Hallo Leute!

Mein Bruder hat sich (auf seinem USB-Stick?) einen Virus eingefangen. Aber mal die komplette Geschichte:

Ich hab ihm vor einiger Zeit auf dem Stick ein Icon und eine Autorun.inf gemacht, so dass das Icon im Arbeitsplatz angezeigt wird. Das hat auch ohne Probleme funktioniert.
Wenn er den Stick aber jetzt ansteckt, ist folgendes der Fall:
- die Autorun.inf nicht mehr zu sehen, trotz der Einstellung "Versteckte Dateien und Ordner anzeigen" (aber noch da, denn wenn ich eine neue Autorun.inf machen will bekomme ich den Fehler dass eine Datei mit gleichem Nahmen bereits existiert)
- Antivir meckert dass es den "TR/Agent.apo" in der "G:\services.exe" (also im Rootverzeichnis des Sticks) gefunden hat. Diese services.exe sehe ich aber nicht (bzw. ich weiß nicht ob sie vor der Warnung zu sehen ist) und die gehört auch nicht auf den Stick.
- Doppelklick auf den Stick bringt nur den "Öffnen mit ..."-Dialog (wie bei einer unbekannten Datei), man kann nur auf den Stick zugreifen wenn man im Kontextmenü "Öffnen" anklickt.
- Formatieren hilft nicht

Wie krieg ich den Virus wieder weg? Denn ich hab den ganzen PC schon mit Antivir überprüft, findet nichts; der Kaspersky Online-Scanner auch nicht. Einmal hatte ich auch die Fehlermeldung dass der TR/Agent.apo in "C:\Windows\system32\services.exe" gefunden wurde, da hat mein Bruder die Datei in Quarantäne verschoben.

Wär sehr nett wenn ihr mir helfen könntet!

mfg Berny

Berny

Das mit verseuchten USB-Sticks ist in der Tat eine *Seuche*, und wenn dann noch *Autorun* aktiv ist, doppelt schlimm. Hier mal ein Link zu diesem Thema:

Neuer Wurm infiziert USB-Sticks - Multimedia360 aktuelle IT News

Frage, woher stammt der Stick? Was wurde damit gemacht, bevor die *Autorun.inf* installiert wurde? Evtl. bei einem Freund angestöpselt?

Zitat:

Einmal hatte ich auch die Fehlermeldung dass der TR/Agent.apo in "C:\Windows\system32\services.exe" gefunden wurde, da hat mein Bruder die Datei in Quarantäne verschoben.

Wenn die Datei noch in Quarantäne ist, müßte sie sich doch bei VirusTotal hochladen lassen. (in meiner Signatur)

Mache bitte mal alle Dateiendungen sichtbar, sofern noch nicht geschehen und poste ein HJT-Log. (Link in meiner Sig, vorher bitte das Log editieren, 1. Link in meiner Sig!)

Quelle: sicher-ins-netz.info - So schützen Sie Ihr System richtig

Der Stick ist sicher wo angestöpselt worden, mein Bruder ist Schüler und die werden bei solchen Sachen ja nicht groß nachdenken.

Also die Autorun.inf ist jetzt sichtbar, nachdem ich die Haken genauso gesetzt hab und es steht folgendes drin:
[AutoRun]
open=serivces.exe
shellexecute=serivces.exe
shell\Auto\command=serivces.exe

Ergebnis von VirusTotal:
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.1.19.10 2008.01.18 Win-Trojan/Agent.98304.AH
AntiVir 7.6.0.48 2008.01.20 TR/Agent.apo
Authentium 4.93.8 2008.01.20 could be infected with an unknown virus
Avast 4.7.1098.0 2008.01.20 Win32:Agent-GZY
AVG 7.5.0.516 2008.01.20 Generic6.MG
BitDefender 7.2 2008.01.20 Trojan.Generic.46173
CAT-QuickHeal 9.00 2008.01.19 Trojan.Agent.apo
ClamAV 0.91.2 2008.01.20 Trojan.Agent-4538
DrWeb 4.44.0.09170 2008.01.20 BackDoor.Attacker.origin
eSafe 7.0.15.0 2008.01.16 -
eTrust-Vet 31.3.5470 2008.01.18 Win32/Fuceb.G
Ewido 4.0 2008.01.20 -
FileAdvisor 1 2008.01.20 High threat detected
Fortinet 3.14.0.0 2008.01.20 W32/Agent.APO!tr
F-Prot 4.4.2.54 2008.01.19 W32/Heuristic-159!Eldorado
F-Secure 6.70.13260.0 2008.01.20 W32/Agent.CMYZ
Ikarus T3.1.1.20 2008.01.20 BehavesLikeWin32.Malware
Kaspersky 7.0.0.125 2008.01.20 Trojan.Win32.Agent.apo
McAfee 5211 2008.01.18 Generic MSVC.d
Microsoft 1.3109 2008.01.20 Trojan:Win32/Agent
NOD32v2 2808 2008.01.20 a variant of Win32/Agent.AMB
Norman 5.80.02 2008.01.20 W32/Agent.CMYZ
Panda 9.0.0.4 2008.01.20 Trj/Downloader.MDW
Prevx1 V2 2008.01.20 -
Rising 20.27.62.00 2008.01.20 Worm.Win32.Fcukweb.a
Sophos 4.24.0 2008.01.20 Mal/Generic-A
Sunbelt 2.2.907.0 2008.01.17 -
Symantec 10 2008.01.20 Trojan.Panddos
TheHacker 6.2.9.191 2008.01.19 -
VBA32 3.12.2.5 2008.01.19 Trojan.Win32.Agent.apo
VirusBuster 4.3.26:9 2008.01.20 Worm.SdBot.Gen.26
Webwasher-Gateway 6.6.2 2008.01.20 Trojan.Agent.apo

