Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Virenscanner meldet Click.Agent.JH.1 (https://www.trojaner-board.de/37322-virenscanner-meldet-click-agent-jh-1-a.html)

giftmischer 24.03.2007 18:17
Virenscanner meldet Click.Agent.JH.1
 
Hallo an alle,

seit 2 Tagen habe ich ein kleines Problem mit meinem PC und ich hoffe, ihr könnt mir dabei helfen. Als Virenscanner hab ich Avira Antivir drauf und von dort kommt mittlerweile desöfteren die Meldung, daß ein Trojaner namens Click.Agent.JH.1 gefunden wird. Bevor ich aber irgendwas lösche, was nicht gelöscht werden soll, frage ich lieber jemanden, der sich damit auskennt. Ich hab dazu ein HijackThis-Log erstellt:

Logfile of HijackThis v1.99.1
Scan saved at 18:13:13, on 24.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\***\Lokale

Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =

h**p://de.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://de.search

.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

h**p://web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =

h**p://de.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL

=

h**p://de.rd.yahoo.com/customize/ie/defaults/su/msgr8/*h**p://de.search

.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =

h**p://de.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*h**p://de.search

.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

h**p://de.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) =

h**p://de.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://de.search

.yahoo.com
R3 - URLSearchHook: Yahoo! Toolbar -

{EF99BD32-C1FB-11D2-892F-0090271D4F88} -

C:\Programme\Yahoo!\Companion\Installs\cpn1\yt.dll
O2 - BHO: Yahoo! Toolbar Helper -

{02478D38-C3F9-4EFB-9B51-7695ECA05670} -

C:\Programme\Yahoo!\Companion\Installs\cpn1\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper -

{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat

7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} -

C:\Programme\Yahoo!\Companion\Installs\cpn1\yt.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame

Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition

Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [wcmdmgr] C:\WINDOWS\wt\updater\wcmdmgrl.exe -launch
O4 - HKLM\..\Run: [Lexmark_X79-55] C:\WINDOWS\system32\lsasss.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steganos3] C:\Programme\Steganos 3\Steganos3.exe

/booting
O4 - HKCU\..\Run: [Yahoo! Pager]

"C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet
O4 - Global Startup: Adobe Reader - Schnellstart.lnk =

C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame

Dateien\GMT\GMT.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk =

C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: WinZip Quick Pick.lnk =

C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren -

res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} -

C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger -

{4528BBE0-4E08-11D5-AD55-00010333D0AD} -

C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger -

{FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class)

- C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class)

- http://www.moviegroup.tv/activex/DownloadMgr.cab
O20 - AppInit_DLLs:
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH -

C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService)

- AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision

Corporation - C:\Programme\Gemeinsame

Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe


Ich hab leider nicht so die Ahnung von solchen Dingen, hoffe aber, Hilfe bekommen zu können.

Vielen Dank im Voraus

giftmischer

nochdigger 24.03.2007 22:45
Hallo

Zitat:
kommt mittlerweile desöfteren die Meldung, daß ein Trojaner namens Click.Agent.JH.1 gefunden wird.
wo wird welche Datei angemeckert(Pfad/Dateiname)?

Mach bitte alle versteckten Datein und Ordner sichtbar.
Suche diese Datei C:\WINDOWS\system32\lsasss.exe und lass sie hier
Virustotal
oder hier
Jotti
überprüfen (kann bisschen dauern),
poste die Ergebnisse mit der Angabe der größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
auch wenn nichts gefunden wurde.

MFG

giftmischer 25.03.2007 19:27
Hier nochmal ein Log mit sichtbaren versteckten Dateien:

Logfile of HijackThis v1.99.1
Scan saved at 20:23:33, on 25.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\***\Lokale

Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =

h**p://de.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*h**p://de.search

.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

h**p://web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =

h**p://de.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL

=

h**p://de.rd.yahoo.com/customize/ie/defaults/su/msgr8/*h**p://de.search

.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =

h**p://de.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*h**p://de.search

.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

h**p://de.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) =

h**p://de.rd.yahoo.com/customize/ie/defaults/su/msgr8/*h**p://de.search

.yahoo.com
R3 - URLSearchHook: Yahoo! Toolbar -

{EF99BD32-C1FB-11D2-892F-0090271D4F88} -

C:\Programme\Yahoo!\Companion\Installs\cpn1\yt.dll
O2 - BHO: Yahoo! Toolbar Helper -

{02478D38-C3F9-4EFB-9B51-7695ECA05670} -

C:\Programme\Yahoo!\Companion\Installs\cpn1\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper -

{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat

7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} -

C:\Programme\Yahoo!\Companion\Installs\cpn1\yt.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame

Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition

Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [wcmdmgr] C:\WINDOWS\wt\updater\wcmdmgrl.exe -launch
O4 - HKLM\..\Run: [Lexmark_X79-55] C:\WINDOWS\system32\lsasss.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steganos3] C:\Programme\Steganos 3\Steganos3.exe

/booting
O4 - HKCU\..\Run: [Yahoo! Pager]

"C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet
O4 - Global Startup: Adobe Reader - Schnellstart.lnk =

