guten tag alle zusammen,

ich habe einen pc auf dem ich per ad-aware feststellen konnte, dass ich einen trojaner drauf habe, und zwar: "win32.trojandownloader.agent"

jeglicher versuch ihn damit zu entfernen lief viel, adaware stürzte sogar ab. ich habs im abgesicherten modus probiert da hilfts auch nicht.

jetzt hab ich mir mal mein HijackThis log file erstellt und bitte um hilfe was ich denn tun könnte. möchte nämlich nicht neuformatieren...


hier mal das logfile:



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:04:20, on 11.09.2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\PROGRA~1\Adaptec\DirectCD\directcd.exe
C:\WINNT\system32\wuauclt.exe
C:\Programme\Lavasoft\Ad-Aware 2007\AAWTray.exe
C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe
C:\WINNT\system32\internat.exe
C:\Programme\E-Color\Colorific\hgcctl95.exe
C:\Programme\A.C\Scroll-In-Mouse V2.0\Scroll.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\WINNT\system32\taskmgr.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeperUI.exe
F:\Portable\PortableApps\FirefoxPortable\App\firefox\firefox.exe
C:\Programme\Webroot\Spy Sweeper\SSU.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/service/redir/ie_suche.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = www-proxy.t-online.de:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.t-online.de;localhost
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Hilfsobjekt für Encarta Web-Begleiter - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O2 - BHO: Ask Toolbar BHO - {F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Programme\AskSBar\bar\1.bin\ASKSBAR.DLL
O3 - Toolbar: Encarta Web-Begleiter - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Ask Toolbar - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Programme\AskSBar\bar\1.bin\ASKSBAR.DLL
O4 - HKLM\..\Run: [Synchronization Manager] "mobsync.exe" /logon
O4 - HKLM\..\Run: [WinFast2KLoadDefault] "rundll32.exe" wf2kcpl.dll,DllLoadDefaultSettings
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] "C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe"
O4 - HKLM\..\Run: [Adaptec DirectCD] C:\PROGRA~1\Adaptec\DirectCD\directcd.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeperUI.exe" /startintray
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [E06DDXRC_1804214] "C:\Programme\Microsoft Encarta\Encarta 2006 Enzyklopaedie\EDICT.EXE" -m
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Global Startup: 3Deep.lnk = C:\Program Files\E-Color\3Deep\3Deepctl.exe
O4 - Global Startup: Colorific.lnk = C:\Programme\E-Color\Colorific\hgcctl95.exe
O4 - Global Startup: Scroll-In-Mouse V2.0.lnk = C:\Programme\A.C\Scroll-In-Mouse V2.0\Scroll.exe
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\nwprovau.dll
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1134340513861
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1134345325710
O17 - HKLM\System\CCS\Services\Tcpip\..\{4579999B-0CD2-469A-ADFC-0BC16DC50192}: NameServer = 192.168.0.254
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Webroot Spy Sweeper-Engine (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe

--
End of file - 6518 bytes


bin über jede hilfe dankbar...habe zudem folgendes scanner progs drauf:

Antivir PE Classic
Spybot - Search & Destroy
Spy Sweeper

vorher war kaspersky drauf aber der hat auch nur probleme gemacht..


mit freundlichen grüßen

Hallo.

Zitat:

MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Was haste denn da für nen antiken IE drauf?
Auch wenn man ihn nicht nutzt, aber IE6 sollte es schon für Windows 2000 sein.

Zitat:

O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=

Merkwürdige Einträge.

Wo wurde denn der "Agent" angeblich gefunden (Pfadangabe!) ?

hi


danke erstmal für die antwort..ist nicht mein pc sondern von nem kunden. ich scann jetzt nochmal mit adaware und poste den pfad


bis gleich

hallo


das find ich lustig: adaware noch spybot finden den jetzt...anscheinende ist er weg oder aber wer weiß wohin verschwunden!!!

nach nem update hat antivir ne menge trojaner gelöscht...und ich habe auch IE 6 installiert gehabt ...komisch


mfg

Zitat:

nach nem update hat antivir ne menge trojaner gelöscht...

Soso...
Welche denn? Könntest du mal das Antivir-Log posten?

hi cosinus

sobald er gleich fertig ist mach ich das


mfg

so guter cosinus hier mal mein bericht:



AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Dienstag, 11. September 2007 15:20

Es wird nach 1057794 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows 2000
Windowsversion: (Service Pack 4) [5.0.2195]
Benutzername: Störkmann Wolfgang
Computername: ST-75KZQ4U12OQ0

