[Windows XP-32 bit] TR/Agent. 17408 CV

Hey,
hab eben iTunes geupdatet (9.0.2) danach meldete sich Spybot :

iTunesPhotoProcessor.exe sei ein Virus -> Hab es bei Virustotal hochgeladen -> Kein Resultat!

Scanne nun den PC trotzdem und nun meldet sich Avira mit:

C\okumente und Einstellungen\Benutzer\Lokale Einstellungen\...\ffmpeg.exe

Scanne den PC gerade mit Malwarebaytes

Hier die komplette Meldung von Avira:
In der Datei 'C:\Dokumente und Einstellungen\Benutzer\Lokale Einstellungen\Anwendungsdaten\Xenocode\ApplianceCaches\%APPNAME%.EXE_v16B43B82\N ative\STUBEXE\@PROGRAMFILES@\BadgerIT\VOB2MPG v3\ffmpeg.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Agent.17408.CV' [trojan] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

und spybot
31.01.2010 17:01:56 Encountered and terminated Fraud.XPAntivirus in C:\Programme\iTunes\iTunesPhotoProcessor.exe!

nur so als ergänzung:

ich hatte erstmals eine fundmeldung von AntiVir am 29.01. nachdem ich plötzlich 2 mails einer restaurantkette namens "PLAY OFF" von den Filialen aus Braunschweig und Dresden erhalten hatte ...

Meldung von AntiVir am Freitag 29.01.10 :
C:\Dokumente und Einstellungen\[mein Name]\Lokale Einstellungen\Anwendungsdaten\Xenocode\ApplianceCaches\%APPNAME%.EXE_v4A98D118\N ative\STUBEXE\@PROGRAMFILES@\VOB2MPG v3\ffmpeg.exe
[FUND] Ist das Trojanische Pferd TR/Agent.17408.CV
...habe datei löschen lassen ...

und plötzlich heute morgen eine meldung der normalen gard-routine ... woraufhin ich nochmals einen kompletten suchlauf habe machen lassen

hier die meldung von AntiVir vom SO 31.01.10:
C:\System Volume Information\_restore{1EEDE846-E526-498E-A624-4C0A1C983DBC}\RP1013\A0133277.exe
[FUND] Ist das Trojanische Pferd TR/Agent.17408.CV

Ähm, ich glaub damit das Virenteam her durchschaut wer wer ist nenne ich mich mal am ...
Also Threadsteller (1 und 2 Post, sowie die hier) bin ich -> nun hmm ^^

Also hab die Datei auch gerade mal bei Virustotal hochgeladen hier das Ergebnis:
Datei ffmpeg.exe empfangen 2010.01.31 17:49:55 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 20/41 (48.79%)

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.50 2010.01.31 -
AhnLab-V3 5.0.0.2 2010.01.31 -
AntiVir 7.9.1.154 2010.01.29 TR/Agent.17408.CV
Antiy-AVL 2.0.3.7 2010.01.28 -
Authentium 5.2.0.5 2010.01.30 W32/Backdoor2.GAMP
Avast 4.8.1351.0 2010.01.31 -
AVG 9.0.0.730 2010.01.31 -
BitDefender 7.2 2010.01.31 -
CAT-QuickHeal 10.00 2010.01.30 Backdoor.Poison.auah
ClamAV 0.96.0.0-git 2010.01.31 -
Comodo 3773 2010.01.31 UnclassifiedMalware
DrWeb 5.0.1.12222 2010.01.31 -
eSafe 7.0.17.0 2010.01.31 Win32.Backdoor
eTrust-Vet 35.2.7271 2010.01.29 -
F-Prot 4.5.1.85 2010.01.30 W32/Backdoor2.GAMP
F-Secure 9.0.15370.0 2010.01.31 -
Fortinet 4.0.14.0 2010.01.31 PossibleThreat
GData 19 2010.01.31 -
Ikarus T3.1.1.80.0 2010.01.31 -
Jiangmin 13.0.900 2010.01.28 Backdoor/Poison.dfv
K7AntiVirus 7.10.960 2010.01.29 Trojan.Win32.Malware.1
Kaspersky 7.0.0.125 2010.01.31 -
McAfee 5878 2010.01.31 Generic BackDoor!bvi
McAfee+Artemis 5878 2010.01.31 Generic BackDoor!bvi
McAfee-GW-Edition 6.8.5 2010.01.31 Heuristic.LooksLike.Trojan.Backdoor.Poison.H
Microsoft 1.5406 2010.01.31 -
NOD32 4822 2010.01.31 -
Norman 6.04.03 2010.01.31 -
nProtect 2009.1.8.0 2010.01.31 Backdoor/W32.Poison.17408.X
Panda 10.0.2.2 2010.01.31 -
PCTools 7.0.3.5 2010.01.31 Backdoor.Trojan
Prevx 3.0 2010.01.31 -
Rising 22.32.06.04 2010.01.31 -
Sophos 4.50.0 2010.01.31 Mal/Generic-A
Sunbelt 3.2.1858.2 2010.01.30 Trojan.Win32.Generic!BT
Symantec 20091.2.0.41 2010.01.31 Backdoor.Trojan
TheHacker 6.5.1.0.174 2010.01.31 -
TrendMicro 9.120.0.1004 2010.01.31 -
VBA32 3.12.12.1 2010.01.29 Backdoor.Win32.Poison.auew
ViRobot 2010.1.30.2164 2010.01.30 Backdoor.Win32.Poison.17408.Q
VirusBuster 5.0.21.0 2010.01.31 Backdoor.Agent.QFYF

