Hallo,

mein System ist Win XP Home SP2

Gestern Abend habe ich mal einen Virenscan gemacht mit antivir. Dabei meldete Antivir den TR/Agent.CME in der Datei C:\Windows\System32\SpoonUninstall.exe sowie in einer alten Kazaa Installer Datei die ich seit Jahren in einem Zip File habe den Trojaner Namens DR/Altnet

Zitat:

C:\WINDOWS\system32\SpoonUninstall.exe
[DETECTION] Is the Trojan horse TR/Agent.CME
[INFO] The file was deleted!

D:\Download\old.zip
[0] Archive type: ZIP
--> old/tool/kl202e.exe
[DETECTION] Contains signature of the dropper DR/Altnet.O.2
[WARNING] The file was ignored!

Jetzt zu den beiden Schädlingen:

1) DR/Altnet
Die Kazaa Datei sehe ich unkritisch da das ein alter Installer ist den ich schon vor Jahren in ein zip file gepackt habe um Platz zu sparen? Die Datei lösche ich aus dem Zipfile? Ist das ok so?

2.) TR/Agent.CME

Nach dem ich gestern den SpoonUninstall.exe gelöscht hatte habe heute morgen nochmal mit Bitdefender ein Virenscan gemacht. Dabei sprang die Live Guard von Antivir an und meldete den selben TR/Agent.CME nochmal in C:\System Volume Information\_restore....\A0391979.exe. Auch hier sagte ich das Antivir diese Datei löschen sollte doch die Datei blieb seltsamerweise in den Systemwiederherstellungsordner von XP (hab die Datei erstmal in Quarantäne geschoben. Seltsam das Antivir gestern in System Volume Information nix fand?

Daraufhin habe ich die Systemwiederherstellung deaktiviert so das auch dort alles gelöscht wurde.

Die o.g. Datei A0391979.exe habe ich vorhin aus der Quarantäne gerestored (umbenannt in *.bak) und bei Virustotal online hochgeladen:

Zitat:

Antivir: TR/Agent.CME
Norman: Puper.HV
Webwasher-Gateway: Trojan.Agent.CME

Die beiden betroffenen Dateien werde ich sicherheitshalber schonmal bei antivir einschicken um Fehlalarme zu prüfen.

Frage:
Ich kann leider auf der avira Seite nix zu Trojan.Agent.CME finden. Bin jetzt total in Panik was das überhaupt ist? Was ist der TR/Agent.CME? Ist es eine sehr grosse Gefahr?

Reicht es wenn ich mit Antivir die Schädlinge einfach lösche, die Systemwiederherstellung lösche und jetzt nochmal mit mehreren Virenscanner, Spybot usw. im abgesicherten Modus scanne und wenn da jetzt nix mehr ist muss ich dann trotzdem meinen ganzen PC neuaufsetzen?

Ich hatte noch nie Trojaner und bin momentan ein bissl ratlos was ich jetzt noch machen soll um wieder ohne Sorge mein PC nutzen zu können? Vllt. kann mir hier jemand ein paar Tipps geben was man jetzt so noch machen kann.

Hallo,

Zitat:

C:\Windows\System32\SpoonUninstall.exe

schade, dass die Datei schon weg ist, besser wäre es gewesen, die nochmal bei Virustotal checken zu lassen und die Ergebnisse zu beurteilen.

Zitat:

sowie in einer alten Kazaa Installer Datei die ich seit Jahren in einem Zip File habe den Trojaner Namens DR/Altnet

Finger weg von Kazaa! Kazaa ist mit Spyware und weiß der Geier noch ausgestattet. Eben so ein Kandidat ist Bearshare.

Zitat:

Die Datei lösche ich aus dem Zipfile? Ist das ok so?

Lösch alles was mit Kazaa zu tun hat...

Zur weiteren Vorgehensweise:

1. Systemwiederherstellung deaktivieren
2. Hijackthis-Logfile posten

Dann sehen wir weiter!

Zitat:

Zitat von cosinus

schade, dass die Datei schon weg ist, besser wäre es gewesen, die nochmal bei Virustotal checken zu lassen und die Ergebnisse zu beurteilen.

