Home » Viren, Trojaner & Malware Forum » TR/Agent.33302 - benötige Support » Themenansicht

TR/Agent.33302 - benötige Support
#0
15.06.2007, 12:11
Arneji
...neu hier

Beiträge: 3
#1 Ich habe den Trojaner TR/Agent.33302 und bereits Schritte 1-3 aus dem Post http://board.protecus.de/t23188.htm abgearbeitet.

Untenstehend die beiden Textdateien aus Combofix und HijackThis.

Was ist der nächste Schritt? Vielen Dank für die Hilfe!

Gruss, Arneji


Combofix Textdatei

ComboFix 07-06-13.3 - C:\Dokumente und Einstellungen\Arneji\Desktop\ComboFix.exe
"Arneji" - 2007-06-15 11:20:01 - Service Pack 2 NTFS


(((((((((((((((((((((((((((((((((((((((((((( V Log )))))))))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\system32\assnatpu.dll
C:\WINDOWS\system32\qpqss.bak1
C:\WINDOWS\system32\qpqss.ini
C:\WINDOWS\system32\uptanssa.ini
C:\WINDOWS\system32\qpqss.bak1
C:\WINDOWS\system32\qpqss.ini
C:\WINDOWS\system32\ssqpq.dll
C:\WINDOWS\system32\iifecyw.dll


* * * POST RUN FILES/FOLDERS * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *



((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\DOKUME~1\Arneji\ANWEND~1.\macromedia\Flash Player\#SharedObjects\ZCCHD73M\www.broadcaster.com
C:\DOKUME~1\Arneji\ANWEND~1.\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#www.broadcaster.com
C:\DOKUME~1\Arneji\ANWEND~1.\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#www.broadcaster.com\settings.sol


((((((((((((((((((((((((( Files Created from 2007-05-15 to 2007-06-15 )))))))))))))))))))))))))))))))


2007-06-15 11:18 49,152 --a------ C:\WINDOWS\nircmd.exe
2007-06-13 14:08 122,900 --a------ C:\WINDOWS\system32\iahjpxox.exe
2007-06-11 21:33 <DIR> d-------- C:\Programme\LucasArts
2007-06-11 14:08 2,580 --a------ C:\WINDOWS\system32\ogecohll.exe
2007-05-23 17:00 <DIR> d-------- C:\Programme\GIF Movie Gear
2007-05-16 20:31 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Skype


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-06-15 09:18:01 -------- d-----w C:\DOKUME~1\Arneji\ANWEND~1\Skype
2007-06-14 23:23:13 -------- d-----w C:\Programme\Mozilla Thunderbird
2007-06-11 19:33:45 -------- d--h--w C:\Programme\InstallShield Installation Information
2007-05-16 18:31:41 -------- d-----w C:\Programme\Skype
2007-05-03 18:19:10 98,304 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
2007-04-29 19:07:17 -------- d-----w C:\DOKUME~1\Arneji\ANWEND~1\ZipGenius
2007-04-25 23:35:49 -------- d-----w C:\Programme\DivX
2007-03-29 12:36:22 63,976 ----a-w C:\WINDOWS\system32\perfc007.dat
2007-03-29 12:36:22 391,574 ----a-w C:\WINDOWS\system32\perfh007.dat
2007-03-27 07:55:57 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe
2007-03-27 07:55:48 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll
2007-03-27 07:55:31 129,784 ------w C:\WINDOWS\system32\pxafs.dll
2007-03-27 07:55:31 118,520 ------w C:\WINDOWS\system32\pxinsi64.exe
2007-03-27 07:55:31 116,472 ------w C:\WINDOWS\system32\pxcpyi64.exe
2007-03-27 07:55:23 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2007-03-27 07:55:23 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2007-03-27 07:49:07 73,728 ----a-w C:\WINDOWS\system32\dpl100.dll
2007-03-27 07:49:07 196,608 ----a-w C:\WINDOWS\system32\dtu100.dll
2007-03-27 07:49:05 53,248 ----a-w C:\WINDOWS\system32\dpuGUI10.dll
2007-03-27 07:49:03 593,920 ----a-w C:\WINDOWS\system32\dpuGUI11.dll
2007-03-27 07:49:02 57,344 ----a-w C:\WINDOWS\system32\dpv11.dll
2007-03-27 07:49:02 344,064 ----a-w C:\WINDOWS\system32\dpus11.dll
2007-03-27 07:49:02 294,912 ----a-w C:\WINDOWS\system32\dpu11.dll
2007-03-27 07:49:02 294,912 ----a-w C:\WINDOWS\system32\dpu10.dll
2007-03-27 07:48:59 823,296 ----a-w C:\WINDOWS\system32\divx_xx07.dll
2007-03-27 07:48:58 823,296 ----a-w C:\WINDOWS\system32\divx_xx0c.dll
2007-03-27 07:48:58 802,816 ----a-w C:\WINDOWS\system32\divx_xx11.dll
2007-03-27 07:48:58 639,066 ----a-w C:\WINDOWS\system32\DivX.dll
2007-03-17 13:44:25 293,376 ----a-w C:\WINDOWS\system32\winsrv.dll
2005-02-08 14:51:00 56 --sh--r C:\WINDOWS\system32\2829448B03.sys


