"Trojan-Downloader.VBS.Agent.p" geht nicht weg!

#1 Hallo allerseits,


ich habe mir wohl einen Trojaner eingefangen. Leider bin ich sehr unvertraut damit, so etwas allein in den Griff zu bekommen.
Ich bin Kunde bei AOL und nutze G Data AntiVirus.
Der Trojaner heißt........................ "Trojan-Downloader.VBS.Agent.p"

Hier eine Protokoll-Datei nach Scannen und Löschen einer virusinfizierten Datei:

Beim Öffnen der Datei "C:\Dokumente und Einstellungen\Sebastian\Lokale Einstellungen\Temporary Internet Files\Content.IE5\9N5SYA2Q\index[3].htm" wurde der Virus "Trojan-Downloader.VBS.Agent.p" von der Engine "KAV" entdeckt. Datei gesäubert: nein. Datei gelöscht: ja. Quarantäne: nein.

-------------

Was noch erwähnenswert ist:
Die Virusmeldung kommt immer, wenn ich auf das Gästebuch unserer Band- Homepage gehe. Und der Trojaner sitzt wohl immer unter Laufwerk C: unter Dokumente Einstellungen bla bla bla und dann immer Content.IE5/ und danach immer ne andere komische Nummer, undzwar immer ne andere. Das heißt, egal wie oft man scannt, der Trojaner ist jedesmal da, immer auf irgendeiner anderen Datei, aber immer in dem Verzeichnis.
Das blöde: man kommt an diese Temporary Internet Files und diese Content.IE5- Dateien nicht ran! Wieso ist das so und wie kriege ich diesen Trojaner weg?? Hilfe, Leute!
Hat das was mit dem Gästebuch unserer Homepage zu tun (wir kriegen ja manchmal Spam-Kommentare, die ich regelmäßig lösche) oder ist das zufällig immer so, dass die Trojanermeldung kommt, wenn ich auf unsere Gästebuch-Seite gehe? Ist bis jetzt immer nur dann aufgetreten. Finde ich doch sehr sehr merkwürdig, bezahle framecom doch immer soviel Kohle für denm Server! Und das G-Data da auch nicht hilft, verdammt..

Hier ne log-file
(hab keine Ahnung wofür das gut ist..kenn mich überhaupt nicht aus)

