Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Probleme mit TR/Spy.Agent.930 (https://www.trojaner-board.de/38611-probleme-tr-spy-agent-930-a.html)

schrawenzel 04.05.2007 19:57
Probleme mit TR/Spy.Agent.930
 
Hallo!

Hab heute meinen neuen Rechner bekommen, gleich mal Xp rauf mit SP2 und als allerersten Internetbesuch Avira Antivir runtergeladen und geupdated. Hm, anscheinend war das wohl sehr schlecht, da er nun ständig Fehlermeldungen bringt, dass TR/Spy.Agent.930 gefunden wurde... :( Das erste Mal hab ich gesagt, dass er ihm den Zugriff verweigern soll, dann Virenscan drüber laufen lassen und ihn in Quarantäne gepackt. Nun hat er aber noch 2 Mal danach gefragt...... Ich will nicht, dass der neue Rechner gleich wieder total verseucht ist und vllt auch noch kaputt geht dadurch :(

Hab hier mal ein HJT:
Code:
Logfile of HijackThis v1.99.1
Scan saved at 20:45:51, on 04.05.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\winsys2.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSI\PC Alert 4\PCAlert4.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Admin\LOKALE~1\Temp\Rar$EX00.688\HijackThis.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SW20] C:\WINDOWS\system32\sw20.exe
O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\system32\winsys2.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: PC Alert 4.lnk = C:\Programme\MSI\PC Alert 4\PCAlert4.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
Und hier wäre der Bericht von Antivir(falls er was bringt):

Code:
AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Freitag, 4. Mai 2007  13:43

Es wird nach 766050 Virenstämmen gesucht.

Lizenznehmer:    Avira AntiVir PersonalEdition Classic
Seriennummer:    0000149996-ADJIE-0001
Plattform:        Windows XP
Windowsversion:  (Service Pack 2)  [5.1.2600]
Benutzername:    Admin
Computername:    SCHRAWENZEL

Versionsinformationen:
BUILD.DAT    : 244          14437 Bytes  16.04.2007 16:03:00
AVSCAN.EXE  : 7.0.4.15    282664 Bytes  04.05.2007 15:27:31
AVSCAN.DLL  : 7.0.4.0      41000 Bytes  07.03.2007 07:39:18
LUKE.DLL    : 7.0.4.11    143400 Bytes  27.03.2007 11:26:00
LUKERES.DLL  : 7.0.4.0      10792 Bytes  27.02.2007 10:19:06
ANTIVIR0.VDF : 6.35.0.1    7371264 Bytes  31.05.2006 13:08:58
ANTIVIR1.VDF : 6.37.1.151  4303360 Bytes  23.02.2007 13:09:01
ANTIVIR2.VDF : 6.38.1.56  1022976 Bytes  27.04.2007 15:27:31
ANTIVIR3.VDF : 6.38.1.91    117248 Bytes  04.05.2007 11:43:31
AVEWIN32.DLL : 7.4.0.15    2421248 Bytes  04.05.2007 15:27:31
AVWINLL.DLL  : 1.0.0.7      14376 Bytes  26.02.2007 09:36:23
AVPREF.DLL  : 7.0.2.1      24616 Bytes  27.03.2007 11:20:44
AVREP.DLL    : 7.0.0.1      155688 Bytes  16.04.2007 12:16:24
AVPACK32.DLL : 7.3.0.8      360488 Bytes  27.03.2007 07:48:28
AVREG.DLL    : 7.0.1.2      31784 Bytes  15.03.2007 08:05:04
AVEVTLOG.DLL : 7.0.0.18      86056 Bytes  27.03.2007 11:16:01
AVARKT.DLL  : 1.0.0.12    274472 Bytes  27.03.2007 11:31:08
NETNT.DLL    : 7.0.0.0        7720 Bytes  08.03.2007 10:09:03
RCIMAGE.DLL  : 7.0.1.15    2228264 Bytes  13.03.2007 09:46:00
RCTEXT.DLL  : 7.0.45.0      86056 Bytes  16.03.2007 12:39:00

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Lokale Festplatten
Konfigurationsdatei..............: C:\Programme\AntiVir PersonalEdition Classic\alldiscs.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Freitag, 4. Mai 2007  13:43

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PCAlert4.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WinSys2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soundman.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '26' Prozesse mit '26' Modulen durchsucht

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
      [HINWEIS]  Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
C:\WINDOWS\system32\sw24.exe
      [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.930
      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '466d1cff.qua' verschoben!
C:\WINDOWS\system32\sw24.exe
      [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.930

Die Registry wurde durchsucht ( '15' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
      [WARNUNG]  Die Datei konnte nicht geöffnet werden!