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{53707962-6F74-2D53-2644-206D7942484F}=C:\PROGRA~1\SPYBOT~1\SDHelper.dll [2005-05-31 02:04]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}=C:\Programme\Java\jre1.6.0_01\bin\ssv.dll [2007-03-14 03:43]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-06-10 21:10]
"Apoint"="C:\Programme\Apoint2K\Apoint.exe" [2003-10-30 16:46]
"PadTouch"="C:\Programme\TOSHIBA\PadTouch\PadExe.exe" [2004-02-12 11:44]
"AGRSMMSG"="AGRSMMSG.exe" [2004-02-21 06:00 C:\WINDOWS\agrsmmsg.exe]
"CeEPOWER"="C:\Programme\TOSHIBA\Power Management\CePMTray.exe" [2004-08-18 10:21]
"@"="" []
"CeEKEY"="C:\Programme\TOSHIBA\E-KEY\CeEKey.exe" [2004-08-06 15:14]
"EzButton"="C:\Programme\EzButton\EzButton.EXE" [2004-07-07 16:25]
"TPNF"="C:\Programme\TOSHIBA\TouchPad\TPTray.exe" [2004-07-28 16:23]
"SmoothView"="C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe" [2004-04-30 11:26]
"NDSTray.exe"="NDSTray.exe" []
"DAEMON Tools-1033"="C:\Programme\D-Tools\daemon.exe" [2003-10-02 03:20]
"LogitechVideoRepair"="C:\Programme\Logitech\Video\ISStart.exe" [2004-10-08 12:31]
"LogitechVideoTray"="C:\Programme\Logitech\Video\LogiTray.exe" [2004-10-08 12:24]
"RoxioDragToDisc"="C:\Programme\Roxio\Easy Media Creator 7\Drag to Disc\DrgToDsc.exe" [2004-08-04 21:36]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-04-20 21:54]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 03:43]
"WService"="WService.EXE" [2002-09-07 12:23 C:\WINDOWS\system32\WService.exe]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-09-24 03:24]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2006-09-25 14:54]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 18:24]
"Skype"="C:\Programme\Skype\Phone\Skype.exe" [2007-05-18 13:14]
"LogitechSoftwareUpdate"="C:\Programme\Logitech\Video\ManifestEngine.exe" [2004-10-08 12:06]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\Run]
"SystemManager"=C:\WINDOWS\system32\msxhtml.exe


Contents of the 'Scheduled Tasks' folder
2006-10-13 08:24:01 C:\WINDOWS\tasks\AppleSoftwareUpdate.job

**************************************************************************

catchme 0.3.721 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-06-15 11:44:09
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-06-15 11:47:59 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-06-15 11:47

