Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Agent2.CMPM - wie soll ich mich verhalten?

Agent2.CMPM - wie soll ich mich verhalten?


Log-Analyse und Auswertung: Agent2.CMPM - wie soll ich mich verhalten?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 25.08.2011, 12:19   #1
<-IceD@te->
 
Agent2.CMPM - wie soll ich mich verhalten? - Standard

Agent2.CMPM - wie soll ich mich verhalten?


Hallo.

Ich habe gerade auf meinem Arbeits-PC einen vollständigen Systemscan von AVG Free Anti-Virus Small Business Edition 2011 machen lassen.

Ergebnis ist unter h**p://www.bilder-space.de/bilder/d64b36-1314270673.jpg zu sehen. (Irgendwie schaffe ich es nicht hier ein Bild in den post rein zu setzen... ).

Diesen OpenWatcom Crosscompiler habe ich schon ewig installiert... Reicht es den zu deinstallieren und den Download zu entfernen? Oder braucht ihr trotzdem noch die Log's von OTL und GMER um eine Aussage machen zu können?

MfG
Icy

Alt 25.08.2011, 21:40   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Agent2.CMPM - wie soll ich mich verhalten? - Standard

Agent2.CMPM - wie soll ich mich verhalten?


OpenWatCom? Sieht nach einem Fehlalarm aus. EICAR sollte ja bekannt sein.
__________________

__________________
Alt 26.08.2011, 09:01   #3
<-IceD@te->
 
Agent2.CMPM - wie soll ich mich verhalten? - Standard

Agent2.CMPM - wie soll ich mich verhalten?


Hey Moin,

Danke erstmal für die Antwort. Ich hab' gestern im abgesicherten Modus mal GMER laufen lassen. Abgesichter Modus, weil man ja alle Anwendungen beenden soll, ich aber AVG Free AV SBE 2011 nicht beenden, sondern höchstens 15 Minuten anhalten kann (keine Ahnung was der Blödsinn soll - das hat man nun vom Free-Versions-Wahn ).
Auf jeden Fall hat GMER was angezeigt, was ich allerdings nicht speichern konnte (weil GMER nach 2 Stunden abgestürzt ist). Ich lass' jetzt nochmal GMER im abgesicherten Modus laufen und stoppe es, sobald es die Funde hat (war relativ zu Anfang). Dann poste ich mal das Ergebnis.

Zum Thema OpenWatCom: Du schreibst "sieht nach Fehleralarm aus". Ich wär' mir aber gern sicher, ob da was im Argen ist. Wie prüfe ich den Verdacht nach? Irgendwo mal das File zum Prüfen hochladen?

MfG
Icy

Edit: So, Gmer hab' ich nochmal im abgesicherten Modus laufen lassen. Hier das Ergebnis:
Code:
ATTFilter
GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2011-08-26 10:28:33
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Scsi\nvgts1Port2Path0Target0Lun0 SAMSUNG_ rev.VT10
Running: gl9g34bs.exe; Driver: C:\DOKUME~1\Suess\LOKALE~1\Temp\kwtdrpow.sys


---- Services - GMER 1.0.15 ----

Service  C:\WINDOWS\system32\svchost.exe (*** hidden *** )                                      [AUTO] ckppn                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      <-- ROOTKIT !!!
Service  C:\WINDOWS\system32\svchost.exe (*** hidden *** )                                      [AUTO] zrhkjirv                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                   <-- ROOTKIT !!!

