E-Scan fand 3 Trojaner

#1 Hallo,

ich hatte heute ein E-Scan durchgeführt und schon fand er 3 Trojaner. Nachstehend der Report:

Mo Jul 18 19:40:16 2005 => ***** Analysis Completed. *****
Mo Jul 18 19:40:16 2005 =>
Mo Jul 18 19:40:16 2005 => Total Number of Files Scanned: 268708
Mo Jul 18 19:40:16 2005 => Total Number of Files Infected: 3
Mo Jul 18 19:40:16 2005 => Total Number of Files Disinfected: 0
Mo Jul 18 19:40:16 2005 => Total Number of Files Renamed: 1
Mo Jul 18 19:40:16 2005 => Total Number of Files Deleted: 2
Mo Jul 18 19:40:16 2005 => Total Number of Errors: 2
Mo Jul 18 19:40:16 2005 => Time Elapsed:: 04:51:39
Mo Jul 18 20:09:53 2005 =>
Mo Jul 18 20:09:53 2005 => ***** Analysis Cancelled. *****


Die umbenannte sowie die gelöschten Dateien weiß ich leider nicht. Ich setze nun noch mein Highjackthis-Log ein. Könnt Ihr mir bitte sagen, ob dieses nun clean ist?

Logfile of HijackThis v1.99.1
Scan saved at 22:29:03, on 18.07.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\System32\Ati2evxx.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\system32\Ati2evxx.exe
C:\windows\system32\spoolsv.exe
C:\windows\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\windows\Dit.exe
C:\PROGRA~1\eScan\TRAYICOS.EXE
C:\PROGRA~1\eScan\AVPMWrap.EXE
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\windows\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\PROGRA~1\eScan\MAILDISP.EXE
C:\Programme\V-Stream Multimedia\TV713X Utilities\P3XRCtl.exe
C:\Programme\VIA\RAID\raid_tool.exe
C:\Programme\PowerQuest\DataKeeper 5.0\DataKeeper.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\PROGRA~1\eScan\TRAYSSER.EXE
C:\PROGRA~1\eScan\MAILSCAN.EXE
C:\PROGRA~1\eScan\SPOOLER.EXE
C:\PROGRA~1\eScan\avpm.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\PROGRA~1\eScan\kavss.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\windows\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\PROGRA~1\eScan\AvpM.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\***\Desktop\HijackThis1991.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.spiegel.de/
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Programme\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~1\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [eScan Monitor] C:\PROGRA~1\eScan\AVPMWrap.EXE
O4 - HKLM\..\Run: [mmtask] "C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe"
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - HKCU\..\Run: [ctfmon.exe] C:\windows\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: DataKeeper.lnk = C:\Programme\PowerQuest\DataKeeper 5.0\DataKeeper.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: TV713X Remote Control.lnk = C:\Programme\V-Stream Multimedia\TV713X Utilities\P3XRCtl.exe
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programme\VIA\RAID\raid_tool.exe
O10 - Broken Internet access because of LSP provider 'mwtsp.dll' missing
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Steuer\Haufe\HRInstmon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\windows\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: eScan Server-Updater (eScan-trayicos) - Unknown owner - C:\PROGRA~1\eScan\TRAYSSER.EXE
O23 - Service: eScan Monitor Service (KAVMonitorService) - Kaspersky Labs. - C:\PROGRA~1\eScan\avpm.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


Die Highjackthis automatische Auswertung zeigte lediglich den 018-er als evtl. böse an. Ic h kenne mich aber überhaupt nicht aus und bitte Euch um Hilfe.

Vielen Dank

Daphne

#2 Hi Daphne,
Hast Du den Haufe Reader selbst installiert? Wenn ja, dann besteht kein Grund zur Sorge.

Du hast die Pay-Version von eScan?! Das Prog hat die entsprechenden Dateien schon "renamed" bzw. "deleted". Du kannst die Dateien finden, indem Du eScan öffnest und dann "View Log" drückst. Danach suche (Bearbeiten => Suchen) die Zeilen mit "infected". da findest Du die genauen Dateiangaben.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#3 Hallo Heron,
danke für Deine prompte Antwort (Echt super!)

Nun, in dem Log steht, dass

Mo Jul 18 19:03:25 2005 => File Infected with "Backdoor.Win32.PoeBot.d". Action Taken: File renamed!

Mo Jul 18 17:50:29 2005 => File Infected with "Trojan.Win32.Urbin.c". Action Taken: File deleted!

Mo Jul 18 17:50:25 2005 => File Infected with "Trojan-Clicker.Win32.Libie.f". Action Taken: File deleted!

Es ist mir unbegreiflich, wie ich innerhalb von einer Woche seit dem letzten Scan an 3 Trojaner komme.

Bezüglich des Haufe Readers: Der ist wohl in einem Steuer-Programm enthalten. Schadet es denn, wenn ich ihn lösche?

Muß ich wegen der Backdoor-Tr. neu aufsetzen oder lässt sich das noch vermeiden?

Nochmals vielen Dank vorab

Daphne

#4

Zitat

Muß ich wegen der Backdoor-Tr. neu aufsetzen

Das hängt davon ab, in welchem Ordner die sich die Datei befunden hat. Aber, da das HJT Log nichts anzeigt, ist die Wahrscheinlichkeit gering, dass Du aktive Backdoors auf dem System hast.
Poste trotzdem noch einmal den genauen Pfad der Dateien, die eScan gefunden hat.

Zitat

Bezüglich des Haufe Readers: Der ist wohl in einem Steuer-Programm enthalten. Schadet es denn, wenn ich ihn lösche?

Kann ich Dir nicht sagen. Aber wenn ich mir die Google-Ergebnisse so anschaue, dann scheint das Prog kein Risiko darzustellen. Hat irgendwas mit der Juristerei zu tun.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#5 Hi!

Das Escancheck Programm erlaubt das Löschen dieser Dateien. Eine Anleitung findest du [url]hier: http://virus-protect.org/escan.html[/url]. Sollten die Dateien so nicht entfernt werden, kann auch die Killbox genutzt werden.

MfG,
__________
Yourhighness
Yourhighness' Seite / Mein Blog (Englisch)