Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: TR/Agent2.esw bei Antivir entdeckt

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 07.03.2009, 20:24   #1
acer12345
 
TR/Agent2.esw bei Antivir entdeckt - Standard

TR/Agent2.esw bei Antivir entdeckt



Seit einigen Tagen kann ich einige Internetseiten nicht mehr aufrufen. Bis jetzt ist mir dies bei Google und Myspace aufgefallen.
Ich benutze hauptsächlich Internet Explorer. Ich versuchte die Seiten auch über Firefox aufzurufen, aber es klappt nicht.
Folgende Fehlermeldung erscheint dann:
"Webseite kann nicht angezeigt werden.
Wahrscheinlichste Ursachen: Sie haben keine Verbindung mit dem Internat hergestellt. ....
Mögliche Vorgehensweise: ...."


Kurz bevor dieses Problem auftrat, zeigte mir Antivir den Fund eines trojanischen Pferde auf: TR/Agent2.esw

Ich habe alle bisherigen Schritte zur Vorbereitung ausgeführt und poste die jetzt hier. Ich bin mir nicht sicher, was ihr braucht, deswegen poste ich alles .
Falls ihr mir helfen könnt/wollt.... würde ich euch bitten mir alles für Laien zu erklären. Bin in diesem Punkt mit dem Computer nicht so fit, aber ich werde mich bemühen.
Danke schonmal im Voraus!!!

So zum ersten die Ergebnisse von Malwarebytes:
Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1825
Windows 5.1.2600 Service Pack 3

07.03.2009 20:57:00
mbam-log-2009-03-07 (20-57-00).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 182296
Laufzeit: 50 minute(s), 33 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\cmdow.exe (Malware.Tool) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{3DEA2D57-7765-4B6A-BDDE-F50A7E3CAB58}\RP93\A0047495.exe (Malware.Tool) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{3DEA2D57-7765-4B6A-BDDE-F50A7E3CAB58}\RP94\A0048163.exe (Malware.Tool) -> Quarantined and deleted successfully.


Als zweites dann HijackThis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:00:49, on 07.03.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\LAUNCH~1\LManager.exe
C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe
C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Juniper Networks\Common Files\dsNcService.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Installation\Lokale Einstellungen\Temporary Internet Files\Content.IE5\RFKXXKXW\HiJackThis[1].exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [Acer ePresentation HPD] C:\Acer\Empowering Technology\ePresentation\ePresentation.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
O4 - HKLM\..\Run: [Boot] C:\Acer\Empowering Technology\ePower\Boot.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Acer Empowering Technology.lnk = C:\Acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) – h**p://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1215956504
O16 - DPF: {E5F5D008-DD2C-4D32-977D-1A0ADF03058B} (JuniperSetupSP1 Control) – h**ps://ssl.cms.hu-berlin.de/dana-cached/setup/JuniperSetupSP1.cab
O23 - Service: Memory Check Service (AcerMemUsageCheckService) - Acer Inc. - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Juniper Network Connect Service (dsNcService) - Juniper Networks - C:\Programme\Juniper Networks\Common Files\dsNcService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 7948 bytes

Alt 07.03.2009, 20:48   #2
john.doe
 
TR/Agent2.esw bei Antivir entdeckt - Standard

TR/Agent2.esw bei Antivir entdeckt



Hallo und

Da fehlt noch die Liste deiner installierten Programme, die Anleitung findest du hier:
http://www.trojaner-board.de/69886-a...-beachten.html

GMER - Rootkit Detection
  • Lade Tralala von File-Upload.net - Tralala.exe
  • Klick auf Download (rechts in der Mitte) und speichere es auf den Desktop
  • Doppelklick auf Tralala.exe
  • Der Reiter Rootkit oben ist schon angewählt
  • Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
  • nach Beendigung des Scan, drücke "Copy"
  • nun kannst Du das Ergebnis hier einfügen. Sollte das Log zu lang sein, dann lade es bei einem Filehoster wie z.B. Materialordner hoch und poste den Link.
  • Sollte GMER sagen "Gmer hasen´t found any System Modifikation", so hat GMER keine Einträge gefunden.

