Habe ich Trojaner?

#1 Hallo Leute,

habe heute mit der neuesten VDF von Antivir den Trojaner TR/Proxy.Agen.df.12 gefunden. Er wurde zwar gelöscht, ist aber in einigen Archiven noch da. Antivir meldet im Report folgendes:

[...]
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery
DSOExploit.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt

C:\Programme\AVPersonal\UPDATE
antivir_workstation_win_de_h.exe
ArchiveType: ZIP SFX (self extracting)
--> disk_1\delus.exe
[FUND!] Ist das Trojanische Pferd TR/Proxy.Agen.df.12
C:\System Volume Information\_restore{FBE07F76-F078-45AA-AAE5-116891BBB433}\RP73
A0018058.exe
ArchiveType: ZIP SFX (self extracting)
--> disk_1\delus.exe
[FUND!] Ist das Trojanische Pferd TR/Proxy.Agen.df.12
[...]

Ich hab schon auf der Seite von Antivir im Virenlexikon nachgeschaut, aber da gibts den Trojaner garnicht. Kennt den jemand von euch evtl unter einem anderen Namen, und wenn ja, was macht der? Was hat das mit dem passwortgesperrten Archiv auf sich?
Ich bin eigentlich immer recht vorsichtig, surfe mit Router und Firewall (Zonealarm), hab aber vor 4 Wochen gemerkt, dass Bitdefender nicht mehr updaten kann (bekommt keine Verbindung). Ich hab sofort gescannt, auch mit Hijackthis, hab das Logfile auf der Page untersuchen lassen, wurde aber nichts gefunden. Ich hab das dann als Probleme von Bitdefender mit der Firewall abgehakt, weil Antivir auch weiterhin nix gefunden hat (bis heute halt).
Ich wollte euch bitten, mal in das heutige Hijacklog reinzuschauen, ob euch da was auffällt. Wie bekomme ich die infizierten Dateien aus den Archiven weg? Ich schreib auf dem Rechner grad meine Doktorarbeit, drum kann ich sowas im Moment gar nicht brauchen.....thanx derweil
Gruss Alex


Logfile of HijackThis v1.99.1
Scan saved at 13:17:43, on 30.06.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\nvp2pmon.exe
C:\WINDOWS\AGRSMMSG.exe
C:\PROGRA~1\LAUNCH~1\QtZiAcer.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Softwin\BitDefender Free Edition\bdmcon.exe
C:\Programme\Softwin\BitDefender Free Edition\bdnagent.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Dokumente und Einstellungen\Surfin\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://global.acer.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Programme\Outlook Express\msimn.exe" //mailurl:mailto:Jobs@hochland.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [PCMCIA Resource Monitor] nvp2pmon.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZiAcer.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [BDMCon] C:\Programme\Softwin\BitDefender Free Edition\\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\Programme\Softwin\BitDefender Free Edition\\bdnagent.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: D-Link AirPlus.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: BTTray.lnk = ?
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

#2 Nein, eigentlich bist du sauber. Der erste Eintrag ist die Wiederherstellungfunktion von Spybot S&D. Die Dateien kannst Du auch einfach löschen

Und das zweite ist seltsam, dass Antivir seine eigenen Updates der Virendefinitionen als Trojaner erkennt. In diesem Fall würde ich mir aber keine Sorgen machen
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#3 Hi welpi,

Diese Funde von Antivir sind merkwürdig! Wenn Du willst, kannst Du zusätzlich noch Dein System mit eScan untersuchen.

eScan Erkennungstool
http://www.mwti.net/antivirus/free_utilities.asp

Erstelle einen Ordner C:\bases_x
Entpacke die herunter geladene Datei mwav.exe in diesen Ordner (wenn Du mwav.exe doppelklickst, dann werden die Dateien automatisch in das User-Temp Verzeichnis entpackt!)
Update das Programm durch Doppelklicken auf kavupd.exe.

Starte den Rechner im abgesicherten Modus (F8 drücken beim Booten)
http://www.tu-berlin.de/www/software/virus/savemode.shtml

eScan mit "mwavscan.com" starten.
Überall die Häkchen setzen bei: All Files, Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives => und dann "Scan" klicken.

Nach abgeschlossenem Scan in den Normalmodus zurückgehen, das Log öffnen und (Bearbeiten => Suchen) nach Zeilen mit "infected" (ohne die Anführungszeichen) suchen. Jede einzelne Zeile, die Du findest, abkopieren und posten. Am Ende des Log steht die Zusammenfassung, die bitte auch posten.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#4 Thanx, werde morgen escan durchlaufen lassen und das Ergebnis posten....
Gruss Alex


So, hier die neuesten Erkenntnisse:
Habe escan laufen lassen, hat nichts gefunden. Interessanterweise findet auch Antivir mit der heutigen VDF nichts mehr, es scheint also wirklich ein Bug von Antivir mit der gestrigen VDF gewesen zu sein...werde trotzdem mal schaun, warum Bitdefender nicht mehr updaten kann....vielen Dank für eure Hilfe.
Gruss Alex