TrojanDropper.Agent.DGO kommt immer wieder

#0
30.12.2007, 15:15
Member

Beiträge: 15
#1 Hi,

hab mir gestern einen Trojaner (oder Virus?) eingefangen. Mein Nod32 erkennt ihn als Win32/TrojanDropper.Agent.DGO Virus, bisher konnte ich dazu nichts finden.

Wie bin ich an den Virus gekommen?
Ich habe eine .zip-Datei entpackt und eine daraus eine .exe ausgeführt, die wohl anschließend meinen PC infiziert hat.

Symptome:
Mein Anti-Viren Programm hat den Virus anschließend in mehreren Datein entdeckt, ich kann aber nicht mehr sagen in welchen. Anschließend ging mein Anti-Viren Programm jeden Falls nicht mehr richtig und das Volume Panel meiner Soundkarte auch nicht (Dateien die zum Start der Programme benötigt wurden haben einfach gefehlt, evtl vorher durch das Anti-Virenprogramm selbst gelöscht?), daraufhin hab ich den PC neugestartet. Die Folge davon war, dass mein Volume Panel der Soundkarte und mein NOD32 beim Systemstart nichtmehr automatisch gestartet wurden. Daraufhin hab ich die beiden Programme neuinstalliert, dann ging erstmal wieder alles. Mittlerweile funktionieren sie zwar immernoch, aber beim Systemstart werden sie wieder nicht automatisch gestartet.
Ich hab mir das ganze dann über Start->Ausführen->msconfig angesehen, da war alles wie gehabt, außer einem neuen Eintrag mit der Kennzeichnung jkhhg.exe, der zudem mit nem Häkchen versehen war. Ich hab das Häkchen rausgemacht. Später hab ich von meinem Anti-Viren Programm die Meldung bekommen, dass eine gewissen Datei in C:/Windows/System32/jkhhg.exe mit dem besagten Trojaner infiziert ist und gelöscht wurde, seitdem ist der Eintrag aus der msconfig auch wieder raus und bleibt es auch. Die Datei wurde jetzt aber schon mindestens 4 mal wieder entdeckt und gelöscht.

Was mir noch aufgefallen ist, ist dass manche infizierten .exe Datein in einem Ordner zweimal vorhanden waren. Einmal z.B. als VolumePan.exe und VolumePan .exe (Leerzeichen beachten!) Sobald ich die Dateien ohne Leerzeichen umbenannt habe, sind sie verschwunden.
Dann ist mir noch aufgefallen, dass nur .exe Dateien oder .tmp Dateien befallen waren/sind. (Ich weiß nicht ob das nicht vielleicht logisch ist? Ich sags einfach mal dazu ;))



erkannte und gelöschte Dateien bisher, an die ich mich erinnere:

C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp (immer einzelne .tmp Dateien im Ordner)
C:\Programme\ESET\nod32kui.exe (nur 1 mal bisher)
C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe (2 mal)
C:\Windows\system32\jkhhg.exe (mindestens 4 mal)
C:\Windows\system32\ctfmon.exe (mindestens 3 mal)
C:\Windows\Temp (immer wieder einzelne unterschiedliche Dateien)

Habe die Temp Ordner btw selbst schon 2 mal manuell geleert seit gestern und eben mit dem ATF-Cleaner.




mein HiJackThis log sieht folgendermaßen aus:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:15:15, on 30.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\CTHELPER.EXE
C:\WINDOWS\system32\CTXFIHLP.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\SYSTEM32\CTXFISPI.EXE
C:\WINDOWS\system32\CTsvcCDA.exe
D:\Programme\Maxtor\Sync\SyncServices.exe
C:\Programme\Eset\nod32krn.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Programme\Trillian\trillian.exe
D:\Programme\ICQ6\ICQ.exe
C:\Programme\Mozilla Firefox 3 Beta 2\firefox.exe
D:\Programme\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su2/CTL_V02002/ocx/15033/CTPID.cab
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Ad-Aware 2007\aawservice.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Maxtor Service (Maxtor Sync Service) - Seagate Technology LLC - D:\Programme\Maxtor\Sync\SyncServices.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programme\Eset\nod32krn.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe

--
End of file - 5024 bytes




Der Log der datFind.bat sieht so aus:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C86F-775A

Verzeichnis von C:\WINDOWS\system32

30.12.2007 14:09 13.646 wpa.dbl
30.12.2007 14:08 1.080 settings.sfm
30.12.2007 14:08 1.080 settingsbkup.sfm
30.12.2007 14:08 64.900 DVCState-{00000000-00000000-0000000D-00001102-00000005-00311102}.rfx
30.12.2007 14:08 54.632 BMXStateBkp-{00000000-00000000-0000000D-00001102-00000005-00311102}.rfx
30.12.2007 14:08 54.632 BMXState-{00000000-00000000-0000000D-00001102-00000005-00311102}.rfx
30.12.2007 13:28 15.360 ctfmon .exe
30.12.2007 01:32 15.360 ctfmon.exe