ciao, andreas
__________________


Alt 07.03.2009, 21:15   #3
acer12345
 
TR/Agent2.esw bei Antivir entdeckt - Standard

TR/Agent2.esw bei Antivir entdeckt



Naja... dann hab ich doch was vergessen

Hier die Programme:
Acer Empowering Technology
Acer ePerformance Management
Acer ePower Management
Acer ePresentation Management
Acer eSettings Management
Acer GridVista
Acer Screensaver
Adobe Acrobat and Reader 8.1.2 Security Update 1 (KB403742)
Adobe Flash Player 10 Plugin
Adobe Flash Player ActiveX
Adobe Reader 8.1.2 - Deutsch
Adobe Shockwave Player
ATI - Dienstprogramm zur Deinstallation der Software
ATI Catalyst Control Center
ATI Display Driver
ATI Parental Control & Encoder
ATI Parental Control & Encoder
Avira AntiVir Personal - Free Antivirus
Caesar 3
CCleaner (remove only)
Die Völker
DivX Content Uploader
DivX Web Player
Dungeon Keeper 2
GemMaster Mystic
Google Toolbar for Internet Explorer
Google Toolbar for Internet Explorer
High Definition Audio Driver Package - KB888111
HijackThis 2.0.2
Hotfix for Windows Media Format 11 SDK (KB929399)
Hotfix for Windows Media Player 10 (KB903157)
Hotfix für Windows Internet Explorer 7 (KB947864)
Hotfix für Windows Media Player 11 (KB939683)
Hotfix für Windows XP (KB952287)
HP Document Viewer 5.3
HP Extended Capabilities 5.3
HP Image Zone 5.3
HP Image Zone Express
HP Imaging Device Functions 5.3
HP PSC & OfficeJet 5.3.B
HP Software Update
HP Solution Center & Imaging Support Tools 5.3
ICQ6
IrfanView (remove only)
Juniper Networks Network Connect 6.0.0
Launch Manager
Learn2 Player (Uninstall Only)
Malwarebytes' Anti-Malware
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 German Language Pack
Microsoft .NET Framework 1.1 Hotfix (KB928366)
Microsoft .NET Framework 2.0 Service Pack 1
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft Internationalized Domain Names Mitigation APIs
Microsoft National Language Support Downlevel APIs
Microsoft Office Professional Edition 2003
Microsoft User-Mode Driver Framework Feature Pack 1.0
Mozilla Firefox (3.0.5)
MSXML 4.0 SP2 (KB936181)
MSXML 4.0 SP2 (KB954430)
Nero 7 Premium
Otto
QuickTime
Realtek High Definition Audio Driver
Sicherheitsupdate für Windows Internet Explorer 7 (KB938127)
Sicherheitsupdate für Windows Internet Explorer 7 (KB939653)
Sicherheitsupdate für Windows Internet Explorer 7 (KB942615)
Sicherheitsupdate für Windows Internet Explorer 7 (KB944533)
Sicherheitsupdate für Windows Internet Explorer 7 (KB950759)
Sicherheitsupdate für Windows Internet Explorer 7 (KB953838)
Sicherheitsupdate für Windows Internet Explorer 7 (KB956390)
Sicherheitsupdate für Windows Internet Explorer 7 (KB958215)
Sicherheitsupdate für Windows Internet Explorer 7 (KB960714)
Sicherheitsupdate für Windows Internet Explorer 7 (KB961260)
Sicherheitsupdate für Windows Media Player (KB952069)
Sicherheitsupdate für Windows Media Player 10 (KB936782)
Sicherheitsupdate für Windows Media Player 11 (KB936782)
Sicherheitsupdate für Windows Media Player 11 (KB954154)
Sicherheitsupdate für Windows XP (KB938464)
Sicherheitsupdate für Windows XP (KB941569)
Sicherheitsupdate für Windows XP (KB946648)
Sicherheitsupdate für Windows XP (KB950760)
Sicherheitsupdate für Windows XP (KB950762)
Sicherheitsupdate für Windows XP (KB950974)
Sicherheitsupdate für Windows XP (KB951066)
Sicherheitsupdate für Windows XP (KB951376)
Sicherheitsupdate für Windows XP (KB951376-v2)
Sicherheitsupdate für Windows XP (KB951698)
Sicherheitsupdate für Windows XP (KB951748)
Sicherheitsupdate für Windows XP (KB952954)
Sicherheitsupdate für Windows XP (KB953839)
Sicherheitsupdate für Windows XP (KB954211)
Sicherheitsupdate für Windows XP (KB954459)
Sicherheitsupdate für Windows XP (KB954600)
Sicherheitsupdate für Windows XP (KB955069)
Sicherheitsupdate für Windows XP (KB956391)
Sicherheitsupdate für Windows XP (KB956802)
Sicherheitsupdate für Windows XP (KB956803)
Sicherheitsupdate für Windows XP (KB956841)
Sicherheitsupdate für Windows XP (KB957095)
Sicherheitsupdate für Windows XP (KB957097)
Sicherheitsupdate für Windows XP (KB958644)
Sicherheitsupdate für Windows XP (KB958687)
Sicherheitsupdate für Windows XP (KB960715)
Sierra-Dienstprogramme
SMSC IrCC V5.1.3600.7
Soft Data Fax Modem with SmartCP
Sonic Encoders
Sony Ericsson Device Data
Sony Ericsson Drivers
Sony Ericsson PC Suite
Sony Ericsson PC Suite
Synaptics Pointing Device Driver
Update für Windows Media Player 10 (KB913800)
Update für Windows Media Player 10 (KB926251)
Update für Windows XP (KB951072-v2)
Update für Windows XP (KB951978)
Update für Windows XP (KB955839)
Update für Windows XP (KB967715)
Update Rollup 2 für Windows XP Media Center Edition 2005
Viewpoint Media Player
Windows Media Format 11 runtime
Windows Media Format 11 runtime
Windows Media Player 11
Windows Media Player 11
Windows XP Media Center Edition 2005 KB925766
Windows XP Service Pack 3
Windows-Treiberpaket - Advanced Micro Devices (AmdK8) Processor (04/28/2006 1.3.1.0)

