Anfänger in Spionageabwehr TR/Drop.delf.DG.1 und TR/Agent.CDG

funny4u2 · 17.05.2007, 15:50

Hallo zusammen,

Antivir meldete TR/Drop.delf.DG.1 und TR/Agent.CDG. Ich habe es nach den gefundenen Beschreibungen versucht.
Leider bekomme ich bei E-Scan immer noch das vorhandenseins von "Spionen" angezeigt.
Könnt ihr mir bitte helfen?

Danke.

Gruß

funny4u2

HJT Log-file:
Logfile of HijackThis v1.99.1
Scan saved at 16:30:25, on 17.05.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16441)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
D:\Adobe\Distillr\Acrotray.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://www.avm.de/fritzbox-firmware-update.php?hardware=94&oem=avm&language=de&country=
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box;192.168.178.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Adobe\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Adobe\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Adobe\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "D:\Adobe\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\printray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [C****Tray] "C:\Programme\S****oft\Cl***D\Cl***Tray.exe" /s
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [e***AutoStart] C:\Programme\e***\e***.exe -AutoStart
O4 - Startup: AP Launch.lnk.disabled
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://D:\Adobe\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://D:\Adobe\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://D:\Adobe\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://D:\Adobe\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://D:\Adobe\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://D:\Adobe\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://D:\Adobe\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://D:\Adobe\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O11 - Options group: [INTERNATIONAL] International*
O15 - Trusted Zone: h**p://www.kartfahrer-forum.de
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**ps://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8FBA09F2-1B75-4226-873B-7D16502B8558}: NameServer = 192.168.122.252,192.168.122.253
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe

e-Scan mit find.bat

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Microsoft Windows XP [Version 5.1.2600]
Thu May 17 15:50:03 2007 => Version 9.2.2
Thu May 17 16:09:43 2007 => Virus-Datenbank Datum: 5/15/2007
Thu May 17 16:17:17 2007 => Virus-Datenbank Datum: 5/15/2007
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Thu May 17 15:50:49 2007 => System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen.
Thu May 17 15:50:49 2007 => System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
Thu May 17 15:50:49 2007 => System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Thu May 17 15:50:49 2007 => Offending file found: C:\WINDOWS\system32\process.exe
Thu May 17 15:50:49 2007 => Offending file found: C:\WINDOWS\system32\swreg.exe
Thu May 17 15:50:49 2007 => Offending file found: C:\WINDOWS\system32\swsc.exe
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Thu May 17 15:50:57 2007 => Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\H !!!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Thu May 17 16:09:43 2007 => Gefundene Viren: 4
Thu May 17 16:09:43 2007 => Anzahl Fehler: 4
Thu May 17 16:09:43 2007 => Dauer des Scans bisher: 00:19:39
Thu May 17 16:09:43 2007 => Gescannte Dateien: 54282
Thu May 17 15:50:03 2007 => Specherüberprüfung: Aktiviert
Thu May 17 15:50:03 2007 => Registry Überprüfung: Aktiviert
Thu May 17 15:50:03 2007 => System-Ordner Überprüfung: Aktiviert
Thu May 17 15:50:03 2007 => Überprüfung der Systembereiche: Deaktiviert
Thu May 17 15:50:03 2007 => Überprüfung der Dienste: Aktiviert
Thu May 17 15:50:03 2007 => Überprüfung der Festplatten: Aktiviert
Thu May 17 15:50:03 2007 => Überprüfung aller Festplatten

eaktiviert

**Sunny** · 17.05.2007, 16:28

Hallo und im Trojaner Board!

Wo findet denn Antivi die besagten Trojaner, sieh mal im letzten Report nach, die genaue Pfadangabe ist dabei wichtig!
Und wenn du schon einen eScan machst, dann poste doch auch mal den Report.
Nutze dafür die find.bat..steht alles in der Anleitung.

Dein Hijacklog ist auf jeden Fall clean.

Sunny

funny4u2 · 17.05.2007, 16:49

Hallo Sunny,

erstmal danke für das schnelle Hilfeangebot.

E-scan hängt unter dem HJT-File.
Drop.delf.dg.1
C:\windows\system32\dvaudio.drv
C:\windows\system32\thx32.acm
C:\system Volume Information\_restore{9C161413-FD6E-4F30-8B6F-659ECE3AADCD}\PR268\A0041893.drv
AGENT.CDG
C:\windows\system32\usb496.dat

verschoben in quarantäne.

