PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Geschlossen Trojaner-/ Virenmeldung Win32:Agent-TFO [Trj]



rmb
22.03.08, 22:15
Guten Abend liebe Forengemeinde,

leider hat mir Avast heute eine Meldung entgegen geschleudert.

Und zwar diese:

Virus wurde entdeckt!
Datei-Name: kdbg32.dll
DateiID: 5
Virus-Beschreibung: Win32:Agent-TFO [Trj]

Den Vorschlag die Datei in den Container zu verschieben habe ich angenommen.
Seit dem ist die *.dll nicht mehr in der /system32/ zu finden.
Ich habe mich auf die Internetsuche nach dem o.g. Fund begeben, aber außer zwei Webseiten die keine Lösung anboten, nichts gefunden.

Kann mir denn vielleicht jemand sagen um welchen Virus und/oder Trojaner es sich hier handelt und ob ich vielleicht weitere Maßnahmen einleiten muss/soll?

Vielen Dank schon mal für die kommenden Antworten.

Grüße
rmb

Catweezel
22.03.08, 22:57
Hi rmb,

ein Trojaner !
Mein Tipp, wenn es mein Rechner wäre - Neuaufsetzen

Aber wir können uns noch ein Hijackthis-Logfile anschauen...

Die Hijackthis - exe bitte umbenennen in this.exe , da es Schädlinge gibt, die inzwischen Hijackthis am Namen erkennen.

Gruß Catweezel

rmb
24.03.08, 21:36
Hi Catweezel,

habe HiJackThis umbenannt wie Du meintest und hier ist also der Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:30:58, on 24.3.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\D-Link\AirPlus XtremeG\AirPlusCFG.exe
C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Cherry\KeyMan\KeyMan.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Programme\Nokia\Nokia PC Suite 6\PCSuite.exe
C:\Programme\Cherry\CDI\cdi.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\Programme\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\Programme\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Programme\Gemeinsame Dateien\Nokia\MPAPI\MPAPI3s.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\AvastSS.scr
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\phonostar\ps_radio.exe
C:\Programme\phonostar\ps_olect.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\This.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Programme\FlashGet\jccatch.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Programme\FlashGet\getflash.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [D-Link AirPlus XtremeG] C:\Programme\D-Link\AirPlus XtremeG\AirPlusCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [CherryKeyMan] "C:\Programme\Cherry\KeyMan\KeyMan.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Nokia.PCSync] "C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe" /NoDialog
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Programme\Nokia\Nokia PC Suite 6\PCSuite.exe" -onlytray
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSection nLite.inf,C (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSection nLite.inf,C (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [Nokia.PCSync] "C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe" /NoDialog (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSection nLite.inf,C (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Nokia.PCSync] "C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe" /NoDialog (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSection nLite.inf,C (User 'Default user')
O4 - Startup: Trillian.lnk = C:\Programme\Trillian\trillian.exe
O8 - Extra context menu item: &Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: &Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Cherry Device Interface - Cherry, Auerbach Germany, http://www.cherry.de - C:\Programme\Cherry\CDI\cdi.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 8301 bytes

Die befallene DLL ist ja im Container gelandet und aus /system32/ ist die gelöscht. Weitere Warnungen sind bisher nicht aufgetaucht.
Wieso finde ich keine Infos im Netz zu dem Trojaner?
Ist der so neu oder so selten? Bei Hoax-Info.de, bei Avast oder bei anderen Virenscanneranbietern gibt es keine Infos zu einem Trojaner mit dem Namen...

Das Logfile sieht für mich recht unverdächtig aus. Aber ich bin da auch nicht so fit drin...
Das rot markierte ist für mich unverständlich. Was kann das sein?

Danke für die Hilfe!

Grüße
rmb

Catweezel
24.03.08, 22:11
das hier :


O4 - HKUS\S-1-5-19\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSection nLite.inf,C (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSection nLite.inf,C (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSection nLite.inf,C (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSection nLite.inf,C (User 'Default user')
gefällt mir nicht. Obwohl es anscheinend mit deinem Fund im Container nichts zu tun hat.

Über den Weg gelaufen ist mir diese Sache noch gar nicht. Es scheint eine veränderte Windows-Datei zu sein.
Schau mal vorgehensweise hier (http://www.trojaner-info.de/faq/anleitungen/big%20brother.htm)

Wichtig ! Vor irgendwelchen Aktionen die Systemwiederherstellung ausschalten.

Gruß Catweezel

rmb
25.03.08, 00:22
Habe mir die Seite die Du verlinkt hast durchgelesen und google bemüht.
Diese Advpack.dll und Amstream.dll sind beide bei mir aufzufinden. Kein Wunder, gehört ja zu M$.
Google hat mir zu dem Thema keine aktuellere Seite als 2002 gebracht. Und auch auf den zu findenden Seiten gibt es außer dem Warnbericht keine konstruktive Äußerung dazu. Somit stehe ich dem zweifelnd gegenüber, zumal Ad-Aware und CC-Cleaner keine Funde aufweisen.
Daher habe ich mich entschieden, diese Dateien zu beobachten und vorerst nicht zu löschen.