Und hier das Ergebnis von Gmer:
http://www.materialordner.de/V0s1jgYrchx7TBU6Y3U4pwcTBLyAPMj.html
__________________

Alt 07.03.2009, 21:24   #4
john.doe
 
TR/Agent2.esw bei Antivir entdeckt - Standard

TR/Agent2.esw bei Antivir entdeckt



ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas

Alt 07.03.2009, 21:47   #5
acer12345
 
TR/Agent2.esw bei Antivir entdeckt - Standard

TR/Agent2.esw bei Antivir entdeckt



So ich hab es geschafft. Entweder wird der Laptop immer langsamer oder keine Ahnung

So hier die Ergebnisse:
ComboFix 09-03-06.02 - Installation 2009-03-07 22:38:33.1 - FAT32x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.894.467 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Installation\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

D:\Autorun.inf

.
((((((((((((((((((((((( Dateien erstellt von 2009-02-07 bis 2009-03-07 ))))))))))))))))))))))))))))))
.

2009-03-07 21:52 . 2009-03-07 21:52 <DIR> d-------- c:\programme\Trend Micro
2009-03-07 20:04 . 2009-03-07 20:04 <DIR> d-------- c:\dokumente und einstellungen\Installation\Anwendungsdaten\Malwarebytes
2009-03-07 20:03 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-03-07 20:03 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-03-07 19:49 . 2009-03-07 19:49 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-03-07 19:49 . 2009-03-07 19:49 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-03-07 19:33 . 2009-03-07 19:33 <DIR> d-------- c:\programme\CCleaner
2009-03-05 23:59 . 2008-04-14 04:23 26,624 --a------ c:\windows\system32\userinit.exe
2009-03-05 23:59 . 2008-04-14 04:23 26,624 --a------ c:\windows\system32\dllcache\userinit.exe
2009-02-07 11:42 . 2009-02-26 09:59 54,156 --ah----- c:\windows\QTFont.qfn
2009-02-07 11:42 . 2009-02-07 11:42 1,409 --a------ c:\windows\QTFont.for

