Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Trojan-Proxy.Win32.Agent.di (https://www.trojaner-board.de/12699-trojan-proxy-win32-agent-di.html)

Tristan 24.01.2005 22:13
Trojan-Proxy.Win32.Agent.di
 
Hallo zusammen,
würe mich riesig über hilfe freuen zu meinem prob. bin eher ein dummie was viren und trojaner etc. angeht. habe über fsecure testversion und escan obengenannten trojaner enteckt, kann ihn aber nicht entfernen.
kann mir da jmd weiterhelfen ?

Chris14 24.01.2005 22:14
poste mal bitte das escan log.

und zwar so:
-öffne die datei mwav.log,klicke auf bearbeiten dann auf suchen
-gebe infected ein
-suche weiter,markiere die treffer und kopiere sie ins forum
-poste ein neues hijackthis log

Tristan 24.01.2005 22:22
hier schon mal hijackthis log, escan lass ich nochmal durchlaufen

Logfile of HijackThis v1.99.0
Scan saved at 22:20:09, on 24.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Trend Micro\PC-cillin 2002\pccguide.exe
C:\Programme\Trend Micro\PC-cillin 2002\PCCClient.exe
C:\Programme\F-Secure Anti-Virus\Common\FSM32.EXE
C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
C:\Programme\F-Secure Anti-Virus\Anti-Virus\fsgk32st.exe
C:\Programme\F-Secure Anti-Virus\backweb\4476822\program\fsbwsys.exe
C:\Programme\F-Secure Anti-Virus\Anti-Virus\FSGK32.EXE
C:\Programme\F-Secure Anti-Virus\backweb\4476822\Program\fspex.exe
C:\Programme\F-Secure Anti-Virus\Common\FSMA32.EXE
C:\Programme\F-Secure Anti-Virus\Common\FSMB32.EXE
C:\Programme\F-Secure Anti-Virus\Anti-Virus\fssm32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\F-Secure Anti-Virus\Common\FCH32.EXE
C:\Programme\F-Secure Anti-Virus\Common\FAMEH32.EXE
C:\Programme\F-Secure Anti-Virus\Anti-Virus\fsav32.exe
C:\Programme\Trend Micro\PC-cillin 2002\PCCPFW.exe
C:\Programme\F-Secure Anti-Virus\FWES\Program\fsdfwd.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\F-Secure Anti-Virus\FSGUI\fsguiexe.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Temp\mwavscan.com
C:\Temp\kavss.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Temp\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [pccguide.exe] "C:\Programme\Trend Micro\PC-cillin 2002\pccguide.exe"
O4 - HKLM\..\Run: [PCCClient.exe] "C:\Programme\Trend Micro\PC-cillin 2002\PCCClient.exe"
O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Programme\Trend Micro\PC-cillin 2002\Pop3trap.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure Anti-Virus\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure Anti-Virus\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Programme\F-Secure Anti-Virus\FSGUI\FSSW.EXE" /reboot
O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O15 - Trusted Zone: http://*.acct-d1.stw.uni-duesseldorf.de
O23 - Service: avast! iAVS4 Control Service - Unknown - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: F-Secure Anti-Virus 2005 - Unknown - C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
O23 - Service: F-Secure Gatekeeper Handler Starter - Unknown - C:\Programme\F-Secure Anti-Virus\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - Unknown - C:\Programme\F-Secure Anti-Virus\backweb\4476822\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon - F-Secure Corporation - C:\Programme\F-Secure Anti-Virus\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent - F-Secure Corporation - C:\Programme\F-Secure Anti-Virus\Common\FSMA32.EXE
O23 - Service: PC-cillin PersonalFirewall - Trend Micro Inc. - C:\Programme\Trend Micro\PC-cillin 2002\PCCPFW.exe
O23 - Service: Trend NT Realtime Service - Trend Micro Inc. - C:\Programme\Trend Micro\PC-cillin 2002\Tmntsrv.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Focus 24.01.2005 22:29
Betriebssystem:
Zitat:
Windows XP SP2 aufspielen: www.windowsupdate.com
Hijack This Logfile:
Zitat:
mit Hijack This fixen (Häkchen setzen, auf Fix Checked klicken - siehe Anleitung), wenn unbekannt:
O15 - Trusted Zone: h**p://*.acct-d1.stw.uni-duesseldorf.de
Zitat:
In normalen Modus booten. Systemwiederherstellung bei winXP u. winME aktivieren. Neu booten.
Neues HJT Logfile erstellen, posten.

Tristan 24.01.2005 22:40
so, download von windows xp sp2 läuft (und wohl auch noch was länger) hier die infected files aus escan und das neue hijackthis log

