Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: TR/Agent.CME und DR/Altnet gefunden - weiteres Vorgehen?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 29.07.2007, 13:34   #1
htx23
 
TR/Agent.CME und DR/Altnet gefunden - weiteres Vorgehen? - Unglücklich

TR/Agent.CME und DR/Altnet gefunden - weiteres Vorgehen?



Hallo,

mein System ist Win XP Home SP2

Gestern Abend habe ich mal einen Virenscan gemacht mit antivir. Dabei meldete Antivir den TR/Agent.CME in der Datei C:\Windows\System32\SpoonUninstall.exe sowie in einer alten Kazaa Installer Datei die ich seit Jahren in einem Zip File habe den Trojaner Namens DR/Altnet

Zitat:
C:\WINDOWS\system32\SpoonUninstall.exe
[DETECTION] Is the Trojan horse TR/Agent.CME
[INFO] The file was deleted!

D:\Download\old.zip
[0] Archive type: ZIP
--> old/tool/kl202e.exe
[DETECTION] Contains signature of the dropper DR/Altnet.O.2
[WARNING] The file was ignored!
Jetzt zu den beiden Schädlingen:

1) DR/Altnet
Die Kazaa Datei sehe ich unkritisch da das ein alter Installer ist den ich schon vor Jahren in ein zip file gepackt habe um Platz zu sparen? Die Datei lösche ich aus dem Zipfile? Ist das ok so?

2.) TR/Agent.CME

Nach dem ich gestern den SpoonUninstall.exe gelöscht hatte habe heute morgen nochmal mit Bitdefender ein Virenscan gemacht. Dabei sprang die Live Guard von Antivir an und meldete den selben TR/Agent.CME nochmal in C:\System Volume Information\_restore....\A0391979.exe. Auch hier sagte ich das Antivir diese Datei löschen sollte doch die Datei blieb seltsamerweise in den Systemwiederherstellungsordner von XP (hab die Datei erstmal in Quarantäne geschoben. Seltsam das Antivir gestern in System Volume Information nix fand?

Daraufhin habe ich die Systemwiederherstellung deaktiviert so das auch dort alles gelöscht wurde.

Die o.g. Datei A0391979.exe habe ich vorhin aus der Quarantäne gerestored (umbenannt in *.bak) und bei Virustotal online hochgeladen:
Zitat:
Antivir: TR/Agent.CME
Norman: Puper.HV
Webwasher-Gateway: Trojan.Agent.CME
Die beiden betroffenen Dateien werde ich sicherheitshalber schonmal bei antivir einschicken um Fehlalarme zu prüfen.

Frage:
Ich kann leider auf der avira Seite nix zu Trojan.Agent.CME finden. Bin jetzt total in Panik was das überhaupt ist? Was ist der TR/Agent.CME? Ist es eine sehr grosse Gefahr?

Reicht es wenn ich mit Antivir die Schädlinge einfach lösche, die Systemwiederherstellung lösche und jetzt nochmal mit mehreren Virenscanner, Spybot usw. im abgesicherten Modus scanne und wenn da jetzt nix mehr ist muss ich dann trotzdem meinen ganzen PC neuaufsetzen?

Ich hatte noch nie Trojaner und bin momentan ein bissl ratlos was ich jetzt noch machen soll um wieder ohne Sorge mein PC nutzen zu können? Vllt. kann mir hier jemand ein paar Tipps geben was man jetzt so noch machen kann.

Alt 29.07.2007, 13:51   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Agent.CME und DR/Altnet gefunden - weiteres Vorgehen? - Standard

TR/Agent.CME und DR/Altnet gefunden - weiteres Vorgehen?



Hallo,

Zitat:
C:\Windows\System32\SpoonUninstall.exe
schade, dass die Datei schon weg ist, besser wäre es gewesen, die nochmal bei Virustotal checken zu lassen und die Ergebnisse zu beurteilen.

Zitat:
sowie in einer alten Kazaa Installer Datei die ich seit Jahren in einem Zip File habe den Trojaner Namens DR/Altnet
Finger weg von Kazaa! Kazaa ist mit Spyware und weiß der Geier noch ausgestattet. Eben so ein Kandidat ist Bearshare.

