Hallo, also habe folgendes Problem. Ich wollte bei meiner Firewall eine einstellung ändern, bezüglich den incoming-rules. Allerdings meldete sich Kaspersky das meine Privoxy.exe mit dem Trojan.Win32.Agent.sk infiziert wäre. Habe leider 0 Infos zu dem Teil gefunden. Möchte auch nur sehr ungerne mein system formatieren. Deswegen hier mein Log. Bitte um Objektive meinung zum sicherheitsstatus meines systems. (frage mich ehh wie ich an das dingen gekommen sein soll. ich installiere so gut wie nie was. und vorallem nichts was ich nicht kenne)

Logfile of HijackThis v1.99.1
Scan saved at 21:52:44, on 19.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\Ati2evxx.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\spoolsv.exe
F:\WINDOWS\system32\oodag.exe
F:\Programme\Agnitum\Outpost Firewall\outpost.exe
F:\WINDOWS\system32\Ati2evxx.exe
F:\WINDOWS\Explorer.EXE
F:\Programme\cFos\cFosDNT.exe
C:\Programme\PeerGuardian2\pg2.exe
F:\Programme\Jetico\BestCrypt\BCResident.exe
C:\Programme\TorCP\TorCP.exe
C:\Programme\Tor\tor.exe
C:\Programme\SecureCRT\SecureCRT.EXE
C:\programme\mIRC\mirc.exe
F:\Programme\WinTV\WinTV2K.EXE
F:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\Privoxy\privoxy.exe
F:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O4 - HKLM\..\Run: [cFosDNT] F:\Programme\cFos\cFosDNT.exe
O4 - HKLM\..\Run: [KAVPersonal50] "F:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [Outpost Firewall] F:\Programme\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [NeroFilterCheck] F:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKCU\..\Run: [PeerGuardian] C:\Programme\PeerGuardian2\pg2.exe
O4 - Startup: BaliDDNS.lnk = F:\Programme\BaliDNS\BaliDDNS.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{D8C09FDC-BCA7-4D1B-ADEC-06FF6954D6A6}: NameServer = 123.xxx.xxx.xxx 123.xxx.xxx.xxx
O20 - AppInit_DLLs: F:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - F:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - F:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - F:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: kavsvc - Kaspersky Lab - F:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: O&O Defrag - O&O Software GmbH - F:\WINDOWS\system32\oodag.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - F:\Programme\Agnitum\Outpost Firewall\outpost.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

Zitat:

C:\Programme\SecureCRT\SecureCRT.EXE
F:\Programme\BaliDNS\BaliDDNS.exe

Kenn ich nicht. Sagen Dir diese Programme was?
Kannst die ja mal bei Jotti oder Kaspersky auswerten lassen. Ergebnisse posten.

hi, danke für die schnelle antwort. jo ich kenne die beiden. das erste ist nen telnet client, das letztere ist nen dyndns updater. die einträge die mir absolut nix sagen und die ich auch noch nie gesehen habe sind die hier.
O17 - HKLM\System\CCS\Services\Tcpip\..\{D8C09FDC-BCA7-4D1B-ADEC-06FF6954D6A6}: NameServer = xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx

und der eintrag.
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - F:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

was mir auch nicht so ganz klar ist, warum der eintrag hier fehlerhaft ist und wieso er überhaupt da ist( des programme kenne ich und ist absichtlich drauf, brauche es für ethereal)
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

Habe auch schon meinen Traffic scniffed mit ethereal und besten gewissens ausgewertet. aber nichts gefunden verzweifel hier noch. vorallem da ich nicht weiss woher der trojan kam, wenn es überhaupt einer war. kommt ja auch mal vor das nen virenscanner was als virus deklariert, wobei er es nicht ist.

hoffe weiterhin auf hilfe


mfg
andreaB

Hallo,

Dein Log erscheint mir sehr kurz, wo hast Du es erstellt?
Deweiteren gib uns die IP an,

Zitat:

F:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

ist normal, wieso ist Windows bei Dir auf F: ?
Dualboot System ?
Das file missing bei den 023 Einträgen ist ein HJT Bug, das Programm ist völlig in Ordnung.

Gruß

Schrulli

Zitat:

Allerdings meldete sich Kaspersky das meine Privoxy.exe mit dem Trojan.Win32.Agent.sk infiziert wäre.

Diese Datei Privoxy.exe, wo befindet die sich denn, die Kaspersky beanstandet?

hi,

also es hat mich auch gewundert warum es so kurz ist. ich musste auch kein homedir von mir entfernen aus dem log etc. Welche IP meinst du genau ? Die ich mit 123.xxx. unkennbar gemacht habe ? Zu deiner Frage, wieso sich mein System auf F: befindet. Mein System ist etwas anders aufgebaut als andere. Ich fahre mehrere Partitionen, wobei meine Boot-Partition nicht die ist, wo auch das OS drauf ist und halt noch einige andere einstellungen, die aber nun auch zu lange dauern würden zu erläutern. Falls noch Fragen bestehen, beantworte ich sie natürlich unverzüglich. Möcht halt nicht unsinnig spammen

lg
AndreaB



nachtrag: C:\Programme\Privoxy\privoxy.exe

Hallo,

@ cosinus: C:\Programme\Privoxy\privoxy.exe hier
@ AndreaB: Hast Du die Datei auch schon mal bei Jotti hochgeladen? Wenn Du die IP hier snicht schreiben willst, dann mach doch mal eine whois Abfrage.
Ansonsten verstehe ich trotzdem nicht, warum Dein System auf F: liegt und Du die anderen Partitionen vor dem OS hast, aber ich muss ja auch nicht alles wissen.

Gruß

Schrulli

habe die datei nun nicht mehr. kaspersky hat sie gelöscht
habe die ip gerade checked bei ripe. iss auch ne t-online ip. danach mit in die shell und tracert ausgeführt. siehe da ein proxy. bin gerade wieder am sniffen mit ethereal und gucke mir danach die logs in ruhe durch. bin da aber auch nicht der Fachmann. Immer noch am lernen sozusagen. Hier mal das ergebnis was bei tracert rauskam.
Routenverfolgung zu www-proxy.DO1.srv.t-online.de [217.237.151.225] über maxima
l 30 Abschnitte:

1 76 ms 53 ms 60 ms 217.x.xx.xx
2 53 ms 52 ms 53 ms www-proxy.DO1.srv.t-online.de [217.237.151.225]

was bewirkt denn dieser eintrag:
O17 - HKLM\System\CCS\Services\Tcpip\..\{D8C09FDC-BCA7-4D1B-ADEC-06FF6954D6A6}: NameServer = 217.237.151.225 217.237.150.225

das mein logfile so kurz war find ich auch sehr komisch.

AndreaB