Naja die originale Datei "Spoouninstall.exe" hatte ich gelöscht. Allerdings kam mir die Datei heute morgen nochmal unter in der Systemwiederherstellung unter C:\System Volume Information als A054343.exe. Ich vermute mal es ist die selbe Datei die vorgestern vom System irgendwie dort gesichert wurde. Da melden 3 Scanner bei Virustotal:

Antivir: TR/Agent.CME
Norman: Puper.HV
Webwasher-Gateway: Trojan.Agent.CME

Zitat:

Zitat von cosinus

Lösch alles was mit Kazaa zu tun hat...

Ok, ich werds dann alles mal runterschmeissen. Habe aber Kazalite eigentlich schon seit Jahren drauf (benutze es ja nicht mehr). Komisch nur das antivir beim Installer von Kazaa meckert und nicht beim installierten Prog.

Aber ich schmeiss es dann mal gleich runter, brauch es eh net mehr.

Zitat:

Zitat von cosinus

Zur weiteren Vorgehensweise:

1. Systemwiederherstellung deaktivieren
2. Hijackthis-Logfile posten

1. Systemwiederherstellung ist deaktiviert worden!

2. HJT Log kommt gleich.

Zitat:

Ich kann leider auf der avira Seite nix zu Trojan.Agent.CME finden.

Ja....Das ist leider, leider normal bei AntiVir
Ich hab eben auch mal Onkel Google gefragt aber der hat auch nix an Infos...
Am besten wäre es du holst dir ein andern Antivirus...eine ziemlich gute Kombination (und alles auch Free) ist AVG Free, AVG Anti Spyware, Spybot und Agnitum Outpost Firewall

Da hätte ich aber noch eine Frage bzgl zu

Zitat:

1. Systemwiederherstellung ist deaktiviert worden!

Wann hast du die SWH deaktiviert? Auch auf allen Laufwerken? Wenn ja, dürften eigentlich nicht mehr Dateien wie

C:\System Volume Information\...\A054343.exe

vorhanden sein.

Zitat:

Zitat von cosinus

Wann hast du die SWH deaktiviert? Auch auf allen Laufwerken? Wenn ja, dürften eigentlich nicht mehr Dateien wie

C:\System Volume Information\...\A054343.exe

vorhanden sein.

Korrekt, die Ordner sind leer. Vorher hatte ich aber noch die dort gefunden A054343.exe in den Antivir Quarantäne geschoben (leider hab ich das nicht bei der Spoonuninstall gestern auch gemacht) und danach erstmal die SWH ausgestellt und neugestartet. Dann war dort drin alles weg.

Ok, dann hat alles seine Richtigkeit. Und nun rück mal dein HJT-Logfile raus!

Hier mal die Ausgaben von HJT von heute. Ich kann auch gerne nochmal ein HJT von gestern Abend posten falls das was bringen sollte?

=============================================
Logfile of HijackThis v1.99.1
Scan saved at 14:37:46, on 29.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\LTSMMSG.exe
D:\Programme\DU Meter\DUMeter.exe
C:\WINDOWS\system32\ezSP_Px.exe
D:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Softwin\BitDefender8\bdnagent.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
D:\Programme\mozilla.org\Firefox\firefox.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
c:\programme\softwin\bitdefender8\bdmcon.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
D:\TEMP\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h***://www.club-vaio.sony-europe.com/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat

7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - D:\Programme\GetRight_5_1\xx2gr.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: IECatcher Class - {B930BA63-9E5A-11D3-A288-0000E80E2EDE} - C:\Programme\Mass Downloader\MDHELPER.DLL (file

missing)
O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [DU Meter] D:\Programme\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\system32\ezSP_Px.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [PCSuiteTrayApplication] D:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [BDMCon] "C:\Programme\Softwin\BitDefender8\bdmcon.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "C:\Programme\Softwin\BitDefender8\bdnagent.exe"
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Download with GetRight - D:\Programme\GetRight_5_1\GRdownload.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Open with GetRight Browser - D:\Programme\GetRight_5_1\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: concept/design's onlineTV - {9D388831-2E54-4BC5-A848-B1B234363B66} -

C:\Programme\onlineTV\onlineTV.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=h***://www.club-vaio.sony-europe.com/
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O15 - Trusted Zone: h**://*.windowsupdate.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) -

h***://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -

h***://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1185563167187
O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{087B03E0-3A0F-47F4-B51F-7FF4E52AEAC3}: NameServer = 82.144.41.8 62.220.18.8
O17 - HKLM\System\CS1\Services\Tcpip\..\{087B03E0-3A0F-47F4-B51F-7FF4E52AEAC3}: NameServer = 82.144.41.8 62.220.18.8
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition

Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir

PersonalEdition Classic\avguard.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender

Scan Server\bdss.exe" /service (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: MySql - Unknown owner - C:/Programme/mysql/bin/mysqld-nt.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - D:\Programme\SiSoftware\SiSoftware

Sandra Lite XIb\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - D:\Programme\SiSoftware\SiSoftware

Sandra Lite XIb\RpcSandraSrv.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\GEMEIN~1\SONYSH~1\AVLib\Sptisrv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender

Communicator\xcommsvr.exe" /service (file missing)

Zitat:

C:\WINDOWS\LTSMMSG.exe
C:\WINDOWS\system32\ezSP_Px.exe

was ist dass?

moin moin leute...hab ma ne frage...ich hab als antivirenprogramm McAffee und immer wenn ich einen scan durchgeführt habe, dann werden mir die folgenden cookies als möglicherweise unerwünschte programme angezeigt:cookie 207...cookie atwola...cookie adtech...und cookie adsolution...und nachdem ich diese entfernt hab und nach ein paar tagen einen neuen scan gemacht hab, werden mir diese dateien wieder als möglicherweise unerwünschte programme angezeigt...wollte nur mal fragen wie ich die endgültig von meinem pc gelöscht bekommen???

Also jetzt wird es merkwürdig. Die Dateien die von e-Scan in meinem lokaeln User temporären Verzeichniss entpackt wurden mir jetzt als Virus gemeldet von Bitdefender!

Virustotal sagt zu den gefunden beiden Dateien:

Zitat:

mexe.com

BitDefender 7.2 2007.07.30 BehavesLike:Win32.FileInfector
eSafe 7.0.15.0 2007.07.29 suspicious Trojan/Worm
Ikarus T3.1.1.8 2007.07.30 Trojan-Dropper.Win32.ExeBinder.C
Sophos 4.19.0 2007.07.26 Istbar
Webwasher-Gateway 6.0.1 2007.07.30 Win32.ModifiedUPX.gen (suspicious)

Zitat:

mwavscan.com
BitDefender 7.2 2007.07.30 BehavesLike:Win32.FileInfector
eSafe 7.0.15.0 2007.07.29 suspicious Trojan/Worm
Ikarus T3.1.1.8 2007.07.30 Trojan-Dropper.Win32.ExeBinder.C
Sophos 4.19.0 2007.07.26 Istbar
Webwasher-Gateway 6.0.1 2007.07.30 Win32.ModifiedUPX.gen (suspicious)

Jotti meldet

Zitat:

mexe.com
BitDefender
BehavesLike:Win32.FileInfector gefunden (mögliche Variante)

Zitat:

mwavscan.com
VIELLEICHT INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.) (Anmerkung: Diese Datei wurde lediglich durch die heuristische Detektion als Malware angezeigt. Die Ergebnisse des Scans werden daher nicht in der Datenbank gespeichert.)

BitDefender
BehavesLike:Win32.FileInfector gefunden (mögliche Variante)

Habe eben nochmal die mwav.exe 9.3.5 Installer Datei entpackt und es werden wieder die o.g. beiden Dateien entpackt und von Bitdefender gemeldet? Also waren die im Installer schon so mit drin.

Ist das normal? Macht mir irgendwie Sorgen mache das eScan hier als Virus gefunden wird? Das verstehe ich nicht? Hoffentlich sind das nur Fehlalarme.

Zitat:

Ist das normal? Macht mir irgendwie Sorgen mache das eScan hier als Virus gefunden wird? Das verstehe ich nicht? Hoffentlich sind das nur Fehlalarme.

Lass dich davon nicht irritieren, das sind Fehlalarme
Oder glaubst du, wir würden dir hier Virenscanner aufdrücken, die selber mit Schädlingen daherkommen?

Puh, da bin ich aber beruhigt.

Ärgerlich das manche Antiviren Hersteller anscheinend eScan Dateien mit einem Trojaner verwechseln.

Zitat:

Zitat von htx23

Ärgerlich das manche Antiviren Hersteller anscheinend eScan Dateien mit einem Trojaner verwechseln.

Na, das werden die mit ziemlicher Sicherheit nicht absichtlich machen. Fehlalarme von Virenscanner werden immer prinzipielle Schwächen bleiben...