| |
| |||||||
Log-Analyse und Auswertung: Trojaner RKit.Agent.DW.1 gefunden - bitte um HilfeWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
04.03.2007, 03:32
| #1 |
| |  Trojaner RKit.Agent.DW.1 gefunden - bitte um Hilfe Hallo! Meine Schwester hat sich auf ihrem Computr offensichtlich einen Rootkit-Trojaner eingefangen. Ihr Virenprogramm (AntiVir PersonalEdition Classic, letztes Update vom 22.2.07) findet nach dem Hochfahren den Trojaner TR/RKit.Agent.DW.1 in der Datei runtime.sys. Die Winlogon ist laut online-scan auch infiziert (deshalb ist der Trojaner auch immer wieder da). Der Scan von Blacklight findet übrigens auch einen Hidden Process "C:\WINDOWS\system32\d2d8.exe". Bevor ich irgendwelche Lösch-Versuche anstelle, wollte ich mich hier erkundigen, ob vielleicht irgendwer genaueres über diesen speziellen Schädling weiss. Ergebnis von HijackThis (CheckHJ.com ist die umbenannte HijackThis.exe): Logfile of HijackThis v1.99.1 Scan saved at 20:12:13, on 02.03.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Canon\CAL\CALMAIN.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Alcatel\Dragdiag.exe C:\Programme\AonInformer\informer.exe C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\ICQLite\ICQLite.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\MySpace\IM\MySpaceIM.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\Programme\Nikon\PictureProject\NkbMonitor.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe C:\WINDOWS\TEMP\wuauclt.exe C:\CheckHJ\CheckHJ.com C:\WINDOWS\system32\wuauclt.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = : R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\Dragdiag.exe" /icon O4 - HKLM\..\Run: [jservice] C:\Programme\AonInformer\informer.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe" O4 - HKCU\..\Run: [MySpaceIM] C:\Programme\MySpace\IM\MySpaceIM.exe O4 - HKCU\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [HijackThis startup scan] C:\CheckHJ\HijackThis.exe /startupscan O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: hp psc 1000 series.lnk = ? O4 - Global Startup: hpoddt01.exe.lnk = ? O4 - Global Startup: NkbMonitor.exe.lnk = C:\Programme\Nikon\PictureProject\NkbMonitor.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: ImgUploader - http://www.pixum.de/int/EasyUpload/ImgUploader.cab O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.5 Control) - http://ppol.web-album.at/upload_pro/ImageUploader3.cab O16 - DPF: {A91DEB0D-AD0D-453E-9AC8-60178EC24212} (VPlayer Control) - http://www.sonypictures.com/movies/davincicode/vividas/player/vivid_ocx.jpeg O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://asp09.photoprintit.de/microsite/defaults/activex/IPSUploader.cab O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe Ergebnis von RootkitRevealer: HKLM\SECURITY\Policy\Secrets\SAC* 21.11.2005 18:02 0 bytes Key name contains embedded nulls (*) HKLM\SECURITY\Policy\Secrets\SAI* 21.11.2005 18:02 0 bytes Key name contains embedded nulls (*) C:\Dokumente und Einstellungen\Evelyn\Lokale Einstellungen\Temp\WER4c6d.dir00 16.07.2006 10:00 0 bytes Hidden from Windows API. C:\Dokumente und Einstellungen\Evelyn\Lokale Einstellungen\Temp\WER4c6d.dir00\PowerDVD.exe.hdmp 16.07.2006 10:00 0 bytes Hidden from Windows API. C:\Dokumente und Einstellungen\Evelyn\Lokale Einstellungen\Temp\WER4c6d.dir00\PowerDVD.exe.mdmp 16.07.2006 10:00 140.36 KB Hidden from Windows API. Ergebnis Online-Scan jotti.org (runtime.sys): AntiVir TR/RKit.Agent.DW.1 gefunden ArcaVir Trojan.Rootkit.Agent.Dw gefunden Avast Keine Viren gefunden AVG Antivirus BackDoor.Generic5.DBZ gefunden BitDefender Rootkit.Agent.K gefunden ClamAV Trojan.Rootkit-101 gefunden Dr.Web Keine Viren gefunden F-Prot Antivirus Keine Viren gefunden F-Secure Anti-Virus Rootkit.Win32.Agent.dw gefunden Fortinet W32/Agent.DW!tr.rkit gefunden Kaspersky Anti-Virus Rootkit.Win32.Agent.dw gefunden NOD32 Win32/Wigon.I gefunden Norman Virus Control W32/Rootkit.RW gefunden Panda Antivirus Trj/Rootkit.T gefunden VirusBuster Rootkit.Agent.GFN gefunden VBA32 Trojan.Win32.Rootkit.Agent.DW gefunden Ergebnis von Online-Scan jotti.org (winlogon): AntiVir TR/Patched.G.24 gefunden ArcaVir Keine Viren gefunden Avast Keine Viren gefunden AVG Antivirus Win32/PEPatch.U gefunden BitDefender Trojan.Keylogger.iOpus.A gefunden ClamAV Keine Viren gefunden Dr.Web Keine Viren gefunden F-Prot Antivirus Keine Viren gefunden F-Secure Anti-Virus Trojan.Win32.Patched.g gefunden Fortinet W32/Patched.G!tr gefunden Kaspersky Anti-Virus Trojan.Win32.Patched.g gefunden NOD32 Win32/Wigon.I gefunden Norman Virus Control Keine Viren gefunden Panda Antivirus Keine Viren gefunden VirusBuster Keine Viren gefunden VBA32 Keine Viren gefunden Vielen Dank im Voraus!!! Chassain |
|
04.03.2007, 15:45
| #2 |
  | Trojaner RKit.Agent.DW.1 gefunden - bitte um Hilfe hallo,
__________________dein hjt log ist fast sauber,es weist eigentlich nichts auf einen virus hin, ist ja klar denn rootkits können diese ja verbergen  fixen: C:\WINDOWS\TEMP\wuauclt.exe wenn das nicht geht mal clear prog drüberlaufen lassen! Mfg .::|||::.