Logfile of HijackThis v1.99.1
Scan saved at 21:21:21, on 18.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\Programme\G DATA AntiVirus praesentiert von AOL\AVKService.exe
C:\Programme\G DATA AntiVirus praesentiert von AOL\AVKWCtl.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Gemeinsame Dateien\AOL\1151317603\ee\AOLSoftware.exe
C:\Programme\G DATA AntiVirus praesentiert von AOL\AVKTray\AVKTray.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\TomTom HOME\TomTomHOME.exe
C:\Programme\Winamp\Winampa.exe
C:\Programme\USB Disk Win98 Driver\Res.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.1128 .5462\GoogleToolbarNotifier.exe
C:\Programme\LG PC Suite\LG PC Sync\LGSyncManager.exe
C:\Programme\Panasonic\LUMIXSimpleViewer\PhLeAutoR un.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Gemeinsame Dateien\AOL\1151317603\ee\AOLSoftware.exe
C:\Programme\G DATA AntiVirus praesentiert von AOL\AVKTray\AVKTray.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\TomTom HOME\TomTomHOME.exe
C:\Programme\Winamp\Winampa.exe
C:\Programme\USB Disk Win98 Driver\Res.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.1128 .5462\GoogleToolbarNotifier.exe
C:\Programme\LG PC Suite\LG PC Sync\LGSyncManager.exe
C:\WINDOWS\twain_32\CIS600X\WATCH.exe
C:\Programme\a-squared Anti-Malware\a2service.exe
C:\Programme\Spyware Doctor\swdsvc.exe
C:\Programme\Spyware Doctor\SDTrayApp.exe
C:\Programme\Spyware Doctor\svcntaux.exe
C:\Programme\AOL 9.0\waol.exe
C:\Programme\AOL 9.0\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\PROGRA~2\GDATAA~1\avk.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\SEBAST~1\LOKALE~1\Temp\Rar$EX00.625\Hi jackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.myspace.com/peachmallowburners
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: AOLTBSearch Class - {EA756889-2338-43DB-8F07-D1CA6FB9C90D} - C:\Programme\AOL\AOL Toolbar 2.0\aoltb.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: AOL Toolbar Launcher - {7C554162-8CB7-45A4-B8F4-8EA1C75885F9} - C:\Programme\AOL\AOL Toolbar 2.0\aoltb.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll
O3 - Toolbar: AOL Toolbar - {DE9C389F-3316-41A7-809B-AA305ED9D922} - C:\Programme\AOL\AOL Toolbar 2.0\aoltb.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe
O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1151317603\ee\AOLSoftware.exe
O4 - HKLM\..\Run: [AVKTray] "C:\Programme\G DATA AntiVirus praesentiert von AOL\AVKTray\AVKTray.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe "
O4 - HKLM\..\Run: [TomTomHOME.exe] "C:\Programme\TomTom HOME\TomTomHOME.exe" -s
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [USB Storage Toolbox] C:\Programme\USB Disk Win98 Driver\Res.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [a-squared] "C:\Programme\a-squared Anti-Malware\a2guard.exe"
O4 - HKLM\..\Run: [SDTray] "C:\Programme\Spyware Doctor\SDTrayApp.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128 .5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8
O4 - Startup: Watch.lnk = C:\WINDOWS\twain_32\CIS600X\WATCH.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: LG SyncManager.lnk = C:\Programme\LG PC Suite\LG PC Sync\LGSyncManager.exe
O4 - Global Startup: LUMIX Simple Viewer.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &AOL Toolbar-Suche - c:\programme\aol\aol toolbar 2.0\resources\de-DE\local\search.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: AOL Toolbar - {3369AF0D-62E9-4bda-8103-B4C75499B578} - C:\Programme\AOL\AOL Toolbar 2.0\aoltb.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1150886261781
O16 - DPF: {B49C4597-8721-4789-9250-315DFBD9F525} (IWinAmpActiveX Class) - http://cdn.digitalcity.com/radio/ampx/ampx2.6.1.11_en_dl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D0A500B3-F0D8-48D5-B3F3-5769256A6839}: NameServer = 205.188.146.145
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - C:\Programme\a-squared Anti-Malware\a2service.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: AVKProxy - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\G DATA AntiVirus praesentiert von AOL\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\G DATA AntiVirus praesentiert von AOL\AVKWCtl.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: kavsvc - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Spam Personal\KAV\KAVSVC.exe (file missing)
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe

---


Wäre sehr sehr sehr dankbar für jedwede Hilfe!


Gruß,
Blumfeld

#2 Hi,

das Log ist sauber!

Wenn Deine Angaben stimmen, dann würde ich schleunigst die Homepage Deiner Band untersuchen, da dort wahrscheinlich Schadcode indiziert wurde bzw. ein Link auf eine verseuchte Seite gesetzt wurde (Ist das die Seite "www.myspace.com/ peachmallowburners"?).

Bei der Datei die Du angibst, handelt es sich um temporäre Dateien die beim Surfen anfallen (C:\Dokumente und Einstellungen\Sebastian\Lokale Einstellungen\Temporary Internet Files\Content.IE5\9N5SYA2Q\index[3].htm).

Es könnte sich auch um ein false/positive handeln, um das auszuschließen lasse die Datei über virustotal scannen:

virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
http://www.virustotal.com/flash/index_en.html

Zitat

index[3].htm (oder halt der entsprechende Name)

Das bringt aber nur was bei embedded Viren, verlinkte wird keiner was melden.

chris

Edit:
Hier Infos:
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=JS_AGENT.QHM

Äh, und noch was:
Wenn der Trojaner wirklich auf Eurer Seite hängt, diese bitte sofort sperren bis er beseitigt ist. Sonst zieht sich jeder Besucher unbeabsichtigt das Teil runter..

Um sicher zu gehen, dass der Rechner wirklich sauber ist, bitte das hier noch abarbeiten:
http://board.protecus.de/t23188.htm
- Erstellen eines Hijackthis-Logfiles (haben wir ja schon ;o)
- CleanUp (temporaeren Dateien loeschen)
- Combofix
- Logfiles mittels datfind.bat (alle Files, nur die letzten 3-6 Monate posten)

#3 Hallo Chris,

danke für die Antwort. Ich habe alle temporären Dateien gelöscht, Hijackthis-Logfile habe ich ja bereits gepostet.
Beim CleanUp wurde was gefunden, kann man aber nur mit zu bezahlender Vollversion etwas dagegen machen. Datfind.bat Ergebnisse der letzten 6 Monate siehe hier!