Ende des Suchlaufs: Freitag, 4. Mai 2007  13:51
Benötigte Zeit: 07:16 min

Der Suchlauf wurde vollständig durchgeführt.

  1287 Verzeichnisse wurden überprüft
  66012 Dateien wurden geprüft
      1 Viren bzw. unerwünschte Programme wurden gefunden
      0 davon wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      1 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      1 Dateien konnten nicht durchsucht werden
  66011 Dateien ohne Befall
    770 Archive wurden durchsucht
      1 Warnungen
      0 Hinweise
      0 Versteckte Objekte wurden gefunden

Apocalypt 04.05.2007 20:03
Tritt häufiger auf diese Meldung bei Avira und ist meistens ein Fehlalarm. Lad die Datei mal probeweise bei http://www.virustotal.com hoch und poste das vollständige Ergebnis.

schrawenzel 04.05.2007 20:25
Herzlichen Dank für die wirklich schnelle Antwort.
Hab die Datei aber selbst nicht mehr gefunden im Windowsordner und mal die Datei hochgeladen was Antivir draus gemacht hat... Da ist das Ergebnis folgendes:

Code:
File "466d1cff.qua" received on 05.04.2007 at 21:12:14 (CET) is being scanned by VirusTotal in this moment. Results will be shown as they're generated.

Antivirus        Version        Update        Result
AhnLab-V3        2007.5.4.0        05.04.2007        no virus found
AntiVir        7.4.0.15        05.04.2007        no virus found
Authentium        4.93.8        05.03.2007        no virus found
Avast        4.7.997.0        05.04.2007        no virus found
AVG        7.5.0.467        05.04.2007        no virus found
BitDefender        7.2        05.04.2007        no virus found
CAT-QuickHeal        9.00        05.04.2007        no virus found
ClamAV        devel-20070416        05.04.2007        no virus found
DrWeb        4.33        05.04.2007        no virus found
eSafe        7.0.15.0        05.03.2007        no virus found
eTrust-Vet        30.7.3614        05.04.2007        no virus found
Ewido        4.0        05.04.2007        no virus found
FileAdvisor        1        05.04.2007        no virus found
Fortinet        2.85.0.0        05.04.2007        no virus found
F-Prot        4.3.2.48        05.04.2007        no virus found
F-Secure        6.70.13030.0        05.04.2007        no virus found
Ikarus        T3.1.1.7        05.04.2007        no virus found
Kaspersky        4.0.2.24        05.04.2007        no virus found
McAfee        5024        05.04.2007        no virus found
Microsoft        1.2503        05.04.2007        no virus found
NOD32v2        2240        05.04.2007        no virus found
Norman        5.80.02        05.04.2007        no virus found
Panda        9.0.0.4        05.04.2007        no virus found
Prevx1        V2        05.04.2007        no virus found
Sophos        4.17.0        05.04.2007        no virus found
Sunbelt        2.2.907.0        05.03.2007        no virus found
Symantec        10        05.04.2007        no virus found
TheHacker        6.1.6.104        04.15.2007        no virus found
VBA32        3.11.4        05.04.2007        no virus found
VirusBuster        4.3.7:9        05.04.2007        no virus found

Aditional Information
File size: 69910 bytes
MD5: 85d90bf27f22e04ae527f8db11d9c71d
SHA1: 23ea425c154e2d58c6b8156ac509f5942e5e799f
Ist das jetzt sicher, dass da nichts mehr ist? Hab echt Angst, weil der PC nicht grade billig war.... Wie kann ich die Meldung dann ausschalten, wenn es nichs ist, dass der nicht ständig piept?