Zitat:
Die Datei lösche ich aus dem Zipfile? Ist das ok so?
Lösch alles was mit Kazaa zu tun hat...

Zur weiteren Vorgehensweise:

1. Systemwiederherstellung deaktivieren
2. Hijackthis-Logfile posten

Dann sehen wir weiter!
__________________

__________________

Alt 29.07.2007, 13:59   #3
htx23
 
TR/Agent.CME und DR/Altnet gefunden - weiteres Vorgehen? - Standard

TR/Agent.CME und DR/Altnet gefunden - weiteres Vorgehen?



Zitat:
Zitat von cosinus Beitrag anzeigen
schade, dass die Datei schon weg ist, besser wäre es gewesen, die nochmal bei Virustotal checken zu lassen und die Ergebnisse zu beurteilen.
Naja die originale Datei "Spoouninstall.exe" hatte ich gelöscht. Allerdings kam mir die Datei heute morgen nochmal unter in der Systemwiederherstellung unter C:\System Volume Information als A054343.exe. Ich vermute mal es ist die selbe Datei die vorgestern vom System irgendwie dort gesichert wurde. Da melden 3 Scanner bei Virustotal:

Antivir: TR/Agent.CME
Norman: Puper.HV
Webwasher-Gateway: Trojan.Agent.CME

Zitat:
Zitat von cosinus Beitrag anzeigen
Lösch alles was mit Kazaa zu tun hat...
Ok, ich werds dann alles mal runterschmeissen. Habe aber Kazalite eigentlich schon seit Jahren drauf (benutze es ja nicht mehr). Komisch nur das antivir beim Installer von Kazaa meckert und nicht beim installierten Prog.

Aber ich schmeiss es dann mal gleich runter, brauch es eh net mehr.


Zitat:
Zitat von cosinus Beitrag anzeigen
Zur weiteren Vorgehensweise:

1. Systemwiederherstellung deaktivieren
2. Hijackthis-Logfile posten
1. Systemwiederherstellung ist deaktiviert worden!

2. HJT Log kommt gleich.
__________________

Alt 29.07.2007, 14:00   #4
inFiniTY
Gesperrt
 
TR/Agent.CME und DR/Altnet gefunden - weiteres Vorgehen? - Standard

TR/Agent.CME und DR/Altnet gefunden - weiteres Vorgehen?



Zitat:
Ich kann leider auf der avira Seite nix zu Trojan.Agent.CME finden.
Ja....Das ist leider, leider normal bei AntiVir
Ich hab eben auch mal Onkel Google gefragt aber der hat auch nix an Infos...
Am besten wäre es du holst dir ein andern Antivirus...eine ziemlich gute Kombination (und alles auch Free) ist AVG Free, AVG Anti Spyware, Spybot und Agnitum Outpost Firewall

Alt 29.07.2007, 14:06   #5
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Agent.CME und DR/Altnet gefunden - weiteres Vorgehen? - Standard

TR/Agent.CME und DR/Altnet gefunden - weiteres Vorgehen?



Da hätte ich aber noch eine Frage bzgl zu

Zitat:
1. Systemwiederherstellung ist deaktiviert worden!
Wann hast du die SWH deaktiviert? Auch auf allen Laufwerken? Wenn ja, dürften eigentlich nicht mehr Dateien wie

C:\System Volume Information\...\A054343.exe

vorhanden sein.

__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 29.07.2007, 14:07   #6
htx23
 
TR/Agent.CME und DR/Altnet gefunden - weiteres Vorgehen? - Standard

TR/Agent.CME und DR/Altnet gefunden - weiteres Vorgehen?



Zitat:
Zitat von cosinus Beitrag anzeigen
Wann hast du die SWH deaktiviert? Auch auf allen Laufwerken? Wenn ja, dürften eigentlich nicht mehr Dateien wie

C:\System Volume Information\...\A054343.exe

vorhanden sein.
Korrekt, die Ordner sind leer. Vorher hatte ich aber noch die dort gefunden A054343.exe in den Antivir Quarantäne geschoben (leider hab ich das nicht bei der Spoonuninstall gestern auch gemacht) und danach erstmal die SWH ausgestellt und neugestartet. Dann war dort drin alles weg.

