Hallo,
ich habe seit gestern einen Trojaner den Sophos als Troj/Agent-GB erkennt, kann diesen aber nicht löschen. Die mit ihm verbundene DLL-Datei folgt nicht der unter Windows üblichen Namensgebung und fängt mit einem Doppelpunkt an und ist durch nichts, was mir bekannt ist zu finden. Sowas habe ich noch nie gesehen. Kein anderer Scanner hat den finden können.
Hat jemand eine Idee ...?

Grüße

Uli

Wo wurde der Trojaner gefunden?

Poste mal HijackThis-Log: http://filepony.de/download-hijackthis/

Das ist die Meldung, die Sophos generiert.

---------------------------
Sophos Anti-Virus Meldung
---------------------------
Virus: 'Troj/Agent-GB' gefunden in C:\:mscrplgn.dll

Fehler beim Verschieben der Datei C:\Programme\Sophos SWEEP for NT\INFECTED\:mscrplgn.000




Weitere Informationen finden Sie im

Virenlexikon und in den Handbüchern
---------------------------
OK
---------------------------

Anschließend der Log.

Logfile of HijackThis v1.98.2
Scan saved at 21:20:38, on 26.10.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.51 SP2 (5.51.4807.2300)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\SCardSvr.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\Sophos SWEEP for NT\SWUPDATE.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Canon\VDC\AuVdc.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\RunDll32.exe
C:\WINNT\system32\atiptaxx.exe
C:\WINNT\system32\PspContr.Exe
C:\Programme\Winamp3\winampa.exe
C:\WINNT\system32\internat.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\Sophos SWEEP for NT\ICMON.EXE
C:\Programme\WinZip\WZQKPICK.EXE
C:\Dokumente und Einstellungen\esma.DRSCHMITZ\Startmenü\Programme\Autostart\ATnotes.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS
C:\WINNT\system32\mmc.exe
C:\inst\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [PspContr] PspContr.Exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: ATnotes.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: InterCheck Monitor.LNK = C:\Programme\Sophos SWEEP for NT\ICMON.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = drschmitz.intern
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = drschmitz.intern
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = drschmitz.intern

Uli

Fixe dies:

R3 - Default URLSearchHook is missing

Scanne anschl. mal mit eScan im abg. Modus: http://www.trojaner-board.de/42731-escan-anleitung.html

Habe es gefixt.

Lasse gerade den Online-Scanner von Bitdefender laufen.
Escan habe ich erstmal runtergeladen.

Ich befürchte aber, daß das alles nicht helfen kann, solange die Dinger nicht mit der kruden Semantik des Dateinamens klarkommen. Clever gemacht, dem System eine Datei unterzujubeln, die mit den üblichen Mitteln nicht zu sehen ist. Schau mal in den log von Sophos rein, dort steht c:\:msblabla ...

Escan läuft grad parallel und hat nebenbei noch einen Dialer gefunden. Habe den per Hand im cmd-Fenster weggemacht.

Uli

Dir ist klar das escan offline und im abgesicherten Modus laufen soll?

Ist mir klar.

Wollte aber mal vorher den bitdefender abwarten und dann zuschlagen.

Muß eh eventuell später weitermachen, da Weib und Kind klagen und warten.

Läuft der escan den aus dem cmd-Window im abgesicherten Modus oder ist das Teil auch dort graphisch ...?

graphisch...im cmd läuft nur der updater

Habe den escan im Realmode laufen lassen. Log anbei. Musste was rausnehmen, ist zu lang.
Der erste Error verwies auf einen ebenfalls kruden Dateinamen mit Doppelpunkt am Anfang. Habe den betreffenden Eintrag in der Registry weggeputzt, in diesem Stand ein entsprechender Image-Path drin. Habe dann die Registry nach einem Doppelpunkt vor einem m abgesucht. Da war dann aber nichts.

Die zweite Datei kam mir nicht bekannt vor, also auch weg damit.

Jetzt ist der Sophos wieder aktiv, mal sehen ob noch was da ist. Aber ich befürchte schon.

Uli

<snip>
Tue Oct 26 22:20:53 2004 => ERROR!!! Invalid Entry C:\:comxt.exe in SYSTEM\CurrentControlSet\Services\comxt...
Tue Oct 26 22:20:53 2004 => Scanning File C:\WINNT\System32\services.exe
Tue Oct 26 22:20:53 2004 => Scanning File C:\WINNT\system32Tue Oct 26 22:21:08 2004 => Scanning File C:\WINNT\svcpack.log [**]
Tue Oct 26 22:21:08 2004 => Scanning File C:\WINNT\sxstall2.exe
Tue Oct 26 22:21:08 2004 => Result: ERROR!!! File C:\WINNT\sxstall2.exe: Scanning Failure!!!
Tue Oct 26 22:21:08 2004 => ERROR!!! ScanFile fails for C:\WINNT\sxstall2.exe
Tue Oct 26 22:21:08 2004 => Scanning File C:\WINNT\system.ini [**]
</snip>
<snip>
</snip>
Tue Oct 26 22:23:14 2004 => ***** Scanning complete. *****

Tue Oct 26 22:23:14 2004 => Total Files Scanned: 2325
Tue Oct 26 22:23:14 2004 => Total Virus(es) Found: 0
Tue Oct 26 22:23:14 2004 => Total Disinfected Files: 0
Tue Oct 26 22:23:14 2004 => Total Files Renamed: 0
Tue Oct 26 22:23:14 2004 => Total Deleted Files: 0
Tue Oct 26 22:23:14 2004 => Total Errors: 2
Tue Oct 26 22:23:14 2004 => Time Elapsed: 00:02:38
Tue Oct 26 22:23:14 2004 => Virus Database Date: 2004/10/25
Tue Oct 26 22:23:14 2004 => Virus Database Count: 107365

Tue Oct 26 22:23:14 2004 => Scan Completed.

Tue Oct 26 22:26:23 2004 => Virus Database Date: 2004/10/25
Tue Oct 26 22:26:23 2004 => Virus Database Count: 107365
Tue Oct 26 22:26:26 2004 => AV Library Unloaded (3)...

Hab da was kann nur so billig englisch kanst du das ???
soinst währe nhie glaube ich eine lösung
http://sophos.com.au/downloads/ide/

und unter 25 October fallste suchst *g**

Die Einträge findest Du auch in deutscher Sprache auf sophos.de. Die helfen aber nicht wirklich weiter.

Bin auf Umwegen über Google, Kaspersky, Bitdefender usw. hier gelandet.

Der entscheidende Hinweis war eventuell escan im Realmode. Bis jetzt findet der Sophos nichts mehr, der läuft grade.

Die Dateien sind garantiert noch drauf. Der Starteintrag ist aber eventuell jetzt wech ...

Aber abwarten und Tee trinken.

Ciao, ich reite jetzt erstmal vom Hof.

Vielen Dank

Uli