Sorgen machen mir die files aus dem find.bat

Gruß

Jürgen

**Sunny** · 17.05.2007, 16:54

Schädlinge im Ordner der Systemwiederherstellung:

* Deaktiviere die Systemwiederherstellung -> So wird es gemacht.
* Danach das System neu starten, und mit deinem AV-Scanner nach dem Neustart
alles üb erprüfen.
(Systemwiederherstellung kann nun wieder aktiviert werden.)

Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)

Zitat:

C:\WINDOWS\system32\process.exe
C:\WINDOWS\system32\swreg.exe
C:\WINDOWS\system32\swsc.exe
C:\windows\system32\dvaudio.drv
C:\windows\system32\thx32.acm
C:\windows\system32\usb496.dat

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

Das dauert zwar etwas mit dem überprüfen, ich will/kann nicht einfach wahllos Dateien löschen.

Vielleicht brauchst du diese ja noch?!

Sunny

funny4u2 · 17.05.2007, 17:42

Hallo sunny,

25 Min Wartezeit bei Virustotal.

Anbei schonmal die Ergebnisse der gescannten Dateien.
AV-Scanner läuft noch.

Gruß

funny4u2

Complete scanning result of "Process.exe", received in VirusTotal at 05.17.2007, 16:53:51 (CET).
Antivirus Version Update Result
AhnLab-V3 2007.5.16.1 05.17.2007 Win-AppCare/PrcViewer.53248
AntiVir 7.4.0.23 05.17.2007 no virus found
Authentium 4.93.8 05.16.2007 no virus found
Avast 4.7.997.0 05.17.2007 no virus found
AVG 7.5.0.467 05.16.2007 no virus found
BitDefender 7.2 05.17.2007 no virus found
CAT-QuickHeal 9.00 05.17.2007 no virus found
ClamAV devel-20070416 05.17.2007 no virus found
DrWeb 4.33 05.17.2007 no virus found
eSafe 7.0.15.0 05.17.2007 no virus found
eTrust-Vet 30.7.3639 05.17.2007 no virus found
Ewido 4.0 05.17.2007 no virus found
FileAdvisor 1 05.17.2007 no virus found
Fortinet 2.85.0.0 05.17.2007 Misc/PrcViewer
F-Prot 4.3.2.48 05.16.2007 no virus found
F-Secure 6.70.13030.0 05.17.2007 no virus found
Ikarus T3.1.1.7 05.17.2007 no virus found
Kaspersky 4.0.2.24 05.17.2007 no virus found
McAfee 5032 05.16.2007 potentially unwanted program PrcViewer
Microsoft 1.2503 05.17.2007 no virus found
NOD32v2 2274 05.17.2007 Win32/PrcView
Norman 5.80.02 05.17.2007 no virus found
Panda 9.0.0.4 05.17.2007 Application/Processor
Prevx1 V2 05.17.2007 no virus found
Sophos 4.17.0 05.16.2007 no virus found
Sunbelt 2.2.907.0 05.17.2007 no virus found
Symantec 10 05.17.2007 no virus found
TheHacker 6.1.6.115 05.15.2007 Aplicacion/Processor.20
VBA32 3.12.0 05.16.2007 no virus found
VirusBuster 4.3.7:9 05.17.2007 no virus found
Webwasher-Gateway 6.0.1 05.17.2007 no virus found

Aditional Information
File size: 53248 bytes
MD5: 7397f6ee4a9601a123b645c0cd428017
SHA1: 890368473ecbc404dcd42ff0c6c38397102f59c0

