Trojan-Downloader.Win32.Agent.amp Überprüfen plz!

Dieses Thema Trojan-Downloader.Win32.Agent.amp Überprüfen plz! im Forum "Windows XP Forum" wurde erstellt von Frazze, 20. Juni 2006.

Thema: Trojan-Downloader.Win32.Agent.amp Überprüfen plz! Hallo, also ich habe mir gestern Mittag angeblich den Trojan-Downloader.Win32.Agent.amp eingefangen nachdem mir...

  1. Hallo,

    also ich habe mir gestern Mittag angeblich den Trojan-Downloader.Win32.Agent.amp eingefangen nachdem mir (und einigen anderen) in einem Forum ein Crypter angedreht wurde.

    Bei öffnen der EXe hat mein Spybot gemeint es seinen 2 Einträge in der Registry gemacht worden... ich war so dumm und hab sie erlaubt...
    Hab schnell gemerkt das das nicht nur ein Crypter war da mein PC seltsame Sympthome hatte, mal ging der Sound nicht oder man konnte den Taskmanager nicht öffnen, außerdem war er sehr langsam.

    Also hab ich mich mit einem anderen Opfer aus dem forum zusammengestezt und wir haben festgestellt das der Trojaner die Datei win32gx
    im Windows Verzeichnis erstellt, also hab ich diese gelöscht (ging sogar ohne Probleme).
    Weiterhin hab ich über msconfig nachgeschaut was da so im Autostart drinne ist, da hab ich doch was gefunden:

    dumprep 0 -k %systemroot%\system32\dumprep 0 -k im Pfad:SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    RUNDELL32.EXE NvQTwk,NvCplDaemon initialize im Pfad: SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    winampa C:\Programme\Winamp\winampa.exe im Pfad: SOFTWARE\Microsoft\Windows\CurrentVersion\Run


    Genau diese Einträge habe ich zuvor beim Ausführen des virus mit Spybot zugelassen (dauerhaft)
    Habe diese Einträge nun deaktiviert über msconfig.

    Allerdings frag mich Spybot bei jedem hochfahren ob ich diese Eintäge zulassen oder verbieten soll, wenn ich sie verbiete tauchen die 2 Einträge bis jetzt immer erneut in msconfig auf, wenn ich die Änderung erlaube bleiben sie dauerhaft deaktiviert und es kommen keine neuen; nun weis ich nicht ob die Änderung von msconfig gemacht werden oder vom Virus.

    Die winampa.exe hab ich gelöscht indem ich mein gesamtes Winamp deinstalliert habe da sich der Virus wohl darin Eingeschleußt hat (wenn ich rechtsklick auf die winampa.exe gemacht habe und bei Eigenschaften geschaut habe konnte ich erkennen (am Datum) das die Datei genau zum Zeitpunkt geändert wurde).

    Habe auch in der Regestry über die Suchfunktion des Editors mal nach Einträgen geschaut und alle gelöscht die ich finden konnte.

    Hier mal mein hijackthis.log :

