Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   TR/Agent.102400.CP (https://www.trojaner-board.de/84115-tr-agent-102400-cp.html)

Minksi 27.03.2010 12:17

TR/Agent.102400.CP
 
Hallo!
Mein Antivir (Version 9 und Updates aktuell) hat heute den Trojaner TR/Agent.102400.CP gefunden.
Im Report steht drin, daß es was mit HP (Hewlett Packard) zu tun haben soll.

Eine ähnliche Meldung hab ich aus dem Jahr 2005 bei euch gefunden - da ging es um die Endung .CT

Kann es sein, daß es sich hierbei auch um eine Falschmeldung handelt? Hijackthis zeigt nur güne Häkchen.
Report von Antivir häng ich mal an.

Danke schonmal!

Gruß Minksi

Report:
Code:


Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Samstag, 27. März 2010  11:15

Es wird nach 1931788 Virenstämmen gesucht.

Lizenznehmer  : Avira AntiVir Personal - FREE Antivirus
Seriennummer  : 0000149996-ADJIE-0000001
Plattform      : Windows XP
Windowsversion : (Service Pack 3)  [5.1.2600]
Boot Modus    : Normal gebootet
Benutzername  : SYSTEM
Computername  : COMPUTER-A8B2C9

Versionsinformationen:
BUILD.DAT      : 9.0.0.422    21701 Bytes  09.03.2010 10:23:00
AVSCAN.EXE    : 9.0.3.10    466689 Bytes  19.11.2009 20:21:38
AVSCAN.DLL    : 9.0.3.0      49409 Bytes  13.02.2009 10:04:10
LUKE.DLL      : 9.0.3.2      209665 Bytes  20.02.2009 09:35:44
LUKERES.DLL    : 9.0.2.0      13569 Bytes  26.01.2009 08:41:59
VBASE000.VDF  : 7.10.0.0  19875328 Bytes  06.11.2009 20:21:37
VBASE001.VDF  : 7.10.1.0    1372672 Bytes  19.11.2009 20:21:37
VBASE002.VDF  : 7.10.3.1    3143680 Bytes  20.01.2010 21:13:18
VBASE003.VDF  : 7.10.3.75    996864 Bytes  26.01.2010 20:14:58
VBASE004.VDF  : 7.10.4.203  1579008 Bytes  05.03.2010 20:32:27
VBASE005.VDF  : 7.10.4.204      2048 Bytes  05.03.2010 20:36:25
VBASE006.VDF  : 7.10.4.205      2048 Bytes  05.03.2010 20:36:26
VBASE007.VDF  : 7.10.4.206      2048 Bytes  05.03.2010 20:36:26
VBASE008.VDF  : 7.10.4.207      2048 Bytes  05.03.2010 20:36:26
VBASE009.VDF  : 7.10.4.208      2048 Bytes  05.03.2010 20:36:26
VBASE010.VDF  : 7.10.4.209      2048 Bytes  05.03.2010 20:36:26
VBASE011.VDF  : 7.10.4.210      2048 Bytes  05.03.2010 20:36:26
VBASE012.VDF  : 7.10.4.211      2048 Bytes  05.03.2010 20:36:26
VBASE013.VDF  : 7.10.4.242    153088 Bytes  08.03.2010 20:04:52
VBASE014.VDF  : 7.10.5.17    99328 Bytes  10.03.2010 20:04:52
VBASE015.VDF  : 7.10.5.44    107008 Bytes  11.03.2010 20:04:57
VBASE016.VDF  : 7.10.5.69    92672 Bytes  12.03.2010 20:05:03
VBASE017.VDF  : 7.10.5.91    119808 Bytes  15.03.2010 20:05:08
VBASE018.VDF  : 7.10.5.121    112640 Bytes  18.03.2010 20:06:30
VBASE019.VDF  : 7.10.5.138    139776 Bytes  18.03.2010 20:05:07