Logfile of HijackThis v1.99.0
Scan saved at 22:37:42, on 24.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Trend Micro\PC-cillin 2002\pccguide.exe
C:\Programme\Trend Micro\PC-cillin 2002\PCCClient.exe
C:\Programme\F-Secure Anti-Virus\Common\FSM32.EXE
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
C:\Programme\F-Secure Anti-Virus\Anti-Virus\fsgk32st.exe
C:\Programme\F-Secure Anti-Virus\backweb\4476822\program\fsbwsys.exe
C:\Programme\F-Secure Anti-Virus\Anti-Virus\FSGK32.EXE
C:\Programme\F-Secure Anti-Virus\backweb\4476822\Program\fspex.exe
C:\Programme\F-Secure Anti-Virus\Common\FSMA32.EXE
C:\Programme\F-Secure Anti-Virus\Common\FSMB32.EXE
C:\Programme\F-Secure Anti-Virus\Anti-Virus\fssm32.exe
C:\Programme\F-Secure Anti-Virus\Common\FCH32.EXE
C:\Programme\F-Secure Anti-Virus\Common\FAMEH32.EXE
C:\Programme\F-Secure Anti-Virus\Anti-Virus\fsav32.exe
C:\Programme\Trend Micro\PC-cillin 2002\PCCPFW.exe
C:\Programme\F-Secure Anti-Virus\FWES\Program\fsdfwd.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\F-Secure Anti-Virus\FSGUI\fsguiexe.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Microsoft Office\Office\WINWORD.EXE
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Temp\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [pccguide.exe] "C:\Programme\Trend Micro\PC-cillin 2002\pccguide.exe"
O4 - HKLM\..\Run: [PCCClient.exe] "C:\Programme\Trend Micro\PC-cillin 2002\PCCClient.exe"
O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Programme\Trend Micro\PC-cillin 2002\Pop3trap.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure Anti-Virus\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure Anti-Virus\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Programme\F-Secure Anti-Virus\FSGUI\FSSW.EXE" /reboot
O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O15 - Trusted Zone: http://*.acct-d1.stw.uni-duesseldorf.de
O23 - Service: avast! iAVS4 Control Service - Unknown - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: F-Secure Anti-Virus 2005 - Unknown - C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
O23 - Service: F-Secure Gatekeeper Handler Starter - Unknown - C:\Programme\F-Secure Anti-Virus\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - Unknown - C:\Programme\F-Secure Anti-Virus\backweb\4476822\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon - F-Secure Corporation - C:\Programme\F-Secure Anti-Virus\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent - F-Secure Corporation - C:\Programme\F-Secure Anti-Virus\Common\FSMA32.EXE
O23 - Service: PC-cillin PersonalFirewall - Trend Micro Inc. - C:\Programme\Trend Micro\PC-cillin 2002\PCCPFW.exe
O23 - Service: Trend NT Realtime Service - Trend Micro Inc. - C:\Programme\Trend Micro\PC-cillin 2002\Tmntsrv.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe



File C:\WINDOWS\freegames-de.exe infected by "not-a-virus:Porn-Dialer.Win32.Star" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\sys.reg infected by "Trojan.WinREG.StartPage" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\System32\msgina32.dll infected by "Trojan-Proxy.Win32.Agent.di" Virus. Action Taken: No Action Taken.

File C:\DOKUME~1\Beate\LOKALE~1\TEMPOR~1\Content.IE5\85CD6JGH\index2[1].htm infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken.

File C:\DOKUME~1\Beate\LOKALE~1\TEMPOR~1\Content.IE5\9JNV15WA\index2[1].htm infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken.

File C:\DOKUME~1\Beate\LOKALE~1\TEMPOR~1\Content.IE5\LFZFPHSA\index2[1].htm infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken.

File C:\DOKUME~1\Beate\LOKALE~1\TEMPOR~1\Content.IE5\LFZFPHSA\index2[2].htm infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken.

File C:\DOKUME~1\Beate\LOKALE~1\TEMPOR~1\Content.IE5\ULPI3ITS\index2[1].htm infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken.

Focus 24.01.2005 22:46
Aus der mwav.log (oder mwXface.log) [im Ordner c:\bases] angeben:

=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:

Tristan 24.01.2005 22:49
Mon Jan 24 22:23:39 2005 => Total Files Scanned: 3310
Mon Jan 24 22:23:39 2005 => Total Virus(es) Found: 0

Focus 24.01.2005 23:03
Das System muss als kompromittiert betrachtet werden (compromise):

Trojan-Proxy.Win32.Agent.di

Tristan 24.01.2005 23:11
also auf keinen fall eine andere lösung möglich ?

Lutz 25.01.2005 08:59
Moin,

aus o.a. Link:
Zitat:
...Sobald der Trojaner installiert ist, versucht er, Dateien aus dem Internet herunterzuladen und zu starten, viele Prozesse zu beenden, die mit Sicherheits- und Antivirenprodukten verbunden sind und einen HTTP-Proxy einzurichten, der einem remoten Anwender die Möglichkeit gibt, Web-Verkehr über den infizierten Computer zu leiten...
Wenn Du Deinem System wieder vertrauen willst, gibt es in diesem Fall imho keine andere Möglichkeit!

Tristan 25.01.2005 09:36
*heul*

dann fang ich wohl mal am besten mit dem backup an.... damit ich mir dann aber darüber nicht wieder die gleichen trojaner einhandel würde ich gerne wissen ob escan und hijackthis sozusagen sicher sind. weil ich muß ja irgendwie dann die backup-dateien auf viren überprüfen... oder habe ich da einen denkfehler ?

MountainKing 25.01.2005 10:53
Hijackthis hilft dir da nichts, E-Scan schon eher. Es kommt auch darauf an, was du sichern willst, du solltest dich auf reine Daten beschränken, also evtl. Bilder und Dokumente, keine Programme, kein Archive, keine Systemdateien.

Tristan 26.01.2005 23:56
ok, habe jetzt mal alles runtergeschmissen was infected war im abgesicherten. jetzt nochmal escan laufen lassen. der zeigt mir jetzt nur noch zwei infected files an

Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*

File C:\Dokumente und Einstellungen\Beate\Anwendungsdaten\Microsoft\msgina32.dll infected by "Trojan-Proxy.Win32.Agent.di" Virus. Action Taken: No Action Taken.

der erste ist jetzt irgendwie neu, so scheint mir, war glaube ich beim letzten scan nicht da, und die andere ist jetzt in einem ganz anderen ordner gelandet. kann mir jmd sagen was es mit dem ersten auf sich hat, und ob ich den zweiten wieder löschen kann?


Alle Zeitangaben in WEZ +1. Es ist jetzt 12:03 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131