Trojan.Agent

Pulpit · 25.08.2008, 18:23

Hallo Trojaner-Kundige,
ich habe einen USB-Stick genutzt, der – wie sich später rausstellte – von einem Nutzer stammte, dessen PC mit Trojanern verseucht ist. Der Besitzer des USB-Sticks hat mit einem Vundo.Gen, einem Agent.VB.H.1 sowie einem Crypt.XPack.Gen zu kämpfen.

Ich habe nach der Nutzung des Sticks meinen PC (Windows XP Service Pack 3 + Windows Firewall) mit Avira AntiVir und Malwarebytes’ Anti-Malware durchsuchen lassen. Nur das letztere Programm hat etwas gefunden:

Code:

ATTFilter

Infizierte Dateien:
C:\WINDOWS\system32\serauth1.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\serauth2.dll (Trojan.Agent) -> Quarantined and deleted successfully.

Bisher sind mir noch keinerlei sonderbare Anzeichen beim Arbeiten mit meinem PC aufgefallen.

In einem anderen Thread habe ich gelesen, dass ein AVZ-Report nützlich sein könnte. Unter dem folgenden Link habe ich eine solche (laut Anweisung von „undoreal“) erstellte Report-Datei hochgeladen:

http://rapidshare.com/files/140035589/avz_sysinfo.zip

Zur weiteren Auswertung füge ich außerdem einen HijackThis Report an:

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:00:14, on 25.08.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Acer\eManager\anbmServ.exe
C:\Programme\Intel\Wireless\Bin\ZcfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\rundll32.exe
C:\Acer\ePM\EPM-DM.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Launch Manager\QtZgAcer.EXE
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programme\Intel\Wireless\Bin\EOUWiz.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\MozyHome\mozybackup.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\LVComSX.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\GMX\GMX Upload-Manager\DAVSRV.EXE
C:\Programme\MSI\ArcSoft\TotalMedia\TMMonitor.exe
C:\Programme\MozyHome\mozystat.exe
C:\Programme\CDBurnerXP\NMSAccessU.exe
C:\Programme\Intel\Wireless\Bin\OProtSvc.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\UStorSrv.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Opera\opera.exe
C:\Programme\Malwarebytes' Anti-Malware\mbam.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.uni-greifswald.de:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Asz.Citavi.IEPicker.IEPickerButton - {609D670F-B735-4da7-AC6D-F3BD358E325E} - C:\WINDOWS\system32\mscoree.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [EPM-DM] C:\Acer\ePM\EPM-DM.exe
O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot
O4 - HKLM\..\Run: [LManager] C:\Programme\Launch Manager\QtZgAcer.EXE
O4 - HKLM\..\Run: [IntelWireless] C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [EOUApp] C:\Programme\Intel\Wireless\Bin\EOUWiz.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [LVCOMSX] "C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\LVComSX.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [ISUSPM] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -scheduler
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [GMX_GMX Upload-Manager] "C:\Programme\GMX\GMX Upload-Manager\DAVSRV.EXE" /hide
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: AutorunsDisabled
O4 - Global Startup: VPN Client.lnk = ?
O4 - Global Startup: TMMonitor.lnk = C:\Programme\MSI\ArcSoft\TotalMedia\TMMonitor.exe
O4 - Global Startup: MozyHome Status.lnk = C:\Programme\MozyHome\mozystat.exe
O8 - Extra context menu item: &Citavi Picker... - file://C:\Programme\Internet Explorer\PLUGINS\Citavi Picker\ShowContextMenu.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Citavi Picker - {619D670F-B735-4da7-AC6D-F3BD358E325E} - C:\WINDOWS\system32\mscoree.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) - 
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1167490157540
O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) - h**p://www.arcor.de/vod/dmd/WMDownload.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - h**p://game12.zylom.com/activex/zylomgamesplayer.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LVSrvLauncher - Labtec Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: MozyHome Backup Service (mozybackup) - Unknown owner - C:\Programme\MozyHome\mozybackup.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Programme\CDBurnerXP\NMSAccessU.exe
O23 - Service: OwnershipProtocol - Intel Corporation - C:\Programme\Intel\Wireless\Bin\OProtSvc.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation  - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: UStorage Server Service - OTi - C:\WINDOWS\system32\UStorSrv.exe