30.12.2007 00:06 413.696 wrap_oal.dll
30.12.2007 00:06 86.016 OpenAL32.dll
29.12.2007 23:29 298.104 imon.dll
29.12.2007 23:04 143 mcrh.tmp
27.12.2007 13:02 98.304 CmdLineExt.dll
13.12.2007 21:26 156.160 swreg.exe
11.12.2007 22:26 387.268 TZLog.log
04.12.2007 01:00 136.704 swsc.exe
03.12.2007 00:00 18.684.536 MRT.exe
01.12.2007 12:58 62.344 perfc009.dat
01.12.2007 12:58 415.470 perfh007.dat
01.12.2007 12:58 401.064 perfh009.dat
01.12.2007 12:58 74.996 perfc007.dat
01.12.2007 12:58 940.238 PerfStringBackup.INI
13.11.2007 12:31 60.416 tzchange.exe
10.11.2007 10:45 165.120 FNTCACHE.DAT
31.10.2007 00:19 3.590.656 mshtml.dll
29.10.2007 23:42 1.293.312 quartz.dll
29.10.2007 16:07 373.760 xpsp3res.dll
25.10.2007 17:42 8.501.248 shell32.dll
20.10.2007 06:01 227.328 wmasf.dll
20.10.2007 01:56 4.816 divxsm.tlb
20.10.2007 01:56 10.152 dsm_de.qm
20.10.2007 01:56 524.288 DivXsm.exe
20.10.2007 01:56 3.596.288 qt-dx331.dll
20.10.2007 01:56 187.128 pxmas.dll
20.10.2007 01:56 72.440 pxhpinst.exe
20.10.2007 01:56 379.640 pxwave.dll
20.10.2007 01:56 518.904 pxdrv.dll
20.10.2007 01:56 88.824 vxblock.dll
20.10.2007 01:56 1.628.920 pxsfs.dll
20.10.2007 01:56 118.520 pxinsi64.exe
20.10.2007 01:56 551.672 px.dll
20.10.2007 01:56 129.784 pxafs.dll
20.10.2007 01:56 66.296 pxcpya64.exe
20.10.2007 01:56 120.056 pxcpyi64.exe
20.10.2007 01:56 64.760 pxinsa64.exe
20.10.2007 01:56 200.704 ssldivx.dll
20.10.2007 01:56 1.044.480 libdivx.dll
20.10.2007 01:54 416 dtu100.dll.manifest
20.10.2007 01:54 196.608 dtu100.dll
20.10.2007 01:54 416 dpl100.dll.manifest
20.10.2007 01:54 81.920 dpl100.dll
20.10.2007 01:54 802.816 divx_xx11.dll
20.10.2007 01:54 823.296 divx_xx0c.dll
20.10.2007 01:54 823.296 divx_xx07.dll
20.10.2007 01:54 739.840 DivX.dll
20.10.2007 01:54 729.088 divxdec.ax
18.10.2007 10:06 156.992 DivXCodecVersionChecker.exe
18.10.2007 10:03 344.064 dpus11.dll
18.10.2007 10:03 593.920 dpuGUI11.dll
18.10.2007 10:03 294.912 dpu11.dll
18.10.2007 10:03 57.344 dpv11.dll
18.10.2007 10:03 294.912 dpu10.dll
18.10.2007 10:03 53.248 dpuGUI10.dll
18.10.2007 10:03 352.401 DivXMedia.ax
18.10.2007 10:02 12.288 DivXWMPExtType.dll
18.10.2007 10:02 8.523 dpude.qm
18.10.2007 10:02 3.136 dtu_de.qm
11.10.2007 00:46 1.159.680 urlmon.dll
11.10.2007 00:46 824.832 wininet.dll
11.10.2007 00:46 232.960 webcheck.dll
11.10.2007 00:46 671.232 mstime.dll
11.10.2007 00:46 102.400 occache.dll
11.10.2007 00:46 105.984 url.dll
11.10.2007 00:46 193.024 msrating.dll
11.10.2007 00:46 478.208 mshtmled.dll
11.10.2007 00:46 27.648 jsproxy.dll
11.10.2007 00:46 6.065.664 ieframe.dll
11.10.2007 00:46 52.224 msfeedsbs.dll
11.10.2007 00:46 459.264 msfeeds.dll
11.10.2007 00:46 44.544 iernonce.dll
11.10.2007 00:46 267.776 iertutil.dll
11.10.2007 00:46 1.831.424 inetcpl.cpl
11.10.2007 00:46 214.528 dxtrans.dll
11.10.2007 00:46 153.088 ieakeng.dll
11.10.2007 00:46 230.400 ieaksie.dll
11.10.2007 00:46 384.512 iedkcs32.dll
11.10.2007 00:46 63.488 icardie.dll
11.10.2007 00:46 132.608 extmgr.dll
11.10.2007 00:46 124.928 advpack.dll
11.10.2007 00:46 383.488 ieapfltr.dll
10.10.2007 11:59 13.824 ieudinit.exe
10.10.2007 11:59 70.656 ie4uinit.exe
10.10.2007 06:46 161.792 ieakui.dll
07.10.2007 20:57 46 imon1.dat


Den Log von ComboFix hänge ich an.

lg VitaminE

P.S: Achja, AdAware und SpyBotSD haben nach einer Systemprüfung nur Cookies entdeckt.