Versionsinformationen:
BUILD.DAT : 268 15604 Bytes 31.08.2007 13:01:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 11.09.2007 09:51:33
AVSCAN.DLL : 7.0.6.0 57384 Bytes 11.09.2007 09:51:32
LUKE.DLL : 7.0.5.3 147496 Bytes 11.09.2007 09:51:35
LUKERES.DLL : 7.0.6.0 10792 Bytes 11.09.2007 09:51:35
ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31.05.2006 13:08:58
ANTIVIR1.VDF : 6.39.0.129 7251968 Bytes 10.07.2007 09:51:59
ANTIVIR2.VDF : 6.39.1.74 1637376 Bytes 02.09.2007 09:52:01
ANTIVIR3.VDF : 6.39.1.114 219648 Bytes 11.09.2007 09:52:01
AVEWIN32.DLL : 7.6.0.5 2789888 Bytes 11.09.2007 09:52:05
AVWINLL.DLL : 1.0.0.7 14376 Bytes 26.02.2007 09:36:23
AVPREF.DLL : 7.0.2.2 25640 Bytes 11.09.2007 09:51:32
AVREP.DLL : 7.0.0.1 155688 Bytes 16.04.2007 12:16:24
AVPACK32.DLL : 7.3.0.15 360488 Bytes 11.09.2007 09:52:05
AVREG.DLL : 7.0.1.6 30760 Bytes 11.09.2007 09:51:32
AVARKT.DLL : 1.0.0.20 278568 Bytes 11.09.2007 09:51:29
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 11.09.2007 09:51:31
NETNT.DLL : 7.0.0.0 7720 Bytes 08.03.2007 10:09:03
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 11.09.2007 09:49:56
RCTEXT.DLL : 7.0.62.0 90152 Bytes 11.09.2007 09:49:56
SQLITE3.DLL : 3.3.17.1 339968 Bytes 11.09.2007 09:51:37

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Lokale Festplatten
Konfigurationsdatei..............: c:\programme\antivir personaledition classic\alldiscs.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel
Abweichende Gefahrenkategorien...: +JOKE,

Beginn des Suchlaufs: Dienstag, 11. September 2007 15:20

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IEXPLORE.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TASKMGR.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Scroll.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hgcctl95.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpgs2wnf.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'internat.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'directcd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpgs2wnd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'qttask.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WinMgmt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SpySweeper.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'stisvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mstask.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'aawservice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSASS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SERVICES.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WINLOGON.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CSRSS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SMSS.EXE' - '1' Modul(e) wurden durchsucht
Es wurden '30' Prozesse mit '30' Modulen durchsucht

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '19' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\All Users.WINNT\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinMurloff.zip
[FUND] Enthält verdächtigen Code: HEUR/PwdZIP
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47549731.qua' verschoben!
C:\RECYCLER\S-1-5-21-1177238915-1580818891-1060284298-1000\Dc21.exe
[FUND] Ist das Trojanische Pferd TR/SpamBot.20992
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47189b12.qua' verschoben!
C:\WINNT\system32\drivers\asc3550u.sys
[FUND] Ist das Trojanische Pferd TR/Proxy.Agent.MX.35
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47499e3d.qua' verschoben!


Ende des Suchlaufs: Dienstag, 11. September 2007 15:53
Benötigte Zeit: 33:04 min

Der Suchlauf wurde vollständig durchgeführt.

2692 Verzeichnisse wurden überprüft
71341 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
1 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
3 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
71339 Dateien ohne Befall
784 Archive wurden durchsucht
1 Warnungen
0 Hinweise


allerdings bleibt meine CPU auslastung ewig und 3 tage auf 100% ....da ist so ein qttask.exe der fast alles verlangt..

hats damit was zu tun??

Code: Alles auswählenAufklappen

ATTFilter

C:\WINNT\system32\drivers\asc3550u.sys
         

Der sieht nicht gerade vertrauenserweckend aus. Hat imho schon Rootkit-Charakter...
Mach mal bitte einen Check mit Blacklight und poste das Ergebnis.

okay mach ich

ja mir wurde zu anfang von antivir auch angegeben das auf ein Rootkit nicht zugegriffen werden sollte..da hab ich zugriff verweigern angewählt..

was macht ein rootkit überhaupt? kenn den begriff seit heute^^


mfg

so hier jetzt das ergebnis:

09/11/07 16:01:07 [Info]: BlackLight Engine 1.0.64 initialized
09/11/07 16:01:07 [Info]: OS: 5.0 build 2195 (Service Pack 4)
09/11/07 16:01:07 [Note]: 7019 4
09/11/07 16:01:07 [Note]: 7005 0
09/11/07 16:01:08 [Note]: 7006 0
09/11/07 16:01:08 [Note]: 7011 844
09/11/07 16:01:08 [Note]: 7026 0
09/11/07 16:01:08 [Note]: 7026 0
09/11/07 16:01:11 [Note]: FSRAW library version 1.7.1022
09/11/07 16:05:38 [Info]: Hidden file: c:\WINNT\system32\drivers\runtime2.sys
09/11/07 16:05:38 [Note]: 10002 1
09/11/07 16:05:39 [Info]: Hidden file: c:\WINNT\system32\drivers\SCSIPORT.SYS
09/11/07 16:05:39 [Note]: 10002 2
09/11/07 16:06:13 [Note]: 2000 1012
09/11/07 16:06:13 [Note]: 2000 1012
09/11/07 16:06:13 [Note]: 2000 1012
09/11/07 16:06:13 [Note]: 7007 0

Vgl. Rootkit - Wikipedia

Naja, wie dem auch sei, ich würde dir hier an dieser Stelle raten, die Bereinigung sein zu lassen.
Informiere den Kunden, dass es so gut wie aussichtslos ist, den Rechner wieder sicher sauber zu bekommen. Sicherheit schafft nur ein Neuaufsetzen.