|
Log-Analyse und Auswertung: Agent2.CMPM - wie soll ich mich verhalten?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
25.08.2011, 12:19 | #1 |
| Agent2.CMPM - wie soll ich mich verhalten? Hallo. Ich habe gerade auf meinem Arbeits-PC einen vollständigen Systemscan von AVG Free Anti-Virus Small Business Edition 2011 machen lassen. Ergebnis ist unter h**p://www.bilder-space.de/bilder/d64b36-1314270673.jpg zu sehen. (Irgendwie schaffe ich es nicht hier ein Bild in den post rein zu setzen... ). Diesen OpenWatcom Crosscompiler habe ich schon ewig installiert... Reicht es den zu deinstallieren und den Download zu entfernen? Oder braucht ihr trotzdem noch die Log's von OTL und GMER um eine Aussage machen zu können? MfG Icy |
25.08.2011, 21:40 | #2 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Agent2.CMPM - wie soll ich mich verhalten? OpenWatCom? Sieht nach einem Fehlalarm aus. EICAR sollte ja bekannt sein.
__________________
__________________ |
26.08.2011, 09:01 | #3 |
| Agent2.CMPM - wie soll ich mich verhalten? Hey Moin,
__________________Danke erstmal für die Antwort. Ich hab' gestern im abgesicherten Modus mal GMER laufen lassen. Abgesichter Modus, weil man ja alle Anwendungen beenden soll, ich aber AVG Free AV SBE 2011 nicht beenden, sondern höchstens 15 Minuten anhalten kann (keine Ahnung was der Blödsinn soll - das hat man nun vom Free-Versions-Wahn ). Auf jeden Fall hat GMER was angezeigt, was ich allerdings nicht speichern konnte (weil GMER nach 2 Stunden abgestürzt ist). Ich lass' jetzt nochmal GMER im abgesicherten Modus laufen und stoppe es, sobald es die Funde hat (war relativ zu Anfang). Dann poste ich mal das Ergebnis. Zum Thema OpenWatCom: Du schreibst "sieht nach Fehleralarm aus". Ich wär' mir aber gern sicher, ob da was im Argen ist. Wie prüfe ich den Verdacht nach? Irgendwo mal das File zum Prüfen hochladen? MfG Icy Edit: So, Gmer hab' ich nochmal im abgesicherten Modus laufen lassen. Hier das Ergebnis: Code:
ATTFilter GMER 1.0.15.15641 - hxxp://www.gmer.net Rootkit scan 2011-08-26 10:28:33 Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Scsi\nvgts1Port2Path0Target0Lun0 SAMSUNG_ rev.VT10 Running: gl9g34bs.exe; Driver: C:\DOKUME~1\Suess\LOKALE~1\Temp\kwtdrpow.sys ---- Services - GMER 1.0.15 ---- Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) [AUTO] ckppn <-- ROOTKIT !!! Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) [AUTO] zrhkjirv <-- ROOTKIT !!! ---- Registry - GMER 1.0.15 ---- Reg HKLM\SYSTEM\CurrentControlSet\Services\ckppn@DisplayName Manager Driver Reg HKLM\SYSTEM\CurrentControlSet\Services\ckppn@Type 32 Reg HKLM\SYSTEM\CurrentControlSet\Services\ckppn@Start 2 Reg HKLM\SYSTEM\CurrentControlSet\Services\ckppn@ErrorControl 0 Reg HKLM\SYSTEM\CurrentControlSet\Services\ckppn@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs Reg HKLM\SYSTEM\CurrentControlSet\Services\ckppn@ObjectName LocalSystem Reg HKLM\SYSTEM\CurrentControlSet\Services\ckppn@Description Zeigt Meldungen f?r AutoPlay-Hardwareereignissse an. Reg HKLM\SYSTEM\CurrentControlSet\Services\ckppn\Parameters Reg HKLM\SYSTEM\CurrentControlSet\Services\ckppn\Parameters@ServiceDll C:\WINDOWS\system32\jvncwhq.dll Reg HKLM\SYSTEM\CurrentControlSet\Services\zrhkjirv@DisplayName Windows Time Reg HKLM\SYSTEM\CurrentControlSet\Services\zrhkjirv@Type 32 Reg HKLM\SYSTEM\CurrentControlSet\Services\zrhkjirv@Start 2 Reg HKLM\SYSTEM\CurrentControlSet\Services\zrhkjirv@ErrorControl 0 Reg HKLM\SYSTEM\CurrentControlSet\Services\zrhkjirv@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs Reg HKLM\SYSTEM\CurrentControlSet\Services\zrhkjirv@ObjectName LocalSystem Reg HKLM\SYSTEM\CurrentControlSet\Services\zrhkjirv@Description Bietet gesch?tzten Speicherplatz f?r private Daten, wie z. B. private Schl?ssel, um