Anhang: ComboFix.txt
Seitenanfang Seitenende
30.12.2007, 15:32
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#2 Hallo,

loesche:
C:\WINDOWS\system32\mcrh.tmp

hIjackthis
Setze ein Häckchen in das Kästchen vor den genannten Eintrag und wähle fix checked. + starte den Rechner neu.

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank


«
scanne mit dr.web - alles in Quarantaene
http://www.virus-protect.org/cureit.html

dann poste das log von dr.web

Gruss
Pinguin
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
30.12.2007, 15:58
Moderator

Beiträge: 7805
#3 Lade dir bitte dieses Programm herunter(auf den desktop)

http://download.bleepingcomputer.com/sUBs/Beta/RenV.exe

starte es und poste den kompletten Report, den es ausgibt...
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
30.12.2007, 16:09
Member

Themenstarter

Beiträge: 15
#4 hiho,

Dr.Web hat keinen Virus/Sonstiges gefunden, es wurde auch nichts in Quarantäne verschoben.


Der Log von RenV siehr folgendermaßen aus:

Code

Ran on 30.12.2007 - 16:06:29,42

----a-w            49,152 2007-12-29 23:00:27  C:\Programme\Creative\Shared Files\Module Loader\DLLML .exe
----a-w            90,112 2007-12-29 23:00:35  C:\WINDOWS\UpdReg .EXE
----a-w            15,360 2007-12-30 12:28:49  C:\WINDOWS\system32\ctfmon .exe

Entries:                3  (3)
Directories:            0  Files:             3
Bytes:            154,624  Blocks:          302
Seitenanfang Seitenende
30.12.2007, 16:13
Moderator

Beiträge: 7805
#5 Ziehe die erzeugte Reportdatei auf renv und lasse sie dort los:



dann lasse nocheinmal Cobofix laufen, poste den erstellten Report, Lasse renv ebenfalls danach laufen und poste auch dessen Report nocheinmal
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
30.12.2007, 16:23
Member

Themenstarter

Beiträge: 15
#6 ComboFix hat jetzt nochmal was auf K:\ gelöscht, K:\ ist meine externe Festplatte, falls das interessiert...der Log ist im Anhang.


RenV:

Code

Ran on 30.12.2007 - 16:20:59,68

Entries:                0  (0)
Directories:            0  Files:             0
Bytes:                  0  Blocks:            0


Seitenanfang Seitenende
30.12.2007, 16:38
Moderator

Beiträge: 7805
#7 Dann war auf dem Laufwerk, bzw auf deinem Rechner ein "autorun" Trojaner. Achte bitte einmal darauf, ob sich diese Datei nachher wieder auf dem Laufwerk befindet und schaue dir den Inhalt der Datei mit einem Texteditor an.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
30.12.2007, 17:05
Member

Themenstarter

Beiträge: 15
#8 Hiho,

die Datei "autorunf.inf" wird von ComboFix immer wieder erkannt, nachdem ich den PC neugestartet hab.

Inhalt der Datei ist lediglich:

Code

[autorun]
icon = .\mxoicon6.ico
EDIT: hab die Datei jetzt bei http://virusscan.jotti.org/ gecheckt, hier hat bisher kein Scanner etwas gefunden.
Dieser Beitrag wurde am 30.12.2007 um 17:12 Uhr von VitaminE editiert.
Seitenanfang Seitenende
30.12.2007, 17:26
Moderator

Beiträge: 7805
#9 Ah, ist wohl eine Maxtor Platte. BTW: Schon mal Maxblast angesehen? Ist eine leicht abgespeckte Version von Acronis True image
http://www.seagate.com/ww/v/index.jsp?locale=de-DE&name=MaxBlast_5&vgnextoid=0bc59b3950c23110VgnVCM100000f5ee0a0aRCRD
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
30.12.2007, 17:40
Member

Themenstarter

Beiträge: 15
#10 Ja ist eine Maxtor,

danke für den Link^^ kenne bis jetzt weder das eine noch das andere Programm und hab für die Festplatte bisher noch keine mitgelieferte Software verwendet, hab die Platte erst seit kurzem.


Bis jetzt habe ich auch keine Beschwerden mehr wegen dem Trojaner, wenn jetzt noch die gewünschten Programme im Systemstart bleiben dürfte das Problem gelöst sein, muss sie trotzdem erstmal neu installieren :/

danke schonmal,
lg VitaminE
Seitenanfang Seitenende
30.12.2007, 18:11
Moderator

Beiträge: 7805
#11 Falls du das infiziert "zip" noch hast, schicke es bitte an virus@protecus.de
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende