Hallo angeblich gefunden:
Trojan-PSW.Agent.win32.tz seht ihr was?


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:03:33, on 24.02.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\PROGRA~1\NETRES~1\tsfnrs.exe
C:\WINDOWS\System32\nvsvc32.exe
E:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\digi96.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
E:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe


R3 - Default URLSearchHook is missing
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [RMETray] digi96.exe
O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "e:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O23 - Service: BrSplService (Brother XP spl Service) - Unknown owner - C:\WINDOWS\system32\brsvc01a.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - A**e Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NetResident service (NetResidentService) - TamoSoft - C:\PROGRA~1\NETRES~1\tsfnrs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - E:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 3846 bytes

cu

Birdland

Welches Prog spuckt die Meldung aus und in welchem Pfad soll sich der Fund befnden?

Das log ist sauber.

Zitat:

Zitat von undoreal

Welches Prog spuckt die Meldung aus und in welchem Pfad soll sich der Fund befnden?

Das log ist sauber.

eine Datei mit dem Namen c:\dokumente und einstellungen\Userx\*\Anwendungsdaten\msvscp71.dll wäre damit befallen gewesen.


cu

Birdland

Wenn du so spärliche Informationen verteilst kann dir hier niemand helfen..

Die Datei scheint übrigens wirklich gefährlich.. Das HJT nichts anzeigt heisst nicht, dass dein Rechner nicht infiziert ist!!!

Zitat:

Zitat von undoreal

Wenn du so spärliche Informationen verteilst kann dir hier niemand helfen..

Die Datei scheint übrigens wirklich gefährlich.. Das HJT nichts anzeigt heisst nicht, dass dein Rechner nicht infiziert ist!!!

Hi Sorry das ich so kurz angebunden war... also MWAV.EXE sagt, die Datei msvscp71.dll sei infiziert mit Trojan-PSW.Agent:Win32.tz.
Woanders wird Trojan-PSW.Agent:Win32.tz. jedoch nicht gefunden (Dateisystem etc.) die msvscp71.dll habe ich gelöscht. Nun zugegeben habe ich neulich ein kleines Progrämmchen ausgeführt, welches laut AVAST sauber war...

Danach wollte komischerweise laut meiner Firewall Explorer.exe nach aussen Kontakt aufnehmen, was mir schon sehr verdächtig vorkam, habe es aber geblockt... siehe da online scan des Progrämmchens ergab : Trojan-PSW.Agent:Win32.tz.!
Es existieren aber sämtliche Registry Keys von PSW-Agent.win32 (Symantec-INfo) nicht in meiner Registry, einzig die .dll Datei die oben genannt wurde... Firewall-Log ist soweit ich beurteilen kann auch sauber... welche Möglichkeiten gibt es noch?

cu


Birdland

Zitat:

welches laut AVAST sauber war...

das war ein keygen oder?? ^^

Du könntest Glück gehabt haben und im dem Ding war wirklich nicht mehr drinn als der Download-Befehl.

Hast du das "Progrämmchen" noch? Das wäre hilfreich...

Zitat:

Zitat von undoreal

das war ein keygen oder?? ^^

Du könntest Glück gehabt haben und im dem Ding war wirklich nicht mehr drinn als der Download-Befehl.

Hast du das "Progrämmchen" noch? Das wäre hilfreich...

Hi

"Räusper" ja es war ein Keygen

...dann versteh ich jetzt auch warum es abgestürzt ist als die Firewall blockiert hat.

cu


Birdland