    Logfile of HijackThis v1.99.1
    Scan saved at 14:47:52, on 20.06.2006
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\SYSTEM32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
    C:\Programme\Norton Personal Firewall\ISSVC.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\MMKeybd.exe
    C:\Programme\QuickTime\qttask.exe
    C:\Programme\T-Eumex KommunikationsCenter\strtfx.exe
    C:\Programme\T-Eumex KommunikationsCenter\sndml.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
    C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
    C:\WINDOWS\Nhksrv.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
    C:\Programme\Norton AntiVirus\navapsvc.exe
    C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\Programme\Norton AntiVirus\SAVScan.exe
    C:\WINDOWS\System32\svchost.exe
    C:\programme\valve\steam\steam.exe
    C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
    C:\Programme\Messenger\msmsgs.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
    C:\Programme\Clicktionary\Cleverlearn Clicktionary.exe
    C:\WINDOWS\system32\wdfmgr.exe
    C:\WINDOWS\System32\alg.exe
    C:\Programme\ICQLite\ICQLite.exe
    C:\PROGRA~1\NORTON~2\navw32.exe
    C:\Programme\Mozilla Firefox\firefox.exe
    C:\Programme\Windows Media Player\wmplayer.exe
    C:\Dokumente und Einstellungen\Leonardo\Desktop\hijackthis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.kampf-um-mittelerde.de/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
    R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
    O2 - BHO: Norton Personal Firewall - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: Norton Personal Firewall - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
    O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
    O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
    O4 - HKLM\..\Run: [DellTouch] C:\WINDOWS\MMKeybd.exe
    O4 - HKLM\..\Run: [QuickTime Task] C:\Programme\QuickTime\qttask.exe -atboottime
    O4 - HKLM\..\Run: [strtfx] C:\Programme\T-Eumex KommunikationsCenter\strtfx.exe
    O4 - HKLM\..\Run: [sndml] C:\Programme\T-Eumex KommunikationsCenter\sndml.exe
    O4 - HKLM\..\Run: [T-Online Dialerschutz-Software] C:\Programme\T-Online\Dialerschutz-Software\defender.exe
    O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
    O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
    O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ2003\ICQNet.exe
    O4 - HKLM\..\Run: [BootSkin Startup Jobs] D:\BootSkin\BootSkin.exe /StartupJobs
    O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
    O4 - HKLM\..\RunServices: [DJSNetCN] C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
    O4 - HKCU\..\Run: [Steam] c:\programme\valve\steam\steam.exe -silent
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
    O4 - HKCU\..\Run: [MSMSGS] C:\Programme\Messenger\msmsgs.exe /background
    O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
    O4 - Startup: GMX Clicktionary 2.8.lnk = C:\Programme\Clicktionary\Cleverlearn Clicktionary.exe
    O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
    O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
    O9 - Extra button: MedionShop - {8F07F4D4-CCFC-49D7-8D81-C956D7BBE294} - http://www.medionshop.de (file missing) (HKCU)
    O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.c...ls/en/x86/client/wuweb_site.cab?1112129447625
    O16 - DPF: {6D15BD40-CCA6-11D2-A6A0-0060089A0EFF} (RWSO_IHB) - https://banking.rwso.de/KSK_Esslingen-Nuertingen/srwso1901.cab
    O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} - http://www.stardialer.de/install/StarInstall.ocx
    O17 - HKLM\System\CCS\Services\Tcpip\..\{CC1B448B-5BC0-47A9-9953-C838C044FCD0}: NameServer = 192.168.2.2
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
    O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
    O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
    O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
    O23 - Service: Symantec Licensing Detect Internet Connection (DJSNETCN) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
    O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Personal Firewall\ISSVC.exe
    O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
    O23 - Service: Netropa NHK Server (Nhksrv) - Unknown owner - C:\WINDOWS\Nhksrv.exe
    O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
    O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
    O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe -d -f %ProgramFiles%\WinPcap\rpcapd.ini (file missing)
    O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
    O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
    O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
    O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
    O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
    O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
    O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe



    Jetzt wollte ich euch Fragen wie es aussieht, ob ich den dr*ck los bin oder nicht, da die Einträge in der msconfig ja nur deaktiviert sind vermute ich das da noch irgendwo Daten sein müssen.

    /EDIT: Ich verwende Firefox und hab XP SP2 XP Firewall aus.
    /EDIT2: O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} - http://www.stardialer.de/install/StarInstall.ocx Habe ich über Hijackthis fixen lassen.


    MfG Frazze


    p.s.: Norton ist ein k*ck Programm! Der Virus soll angeblich vorgestern Nacht gegen ca. 3 Uhr gefunden worden sein (laut kaspersky) und Norton hat immernoch Virendefinitionen vom 14.6 ,trotz Autoupdate un manuellem Update und findet NICHTS.
     
Die Seite wird geladen...

Trojan-Downloader.Win32.Agent.amp Überprüfen plz! - Ähnliche Themen

Forum Datum
Excel: Bereiche auf 'leer' Überprüfen Microsoft Office Suite 15. Sep. 2016
Angularjs | json-Datei auf Veränderung überprüfen und Meldung ausgeben Webentwicklung, Hosting & Programmierung 23. Jan. 2014
Programm zum Überprüfen und Aktualisieren meiner Treiber Software: Empfehlungen, Gesuche & Problemlösungen 17. Juni 2012
suche app um temp von athlon cpu´s zu überprüfen Windows XP Forum 2. Mai 2010
Überprüfen ob Rechner an ist Windows XP Forum 5. Jan. 2010