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-05 19:10 --------- d-----w c:\programme\Microsoft.NET
2009-01-29 11:44 --------- d-----w c:\programme\tools
2009-01-16 20:01 3,594,752 ------w c:\windows\system32\dllcache\mshtml.dll
2008-12-20 22:30 63,488 ------w c:\windows\system32\dllcache\icardie.dll
2008-12-20 22:30 6,066,688 ------w c:\windows\system32\dllcache\ieframe.dll
2008-12-20 22:30 44,544 ------w c:\windows\system32\dllcache\iernonce.dll
2008-12-20 22:30 384,512 ------w c:\windows\system32\dllcache\iedkcs32.dll
2008-12-20 22:30 383,488 ------w c:\windows\system32\dllcache\ieapfltr.dll
2008-12-20 22:30 347,136 ----a-w c:\windows\system32\dllcache\dxtmsft.dll
2008-12-20 22:30 267,776 ------w c:\windows\system32\dllcache\iertutil.dll
2008-12-20 22:30 230,400 ------w c:\windows\system32\dllcache\ieaksie.dll
2008-12-20 22:30 214,528 ------w c:\windows\system32\dllcache\dxtrans.dll
2008-12-20 22:30 153,088 ------w c:\windows\system32\dllcache\ieakeng.dll
2008-12-20 22:30 133,120 ------w c:\windows\system32\dllcache\extmgr.dll
2008-12-20 22:30 124,928 ------w c:\windows\system32\dllcache\advpack.dll
2008-12-19 09:10 13,824 ------w c:\windows\system32\dllcache\ieudinit.exe
2008-12-19 09:09 70,656 ------w c:\windows\system32\dllcache\ie4uinit.exe
2008-12-19 05:25 634,024 ------w c:\windows\system32\dllcache\iexplore.exe
2008-12-19 05:23 161,792 ------w c:\windows\system32\dllcache\ieakui.dll
2008-12-11 10:57 333,952 ------w c:\windows\system32\dllcache\srv.sys
2008-12-01 10:08 32,768 --sha-w c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008120120081202\index.dat
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"swg"="c:\programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe" [2007-11-08 171448]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="c:\windows\ehome\ehtray.exe" [2005-08-05 64512]
"AzMixerSel"="c:\programme\Realtek\InstallShield\AzMixerSel.exe" [2006-04-14 53248]
"Acer ePresentation HPD"="c:\acer\Empowering Technology\ePresentation\ePresentation.exe" [2006-03-31 204800]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-10 208952]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-10 59392]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-10 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-10 455168]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2006-06-22 98304]
"ePower_DMC"="c:\acer\Empowering Technology\ePower\ePower_DMC.exe" [2006-05-30 421888]
"Boot"="c:\acer\Empowering Technology\ePower\Boot.exe" [2006-03-15 579584]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2006-03-03 761946]
"LManager"="c:\progra~1\LAUNCH~1\LManager.exe" [2006-06-22 602112]
"ATICCC"="c:\programme\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-05-10 90112]
"eRecoveryService"="c:\acer\Empowering Technology\eRecovery\eRAgent.exe" [2006-06-01 413696]
"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-17 266497]
"Sony Ericsson PC Suite"="c:\programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2007-06-13 528384]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"HP Software Update"="c:\programme\HP\HP Software Update\HPWuSchd2.exe" [2005-05-11 49152]
"RTHDCPL"="RTHDCPL.EXE" [2006-06-27 c:\windows\RTHDCPL.exe]
"SkyTel"="SkyTel.EXE" [2006-05-15 c:\windows\SkyTel.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Acer Empowering Technology.lnk - c:\acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe [2006-03-27 45056]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"d:\\Programme\\ICQ\\ICQ6\\ICQ.exe"=
"c:\\Programme\\HP\\Digital Imaging\\BIN\\hpqste08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\BIN\\hpofxm08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\BIN\\hposfx08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\BIN\\hposid01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\BIN\\hpqscnvw.exe"=
"c:\\Programme\\HP\\Digital Imaging\\BIN\\hpqkygrp.exe"=
"c:\\Programme\\HP\\Digital Imaging\\BIN\\hpqCopy.exe"=
"c:\\Programme\\HP\\Digital Imaging\\BIN\\hpfccopy.exe"=
"c:\\Programme\\HP\\Digital Imaging\\BIN\\hpzwiz01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"c:\\Programme\\HP\\Digital Imaging\\BIN\\hpoews01.exe"=