Complete scanning result of "swreg.exe", received in VirusTotal at 05.17.2007, 16:55:05 (CET).
Antivirus Version Update Result
AhnLab-V3 2007.5.16.1 05.17.2007 no virus found
AntiVir 7.4.0.23 05.17.2007 no virus found
Authentium 4.93.8 05.16.2007 could be a corrupted executable file
Avast 4.7.997.0 05.17.2007 no virus found
AVG 7.5.0.467 05.16.2007 no virus found
BitDefender 7.2 05.17.2007 no virus found
CAT-QuickHeal 9.00 05.17.2007 no virus found
ClamAV devel-20070416 05.17.2007 no virus found
DrWeb 4.33 05.17.2007 no virus found
eSafe 7.0.15.0 05.17.2007 suspicious Trojan/Worm
eTrust-Vet 30.7.3639 05.17.2007 no virus found
Ewido 4.0 05.17.2007 no virus found
FileAdvisor 1 05.17.2007 no virus found
Fortinet 2.85.0.0 05.17.2007 suspicious
F-Prot 4.3.2.48 05.16.2007 no virus found
F-Secure 6.70.13030.0 05.17.2007 no virus found
Ikarus T3.1.1.7 05.17.2007 no virus found
Kaspersky 4.0.2.24 05.17.2007 no virus found
McAfee 5032 05.16.2007 no virus found
Microsoft 1.2503 05.17.2007 no virus found
NOD32v2 2274 05.17.2007 no virus found
Norman 5.80.02 05.17.2007 no virus found
Panda 9.0.0.4 05.17.2007 Suspicious file
Prevx1 V2 05.17.2007 no virus found
Sophos 4.17.0 05.16.2007 no virus found
Sunbelt 2.2.907.0 05.17.2007 no virus found
Symantec 10 05.17.2007 no virus found
TheHacker 6.1.6.115 05.15.2007 no virus found
VBA32 3.12.0 05.16.2007 no virus found
VirusBuster 4.3.7:9 05.17.2007 no virus found
Webwasher-Gateway 6.0.1 05.17.2007 no virus found
Aditional Information
File size: 135168 bytes
MD5: e417d888fdde9a2290c369c82a7aec3e
SHA1: 54a6acf7ed038afc6a632ccd568c17fc31eac00e
packers: UPX
packers: UPX
packers: UPX

Complete scanning result of "swsc.exe", received in VirusTotal at 05.17.2007, 16:56:03 (CET).
Antivirus Version Update Result
AhnLab-V3 2007.5.16.1 05.17.2007 no virus found
AntiVir 7.4.0.23 05.17.2007 no virus found
Authentium 4.93.8 05.16.2007 no virus found
Avast 4.7.997.0 05.17.2007 no virus found
AVG 7.5.0.467 05.16.2007 no virus found
BitDefender 7.2 05.17.2007 no virus found
CAT-QuickHeal 9.00 05.17.2007 no virus found
ClamAV devel-20070416 05.17.2007 no virus found
DrWeb 4.33 05.17.2007 no virus found
eSafe 7.0.15.0 05.17.2007 suspicious Trojan/Worm
eTrust-Vet 30.7.3639 05.17.2007 no virus found
Ewido 4.0 05.17.2007 no virus found
FileAdvisor 1 05.17.2007 No threat detected
Fortinet 2.85.0.0 05.17.2007 no virus found
F-Prot 4.3.2.48 05.16.2007 no virus found
F-Secure 6.70.13030.0 05.17.2007 no virus found
Ikarus T3.1.1.7 05.17.2007 no virus found
Kaspersky 4.0.2.24 05.17.2007 no virus found
McAfee 5032 05.16.2007 no virus found
Microsoft 1.2503 05.17.2007 no virus found
NOD32v2 2274 05.17.2007 no virus found
Norman 5.80.02 05.17.2007 no virus found
Panda 9.0.0.4 05.17.2007 no virus found
Prevx1 V2 05.17.2007 no virus found
Sophos 4.17.0 05.16.2007 no virus found
Sunbelt 2.2.907.0 05.17.2007 no virus found
Symantec 10 05.17.2007 no virus found
TheHacker 6.1.6.115 05.15.2007 no virus found
VBA32 3.12.0 05.16.2007 no virus found
VirusBuster 4.3.7:9 05.17.2007 no virus found
Webwasher-Gateway 6.0.1 05.17.2007 no virus found
Aditional Information
File size: 40960 bytes
MD5: c16b1595e3c2ffc875ef28bf66ec557f
SHA1: 4da6d047e81fd13e0cfa4e390b85d35f9a136887
packers: UPX
packers: UPX
Bit9 info: Bit9 FileAdvisor - Search Results
packers: UPX

