Trojaner Agent
 

Hi,

The Cleaner meldet mir beim Start, einen Trojaner namens Agent.
Anbei mein HiJack Log

Logfile of HijackThis v1.99.1
Scan saved at 15:32:13, on 15.03.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\msupd.exe
c:\bin\prog\numega\PCShared\NCS.EXE
C:\WINNT\system32\RKillSrv.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\ntptime.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\mdm.exe
C:\bin\hardware\logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\bin\comm\cfos_5_20\cFosDNT.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\bin\multimed\Winamp\winampa.exe
C:\WINNT\system32\internat.exe
C:\bin\system\seti\SETI@home.exe
C:\PROGRA~1\GEMEIN~1\COMPUW~1\NMDBInfo.EXE
C:\bin\comm\BinTec\BRICKware\brkmon.exe
C:\bin\office\Office\FINDFAST.EXE
C:\bin\office\Office\OSA.EXE
C:\bin\utils\winzip\WZQKPICK.EXE
C:\bin\utils\desknote\desktopnotes.exe
C:\bin\edit\UEdit\uedit32.exe
C:\WINNT\System32\MsiExec.exe
C:\Programme\Sophos\Sophos Anti-Virus\SavService.exe
C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
C:\Programme\Sophos\AutoUpdate\ALsvc.exe
C:\Programme\Sophos\AutoUpdate\ALMon.exe
C:\Programme\Sophos\Sophos Anti-Virus\SAVMain.exe
C:\Programme\Sophos\Sophos Anti-Virus\SavProgress.exe
C:\Programme\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=wwwproxy.flexis.de:3128
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.flexis.de;localhost;<local>
F2 - REG:system.ini: UserInit=C:\WINNT\system32\Userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\bin\edit\Adobe\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {2C1E9F92-1388-75FE-0A66-BC946110C595} - C:\WINNT\system32\uqkpdsxo.dll
O2 - BHO: (no name) - {7E9FA64D-5B41-DDE7-9BFF-412848A46AA3} - (no file)
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [WinVNC] "C:\bin\tools\winvnc\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [MOD] c:\bin\graphics\edit\microangelo\muamgr.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [EM_EXEC] C:\bin\hardware\logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [cFosDNT] C:\bin\comm\cfos_5_20\cFosDNT.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [WinampAgent] C:\bin\multimed\Winamp\winampa.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [seticlient] c:\bin\system\seti\SETI@home.exe -min
O4 - HKCU\..\Run: [NMDBInfo] C:\PROGRA~1\GEMEIN~1\COMPUW~1\NMDBInfo.EXE /Automation
O4 - Startup: Desktopnotes.lnk = C:\bin\utils\desknote\desktopnotes.exe
O4 - Startup: F-Laufwerk.lnk = C:\WINNT\system32\subst.exe
O4 - Global Startup: Activity Monitor.lnk = C:\bin\comm\BinTec\BRICKware\brkmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\bin\edit\Adobe\Reader\Reader\reader_sl.exe
O4 - Global Startup: AutoUpdate Monitor.lnk = C:\Programme\Sophos\AutoUpdate\ALMon.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\bin\hardware\logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\bin\office\Office\FINDFAST.EXE
O4 - Global Startup: Office-Start.lnk = C:\bin\office\Office\OSA.EXE
O4 - Global Startup: T-Laufwerk.lnk = C:\WINNT\system32\subst.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\bin\utils\winzip\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://c:\winnt\downloaded program files\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: =>&Deutsch - http:\\wordreference.com\de\j\iede99.htm
O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\bin\comm\FreeDownloadManager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\bin\comm\FreeDownloadManager\dlselected.htm
O8 - Extra context menu item: Download &All by FD - C:\bin\system\Fresh\Download\fdiectx2.htm
O8 - Extra context menu item: Download with &FD - C:\bin\system\Fresh\Download\fdiectx.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\winnt\downloaded program files\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Mit FDM herunterladen - file://C:\bin\comm\FreeDownloadManager\dllink.htm
O8 - Extra context menu item: Verweisseiten - res://c:\winnt\downloaded program files\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Webseiten mit FDM herunterladen - file://C:\bin\comm\FreeDownloadManager\dlpage.htm
O8 - Extra context menu item: Zend Studio - Debug current page - res://C:\bin\prog\php\zend\bin\ZendIEToolbar.dll/DebugCurrent.html
O8 - Extra context menu item: Zend Studio - Debug next page - res://C:\bin\prog\php\zend\bin\ZendIEToolbar.dll/DebugNext.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\winnt\downloaded program files\GoogleToolbar1.dll/cmsimilar.html
O16 - DPF: {072D3F2E-5FB6-11D3-B461-00C04FA35A21} (CFForm Runtime) - https://www.az.blm.gov/CFIDE/classes/CFJava.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://apple.speedera.net/qtinstall....eInstaller.exe
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/de/de.../GoogleNav.cab
O16 - DPF: {AD08A333-609E-11D3-950C-008098601567} - http://wordreference.com/Install/Eng...o%20German.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = flexis.de
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = flexis.de
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = flexis.de
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Miscrosoft Updates Service (MsUpdate) - Unknown owner - C:\WINNT\system32\msupd.exe
O23 - Service: Numega Control Service (NCS) - Compuware Corporation - NuMega Lab - c:\bin\prog\numega\PCShared\NCS.EXE
O23 - Service: NTPTime - Unknown owner - C:\WINNT\System32\ntptime.exe
O23 - Service: OracleOra81ClientCache - Unknown owner - C:\bin\db\Oracle\ora81\BIN\ONRSD.EXE
O23 - Service: Remote Process Killer - Unknown owner - C:\WINNT\system32\RKillSrv.exe
O23 - Service: Sophos Anti-Virus Statusreporter (SAVAdminService) - Sophos plc - C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
O23 - Service: Sophos Anti-Virus (SAVService) - Sophos plc - C:\Programme\Sophos\Sophos Anti-Virus\SavService.exe
O23 - Service: Sophos AutoUpdate Service - Sophos plc - C:\Programme\Sophos\AutoUpdate\ALsvc.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\bin\tools\winvnc\WinVNC.exe" -service (file missing)