--
End of file - 10624 bytes

Viele Grüße & Danke für eure Hilfe,
Pulpit

cosinus · 26.08.2008, 18:01

Hallo und

Waren auf dem Stick ausführbare Dateien, also irgendwelche Programme oder Setups die Du auch ausgeführt hast?

Das HijackThis Logfile sieht okay aus, das mit AVZ dafür bräuchte ich länger um Aussagen zu machen.

Pulpit · 27.08.2008, 08:36

Hallo root24,
nein, auf dem USB-Stick befanden sich lediglich .jpg-Dateien, die ich in meinen Bilder-Ordner geladen habe. Dabei hat mein AntiVir nicht angeschlagen. Erst nachdem ich erfahren habe, dass der Besitzer des USB-Sticks Probleme mit Trojanern hat, habe ich besagte Anti-Virensoftware suchen lassen.

Vielen Dank für deine Hilfe. Bin ja mal gespannt, ob du in der AVZ-Reportdatei was bemerkenswertes findest...

Viele Grüße,
Pulpit

cosinus · 27.08.2008, 16:25

Die von MBAM gefundenen Dateien müssen nicht unbedingt aus dem USB-Stick kommen, vllt hattest Du sie auch schon vorher drin.

Acker diese Punkte für weitere Analysen ab:

A.) Führe dieses MBR-Tool aus und poste die Ausgabe

B.) Blacklight ausführen und Logfiles posten

C.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste die Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:

[code] Hier das Logfile rein! [/code]

D.) Mach ein Filelisting mit diesem script:

Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
Doppelklick auf listing8.cmd auf dem Desktop
nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

Pulpit · 27.08.2008, 17:26

Hallo root24,
nachfolgend alle gewünschten Informationen…

MBR-Tool:

Code:

ATTFilter

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Blacklight:

Code:

ATTFilter

08/27/08 17:54:15 [Info]: BlackLight Engine 1.0.70 initialized
08/27/08 17:54:15 [Info]: OS: 5.1 build 2600 (Service Pack 3)
08/27/08 17:54:15 [Note]: 7019 4
08/27/08 17:54:15 [Note]: 7005 0
08/27/08 17:54:18 [Note]: 7006 0
08/27/08 17:54:18 [Note]: 7011 3212
08/27/08 17:54:18 [Note]: 7035 0
08/27/08 17:54:18 [Note]: 7026 0
08/27/08 17:54:18 [Note]: 7026 0
08/27/08 17:54:20 [Note]: FSRAW library version 1.7.1024
08/27/08 17:55:03 [Note]: 2000 1012
08/27/08 17:55:03 [Note]: 2000 1012
08/27/08 17:55:36 [Note]: 7007 0

Blacklight hat ansonsten nichts gefunden.

ComboFix:

Code:

ATTFilter

ComboFix 08-08-26.03 - Mustermann 2008-08-27 18:09:38.1 - FAT32x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.605 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Mustermann\Desktop\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((((((((((((((((   Weitere L”schungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\MSINET.oca
C:\WINDOWS\system32\rtl60.bpl

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_6TO4
-------\Legacy_IPRIP
-------\Service_6to4
-------\Service_Iprip


(((((((((((((((((((((((   Dateien erstellt von 2008-07-27 bis 2008-08-27  ))))))))))))))))))))))))))))))
.

