Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Tr/agent.aw.2 (https://www.trojaner-board.de/14973-tr-agent-aw-2-a.html)

Ghosthunter 06.03.2005 14:36
Tr/agent.aw.2
 
Habe schon seit einigen tagen das problem mit densen störenfried den ich einfach nicht loswerden kann.
bin schon mit spybot adaware und ativire drübergegangen un nie wurde es besser selbst das löschen der dateien hat nix gebracht.


Logfile of HijackThis v1.99.1
Scan saved at 14:34:31, on 06.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DeTeWe\TA 33 USB\Capictrl.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Avant Browser\avant.exe
C:\Dokumente und Einstellungen\Peter Wendt\Desktop\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {3EFBB89A-9077-C37E-3D26-F0497ADF91B1} - (no file)
O2 - BHO: (no name) - {474DE876-AC27-7265-B8E9-8F0390C3A2A5} - (no file)
O4 - HKLM\..\Run: [routcnf] C:\Programme\DeTeWe\TA 33 USB\routcnf.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SpybotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck /autofix /autoclose
O4 - HKLM\..\Run: [BootSkin Startup Jobs] "C:\Programme\Stardock\WinCustomize\BootSkin\BootSkin.exe" /StartupJobs
O4 - HKLM\..\Run: [OSS] c:\windows\system32\ossproxy.exe -boot
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WEBTACHOXP] C:\Programme\WebTachoXP\webtacho.exe
O4 - Global Startup: CAPIControl.lnk = ?
O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - C:\Programme\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: Hervorheben - C:\Programme\Avant Browser\Highlight.htm
O8 - Extra context menu item: Suchen - C:\Programme\Avant Browser\Search.htm
O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - C:\Programme\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - C:\Programme\Avant Browser\OpenAllLinks.htm
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{0AE8F31E-88B3-4DD7-BC86-B268BF4A335F}: NameServer = 212.6.108.140 212.6.108.141
O17 - HKLM\System\CS1\Services\Tcpip\..\{0AE8F31E-88B3-4DD7-BC86-B268BF4A335F}: NameServer = 212.6.108.140 212.6.108.141
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: Miscrosoft Updates Service (MsUpdate) - Unknown owner - C:\WINDOWS\system32\msupd.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

big_surfer 06.03.2005 16:56
Vorgehensweise

Da alle Virenscanner Probleme mit Trojanern und Spyware haben, grundsätzlich mit Trojanerscanner zusätzlich prüfen: Spybot Search&Destroy und a² (emisoft).

Dannach checken mit HijackThis und MSConfig.

Dann Systemwiederherstellung deaktivieren und im abgesicherten Modus booten. Nochmal Spybot und a² drüber laufen lassen und mit HijackThis überprüfen/fixen. Wenn keine Fehler mehr, neu booten und die Systemwiederherstellung wieder aktivieren.

Eine Garantie, dass der Schädling weg ist, hast du aber nicht. Hier hilft nur Formatieren und Neuinstallation der Festplatte.

Du solltest dir aber mal grundlegende Gedanken machen, warum du den Schädling bekommen hast und entsprechende Vorsorgemaßnahmen ergreifen (Stichwort 10 goldene Regeln).

Infos und Downloads zum Thema findest du auf meiner Webpage

dartus 07.03.2005 01:04
Hallo Ghosthunter,

wo und welche Datei ist der Störenfried?
Hast Du den Löschvorgang mal im abgesicherten Modus versucht?

Du kannst ja mal dies auführen:

1. Downloade Dir escan und befolge diese Anleitung (dauert etwa eine Stunde),
2. starte nach dem Scan wieder in den normalen Modus dauert,
3. öffne die Datei "mwav.log", klicke auf "bearbeiten" danach auf "suchen"
4. gebe dann "infected" ein,
5. suche weiter bei Treffern, markiere diese und kopiere sie ins Forum,
6. neben den Treffern auch das Gesamtergebnis (befindet sich ganz unter im Logfile) posten.

Beispiel:
Wed Feb 02 19:48:56 2005 => Total Files Scanned:
Wed Feb 02 19:48:56 2005 => Total Virus(es) Found:
.
.
.
.


dartus

Ghosthunter 08.03.2005 14:12
SO das habe ich nach den scan von eScan gefunden bei den habe ich meisten die meldung

Tue Mar 08 14:03:32 2005 => File C:\WINDOWS\system32\MSUPD.EXE.VIR infected by "Trojan-Downloader.Win32.Agent.gn" Virus. Action Taken: No Action Taken.



