Trojan.Win32.Agent.ud

Archilles · 20.11.2006, 00:19

Hallo zusammen,

ich habe einen Virencheck mit dem Kaspersky-Online Scanner gemacht und dabei wurde mit gesagt, dass auf meiner zweiten Festplatte der Trojaner "Trojan.Win32.Agent.ud" in Ordner "System Volume Information" sei. Mit dem normalen Virenscanner von Kaspersky wurde dieser aber nicht entdeckt. Ich habe im Internet nach diesem Virus gesucht, konnte aber irgendwie nichts finden. Nur dass die Datei "autoclk.exe" mit diesem Virus verbunden ist, aber so eine Datei existiert bei mir nicht.
Was soll ich nun machen bzw. was kann ich tun? Gibt es diesen Virus wirklich? Kann ich herausfinden ob ich nun infiziert bin oder nicht?
Bitte hilft mir.

cosinus · 20.11.2006, 00:42

Wurde der angebliche Schädling nur auf der zweiten Festplatte entdeckt? Was ist auf diese Platte gespeichert? Wurden letzens Meldungen zu Viren von der Systempartition z.B. im Windowsordner von Kaspersky gezeigt?
Poste mal am besten ein Hijackthis-Logfile.

Archilles · 20.11.2006, 16:23

Auf C: findet der Onlinescanner keinen Virus. Ansonsten ist die zweite Platte auch sauber, bis auf den genannten Virus im Systemordner.
Auf der zweiten Platte sind nur irgendwelche Dokumente für die Uni und so. Keine Programme oder dergleichen.

Hier ist mal der Hijackthis-Log:
Logfile of HijackThis v1.97.7
Scan saved at 16:20:16, on 20.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\MSTMON_N.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\rclumad.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
E:\Programme\Board\HijackThis.exe

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [KONICA MINOLTA PagePro 1300WStatusDisplay] C:\WINDOWS\system32\MSTMON_N.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AWMON] "C:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: AutoCAD-Startbeschleuniger.lnk = C:\Programme\Gemeinsame Dateien\Autodesk Shared\acstart16.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/kavwebscan_unicode.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

cosinus · 20.11.2006, 21:28

Zitat:

Logfile of HijackThis v1.97.7

Nimm bitte die aktuelle Version von Hijackthis!

Archilles · 21.11.2006, 17:45

Logfile of HijackThis v1.99.1
Scan saved at 17:44:18, on 21.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\MSTMON_N.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\rclumad.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
E:\Programme\Board\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [KONICA MINOLTA PagePro 1300WStatusDisplay] C:\WINDOWS\system32\MSTMON_N.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AWMON] "C:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: AutoCAD-Startbeschleuniger.lnk = C:\Programme\Gemeinsame Dateien\Autodesk Shared\acstart16.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/kavwebscan_unicode.cab
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - Unknown owner - C:\WINDOWS\ATKKBService.exe (file missing)
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cluster Manager Service V2 (rcluma) - Unknown owner - C:\WINDOWS\system32\rclumad.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

nochdigger · 21.11.2006, 22:49

mOIn auch

ist das beabsichtigt, dass du den Zugriff auf die Registry gesperrt hast?
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1

wenn nicht, lasse mal Blacklight laufen und
poste anschließend das Log (findest du im selben Ordner wie Blacklight).

MFG

Archilles · 21.11.2006, 23:39

Hallo,

das ist beabsichtigt, dass die Regedit nicht aufgerufen werden kann/soll.

Blacklight hat nichts gefunden:
11/21/06 23:35:29 [Info]: BlackLight Engine 1.0.47 initialized
11/21/06 23:35:29 [Info]: OS: 5.1 build 2600 (Service Pack 2)
11/21/06 23:35:29 [Note]: 7019 4
11/21/06 23:35:29 [Note]: 7005 0
11/21/06 23:35:32 [Note]: 7006 0
11/21/06 23:35:32 [Note]: 7011 1780
11/21/06 23:35:32 [Note]: 7026 0
11/21/06 23:35:32 [Note]: 7026 0
11/21/06 23:35:32 [Note]: 7015 708
11/21/06 23:35:32 [Note]: 7015 5
11/21/06 23:35:32 [Note]: 7015 1984
11/21/06 23:35:32 [Note]: 7015 5
11/21/06 23:35:34 [Note]: FSRAW library version 1.7.1020
11/21/06 23:38:17 [Note]: 2000 1012
11/21/06 23:38:41 [Note]: 7007 0

cosinus · 22.11.2006, 00:31

Zitat:

O23 - Service: Cluster Manager Service V2 (rcluma) - Unknown owner - C:\WINDOWS\system32\rclumad.exe

Sagt Dir dieser Systemdienst etwas? Mir nämlich nicht.
Werte mal die Datei

C:\WINDOWS\system32\rclumad.exe

bei Virustotal oder Jotti aus und poste das komplette Ergebnis. Auch wenn keine Schädlinge gefunden werden ist das komplette Ergebnis mit den Angaben zu md5, sha1 (nur bei Virustotal) und v.a. Dateigröße wichtig.