Alt 29.07.2007, 14:11   #7
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Agent.CME und DR/Altnet gefunden - weiteres Vorgehen? - Standard

TR/Agent.CME und DR/Altnet gefunden - weiteres Vorgehen?



Ok, dann hat alles seine Richtigkeit. Und nun rück mal dein HJT-Logfile raus!
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 29.07.2007, 14:12   #8
htx23
 
TR/Agent.CME und DR/Altnet gefunden - weiteres Vorgehen? - Standard

TR/Agent.CME und DR/Altnet gefunden - weiteres Vorgehen?



Hier mal die Ausgaben von HJT von heute. Ich kann auch gerne nochmal ein HJT von gestern Abend posten falls das was bringen sollte?

=============================================
Logfile of HijackThis v1.99.1
Scan saved at 14:37:46, on 29.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\LTSMMSG.exe
D:\Programme\DU Meter\DUMeter.exe
C:\WINDOWS\system32\ezSP_Px.exe
D:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Softwin\BitDefender8\bdnagent.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
D:\Programme\mozilla.org\Firefox\firefox.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
c:\programme\softwin\bitdefender8\bdmcon.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
D:\TEMP\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h***://www.club-vaio.sony-europe.com/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat

7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - D:\Programme\GetRight_5_1\xx2gr.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: IECatcher Class - {B930BA63-9E5A-11D3-A288-0000E80E2EDE} - C:\Programme\Mass Downloader\MDHELPER.DLL (file

missing)
O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [DU Meter] D:\Programme\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\system32\ezSP_Px.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [PCSuiteTrayApplication] D:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [BDMCon] "C:\Programme\Softwin\BitDefender8\bdmcon.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "C:\Programme\Softwin\BitDefender8\bdnagent.exe"
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Download with GetRight - D:\Programme\GetRight_5_1\GRdownload.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Open with GetRight Browser - D:\Programme\GetRight_5_1\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: concept/design's onlineTV - {9D388831-2E54-4BC5-A848-B1B234363B66} -

C:\Programme\onlineTV\onlineTV.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=h***://www.club-vaio.sony-europe.com/
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O15 - Trusted Zone: h**://*.windowsupdate.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) -

h***://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -

h***://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1185563167187
O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{087B03E0-3A0F-47F4-B51F-7FF4E52AEAC3}: NameServer = 82.144.41.8 62.220.18.8
O17 - HKLM\System\CS1\Services\Tcpip\..\{087B03E0-3A0F-47F4-B51F-7FF4E52AEAC3}: NameServer = 82.144.41.8 62.220.18.8
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition

Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir

PersonalEdition Classic\avguard.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender

Scan Server\bdss.exe" /service (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: MySql - Unknown owner - C:/Programme/mysql/bin/mysqld-nt.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - D:\Programme\SiSoftware\SiSoftware

Sandra Lite XIb\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - D:\Programme\SiSoftware\SiSoftware

Sandra Lite XIb\RpcSandraSrv.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\GEMEIN~1\SONYSH~1\AVLib\Sptisrv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender

Communicator\xcommsvr.exe" /service (file missing)

Alt 29.07.2007, 14:14   #9
inFiniTY
Gesperrt
 
TR/Agent.CME und DR/Altnet gefunden - weiteres Vorgehen? - Standard

TR/Agent.CME und DR/Altnet gefunden - weiteres Vorgehen?



Zitat:
C:\WINDOWS\LTSMMSG.exe
C:\WINDOWS\system32\ezSP_Px.exe
was ist dass?

Alt 29.07.2007, 14:20   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Agent.CME und DR/Altnet gefunden - weiteres Vorgehen? - Standard

TR/Agent.CME und DR/Altnet gefunden - weiteres Vorgehen?



Zitat:
Zitat von inFiniTY Beitrag anzeigen
was ist dass?
Das sind legitime Prozesse!
Ltsmmsg.exe
ezSP_Px.exe
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 29.07.2007, 14:29   #11
inFiniTY
Gesperrt
 
TR/Agent.CME und DR/Altnet gefunden - weiteres Vorgehen? - Standard

TR/Agent.CME und DR/Altnet gefunden - weiteres Vorgehen?



