Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
Wurm Worm.Win32.AutoRun.vmq oder TR/Dldr.Agent.jag

Wurm Worm.Win32.AutoRun.vmq oder TR/Dldr.Agent.jag


Plagegeister aller Art und deren Bekämpfung: Wurm Worm.Win32.AutoRun.vmq oder TR/Dldr.Agent.jag

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 21.01.2009, 20:31   #1
Speedy73
 
Wurm Worm.Win32.AutoRun.vmq oder TR/Dldr.Agent.jag - Standard

Wurm Worm.Win32.AutoRun.vmq oder TR/Dldr.Agent.jag


Hallo zusammen,

vielleicht kann mir jemand helfen: Ich habe offenbar einen Wurm / Malware auf meinem System und werde das Mistding einfach nicht los. Folgendes ist passiert:

- Avira Antivir meldet bei einem Systemscan den Fund eines Trojaners namens TR/Dldr.Agent.jag

... und das mit wachsender Begeisterung. Gestern abend erst hat Antivir angeblich alle Funde in die Quarantäne verschoben, und heute abend schalte ich den Rechner ein und finde das Ding gleich wieder, und zwar an 4 (!) Stellen. Hier der Report:

C:\System Volume Information\_restore{071B2CE2-C393-4D80-8FF9-25CE66D35F85}\RP53\A0005689.exe
[0] Archivtyp: RSRC
--> Object
[1] Archivtyp: CAB (Microsoft)
--> NewPayload.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Agent.jag
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 49a76d6d.qua erstellt ( QUARANTÄNE )
C:\System Volume Information\_restore{071B2CE2-C393-4D80-8FF9-25CE66D35F85}\RP53\A0005802.exe
[0] Archivtyp: CAB SFX (self extracting)
--> \_ISDel.exe
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\System Volume Information\_restore{071B2CE2-C393-4D80-8FF9-25CE66D35F85}\RP53\A0006302.exe
[0] Archivtyp: RSRC
--> Object
[1] Archivtyp: CAB (Microsoft)
--> NewPayload.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Agent.jag
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 49a76da9.qua erstellt ( QUARANTÄNE )
C:\System Volume Information\_restore{071B2CE2-C393-4D80-8FF9-25CE66D35F85}\RP53\A0006303.exe
[0] Archivtyp: RSRC
--> Object
[1] Archivtyp: CAB (Microsoft)
--> NewPayload.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Agent.jag
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 48272ce2.qua erstellt ( QUARANTÄNE )
Beginne mit der Suche in 'D:\' <Slave>
D:\System Volume Information\_restore{071B2CE2-C393-4D80-8FF9-25CE66D35F85}\RP22\A0002115.exe
[0] Archivtyp: RSRC
--> Object
[1] Archivtyp: CAB (Microsoft)
--> NewPayload.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Agent.jag
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 49a77151.qua erstellt ( QUARANTÄNE )

Das geht jetzt schon lustig seit ein paar Tagen so.

Hab das Ding dann mal aus der Quarantäne geholt und es an Kaspersky geschickt. Zurück kam die Antwort, es handele sich um: Worm.Win32.AutoRun.vmq

Andere Scanner kommen wieder zu gar keinen oder ganz anderen Ergebnissen. Das hier kam raus, als ich die Datei bei Virustotal hochgeladen habe:

Datei A0002115.exe empfangen 2009.01.16 00:09:59 (CET)

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.73 2009.01.15 Trojan-Downloader.VB!IK
AhnLab-V3 2009.1.15.0 2009.01.15 -
AntiVir 7.9.0.55 2009.01.15 -
Authentium 5.1.0.4 2009.01.15 -
Avast 4.8.1281.0 2009.01.15 Win32:Trojan-gen {Other}
AVG 8.0.0.229 2009.01.15 Dropper.Bravix
CAT-QuickHeal 10.00 2009.01.15 -
ClamAV 0.94.1 2009.01.15 -
Comodo 932 2009.01.15 -
DrWeb 4.44.0.09170 2009.01.15 -
eSafe 7.0.17.0 2009.01.15 Suspicious File
eTrust-Vet 31.6.6309 2009.01.15 -
F-Prot 4.4.4.56 2009.01.15 -
Fortinet 3.117.0.0 2009.01.15 PossibleThreat
GData 19 2009.01.15 Trojan.Downloader.VB.VZO
Ikarus T3.1.1.45.0 2009.01.15 Trojan-Downloader.VB
K7AntiVirus 7.10.584 2009.01.09 -
Kaspersky 7.0.0.125 2009.01.15 Worm.Win32.AutoRun.vmq
McAfee 5496 2009.01.15 -
McAfee+Artemis 5496 2009.01.15 W32/AutoRun.worm.gen
Microsoft 1.4205 2009.01.16 -
NOD32 3769 2009.01.15 Win32/AutoRun.VB.AS
Norman 5.93.01 2009.01.15 -
Panda 9.5.1.2 2009.01.15 Generic Trojan
PCTools 4.4.2.0 2009.01.15 -
Rising 21.12.32.00 2009.01.15 -
SecureWeb-Gateway 6.7.6 2009.01.15 -
Sophos 4.37.0 2009.01.15 Mal/Generic-A
Sunbelt 3.2.1831.2 2009.01.09 Trojan.Win32.Packed.gen (v)
Symantec 10 2009.01.15 -
TheHacker 6.3.1.4.220 2009.01.14 -
TrendMicro 8.700.0.1004 2009.01.15 -
VBA32 3.12.8.10 2009.01.14 -
ViRobot 2009.1.15.1560 2009.01.15 -
VirusBuster 4.5.11.0 2009.01.15 Worm.AutoRun.CJH

