Backdoor.Win32.Agent.eop!A2
Moin,
von Viren und Malware habe ich leider nicht wirklich Ahnung, deswegen bitte ich euch um Hilfe.
Beim Surfen durch das Web, wurde ich gestern von AntiVir unterbrochen. Nach 4 Meldungen HEUR/HTML.Malware[heuristic], bei denen ich alle auf "Zugriff verweigern" geclickt habe, war ich ziemlich in Panik. Direkt danach habe ich erstmal CCCleaner gestartet und den Cache und sonstige temporäre Dateien gelöscht. Dann hab ich mein System mit Spybot überprüft und es wurden keine Ergebnisse gefunden. Selbst nach einer vollständigen Systemüberprüfung mit AntiVir wurde nichts gefunden.
Ein Freund hat mir dann empfohlen über eine UBCD4-Windows CD AntiSpy-Programme laufen zu lassen. Das hab ich dann auch getan und siehe da, eine Infektion wurde erkannt: Backdoor.Win32.Agent.eop!A2.
Nachdem ich die Datei bei virustotal analysiert habe, habe ich sie entfernt.
Sorry, wenn ich euch mit diesem Gelaber langweile, aber ich könnte mir vorstellen, dass das relevant ist.
Besteht jetzt immernoch Gefahr? Ich bin sehr verunsichert.
Vielen Dank im voraus!
Den log-file des AntiSpy-Programms, den aktuellen log-file von HIJack und die Analyse von virustotal gibts jetzt natürlich auch noch :) : Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:50:22, on 10.12.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal
Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\Programme\Intel\Wireless\Bin\EvtEng.exe
D:\Programme\Intel\Wireless\Bin\S24EvMon.exe
D:\Programme\Intel\Wireless\Bin\WLKeeper.exe
D:\WINDOWS\system32\ZoneLabs\vsmon.exe
D:\WINDOWS\System32\WLTRYSVC.EXE
D:\WINDOWS\System32\bcmwltry.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
D:\DOKUME~1\********\LOKALE~1\TEMP\A2FREE\a2service.exe
D:\WINDOWS\Explorer.EXE
D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
D:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
D:\Programme\Bonjour\mDNSResponder.exe
D:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
D:\Programme\Java\jre6\bin\jqs.exe
D:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
D:\WINDOWS\system32\rundll32.exe
D:\WINDOWS\stsystra.exe
D:\WINDOWS\system32\nvsvc32.exe
D:\Programme\Intel\Wireless\Bin\RegSrvc.exe
D:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
D:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
D:\WINDOWS\system32\WLTRAY.exe
D:\WINDOWS\system32\svchost.exe
D:\Programme\Java\jre6\bin\jusched.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\Programme\Winamp\winampa.exe
D:\Programme\iTunes\iTunesHelper.exe
D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
D:\Programme\Messenger\msmsgs.exe
D:\DOKUME~1\********\LOKALE~1\Temp\superas\SUPERAntiSpyware.exe
D:\Programme\iPod\bin\iPodService.exe
D:\Programme\Intel\Wireless\Bin\Dot1XCfg.exe
D:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
D:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
D:\Programme\Digital Line Detect\DLG.exe
D:\Programme\IEEE 802.11g USB Wireless LAN\Wireless LAN\WlanUtil.exe
D:\WINDOWS\System32\svchost.exe
D:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
E:\Programs\nu2menu\nu2menu.exe
E:\Programs\nu2menu\nu2menu.exe
E:\Programs\nu2menu\nu2menu.exe
E:\Programs\nu2menu\nu2menu.exe
D:\Programme\Mozilla Firefox\firefox.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - D:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [NVHotkey] rundll32.exe nvHotkey.dll,Start
