Wurm Worm.Win32.AutoRun.vmq oder TR/Dldr.Agent.jag

Speedy73

Hallo zusammen,

vielleicht kann mir jemand helfen: Ich habe offenbar einen Wurm / Malware auf meinem System und werde das Mistding einfach nicht los. Folgendes ist passiert:

- Avira Antivir meldet bei einem Systemscan den Fund eines Trojaners namens TR/Dldr.Agent.jag

... und das mit wachsender Begeisterung. Gestern abend erst hat Antivir angeblich alle Funde in die Quarantäne verschoben, und heute abend schalte ich den Rechner ein und finde das Ding gleich wieder, und zwar an 4 (!) Stellen. Hier der Report:

C:\System Volume Information\_restore{071B2CE2-C393-4D80-8FF9-25CE66D35F85}\RP53\A0005689.exe
[0] Archivtyp: RSRC
--> Object
[1] Archivtyp: CAB (Microsoft)
--> NewPayload.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Agent.jag
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 49a76d6d.qua erstellt ( QUARANTÄNE )
C:\System Volume Information\_restore{071B2CE2-C393-4D80-8FF9-25CE66D35F85}\RP53\A0005802.exe
[0] Archivtyp: CAB SFX (self extracting)
--> \_ISDel.exe
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\System Volume Information\_restore{071B2CE2-C393-4D80-8FF9-25CE66D35F85}\RP53\A0006302.exe
[0] Archivtyp: RSRC
--> Object
[1] Archivtyp: CAB (Microsoft)
--> NewPayload.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Agent.jag
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 49a76da9.qua erstellt ( QUARANTÄNE )
C:\System Volume Information\_restore{071B2CE2-C393-4D80-8FF9-25CE66D35F85}\RP53\A0006303.exe
[0] Archivtyp: RSRC
--> Object
[1] Archivtyp: CAB (Microsoft)
--> NewPayload.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Agent.jag
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 48272ce2.qua erstellt ( QUARANTÄNE )
Beginne mit der Suche in 'D:\' <Slave>
D:\System Volume Information\_restore{071B2CE2-C393-4D80-8FF9-25CE66D35F85}\RP22\A0002115.exe
[0] Archivtyp: RSRC
--> Object
[1] Archivtyp: CAB (Microsoft)
--> NewPayload.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Agent.jag
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 49a77151.qua erstellt ( QUARANTÄNE )

Das geht jetzt schon lustig seit ein paar Tagen so.

Hab das Ding dann mal aus der Quarantäne geholt und es an Kaspersky geschickt. Zurück kam die Antwort, es handele sich um: Worm.Win32.AutoRun.vmq

Andere Scanner kommen wieder zu gar keinen oder ganz anderen Ergebnissen. Das hier kam raus, als ich die Datei bei Virustotal hochgeladen habe:

Datei A0002115.exe empfangen 2009.01.16 00:09:59 (CET)

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.73 2009.01.15 Trojan-Downloader.VB!IK
AhnLab-V3 2009.1.15.0 2009.01.15 -
AntiVir 7.9.0.55 2009.01.15 -
Authentium 5.1.0.4 2009.01.15 -
Avast 4.8.1281.0 2009.01.15 Win32:Trojan-gen {Other}
AVG 8.0.0.229 2009.01.15 Dropper.Bravix
CAT-QuickHeal 10.00 2009.01.15 -
ClamAV 0.94.1 2009.01.15 -
Comodo 932 2009.01.15 -
DrWeb 4.44.0.09170 2009.01.15 -
eSafe 7.0.17.0 2009.01.15 Suspicious File
eTrust-Vet 31.6.6309 2009.01.15 -
F-Prot 4.4.4.56 2009.01.15 -
Fortinet 3.117.0.0 2009.01.15 PossibleThreat
GData 19 2009.01.15 Trojan.Downloader.VB.VZO
Ikarus T3.1.1.45.0 2009.01.15 Trojan-Downloader.VB
K7AntiVirus 7.10.584 2009.01.09 -
Kaspersky 7.0.0.125 2009.01.15 Worm.Win32.AutoRun.vmq
McAfee 5496 2009.01.15 -
McAfee+Artemis 5496 2009.01.15 W32/AutoRun.worm.gen
Microsoft 1.4205 2009.01.16 -
NOD32 3769 2009.01.15 Win32/AutoRun.VB.AS
Norman 5.93.01 2009.01.15 -
Panda 9.5.1.2 2009.01.15 Generic Trojan
PCTools 4.4.2.0 2009.01.15 -
Rising 21.12.32.00 2009.01.15 -
SecureWeb-Gateway 6.7.6 2009.01.15 -
Sophos 4.37.0 2009.01.15 Mal/Generic-A
Sunbelt 3.2.1831.2 2009.01.09 Trojan.Win32.Packed.gen (v)
Symantec 10 2009.01.15 -
TheHacker 6.3.1.4.220 2009.01.14 -
TrendMicro 8.700.0.1004 2009.01.15 -
VBA32 3.12.8.10 2009.01.14 -
ViRobot 2009.1.15.1560 2009.01.15 -
VirusBuster 4.5.11.0 2009.01.15 Worm.AutoRun.CJH

Und hier ist noch ein aktueller Hijackthis-Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:40:29, on 21.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ATITool\ATITool.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avcenter.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: PDF-XChange Viewer IE-Plugin - {C5D07EB6-BBCE-4DAE-ACBB-D13A8D28CB1F} - C:\Programme\PDF-XChange Viewer\pdf-viewer\PDFXCviewIEPlugin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: TerraTec Home Cinema - {AD6E6555-FB2C-47D4-8339-3E2965509877} - C:\PROGRA~1\TERRAT~1\THCDES~1.DLL
O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [ATITool] "C:\Programme\ATITool\ATITool.exe" -s
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: FRITZ!DSL Startcenter.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/wind...?1229540286120
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs:
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: AVM IGD CTRL Service (IGDCTRL) - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe

--
End of file - 6143 bytes



So, und jetzt die Preisfrage:
Was nun?

Und: Wie böse ist dieses Ding?