__________________ |
|
04.03.2007, 15:53
| #3 | ||
| | Trojaner RKit.Agent.DW.1 gefunden - bitte um Hilfe Hallo,
__________________Zitat:
Eben drum bleibt nur der Rat der Neuinstallation! Zitat:
Lasse die Datei lieber mal Online bei Jotti oder Virustotal auswerten und Poste das Ergebnis, auch wenn nichts gefunden wird. Wichtig: Größe und Prüfsumme der Datei nicht vergessen! Aber wie gesagt, kann ich Dir nur den rat der Neuinstallation geben. Ein Link ist in meiner SIG....da ist alles sehr Ausführlich beschrieben! Gruß Mellosun
__________________ |
|
04.03.2007, 15:56
| #4 |
| /// TB-Ausbilder     | Trojaner RKit.Agent.DW.1 gefunden - bitte um Hilfe Lasse die Datei bevor du sie löschst bitte mal bei virustotal auswerten.  Die sieht nämlich schon ziemlich böse aus.  Achte bitte auf 2 Sachen: Nimm die Datei aus dem Temp-Ordner, am besten einfach kompletten Pfad abkopieren und ins weiße Kästchen bie Virustotal eingeben, es gibt die Datei auch als "gute" Windowsdatei, und unbedingt auch Größe und weitere Informationen hier posten, nicht nur die Befunde der Virenscanner. lg myrtille EDIT: und ich war mal wieder zu langsam  Hallo Mellosun |
|
04.03.2007, 17:12
| #5 |
| | Trojaner RKit.Agent.DW.1 gefunden - bitte um Hilfe Erstmal vielen Dank an alle, die geantwortet haben. Hier die Ergebnisse der beiden Onlinescans: Jotti: Datei: wuauclt.exe Auslastung: 0% 100% Status: INFIZIERT/MALWARE Entdeckte Packprogramme: - AntiVir Keine Viren gefunden ArcaVir Trojan.Downloader.Agent.Ady gefunden Avast Keine Viren gefunden AVG Antivirus Downloader.Generic3.URH gefunden BitDefender Keine Viren gefunden ClamAV Trojan.Small-1152 gefunden Dr.Web BackDoor.Bulknet gefunden F-Prot Antivirus W32/Downloader.BEOR gefunden F-Secure Anti-Virus Trojan-Downloader.Win32.Small.ego gefunden Fortinet Keine Viren gefunden Kaspersky Anti-Virus Trojan-Downloader.Win32.Small.ego gefunden NOD32 Win32/Wigon.J gefunden Norman Virus Control Keine Viren gefunden Panda Antivirus Trj/LastGood.A gefunden VirusBuster Keine Viren gefunden VBA32 BackDoor.Bulknet gefunden Virustotal: Antivirus Version Update Result AntiVir 7.3.1.38 03.04.2007 no virus found Authentium 4.93.8 03.04.2007 W32/Downloader.BEOR Avast 4.7.936.0 03.03.2007 no virus found AVG 7.5.0.447 03.04.2007 Downloader.Generic3.URH BitDefender 7.2 03.04.2007 no virus found CAT-QuickHeal 9.00 03.02.2007 no virus found ClamAV devel-20060426 03.04.2007 no virus found DrWeb 4.33 03.04.2007 BackDoor.Bulknet eSafe 7.0.14.0 03.04.2007 no virus found eTrust-Vet 30.6.3449 03.03.2007 Win32/Cutwail!generic Ewido 4.0 03.04.2007 Downloader.Small.ego FileAdvisor 1 03.04.2007 no virus found Fortinet 2.85.0.0 03.04.2007 suspicious F-Prot 4.3.1.45 03.04.2007 W32/Downloader.BEOR F-Secure 6.70.13030.0 03.03.2007 Trojan-Downloader.Win32.Small.ego Ikarus T3.1.1.3 03.04.2007 Backdoor.Bulknet Kaspersky 4.0.2.24 03.04.2007 Trojan-Downloader.Win32.Small.ego McAfee 4975 03.02.2007 no virus found Microsoft 1.2204 03.04.2007 no virus found NOD32v2 2094 03.04.2007 Win32/Wigon.J Norman 5.80.02 03.02.2007 no virus found Panda 9.0.0.4 03.04.2007 Trj/LastGood.A Prevx1 V2 03.04.2007 Malware Sophos 4.14.0 03.03.2007 no virus found Sunbelt 2.2.907.0 03.01.2007 no virus found Symantec 10 03.04.2007 Downloader TheHacker 6.1.6.067 03.01.2007 no virus found UNA 1.83 03.02.2007 no virus found VBA32 3.11.2 03.03.2007 BackDoor.Bulknet VirusBuster 4.3.19:9 03.04.2007 no virus found Aditional Information File size: 5632 bytes MD5: 286cc3eb29db1e7f5c23e1a8ee81e79a SHA1: f0e95d675fc2fce63e5cbb37215a63db7c945a7b Prevx info: WUAUCLT.EXE Spyware Remove Schaut wirklich nicht gut aus. Ich habe zur Sicherheit auch die Datei im regulären Verzeichnis sytem32 scnannen lasse, und die scheint sauber zu sein. Danke für Eure Hilfe, Chassain |