Complete scanning result of "dvaudio.drv", received in VirusTotal at 05.17.2007, 18:03:12 (CET).
Antivirus Version Update Result
AhnLab-V3 2007.5.16.1 05.17.2007 no virus found
AntiVir 7.4.0.23 05.17.2007 TR/Drop.Delf.DG.1
Authentium 4.93.8 05.16.2007 no virus found
Avast 4.7.997.0 05.17.2007 no virus found
AVG 7.5.0.467 05.16.2007 no virus found
BitDefender 7.2 05.17.2007 Backdoor.Banito.Plugin.A
CAT-QuickHeal 9.00 05.17.2007 no virus found
ClamAV devel-20070416 05.17.2007 no virus found
DrWeb 4.33 05.17.2007 no virus found
eSafe 7.0.15.0 05.17.2007 suspicious Trojan/Worm
eTrust-Vet 30.7.3639 05.17.2007 no virus found
Ewido 4.0 05.17.2007 no virus found
FileAdvisor 1 05.17.2007 no virus found
Fortinet 2.85.0.0 05.17.2007 no virus found
F-Prot 4.3.2.48 05.16.2007 no virus found
F-Secure 6.70.13030.0 05.17.2007 no virus found
Ikarus T3.1.1.7 05.17.2007 Backdoor.Win32.Banito.Plugin.A
Kaspersky 4.0.2.24 05.17.2007 no virus found
McAfee 5032 05.16.2007 no virus found
Microsoft 1.2503 05.17.2007 no virus found
NOD32v2 2274 05.17.2007 no virus found
Norman 5.80.02 05.17.2007 no virus found
Panda 9.0.0.4 05.17.2007 Trj/Agent.CDG
Prevx1 V2 05.17.2007 no virus found
Sophos 4.17.0 05.16.2007 no virus found
Sunbelt 2.2.907.0 05.17.2007 no virus found
Symantec 10 05.17.2007 no virus found
TheHacker 6.1.6.115 05.15.2007 no virus found
VBA32 3.12.0 05.16.2007 no virus found
VirusBuster 4.3.7:9 05.17.2007 no virus found
Webwasher-Gateway 6.0.1 05.17.2007 Trojan.Drop.Delf.DG.1
Aditional Information
File size: 14336 bytes
MD5: 4d302ad0dd3d451f5d294944b0d3b303
SHA1: eb9ecac1cc2bc9ba5a52a37d2c58ef563568df09
packers: UPX
packers: UPX
packers: UPX

Complete scanning result of "thx32.acm", received in VirusTotal at 05.17.2007, 18:02:42 (CET).
Antivirus Version Update Result
AhnLab-V3 2007.5.16.1 05.17.2007 no virus found
AntiVir 7.4.0.23 05.17.2007 TR/Drop.Delf.DG.1
Authentium 4.93.8 05.16.2007 no virus found
Avast 4.7.997.0 05.17.2007 no virus found
AVG 7.5.0.467 05.16.2007 no virus found
BitDefender 7.2 05.17.2007 Backdoor.Banito.Plugin.A
CAT-QuickHeal 9.00 05.17.2007 no virus found
ClamAV devel-20070416 05.17.2007 no virus found
DrWeb 4.33 05.17.2007 no virus found
eSafe 7.0.15.0 05.17.2007 suspicious Trojan/Worm
eTrust-Vet 30.7.3639 05.17.2007 no virus found
Ewido 4.0 05.17.2007 no virus found
FileAdvisor 1 05.17.2007 no virus found
Fortinet 2.85.0.0 05.17.2007 no virus found
F-Prot 4.3.2.48 05.16.2007 no virus found
F-Secure 6.70.13030.0 05.17.2007 no virus found
Ikarus T3.1.1.7 05.17.2007 Backdoor.Win32.Banito.Plugin.A
Kaspersky 4.0.2.24 05.17.2007 no virus found
McAfee 5032 05.16.2007 no virus found
Microsoft 1.2503 05.17.2007 no virus found
NOD32v2 2274 05.17.2007 no virus found
Norman 5.80.02 05.17.2007 no virus found
Panda 9.0.0.4 05.17.2007 Trj/Agent.CDG
Prevx1 V2 05.17.2007 no virus found
Sophos 4.17.0 05.16.2007 no virus found
Sunbelt 2.2.907.0 05.17.2007 no virus found
Symantec 10 05.17.2007 no virus found
TheHacker 6.1.6.115 05.15.2007 no virus found
VBA32 3.12.0 05.16.2007 no virus found
VirusBuster 4.3.7:9 05.17.2007 no virus found
Webwasher-Gateway 6.0.1 05.17.2007 Trojan.Drop.Delf.DG.1
Aditional Information
File size: 14336 bytes
MD5: 4d302ad0dd3d451f5d294944b0d3b303
SHA1: eb9ecac1cc2bc9ba5a52a37d2c58ef563568df09
packers: UPX
packers: UPX
packers: UPX