--- E O F ---



HijackThis Textdatei

Logfile of HijackThis v1.99.1
Scan saved at 12:05:40, on 15.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\TOSHIBA\Power Management\CeEPwrSvc.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\system32\iahjpxox.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\DRIVERS\WtSrv.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\TOSHIBA\PadTouch\PadExe.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\TOSHIBA\Power Management\CePMTray.exe
C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
C:\Programme\TOSHIBA\TouchPad\TPTray.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Logitech\Video\LogiTray.exe
C:\Programme\Roxio\Easy Media Creator 7\Drag to Disc\DrgToDsc.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\system32\WService.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\LVComsX.exe
C:\Programme\Logitech\Video\FxSvr2.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Arneji\Desktop\Trojaner\HJT.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [PadTouch] "C:\Programme\TOSHIBA\PadTouch\PadExe.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [CeEPOWER] C:\Programme\TOSHIBA\Power Management\CePMTray.exe
O4 - HKLM\..\Run: [CeEKEY] C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [EzButton] C:\Programme\EzButton\EzButton.EXE
O4 - HKLM\..\Run: [TPNF] C:\Programme\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [SmoothView] C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Programme\Roxio\Easy Media Creator 7\Drag to Disc\DrgToDsc.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [WService] WService.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot
O4 - Startup: Microsoft Office OneNote 2003 Schnellstart.lnk = C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: eBay - {C61A2E0E-6D7E-4555-ACA0-50DB2CD83D4B} - C:\Programme\Internet Explorer\Signup\ToshibaGotoEbay.exe (HKCU)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O18 - Protocol: vskype - (no CLSID) - (no file)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: CeEPwrSvc - COMPAL ELECTRONIC INC. - C:\Programme\TOSHIBA\Power Management\CeEPwrSvc.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: DomainService - Unknown owner - C:\WINDOWS\system32\iahjpxox.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: WinTab Service (WinTabService) - Tablet Driver - C:\WINDOWS\system32\DRIVERS\WtSrv.exe
Seitenanfang Seitenende
15.06.2007, 12:27
raman
Moderator

Beiträge: 7805
#2 Pruefe diese Dateien
C:\WINDOWS\system32\iahjpxox.exe
C:\WINDOWS\system32\ogecohll.exe
bitte bei Jotti oder Virustotal.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
15.06.2007, 13:00
Arneji
...neu hier

Themenstarter

Beiträge: 3
#3 Hallo Ralf, danke für die schnelle Antwort. Hier das Ergebnis der Überprüfung:


Complete scanning result of "iahjpxox.exe", received in VirusTotal at 06.15.2007, 12:42:51 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.6.12.2 06.15.2007 no virus found
AntiVir 7.4.0.32 06.15.2007 TR/Agent.aoy.1
Authentium 4.93.8 06.15.2007 no virus found
Avast 4.7.997.0 06.14.2007 no virus found
AVG 7.5.0.467 06.14.2007 no virus found
BitDefender 7.2 06.15.2007 Trojan.Fotomoto.A
CAT-QuickHeal 9.00 06.14.2007 no virus found
ClamAV devel-20070416 06.15.2007 no virus found
DrWeb 4.33 06.15.2007 no virus found
eSafe 7.0.15.0 06.14.2007 no virus found
eTrust-Vet 30.7.3720 06.15.2007 no virus found
Ewido 4.0 06.15.2007 Trojan.Agent.aoy
FileAdvisor 1 06.15.2007 no virus found
Fortinet 2.85.0.0 06.15.2007 no virus found
F-Prot 4.3.2.48 06.14.2007 no virus found
F-Secure 6.70.13030.0 06.15.2007 Trojan.Win32.Agent.aoy
Ikarus T3.1.1.8 06.15.2007 Trojan.Win32.Agent.aoy
Kaspersky 4.0.2.24 06.15.2007 Trojan.Win32.Agent.aoy
McAfee 5053 06.14.2007 no virus found
Microsoft 1.2503 06.14.2007 BrowserModifier:Win32/Fotomoto
NOD32v2 2331 06.15.2007 no virus found
Norman 5.80.02 06.15.2007 W32/Agent.BSOF
Panda 9.0.0.4 06.15.2007 no virus found
Prevx1 V2 06.15.2007 no virus found
Sophos 4.18.0 06.12.2007 no virus found
Sunbelt 2.2.907.0 06.14.2007 no virus found
Symantec 10 06.15.2007 no virus found
TheHacker 6.1.6.133 06.15.2007 no virus found
VBA32 3.12.0.2 06.14.2007 no virus found
VirusBuster 4.3.23:9 06.14.2007 no virus found
Webwasher-Gateway 6.0.1 06.15.2007 Trojan.Agent.aoy.1

Aditional Information
File size: 122900 bytes
MD5: b32cfa986a93c822531d6b7ab8b6642f
SHA1: 9b376e17bfef7217ca429f8283b0b8747875692c