weitere Informationen
File size: 98304 bytes
MD5: 4f3dd8f741696e8dda028eb0f2ebac09
SHA1: 74a84abc3cc735406ab9e27d0d2191935452799e
PEiD: Armadillo v1.71
Bit9 info: h**p://fileadvisor.bit9.com/services/extinfo.aspx?md5=4f3dd8f741696e8dda028eb0f2ebac09

HJT-Log:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:56:28, on 20.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
C:\Programme\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\PROGRA~1\HEWLET~1\Shared\HPQTOA~1.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avcenter.exe
D:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://windowsupdate.microsoft.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /nodetect
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] CHDAudPropShortcut.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [hpWirelessAssistant] %ProgramFiles%\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [SynTPStart] C:\Programme\Synaptics\SynTP\SynTPStart.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h**p://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1191152950562
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1191153059781
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: AddFiltr - Hewlett-Packard Development Company, L.P. - C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\AddFiltr.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 7770 bytes


Hoffe ich hab beim Editieren nix vergessen.

Berny

aus dem Log für den PC kann ich nichts Schlimmes erkennen, außer eine Schwachstelle, Java ist nicht aktuell.

Code: Alles auswählenAufklappen

ATTFilter

C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
         

Aktuell ist Java Version 6 Update 4! Bitte mal aktualisieren.

Das Dumme ist nur, daß, wenn der Stick eingestöpselt wurde, davon auszugehen ist, daß durch die Autorun.inf eine Verseuchung vermutlich stattgefunden hat.

Für eine genauere Analyse könnte man vielleicht noch e-Scan bemühen:

MWAV - Free AntiVirus utility for Vista

Ich sehe aus dem Logfile, daß Du Acronis installiert hast, von daher müßest Du doch hoffentlich ein aktuelles, sauberes Image haben, oder?

Bitte nur die Infos aus dem Virus-Log-Informations-Fenster posten. Das entfällt natürlich, wenn Du ein sauberes Image hast.

Den Stick nirgendwo mehr anschließen, überlege und frage Deinen Bruder, wo er ihn angeschlossen hat, diejenigen müssen zumindest gewarnt werden.

Um den Stick zu formatieren, brauchst Du ein unabhängiges kleines Betriebssystem. Hast Du einen 2.Rechner mit funkionierendem Brenner und schnellem Internetanschluß zur Verfügung? Der sollte allerdings sauber sein.

Hier mal Ubuntu laden und als .iso-Datei auf CD brennen:

Ubuntu "Gutsy Gibbon" 7.10 Deutsch - Download - CHIP Online

Java hätte ich fast vergessen, thx...habs auf den anderen 3 PCs schon installiert, mein Bruder ist aber nur am Wochenende daheim.

MWAV werde ich dann probieren, jetzt gerade der Akku leer geworden...

Ein Image habe ich schon, allerdings schon etwas älter, deswegen wahrscheinlich nicht ganz optimal das aufzuspielen.

Ubuntu hab ich schon irgendwo auf CD herumliegen. Meinst du dass ich den Stick mit Ubuntu im Live-Modus formatieren soll?
Wie ist das mit den Daten, kann ich die vorher sichern und dann wieder auf den formatierten Stick spielen oder können da auch andere Dateien als die services.exe infiziert sein? Denn wenn die Dateien weg wären wärs schön blöd, sind die ganzen Schul/Hausübungen usw. von meinem Bruder drauf.