Complete scanning result of "usb496.dat", received in VirusTotal at 05.17.2007, 18:03:48 (CET).
Antivirus Version Update Result
AhnLab-V3 2007.5.16.1 05.17.2007 no virus found
AntiVir 7.4.0.23 05.17.2007 TR/Agent.CDG
Authentium 4.93.8 05.16.2007 no virus found
Avast 4.7.997.0 05.17.2007 Win32:Trojano-1503
AVG 7.5.0.467 05.16.2007 no virus found
BitDefender 7.2 05.17.2007 Trojan.Agent.CDG
CAT-QuickHeal 9.00 05.17.2007 TrojanSpy.Delf.ih
ClamAV devel-20070416 05.17.2007 no virus found
DrWeb 4.33 05.17.2007 no virus found
eSafe 7.0.15.0 05.17.2007 suspicious Trojan/Worm
eTrust-Vet 30.7.3639 05.17.2007 Win32/Malum.CKHZ
Ewido 4.0 05.17.2007 Logger.Delf.ih
FileAdvisor 1 05.17.2007 no virus found
Fortinet 2.85.0.0 05.17.2007 W32/Agent.FNH!tr
F-Prot 4.3.2.48 05.16.2007 no virus found
F-Secure 6.70.13030.0 05.17.2007 W32/Agent.PMI
Ikarus T3.1.1.7 05.17.2007 no virus found
Kaspersky 4.0.2.24 05.17.2007 no virus found
McAfee 5033 05.17.2007 no virus found
Microsoft 1.2503 05.17.2007 Backdoor:Win32/Delf!35EA (threat-c)
NOD32v2 2274 05.17.2007 no virus found
Norman 5.80.02 05.17.2007 W32/Agent.PMI
Panda 9.0.0.4 05.17.2007 Trj/Agent.CDG
Prevx1 V2 05.17.2007 no virus found
Sophos 4.17.0 05.16.2007 no virus found
Sunbelt 2.2.907.0 05.17.2007 Backdoor.Delf.gen
Symantec 10 05.17.2007 no virus found
TheHacker 6.1.6.115 05.15.2007 no virus found
VBA32 3.12.0 05.16.2007 no virus found
VirusBuster 4.3.7:9 05.17.2007 no virus found
Webwasher-Gateway 6.0.1 05.17.2007 Trojan.Agent.CDG
Aditional Information
File size: 11264 bytes
MD5: ea355c5ddfbadb9421fb4aca1535f84b
SHA1: 0a391eb89d8a1c4741e7bc1f91ed23bc5d122577
packers: UPX
packers: UPX
packers: UPX

**Sunny** · 17.05.2007, 17:48

Dann kannst du gleich hiermit weiter machen, bevor du den eScan startest:

Anleitung Avenger:

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:

Zitat:

Files to delete:
C:\WINDOWS\system32\swreg.exe
C:\WINDOWS\system32\swsc.exe
C:\windows\system32\dvaudio.drv
C:\windows\system32\thx32.acm
C:\windows\system32\usb496.dat

3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.

4.) Danach das System unverzüglich neu starten lassen
5.) Lass eScan nochmal laufen, erstelle und poste ein neues Logfile.
Poste ausserdem den Inhalt der C:\avenger.txt Datei.

Gruß
Sunny

funny4u2 · 17.05.2007, 18:37

Hallo sunny,

da bin ich wieder.
danke für die bisherige Hilfe.
und jetzt?

Gruß

funny4u2

Avenger.txt

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\xcnxkbkc

*******************

Script file located at: \??\C:\WINDOWS\system32\lqcmhhka.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\swreg.exe deleted successfully.
File C:\WINDOWS\system32\swsc.exe deleted successfully.

File C:\windows\system32\dvaudio.drv not found!
Deletion of file C:\windows\system32\dvaudio.drv failed!