Ok danke cosinus

Alt 29.07.2007, 14:29   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Agent.CME und DR/Altnet gefunden - weiteres Vorgehen? - Standard

TR/Agent.CME und DR/Altnet gefunden - weiteres Vorgehen?



Zum Logfile:

Zitat:
C:\Programme\Sygate\SPF\smc.exe
Von Sygate solltest du dich langsam aber sicher verabschieden, da die PFWs nicht mehr supportet werden.

Zitat:
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
Entscheide dich für einen Virenscanner mit Wächter im Hintergrund, zwei oder mehrere Hintergrundwächter bremsen unnötig das System aus, können sich gegenseitig die Quere kommen und somit den Virenschutz aushebeln.

Ansonsten seh ich keine bösen Einträge im HJT-Log. Hast du schon was gefixt? Dann reich bitte das gestrige Logfile noch nach.
Imho wäre es auch mal recht sinnvoll, wenn du das System mit eScan mal checkst, folge dem Link in meiner Signatur. Hintergrundwächter vorher bitte ausschalten.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 29.07.2007, 15:06   #13
htx23
 
TR/Agent.CME und DR/Altnet gefunden - weiteres Vorgehen? - Standard

TR/Agent.CME und DR/Altnet gefunden - weiteres Vorgehen?



Zitat:
Zitat von cosinus Beitrag anzeigen
Von Sygate solltest du dich langsam aber sicher verabschieden, da die PFWs nicht mehr supportet werden.
Ok, was würdest da als PFWs momentan empfehlen? Sollte ich auch noch die Windows Firewall aktivieren als doppelten Schutz (mit link-block hab ich übrigens eh schon fast alle unnötigen Dienste und Ports abgestellt). Die PFW ist mehr für mich informativ damit ich sehe wer so nach Hause telefonieren will.


Zitat:
Zitat von cosinus Beitrag anzeigen
Entscheide dich für einen Virenscanner mit Wächter im Hintergrund, zwei oder mehrere Hintergrundwächter bremsen unnötig das System aus, können sich gegenseitig die Quere kommen und somit den Virenschutz aushebeln.
Ok mache ich. Deaktivere ich den Wächter von Bitdefender.

Zitat:
Zitat von cosinus Beitrag anzeigen
Ansonsten seh ich keine bösen Einträge im HJT-Log.
Oh, das klingt ja schonmal erfreulich. Scheinbar läuft also auf meinen PC noch keine Schadsoftware. Ich hoffe das ich jetzt irgendwie um ein Frischaufsetzen rumkomme wenn die Scanner und Spyware Prüftools nicht mehr anschlagen.

Zitat:
Zitat von cosinus Beitrag anzeigen
Hast du schon was gefixt? Dann reich bitte das gestrige Logfile noch nach.
Imho wäre es auch mal recht sinnvoll, wenn du das System mit eScan mal checkst, folge dem Link in meiner Signatur. Hintergrundwächter vorher bitte ausschalten.
Ja ich hab halt die gefunden Dateien, gelöscht, SWH rausgenommen und Kazaa rausgeworfen. e-Scan mache ich.

Kann es sein das ich mir die TR/Agent.CME beim surfen mit Firefox eingefangen habe? Am Freitag ist mir nämlich beim surfen ein FF Fenster irgendwie komisch abgeraucht. Und dann hatte abends (als ich Win RAR benutzt habe) ich in der Sygate Firewall ne komische Meldung von wegen Applikation Hijacking WinRAR das wollte angeblich auf "update.bitdefender.com" und "edge.quantserver.com" zugreifen.

Da bin ich erst mistrauisch geworden und habe mal alles gescannt. Wobei mir ddas mit dem WinRAR und der Sygate Meldung komisch vorkamm.

Das gestrige HJT Log kann ich nochmal posten.

Alt 29.07.2007, 15:11   #14
htx23
 
TR/Agent.CME und DR/Altnet gefunden - weiteres Vorgehen? - Standard

TR/Agent.CME und DR/Altnet gefunden - weiteres Vorgehen?



HJT von gestern (heute Nacht )
==============================================
Logfile of HijackThis v1.99.1
Scan saved at 01:44:39, on 29.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\WINDOWS\LTSMMSG.exe
D:\Programme\DU Meter\DUMeter.exe
C:\WINDOWS\system32\ezSP_Px.exe
D:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Softwin\BitDefender8\bdmcon.exe
C:\Programme\Softwin\BitDefender8\bdnagent.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\WINDOWS\System32\svchost.exe
D:\Programme\mozilla.org\Firefox\firefox.exe
D:\TEMP\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h***://www.club-vaio.sony-europe.com/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - D:\Programme\GetRight_5_1\xx2gr.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: IECatcher Class - {B930BA63-9E5A-11D3-A288-0000E80E2EDE} - C:\Programme\Mass Downloader\MDHELPER.DLL (file missing)
O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [DU Meter] D:\Programme\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\system32\ezSP_Px.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [PCSuiteTrayApplication] D:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [BDMCon] "C:\Programme\Softwin\BitDefender8\bdmcon.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "C:\Programme\Softwin\BitDefender8\bdnagent.exe"
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Download with GetRight - D:\Programme\GetRight_5_1\GRdownload.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Open with GetRight Browser - D:\Programme\GetRight_5_1\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: concept/design's onlineTV - {9D388831-2E54-4BC5-A848-B1B234363B66} - C:\Programme\onlineTV\onlineTV.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=h***://www.club-vaio.sony-europe.com/
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O15 - Trusted Zone: h***://*.windowsupdate.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h***://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h***://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1185563167187
O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{087B03E0-3A0F-47F4-B51F-7FF4E52AEAC3}: NameServer = 82.144.41.8 62.220.18.8
O17 - HKLM\System\CS1\Services\Tcpip\..\{087B03E0-3A0F-47F4-B51F-7FF4E52AEAC3}: NameServer = 82.144.41.8 62.220.18.8
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: MySql - Unknown owner - C:/Programme/mysql/bin/mysqld-nt.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - D:\Programme\SiSoftware\SiSoftware Sandra Lite XIb\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - D:\Programme\SiSoftware\SiSoftware Sandra Lite XIb\RpcSandraSrv.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\GEMEIN~1\SONYSH~1\AVLib\Sptisrv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

Alt 29.07.2007, 15:21   #15
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Agent.CME und DR/Altnet gefunden - weiteres Vorgehen? - Standard

TR/Agent.CME und DR/Altnet gefunden - weiteres Vorgehen?



Zitat:
Ok, was würdest da als PFWs momentan empfehlen?
Ich kann dir keine empfehlen, da ich von derartiger Software nichts halte.

Zitat:
Sollte ich auch noch die Windows Firewall aktivieren als doppelten Schutz
Was heißt hier doppelter Schutz, viel hilft viel? Das ist doch Murks, genauso wie das gleichzeitige Verwenden von zwei Virenscanner mit Hintergrundwächtern...
Weniger ist da mehr! Die Sicherheit wird nämlich nicht von der Summe der Sicherheitstools erhöht, diese sind eher optional, andere Maßnahmen sind da viel wichtiger.
Wenn du mich fragst, die Windows-Firewall reicht völlig aus, eine andere PFW bedarf es da nicht.

Zitat:
Die PFW ist mehr für mich informativ damit ich sehe wer so nach Hause telefonieren will.
Das mag ja sein, aber es gibt genug Programme und auch Schädlinge die an der PFW vorbei kommunizieren oder Daten Huckepack über einen legitimen Prozess versenden. Wenn dir das Thema Phonehome wichtig ist, dann ist eine PFW alleine einfach nicht ausreichend, du musst dich umfassend informieren, welche Software wohin will. Wie gesagt, wenn es dir so wichtig ist...
BTW: Die PFW ZoneAlarm telefonierte selber mal nach Hause (keien Ahnung ob sies immer noch macht). Allein dann ist es doch schon fragwürdig mit einer PFW Phonehome kontrollieren zu wollen, wenn man nicht mal weiß, ob die PFW es selber macht.
Da gibts noch mehr was gegen eine PFW spricht, aber ich lass es mal gut sein jetzt

Zitat:
Kann es sein das ich mir die TR/Agent.CME beim surfen mit Firefox eingefangen habe?
Möglich isses, aber ob FF die Schuld hat glaub ich weniger. Wenn du auf eine Seite surfst und dir Dateien runterlädst und ausführst kannst du dem Firefox nicht verantwortlich machen, denn der führt sowas von alleine nicht aus das musst du schon selber machen.
Hast du den denn immer aktuell?

