Trojaner : Trojan.Agent.BHO.F

#1 Hallo Admins und Forumbesucher,

gerade hat mein Bitdefender ein Trojaner Namens : Trojan.Agent.BHO.F
gefunden.
In der Datei : c:\dokumente und ei...\...\lokale einst...\anwendungsdat...\mozilla\firefox\profiles

BD sagt mir das diese Datei infiziert ist,jedoch das BD diesen Virus blockiert hat und mein Computer nicht infieziert wurde.......

jedoch wenn ich Firefox öffne, öffnet sich auch der Virus Alarm von BD.




mfg, Tine

#2 Du kannst diese Informationen posten: http://board.protecus.de/t23188.htm und vorher bei ATF Cleaner auch die Optionen fuer den Firefox nutzen, sprich dessen Cache usw loeschen
__________
MfG Ralf
SEO-Spam Hunter

#3 Hier die log. von comboFix



ComboFix 07-06-18.2 - C:\Dokumente und Einstellungen\Dom\Desktop\ComboFix.exe
"Dom" - 2007-06-19 23:03:28 - Service Pack 2, v.2149 NTFS


((((((((((((((((((((((((( Files Created from 2007-05-19 to 2007-06-19 )))))))))))))))))))))))))))))))


2007-06-19 23:02 49,152 --a------ C:\WINDOWS\nircmd.exe
2007-06-10 16:48 <DIR> d-------- C:\DOKUME~1\Dom\appleJuice
2007-06-10 16:43 <DIR> d-------- C:\Programme\appleJuice
2007-06-09 09:14 86,016 --a------ C:\WINDOWS\system32\CNMCP5y.exe
2007-06-09 09:14 7,680 --a------ C:\WINDOWS\system32\CNMVS5y.DLL
2007-06-09 09:14 116,736 --a------ C:\WINDOWS\system32\CNMLM5y.DLL
2007-06-09 09:14 <DIR> d--h----- C:\BJPrinter
2007-06-01 14:43 <DIR> d-------- C:\DOKUME~1\Dom\ANWEND~1\Leadertech


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-05-17 07:20:59 1,987 ----a-w C:\WINDOWS\mozver.dat
2007-05-14 21:12:47 -------- d-----w C:\DOKUME~1\Dom\ANWEND~1\MailFrontier
2007-05-07 20:48:08 -------- d-----w C:\DOKUME~1\Dom\ANWEND~1\AdobeUM
2007-05-07 20:37:20 -------- d-----w C:\DOKUME~1\Dom\ANWEND~1\CyberLink
2007-05-07 18:36:22 4,212 ---h--w C:\WINDOWS\system32\zllictbl.dat
2007-05-05 14:35:47 49,174 ----a-w C:\WINDOWS\system32\perfc007.dat
2007-05-05 14:35:47 320,094 ----a-w C:\WINDOWS\system32\perfh007.dat
2007-05-05 12:49:51 61,440 ----a-w C:\WINDOWS\system32\sockspy.dll
2007-05-03 21:28:21 -------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2007-05-03 21:14:54 -------- d-----w C:\Programme\ATI Technologies
2007-05-03 21:00:02 0 ----a-w C:\WINDOWS\nsreg.dat
2007-05-03 20:54:37 -------- d--h--w C:\Programme\InstallShield Installation Information
2007-05-03 20:27:42 -------- d-----w C:\Programme\Ahead
2007-05-03 20:27:40 -------- d-----w C:\Programme\Gemeinsame Dateien\Ahead
2007-05-03 20:22:32 -------- d-----w C:\Programme\CyberLink
2007-05-03 20:20:33 -------- d-----w C:\Programme\D-Tools
2007-05-03 19:43:32 -------- d-----w C:\Programme\Intel
2007-05-03 10:13:30 -------- d-----w C:\Programme\Gemeinsame Dateien\ODBC
2007-05-03 10:13:27 -------- d-----w C:\Programme\Gemeinsame Dateien\SpeechEngines
2007-05-03 10:07:12 -------- d-----w C:\Programme\microsoft frontpage
2007-05-03 10:06:55 0 --sha-r C:\MSDOS.SYS
2007-05-03 10:06:55 0 --sha-r C:\IO.SYS
2007-05-03 10:06:55 0 ----a-w C:\CONFIG.SYS
2007-05-03 10:06:55 0 ----a-w C:\AUTOEXEC.BAT
2007-05-03 10:05:45 -------- d--h--w C:\Programme\WindowsUpdate
2007-05-03 10:05:42 -------- d-----w C:\Programme\Online-Dienste
2007-05-03 10:05:02 -------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
2007-05-03 10:04:57 -------- d-----w C:\Programme\Gemeinsame Dateien\MSSoap
2007-05-03 10:04:50 -------- d-----w C:\Programme\Movie Maker
2007-05-03 10:04:03 21,740 ----a-w C:\WINDOWS\system32\emptyregdb.dat
2007-05-03 10:03:41 -------- d-----w C:\Programme\Online Services
2007-05-03 10:03:36 -------- d-----w C:\Programme\Messenger
2007-05-03 10:03:31 -------- d-----w C:\Programme\MSN Gaming Zone
2007-05-03 10:03:22 -------- d-----w C:\Programme\Windows NT
2007-03-22 19:05:00 520,192 ------w C:\WINDOWS\system32\ati2sgag.exe


