Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Trojaner Agent2.het

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 04.04.2010, 00:32   #1
Schnippi83
 
Trojaner Agent2.het - Standard

Trojaner Agent2.het



Hallo,

habe folgendes Problem. Es poppen andauernd Fenster des IE auf, obwohl ich diesen gar nicht nutze. Mein Virenscan meldet den Trojayer Agent2.het, bekomme diesen aber nicht entfernt.

Daher HijackThis.....

Hier mein Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:26:17, on 04.04.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16915)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AVG\AVG9\avgchsvx.exe
C:\Programme\AVG\AVG9\avgrsx.exe
C:\Programme\AVG\AVG9\avgcsrvx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\Wzukea.exe
C:\Programme\AVG\AVG9\avgwdsvc.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\AVG\AVG9\avgtray.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe
C:\WINDOWS\System32\reader_s.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ICQ6.5\ICQ.exe
C:\Dokumente und Einstellungen\Daniel Schnitzler\reader_s.exe
C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Vuze\Azureus.exe
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\Daniel Schnitzler\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe
C:\Dokumente und Einstellungen\Daniel Schnitzler\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe
C:\Dokumente und Einstellungen\Daniel Schnitzler\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe
C:\DOKUME~1\DANIEL~1\LOKALE~1\Temp\Whd.exe
C:\Dokumente und Einstellungen\Daniel Schnitzler\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe
C:\Dokumente und Einstellungen\Daniel Schnitzler\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = hxxp://windowsupdate.microsoft.com/
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
R3 - URLSearchHook: Vuze Remote Toolbar - {ba14329e-9550-4989-b3f2-9732e92d17cc} - C:\Programme\Vuze_Remote\tbVuze.dll
F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe syce.xto nqxwp
O1 - Hosts: 91.121.140.213 thepiratebay.org
O1 - Hosts: 91.121.140.213 www.thepiratebay.org
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O2 - BHO: Vuze Remote Toolbar - {ba14329e-9550-4989-b3f2-9732e92d17cc} - C:\Programme\Vuze_Remote\tbVuze.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: SmartSelect - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O3 - Toolbar: Vuze Remote Toolbar - {ba14329e-9550-4989-b3f2-9732e92d17cc} - C:\Programme\Vuze_Remote\tbVuze.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O4 - HKLM\..\Run: [AVG9_TRAY] C:\PROGRA~1\AVG\AVG9\avgtray.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [Adobe Acrobat Speed Launcher] "C:\Programme\Adobe\Acrobat 9.0\Acrobat\Acrobat_sl.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programme\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [MSUpdate] C:\WINDOWS\system32\MSup1.exe
O4 - HKLM\..\Run: [reader_s] C:\WINDOWS\System32\reader_s.exe
O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent
O4 - HKCU\..\Run: [Google Update] "C:\Dokumente und Einstellungen\Daniel Schnitzler\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [YVIBBBHA8C] C:\DOKUME~1\DANIEL~1\LOKALE~1\Temp\Whd.exe
O4 - HKCU\..\Run: [reader_s] C:\Dokumente und Einstellungen\Daniel Schnitzler\reader_s.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BlueSoleil.lnk = C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
O8 - Extra context menu item: An vorhandene PDF-Datei anfügen - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Linkziel an vorhandene PDF-Datei anhängen - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Linkziel in Adobe PDF konvertieren - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Free WatchDog (avg9wd) - AVG Technologies CZ, s.r.o. - C:\Programme\AVG\AVG9\avgwdsvc.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe

--
End of file - 9105 bytes

Kann mir einer helfen?
Das nervt mich ungemein....

Alt 04.04.2010, 15:11   #2
StLB
/// Helfer-Team
 
Trojaner Agent2.het - Standard

Trojaner Agent2.het



Hallo und !


Virut-Warnung:


Zitat:
C:\WINDOWS\System32\reader_s.exe
C:\Dokumente und Einstellungen\Daniel Schnitzler\reader_s.exe
Diese Dateien gehören zum Win32.Virut.Gen, welcher ausführbare Dateien, wie z.B. die des IE, Outlook-Express, Windows Media Player, und v.a. auch Systemdateien infiziert, bzw. mit schädlichem Code überschreibt.
Das größte Problem ist, dass auch Bereinigungsprogramme infiziert werden und somit eine vollständige Bereinigung unmöglich ist.

Daher ist ein Neuaufsetzen unvermeidbar. Wenn Du Dateien sichern musst/ möchtest, bitte nicht über Windows auf den USB-Stick spielen, sondern über ein Linux-Livesytem, dazu aber später.

Um sicherzugehen, lade bitte zuerst die beiden Dateien bei VirusTotal hoch und poste den Ergebnislink.
__________________

__________________

Alt 04.04.2010, 19:27   #3
Schnippi83
 
Trojaner Agent2.het - Standard

Trojaner Agent2.het



Hallo,

danke für die flotte Info.
Habe die Dateien jetzt bei Virustotal hochgeladen.

Das kam dabei raus:
hxxp://www.virustotal.com/de/analisis/2ea55cc0cec4fecf6ca9939dcb1a756997f33162bc2c7c19973a0740c0c60821-1270305420

Sowie

hxxp://www.virustotal.com/de/analisis/2ea55cc0cec4fecf6ca9939dcb1a756997f33162bc2c7c19973a0740c0c60821-1270305420

Und nun?
Kann man dar nichts versuchen?
__________________

Alt 04.04.2010, 21:42   #4
StLB
/// Helfer-Team
 
Trojaner Agent2.het - Standard

Trojaner Agent2.het



Hallo,

es scheint, als sei der Virut noch nicht aktiv.

Werte bitte noch folgende Dateien bei Virustotal aus und poste wieder ihren Ergebnislink:
Zitat:
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Outlook Express\msimn.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svchost.exe
... um sicherzugehen, dass eine Bereinigung sinnvoll ist.
Evtl. musst Du die Dateien vorher sichtbar machen.
Sollten die Dateien bereits ausgewertet bitte erneut analysieren lassen ("Analysiere die Datei")

Trenne den Rechner danach umgehend physikalisch von Netz (LAN-Stecker raus, bzw. WLAN deaktivieren), damit der Virut nicht aktiviert werden kann.

Ändere von einem sauberen Rechner aus Deine Passwörter (z.B. E-Mail, eBay, Online-Banking, etc.)
__________________
Gruß, Julian

Kein Support per PM!

Spendemöglichkeit: Make a Donation

Geändert von StLB (04.04.2010 um 21:59 Uhr)

Alt 04.04.2010, 22:31   #5
Schnippi83
 
Trojaner Agent2.het - Standard

Trojaner Agent2.het



So,

erstmal danke für die tolle Hilfe hier:

Habe die Dateien nun ausgewertet:

hxxp://www.virustotal.com/de/analisis/6b46ab2465fb7f019ef8aac23f1b2764ceb2b9f01315335e8f682be1ea61b45f-1270412456

hxxp://www.virustotal.com/de/analisis/25ed1af3f550d5c15201c4caddd9b9899b5247939af8f821c0b698a24d9b8ac6-1270412667

hxxp://www.virustotal.com/de/analisis/2266296fd3c8e0dfa657f21406ee4e494477870dfaf7c65bebcb6fba8cadc7c6-1270412795

hxxp://www.virustotal.com/de/analisis/a42568851b48fb9924b3fe18c8a0f3ceecd850254257cfe6c5f168c08f408ef0-1270412958


Alt 04.04.2010, 23:15   #6
StLB
/// Helfer-Team
 
Trojaner Agent2.het - Standard

Trojaner Agent2.het



Hallo,

ich hab noch ein wenig Rücksprache gehalten mit zwei (erfahreneren) Kollegen.
Beide empfehlen das Neuaufsetzen, selbst wenn der Virut noch inaktiv ist.

Eine Bereinigung einer Komprimittierung von diesem Ausmaß bedeutet viel Arbeit, es ist aber nicht sicher, ob wirklich alle Bestandteile des Virut so entfernt werden können, dass von einem wirklich sauberen System ausgegangen werden kann. Zudem hat sich in Deinem System ein Backdoor eingeschleust, welcher die Bereinigung nicht leichter macht.