---- Registry - GMER 1.0.15 ----

Reg      HKLM\SYSTEM\CurrentControlSet\Services\ckppn@DisplayName                               Manager Driver
Reg      HKLM\SYSTEM\CurrentControlSet\Services\ckppn@Type                                      32
Reg      HKLM\SYSTEM\CurrentControlSet\Services\ckppn@Start                                     2
Reg      HKLM\SYSTEM\CurrentControlSet\Services\ckppn@ErrorControl                              0
Reg      HKLM\SYSTEM\CurrentControlSet\Services\ckppn@ImagePath                                 %SystemRoot%\system32\svchost.exe -k netsvcs
Reg      HKLM\SYSTEM\CurrentControlSet\Services\ckppn@ObjectName                                LocalSystem
Reg      HKLM\SYSTEM\CurrentControlSet\Services\ckppn@Description                               Zeigt Meldungen f?r AutoPlay-Hardwareereignissse an.
Reg      HKLM\SYSTEM\CurrentControlSet\Services\ckppn\Parameters                                
Reg      HKLM\SYSTEM\CurrentControlSet\Services\ckppn\Parameters@ServiceDll                     C:\WINDOWS\system32\jvncwhq.dll
Reg      HKLM\SYSTEM\CurrentControlSet\Services\zrhkjirv@DisplayName                            Windows Time
Reg      HKLM\SYSTEM\CurrentControlSet\Services\zrhkjirv@Type                                   32
Reg      HKLM\SYSTEM\CurrentControlSet\Services\zrhkjirv@Start                                  2
Reg      HKLM\SYSTEM\CurrentControlSet\Services\zrhkjirv@ErrorControl                           0
Reg      HKLM\SYSTEM\CurrentControlSet\Services\zrhkjirv@ImagePath                              %SystemRoot%\system32\svchost.exe -k netsvcs
Reg      HKLM\SYSTEM\CurrentControlSet\Services\zrhkjirv@ObjectName                             LocalSystem
Reg      HKLM\SYSTEM\CurrentControlSet\Services\zrhkjirv@Description                            Bietet gesch?tzten Speicherplatz f?r private Daten, wie z. B. private Schl?ssel, um Zugriff durch nicht autorisierte Dienste, Prozesse oder Benutzer zu unterbinden.
Reg      HKLM\SYSTEM\CurrentControlSet\Services\zrhkjirv\Parameters                             
Reg      HKLM\SYSTEM\CurrentControlSet\Services\zrhkjirv\Parameters@ServiceDll                  C:\WINDOWS\system32\jvncwhq.dll
Reg      HKLM\SYSTEM\ControlSet003\Services\ckppn@DisplayName                                   Manager Driver
Reg      HKLM\SYSTEM\ControlSet003\Services\ckppn@Type                                          32
Reg      HKLM\SYSTEM\ControlSet003\Services\ckppn@Start                                         2
Reg      HKLM\SYSTEM\ControlSet003\Services\ckppn@ErrorControl                                  0
Reg      HKLM\SYSTEM\ControlSet003\Services\ckppn@ImagePath                                     %SystemRoot%\system32\svchost.exe -k netsvcs
Reg      HKLM\SYSTEM\ControlSet003\Services\ckppn@ObjectName                                    LocalSystem
Reg      HKLM\SYSTEM\ControlSet003\Services\ckppn@Description                                   Zeigt Meldungen f?r AutoPlay-Hardwareereignissse an.
Reg      HKLM\SYSTEM\ControlSet003\Services\ckppn\Parameters (not active ControlSet)            
Reg      HKLM\SYSTEM\ControlSet003\Services\ckppn\Parameters@ServiceDll                         C:\WINDOWS\system32\jvncwhq.dll
Reg      HKLM\SYSTEM\ControlSet003\Services\zrhkjirv@DisplayName                                Windows Time
Reg      HKLM\SYSTEM\ControlSet003\Services\zrhkjirv@Type                                       32
Reg      HKLM\SYSTEM\ControlSet003\Services\zrhkjirv@Start                                      2
Reg      HKLM\SYSTEM\ControlSet003\Services\zrhkjirv@ErrorControl                               0
Reg      HKLM\SYSTEM\ControlSet003\Services\zrhkjirv@ImagePath                                  %SystemRoot%\system32\svchost.exe -k netsvcs
Reg      HKLM\SYSTEM\ControlSet003\Services\zrhkjirv@ObjectName                                 LocalSystem
Reg      HKLM\SYSTEM\ControlSet003\Services\zrhkjirv@Description                                Bietet gesch?tzten Speicherplatz f?r private Daten, wie z. B. private Schl?ssel, um Zugriff durch nicht autorisierte Dienste, Prozesse oder Benutzer zu unterbinden.
Reg      HKLM\SYSTEM\ControlSet003\Services\zrhkjirv\Parameters (not active ControlSet)         
Reg      HKLM\SYSTEM\ControlSet003\Services\zrhkjirv\Parameters@ServiceDll                      C:\WINDOWS\system32\jvncwhq.dll
Reg      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System                                  
Reg      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System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
Wasn das da mit ckppn und zrhkjirv?
__________________
Geändert von <-IceD@te-> (26.08.2011 um 09:53 Uhr) Grund: Ergänzung des Posts

Alt 26.08.2011, 10:53   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Agent2.CMPM - wie soll ich mich verhalten? - Standard

Agent2.CMPM - wie soll ich mich verhalten?


Zitat:
Zum Thema OpenWatCom: Du schreibst "sieht nach Fehleralarm aus". Ich wär' mir aber gern sicher, ob da was im Argen ist.
100% sicher sein geht nicht. Werte die betroffenen Dateien doch einfach mal bei Virustotal aus.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 26.08.2011, 14:54   #5
<-IceD@te->
 
Agent2.CMPM - wie soll ich mich verhalten? - Standard

Agent2.CMPM - wie soll ich mich verhalten?


So, nun verabschiede ich mich gleich ins Wochenende.

1. Erstmal noch eine Frage: Was gibt es nun zu meinem Gmer-Log zu sagen? Das wurde bisher ignoriert... Sind das normale Einträge, welche GMER gefunden hat?

