Salü,

ich hab seit Tagen seltsame Icons in der Taskleiste, eins das immer wechselt zwischen nem Rollstuhl und einem durchgestrichenen roten Kreis und ein ausrufezeichen in nem gelben dreieck...

Hab auch schon nach den angezeigten exe im Taskmanager gegooglet und wenn ich die seltsamen beende starten sie sich gleich wieder neu...

Kann mir jemand helfen?

Gruß SyrinxX


Logfile of HijackThis v1.99.1
Scan saved at 20:28:30, on 02.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Programme\TGTSoft\StyleXP\StyleXPService.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\nvsvc32.exe
D:\Programme\ICQLite\ICQLite.exe
D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
D:\WINDOWS\System32\svchost.exe
D:\Programme\Teamspeak2_RC2\TeamSpeak.exe
D:\WINDOWS\system32\atmclk.exe
D:\Programme\Trend Micro\Tmas\tmas.exe
D:\Mule Client neu\emule\emule.exe
D:\Programme\Mozilla Firefox\firefox.exe
D:\WINDOWS\system32\dcomcfg.exe
D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\WINDOWS\system32\rundll32.exe
D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programme\AntiVir PersonalEdition Classic\sched.exe
D:\Programme\WinRAR\WinRAR.exe
D:\DOKUME~1\xxx\LOKALE~1\Temp\Rar$EX18.129\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Nothing - {b0398eca-0bcd-4645-8261-5e9dc70248d0} - D:\WINDOWS\system32\hpC016.tmp
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TkBellExe] "D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avgnt] "D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [C-Media Speaker Configuration] \Setup.exe /SPEAKER
O4 - HKLM\..\Run: [C-Media Echo Control] D:\Programme\PCI Audio Applications\Bin\EchoCtrl.exe
O4 - HKCU\..\Run: [STYLEXP] D:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Trend Micro Anti-Spyware.lnk = D:\Programme\Trend Micro\Tmas\Tmas.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O16 - DPF: {74CD40EA-EF77-4BAD-808A-B5982DA73F20} - hxxp://yax-download.yazzle.net/YazzleActiveX.cab?refid=1162
O17 - HKLM\System\CCS\Services\Tcpip\..\{38B6DC16-5D9B-4A43-9FDC-10EB44870085}: NameServer = 217.237.148.17 217.237.148.65
O20 - Winlogon Notify: winzdd32 - D:\WINDOWS\SYSTEM32\winzdd32.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: FileZilla Server FTP server (FileZilla Server) - Unknown owner - C:\Programme\xampp\FileZillaFTP\FileZillaServer.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe
O23 - Service: StyleXPService - Unknown owner - D:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - D:\Programme\RealVNC\VNC4\WinVNC4.exe"

@SyrinxX

Zitat:

Hab auch schon nach den angezeigten exe im Taskmanager gegooglet

Kannst Du bitte noch sagen: wer/was, wie und welche *.exe-Dateien wurden angezeigt?

Zitat:

D:\WINDOWS\system32\atmclk.exe

Riecht nach SpyFalcon. Stöbere hier im Board. Es gab schon zig Threads davon.

Zitat:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
O2 - BHO: Nothing - {b0398eca-0bcd-4645-8261-5e9dc70248d0} - D:\WINDOWS\system32\hpC016.tmp
O16 - DPF: {74CD40EA-EF77-4BAD-808A-B5982DA73F20} - hxxp://yax-download.yazzle.net/YazzleActiveX.cab?refid=1162
O20 - Winlogon Notify: winzdd32 - D:\WINDOWS\SYSTEM32\winzdd32.dll

Fixe diese Einträge mit Hijackthis.
Wechsle in abgesicherten Modus, lösche die Dateien

Zitat:

D:\WINDOWS\system32\hpC016.tmp
D:\WINDOWS\SYSTEM32\winzdd32.dll
D:\WINDOWS\system32\atmclk.exe

Schalte Systemwiederherstellung aus.
Bereinige Dein System mit Clearporg (s. Link in meiner Signatur).
Spybot+Ad-Aware laufen lassen

mOIn ihr's,
äh gehört der : D:\WINDOWS\system32\dcomcfg.exe
nich auch noch dazu ?
MFG aus HH

Zitat:

... gehört der : D:\WINDOWS\system32\dcomcfg.exe
nich auch noch dazu ?

Jau, gehört auch zur Familie, wobei ich mich frage, ob diese Datei

Code: Alles auswählenAufklappen

ATTFilter

D:\WINDOWS\SYSTEM32\winzdd32.dll
         

nicht zu Agent.qt gehört, welcher zumindest teilweise als Backdoor eingestuft wird. In anderen Foren bei denen die Scans von virustotal und jotti gepostet werden, werden die Dateien von einigen als Backdoor klassifiziert. Sophos wählt Bckdr-GWD als Namen, erwähnt in der Beschreibung aber keine Backdoorfunktionalität. Ich bin verwirrt. Wer weiss mehr?

@ MM

Im Zweifel nicht fragen, sondern den TO bitten sowas einzusenden!

@cronos

Mir ging es eher darum, wie der Agent.qt allgemein eingestuft wird.
a² sieht ihn als Backdoor, Sophos benennt ihn wie einen Backdoor, beschreibt ihn aber anders und beim Rest ist es schwierig überhaupt was zu finden.

Willkommen in der bunten Welt der Malware, der Malware-Removal-Firmen und letztendlich deren Namensgebung.
Zunächst hoffe ich mal, das dass deine Unterstützung findet:

http://cme.mitre.org

Und zum eigentlichen (QT):

Scheint erstmal ein Trojaner zu sein! Die danach anfallende Kommunkation läuft, wie Sophos beschreibt über Remote Server. Es ist auf jeden Fall ein Hybrid und da er sicherlich noch etwaigen Mist hinter sich herzieht mit Vorsicht zu betrachten. Das alles läuft dann wohl über http- ist auf jeden Fall kein Bot- Backdoor ist wohl immer wo man die Grenze zieht.
Das ist eigentlich keiner!

Die cme-List kannte ich noch nicht. Danke für den Link. Gibt es da auch eine funktionierende Suchfunktion für die List oder gibt es dort nur das hier http://cme.mitre.org/find/index.html?