TR/Proxy.Agent.AW kommt immer wieder....

#0
20.02.2005, 18:55
...neu hier

Beiträge: 2
#1 Hallo zusammen,
seit Tagen kämpfen wir nun schon mit dem Trojaner "TR/Proxy.Agent.AW", der ständig wieder kommt.

Er nistet sich wohl offensichtlich im geschützten Bereich "SYSTEM VOLUME INFORMATION" ein.

Wir haben auch schon unter dem abgesicherten Modus mit Admin-Rechten mit Zugriffsrechten auf dieses besagte Verzeichnis mit AntiVir, Ad-Aware, CWS und Spybot gescannt und den Trojaner (zumindest angeblich) mit AntiVir (schon mehrfach) gelöscht!

Leider taucht das Mistvieh innerhalb kürzester Zeit wieder auf... ;)

Hier ein Auszug der Files, die von Antivir angemeckert wurden (bei jedem Lauf jeweils eine - nicht alle auf einmal):

C:\SYSTEM VOLUME INFORMATION\_RESTORE{EC51C484-8F7F-4361-A5C1-246FBFB5BD67}\RP531\A0048708.SYS
C:\SYSTEM VOLUME INFORMATION\_RESTORE{EC51C484-8F7F-4361-A5C1-246FBFB5BD67}\RP528\A0048482.SYS
C:\SYSTEM VOLUME INFORMATION\_RESTORE{EC51C484-8F7F-4361-A5C1-246FBFB5BD67}\RP528\A0048449.SYS
C:\SYSTEM VOLUME INFORMATION\_RESTORE{EC51C484-8F7F-4361-A5C1-246FBFB5BD67}\RP528\A0048467.SYS
C:\SYSTEM VOLUME INFORMATION\_RESTORE{EC51C484-8F7F-4361-A5C1-246FBFB5BD67}\RP1\A0000011.EXE

Wir haben auch schon mit Hijackthis online gecheckt, und stolpern dabei immer wieder über die Datei C:\WINDOWS\System32\dbqrajri5.exe, die bei einem AntiVir-Lauf mit Admin-Rechten als Viren-Datei ausgemacht wurde - aber angeblich ist sie laut Hijackthis-Log nicht vorhanden? ...oder ist sie nur mit den aktuellen Zugriffsrechten (Nicht-Admin) nicht erreichbar?

Auch den besagten Prozess haben wir schon mehrfach gekillt - kommt aber immer wieder...

Hier ist das Logfile von Hijackthis:

----
Logfile of HijackThis v1.99.1
Scan saved at 18:44:03, on 20.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\GEMEIN~1\MAYCOM~1\EDOCPR~1\eDoc.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Tech\MagicBall\1.1\LWBWHEEL.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\TrafMeter\trafmonitor.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\MZL & Novatech TrafficStatistic\bin\gui\TrafficStatisticGUI.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\BTORadio\ps_agent.exe
C:\Programme\AT-AR215\AT-AR215 USB ADSL WAN Adapter\dslmon.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Program Files\interMute\SpySubtract\SpySub.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\drivers\IMountSRV.exe
C:\Programme\Trafficdetector3\TrafficdetectorV3.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TrafMeter\TrafSvc.exe
C:\Programme\MZL & Novatech TrafficStatistic\bin\http_server\HTTP_Srv.exe
C:\Programme\MZL & Novatech TrafficStatistic\bin\cpm\RunCPM.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Trafficdetector3\catcher_.exe
C:\Programme\Trafficdetector3\SpeedMinifenster.exe
C:\Programme\Trafficdetector3\minifenster.exe
C:\Programme\Microsoft Office\Office\OUTLOOK.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\System32\notepad.exe
D:\Vonni\trojaner-bekämpfung\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/sb/*http://www.yahoo.com/search/ie.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/sp/*http://www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mccforum.de/board28082004/index.php?sid=f985aecbfe28b0ef6c4c6eebff1d32b1
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/su/*http://www.yahoo.com
O2 - BHO: (no name) - {04079851-5845-4dea-848C-3ECD647AA554} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: (no name) - {F38289FE-58C1-EC9D-F307-6C872075C04A} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [eDoc] C:\PROGRA~1\GEMEIN~1\MAYCOM~1\EDOCPR~1\eDoc.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 -lock
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Tech\MagicBall\1.1\LWBWHEEL.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [EPSON Stylus CX6400] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P19 "EPSON Stylus CX6400" /O6 "USB002" /M "Stylus CX6400"
O4 - HKLM\..\Run: [TrafMonitor] C:\Programme\TrafMeter\trafmonitor.exe /logon
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [adiras] adiras.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [TrafficStatisticGUI] "C:\Programme\MZL & Novatech TrafficStatistic\bin\gui\TrafficStatisticGUI.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [PhonostarAgent] C:\Programme\BTORadio\ps_agent.exe
O4 - Global Startup: ColorPlus Startup.lnk = C:\Programme\PANTONE COLORVISION\ColorPlus\ColorPlus.exe
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: SpySubtract.lnk = C:\Program Files\interMute\SpySubtract\SpySub.exe
O4 - Global Startup: Trafficdetector.lnk = C:\Programme\Trafficdetector3\TrafficdetectorV3.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - http://sib1.od2.com/common/Member/ClientInstall/10.20.0002/OCI/setup.exe
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} -
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040105/qtinstall.info.apple.com/mickey/de/win/QuickTimeInstaller.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{F9DC7114-1E62-41FE-A8B3-70B23A84735D}: NameServer = 217.237.151.161 217.237.151.33
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: IMountSRV - Unknown owner - C:\WINDOWS\System32\drivers\IMountSRV.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: dtyokqguefoj (mbxdbksn5) - Unknown owner - C:\WINDOWS\System32\dbqrajri5.exe (file missing)
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\Sptisrv.exe
O23 - Service: TrafMeter 5.6.290 (TrafSvc) - Unknown owner - C:\Programme\TrafMeter\TrafSvc.exe
O23 - Service: TrafficStatistic HTTPSrv Service (TSHTTP_Srv) - Unknown owner - C:\Programme\MZL & Novatech TrafficStatistic\bin\http_server\HTTP_Srv.exe" -f config/conf/report_service.conf -name HTTPServer -logFile log/http_server.log -main MainStream -p -language DE -langPath ./config/lang -langName TS_HTTP_SRV (file missing)
O23 - Service: TrafficStatistic RunCPM Service (TSRunCPM) - Unknown owner - C:\Programme\MZL & Novatech TrafficStatistic\bin\cpm\RunCPM.exe" -f ./config/conf/cpm.conf -name CPM -logFile ./log/cpm.log -main MainStream -language DE -langPath ./config/lang -langName TS_CPM (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
----

Wartet dieser Trojaner darauf, daß man das System wiederherstellt - oder gar auf einen User mit Admin-Rechten, um sich "scharf" zu machen?

Wenn ich die Beschreibungen von "WIN32.AGENT.AW" lese wird mir ja schon ganz Angst und Bange... Ist das ein anderer Trojaner (wegen dem WIN32) oder derselbe?? ...unter der obigen Kennung, wie sie Antivir meldet, finde ich im Google irgendwie nix... ;)


Wir sind nun wahrlich am Ende unseres Lateins und hoffen, daß uns hier jemand helfen kann!


Viele Grüße und Danke
Vonni
Seitenanfang Seitenende