2. Ich hab' mir, wie empfohlen, VirusTotal Uploader 2.0 von chip.de gezogen und installiert. Dann hab' ich damit C:\Programme\WATCOM\binnt\weditcw.dll hochgeladen und das Ergebnis sieht so aus:



In der Übersicht meint Virustotal, es wäre zu 16% ein Schadprogramm.
Irgendwie sind mir 16% noch zuviel Schädlingspotential. Ich werd' den Kram am Montag löschen. Gibts zum Gefahrenpotential jetzt neue Meinungen?

Danke für Alles bis hierher!

MfG
Icy

Miniaturansicht angehängter Grafiken
Agent2.CMPM - wie soll ich mich verhalten?-resultfor_weditcwdll_openwatcom_260811.jpg  

Alt 26.08.2011, 18:49   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Agent2.CMPM - wie soll ich mich verhalten? - Standard

Agent2.CMPM - wie soll ich mich verhalten?


Von wo hast du OpenWatCom denn her?
Bei dem Typ der Software wundert mich das schon, dass da manche Virenscanner Schädlinge sehen. Es gibt auch garantiert schädlingsfreie Software, die von verschiedenen Scanners angemeckert werden, aber das hat zB den Grun ein potentielles Sicherheitsrisiko aufzuzeigen. Oft wird zB die Fernwartungssoftware VNC angemeckert, im Kaspersky-Jargon als "not-a-virus" RemoteAdmin oder so ähnlich.
__________________
--> Agent2.CMPM - wie soll ich mich verhalten?

Antwort

Themen zu Agent2.CMPM - wie soll ich mich verhalten?
agent, arbeits-pc, avg, avg free, brauch, business, deinstalliere, deinstallieren, download, edition, entferne, entfernen, free, gmer, installier, log, log's, reich, small, systemscan, verhalten, vollständige


« Sparkasse Anforderung 20 Tan -Nummern | BankTrojaner, Laptop Windows überspielt dann otl + defogger? »


Ähnliche Themen: Agent2.CMPM - wie soll ich mich verhalten?


  1. Der Bundestrojaner hat mich erwischt was soll ich tun?
    Plagegeister aller Art und deren Bekämpfung - 04.09.2013 (7)
  2. Wie soll ich mich bei PUP Blabbers verhalten?
    Plagegeister aller Art und deren Bekämpfung - 04.09.2012 (1)
  3. Trojanische Pferd TR/Agent2.lkh
    Log-Analyse und Auswertung - 26.06.2011 (4)
  4. Trojaner Downloader.Agent2.AFEA
    Log-Analyse und Auswertung - 21.10.2010 (2)
  5. Trojaner: Downloader.Agent2.AFEA
    Plagegeister aller Art und deren Bekämpfung - 21.10.2010 (3)
  6. TR/Agent2.cwhg
    Plagegeister aller Art und deren Bekämpfung - 07.10.2010 (4)
  7. TR/Agent2.cwhg in windows/system32/pngxf1ax.dll
    Log-Analyse und Auswertung - 01.10.2010 (18)
  8. TR/Agent2.cwhd
    Plagegeister aller Art und deren Bekämpfung - 30.09.2010 (1)
  9. 'TR/Agent2.cqxj' auf 'C:\Windows\System32\saimr8y8.dll'
    Plagegeister aller Art und deren Bekämpfung - 13.06.2010 (23)
  10. Trojaner Agent2.het
    Log-Analyse und Auswertung - 04.04.2010 (5)
  11. Trojaner TR/Agent2.cpwp'
    Log-Analyse und Auswertung - 29.03.2010 (1)
  12. TR/Agent2.epc.2
    Plagegeister aller Art und deren Bekämpfung - 01.06.2009 (2)
  13. TR/Drop.Mudrop.CY, TR/Agent2.DI.12
    Log-Analyse und Auswertung - 02.05.2009 (0)
  14. TR/Agent2.fbl kennt jemand diesen trojaner?
    Plagegeister aller Art und deren Bekämpfung - 25.04.2009 (4)
  15. TR/Agent2.esw bei Antivir entdeckt
    Log-Analyse und Auswertung - 12.03.2009 (33)
  16. neuaufsetzen TR/Agent2.anr (tubeviewersetup.exe)
    Plagegeister aller Art und deren Bekämpfung - 22.02.2009 (0)
  17. TR/Agent2.ahj
    Plagegeister aller Art und deren Bekämpfung - 30.01.2009 (6)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Agent2.CMPM - wie soll ich mich verhalten? - Hallo. Ich habe gerade auf meinem Arbeits-PC einen vollständigen Systemscan von AVG Free Anti-Virus Small Business Edition 2011 machen lassen. Ergebnis ist unter h**p://www.bilder-space.de/bilder/d64b36-1314270673.jpg zu sehen. (Irgendwie schaffe ich es - Agent2.CMPM - wie soll ich mich verhalten?...
Archiv
Du betrachtest: Agent2.CMPM - wie soll ich mich verhalten? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129