S2 eLock2BurnerLockDriver;eLock2BurnerLockDriver;\??\c:\windows\system32\eLock2BurnerLockDriver.sys --> c:\windows\system32\eLock2BurnerLockDriver.sys [?]
S2 eLock2FSCTLDriver;eLock2FSCTLDriver;\??\c:\windows\system32\eLock2FSCTLDriver.sys --> c:\windows\system32\eLock2FSCTLDriver.sys [?]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{06f79b4f-8a0a-11dc-9d9c-806d6172696f}]
\Shell\AutoRun\command - D:\setupSNK.exe
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-LaunchApp - (no file)


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} - hxxp://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1215956504
FF - ProfilePath -
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-07 22:40:32
Windows 5.1.2600 Service Pack 3 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(668)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2009-03-07 22:42:22
ComboFix-quarantined-files.txt 2009-03-07 21:42:20

Vor Suchlauf: 20 Verzeichnis(se), 34.239.578.112 Bytes frei
Nach Suchlauf: 20 Verzeichnis(se), 34,651,734,016 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Windows XP Media Center Edition" /noexecute=optin /fastdetect /usepmtimer

140 --- E O F --- 2009-02-25 11:20:47

Ich hoffe es bringt dich weiter...
Danke Sarah


Alt 07.03.2009, 22:16   #6
john.doe
 
TR/Agent2.esw bei Antivir entdeckt - Standard

TR/Agent2.esw bei Antivir entdeckt



Hallo Sarah,

mit Mädchen arbeite ich lieber, die tun wenigstens, was man ihnen sagt.

Also bei der Softwareliste und den Autostarteinträgen wundert mich, dass der Rechner überhaupt noch läuft. Hat sich mittlerweile eine Besserung eingestellt?

ciao, andreas

Alt 07.03.2009, 22:22   #7
acer12345
 
TR/Agent2.esw bei Antivir entdeckt - Standard

TR/Agent2.esw bei Antivir entdeckt



Naja eigentlich lief er immer ganz gut, nur seit den letzten Tagen und vor allem die letzten Stunden ist er irgendwie viel langsamer geworden und das kann nicht an der Signalstärke liegen. Sitz nämlich direkt neben dem router und arbeite schon an 2 Rechnern.

So zurück zum Thema...
Ich hab grade mal google.de und myspce.com eingegeben und wurde dann zu einer google-ergebnis-seite weiter geleitet. Also ist es schon mal mehr als davor. Aber sobald ich das Ergebnis myspace anklicken will, kommt wieder die Seite "Webseite nicht gefunden"...

Alt 07.03.2009, 22:27   #8
john.doe
 
TR/Agent2.esw bei Antivir entdeckt - Standard

TR/Agent2.esw bei Antivir entdeckt



Was ist das denn für ein Router (Hersteller und Typ)? Bist du mit Kabel verbunden oder nutzt du WLAN?

ciao, andreas

Alt 07.03.2009, 22:31   #9
acer12345
 
TR/Agent2.esw bei Antivir entdeckt - Standard

TR/Agent2.esw bei Antivir entdeckt



Ich nutze Wlan.
Zuerst ne FritzBox und dann nen Wlan-Router drangestöpselt.
Ähm... technische Daten:
Netgear 108 MBit/s - Wireless-Router WGT624

Alt 07.03.2009, 22:38   #10
john.doe
 
TR/Agent2.esw bei Antivir entdeckt - Standard

TR/Agent2.esw bei Antivir entdeckt



Hast du ein Kabel zur Verfügung? Dann verbinde dich testweise über Kabel mit dem Router.