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BDMCon"="C:\Programme\Softwin\BitDefender8\bdmcon.exe" [2005-06-20 12:10]
"BDNewsAgent"="C:\Programme\Softwin\BitDefender8\bdnagent.exe" [2005-05-09 12:19]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAudPropShortcut.exe" [2004-03-17 16:10 C:\WINDOWS\system32\Hdaudpropshortcut.exe]
"Cmaudio"="cmicnfg.cpl" []
"DAEMON Tools-1033"="C:\Programme\D-Tools\daemon.exe" [2004-03-12 22:43]
"RemoteControl"="C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" [2004-11-02 20:24]
"ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2007-03-09 00:02]
"Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" [2005-06-23 20:33]
"SunJavaUpdateSched"="C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe" [2003-11-19 17:48]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-06-11 16:42]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"UseDesktopIniCache"=1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"appinit_dlls"= sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll


**************************************************************************

catchme 0.3.721 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-06-19 23:04:05
Windows 5.1.2600 Service Pack 2, v.2149 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-06-19 23:04:23

--- E O F ---


Hier das Hijack this log. ,





Logfile of HijackThis v1.99.1
Scan saved at 23:06:20, on 19.06.2007
Platform: Windows XP SP2, v.2149 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2149)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Softwin\BitDefender8\bdnagent.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Softwin\BitDefender8\vsserv.exe
c:\programme\softwin\bitdefender8\bdmcon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Dokumente und Einstellungen\Dom\Desktop\HijackThis.exe

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [BDMCon] "C:\Programme\Softwin\BitDefender8\bdmcon.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "C:\Programme\Softwin\BitDefender8\bdnagent.exe"
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{02ECE980-5057-4E1E-B074-5E4EDEA8B380}: NameServer = 217.237.150.51,217.237.148.22
O17 - HKLM\System\CS1\Services\Tcpip\..\{02ECE980-5057-4E1E-B074-5E4EDEA8B380}: NameServer = 217.237.150.51,217.237.148.22
O17 - HKLM\System\CS2\Services\Tcpip\..\{02ECE980-5057-4E1E-B074-5E4EDEA8B380}: NameServer = 217.237.150.51,217.237.148.22
O20 - AppInit_DLLs: sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender8\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)




und zu guter letzt das datfind log. ,




.
.
Bitte nur die Eintraege der letzten 3 Monate posten
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1037-D96E