2008-11-05 18:11 . 2008-11-05 18:11	<DIR>	d--------	C:\Programme\Avira
2008-08-27 13:34 . 2008-08-27 13:34	<DIR>	d--------	C:\Dokumente und Einstellungen\Mustermann\Anwendungsdaten\UpdateStar
2008-08-27 13:22 . 2008-06-10 02:32	73,728	--a------	C:\WINDOWS\system32\javacpl.cpl
2008-08-27 13:21 . 2008-08-27 13:21	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\Java
2008-08-27 12:22 . 2008-08-27 12:22	<DIR>	d--------	C:\Programme\Spybot - Search & Destroy
2008-08-27 12:22 . 2008-08-27 12:22	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-08-25 18:59 . 2008-08-25 19:00	<DIR>	d--------	C:\Programme\Trend Micro
2008-08-25 17:52 . 2008-08-25 17:52	<DIR>	d--------	C:\Programme\CCleaner
2008-08-25 12:32 . 2008-08-25 12:32	<DIR>	d--------	C:\Programme\Malwarebytes' Anti-Malware
2008-08-25 12:32 . 2008-08-25 12:32	<DIR>	d--------	C:\Dokumente und Einstellungen\Mustermann\Anwendungsdaten\Malwarebytes
2008-08-25 12:32 . 2008-08-25 12:32	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-08-25 12:32 . 2008-04-11 21:04	691,712	---------	C:\WINDOWS\system32\dllcache\inetcomm.dll
2008-08-25 12:32 . 2008-05-01 16:34	331,776	---------	C:\WINDOWS\system32\dllcache\msadce.dll
2008-08-25 12:32 . 2008-08-17 15:01	38,472	--a------	C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-25 12:32 . 2008-08-17 15:01	17,144	--a------	C:\WINDOWS\system32\drivers\mbam.sys

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-29 08:43	7,680	----a-w	C:\WINDOWS\system32\uigxnp.dll
2008-07-29 08:43	149,120	----a-w	C:\WINDOWS\system32\drivers\uigxrdr.SYS
2008-07-14 15:25	53,752	----a-w	C:\WINDOWS\system32\drivers\mozy.sys
2008-07-07 20:26	253,952	----a-w	C:\WINDOWS\system32\es.dll
2008-07-07 20:26	253,952	------w	C:\WINDOWS\system32\dllcache\es.dll
2008-07-05 17:49	---------	d-----w	C:\Programme\Diablo II Shareware
2008-06-24 16:42	74,240	----a-w	C:\WINDOWS\system32\mscms.dll
2008-06-24 16:42	74,240	------w	C:\WINDOWS\system32\dllcache\mscms.dll
2008-06-24 08:14	3,592,192	----a-w	C:\WINDOWS\system32\dllcache\mshtml.dll
2008-06-23 09:20	70,656	----a-w	C:\WINDOWS\system32\dllcache\ie4uinit.exe
2008-06-23 09:20	625,664	----a-w	C:\WINDOWS\system32\dllcache\iexplore.exe
2008-06-23 09:20	13,824	------w	C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-06-21 05:23	161,792	----a-w	C:\WINDOWS\system32\dllcache\ieakui.dll
2008-06-20 17:46	247,296	----a-w	C:\WINDOWS\system32\mswsock.dll
2008-06-20 17:46	247,296	------w	C:\WINDOWS\system32\dllcache\mswsock.dll
2008-06-20 17:46	147,968	------w	C:\WINDOWS\system32\dllcache\dnsapi.dll
2008-06-20 11:51	361,600	------w	C:\WINDOWS\system32\dllcache\tcpip.sys
2008-06-20 11:40	138,496	------w	C:\WINDOWS\system32\dllcache\afd.sys
2008-06-20 11:08	225,856	------w	C:\WINDOWS\system32\dllcache\tcpip6.sys
2008-06-14 17:32	273,024	------w	C:\WINDOWS\system32\dllcache\bthport.sys
2008-06-11 16:23	720,896	----a-w	C:\WINDOWS\iun6002.exe
2008-04-28 07:43	0	----a-w	C:\Programme\Citavi.txt
2007-12-18 14:51	32	----a-w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2006-03-30 09:10	42,928	----a-w	C:\Dokumente und Einstellungen\Mustermann\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2008-04-29 17:06	32,768	--sha-w	C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008042920080430\index.dat
.