C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame

Dateien\GMT\GMT.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk =

C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: WinZip Quick Pick.lnk =

C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren -

res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} -

C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger -

{4528BBE0-4E08-11D5-AD55-00010333D0AD} -

C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger -

{FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class)

- C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class)

- h**p://www.moviegroup.tv/activex/DownloadMgr.cab
O20 - AppInit_DLLs:
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH -

C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService)

- AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision

Corporation - C:\Programme\Gemeinsame

Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

Angemeckert werden verschiedene Dateien, mal mehr, was weniger komischerweise und unregelmäßig, beim diesmaligen Einschalten waren es:

C:\WINDOWS\system32\Nerocheck.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\wt\updater\wcmdmgrl.exe
C:\WINDOWS\system32\lsasss.exe
C:\Programme\Steganos 3\Steganos3.exe
C:\Programme\Yahoo!\Messenger\YahooMessenger.exe

Die angegebene Datei konnte ich aus Zeitgründen noch nicht überprüfen lassen, das reiche ich aber bald nach.

Mit Grüßen
giftmischer

giftmischer 26.03.2007 17:38
Hier noch das Ergebnis von VirusTotal über lsasss.exe:

Antivirus Version Update Result
AhnLab-V3 2007.3.27.0 03.26.2007 no virus found
AntiVir 7.3.1.44 03.26.2007 TR/Click.Agent.JH.1
Authentium 4.93.8 03.24.2007 no virus found
Avast 4.7.936.0 03.25.2007 no virus found
AVG 7.5.0.447 03.26.2007 Clicker.EVT
BitDefender 7.2 03.26.2007 Trojan.Clicker.Agent.ND
CAT-QuickHeal 9.00 03.26.2007 TrojanClicker.Agent.jh
ClamAV devel-20070312 03.26.2007 Trojan.Clicker-77
DrWeb 4.33 03.26.2007 Trojan.DownLoader.19701
eSafe 7.0.14.0 03.25.2007 suspicious Trojan/Worm
eTrust-Vet 30.6.3512 03.26.2007 no virus found
Ewido 4.0 03.25.2007 Hijacker.Agent.jh
FileAdvisor 1 03.26.2007 no virus found
Fortinet 2.85.0.0 03.26.2007 W32/Tibs.gen
F-Prot 4.3.1.45 03.23.2007 no virus found
F-Secure 6.70.13030.0 03.26.2007 Trojan-Clicker.Win32.Agent.jh
Ikarus T3.1.1.3 03.26.2007 Trojan-Proxy.Win32.Horst.ls
Kaspersky 4.0.2.24 03.26.2007 Trojan-Clicker.Win32.Agent.jh
McAfee 4991 03.23.2007 no virus found
Microsoft 1.2306 03.26.2007 Trojan:Win32/Zonebac.A
NOD32v2 2145 03.26.2007 Win32/TrojanDownloader.Agent.AWF
Norman 5.80.02 03.23.2007 W32/Agent.BHOT
Panda 9.0.0.4 03.25.2007 Trj/KillAV.FG
Prevx1 V2 03.26.2007 no virus found
Sophos 4.15.0 03.23.2007 no virus found
Sunbelt 2.2.907.0 03.24.2007 no virus found
Symantec 10 03.26.2007 Trojan.Zonebac
TheHacker 6.1.6.080 03.23.2007 Trojan/Clicker.Agent.jh
UNA 1.83 03.16.2007 no virus found
VBA32 3.11.2 03.26.2007 Trojan.Win32.TrojanDownloader.Agent.AWF
VirusBuster 4.3.7:9 03.26.2007 Trojan.CL.Agent.SUZ
Webwasher-Gateway 6.0.1 03.26.2007 Trojan.Click.Agent.JH.1

File size: 37846 bytes
MD5: 0737839fc5e8fb6b2f5045314cafa6c2
SHA1: 42525ac5d951d08f6f59fb42928f58f24f18115b
packers: UPX
packers: UPX
packers: UPX


Zum Glück hab ich im PC-Betrieb keine Probleme bisher, alles läuft bis auf die dauernden Meldungen normal. Muß ich irgendwas beachten beim Arbeiten? Gibt es Dinge, die ich derzeit nicht am PC tun sollte?

giftmischer 27.03.2007 16:14
Und wie geht´s nun weiter?

nochdigger 27.03.2007 19:12
Hallo

also nach langer Suche hab ich endlich was gefunden, leider für dich.
lsasss.exe => W32/Yayin-A
Zitat:
Zitat von Sophos
* Allows others to access the computer
* Modifies data on the computer
* Downloads code from the internet
* Installs itself in the Registry
* Leaves non-infected files on computer
ich kann dir aufgrund der Eigenschaften des Schädlings nur raten dein System neu aufzusetzen, am Besten nach dieser Anleitung --> Neuaufsetzen des Systems und anschliessende Absicherung! sorry.

MFG

giftmischer 28.03.2007 17:28
Sch.... :pukeface:

Aber bevor ich bei der alten Kiste hier von vorne anfange, nutz ich die Gelegenheit und kauf mir gleich einen neuen, das ist eh überfällig.

Danke trotzdem.

Versohlt diesen Sch...kerlen die solche Dateien verbreiten den A...!


Alle Zeitangaben in WEZ +1. Es ist jetzt 07:01 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131