Aufgrund folgendes Eintrags habe ich die dementsprechende Datei entfernt (Auch mit KillBox.exe). Nach Reboot erscheint mir hier aber immer wieder eine neue Datei mit einem kryptischen Namen. Sophos meldet mir diese Datei auch nicht als Virus. EScan meldet "Trojan-Dropper.Win32.Agent.fu"

O2 - BHO: (no name) - {2C1E9F92-1388-75FE-0A66-BC946110C595} - C:\WINNT\system32\uqkpdsxo.dll

Ich konnte bisher noch keinen Prozess identifizieren, der dieses Verhalten hervorruft.

Ciao
Reiner

Hi,

ich konnte das Problem durch deaktivieren von

C:\WINNT\system32\msupd.exe

lösen. "msupd.exe" hat ja irgendetwas mit der Microsoft Toolbar im IE (?) zu tun. Habe ich mir da eine korrupte Version eingefangen oder vertreibt Microsoft hier Trojaner behaftete Software ?

Ciao
Reiner

Hallo,

beachte bitte die Schreibweise:

Miscrosoft Updates Service (MsUpdate)

msupdate.exe ist keine Systemdatei.

Dem Logfile nach zu urteilen ist dies ein Firmenrechner?

dartus

@KaiHawaii
guckst du hier
http://www.trendmicro.com/vinfo/viru...C%2EQZ&VSect=P

deaktivieren dürfte das problem nicht losen,
überprüfe doch zur sicherheit bei http://virusscan.jotti.org/de
die datei, poste das ergebnis

wenn es obengenannten backdoor ist, dann kannst du nur format c machen und dein system neuaufsetzen
hier eine anleitung
http://www.trojaner-board.de/showpos...28&postcount=2

chaosman

Hi,

Jotti liefert folgendes

File: msupd.exe
Status:
INFECTED/MALWARE
Packers detected:
-

AntiVir
TR/Dldr.Agent.GN.4 (0.38 seconds taken)
Avast
Win32:Trojano-1018 (1.52 seconds taken)
AVG Antivirus
Downloader.Agent.7.AT (1.72 seconds taken)
BitDefender
Trojan.Downloader.Agent.GN (1.54 seconds taken)
ClamAV
Trojan.Downloader.Agent-64 (1.95 seconds taken)
Dr.Web
Trojan.DownLoader.1375 (2.14 seconds taken)
F-Prot Antivirus
No viruses found (0.09 seconds taken)
Fortinet
W32/Downloader.VA-dl (0.42 seconds taken)
Kaspersky Anti-Virus
Trojan-Downloader.Win32.Agent.gn (1.01 seconds taken)
mks_vir
Trojan.Downloader.Agent.Gn (0.22 seconds taken)
NOD32
Win32/TrojanDownloader.Agent.GN (0.48 seconds taken)
Norman Virus Control
W32/Agent.BPV (0.18 seconds taken)

*********************
Escan liefert mir

File C:\WINNT\system32\msupd.exe infected by "Trojan-Downloader.Win32.Agent.gn" Virus.
Action Taken: No Action Taken.

File C:\WINNT\system32\omnithread_rt.dll tagged as not-a-virus:RiskWare.RemoteAdmin.WinVNC-based.g.
No Action Taken.

File C:\WINNT\system32\instsrv.exe tagged as not-a-virus:RiskWare.Tool.ServiceRunner.f.
No Action Taken.


Ich werde versuchen mittels KillBox die Datei zu entfernen.
Was bedeuten denn die anderen beiden Einträge von eScan ?
"omnithread_rt.dll" ist glaube ich Okay. WinVnc sagt mir was

Ciao
Reiner

Hi,

Oh, danke. Habe ich nicht bemerkt. Ich habe noch einige Einträge in der Registry, die diesen Namen enthalten, z.B.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MSUPDATE\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_MSUPDATE\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\MsUpdate
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSUPDATE\0000

Kann ich die entfernen ? Und wie werde ich den Dienst los ?

Korrekt, woran merkt man das ? Proxy ? Domain ?
Ich musste leider feststellen, daß selbst mit neuester IDE unser Virenscanner den Agent.vn nicht feststellt.

Ciao
Reiner