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6001-CA5F

Verzeichnis von C:\WINDOWS\system32
19.06.2007 20:30 13.646 wpa.dbl
18.06.2007 22:39 3.234 iklog.log
06.06.2007 08:38 15.747.032 MRT.exe
16.05.2007 17:11 683.520 inetcomm.dll
13.05.2007 18:32 228.000 FNTCACHE.DAT
08.05.2007 10:59 3.583.488 mshtml.dll
27.04.2007 23:38 4.254 jupdate-1.6.0_01-b06.log
25.04.2007 16:22 144.896 schannel.dll
25.04.2007 09:42 822.784 wininet.dll
25.04.2007 09:42 232.960 webcheck.dll
25.04.2007 09:42 1.152.000 urlmon.dll
25.04.2007 09:42 105.984 url.dll
25.04.2007 09:42 670.720 mstime.dll
25.04.2007 09:42 102.400 occache.dll
25.04.2007 09:42 193.024 msrating.dll
25.04.2007 09:42 477.696 mshtmled.dll
25.04.2007 09:41 52.224 msfeedsbs.dll
25.04.2007 09:41 459.264 msfeeds.dll
25.04.2007 09:41 1.824.768 inetcpl.cpl
25.04.2007 09:41 27.648 jsproxy.dll
25.04.2007 09:41 267.776 iertutil.dll
25.04.2007 09:41 6.058.496 ieframe.dll
25.04.2007 09:41 44.544 iernonce.dll
25.04.2007 09:41 384.512 iedkcs32.dll
25.04.2007 09:41 383.488 ieapfltr.dll
25.04.2007 09:41 230.400 ieaksie.dll
25.04.2007 09:41 153.088 ieakeng.dll
25.04.2007 09:41 132.608 extmgr.dll
25.04.2007 09:41 124.928 advpack.dll
24.04.2007 16:26 13.824 ieudinit.exe
24.04.2007 11:58 56.832 ie4uinit.exe
24.04.2007 09:34 161.792 ieakui.dll
18.04.2007 18:13 2.854.400 msi.dll
17.04.2007 11:32 2.455.488 ieapfltr.dat
16.04.2007 22:47 33.624 wups.dll
16.04.2007 22:47 30.040 wuapi.dll.mui
16.04.2007 22:47 30.040 wuaucpl.cpl.mui
16.04.2007 22:45 1.710.936 wuaueng.dll
16.04.2007 22:45 549.720 wuapi.dll
16.04.2007 22:45 325.976 wucltui.dll
16.04.2007 22:45 216.408 wuaucpl.cpl
16.04.2007 22:45 203.096 wuweb.dll
16.04.2007 22:45 92.504 cdm.dll
16.04.2007 22:45 43.352 wups2.dll
16.04.2007 22:45 53.080 wuauclt.exe
16.04.2007 22:45 20.824 wuaueng.dll.mui
16.04.2007 22:44 34.136 wucltui.dll.mui
16.04.2007 17:53 1.058.304 kernel32.dll
25.03.2007 09:06 311.604 perfh009.dat
25.03.2007 09:06 39.992 perfc009.dat
25.03.2007 09:06 316.594 perfh007.dat
25.03.2007 09:06 48.156 perfc007.dat
25.03.2007 09:06 723.744 PerfStringBackup.INI
17.03.2007 15:44 293.376 winsrv.dll
14.03.2007 02:04 139.264 javaws.exe
14.03.2007 02:04 69.632 javacpl.cpl
14.03.2007 00:31 135.168 javaw.exe
14.03.2007 00:31 135.168 java.exe
09.03.2007 13:51 270.336 xpsp3res.dll
08.03.2007 17:36 40.960 mf3216.dll
08.03.2007 17:36 281.600 gdi32.dll
08.03.2007 17:36 579.072 user32.dll
08.03.2007 17:32 1.843.712 win32k.sys
28.02.2007 18:02 2.059.904 ntkrnlpa.exe
28.02.2007 18:02 2.182.656 ntoskrnl.exe
27.02.2007 21:17 9.857 jupdate-1.5.0_11-b03.log
16.02.2007 09:15 122.142 TZLog.log
15.02.2007 19:01 337.280 WgaTray.exe
15.02.2007 19:01 1.476.992 LegitCheckControl.dll
15.02.2007 19:00 236.928 WgaLogon.dll
05.02.2007 22:18 185.856 upnphost.dll
29.01.2007 10:58 60.416 tzchange.exe
23.01.2007 21:30 546.304 hhctrl.ocx
19.01.2007 00:45 333.046 focus_screensaver_Main.scr
10.01.2007 18:42 1.040.384 ieframe.dll.mui
08.01.2007 20:01 17.408 corpol.dll