Could not process line:
C:\windows\system32\dvaudio.drv
Status: 0xc0000034

File C:\windows\system32\thx32.acm not found!
Deletion of file C:\windows\system32\thx32.acm failed!

Could not process line:
C:\windows\system32\thx32.acm
Status: 0xc0000034

File C:\windows\system32\usb496.dat not found!
Deletion of file C:\windows\system32\usb496.dat failed!

Could not process line:
C:\windows\system32\usb496.dat
Status: 0xc0000034

Completed script processing.

*******************

Finished! Terminate.

find.bat

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Microsoft Windows XP [Version 5.1.2600]
Thu May 17 19:06:11 2007 => Version 9.2.2
Thu May 17 19:06:05 2007 => Virus-Datenbank Datum: 5/15/2007
Thu May 17 19:06:19 2007 => Virus-Datenbank Datum: 5/15/2007
Thu May 17 19:06:24 2007 => Virus-Datenbank Datum: 5/15/2007
Thu May 17 19:24:53 2007 => Virus-Datenbank Datum: 5/15/2007
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Thu May 17 19:07:34 2007 => System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Thu May 17 19:07:34 2007 => Offending file found: C:\WINDOWS\system32\process.exe
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Thu May 17 19:07:38 2007 => Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\H !!!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Thu May 17 19:06:19 2007 => Gefundene Viren: 0
Thu May 17 19:24:53 2007 => Gefundene Viren: 2
Thu May 17 19:06:19 2007 => Anzahl Fehler: 0
Thu May 17 19:24:53 2007 => Anzahl Fehler: 5
Thu May 17 19:06:19 2007 => Dauer des Scans bisher: 00:00:08
Thu May 17 19:24:53 2007 => Dauer des Scans bisher: 00:17:57
Thu May 17 19:06:19 2007 => Gescannte Dateien: 569
Thu May 17 19:24:53 2007 => Gescannte Dateien: 54652
Thu May 17 19:06:11 2007 => Specherüberprüfung: Aktiviert
Thu May 17 19:06:56 2007 => Specherüberprüfung: Aktiviert
Thu May 17 19:06:11 2007 => Registry Überprüfung: Aktiviert
Thu May 17 19:06:56 2007 => Registry Überprüfung: Aktiviert
Thu May 17 19:06:11 2007 => System-Ordner Überprüfung: Aktiviert
Thu May 17 19:06:56 2007 => System-Ordner Überprüfung: Aktiviert
Thu May 17 19:06:11 2007 => Überprüfung der Systembereiche: Deaktiviert
Thu May 17 19:06:56 2007 => Überprüfung der Systembereiche: Deaktiviert
Thu May 17 19:06:11 2007 => Überprüfung der Dienste: Aktiviert
Thu May 17 19:06:56 2007 => Überprüfung der Dienste: Aktiviert
Thu May 17 19:06:56 2007 => Überprüfung der Festplatten: Aktiviert
Thu May 17 19:06:56 2007 => Überprüfung aller Festplatten

eaktiviert

**Sunny** · 17.05.2007, 19:17

Was mir komisch vorkommt ist diese Datei:

Zitat:

C:\WINDOWS\system32\process.exe

Dies ist normalerweise eine Systemdatei und sollte natürlich entfernt werden!
Es kann sein das es ein Fehlalarm ist, oder aber die Systemdatei wurde manipuliert!

Habe gerade auf meinem System die Process.exe mit deiner Größen- und HASH-Angabe verglichen, sie stimmen also überein!

Ich denke das sollte es dann gewesen sein!

Sunny

funny4u2 · 17.05.2007, 20:22

Hallo sunny,

dann hoffen wir mal das beste.

Nochmals danke für Deine Unterstützung.

Bei Bedarf werde ich dann wieder hier auftauchen.

Gruß

funny4u2

**Sunny** · 17.05.2007, 20:35

Zitat:

Zitat von funny4u2

Hallo sunny,

dann hoffen wir mal das beste.

Nochmals danke für Deine Unterstützung.

Bei Bedarf werde ich dann wieder hier auftauchen.

Gruß

funny4u2

Du weisst ja wo du uns hier finden kannst...

Anfänger in Spionageabwehr TR/Drop.delf.DG.1 und TR/Agent.CDG

Plagegeister aller Art und deren Bekämpfung: Anfänger in Spionageabwehr TR/Drop.delf.DG.1 und TR/Agent.CDG