Zum Thema Trojaner:
Die von Dir gefundenen Einträge stehen ja anscheinend nicht mit dem Trojanerfund in Verbindung.
Was soll ich also von dem Fund halten? War es nur eine nervöse Heuristik oder so? Die Virendatenbanken geben mir zu dem Fund keine Hinweise und Google, Metager usw. sind auch uninformiert.
Bei einer so unspezifischen Gefährdungslage möchte ich lieber von einem neu-aufsetzen des Systems Abstand nehmen.
Bleibt mir nicht anderes als den Fund unter "kurios" abzulegen, das System zu beobachten und doch wieder mit Linux zu arbeiten... ;-)

Danke und Grüße!
rmb

Catweezel
25.03.08, 13:39
Diese Advpack.dll und Amstream.dll sind beide bei mir aufzufinden. Kein Wunder, gehört ja zu M$.
...aber die Tatsache, dass sie im Autostart liegen und in im Hijackthis-Log auftauchen ist alles andere als normal und deutet darauf hin, dass sie verändert worden sind !!! Hinweise dazu eigentlich auf der von mir verlinkten Webseite !

Wenn du eine dll-Datei in den Container verschoben hast, wird das nicht unbedingt ein Fehlalarm sein.. das alles unter "kurios" abzuhaken ist IMHO etwas leichtsinnig.

Hast du mal eine Boot-Zeit-Prüfung durchgeführt ?


(...) und doch wieder mit Linux zu arbeiten...
auch eine Lösung... Allerdings wäre mir trotzdem eine saubere Windowspartition, wenn sie denn vorhanden, wichtig... :wink:

Gruß Catweezel

rmb
25.03.08, 23:40
...aber die Tatsache, dass sie im Autostart liegen und in im Hijackthis-Log auftauchen ist alles andere als normal und deutet darauf hin, dass sie verändert worden sind !!! Hinweise dazu eigentlich auf der von mir verlinkten Webseite !


Diese Webseite kommt mir halt sehr wie ein Hoax daher und es ist nicht das erste mal, dass Windows Systemdateien als Viren oder Trojaner deklariert wurden. Stutzig macht mich ganz besonders, dass die Warnungen mehr als 6 Jahre (sogar fast 8 Jahre) als sind und seitdem keine weiteren Informationen dazu aufgetaucht sind. Habe mehrfach Ad-Aware und Spybot mit aktuellster Datenbank laufen lassen - ohne Befund. Bei einer so lange bekannten Geschichte müssten diese Programme doch aufleuchten wie ein Weihnachtsbaum?!
Dazu kommt, dass in der PC Welt vom 08.03.2000 online zu lesen war, dass es sich hierbei eindeutig um einen Hoax, also eine Falschmeldung handelt. PC-Welt: Entwarnung: Aureate spioniert nicht (http://www.pcwelt.de/start/gaming_fun/archiv/13495/)
Weiterhin sind meine betreffenden DLL zuletzt 2004 erstellt/geändert worden. Der PC ist aber von Oktober mit einem frisch aufgesetzten XP Pro.
Da das alles für mich nicht so richtig passt, sehe ich immer noch von der Löschung dieser Dateien ab, mal abgesehen davon, dass die beschriebene Löschmethode auch nicht funktioniert... :roll:


Wenn du eine dll-Datei in den Container verschoben hast, wird das nicht unbedingt ein Fehlalarm sein.. das alles unter "kurios" abzuhaken ist IMHO etwas leichtsinnig.

Hast du mal eine Boot-Zeit-Prüfung durchgeführt ?


Den File im Container lasse ich im Container, aber ich tue den als "kurios" ab, weil KEINE Antivir-Webseite oder sonstige Suchmaschine irgendwelche Infos zu dem benannten Trojaner hat. Was soll ich also davon halten? Auch Du kannst mir leider nicht sagen, was das für ein Trojaner ist, oder?
Ja, ich habe eine Boot-Überprüfung durchgeführt und diese hat keine Fehler gebracht. Auch einen vollständigen System-Deep-Scan habe ich ohne Fund durchgeführt. Wie oben gesagt auch Ad-Aware und Spybot, sowie jetzt auch CC-Cleaner und HiJackThis.
Das HiJackThis Logfile war ja auch bis auf die Einträge die Du bemängelt hast ohne Befund und diese Einträge sind ja anscheinend nicht mit dem Trojaner-Fund in Verbindung zu bringen.


Allerdings wäre mir trotzdem eine saubere Windowspartition, wenn sie denn vorhanden, wichtig... :wink:

Ich bin sehr auf meine Systemsicherheit bedacht, nicht unerfahren und bestimmt nicht leichtsinnig.
Aber ich weiß auch, wann mal Schluß sein muss. Ich werde nicht auf Grund eines unbestimmbaren Trojaners in meinem Container und ohne weitere Funde ein stabil laufendes System neu aufsetzten. Nebenbei bemerkt hatte ich in den letzten 10 Jahren ganze 2 mal einen Virus und 1 mal einen Trojaner (einen echten, bekannten). Diese wurden über externe Datenträger von anderen Usern eingebracht und wurden sofort von meinem System geblockt und gelöscht. Einen echten Befall hatte ich noch nie... (*aufHolzklopf* :oops: )

Wenn Dir jetzt nicht auf die letzte Minute noch ein dringender Grund einfallen sollte oder die absolute Warnung vor dem gefundenen Trojaner bekannt werden, so bleibt mir wirklich nichts anderes als zu sagen:
"Komisch, aber vielen lieben Dank für Deine schnelle Hilfe, Catweezel :D "

:wink:

Grüße
rmb