Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Trojan-Clicker.Win32.Agent.ac (https://www.trojaner-board.de/15650-trojan-clicker-win32-agent-ac.html)

na_detector 21.03.2005 11:00
Trojan-Clicker.Win32.Agent.ac
 
Hallo,

habe gestern ja schon mal gepostet. Hier nun der neue Thread. Noch mal der Beitrag von gestern:

habe in etwa das gleiche Problem mit 540.filost.com/randomsites/banner.aspx, der einfach (auch offline) aufgerufen wird. Bin zwar kein absoluter Laie, aber eben auch kein Profi.
Habe jetzt schon mit Norton AntiVirus (neueste Virusdefinition) und AdAware im abgesicherten Modus gescannt, die aber nichts mehr gefunden haben.
Hier noch das HijackThis Logfile (ebenfalls im abgesicherten Modus). Vielleicht kann ja jemand sagen, ob noch etwas verdächtig ist:

Logfile of HijackThis v1.99.1
Scan saved at 17:11:34, on 20.03.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\hjt\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - E:\Programme\GetRight\xx2gr.dll
O2 - BHO: (no name) - {A8F6AA45-4788-6802-0A8B-624FBA5DC8CA} - C:\WINDOWS\system32\sysks32.dll (file missing)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [EPSON Stylus C82 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC 2.EXE /P23 "EPSON Stylus C82 Series" /O6 "USB001" /M "Stylus C82"
O4 - HKLM\..\Run: [zBrowser Launcher] E:\PROGRA~1\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] E:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [D-Link Air USB Utility] C:\Programme\D-Link\Air USB Utility\AirCFG.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - (no file)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - D:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - D:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: SAVScan - Symantec Corporation - D:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: WZCBDL Service (WZCBDLService) - D-Link - C:\Programme\WZCBDL Service\WZCBDLS.exe
O23 - Service: Network Security Service (NSS) (%AF夶À¨) - Unknown owner - C:\WINDOWS\system32\javahc32.exe (file missing)

Ich hoffe zwar, dass das Problem mittlerweile gelöst ist, da das Fenster derzeit schon etwas länger nicht mehr aufgetaucht ist, aber ich bin mir nicht ganz sicher.
Außerdem habe ich in den letzten Tagen bei einer Google-Suche eine Seite aufgerufen bei der sich jede Menge popups geöffnet haben und der Computer plötzlich neu gestartet ist. Seitdem habe ich das Gefühl als dass der Bildschirm den Inhalt willkürlich skaliert (schwarzer Rand wird mal größer, mal kleiner). Kann das ein Virus sein? Hoffe das letzte war jetzt einigermaßen verständlich ausgedrückt.
Schon jetzt mal danke für eure Hilfe.


Habe jetzt auch noch mit eScan gescannt (normaler Windows-Modus). Folgendes Ergebniss:
File C:\WINDOWS\System32\vbsys2.dll infected by "Trojan-Clicker.Win32.Agent.ac" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\COMMAND\EBD\EBD.CAB tagged as not-a-virus:Tool.DOS.Restart. No Action Taken.
File C:\WINDOWS\SYSTEM32\vbsys2.dll infected by "Trojan-Clicker.Win32.Agent.ac" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\CP14.exe infected by
"Trojan-Downloader.Win32.Small.ahx" Virus. Action Taken: No Action Taken

Was ist zu tun?

dartus 21.03.2005 11:29
Hallo na_detector,

es hätte genau umgekehrt sein müssen.
HJT-Logfile aus dem normalen Modus und Escan im abgesicherten Modus. ;)
Lass Escan bitte nochmal im abgesicherten Modus laufen.

Diese beiden Dateien vorher manuell löschen:
C:\WINDOWS\System32\vbsys2.dll
C:\WINDOWS\CP14.exe

dartus

na_detector 21.03.2005 12:45
Okay, hier dann nochmal mit dem (hoffentlich ;-) ) richtigen Modus nach Löschen der beiden Dateien:

Logfile of HijackThis v1.99.1

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
E:\PROGRA~1\Logitech\iTouch\iTouch.exe
E:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\D-Link\Air USB Utility\AirCFG.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
D:\Programme\Norton AntiVirus\navapsvc.exe
D:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\WZCBDL Service\WZCBDLS.exe
E:\Programme\GetRight\GETRIGHT.EXE
E:\Programme\GetRight\GETRIGHT.EXE
C:\hjt\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - E:\Programme\GetRight\xx2gr.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [EPSON Stylus C82 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C82 Series" /O6 "USB001" /M "Stylus C82"
O4 - HKLM\..\Run: [zBrowser Launcher] E:\PROGRA~1\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] E:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [D-Link Air USB Utility] C:\Programme\D-Link\Air USB Utility\AirCFG.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Download with GetRight - E:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - E:\Programme\GetRight\GRbrowse.htm
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - (no file)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - D:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - D:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: SAVScan - Symantec Corporation - D:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: WZCBDL Service (WZCBDLService) - D-Link - C:\Programme\WZCBDL Service\WZCBDLS.exe

eScan:
Mon Mar 21 12:09:53 2005 => File C:\System Volume Information\_restore{E4B46832-0868-4660-BD7A-3DE82DEAAD30}\RP506\A0053987.exe infected by "Trojan-Downloader.Win32.Small.ahx" Virus. Action Taken: No Action Taken.
Mon Mar 21 12:09:53 2005 => File C:\System Volume Information\_restore{E4B46832-0868-4660-BD7A-3DE82DEAAD30}\RP506\A0053988.DLL infected by "Trojan-Clicker.Win32.Agent.ac" Virus. Action Taken: No Action Taken.

dartus 21.03.2005 13:40
Hallo,

deaktiviere die Systemwiederherstellung--> Neustart--> Systemwiederherstellung aktivieren

Diese Einträge fixen:

R3 - Default URLSearchHook is missing
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - (no file)

Ich nehme an das Du das gemacht hast:
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

Ansonsten ist meinerseits nichts auffälliges zu erkennen.

Benutze zum Surfen einen anderen Browser, hier ein paar Tipps:
http://www.trojaner-board.de/showthread.php?t=12154

dartus

na_detector 21.03.2005 15:39
Habe soweit die erwähnten Schritte erledigt.

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
Bin ich überfragt. Was ist das genau?

Das Problem mit dem Bildschirm habe ich aber noch immer. Vielleicht will ja auch nur der Bildschirm den Geist aufgeben??? was aber doch irgendwie seltsam ist...

dartus 21.03.2005 16:00
Hallo,

wenn Du das nicht gemacht hast, bitte auch fixen:

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

Kontrolliere mal die Registry.

dartus

na_detector 21.03.2005 17:34
Ist jetzt auch gefixt. Habe vorher und nachher mal im entsprechenden Registry-"Ordner" geschaut: hinterher war ein Unterordner weniger vorhanden. Hoffe das passt dann so.

Außerdem habe ich auf einer anderen Antivirensite folgendes gefunden:


Virentypus: Trojan

Destruktiv: Nein

Aliase: Trojan-Clicker.Win32.Agent.ac, Troj/AdClick-AC, TR/Spam.AvaFX

ab Pattern-File: 2.258.09

benötigte ScanEngine: 6.810

Overall Risk Rating: Very Low

--------------------------------------------------------------------------------

Gemeldete Infektionen: Low

Schadenspotential: Low

Verbreitungspotential: Low



--------------------------------------------------------------------------------

Beschreibung:
This memory-resident Trojan is a .DLL component that may be used by adware or spyware programs

It registers itself on the system by creating entries on the system's registry.

It runs on Windows 95, 98, ME, NT, 2000, and XP.


Lösung:
Removing Malware Entries from the Registry

Open Registry Editor. Click Start>Run, type REGEDIT, then press Enter.
In the left panel, double-click the following:
HKEY_CLASSES_ROOT>CLSID
Locate and delete the subkey:
{54645654-2225-4455-44A1-9F4543D34545}
Again in the left panel, double-click the following:
HKEY_LOCAL_MACHINE>Software>Classes>CLSID
Locate and delete the subkey:
{54645654-2225-4455-44A1-9F4543D34545}
Again in the left panel, double-click the following:
HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>ShellServiceObjectDelayLoad
In the right panel, locate and delete the entry:
SystemCheck2 = "{54645654-2225-4455-44A1-9F4543D34545}"
Close Registry Editor.


Soll ich das auch noch machen?

dartus 21.03.2005 22:58
Hallo na_detector,

die einzelnen Antivir-Hersteller vergeben nicht immer die gleichen Namen, da wäre ich vorsichtig.
Downloade Dir den Registry Optimierer.
Leg aber zur Sicherheit ein Backup an, auch wenn der Optimierer selbst eins anlegt.

dartus


Alle Zeitangaben in WEZ +1. Es ist jetzt 11:56 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131