Ist der andere Rechner über Kabel mit dem Router verbunden? Lassen sich von dem anderen Rechner die entsprechenden Seiten öffnen?

ciao, andreas

Alt 07.03.2009, 22:40   #11
acer12345
 
TR/Agent2.esw bei Antivir entdeckt - Standard

TR/Agent2.esw bei Antivir entdeckt



Also der Rechner, an dem ich grade sitze, ist übers Kabel verbunden, alles klappt ohne Probleme. Dann hätten wir noch nen 3. Rechner, der auch über Wlan läuft und da werden die Seiten ebenfalls problemlos geladen.
So ich werde mich mal versuchsweise mit dem Kabel verbinden und dann das Ergebnis schreiben. Dauert ja nicht lange...

Alt 07.03.2009, 22:46   #12
acer12345
 
TR/Agent2.esw bei Antivir entdeckt - Standard

TR/Agent2.esw bei Antivir entdeckt



Öhmm... an sowas hätte ich ja auch mal eher denken können... das funktioniert nämlich...

Alt 07.03.2009, 23:12   #13
acer12345
 
TR/Agent2.esw bei Antivir entdeckt - Standard

TR/Agent2.esw bei Antivir entdeckt



Und wie kann ich jetzt wieder über Wlan die Seiten aufrufen?

Bzw. noch ne andere Frage. Du hast vorhin gesagt: Es wundert dich, dass der Laptop aufgrund der Softwareliste und der Autostarteinträge überhaupt noch läuft.. Wo siehst du hier irgendwo Autostarteinträge bzw. habe ich nur ein einziges Programm im Autostart???

Alt 07.03.2009, 23:46   #14
john.doe
 
TR/Agent2.esw bei Antivir entdeckt - Standard

TR/Agent2.esw bei Antivir entdeckt



WLAN ist eine feine Sache, wenn sie funktioniert. Wenn nicht ist die Fehlersuche sehr zeitraubend, es gibt zuviele Fehlermöglichkeiten. Versuchen wir das Laptop noch ein wenig aufzuräumen.

1.) Deinstalliere folgende Programme:
  • Acer Screensaver (sinnfrei)
  • Adobe Acrobat and Reader 8.1.2 Security Update 1 (KB403742) (veraltet)
  • Adobe Reader 8.1.2 - Deutsch (veraltet)
  • Google Toolbar for Internet Explorer (Datenkrake)
  • Google Toolbar for Internet Explorer (gleich zweimal installiert )
  • Hotfix for Windows Media Player 10 (KB903157) (der taugt eh nicht, erst recht nicht, wenn der 11er auch installiert ist)
  • ICQ6 (veraltet)
  • Sicherheitsupdate für Windows Media Player 10 (KB936782) (s.o.)
  • Update für Windows Media Player 10 (KB913800) (s.o.)
  • Update für Windows Media Player 10 (KB926251) (s.o.)

2.) Installiere (Toolbars immer abwählen, Haken weg):
3.) Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:
Code:
ATTFilter
c:\windows\system32\userinit.exe
         
Sollte die Meldung kommen, dass die Dateien bereits analysiert wurden, dann klicke trotzdem auf Analysieren.

4.) Scripten mit Combofix
  • Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:
Code:
ATTFilter
KILLALL::

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IMJPMIG8.1"=-
"MSPY2002"=-
"PHIME2002ASync"=-
"PHIME2002A"=-
"QuickTime Task"=-
"Adobe Reader Speed Launcher"=-
"HP Software Update"=-

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{06f79b4f-8a0a-11dc-9d9c-806d6172696f}]
         
Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt
  • Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

  • Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten


Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.


ciao, andreas

Alt 08.03.2009, 10:04   #15
acer12345
 
TR/Agent2.esw bei Antivir entdeckt - Standard

TR/Agent2.esw bei Antivir entdeckt



Guten Morgen...
So Punkt 1 und 2 sind erledigt.