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [IntelZeroConfig] "D:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "D:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [Broadcom Wireless Manager UI] D:\WINDOWS\system32\WLTRAY.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [ICQ Lite] "D:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [AppleSyncNotifier] D:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MSMSGS] "D:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SUPERAntiSpyware] D:\DOKUME~1\********\LOKALE~1\Temp\superas\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = D:\Programme\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Dienst-Manager.lnk = D:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O4 - Global Startup: Digital Line Detect.lnk = D:\Programme\Digital Line Detect\DLG.exe
O4 - Global Startup: IEEE 802.11g USB Wireless LAN Utility.lnk = D:\Programme\IEEE 802.11g USB Wireless LAN\Wireless LAN\WlanUtil.exe
O4 - Global Startup: ZoneAlarm Security.lnk = D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://D:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - D:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - D:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - D:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: d:\windows\system32\nwprovau.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - D:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - D:\DOKUME~1\********\LOKALE~1\TEMP\A2FREE\a2service.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - D:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - D:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - D:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - D:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - D:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - D:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - D:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - D:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - D:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: ServiceLayer - Nokia. - D:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - D:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - D:\Programme\Intel\Wireless\Bin\WLKeeper.exe
O23 - Service: Dell Wireless WLAN Tray Service (wltrysvc) - Unknown owner - D:\WINDOWS\System32\WLTRYSVC.EXE
--
End of file - 10336 bytes
Den log-file des AntiSpy-Programms: Code:
a-squared Free - Version 3.5
Last update: N/A
Scan settings:
Objects: Memory, Traces, Cookies, C:\, D:\
Scan archives: On
Heuristics: On
ADS Scan: On
Scan start: 09.12.2008 10:53:25
D:\System Volume Information\_restore{0C1B6FAA-2CA5-4335-A8DA-DF5D174713AC}\RP426\A0079105.sys detected: Backdoor.Win32.Agent.eop!A2
Scanned
Files: 407161
Traces: 568744
Cookies: 39
Processes: 57
Found
Files: 1
Traces: 0
Cookies: 0
Processes: 0
Registry keys: 0
Scan end: 09.12.2008 14:36:13
Scan time: 3:42:48
Die Analyse von virustotal: (kann mir jemand bei der Interpretation behilflich sein?) Code:
Datei A0079105.sys.dat.dat empfangen 2008.12.10 18:26:45 (CET)
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2999.99.99.3 2008.12.10 -
AntiVir 7.9.0.43 2008.12.10 -
Authentium 5.1.0.4 2008.12.10 W32/Backdoor2.JZH
Avast 4.8.1281.0 2008.12.10 -
AVG 8.0.0.199 2008.12.10 -
BitDefender 7.2 2008.12.10 -
CAT-QuickHeal 10.00 2008.12.10 -
ClamAV 0.94.1 2008.12.10 -
Comodo 718 2008.12.10 -
DrWeb 4.44.0.09170 2008.12.10 -
eSafe 7.0.17.0 2008.12.10 -
eTrust-Vet 31.6.6254 2008.12.10 -