Hey,
gerade folgende Meldung von Avira (während ich mit Malwarebytes scanne)

C:\System Volume Information\_restore{63917EEC-072D-4E70-A589-42F9B6758F98}\RP159\A0057277.exe

Hab die Datei in die Qarantäne verschoben

Was soll ich tun?

[markusg]

arbeite unsere anleitung zum löschen von viren ab, poste die logs.

[Shugo]

Hier mal das HiJackThis Logfile, Malwarebytes folgt in 20 min
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:18:57, on 31.01.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbsecsvc.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\winbond\w89c33\wwu.exe
C:\Programme\StarOffice7\program\soffice.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Malwarebytes' Anti-Malware\mbam.exe
C:\Programme\Mozilla Firefox\firefox.exe
c:\programme\avira\antivir desktop\avcenter.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [DWQueuedReporting] "C:\PROGRA~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" -t
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: StarOffice 7.lnk = C:\Programme\StarOffice7\program\quickstart.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: WWU.lnk = C:\Programme\winbond\w89c33\wwu.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Programme\Yahoo!\Common\Yinsthelper.dll
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/.../GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab56907.cab
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: wbsecsvc - Winbond - C:\WINDOWS\system32\wbsecsvc.exe

--
End of file - 7246 bytes

[Shugo]

So Malwarebytes sagt:
Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3668
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

31.01.2010 19:34:31
mbam-log-2010-01-31 (19-34-31).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 237821
Laufzeit: 2 hour(s), 9 minute(s), 13 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Habe die Dateien noch alleine gescannt:

ffmpeg.exe
Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3668
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

31.01.2010 19:40:20
mbam-log-2010-01-31 (19-40-20).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 1
Laufzeit: 4 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


A0057277.exe:
Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3668
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

31.01.2010 19:36:14
mbam-log-2010-01-31 (19-36-09).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 1
Laufzeit: 14 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\system volume information\_restore{63917eec-072d-4e70-a589-42f9b6758f98}\RP159\A0057277.exe (Trojan.Crypt) -> No action taken.

[Shugo]

Soll ich die Dateien löschen? Wenn ja wie/mit was? Habe die Dateien zur Zeit in der Quarantäne von Avira

[Shugo]

Zitat:

Soll ich die Dateien löschen? Wenn ja wie/mit was? Habe die Dateien zur Zeit in der Quarantäne von Avira

Wie soll ich nun vorgehen ?

[markusg]

es nützt nichts, sich selbst zu zitieren... ne schnellere antwort wirst du dadurch natürlich nicht bekommen. dateien aus der avira quarantäne bitte löschen.
Dr.Web CureIt!
damit weiter.

[Shugo]

Dateien komplett löschen? Oder nur aus der Quarantäne entfernen? Danach neu starten?

[markusg]

ja, du musst ja in den abgesicherten modus.

[Shugo]

Und die Dateien komplett löschen? Oder nur aus der Quarantäne verschieben?

In den Abgesicherten Modus kann ich aber auch so Systemstart - abgesicherter Modus - www.computerschutz.net - Strategie statt Lethargie

[Shugo]

Hey, nach dem quickscan kam:
die wiindowshost datei wurde modifiziert ....
hab dort ausgewählt das die original windows host datei wiederhergestellt wird.
richtig so?
komplettscan läuft ...