Trojaner-Board - TR/Agent.amp von ANtivir gefunden was nun?

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - TR/Agent.amp von ANtivir gefunden was nun? (https://www.trojaner-board.de/41290-tr-agent-amp-antivir-gefunden.html)

TR/Agent.amp von ANtivir gefunden was nun?

Hallo habe mir anscheinend den TR/Agent.amp Trojaner eingefangen. Da es mein erster ist hab ich nun auch net so viel Ahnung wie ich vorgehen soll. Die Meldung kommt wenn ich Firefox starte und nun sind auch alle meine Speichersticks und auch mein IPod infiziert ( dort ist es die autorun Datei).

Hier erstmal mein HiJackTHis Log File:
Hoffe jemand kann mir da weiterhelfen wäre wirklich dankbar

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\MSI\Live Update 3\LMonitor.exe
C:\WINDOWS\CTHELPER.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
C:\Programme\Java\jre1.5.0_03\bin\jucheck.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Veoh Networks\Veoh\VeohClient.exe
C:\Programme\Launchy\Launchy.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Trillian\trillian.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\Programme\WinRAR\WinRAR.exe
C:\Dokumente und Einstellungen\pschemi\Desktop\hijackthis\HijackThis.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [LiveMonitor] C:\Programme\MSI\Live Update 3\LMonitor.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\K-Lite Codec Pack\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [AdobeUpdater] C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe
O4 - HKCU\..\Run: [Veoh] "C:\Programme\Veoh Networks\Veoh\VeohClient.exe" /VeohHide
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: DualCoreCenter.lnk = C:\Programme\MSI\DualCoreCenter\StartUpDualCoreCenter.exe
O4 - Global Startup: Launchy.lnk = C:\Programme\Launchy\Launchy.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://w*w.creative.com/su/ocx/15030/CTSUEng.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://w*w.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1182432964859
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://w*w.creative.com/su/ocx/15030/CTPID.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Hi,
bei deinem Log fehlt der Kopf mit den Angaben zum Betriebssystem, reiche diese nach.

In deinem Log ist so direkt kein Befall erkennbar, mache also bitte Folgendes:
Reiche mal ne Liste von allen befallenen Dateien auf deinem Rechner nach und lasse eine dieser befallenen Dateien bei virustotal auswerten.
Das Ergebnis mit Namen der Datei, Dateigröße und MD5 und Hash erst abkopieren, wenn "current status: finished" erscheint.

Danach sehen wir weiter
lg myrtille

EDIT:
Benutzt du PartyPoker? Die haben einen recht zweifelhaften Ruf...

Hier nochmal der Log:

Bei der Datei von Firefox wird kein Virus mehr erkannt. Dafür habe ich einen neuen nämlich unter
c:\windows\system32\ofcpfwsvcs.exe

Virustotal zeigt mir folgendes an:

AhnLab-V3 2007.7.25.0 2007.07.24 Win-Trojan/PcClient.64000
AntiVir 7.4.0.44 2007.07.24 BDS/PcClient.WI
Authentium 4.93.8 2007.07.24 W32/Backdoor.SBZ
Avast 4.7.997.0 2007.07.25 Win32:PcClient-FD
AVG 7.5.0.476 2007.07.24 BackDoor.Generic3.SDV
BitDefender 7.2 2007.07.24 Backdoor.Pcclient.WI
CAT-QuickHeal 9.00 2007.07.24 Backdoor.PcClient.wi
ClamAV devel-20070416 2007.07.24 Trojan.PcClient-94
DrWeb 4.33 2007.07.24 BackDoor.PcClient
eSafe 7.0.15.0 2007.07.24 Win32.PcClient.wi
eTrust-Vet 31.1.5003 2007.07.24 Win32/Pcclient.BR
Ewido 4.0 2007.07.24 Backdoor.PcClient.wi
FileAdvisor 1 2007.07.25 High threat detected
Fortinet 2.91.0.0 2007.07.24 W32/PcClient.WI!tr.bdr
F-Prot 4.3.2.48 2007.07.25 W32/Backdoor.SBZ
F-Secure 6.70.13030.0 2007.07.24 Backdoor.Win32.PcClient.wi
Ikarus T3.1.1.8 2007.07.24 Backdoor.Win32.PcClient.wi
Kaspersky 4.0.2.24 2007.07.25 Backdoor.Win32.PcClient.wi
McAfee 5081 2007.07.24 BackDoor-CKB
Microsoft 1.2704 2007.07.24 Backdoor:Win32/PcClient.BG
NOD32v2 2417 2007.07.24 Win32/PcClient.WI
Norman 5.80.02 2007.07.24 W32/PCClient.CWS
Panda 9.0.0.4 2007.07.24 Bck/PCclient.EC
Sophos 4.19.0 2007.07.17 W32/SillyFDC-E
Sunbelt 2.2.907.0 2007.07.25 Backdoor.Win32.PcClient.wi
Symantec 10 2007.07.25 Trojan Horse
TheHacker 6.1.7.152 2007.07.23 Backdoor/PcClient.wi
VBA32 3.12.2.1 2007.07.24 BackDoor.PcClient
VirusBuster 4.3.26:9 2007.07.24 Backdoor.PcClient.KC
Webwasher-Gateway 6.0.1 2007.07.25 Trojan.PcClient.WI