--------------------------------------------------------------

Complete scanning result of "ogecohll.exe", received in VirusTotal at 06.15.2007, 12:50:25 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.5.9.0 05.09.2007 no virus found
AntiVir 7.4.0.32 06.15.2007 TR/Agent.anr.1
Authentium 4.93.8 06.15.2007 is a security risk or a "backdoor" program
Avast 4.7.997.0 06.14.2007 Win32:Agent-HZS
AVG 7.5.0.467 05.08.2007 no virus found
BitDefender 7.2 06.15.2007 Trojan.LowZones.SA
CAT-QuickHeal 9.00 06.14.2007 Trojan.Agent.anr
ClamAV devel-20070416 05.09.2007 no virus found
DrWeb 4.33 06.15.2007 no virus found
eSafe 7.0.15.0 05.08.2007 no virus found
eTrust-Vet 30.7.3720 06.15.2007 no virus found
FileAdvisor 1 06.15.2007 no virus found
Fortinet 2.85.0.0 06.15.2007 no virus found
F-Prot 4.3.2.48 05.08.2007 no virus found
F-Secure 6.70.13030.0 05.09.2007 no virus found
Ikarus T3.1.1.7 05.09.2007 no virus found
Kaspersky 4.0.2.24 06.15.2007 Trojan.Win32.Agent.anr
McAfee 5053 06.14.2007 AllowCookie
Microsoft 1.2503 06.14.2007 no virus found
NOD32v2 2331 06.15.2007 Win32/Agent.ANR
Norman 5.80.02 06.15.2007 W32/Agent.BQSQ
Panda 9.0.0.4 06.15.2007 Trj/Lowzones.TP
Prevx1 V2 06.15.2007 Covert.Sys.Exec
Sophos 4.18.0 06.12.2007 Troj/SetCook-A
Sunbelt 2.2.907.0 05.05.2007 no virus found
Symantec 10 05.09.2007 no virus found
TheHacker 6.1.6.133 06.15.2007 Trojan/Agent.anr
VBA32 3.12.0.2 06.14.2007 Trojan.Win32.Agent.anr
VirusBuster 4.3.23:9 06.14.2007 Trojan.Lowzones.FI
Webwasher-Gateway 6.0.1 05.09.2007 no virus found

Aditional Information
File size: 2580 bytes
MD5: 6101634651a4ac2c8a2bac7b109be776
SHA1: 2642eccee22b5364d614f1e834aabdcdd7130d5c
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PXC=580699751500
Seitenanfang Seitenende
15.06.2007, 13:10
raman
Moderator

Beiträge: 7805
#4 Interessant,das dein Antivir diese Dateien nicht gemeldet hat. Aktualisiere bitte dein Antivir und stelle es ein, wie hier beschrieben. http://board.protecus.de/t23979.htm
Mache dann einen komplettscan deines Rechners und lasse alle Funde verschieben oder umbenennen. Poste bitte dann den Antivir Bericht.

Nachtrag: MAche den Scan bitte im abgesicherten Modus: http://www.bsi.bund.de/av/texte/wiederher.htm
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
15.06.2007, 16:12
Arneji
...neu hier

Themenstarter

Beiträge: 3
#5 Hier der Antivir Bericht. Antivir hatte TR/Agent.33302 vorher schon mehrmals gemeldet, konnte ihn aber nicht löschen.

(Während des Antivir Scans kam die Meldung über den unerwünschten Prozess iahjpxox.exe, den ich aber wegen fehlender Administrator-Rechte nicht beenden konnte.)


AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Freitag, 15. Juni 2007 13:19

Es wird nach 827499 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: Arneji
Computername: ARNE

Versionsinformationen:
BUILD.DAT : 247 14437 Bytes 10.05.2007 11:52:00
AVSCAN.EXE : 7.0.4.15 282664 Bytes 20.04.2007 19:54:26
AVSCAN.DLL : 7.0.4.0 41000 Bytes 20.04.2007 19:54:26
LUKE.DLL : 7.0.4.11 143400 Bytes 20.04.2007 19:54:28
LUKERES.DLL : 7.0.4.0 10792 Bytes 20.04.2007 19:54:28
ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31.05.2006 12:31:32
ANTIVIR1.VDF : 6.38.1.170 5569024 Bytes 21.05.2007 22:38:39
ANTIVIR2.VDF : 6.38.2.24 492032 Bytes 12.06.2007 14:33:47
ANTIVIR3.VDF : 6.39.0.21 130048 Bytes 15.06.2007 11:17:43
AVEWIN32.DLL : 7.4.0.32 2478592 Bytes 14.06.2007 22:53:13
AVWINLL.DLL : 1.0.0.7 14376 Bytes 20.04.2007 19:54:26
AVPREF.DLL : 7.0.2.1 24616 Bytes 20.04.2007 19:54:26
AVREP.DLL : 7.0.0.1 155688 Bytes 20.04.2007 19:54:30
AVPACK32.DLL : 7.3.0.12 360488 Bytes 14.06.2007 22:53:13
AVREG.DLL : 7.0.1.2 31784 Bytes 20.04.2007 19:54:26
AVEVTLOG.DLL : 7.0.0.18 86056 Bytes 20.04.2007 19:54:24
AVARKT.DLL : 1.0.0.17 278568 Bytes 14.05.2007 17:53:58
NETNT.DLL : 7.0.0.0 7720 Bytes 20.04.2007 19:54:28
RCIMAGE.DLL : 7.0.1.15 2228264 Bytes 20.04.2007 19:54:09
RCTEXT.DLL : 7.0.45.0 86056 Bytes 20.04.2007 19:54:09