Über Virustotal scannen geht nicht, der Pfad wird nicht angenommen und die infizierte Datei an sich lässt sich nicht greifbar machen. Unser Gästebuch ist unter dieser Page: www.peachmallowburners.de (Button: "guests" anklicken). www.myspace.com/peachmallowburners ist die Page, wo unsere Lieder sind, hat ja nix mit dem Guestbook der Homepage zu tun.
Also ich hab schon ein Bandmitglied gefragt, und wenn der bei sich auf dem Rechner auf das Gästebuch geht, kommt das irgendwie nicht. Bei mir zeigt G-Data immer diese Virusinformation an. Und jedesmal ist es entweder index[1] oder index[2] oder index[3] oder index[4] und die ContentIE5-Nummer ist auch jedesmal anders. Wenn ich also bei der Virusmeldung Ok drücke, dann zeigt der mir sofort darauf an, dass der Trojan-Downloader nun statt unter Content.IE5\9N5SYA2Q\index[3].htm auf einmal unter Content.IE5\6N5SYA2Q\index[4].htm ist (z.B.).
Kannst ja mal auf das Gästebuch gehen und gucken ob bei dir ne Warnmeldung kommt. Ich glaube nicht. Irgendwas ist hier faul und ich hab keine Ahnung mehr was ich machen soll. Festplatten formatieren?

Wenn der Wurm doch beim Gästebuch ist, wie kriegt man den von da weg? Dass muss ja was mit dem Gästebuch zu tun haben, wenn die Wurmanzeige immer nur kommt, wenn ich auf das Gästebuch gehe und nirgendwo sonst. Ansonsten scheint der Wurm auch gar keinen Schaden anzurichten, es kommt immer nur ne Meldung, dass was infiziert ist (irgendein ContentIE5, wo ich nicht drankomme!), wenn ich unser Gästebuch besuche. Es soll immer der sog. "Trojan-Downloader.VBS.Agent.p" sein. Das einzige Indiz: wir kriegen regelmäßig Spambeiträge gepostet aus New York, auch so XXX-Kram, aber ich lösche die doch regelmäßig!


Gruß,
Sebastian

#4 Hi,

habe mir den Seitencode angesehen und Dr. Web (Plugin für Firefox) die Seite scannen lassen, ist alles OK!

Allerdings habt Ihr wieder einen netten Eintrag aus Übersee drin ;o)

Kann nach wie vor nichts finden, wir probieren noch einen alternativen Scanner,
wenn der auch nichts findet tippe ich auf false/positive.


Cureit
Zusaetzlich bitte noch Cureit nutzen Anleitung: http://virus-protect.org/cureit.html
Aber bitte den Download von hier nutzen http://freedrweb.com/?lng=de

Chris

Ps.: http://www.zdnet.de/security/news/0,39029460,39155418,00.htm

#5 Hallo again,

danke für die Initiative, wirklich nett.

Nun, Cureit hat irgendwie nichts gefunden (außer: setup.exe von AOL, aber das kann ja nur ein Irrtum sein und nicht gemeint sein. Kann man wohl übergehen, denke ich)

Was bedeutet denn, dass du auf "false/positive" tippst, wenn der auch nichts findet, was ja eingetreten ist? Der Begriff "false/positive" sagt mir nichts.


Gruß,
Sebastian

#6 Hi,

false/positive sagt aus, dass ein Scanner irrtümlich etwas erkannt (positv),
was aber falsch ist (false).
-> Ein Fund der keiner ist, genauso wie bei AOL!
Irgendein Konstrukt wird als Trojaner erkannt, ist aber keiner...

Eine Möglichkeit gibt es noch, ein Rootkit...

Blacklight:
http://virus-protect.org/artikel/tools/rootkithook.html

Unter Rootkits versteht man getarnte Trojaner/Viren, sie manipulieren die
HD-Lesezugriffe von Windows (hängen sich in die entsprechenden Treiber ein) und "filtern" ihre Einträge weg, d.h. im Explorer sind sie nicht zu sehen und jeder Scanner der sich auf die Windowsfunktionen verlässt findet NICHTS.

Ein aktives Rootkit ist nur schwer zu finden (nur anhand der forgenomenen Manipulationen), am einfachsten sind sie zu finden wenn von CD/DVD gebootet und gescannt wird (dann sind sie nicht aktiv und leicht zu finden).

Chris