weitere Informationen
File size: 64000 bytes
MD5: ba08cb0afe9a54ef5398ccb9e09b3db3
SHA1: de74df5f479a968f191b517efd47209501c433be
Bit9 info: Bit9 FileAdvisor - Search Results

Hier nochmal die Logfile vom HiJack

Logfile of HijackThis v1.99.1
Scan saved at 01:02:08, on 26.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\MSI\Live Update 3\LMonitor.exe
C:\WINDOWS\CTHELPER.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
C:\Programme\Java\jre1.5.0_03\bin\jucheck.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Veoh Networks\Veoh\VeohClient.exe
C:\Programme\Launchy\Launchy.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Trillian\trillian.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\nvCplUI.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\K-Lite Codec Pack\filters\divxsm.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
C:\WINDOWS\system32\OfcpfwSvcs.exe
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Dokumente und Einstellungen\pschemi\Desktop\hijackthis\HijackThis.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [LiveMonitor] C:\Programme\MSI\Live Update 3\LMonitor.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\K-Lite Codec Pack\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [OfcpfwSvcs.exe] C:\WINDOWS\system32\OfcpfwSvcs.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [AdobeUpdater] C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe
O4 - HKCU\..\Run: [Veoh] "C:\Programme\Veoh Networks\Veoh\VeohClient.exe" /VeohHide
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: DualCoreCenter.lnk = C:\Programme\MSI\DualCoreCenter\StartUpDualCoreCenter.exe
O4 - Global Startup: Launchy.lnk = C:\Programme\Launchy\Launchy.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - h**p://w*w.creative.com/su/ocx/15030/CTSUEng.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://h**p://w*w.update.microsoft.c...?1182432964859
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - h**p://w*w.creative.com/su/ocx/15030/CTPID.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Dazu kommt dass ich auf meinem Ipod unter dem Pfad F:\autorun.exe und
F:\recycler\recycler\autorun.exe auch den TR/Agent.amp Trojanr hab.

Kann diese Dateien auf meinem IPod net finden auch wenn ich versteckte Ordner anzeigen lasse.

Hi,
du hast leider den Jungen an Bord.

Bei einem Befall durch einen Backdoortrojaner wird hier überlicherweise das Neuaufsetzen empfohlen, da nicht mehr nachvolllziehbar ist was an deinem Rechner manipuliert worden ist. Beim Neuaufsetzen legen wir jedem dieses Anleitung
ans Herz, damit du so schnell nicht wieder hierherkommen musst. :) (Darfst dich natürlich gerne weiter hier umsehen, aber ohne lästige Besucher aufm Rechner ist es hier schöner ;))

In deinem Fall wäre es allerdings vor allem wichtig, dass du alle deinen externen Speicher (USB, MP3-Player, externe Festplatten, Disketten...) formatierst, da der Wurm sich durch diese Medien verbreitet. (Löschen alleine reicht nicht, such dir am besten die Installationscds, sofern vorhanden, raus, formatiere das Medium und spiele die Software neu ein)
Außerdem würde ich dir empfehlen, jedem, dem du in letzter Zeit einen USB-Stick oÄ ausgeliehen hast, Bescheid zu geben, da die Leute wahrscheinlich auch infiziert sind und da du dir den Trojaner auch so eingefangen haben dürftest, würde ich mal überlegen, ob du evtl in letzter Zeit einen geborgten USBstick benutzt hast und wenn ja, den Besitzer mal auf das Problem ansprechen.

lg myrtille