Archilles · 22.11.2006, 17:41

Hier ist der virustotal-Result:
Antivirus Version Update Result
AntiVir 7.2.0.44 11.22.2006 no virus found
Authentium 4.93.8 11.22.2006 no virus found
Avast 4.7.892.0 11.22.2006 no virus found
AVG 386 11.20.2006 no virus found
BitDefender 7.2 11.22.2006 no virus found
CAT-QuickHeal 8.00 11.22.2006 no virus found
ClamAV devel-20060426 11.22.2006 no virus found
DrWeb 4.33 11.22.2006 no virus found
eSafe 7.0.14.0 11.22.2006 no virus found
eTrust-InoculateIT 23.73.63 11.22.2006 no virus found
eTrust-Vet 30.3.3205 11.21.2006 no virus found
Ewido 4.0 11.22.2006 no virus found
Fortinet 2.82.0.0 11.22.2006 no virus found
F-Prot 3.16f 11.22.2006 no virus found
F-Prot4 4.2.1.29 11.22.2006 no virus found
Ikarus 0.2.65.0 11.22.2006 no virus found
Kaspersky 4.0.2.24 11.22.2006 no virus found
McAfee 4901 11.21.2006 no virus found
Microsoft 1.1804 11.22.2006 no virus found
NOD32v2 1877 11.22.2006 no virus found
Norman 5.80.02 11.22.2006 no virus found
Panda 9.0.0.4 11.21.2006 no virus found
Prevx1 V2 11.22.2006 no virus found
Sophos 4.11.0 11.16.2006 no virus found
TheHacker 6.0.3.122 11.21.2006 no virus found
UNA 1.83 11.21.2006 no virus found

Aditional Information
File size: 143428 bytes
MD5: 6b2a1cb019fc54f559bb0213fe69aa71
SHA1: a0910c3949dfd102cdaddf19dac0872f8fd8f955

Habe mal in Netz nachgeschaut und folgendes gefunden zu dieser Datei:
http://www.wintotal.de/Spyware/index.php?Filter=R
http://de.wikipedia.org/wiki/Cluster_Manager
http://www.symantec.com/Products/enterprise?c=prodinfo&refId=61&ln=de_DE

Kann ich sonst noch was machen um sicher zu sein, dass alles in Ordnung ist?

cosinus · 22.11.2006, 19:26

Ist das denn auch ein Privatrechner, an dem Du da sitzt?
Naja, was solls. Wenn Du den Clusterdienst nicht brauchst, beende und deaktiviere ihn. Die Dinger im Ordner "SYSTEM VOLUME INFORMATION" wirst Du über eine Deaktivierung der Systemwiederherstellung los.

Archilles · 23.11.2006, 00:06

Das ist mein privater Rechner, wieso?
Wie kann ich den Cluster Manager denn deaktivieren? Hab davon keine Ahnung.

cosinus · 23.11.2006, 22:19

Naja wundert mich schon etwas, da der auf nem Privatrechner installiert ist.
Deaktivierung wie folgt: Start, Ausführen, services.msc ausführen. Es öffnet sich die Diensteverwaltung. Such dort den Cluster Manager raus, und versuch ihn zu beenden. Damit der beim nächsten Mal nicht gleich mitgestartet wird, den Starttyp auf deaktiviert setzen.
Mach mal danach einen ausführlichen Check mit eScan, siehe Link in meiner Sig.

Archilles · 25.11.2006, 00:04

Danke für den Tipp mit der Deaktierung.
Hab den Scan durchgeführt und es wurde nichts gefunden

20.11.2006, 00:42	#2
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Trojan.Win32.Agent.ud Wurde der angebliche Schädling nur auf der zweiten Festplatte entdeckt? Was ist auf diese Platte gespeichert? Wurden letzens Meldungen zu Viren von der Systempartition z.B. im Windowsordner von Kaspersky gezeigt? Poste mal am besten ein Hijackthis-Logfile. __________________ __________________

22.11.2006, 19:26	#10
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Trojan.Win32.Agent.ud Ist das denn auch ein Privatrechner, an dem Du da sitzt? Naja, was solls. Wenn Du den Clusterdienst nicht brauchst, beende und deaktiviere ihn. Die Dinger im Ordner "SYSTEM VOLUME INFORMATION" wirst Du über eine Deaktivierung der Systemwiederherstellung los. __________________ Logfiles bitte immer in CODE-Tags posten

Trojan.Win32.Agent.ud

Plagegeister aller Art und deren Bekämpfung: Trojan.Win32.Agent.ud