Und hier ist noch ein aktueller Hijackthis-Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:40:29, on 21.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ATITool\ATITool.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avcenter.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: PDF-XChange Viewer IE-Plugin - {C5D07EB6-BBCE-4DAE-ACBB-D13A8D28CB1F} - C:\Programme\PDF-XChange Viewer\pdf-viewer\PDFXCviewIEPlugin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: TerraTec Home Cinema - {AD6E6555-FB2C-47D4-8339-3E2965509877} - C:\PROGRA~1\TERRAT~1\THCDES~1.DLL
O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [ATITool] "C:\Programme\ATITool\ATITool.exe" -s
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: FRITZ!DSL Startcenter.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/wind...?1229540286120
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs:
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: AVM IGD CTRL Service (IGDCTRL) - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe

--
End of file - 6143 bytes



So, und jetzt die Preisfrage:
Was nun?

Und: Wie böse ist dieses Ding?
Geändert von Speedy73 (21.01.2009 um 20:43 Uhr)

Antwort

Themen zu Wurm Worm.Win32.AutoRun.vmq oder TR/Dldr.Agent.jag
ad-aware, adobe, antivir, antivir meldet, artemis, avira, bho, dsl, excel, explorer, firefox, gen 2, generic, helper, hijack, hkus\s-1-5-18, home, internet, internet explorer, kaspersky, malware, mozilla, mozilla thunderbird, plug-in, software, system, virus, warnung, win32:trojan-gen, windows, windows xp, wurm


« HJT Log-File gesäubert und trotzdem keine Besserung | Sicherer Schutz gegen AntiVirus2009?? »


Ähnliche Themen: Wurm Worm.Win32.AutoRun.vmq oder TR/Dldr.Agent.jag


  1. Windows 7 V.a. Worm.win32.autorun.hyg ?
    Log-Analyse und Auswertung - 16.01.2014 (11)
  2. Möglicherweise Variante von Win32/AutoRun.Spy.Banker.M Wurm
    Plagegeister aller Art und deren Bekämpfung - 29.03.2013 (4)
  3. Worm.Win32.AutoRun.grs in C:\win\system32\config\systemprofile...
    Plagegeister aller Art und deren Bekämpfung - 03.01.2013 (12)
  4. amty (worm.Autorun) und csrcs.exe(Trojan.Agent) bei einem routine-Scan von MBAM gefunden
    Log-Analyse und Auswertung - 21.04.2012 (16)
  5. worm.win32.autorun
    Plagegeister aller Art und deren Bekämpfung - 29.11.2011 (5)
  6. Worm:Win32/Autorun!inf
    Log-Analyse und Auswertung - 14.06.2010 (3)
  7. Wurm WORM/Agent.XO in lsass.exe gefunden
    Log-Analyse und Auswertung - 16.02.2010 (17)
  8. Net-Worm.Win32.Kidoh.ih in autorun.inf
    Plagegeister aller Art und deren Bekämpfung - 31.10.2009 (9)
  9. Backdoor.Agent und Worm.AutoRun entdeckt - gelöscht - aber trotzdem wieder da
    Plagegeister aller Art und deren Bekämpfung - 10.09.2009 (15)
  10. Win32.Trojan.Agent/Win32.Worm.Autorun mit Ad-Aware unschädlich gemacht?
    Plagegeister aller Art und deren Bekämpfung - 06.08.2009 (6)
  11. Worm.Win32.AutoRun.ahhp...HILFE
    Log-Analyse und Auswertung - 07.05.2009 (3)
  12. autorun.inf Win32/Delf.NFB worm auf USB Stick
    Plagegeister aller Art und deren Bekämpfung - 03.03.2009 (2)
  13. Worm.AutoRun!sd5 und Trojan-Dropper.Agent im digitalen Bilderrahmen !?!
    Plagegeister aller Art und deren Bekämpfung - 31.12.2008 (1)
  14. worm.win32.Autorun.cbm wer kann helfen
    Plagegeister aller Art und deren Bekämpfung - 15.12.2008 (2)
  15. worm.win32.Autorun.cbm lässt sich nicht löschen
    Mülltonne - 14.12.2008 (0)
  16. Worm.Win32.Autorun.nuu verhindert Internetzugriff
    Plagegeister aller Art und deren Bekämpfung - 19.10.2008 (0)
  17. Trojaner TR/Dldr.IstBar.A und Wurm Worm/Rbot.SZ.3
    Log-Analyse und Auswertung - 05.12.2004 (2)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Wurm Worm.Win32.AutoRun.vmq oder TR/Dldr.Agent.jag - Hallo zusammen, vielleicht kann mir jemand helfen: Ich habe offenbar einen Wurm / Malware auf meinem System und werde das Mistding einfach nicht los. Folgendes ist passiert: - Avira Antivir - Wurm Worm.Win32.AutoRun.vmq oder TR/Dldr.Agent.jag...
Archiv
Du betrachtest: Wurm Worm.Win32.AutoRun.vmq oder TR/Dldr.Agent.jag auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54