Warten wir auf eScan ab, dann können wir wohl mehr sagen.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Antwort

Themen zu TR/Agent.CME und DR/Altnet gefunden - weiteres Vorgehen?
abgesicherten modus, alles gelöscht, avira, bitdefender, confused, dateien, defender, download, dropper, file, frage, g lösche, gelöscht, home, install.exe, löschen, mehrere, pc neuaufsetzen, quara, ratlos, scan, schädlinge, seite, sicherheitshalber, system, system volume information, system32, tan, trojan horse, trojaner, virus, virustotal, warning, windows



Ähnliche Themen: TR/Agent.CME und DR/Altnet gefunden - weiteres Vorgehen?


  1. Weißer Bildschirm Win7, FRST.txt erstellt, weiteres Vorgehen
    Log-Analyse und Auswertung - 12.08.2013 (15)
  2. Win7: Schadsoftware mit Avira gefunden - Spy.ZBot und weiteres
    Log-Analyse und Auswertung - 12.08.2013 (11)
  3. "Trojan.Downloader.Agent" von Avast und Malwarebytsgefunden - Infizierung? Weiteres Vorgehen?
    Plagegeister aller Art und deren Bekämpfung - 31.07.2013 (13)
  4. Auf Paypal Phishing-Mail reingefallen - weiteres Vorgehen?
    Plagegeister aller Art und deren Bekämpfung - 29.07.2013 (23)
  5. Bundestrojaner weiteres vorgehen
    Log-Analyse und Auswertung - 25.05.2013 (6)
  6. GVU-Trojaner: PC wieder entsperrt, weiteres Vorgehen?
    Log-Analyse und Auswertung - 20.04.2013 (13)
  7. "js/expack.th" gefunden und in quarantäne / dateiendung unbekannt? / weiteres Vorgehen?
    Log-Analyse und Auswertung - 19.10.2012 (5)
  8. Zone Alarm Antivirus findet Trojaner (mor.exe) - weiteres Vorgehen
    Log-Analyse und Auswertung - 05.08.2012 (10)
  9. Verschlüsselungstrojaner - OTLPE Scan erfolgreich und OTL-Datei, weiteres Vorgehen?
    Log-Analyse und Auswertung - 08.06.2012 (5)
  10. OTLPE Logfile erstellt - Bundespolizei Trojaner - Weiteres Vorgehen?
    Log-Analyse und Auswertung - 13.09.2011 (5)
  11. trojan.agent/Gen-Cryptor[Virut] gefunden - wie weiter vorgehen?
    Plagegeister aller Art und deren Bekämpfung - 23.11.2010 (4)
  12. Antimalware Doctor - weiteres Vorgehen
    Plagegeister aller Art und deren Bekämpfung - 15.08.2010 (8)
  13. Trojan-PWS.OnLinegames.GEN gefunden und noch ein weiteres Problem!
    Log-Analyse und Auswertung - 01.08.2010 (19)
  14. Trojanisches Pferd TR/Dropper.Gen - Infektion, weiteres Vorgehen?
    Plagegeister aller Art und deren Bekämpfung - 13.01.2010 (1)
  15. SpywareDetected-Hijack Ergebniss-weiteres Vorgehen?
    Plagegeister aller Art und deren Bekämpfung - 25.07.2008 (4)
  16. Alexa und AltNet Spyware gefunden, Hilfe bitte!
    Plagegeister aller Art und deren Bekämpfung - 04.07.2005 (1)
  17. Weiteres Vorgehen nach escan
    Log-Analyse und Auswertung - 21.02.2005 (2)

Zum Thema TR/Agent.CME und DR/Altnet gefunden - weiteres Vorgehen? - Hallo, mein System ist Win XP Home SP2 Gestern Abend habe ich mal einen Virenscan gemacht mit antivir. Dabei meldete Antivir den TR/Agent.CME in der Datei C:\Windows\System32\SpoonUninstall.exe sowie in einer - TR/Agent.CME und DR/Altnet gefunden - weiteres Vorgehen?...
Archiv
Du betrachtest: TR/Agent.CME und DR/Altnet gefunden - weiteres Vorgehen? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.