|
04.03.2007, 17:23
| #6 | |
| | Trojaner RKit.Agent.DW.1 gefunden - bitte um HilfeZitat:
Also wie schon geschrieben, würde ich zur Neuinstallation Raten! Aber da ich doch noch wissen möchte, was der so "Nachgeladen" haben könnte, mache doch bitte noch einen Scan mir eScan! Alles dazu gibts hier mit Anleitung ! Lese sie genau durch und befolge sie Schritt für Schritt! Poste das Log mit Hilfe der find.zip! Gruß Mellosun
__________________ --> Trojaner RKit.Agent.DW.1 gefunden - bitte um Hilfe |
|
05.03.2007, 23:02
| #7 |
| | Trojaner RKit.Agent.DW.1 gefunden - bitte um Hilfe Hallo! Tut mir leid, dass es etwas länger gedauert hat. Aber wir haben den Computer meiner Schwester vom Netz getrennt, bis die Sache geklärt ist. Also muss ich zwischen ihrer Wohnung und meiner hin- und herpendeln und da wir leider recht unterschiedliche Arbeitszeiten haben, ist das gar nicht so einfach. Hier das Log von eScan: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Microsoft Windows XP [Version 5.1.2600] > Sun Mar 04 21:21:43 2007 => Virus Database Date: 3/3/2007 Sun Mar 04 21:28:37 2007 => Virus Database Date: 3/3/2007 Sun Mar 04 22:36:23 2007 => Virus Database Date: 3/3/2007 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ Sun Mar 04 21:29:38 2007 => File C:\WINDOWS\system32\wsys.dll infected by "Trojan.Win32.Agent.ady" Virus! Action Taken: File Deleted. Sun Mar 04 22:32:51 2007 => File C:\WINDOWS\jgoj5xuc.exe infected by "Trojan-Dropper.Win32.Small.avu" Virus! Action Taken: File Deleted. ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ Sun Mar 04 21:30:13 2007 => Offending Folder found: C:\Dokumente und Einstellungen\Evelyn\Anwendungsdaten\macromedia\flash player\#sharedobjects\5lkrtwp5\static.userplane.com\presence\m ~~~~~~~~~~~ Registry ~~~~~~~~~~~ Sun Mar 04 22:29:43 2007 => Offending Key found: HKCU\\noremove !!! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Ein Kollege hat mir mit ein paar Tips geholfen und nach einer Säuberungsaktion und einem Neustart sieht das neue Log so aus: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Microsoft Windows XP [Version 5.1.2600] > Mon Mar 05 20:19:02 2007 => Virus Database Date: 3/3/2007 Mon Mar 05 20:23:29 2007 => Virus Database Date: 3/3/2007 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ ~~~~~~~~~~~ Registry ~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Danke nochmal, Chassain |
|
| Themen zu Trojaner RKit.Agent.DW.1 gefunden - bitte um Hilfe |
| adobe, alcatel, antivir, antivirus, avira, bho, bitte um hilfe, canon, cyberlink, defender, diagnostics, einstellungen, explorer, helper, hijack, hijackthis, immer wieder, immer wieder da, infiziert, internet, internet explorer, programm, schädling, secrets, security, software, system, temp, trojaner, urlsearchhook, usb, windows, windows xp, windows\temp |
Linear-Darstellung