Ewido 4.0 2008.12.10 -
F-Prot 4.4.4.56 2008.12.10 W32/Backdoor2.JZH
F-Secure 8.0.14332.0 2008.12.10 -
Fortinet 3.117.0.0 2008.12.10 W32/Agent.EOP!tr.bdr
GData 19 2008.12.10 -
Ikarus T3.1.1.45.0 2008.12.10 -
K7AntiVirus 7.10.550 2008.12.10 -
Kaspersky 7.0.0.125 2008.12.10 -
McAfee 5459 2008.12.09 -
McAfee+Artemis 5459 2008.12.09 -
Microsoft 1.4205 2008.12.10 -
NOD32 3682 2008.12.10 -
Norman 5.80.02 2008.12.10 -
Panda 9.0.0.4 2008.12.09 -
PCTools 4.4.2.0 2008.12.10 -
Prevx1 V2 2008.12.10 -
Rising 21.07.22.00 2008.12.10 -
SecureWeb-Gateway 6.7.6 2008.12.10 -
Sophos 4.36.0 2008.12.10 Mal/Generic-A
Sunbelt 3.2.1801.2 2008.12.10 -
Symantec 10 2008.12.10 -
TheHacker 6.3.1.2.182 2008.12.10 Backdoor/Agent.eop
TrendMicro 8.700.0.1004 2008.12.10 -
VBA32 3.12.8.10 2008.12.09 suspected of Win32.BrokenEmbeddedSignature (paranoid heuristics)
ViRobot 2008.12.10.1511 2008.12.10 Backdoor.Win32.Agent.99904
VirusBuster 4.5.11.0 2008.12.10 -
weitere Informationen
File size: 99904 bytes
MD5...: 7e4318b3413600ef2545f5dc5ae74fbb
SHA1..: f735389d51ba6ed5c3b0ec39d805f367b6a517af
SHA256: d9b0e77267724836bb6e1069b940ccf6aa66ee7cace6463a7b557f1c660e82f8
SHA512: 33d9c56329218ec59fab4ac14cbd0a45590d0a6d046638df224df7386439a561<br>c50896a385290a83a04ae34484e05c4ab87f62e78be323c99c92d612c6104bcd<br>
ssdeep: 1536:gIj9rXGnjadsq4C4RXRKdS4ARmCnfZHagr3SPDwz4RIiW3:jVXGnjadsHJD<br>XnfZHFr3qDwzr3<br>
PEiD..: -
TrID..: File type identification<br>Win32 Executable Generic (58.4%)<br>Clipper DOS Executable (13.8%)<br>Generic Win/DOS Executable (13.7%)<br>DOS Executable Generic (13.7%)<br>VXD Driver (0.2%)
PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x24f85<br>timedatestamp.....: 0x467bd4a4 (Fri Jun 22 13:54:44 2007)<br>machinetype.......: 0x14c (I386)<br><br>( 6 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x480 0x8558 0x8580 6.58 bd416c815d002e2b7426d9932712ae22<br>.rdata 0x8a00 0x3d74 0x3d80 6.88 4d65b1a718dfc8a947442cd117bba1b4<br>.data 0xc780 0x8790 0x8800 6.64 641cc00947a982c2215f8cd352411c2a<br>INIT 0x14f80 0x56c 0x580 5.41 728720911612c917549eac1a5366557e<br>.rsrc 0x15500 0x480 0x480 3.38 1b50f0a80c5164836eee37c3a064987c<br>.reloc 0x15980 0x10ac 0x1100 3.99 2fd96f2da5a120ccecf9abc74c6c43a3<br><br>( 2 imports ) <br>> ntoskrnl.exe: IoIsWdmVersionAvailable, IofCallDriver, PoCallDriver, PoStartNextPowerIrp, IoDetachDevice, ExInterlockedPopEntrySList, ExInterlockedPushEntrySList, IoStartPacket, IofCompleteRequest, MmMapLockedPagesSpecifyCache, _except_handler3, IoStartNextPacket, KeInitializeSpinLock, ExInitializeNPagedLookasideList, IoCreateDevice, IoDeleteDevice, ExDeleteNPagedLookasideList, IoFreeMdl, MmUnlockPages, MmProbeAndLockPages, IoAllocateMdl, IoFreeIrp, IoGetAttachedDeviceReference, InterlockedExchange, ZwReadFile, KeSetEvent, KeWaitForSingleObject, MmBuildMdlForNonPagedPool, KeInitializeEvent, ZwClose, ZwDuplicateObject, ZwOpenProcess, PsTerminateSystemThread, ObReferenceObjectByHandle, PsCreateSystemThread, ExAllocatePoolWithTag, ExFreePool, RtlFreeUnicodeString, ZwCreateFile, RtlAnsiStringToUnicodeString, RtlInitAnsiString, ZwWriteFile, sprintf, KeTickCount, KeBugCheckEx, ObfDereferenceObject, IoAllocateIrp, IoAttachDeviceToDeviceStack<br>> HAL.dll: KfReleaseSpinLock, KfAcquireSpinLock<br><br>( 0 exports ) <br>
CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=7e4318b3413600ef2545f5dc5ae74fbb' target='_blank'>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=7e4318b3413600ef2545f5dc5ae74fbb</a>
|
