Trojanische Pferd TR/Drop.Agent.CP!

trancedragon · 07.05.2005, 12:32

Hallo
Mein AntiVir hat heute mehrfach dasTrojanische Pferd TR/Drop.Agent.CP!entdeckt und gelöscht. Jetzt scheint er nicht mehr aufzutauchen, obwohl der Löschvorgang nicht geändert wurde. Bin ich den Trojaner jetzt los? Ich habe mein Hijack Logfile mal hier gepostet und hoffe jemand erbarmt sich und schaut es mal noch fiesen Dingen durch ...
Vielen vielen vielen Dank!!!

gruss klaus

Logfile of HijackThis v1.99.1
Scan saved at 13:31:11, on 07.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\RegSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\SAMSUNG\MagicKBD\MagicKBD.exe
C:\WINDOWS\system32\1XConfig.exe
C:\PROGRA~1\ICQ\ICQ.exe
C:\Programme\Opera\Opera.exe
C:\Programme\Yahoo!\Messenger\YPager.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\WinMX\WinMX.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Apache Group\Apache2\bin\Apache.exe
C:\Programme\Apache Group\Apache2\bin\Apache.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\UltraEdit\uedit32.exe
C:\Dokumente und Einstellungen\yumenara\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.arcor-ip.de:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = http://192.168.0.1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [MagicKeyboard] C:\Programme\SAMSUNG\MagicKBD\PreMKBD.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O8 - Extra context menu item: Easy-WebPrint Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1095454344040
O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) - http://f007.mail.lycos.de/app/uploader/FileUploader.cab
O20 - Winlogon Notify: Sebring - C:\WINDOWS\system32\LgNotify.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Apache2 - Unknown owner - C:\Programme\Apache Group\Apache2\bin\Apache.exe" -k runservice (file missing)
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: MySql - Unknown owner - C:/mysql/bin/mysqld-nt.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\system32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\system32\S24EvMon.exe

rock · 07.05.2005, 14:38

wär halt schön zu wissen wo antivir was gefunden und gelöscht hat.

diese anwendung bei kaspersy (siehe link) hochladen und prüfen lassen! sofern du sie selbst nicht zuordnen kannst. der pfad system32 passt nicht so dazu lt. onlineauswertung...
C:\WINDOWS\system32\1XConfig.exe

http://www.kaspersky.com/de/remoteviruschk.html

was ist das Winlogon (sebring??)
O20 - Winlogon Notify: Sebring - C:\WINDOWS\system32\LgNotify.dll

wenn du es findest ebenso hochladen und prüfen.

lade dir dann dieses tool, den Stinger (mc afee) herunter:
http://vil.nai.com/vil/stinger/ und den cleaner von avast (der sämtliche agent-varainten erkennt!)
http://www.avast.com/eng/down_cleaner.html

dann den rechner in den abgesicherten modus starten, die temporären internetfiles incl.offlineinhalte löschen! den ordner TEMP leeren, den papierkorb leeren! das tool starten. (wenn es durch war) anschliesend das zweite. sollten diese verdächtigen anwendungen infiziert sein, sollten stinger bzw. avast-cleaner es merken.

rock · 07.05.2005, 15:24

sollten die anwendungen sauber sein...dann kann es auch ein fehlalarm sein!

hab gerade bei antivir ein thema gefunden wo einige schon die selbe trojanermeldung wie du haben...aber nur ist da kein trojaner...

daher hätte zu beginn vielleicht schon gereicht wenn du erwähnt hättest WO antivir was meldet:

hier das thema:
http://www.free-av.de/cgi-bin/ubb/ul...&f=12&t=005894

(TR/Drop.Agent.CP) in QTTASK.EXE

AntiVir 6.30.0.12 05.06.2005 TR/Drop.Agent.CP

AVG 718 05.06.2005 no virus found
BitDefender 7.0 05.07.2005 no virus found
ClamAV devel-20050501 05.05.2005 no virus found
DrWeb 4.32b 05.06.2005 no virus found
eTrust-Iris 7.1.194.0 05.06.2005 no virus found
eTrust-Vet 11.9.1.0 05.06.2005 no virus found
Fortinet 2.51 05.07.2005 no virus found
Ikarus 2.32 05.06.2005 no virus found
Kaspersky 4.0.2.24 05.07.2005 no virus found
McAfee 4486 05.06.2005 no virus found
NOD32v2 1.1089 05.05.2005 no virus found
Norman 5.70.10 05.03.2005 no virus found
Panda 8.02.00 05.07.2005 no virus found
Sybari 7.5.1314 05.07.2005 no virus found
VBA32 3.10.3 05.07.2005 no virus found

trancedragon · 07.05.2005, 15:45

danke für die Antworten...