Würde Dir daher vorschlagen:

1.) Absicherung Deiner Daten
  • Erstelle eine Knoppix Live-CD von einem sauberen Rechner aus.
  • Solltest Du bereits eine Linux Live-CD besitzen, kannst Du auch diese verwenden (z.B. OpenSuse, Ubuntu, etc.)
  • Sichere keine ausführbaren Dateien (wie z.B. .exe, .com, .scr, .js, ...), sondern nur Bilder, Videos, Musik und Dokumente.
2.) Neuaufsetzen des Systems
  • In der Anleitung nur Schritt 2 und 3 durchführen.

Bei Fragen und Unsicherheiten zur Sicherung oder zum Neuaufsetzen, einfach nachfragen
__________________
--> Trojaner Agent2.het

Antwort

Themen zu Trojaner Agent2.het
adobe, avg, avg free, bho, dll, einstellungen, explorer, google, hijack, hkus\s-1-5-18, hängen, icq, internet, internet explorer, logfile, microsoft, object, pdf, pdf-datei, programme, rundll, scan, software, system, temp, trojaner, windows, windows xp



Ähnliche Themen: Trojaner Agent2.het


  1. Agent2.CMPM - wie soll ich mich verhalten?
    Log-Analyse und Auswertung - 26.08.2011 (5)
  2. Trojanische Pferd TR/Agent2.lkh
    Log-Analyse und Auswertung - 26.06.2011 (4)
  3. Trojaner Agent2.Idt.2 lässt Ordner auf Festplatten und Usb-Sticks verschwinden
    Plagegeister aller Art und deren Bekämpfung - 28.01.2011 (6)
  4. Trojaner Downloader.Agent2.AFEA
    Log-Analyse und Auswertung - 21.10.2010 (2)
  5. Trojaner: Downloader.Agent2.AFEA
    Plagegeister aller Art und deren Bekämpfung - 21.10.2010 (3)
  6. TR/Agent2.cwhg
    Plagegeister aller Art und deren Bekämpfung - 07.10.2010 (4)
  7. TR/Agent2.cwhd
    Plagegeister aller Art und deren Bekämpfung - 30.09.2010 (1)
  8. 'TR/Agent2.cqxj' auf 'C:\Windows\System32\saimr8y8.dll'
    Plagegeister aller Art und deren Bekämpfung - 13.06.2010 (23)
  9. Trojaner TR/Agent2.cpwp'
    Log-Analyse und Auswertung - 29.03.2010 (1)
  10. Trojaner Agent2. AOKQ C:\Windows\System32\kbdqbzxk.dll
    Plagegeister aller Art und deren Bekämpfung - 29.03.2010 (1)
  11. Trojaner agent2.AGSV durch Online-Banking erkannt
    Plagegeister aller Art und deren Bekämpfung - 28.01.2010 (2)
  12. TR/Agent2.epc.2
    Plagegeister aller Art und deren Bekämpfung - 01.06.2009 (2)
  13. TR/Drop.Mudrop.CY, TR/Agent2.DI.12
    Log-Analyse und Auswertung - 02.05.2009 (0)
  14. TR/Agent2.fbl kennt jemand diesen trojaner?
    Plagegeister aller Art und deren Bekämpfung - 25.04.2009 (4)
  15. TR/Agent2.esw bei Antivir entdeckt
    Log-Analyse und Auswertung - 12.03.2009 (33)
  16. neuaufsetzen TR/Agent2.anr (tubeviewersetup.exe)
    Plagegeister aller Art und deren Bekämpfung - 22.02.2009 (0)
  17. TR/Agent2.ahj
    Plagegeister aller Art und deren Bekämpfung - 30.01.2009 (6)

Zum Thema Trojaner Agent2.het - Hallo, habe folgendes Problem. Es poppen andauernd Fenster des IE auf, obwohl ich diesen gar nicht nutze. Mein Virenscan meldet den Trojayer Agent2.het, bekomme diesen aber nicht entfernt. Daher HijackThis..... - Trojaner Agent2.het...
Archiv
Du betrachtest: Trojaner Agent2.het auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.