|
Plagegeister aller Art und deren Bekämpfung: Tr/agent.aw.2Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
06.03.2005, 14:36 | #1 |
| Tr/agent.aw.2 Habe schon seit einigen tagen das problem mit densen störenfried den ich einfach nicht loswerden kann. bin schon mit spybot adaware und ativire drübergegangen un nie wurde es besser selbst das löschen der dateien hat nix gebracht. Logfile of HijackThis v1.99.1 Scan saved at 14:34:31, on 06.03.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\CTsvcCDA.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\WINDOWS\system32\CTHELPER.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\DeTeWe\TA 33 USB\Capictrl.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\Avant Browser\avant.exe C:\Dokumente und Einstellungen\Peter Wendt\Desktop\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {3EFBB89A-9077-C37E-3D26-F0497ADF91B1} - (no file) O2 - BHO: (no name) - {474DE876-AC27-7265-B8E9-8F0390C3A2A5} - (no file) O4 - HKLM\..\Run: [routcnf] C:\Programme\DeTeWe\TA 33 USB\routcnf.exe O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SpybotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck /autofix /autoclose O4 - HKLM\..\Run: [BootSkin Startup Jobs] "C:\Programme\Stardock\WinCustomize\BootSkin\BootSkin.exe" /StartupJobs O4 - HKLM\..\Run: [OSS] c:\windows\system32\ossproxy.exe -boot O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [WEBTACHOXP] C:\Programme\WebTachoXP\webtacho.exe O4 - Global Startup: CAPIControl.lnk = ? O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - C:\Programme\Avant Browser\AddAllToADBlackList.htm O8 - Extra context menu item: Hervorheben - C:\Programme\Avant Browser\Highlight.htm O8 - Extra context menu item: Suchen - C:\Programme\Avant Browser\Search.htm O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - C:\Programme\Avant Browser\AddToADBlackList.htm O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - C:\Programme\Avant Browser\OpenAllLinks.htm O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm O17 - HKLM\System\CCS\Services\Tcpip\..\{0AE8F31E-88B3-4DD7-BC86-B268BF4A335F}: NameServer = 212.6.108.140 212.6.108.141 O17 - HKLM\System\CS1\Services\Tcpip\..\{0AE8F31E-88B3-4DD7-BC86-B268BF4A335F}: NameServer = 212.6.108.140 212.6.108.141 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe O23 - Service: Miscrosoft Updates Service (MsUpdate) - Unknown owner - C:\WINDOWS\system32\msupd.exe (file missing) O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe |
06.03.2005, 16:56 | #2 |
| Tr/agent.aw.2 Vorgehensweise
__________________Da alle Virenscanner Probleme mit Trojanern und Spyware haben, grundsätzlich mit Trojanerscanner zusätzlich prüfen: Spybot Search&Destroy und a² (emisoft). Dannach checken mit HijackThis und MSConfig. Dann Systemwiederherstellung deaktivieren und im abgesicherten Modus booten. Nochmal Spybot und a² drüber laufen lassen und mit HijackThis überprüfen/fixen. Wenn keine Fehler mehr, neu booten und die Systemwiederherstellung wieder aktivieren. Eine Garantie, dass der Schädling weg ist, hast du aber nicht. Hier hilft nur Formatieren und Neuinstallation der Festplatte. Du solltest dir aber mal grundlegende Gedanken machen, warum du den Schädling bekommen hast und entsprechende Vorsorgemaßnahmen ergreifen (Stichwort 10 goldene Regeln). Infos und Downloads zum Thema findest du auf meiner Webpage |
07.03.2005, 01:04 | #3 |
| Tr/agent.aw.2 Hallo Ghosthunter,
__________________wo und welche Datei ist der Störenfried? Hast Du den Löschvorgang mal im abgesicherten Modus versucht? Du kannst ja mal dies auführen: 1. Downloade Dir escan und befolge diese Anleitung (dauert etwa eine Stunde), 2. starte nach dem Scan wieder in den normalen Modus dauert, 3. öffne die Datei "mwav.log", klicke auf "bearbeiten" danach auf "suchen" 4. gebe dann "infected" ein, 5. suche weiter bei Treffern, markiere diese und kopiere sie ins Forum, 6. neben den Treffern auch das Gesamtergebnis (befindet sich ganz unter im Logfile) posten. Beispiel: Wed Feb 02 19:48:56 2005 => Total Files Scanned: Wed Feb 02 19:48:56 2005 => Total Virus(es) Found: . . . . dartus |
08.03.2005, 14:12 | #4 |
