lnk = C:\bin\office\Office\OSA.EXE
O4 - Global Startup: T-Laufwerk.lnk = C:\WINNT\system32\subst.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\bin\utils\winzip\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://c:\winnt\downloaded program files\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: =>&Deutsch - http:\\wordreference.com\de\j\iede99.htm
O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\bin\comm\FreeDownloadManager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\bin\comm\FreeDownloadManager\dlselected.htm
O8 - Extra context menu item: Download &All by FD - C:\bin\system\Fresh\Download\fdiectx2.htm
O8 - Extra context menu item: Download with &FD - C:\bin\system\Fresh\Download\fdiectx.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\winnt\downloaded program files\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Mit FDM herunterladen - file://C:\bin\comm\FreeDownloadManager\dllink.htm
O8 - Extra context menu item: Verweisseiten - res://c:\winnt\downloaded program files\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Webseiten mit FDM herunterladen - file://C:\bin\comm\FreeDownloadManager\dlpage.htm
O8 - Extra context menu item: Zend Studio - Debug current page - res://C:\bin\prog\php\zend\bin\ZendIEToolbar.dll/DebugCurrent.html
O8 - Extra context menu item: Zend Studio - Debug next page - res://C:\bin\prog\php\zend\bin\ZendIEToolbar.dll/DebugNext.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\winnt\downloaded program files\GoogleToolbar1.dll/cmsimilar.html
O16 - DPF: {072D3F2E-5FB6-11D3-B461-00C04FA35A21} (CFForm Runtime) - https://www.az.blm.gov/CFIDE/classes/CFJava.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://apple.speedera.net/qtinstall....eInstaller.exe
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/de/de.../GoogleNav.cab
O16 - DPF: {AD08A333-609E-11D3-950C-008098601567} - http://wordreference.com/Install/Eng...o%20German.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = flexis.de
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = flexis.de
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = flexis.de
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Miscrosoft Updates Service (MsUpdate) - Unknown owner - C:\WINNT\system32\msupd.exe
O23 - Service: Numega Control Service (NCS) - Compuware Corporation - NuMega Lab - c:\bin\prog\numega\PCShared\NCS.EXE
O23 - Service: NTPTime - Unknown owner - C:\WINNT\System32\ntptime.exe
O23 - Service: OracleOra81ClientCache - Unknown owner - C:\bin\db\Oracle\ora81\BIN\ONRSD.EXE
O23 - Service: Remote Process Killer - Unknown owner - C:\WINNT\system32\RKillSrv.exe
O23 - Service: Sophos Anti-Virus Statusreporter (SAVAdminService) - Sophos plc - C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
O23 - Service: Sophos Anti-Virus (SAVService) - Sophos plc - C:\Programme\Sophos\Sophos Anti-Virus\SavService.exe
O23 - Service: Sophos AutoUpdate Service - Sophos plc - C:\Programme\Sophos\AutoUpdate\ALsvc.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\bin\tools\winvnc\WinVNC.exe" -service (file missing)

Aufgrund folgendes Eintrags habe ich die dementsprechende Datei entfernt (Auch mit KillBox.exe). Nach Reboot erscheint mir hier aber immer wieder eine neue Datei mit einem kryptischen Namen. Sophos meldet mir diese Datei auch nicht als Virus. EScan meldet "Trojan-Dropper.Win32.Agent.fu"

O2 - BHO: (no name) - {2C1E9F92-1388-75FE-0A66-BC946110C595} - C:\WINNT\system32\uqkpdsxo.dll

Ich konnte bisher noch keinen Prozess identifizieren, der dieses Verhalten hervorruft.

Ciao
Reiner