Und das gesammt ergebniss

Tue Mar 08 14:08:17 2005 => ***** Scanning complete. *****

Tue Mar 08 14:08:17 2005 => Total Files Scanned: 8719
Tue Mar 08 14:08:17 2005 => Total Virus(es) Found: 1
Tue Mar 08 14:08:17 2005 => Total Disinfected Files: 0
Tue Mar 08 14:08:17 2005 => Total Files Renamed: 0
Tue Mar 08 14:08:17 2005 => Total Deleted Files: 0
Tue Mar 08 14:08:17 2005 => Total Errors: 10
Tue Mar 08 14:08:17 2005 => Time Elapsed: 00:07:12
Tue Mar 08 14:08:17 2005 => Virus Database Date: 2005/03/07
Tue Mar 08 14:08:17 2005 => Virus Database Count: 120659

Tue Mar 08 14:08:17 2005 => Scan Completed.

dartus 08.03.2005 14:38
Hallo Ghosthunter,

Du hast zwar Escan nicht nach der Anleitung durchgeführt, aber der eine Fund reicht:

http://www.sophos.de/virusinfo/analy...ojagentgn.html = MSUPD.EXE

Da es sich hierbei um einen Trojaner mit Backdoorfunktionalität handelt, wird Dir hier dringend geraten "Format C:" zu machen.
Gründe:
http://www.trojaner-board.com/showthread.php?t=14669 http://www.heise.de/newsticker/meldung/57030

Weiteres Lesenswertes:
http://www.mathematik.uni-marburg.de...c-removal.html
http://www.mathematik.uni-marburg.de...ompromise.html

Eine erstklassige Anleitung zur Neuinstallation:

http://www.trojaner-board.de/showthread.php?t=12154

Thema Datensicherung:

http://www.trojaner-board.de/showpos...8&postcount=11

sry
dartus

Kit 13.03.2005 12:25
Ich ärgere mich jetzt auch schon eine Woche lang mit dieser Meldung herum.


C:\SYSTEM VOLUME INFORMATION\_RESTORE{EC0195AD-73C2-4F58-ABC4-67E63A9E825A}\RP637\A0078626.SYS

Ist das Trojanische Pferd TR/Agent.aw.2

Habe alles versucht, bekomme diesen Trojaner einfach nicht von meinem Computer.

Neuerdings bekomme ich von meinem AntiVir folgende Meldungen:

C:\
pagefile.sys
Zugriff verweigert! Fehler beim Öffnen der Datei.
Dies ist eine Auslagerungsdatei von Windows. Diese Datei ist von Windows gelockt.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0DU3CLQ3
demo_f[1].zip
ArchiveType: ZIP
HINWEIS! Das Archiv ist unbekannt oder defekt
C:\Dokumente und Einstellungen\ Lokale Einstellungen\Temporary Internet Files\Content.IE5\S5MRK5M7
swflash[1].cab
ArchiveType: CAB (Microsoft)
--> swflash.inf
HINWEIS! Der Archivheader ist defekt
--> Flash.ocx
HINWEIS! Der Archivheader ist defekt
--> GetFlash.exe
HINWEIS! Der Archivheader ist defekt
--> mmflteamphoto.png
HINWEIS! Der Archivheader ist defekt
--> macromedia.jpg
HINWEIS! Der Archivheader ist defekt
--> macromedia2.jpg
HINWEIS! Der Archivheader ist defekt
C:\Programme\FileSubmit\Snowy Lake Theme
TBEZA127Q.exe
Die Datei enthält Signatur des PMS/ToolBar.Quick.A.1-Programmes und wurde vom Benutzer unterdrückt.
Fehler beim Wechsel in das Verzeichnis System Volume Information
C:\WINDOWS\iLookup
ezStub22.exe
Die Datei enthält Signatur des PMS/Adware.StatBlas-Programmes und wurde vom Benutzer unterdrückt.
C:\WINDOWS\SoftwareDistribution\EventCache
{4B895C8C-9220-4F7A-96BD-BD75943817BB}.bin
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
{C912A6D3-B8D5-4638-AA83-748BA471DBCE}.bin
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\WINDOWS\system32
ezstub.exe
Die Datei enthält Signatur des PMS/Adware.StatBlas-Programmes und wurde vom Benutzer unterdrückt.
C:\WINDOWS\system32\config
default
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SAM
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SECURITY
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
software
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
system
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\WINDOWS\Temp
ZLT008e4.TMP
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!


Bei den Lokalen Einstellungen steht auch mein Name, den ich jetzt ausgelassen habe.

Der Archivheader ist defekt - wer kann mir das bitte mal erklären?

Ich kann mein Excel- Programm nicht mehr öffnen und wenn ich die CD einlege und Office neu installieren will, gibt es eine Fehlermeldung.

Was kann ich tun?


Alle Zeitangaben in WEZ +1. Es ist jetzt 15:49 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130