| Tr/agent.aw.2 SO das habe ich nach den scan von eScan gefunden bei den habe ich meisten die meldung Tue Mar 08 14:03:32 2005 => File C:\WINDOWS\system32\MSUPD.EXE.VIR infected by "Trojan-Downloader.Win32.Agent.gn" Virus. Action Taken: No Action Taken. Und das gesammt ergebniss Tue Mar 08 14:08:17 2005 => ***** Scanning complete. ***** Tue Mar 08 14:08:17 2005 => Total Files Scanned: 8719 Tue Mar 08 14:08:17 2005 => Total Virus(es) Found: 1 Tue Mar 08 14:08:17 2005 => Total Disinfected Files: 0 Tue Mar 08 14:08:17 2005 => Total Files Renamed: 0 Tue Mar 08 14:08:17 2005 => Total Deleted Files: 0 Tue Mar 08 14:08:17 2005 => Total Errors: 10 Tue Mar 08 14:08:17 2005 => Time Elapsed: 00:07:12 Tue Mar 08 14:08:17 2005 => Virus Database Date: 2005/03/07 Tue Mar 08 14:08:17 2005 => Virus Database Count: 120659 Tue Mar 08 14:08:17 2005 => Scan Completed. |
08.03.2005, 14:38 | #5 |
| Tr/agent.aw.2 Hallo Ghosthunter, Du hast zwar Escan nicht nach der Anleitung durchgeführt, aber der eine Fund reicht: http://www.sophos.de/virusinfo/analy...ojagentgn.html = MSUPD.EXE Da es sich hierbei um einen Trojaner mit Backdoorfunktionalität handelt, wird Dir hier dringend geraten "Format C:" zu machen. Gründe: http://www.trojaner-board.com/showthread.php?t=14669 http://www.heise.de/newsticker/meldung/57030 Weiteres Lesenswertes: http://www.mathematik.uni-marburg.de...c-removal.html http://www.mathematik.uni-marburg.de...ompromise.html Eine erstklassige Anleitung zur Neuinstallation: http://www.trojaner-board.de/showthread.php?t=12154 Thema Datensicherung: http://www.trojaner-board.de/showpos...8&postcount=11 sry dartus |
13.03.2005, 12:25 | #6 |
| Tr/agent.aw.2 Ich ärgere mich jetzt auch schon eine Woche lang mit dieser Meldung herum. C:\SYSTEM VOLUME INFORMATION\_RESTORE{EC0195AD-73C2-4F58-ABC4-67E63A9E825A}\RP637\A0078626.SYS Ist das Trojanische Pferd TR/Agent.aw.2 Habe alles versucht, bekomme diesen Trojaner einfach nicht von meinem Computer. Neuerdings bekomme ich von meinem AntiVir folgende Meldungen: C:\ pagefile.sys Zugriff verweigert! Fehler beim Öffnen der Datei. Dies ist eine Auslagerungsdatei von Windows. Diese Datei ist von Windows gelockt. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\Dokumente und Einstellungen\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0DU3CLQ3 demo_f[1].zip ArchiveType: ZIP HINWEIS! Das Archiv ist unbekannt oder defekt C:\Dokumente und Einstellungen\ Lokale Einstellungen\Temporary Internet Files\Content.IE5\S5MRK5M7 swflash[1].cab ArchiveType: CAB (Microsoft) --> swflash.inf HINWEIS! Der Archivheader ist defekt --> Flash.ocx HINWEIS! Der Archivheader ist defekt --> GetFlash.exe HINWEIS! Der Archivheader ist defekt --> mmflteamphoto.png HINWEIS! Der Archivheader ist defekt --> macromedia.jpg HINWEIS! Der Archivheader ist defekt --> macromedia2.jpg HINWEIS! Der Archivheader ist defekt C:\Programme\FileSubmit\Snowy Lake Theme TBEZA127Q.exe Die Datei enthält Signatur des PMS/ToolBar.Quick.A.1-Programmes und wurde vom Benutzer unterdrückt. Fehler beim Wechsel in das Verzeichnis System Volume Information C:\WINDOWS\iLookup ezStub22.exe Die Datei enthält Signatur des PMS/Adware.StatBlas-Programmes und wurde vom Benutzer unterdrückt. C:\WINDOWS\SoftwareDistribution\EventCache {4B895C8C-9220-4F7A-96BD-BD75943817BB}.bin Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! {C912A6D3-B8D5-4638-AA83-748BA471DBCE}.bin Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\WINDOWS\system32 ezstub.exe Die Datei enthält Signatur des PMS/Adware.StatBlas-Programmes und wurde vom Benutzer unterdrückt. C:\WINDOWS\system32\config default Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! SAM Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! SECURITY Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! software Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! system Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\WINDOWS\Temp ZLT008e4.TMP Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! Bei den Lokalen Einstellungen steht auch mein Name, den ich jetzt ausgelassen habe. Der Archivheader ist defekt - wer kann mir das bitte mal erklären? Ich kann mein Excel- Programm nicht mehr öffnen und wenn ich die CD einlege und Office neu installieren will, gibt es eine Fehlermeldung. Was kann ich tun? |
Themen zu Tr/agent.aw.2 |
adobe, antivir, antivir update, bho, browser, cyberlink, desktop, ebay, einstellungen, explorer, file missing, hijack, hijackthis, homepage, internet, internet explorer, loswerden, löschen, monitor, problem, programme, server, solution, suche, system, updates, usb, windows, windows xp |