Edit:

Ausserdem kann irgendwas nicht ganz stimmen, weil ich grade die letzte Partition auf der Festplatte freischalten wollte laut Anleitung des Verkäufers und ich der einzige eingetragene Benutzer auf dem PC bin und mir dieser aber sagt, dass ich nicht die Rechte dazu habe...... :'(

Apocalypt 04.05.2007 21:02
Was hast du da hochgeladen?
Die?
Zitat:
C:\WINDOWS\system32\sw24.exe
Die solltest du jedenfalls.. ;)

schrawenzel 04.05.2007 21:43
Die find ich nicht mehr...... :(

nochdigger 05.05.2007 05:43
Moin

sw24.exe sollte zu einer MSI Karte gehören hast du eine?

Ich hätte den hier mal näher unter die Lupe genommem

C:\WINDOWS\system32\winsys2.exe

bitte auch auswerten lassen.

MFG

schrawenzel 05.05.2007 07:41
Ja ich hab ein MSI Mainboard drinnen ;)

Und hier ist die Auswertung von C:\WINDOWS\system32\winsys2.exe:

Code:
File "WinSys2.exe" received on 05.05.2007 at 08:33:09 (CET) is being scanned by VirusTotal in this moment. Results will be shown as they're generated.

Antivirus        Version        Update        Result
AhnLab-V3        2007.5.4.0        05.04.2007        no virus found
AntiVir        7.4.0.15        05.05.2007        no virus found
Authentium        4.93.8        05.04.2007        no virus found
Avast        4.7.997.0        05.04.2007        no virus found
AVG        7.5.0.467        05.04.2007        no virus found
BitDefender        7.2        05.05.2007        no virus found
CAT-QuickHeal        9.00        05.04.2007        no virus found
ClamAV        devel-20070416        05.05.2007        no virus found
DrWeb        4.33        05.04.2007        no virus found
eSafe        7.0.15.0        05.03.2007        no virus found
eTrust-Vet        30.7.3614        05.04.2007        no virus found
Ewido        4.0        05.04.2007        no virus found
FileAdvisor        1        05.05.2007        Not analyzed yet
Fortinet        2.85.0.0        05.05.2007        no virus found
F-Prot        4.3.2.48        05.04.2007        no virus found

Aditional Information
File size: 217088 bytes
MD5: 246ed5328f940e4fdaab0b2fc987da01
SHA1: d5e2592cf25b48efb1225e37c45bce99a13466c8
Bit9 info: http://fileadvisor.bit9.com/services/extinfo.aspx?md5=246ed5328f940e4fdaab0b2fc987da01
Die andere finde ich nicht mehr, wenn die jetzt zum Mainboard gehört aber nicht mehr da ist, was mach ich denn dann?

Danke

schrawenzel

schrawenzel 05.05.2007 11:12
Find grad irgendwie den Button fürs Editieren nicht mehr....

Jedenfalls kam jetzt wieder die Mitteilung von Antivir:

Letzte betroffene Datei:
C:\System Volume Information\_restore{A39598A6-8063-4040-9AC8-59DCE68E03DD}\RP3\A0000129.exe

Letzter gefundener Virus oder unerwünschtes Programm:
TR/Spy.Agent.930

Und das hab ich dann draus gemacht:

In der Datei 'C:\System Volume Information\_restore{A39598A6-8063-4040-9AC8-59DCE68E03DD}\RP3\A0000129.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Spy.Agent.930' [TR/Spy.Agent.930] gefunden.
Ausgeführte Aktion: Zugriff verweigern

MfG

schrawenzel

Apocalypt 05.05.2007 11:40
Ok.
-Systemwiederherstellung deaktivieren
-Neustart
-Systemwiederherstellung wieder aktivieren
Berichten

schrawenzel 05.05.2007 15:38
Okay, hab ich jetzt gemacht... Hm, was soll ich da berichten? Hat hochgefahren und hab das wieder aktiviert... Die letzten 2 Minuten hat er nichts gemeldet, mal schauen was noch kommt ;)


Alle Zeitangaben in WEZ +1. Es ist jetzt 03:49 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131