((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\mozy2]
@="{747E722C-CB46-4A9D-BDFE-192AAD5099B1}"
[HKEY_CLASSES_ROOT\CLSID\{747E722C-CB46-4A9D-BDFE-192AAD5099B1}]
2008-07-14 17:26	2405680	--a------	C:\Programme\MozyHome\mozyshell1.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\mozy3]
@="{EE6F5A00-7898-40F7-AB77-51FF9D6DEB20}"
[HKEY_CLASSES_ROOT\CLSID\{EE6F5A00-7898-40F7-AB77-51FF9D6DEB20}]
2008-07-14 17:26	2405680	--a------	C:\Programme\MozyHome\mozyshell1.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 07:52 15360]
"GMX_GMX Upload-Manager"="C:\Programme\GMX\GMX Upload-Manager\DAVSRV.EXE" [2008-07-29 10:44 909312]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchApp"="Alaunch" [X]
"SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2004-05-20 19:57 98304]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2004-05-20 19:57 532480]
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" [2004-08-04 05:00 208952]
"MSPY2002"="C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-04 05:00 59392]
"PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 05:00 455168]
"PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 05:00 455168]
"EPM-DM"="C:\Acer\ePM\EPM-DM.exe" [2004-11-03 18:11 163840]
"ePowerManagement"="C:\Acer\ePM\ePM.exe" [2004-11-03 17:45 2883584]
"LManager"="C:\Programme\Launch Manager\QtZgAcer.EXE" [2004-07-30 04:30 319488]
"IntelWireless"="C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" [2004-08-06 16:48 385024]
"EOUApp"="C:\Programme\Intel\Wireless\Bin\EOUWiz.exe" [2004-08-06 16:52 356352]
"IntelliPoint"="C:\Programme\Microsoft IntelliPoint\point32.exe" [2004-06-03 01:50 204800]
"LVCOMSX"="C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\LVComSX.exe" [2007-03-06 17:51 252704]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-19 19:45 266497]
"FreePDF Assistant"="C:\Programme\FreePDF_XP\fpassist.exe" [2007-06-26 20:27 312320]
"ISUSPM"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" [2006-03-20 17:34 213936]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"AppleSyncNotifier"="C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-07-22 20:42 116040]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-05-27 10:50 413696]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-07-30 10:47 289064]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 04:27 144784]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 07:53 110592 C:\WINDOWS\system32\bthprops.cpl]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 07:52 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\IntelWireless]
2004-08-06 16:48 110592 C:\Programme\Intel\Wireless\Bin\LgNotify.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders	msapsspc.dllschannel.dlldigest.dllmsnsspc.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\World of Warcraft\\Launcher.exe"=
"C:\\Programme\\Zattoo\\zattood.exe"=
"C:\\Programme\\Veoh Networks\\Veoh\\VeohClient.exe"=
"C:\\Programme\\Zattoo\\Zattoo.exe"=
"D:\\SpieleZeugs\\Civilization 4\\GameDateien\\Civilization4.exe"=
"D:\\SpieleZeugs\\Civilization 4\\GameDateien\\Warlords\\Civ4Warlords.exe"=
"D:\\SpieleZeugs\\Civilization 4\\GameDateien\\Beyond the Sword\\Civ4BeyondSword.exe"=
"C:\\Programme\\Teamspeak\\TeamSpeak.exe"=
"C:\\Programme\\MozyHome\\mozystat.exe"=
"C:\\Programme\\MozyHome\\mozyconf.exe"=
"C:\\Programme\\Zattoo\\Zattoo1.exe"=
"C:\\Programme\\Zattoo\\Zattoo2.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3587:TCP"= 3587:TCP:Windows-Peer-zu-Peer-Gruppierung
"3540:UDP"= 3540:UDP:Peer Name Resolution-Protokoll (PNRP)
"3724:TCP"= 3724:TCP:Blizzard Downloader
"6112:TCP"= 6112:TCP:Blizzard Downloader