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Lokale Festplatten
Konfigurationsdatei..............: C:\Programme\AntiVir PersonalEdition Classic\alldiscs.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Freitag, 15. Juni 2007 13:19

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '62698' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FxSvr2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LVCOMSX.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DrgToDsc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LogiTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'daemon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NDSTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ApntEx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TPTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CeEKey.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CePMTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'agrsmmsg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PadExe.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Apoint.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'atiptaxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'kpf4gui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'kpf4gui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WtSrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'kpf4ss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iahjpxox.exe' - '1' Modul(e) wurden durchsucht
Modul ist infiziert -> 'C:\WINDOWS\system32\iahjpxox.exe'
Durchsuche Prozess 'CFSvcs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CeEPwrSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Prozess 'iahjpxox.exe' wird beendet
C:\WINDOWS\system32\iahjpxox.exe
[FUND] Ist das Trojanische Pferd TR/Agent.aoy.1
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 16004
[WARNUNG] Die Quelldatei konnte nicht gefunden werden.

Es wurden '49' Prozesse mit '48' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.

Die Registry wurde durchsucht ( '36' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Arneji\Anwendungsdaten\Thunderbird\Profiles\jlq7bla6.default\Mail\Local Folders\Inbox
[0] Archivtyp: Netscape/Mozilla Mailbox
--> Mailbox_[Subject: Regarding Your Paypal Account][From: service@paypal.com <service@paypal.com>][Message-ID: <E1CuGeF-00078S-GJ@server017.webpack.hosteurope]1778.mim
[FUND] Enthält verdächtigen Code: HEUR/Exploit.HTML
[1] Archivtyp: MIME
--> file0.html
[FUND] Enthält verdächtigen Code: HEUR/Exploit.HTML
--> Mailbox_[From: REGIONS BANK <support_id_5968968575@regions.com][Subject: Identity Theft Solutions][Message-ID: <0MKpV6-1DHjZg1S7r-0007uJ@mxeu1.kundenserver.de]2306.mim
[FUND] Enthält Signatur der Phish-Datei/Email PHISH/Bankfraud.W
--> Mailbox_[From: Regions Bank <support_refnum_5140280@regions.co][Subject: Customer notice: instructions for client [Sat, ][Message-ID: <0MKt1w-1DHjZm1TaH-0006e9@mxeu8.kundenserver.de]2308.mim
[FUND] Enthält Signatur der Phish-Datei/Email PHISH/Bankfraud.W
--> Mailbox_[Message-ID: <01c79d56$c94e03f0$6c822ecf@akstcwockhardtinmns][From: "Weilheim@rechtsanwalt-thieler.de" <Weilheim@re][Subject: Rechtsanwalt-Thieler]3916.mim
[1] Archivtyp: MIME
--> Anhang79.zip
[2] Archivtyp: ZIP
--> Anagle.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Brabus
--> Mailbox_[Message-ID: <01c79d57$0e2accb0$6c822ecf@akstcubfitmnsdgs>][From: "augsburg@rechtsanwalt-thieler.de" <augsburg@re][Subject: Aktenzeichen: 349422 27]3918.mim
[1] Archivtyp: MIME
--> Anlage31.zip
[2] Archivtyp: ZIP
--> Anagle.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Brabus
[WARNUNG] Die Datei wurde ignoriert.
C:\Dokumente und Einstellungen\Arneji\Anwendungsdaten\Thunderbird\Profiles\jlq7bla6.default\Mail\Local Folders\Junk
[0] Archivtyp: Netscape/Mozilla Mailbox
--> Mailbox_[Message-ID: <01c79c7f$6c3b6540$6c822ecf@akstcvvmgallerymnsd][From: "Anwaltskanzlei" <anwalt@forderungseinzug.de>][Subject: AZ: 712353 56]1202.mim
[1] Archivtyp: MIME
--> Original_Invoice.rar
[FUND] Der Dateiname enthält eine ausführbare Dateierweiterung, es wird aber eine harmlose Erweiterung vorgetäuscht (HEUR-DBLEXT/Worm.Gen)
[2] Archivtyp: RAR
--> O_Mahnung_Sign17174724535187871.pdf.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.iBill.AT
--> Mailbox_[Message-ID: <01c79d56$c94e03f0$6c822ecf@akstcwockhardtinmns][From: "Weilheim@rechtsanwalt-thieler.de" <Weilheim@re][Subject: Rechtsanwalt-Thieler]1296.mim
[1] Archivtyp: MIME
--> Anhang79.zip
[2] Archivtyp: ZIP
--> Anagle.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Brabus
--> Mailbox_[Message-ID: <01c79d57$0e2accb0$6c822ecf@akstcubfitmnsdgs>][From: "augsburg@rechtsanwalt-thieler.de" <augsburg@re][Subject: Aktenzeichen: 349422 27]1298.mim
[1] Archivtyp: MIME
--> Anlage31.zip
[2] Archivtyp: ZIP
--> Anagle.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Brabus
[WARNUNG] Die Datei wurde ignoriert.
C:\Dokumente und Einstellungen\Arneji\Anwendungsdaten\Thunderbird\Profiles\jlq7bla6.default\Mail\Local Folders\Inbox.sbd\Familie
[0] Archivtyp: Netscape/Mozilla Mailbox
--> Mailbox_[Message-ID: <001901c72388$e8ccaa80$7320c157@bratenstein>][From: "rainer bratenstein" <rainer@bratenstein.de>][Subject: Fw: Telekom Rechnung von 15.11.2006 - 01.12.200]2352.mim
[1] Archivtyp: MIME
--> Tel.zip
[FUND] Ist das Trojanische Pferd TR/PCK.EbayBill.L
[2] Archivtyp: ZIP
[WARNUNG] Die Datei wurde ignoriert.
C:\QooBox\Quarantine\C\WINDOWS\system32\iifecyw.dll.vir
[FUND] Ist das Trojanische Pferd TR/Agent.33302
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '46d899d1.qua' verschoben!
C:\WINDOWS\system32\ogecohll.exe
[FUND] Ist das Trojanische Pferd TR/Agent.anr.1
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '46d79d31.qua' verschoben!