VBASE020.VDF  : 7.10.5.164    113152 Bytes  22.03.2010 20:04:58
VBASE021.VDF  : 7.10.5.182    108032 Bytes  23.03.2010 20:05:05
VBASE022.VDF  : 7.10.5.199    123904 Bytes  24.03.2010 20:05:05
VBASE023.VDF  : 7.10.5.217    279552 Bytes  25.03.2010 20:04:59
VBASE024.VDF  : 7.10.5.234    202240 Bytes  26.03.2010 20:05:24
VBASE025.VDF  : 7.10.5.235      2048 Bytes  26.03.2010 20:05:24
VBASE026.VDF  : 7.10.5.236      2048 Bytes  26.03.2010 20:05:25
VBASE027.VDF  : 7.10.5.237      2048 Bytes  26.03.2010 20:05:25
VBASE028.VDF  : 7.10.5.238      2048 Bytes  26.03.2010 20:05:25
VBASE029.VDF  : 7.10.5.239      2048 Bytes  26.03.2010 20:05:25
VBASE030.VDF  : 7.10.5.240      2048 Bytes  26.03.2010 20:05:25
VBASE031.VDF  : 7.10.5.241      2048 Bytes  26.03.2010 20:06:56
Engineversion  : 8.2.1.204
AEVDF.DLL      : 8.1.1.3      106868 Bytes  22.01.2010 20:44:23
AESCRIPT.DLL  : 8.1.3.23    1278331 Bytes  26.03.2010 20:07:00
AESCN.DLL      : 8.1.5.0      127347 Bytes  25.02.2010 20:04:25
AESBX.DLL      : 8.1.2.1      254323 Bytes  17.03.2010 20:40:58
AERDL.DLL      : 8.1.4.3      541043 Bytes  17.03.2010 20:40:48
AEPACK.DLL    : 8.2.1.1      426358 Bytes  19.03.2010 20:05:10
AEOFFICE.DLL  : 8.1.0.41    201083 Bytes  17.03.2010 20:40:38
AEHEUR.DLL    : 8.1.1.16    2503031 Bytes  26.03.2010 20:06:59
AEHELP.DLL    : 8.1.10.2    237941 Bytes  17.03.2010 20:39:51
AEGEN.DLL      : 8.1.3.2      373108 Bytes  19.03.2010 20:05:10
AEEMU.DLL      : 8.1.1.0      393587 Bytes  03.10.2009 19:30:28
AECORE.DLL    : 8.1.12.3    188789 Bytes  17.03.2010 20:39:38
AEBB.DLL      : 8.1.0.3      53618 Bytes  09.10.2008 12:32:40
AVWINLL.DLL    : 9.0.0.3      18177 Bytes  12.12.2008 06:47:56
AVPREF.DLL    : 9.0.3.0      44289 Bytes  08.09.2009 17:52:42
AVREP.DLL      : 8.0.0.7      159784 Bytes  17.02.2010 20:04:10
AVREG.DLL      : 9.0.0.0      36609 Bytes  07.11.2008 13:25:04
AVARKT.DLL    : 9.0.0.3      292609 Bytes  28.04.2009 07:45:41
AVEVTLOG.DLL  : 9.0.0.7      167169 Bytes  30.01.2009 08:37:04
SQLITE3.DLL    : 3.6.1.0      326401 Bytes  28.01.2009 13:03:49
SMTPLIB.DLL    : 9.2.0.25      28417 Bytes  02.02.2009 06:21:28
NETNT.DLL      : 9.0.0.0      11521 Bytes  07.11.2008 13:41:21
RCIMAGE.DLL    : 9.0.0.25    2438913 Bytes  12.06.2009 07:46:03
RCTEXT.DLL    : 9.0.73.0      87297 Bytes  19.11.2009 20:21:35

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Lokale Festplatten
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\alldiscs.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, G:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Intelligente Dateiauswahl
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Samstag, 27. März 2010  11:15