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

R1 mozyFilter;mozyFilter;C:\WINDOWS\system32\DRIVERS\mozy.sys [2008-07-14 17:25]
R1 SMBHC;Microsoft SM Bus-Hostcontrollertreiber;C:\WINDOWS\system32\DRIVERS\SMBHC.sys [2001-08-17 13:57]
R1 SSHDRV76;SSHDRV76;C:\WINDOWS\system32\drivers\SSHDRV76.sys [2007-05-04 18:23]
R1 uigxrdr;uigxrdr;C:\WINDOWS\system32\DRIVERS\uigxrdr.sys [2008-07-29 10:43]
R2 EpmPsd;Acer EPM Power Scheme Driver;C:\WINDOWS\system32\drivers\epm-psd.sys [2004-07-19 13:10]
R2 EpmShd;Acer EPM System Hardware Driver;C:\WINDOWS\system32\drivers\epm-shd.sys [2004-09-02 17:27]
R2 NMSAccessU;NMSAccessU;C:\Programme\CDBurnerXP\NMSAccessU.exe [2008-03-09 11:20]
R2 osaio;osaio;C:\WINDOWS\system32\drivers\osaio.sys [2004-06-01 11:50]
R2 osanbm;osanbm;C:\WINDOWS\system32\drivers\osanbm.sys [2004-06-01 11:50]
R3 SMBBATT;Microsoft Smart Battery-Treiber;C:\WINDOWS\system32\DRIVERS\SMBBATT.sys [2008-04-14 00:06]
S3 AF15BDA;AF9015 BDA Filter;C:\WINDOWS\system32\Drivers\AF15BDA.sys [2006-09-28 11:47]
S3 DMSKSSRh;DMSKSSRh;C:\DOKUME~1\SEBAST~1\LOKALE~1\Temp\DMSKSSRh.sys []
S3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;C:\PROGRA~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS []
S3 p2pgasvc;Peernetzwerk-Gruppenauthentifizierung;C:\WINDOWS\system32\svchost.exe [2008-04-14 07:53]
S3 p2pimsvc;Peernetzwerkidentitäts-Manager;C:\WINDOWS\system32\svchost.exe [2008-04-14 07:53]
S3 p2psvc;Peernetzwerk;C:\WINDOWS\system32\svchost.exe [2008-04-14 07:53]
S3 PLCMPR5;PLCMPR5 NDIS Protocol Driver;C:\WINDOWS\system32\PLCMPR5.SYS []
S3 PNRPSvc;Peer Name Resolution-Protokoll;C:\WINDOWS\system32\svchost.exe [2008-04-14 07:53]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
p2psvc	REG_MULTI_SZ   	p2psvc p2pimsvc p2pgasvc PNRPSvc

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{33bc64e0-70e6-11dd-b6bd-000e3582b57f}]
\Shell\AutoRun\command - F:\2.cmd
\Shell\explore\Command - F:\2.cmd
\Shell\open\Command - F:\2.cmd
.
Inhalt des "geplante Tasks" Ordners