Hier die Warnung...

kann echt sein das Fehlalarm, da ich sehr vorsichtig bin
und alles laufen habe (firewall etc.) hab auch nix runtergeladen
was das hätte verursachen können..

07.05.2005,00:44:12 [WARNUNG] Ist das Trojanische Pferd TR/Drop.Agent.CP!
C:\PROGRAMME\QUICKTIME\QTTASK.EXE

07.05.2005,10:03:31 [WARNUNG] Ist das Trojanische Pferd TR/Drop.Agent.CP!
C:\SYSTEM VOLUME INFORMATION\_RESTORE{EC87315D-9445-4C2C-BEED-7D6C6D264C75}\RP180\A0015177.EXE

Chris14 · 07.05.2005, 16:00

1.escan
-lade dir escan runter und gehe genau nach dieser Anleitung vor

2.einträge löschen
-fixe mit HijackThis diese einträge:
O20 - Winlogon Notify: Sebring - C:\WINDOWS\system32\LgNotify.dll
O23 - Service: Apache2 - Unknown owner - C:\Programme\Apache Group\Apache2\bin\Apache.exe" -k runservice (file missing)

3.dateien löschen
-lsöche die datei lgnotify.dll im ordner c:\windows\system32
-lösche natürlich auch alle von escan beanstandeten dateien (alle infected)
(falls die dateien nicht angezeigt werden gehe so vor:
klicke auf extras, dann auf ordneroptionen
klicke auf ansicht
mach den haken bei "geschützte systemdateien ausblenden" weg
mach nen haken bei "inhalte von systemordnern anzeigen" hin
selektiere "alle dateien und ordner anzeigen")

4.ergebnisse
-gehe wieder in den normalen modus
-öffne die datei mwav.log,klicke auf bearbeiten dann auf suchen
-gebe infected ein
-suche weiter,markiere die treffer und kopiere sie ins forum
-poste ein neues HijackThis log

rock · 07.05.2005, 16:06

in qicktime ist dieser trojaner ein fehlalarm!

die meldung in restore kannst du wegbekommen indem du einmal die systemwiederherstellung deaktivierst/neustart. später wieder einschalten.

rock

edit: alles andere was eventuell noch viren/trojaner sind und antivir nicht kennt, kanst du an antivir einsenden damit diese objekte auch einmal erkannt werden.
hättest du sie schon gecheckt wüssten wir was dahintersteckt.

edit:
hier kannst du infecte daten hochladen die antivir nicht kennt mit deinem kommentar und gut wäre sogar das ergebnis von anderen scannern hinzufügen:
http://www.antivir-pe.de/de/support/...ien/index.html

trancedragon · 07.05.2005, 16:26

1.escan
-lade dir escan runter und gehe genau nach dieser Anleitung vor

---> hab ich gemacht ! findet nix !

2.einträge löschen
-fixe mit HijackThis diese einträge:
O20 - Winlogon Notify: Sebring - C:\WINDOWS\system32\LgNotify.dll

O23 - Service: Apache2 - Unknown owner - C:\Programme\Apache Group\Apache2\bin\Apache.exe" -k runservice (file missing)

--> hab nen Apache Webserver laufen.. das stimmt schon...

3.dateien löschen
-lsöche die datei lgnotify.dll im ordner c:\windows\system32

--> muss die wirklich weg ? hab mal online gescant.. alles sauber ?

rock · 07.05.2005, 16:34

klingt schon gut!

wenn escan nichts anmeckert (kaspersky-engine), ein onlinescan nichts meldet...dann bleibts beim fehlalarm in der quicktimeplayer-anwendung...

und du müsstest nichteinmal auf die systemwiederehrstellung verzichten, denn der eintrag in restore kann dir nichts tun...schon garnicht vom fehlalarm...

Cidre · 07.05.2005, 16:37

Zitat:

-lsöche die datei lgnotify.dll im ordner c:\windows\system32
--> muss die wirklich weg ? hab mal online gescant.. alles sauber

Nein, siehe -> http://www.fbeej.dk/NewHJTEntries.htm

Trojanische Pferd TR/Drop.Agent.CP!

Log-Analyse und Auswertung: Trojanische Pferd TR/Drop.Agent.CP!