Punkt 3 ergab folgendes Ergebnis: (ich hoffe der Link reicht aus)
http://www.virustotal.com/de/analisis/b00d025a1029bf932fa19497f5682010

Mache jetzt mit Combofix weiter...

Antwort

Themen zu TR/Agent2.esw bei Antivir entdeckt
adobe, antivir, aufrufe, avira, bho, cmdow.exe, computer, content.ie5, einstellungen, excel, fehlermeldung, firefox, google, hijack, hijackthis, hkus\s-1-5-18, icq, installation, launch, malware.tool, microsoft, monitor, nicht angezeigt, nicht sicher, pdf, problem, programme, realtek, registrierungsschlüssel, seiten, software, system, system volume information, windows xp



Ähnliche Themen: TR/Agent2.esw bei Antivir entdeckt


  1. Antivir Pro hat Java/Lamar.gtq.35 entdeckt - wie entfernen?
    Log-Analyse und Auswertung - 06.10.2014 (7)
  2. Antivir HTML/RCE.Gen3 entdeckt. Wie entfernen?
    Plagegeister aller Art und deren Bekämpfung - 28.09.2014 (11)
  3. TR/Spy.ZBot.akt von avirus antivir entdeckt
    Plagegeister aller Art und deren Bekämpfung - 05.07.2013 (14)
  4. Antivir hat Trojaner & Co entdeckt
    Log-Analyse und Auswertung - 19.06.2013 (13)
  5. Trojaner, AntiVir entdeckt
    Diskussionsforum - 19.09.2012 (1)
  6. TR/ATRAPS.Gen2 von AntiVir entdeckt
    Log-Analyse und Auswertung - 14.09.2012 (1)
  7. Trojaner wurde von Antivir entdeckt
    Plagegeister aller Art und deren Bekämpfung - 29.06.2011 (32)
  8. Trojaner von antivir entdeckt.
    Plagegeister aller Art und deren Bekämpfung - 26.08.2010 (12)
  9. Antivir entdeckt TR/SpyZBot.amrs
    Log-Analyse und Auswertung - 19.08.2010 (1)
  10. Backdoor via Antivir entdeckt: BDS.Poison.ifn
    Log-Analyse und Auswertung - 31.05.2010 (19)
  11. TR/TDss.WP.1 von Antivir entdeckt
    Plagegeister aller Art und deren Bekämpfung - 31.03.2010 (2)
  12. TR/Crypt.XPACK.Gen von Antivir entdeckt
    Plagegeister aller Art und deren Bekämpfung - 15.03.2009 (11)
  13. Antivir hat Trojaner entdeckt, was tun?
    Log-Analyse und Auswertung - 22.02.2009 (12)
  14. Trojaner TR/Drop.VB von AntiVir entdeckt
    Plagegeister aller Art und deren Bekämpfung - 27.01.2009 (7)
  15. Trojaner TR/Crypt.XPACK.Gen von Antivir entdeckt
    Plagegeister aller Art und deren Bekämpfung - 18.09.2008 (24)
  16. Trojaner entdeckt durch Antivir
    Log-Analyse und Auswertung - 06.06.2008 (1)
  17. Trojaner: TR/FURootkit.C von Antivir entdeckt
    Plagegeister aller Art und deren Bekämpfung - 26.11.2006 (2)

Zum Thema TR/Agent2.esw bei Antivir entdeckt - Seit einigen Tagen kann ich einige Internetseiten nicht mehr aufrufen. Bis jetzt ist mir dies bei Google und Myspace aufgefallen. Ich benutze hauptsächlich Internet Explorer. Ich versuchte die Seiten auch - TR/Agent2.esw bei Antivir entdeckt...
Archiv
Du betrachtest: TR/Agent2.esw bei Antivir entdeckt auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.