2008-08-27 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]
.
.
------- Zus„tzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Mustermann\Anwendungsdaten\Mozilla\Firefox\Profiles\7nln0oxh.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - about:blank
FF -: plugin - C:\Programme\iTunes\Mozilla Plugins\npitunes.dll
FF -: plugin - C:\Programme\Mozilla Firefox\plugins\np_gp.dll
FF -: plugin - C:\Programme\Mozilla Firefox\plugins\npExentCtl.dll
FF -: plugin - C:\Programme\Mozilla Firefox\plugins\NPinfotl.dll
FF -: plugin - C:\Programme\Mozilla Firefox\plugins\npmozax.dll
FF -: plugin - C:\Programme\Veoh Networks\Veoh\Plugins\noreg\NPVeohVersion.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-27 18:15:35
Windows 5.1.2600 Service Pack 3 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere, laufende Prozesse ------------------------
.
C:\PROGRAMME\INTEL\WIRELESS\BIN\EVTENG.EXE
C:\PROGRAMME\INTEL\WIRELESS\BIN\S24EVMON.EXE
C:\PROGRAMME\LAVASOFT\AD-AWARE 2007\AAWSERVICE.EXE
C:\PROGRAMME\AVIRA\ANTIVIR PERSONALEDITION CLASSIC\AVGUARD.EXE
C:\PROGRAMME\INTEL\WIRELESS\BIN\ZCFGSVC.EXE
C:\PROGRAMME\INTEL\WIRELESS\BIN\1XCONFIG.EXE
C:\ACER\EMANAGER\ANBMSERV.EXE
C:\PROGRAMME\AVIRA\ANTIVIR PERSONALEDITION CLASSIC\SCHED.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\APPLE\MOBILE DEVICE SUPPORT\BIN\APPLEMOBILEDEVICESERVICE.EXE
C:\PROGRAMME\CISCO SYSTEMS\VPN CLIENT\CVPND.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\VS7DEBUG\MDM.EXE
C:\PROGRAMME\MOZYHOME\MOZYBACKUP.EXE
C:\PROGRAMME\INTEL\WIRELESS\BIN\OPROTSVC.EXE
C:\PROGRAMME\INTEL\WIRELESS\BIN\REGSRVC.EXE
C:\WINDOWS\SYSTEM32\TCPSVCS.EXE
C:\WINDOWS\SYSTEM32\SNMP.EXE
C:\WINDOWS\SYSTEM32\USTORSRV.EXE
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\SYSTEM32\RUNDLL32.EXE
C:\PROGRAMME\MSI\ARCSOFT\TOTALMEDIA\TMMONITOR.EXE
C:\PROGRAMME\MOZYHOME\MOZYSTAT.EXE
C:\Programme\iPod\bin\iPodService.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-08-27 18:17:21 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2008-08-27 16:17:20

Pre-Run: 4,440,031,232 Bytes frei
Post-Run: 4,423,008,256 Bytes frei

219	--- E O F ---	2008-08-25 10:42:08

Das Filelisting findest du unter folgendem Link:

http://rapidshare.com/files/140565110/listing.txt

So, das dürfte dann erstmal alles gewesen sein.

Vielen Dank noch mal für deine Hilfe, root24! Bin ja mal gespannt, ob du etwas findest...

Viele Grüße,
Pulpit

cosinus · 27.08.2008, 17:48

Werte schonmal ein paar Dateien aus, stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:

Code:

ATTFilter

C:\WINDOWS\system32\drivers\uigxrdr.SYS
C:\WINDOWS\system32\drivers\mozy.sys
C:\Programme\Zattoo\zattood.exe
C:\Programme\Zattoo\zattoo.exe
C:\Programme\Zattoo\zattoo1.exe
C:\Programme\Zattoo\zattoo2.exe

Öffne zudem die Datei F:\2.cmd mit dem Editor notepad.exe und kopiere den Inhalt raus, diesen hier bitte posten.

26.08.2008, 18:01	#2
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Trojan.Agent Hallo und Waren auf dem Stick ausführbare Dateien, also irgendwelche Programme oder Setups die Du auch ausgeführt hast? Das HijackThis Logfile sieht okay aus, das mit AVZ dafür bräuchte ich länger um Aussagen zu machen. __________________ __________________

Trojan.Agent

Plagegeister aller Art und deren Bekämpfung: Trojan.Agent

Trojan.Agent

Trojan.Agent

Nur .jpg-Dateien

Trojan.Agent

Trojan.Agent

Trojan.Agent

Ähnliche Themen: Trojan.Agent