Ende des Suchlaufs: Freitag, 15. Juni 2007 16:08
Benötigte Zeit: 2:49:17 min

Der Suchlauf wurde vollständig durchgeführt.

8627 Verzeichnisse wurden überprüft
451714 Dateien wurden geprüft
15 Viren bzw. unerwünschte Programme wurden gefunden
3 davon wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
2 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
451696 Dateien ohne Befall
19928 Archive wurden durchsucht
6 Warnungen
14 Hinweise
0 Versteckte Objekte wurden gefunden
Seitenanfang Seitenende
20.06.2007, 16:07
kronk
...neu hier

Beiträge: 1
#6 kann mal bitte noch jemand posten, ob die ausgeführten schritte zum erfolg geführt haben? thanks a lot
Seitenanfang Seitenende
20.06.2007, 16:35
Chris4You
Member
Avatar Chris4You

Beiträge: 694
#7 Hi,

funke kurz dazwischen (@raman:Tschuldigung:o);
Ein entschiedenes JaEIn;

Zumindest "C:\WINDOWS\system32\iahjpxox.exe"
lebt noch....

Du hast aber auch fast alle Emails mit virulentem Anhang der letzten Zeit bekommen (und hoffentlich nicht geöffnet, Telekomrechnungen etc.)....

Die Kopiersperre "Alpha-DVD" (C:\WINDOWS\system32\msxhtml.exe) ist auch anwesend, keine Brennerprobleme?
( http://www.heise.de/newsticker/meldung/69494 )

Avenger
http://virus-protect.org/artikel/tools/avenger.html
Input script manually (anhaken)
kopiere in: View/edit script

Zitat


Files to delete:
C:\WINDOWS\system32\iahjpxox.exe

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten
Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat


O23 - Service: DomainService - Unknown owner - C:\WINDOWS\system32\iahjpxox.exe


Dann bitte nochmal Antivir und HJ-Log, vorher benenne HJ.exe auf Test.com um...

Falls raman die logs nicht brauch, bitte wenn alles läuft die Backups von Avenger etc. löschen:
Backups von Avenger&Co löschen:

C:\Qoobox - loeschen und Papierkorb leeren
C:\avenger\backup.zip - loeschen und Papierkorb leeren
C:\VundoFix Backups - loeschen und Papierkorb leeren


Chris
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1