Trojaner TR/AGENT 88064.8

Ernie140462 · 15.05.2008, 10:34

Hallo zusammen,

hat jemand schon dieses Trojaner-Problem,
mit dem er nicht klarkommt, ich habe seit
einer Neuinstallation der Brother HL-1030
Treiber und der Aktualisierung von AntiVir
auf die neuste Version den Trojaner
TR/AGENT 88064.8 eingefangen, welchen
ich weder über AntiVir noch über Spyware-
Doctor loswerde ?

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:50:42, on 15.05.2008
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\brss01a.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Spyware Doctor\pctsTray.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Spyware Doctor\pctsAuxs.exe
C:\Programme\Spyware Doctor\pctsSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\system32\fxssvc.exe
C:\Dokumente und Einstellungen\Ernie\Desktop\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://portal.kabelbw.de/Citrix/MetaFrame/default/default.aspx
O2 - BHO: (no name) - {614A9E2B-CA06-4567-9989-86BEA4F8160B} - C:\WINDOWS\System32\BRSPL99.dll[/COLOR]
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Unknown owner - C:\PROGRA~1\SPYWAR~2\sp_rsser.exe (file missing)

--
End of file - 3555 bytes

boston · 15.05.2008, 10:45

hallo,
ich würde dir angesichts dieses patchlevels

Zitat:

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

neuaufsetzen empfehlen, auch wenn hier ein fehlalarm vorliegen sollte.

poste uns mal den genauen fund von antivir und lass diese datei
C:\WINDOWS\System32\BRSPL99.dll
bei
VirusTotal - Kostenloser online Viren- und Malwarescanner
auswerten und poste das komplette ergebnis.

Ernie140462 · 21.05.2008, 07:44

Hallo,
das wäre nun die Antwort von virus-total als posting:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.5.20.0 2008.05.21 -
AntiVir 7.8.0.19 2008.05.21 TR/Agent.88064.8
Authentium 5.1.0.4 2008.05.21 -
Avast 4.8.1195.0 2008.05.21 -
AVG 7.5.0.516 2008.05.20 Generic9.BHTU
BitDefender 7.2 2008.05.21 Trojan.Generic.126043
CAT-QuickHeal 9.50 2008.05.19 -
ClamAV 0.92.1 2008.05.21 -
DrWeb 4.44.0.09170 2008.05.20 Trojan.DownLoader.59148
eSafe 7.0.15.0 2008.05.20 -
eTrust-Vet 31.4.5808 2008.05.21 Win32/Kvol!generic
Ewido 4.0 2008.05.20 -
F-Prot 4.4.2.54 2008.05.16 -
F-Secure 6.70.13260.0 2008.05.21 -
Fortinet 3.14.0.0 2008.05.21 -
GData 2.0.7306.1023 2008.05.21 -
Ikarus T3.1.1.26.0 2008.05.21 Virus.Trojan.Win32.Pakes.cdw
Kaspersky 7.0.0.125 2008.05.21 -
McAfee 5299 2008.05.20 -
Microsoft 1.3520 2008.05.21 Trojan:Win32/Boaxxe.B
NOD32v2 3115 2008.05.20 a variant of Win32/Agent.NSG
Norman 5.80.02 2008.05.20 W32/Smalltroj.DBEH
Panda 9.0.0.4 2008.05.21 Suspicious file
Prevx1 V2 2008.05.21 Malware Downloader
Rising 20.45.12.00 2008.05.20 Trojan.Clicker.Win32.Delf.mm
Sophos 4.29.0 2008.05.21 -
Sunbelt 3.0.1123.1 2008.05.17 -
Symantec 10 2008.05.21 Trojan Horse
TheHacker 6.2.92.314 2008.05.20 -
VBA32 3.12.6.6 2008.05.20 Trojan.DownLoader.59148
VirusBuster 4.3.26:9 2008.05.20 -
Webwasher-Gateway 6.6.2 2008.05.21 Trojan.Agent.88064.8
weitere Informationen
File size: 110592 bytes
MD5...: 7e39f16e246b51aa34e4e29b31aa60d1
SHA1..: 8466735d004b78d7d1b5e199de4b77937f812f5b
SHA256: 55bebf88bcf1530195d12300cc005540527370554eef3eb9d9a0a4fbeaf9056c
SHA512: a3b1d92ebb4f42c7a52f3f7f88467805d32ffc8104a4e160b63f2c4f6f5250ab
5dc0e77da91e5e6d8128ad99af190f3d7fb266b9817c8ce0fe8078559d6884d1
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x43a7c0
timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x25000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x26000 0x15000 0x14a00 7.90 845b38176fc57dfaaa7fbb5580a1ea99
.rsrc 0x3b000 0x1000 0xa00 3.60 16698fb5df61f2137569d187c93f75b9

( 7 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree
> advapi32.dll: RegCloseKey
> ole32.dll: IsEqualGUID
> oleaut32.dll: LoadTypeLib
> shell32.dll: SHGetMalloc
> user32.dll: SetTimer
> wininet.dll: InternetCrackUrlA

( 5 exports )
DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer, InitEntry0

Prevx info: 98787839.DLL - Prevx
packers (Kaspersky): PE_Patch.UPX, UPX
packers (F-Prot): UPX

Gruß
Ernie140462

Trojaner TR/AGENT 88064.8

Log-Analyse und Auswertung: Trojaner TR/AGENT 88064.8