Verzeichnis von C:\WINDOWS\system32

19.06.2007 16:06 55.081 vsconfig.xml
10.06.2007 16:45 3.157 jupdate-1.4.2_03-b02.log
10.06.2007 15:58 2.206 wpa.dbl
08.05.2007 16:17 192.184 FNTCACHE.DAT
07.05.2007 20:36 4.212 zllictbl.dat
05.05.2007 16:35 40.836 perfc009.dat
05.05.2007 16:35 314.508 perfh009.dat
05.05.2007 16:35 320.094 perfh007.dat
05.05.2007 16:35 49.174 perfc007.dat
05.05.2007 16:35 724.842 PerfStringBackup.INI
05.05.2007 14:49 61.440 sockspy.dll
03.05.2007 13:01 0 h323log.txt
03.05.2007 12:09 747 $winnt$.inf
03.05.2007 12:06 2.951 CONFIG.NT
03.05.2007 12:06 16.832 amcompat.tlb
03.05.2007 12:06 23.392 nscompat.tlb
03.05.2007 12:05 488 logonui.exe.manifest
03.05.2007 12:05 488 WindowsLogon.manifest
03.05.2007 12:05 749 sapi.cpl.manifest
03.05.2007 12:05 749 wuaucpl.cpl.manifest
03.05.2007 12:05 749 ncpa.cpl.manifest
03.05.2007 12:05 749 cdplayer.exe.manifest
03.05.2007 12:05 749 nwc.cpl.manifest
03.05.2007 12:04 21.740 emptyregdb.dat
02.04.2007 14:21 428.032 swreg.exe
22.03.2007 21:05 520.192 ati2sgag.exe
15.03.2007 03:58 315.392 ATIDEMGX.dll
15.03.2007 03:57 267.776 SET1F.tmp
15.03.2007 03:57 267.776 ati2dvag.dll
15.03.2007 03:55 307.200 atiiiexx.dll
15.03.2007 03:50 122.880 atipdlxx.dll
15.03.2007 03:50 114.688 Oemdspif.dll
15.03.2007 03:50 26.112 Ati2mdxx.exe
15.03.2007 03:50 42.496 ati2edxx.dll
15.03.2007 03:50 42.496 SET44.tmp
15.03.2007 03:49 114.688 SET3B.tmp
15.03.2007 03:49 114.688 ati2evxx.dll
15.03.2007 03:48 450.560 SET38.tmp
15.03.2007 03:48 450.560 ati2evxx.exe
15.03.2007 03:47 53.248 ATIDDC.DLL
15.03.2007 03:40 2.820.544 SET28.tmp
15.03.2007 03:40 2.820.544 ati3duag.dll
15.03.2007 03:29 1.315.712 ativvaxx.dll
15.03.2007 03:29 1.315.712 SET2B.tmp
15.03.2007 03:29 3.107.788 ativvaxx.dat
15.03.2007 03:19 5.402.624 atioglxx.dll
15.03.2007 03:16 258.048 SET47.tmp
15.03.2007 03:16 258.048 atikvmag.dll
15.03.2007 03:14 17.408 atitvo32.dll
15.03.2007 03:10 356.352 SET22.tmp
15.03.2007 03:10 356.352 ati2cqag.dll
09.03.2007 00:02 54.936 vsutil_loc0407.dll
09.03.2007 00:02 22.168 imsinstall_loc0407.dll
09.03.2007 00:02 18.072 imslsp_install_loc0407.dll
09.03.2007 00:02 394.192 vsdatant.sys
09.03.2007 00:01 1.087.216 zpeng24.dll
09.03.2007 00:01 71.408 zlcommdb.dll
09.03.2007 00:01 83.696 zlcomm.dll
09.03.2007 00:01 100.080 vsxml.dll
09.03.2007 00:01 46.832 vswmi.dll
09.03.2007 00:01 472.816 vsutil.dll
09.03.2007 00:01 71.408 vsregexp.dll
09.03.2007 00:01 276.208 vspubapi.dll
09.03.2007 00:01 104.176 vsmonapi.dll
09.03.2007 00:01 83.696 vsdata.dll
09.03.2007 00:01 157.424 vsinit.dll
09.03.2007 00:01 796.312 libeay32_0.9.6l.dll
07.03.2007 00:04 143.676 atiicdxx.dat
16.02.2007 19:04 7.072 atifglpf.xml




thx, Tine

#4 Das sieht alles sauber aus. Du solltest noch via www.windowsupdate.com dein Windows aktualisieren.
__________
MfG Ralf
SEO-Spam Hunter