Zugriff durch nicht autorisierte Dienste, Prozesse oder Benutzer zu unterbinden. Reg HKLM\SYSTEM\CurrentControlSet\Services\zrhkjirv\Parameters Reg HKLM\SYSTEM\CurrentControlSet\Services\zrhkjirv\Parameters@ServiceDll C:\WINDOWS\system32\jvncwhq.dll Reg HKLM\SYSTEM\ControlSet003\Services\ckppn@DisplayName Manager Driver Reg HKLM\SYSTEM\ControlSet003\Services\ckppn@Type 32 Reg HKLM\SYSTEM\ControlSet003\Services\ckppn@Start 2 Reg HKLM\SYSTEM\ControlSet003\Services\ckppn@ErrorControl 0 Reg HKLM\SYSTEM\ControlSet003\Services\ckppn@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs Reg HKLM\SYSTEM\ControlSet003\Services\ckppn@ObjectName LocalSystem Reg HKLM\SYSTEM\ControlSet003\Services\ckppn@Description Zeigt Meldungen f?r AutoPlay-Hardwareereignissse an. Reg HKLM\SYSTEM\ControlSet003\Services\ckppn\Parameters (not active ControlSet) Reg HKLM\SYSTEM\ControlSet003\Services\ckppn\Parameters@ServiceDll C:\WINDOWS\system32\jvncwhq.dll Reg HKLM\SYSTEM\ControlSet003\Services\zrhkjirv@DisplayName Windows Time Reg HKLM\SYSTEM\ControlSet003\Services\zrhkjirv@Type 32 Reg HKLM\SYSTEM\ControlSet003\Services\zrhkjirv@Start 2 Reg HKLM\SYSTEM\ControlSet003\Services\zrhkjirv@ErrorControl 0 Reg HKLM\SYSTEM\ControlSet003\Services\zrhkjirv@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs Reg HKLM\SYSTEM\ControlSet003\Services\zrhkjirv@ObjectName LocalSystem Reg HKLM\SYSTEM\ControlSet003\Services\zrhkjirv@Description Bietet gesch?tzten Speicherplatz f?r private Daten, wie z. B. private Schl?ssel, um Zugriff durch nicht autorisierte Dienste, Prozesse oder Benutzer zu unterbinden. Reg HKLM\SYSTEM\ControlSet003\Services\zrhkjirv\Parameters (not active ControlSet) Reg HKLM\SYSTEM\ControlSet003\Services\zrhkjirv\Parameters@ServiceDll C:\WINDOWS\system32\jvncwhq.dll Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System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eändert von <-IceD@te-> (26.08.2011 um 09:53 Uhr) Grund: Ergänzung des Posts |
26.08.2011, 10:53 | #4 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Agent2.CMPM - wie soll ich mich verhalten?Zitat:
__________________ Logfiles bitte immer in CODE-Tags posten |
26.08.2011, 14:54 | #5 |
| Agent2.CMPM - wie soll ich mich verhalten? So, nun verabschiede ich mich gleich ins Wochenende. 1. Erstmal noch eine Frage: Was gibt es nun zu meinem Gmer-Log zu sagen? Das wurde bisher ignoriert... Sind das normale Einträge, welche GMER gefunden hat? 2. Ich hab' mir, wie empfohlen, VirusTotal Uploader 2.0 von chip.de gezogen und installiert. Dann hab' ich damit C:\Programme\WATCOM\binnt\weditcw.dll hochgeladen und das Ergebnis sieht so aus: In der Übersicht meint Virustotal, es wäre zu 16% ein Schadprogramm. Irgendwie sind mir 16% noch zuviel Schädlingspotential. Ich werd' den Kram am Montag löschen. Gibts zum Gefahrenpotential jetzt neue Meinungen? Danke für Alles bis hierher! MfG Icy |
26.08.2011, 18:49 | #6 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Agent2.CMPM - wie soll ich mich verhalten? Von wo hast du OpenWatCom denn her? Bei dem Typ der Software wundert mich das schon, dass da manche Virenscanner Schädlinge sehen. Es gibt auch garantiert schädlingsfreie Software, die von verschiedenen Scanners angemeckert werden, aber das hat zB den Grun ein potentielles Sicherheitsrisiko aufzuzeigen. Oft wird zB die Fernwartungssoftware VNC angemeckert, im Kaspersky-Jargon als "not-a-virus" RemoteAdmin oder so ähnlich.
__________________ --> Agent2.CMPM - wie soll ich mich verhalten? |
Themen zu Agent2.CMPM - wie soll ich mich verhalten? |
agent, arbeits-pc, avg, avg free, brauch, business, deinstalliere, deinstallieren, download, edition, entferne, entfernen, free, gmer, installier, log, log's, reich, small, systemscan, verhalten, vollständige |