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wlcomm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msnmsgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'thunderbird.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wscntfy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'slserv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'schedul2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TClock.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Smc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '30' Prozesse mit '30' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD1
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD2
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD3
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD4
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD5
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'G:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '47' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <Windows>
C:\Programme\Hewlett-Packard\Digital Imaging\bin\Hpqdirec.exe
    [FUND]      Ist das Trojanische Pferd TR/Agent.102400.CP
Beginne mit der Suche in 'D:\' <Daten>
Beginne mit der Suche in 'G:\' <Volume>
G:\pagefile.sys
    [WARNUNG]  Die Datei konnte nicht geöffnet werden!
    [HINWEIS]  Bei dieser Datei handelt es sich um eine Windows Systemdatei.
    [HINWEIS]  Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.

Beginne mit der Desinfektion:
C:\Programme\Hewlett-Packard\Digital Imaging\bin\Hpqdirec.exe
    [FUND]      Ist das Trojanische Pferd TR/Agent.102400.CP
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c1ee7bd.qua' verschoben!


Ende des Suchlaufs: Samstag, 27. März 2010  12:09
Benötigte Zeit: 52:33 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

  5051 Verzeichnisse wurden überprüft
 202653 Dateien wurden geprüft
      1 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      1 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      1 Dateien konnten nicht durchsucht werden
 202651 Dateien ohne Befall
  2305 Archive wurden durchsucht
      1 Warnungen
      2 Hinweise


bertlchen 27.03.2010 12:55

Hallo!
Habe ebenfalls diesen Fund gemacht heute.
Hat jemand ne Antwort parat?
Danke!

nochdigger 27.03.2010 17:57

Hallo

bitte die Datei mal aus der Quarantäne auf den Desktop entlassen
und anschließend hier Virustotal, hier virscan.org
oder hier Jotti überprüfen lassen (kann einige Minuten dauern),
poste die gesamten Ergebnisse mit der Angabe der Größe der hochgeladenen Datei
sowie die MD5 und SHA1 Angaben oder verlinke auf die Auswertung,
bitte auch wenn nichts gefunden wurde.

MFG

Minksi 28.03.2010 00:58

Danke!
Habs mal bei allen getestet - Fakt ist, wenn ich die Datei auf den Desktop schiebe und se bei einem Virenscanner hochladen will, schlägt Antivir Alarm.

Falls es noch interessiert ... das hier ist die beanstandete Datei:
Hpqdirec.exe - lief auch ursprünglich in c -> Programme -> Hewlett Packard -> Digital Imaging -> bin -> Hpqdirec.exe

Hier mal die Verlinkungen (hoffe, das geht so):

Virus Total
http://www.virustotal.com/reanalisis...871-1269733835

Virenscan (da fand nur Antivir etwas)
http://www.virscan.org/report/133fd2...d16284738.html

Jottis wurde und wurde nicht fertig.

Gruß und Danke
Minksi

mouschd91 28.03.2010 08:32

Zitat:

Zitat von bertlchen (Beitrag 511606)
Hallo!
Habe ebenfalls diesen Fund gemacht heute.
Hat jemand ne Antwort parat?
Danke!

bei mir das selbe problem:uglyhammer:
vllt eine fehlermeldung nach nem update. passierte ja bei allen am selben tag

nochdigger 28.03.2010 15:46

Hallo

ich denke auch, dass es sich um ein False positive (Fehlalarm) handelt, aber um das auzuschließen ladet die Datei (Hintergrundwächter - Guard deaktivieren) mal bei Avira mit verdacht auf Falschmeldung hoch
Avira

Wenn es sich um einen Fehlalarm handelt, wird das in den nächsten Updates geändert.

MFG

Minksi 28.03.2010 21:30

Danke!
Habs dort mal hochgeladen - mal schauen, was da kommt :D

LG Minksi


Alle Zeitangaben in WEZ +1. Es ist jetzt 18:24 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131