Auch wenn in dieser Datei nichts gefunden wird, der Dateiname macht micht stutzig. Kann ein Zufall sein, aber eine Google-Suche führt fast ausnahmlos zu dem Ergebnis, dass die Datei "TFTP2564" zu einem Backdoor-Schädling gehört.
Lass mal Blacklight durchlaufen und poste das Ergebnis.

Hallo cosinus,

danke für die nächtliche Antwort.

Ich habe einen Scan mit Blacklight gemacht aber es wurde nichts gefunden.

Auch mich macht diese eigenartige Datei etwas nervös. Sie stammt angeblich aus einem Verzeichnis, in dem die 1& 1 Mail nie war. Bereits die Partition ist eine andere.
Gefunden wurde die Datei lt. AntiVir Bericht vom AntiVir Guard, nur die Stelle an der die Datei gefunden wurde ist sehr eigenartig.

Vieleicht hast Du ja noch eine Idee, was sich dahinter verbergen könnte.

Viele Grüße
BAFAY

Hier noch die Auswertung:
Log Datei Blacklight
01/09/07 00:31:19 [Info]: BlackLight Engine 1.0.55 initialized
01/09/07 00:31:19 [Info]: OS: 5.1 build 2600 (Service Pack 2)
01/09/07 00:31:20 [Note]: 7019 4
01/09/07 00:31:20 [Note]: 7005 0
01/09/07 00:31:26 [Note]: 7006 0
01/09/07 00:31:26 [Note]: 7011 956
01/09/07 00:31:26 [Note]: 7026 0
01/09/07 00:31:26 [Note]: 7026 0
01/09/07 00:31:31 [Note]: FSRAW library version 1.7.1021
01/09/07 00:35:53 [Note]: 7007 0

Blacklight ist leider auch nicht "allwissend" und wenn ich eine Idee hab woher diese Datei stammt, dann durch Google-Anstöße; da handelt es sich zwar meist um ziemlich böse Funde, aber es ist auch nicht gesagt, dass die Datei vom Fake 1&1 Trojaner kam, es wäre genauso gut möglich, dass sie die ganze Zeit auf deinem Rechner war, ohne dasss du was gemerkt hast!
Ich halte es aber auch so gut wie für ausgeschlossen, dass es eine wichtige Systemdatei ist.
Wenn du wirklich ein sauberes System haben willst führt niemals etwas ans Neuaufsetzen vorbei. Weil du erst dann (bei richtiger Anwendung) die 100%ige Garantie für ein vertrauenswürdiges System hast.

Ich würde die Datei zu Avira zur Analyse einzusenden, mit Angabe des Original-Fundortes und den Befürchtungen, die hier geäußert wurden.

virus[at]avira.com ist die Adresse.

Gruß
Yopie

Hallo Yopi,

vielen Dank für die Mühe.

Ich habe Deinen Rat befolgt und die Datei an AntiVir gesendet.
Mal sehen wie es weitergeht.

Vielen, vielen Dank für die Hilfe.

und noch eine gute Nacht

Bafay

Zitat:

Zitat von cosinus

Generell gilt: Wenn ein Schädling nicht ausgeführt wurde, wurde auch kein Schaden angerichtet!

Tausendprozentig sicher?
Ich hab auch die 1&1-Mail erhalten, das Antivirus-Teil von web.de hat die Anlage als virenfrei und geprüft bezeichnet. Da ich auf der 1&1-Homepage keine Infos bekam und auch keinen Support, habe ich die Datei (schließlich bin ich da Kunde) per RECHTSKLICK (also ohne zu öffnen!) auf meinen Rechner runtergeladen. Bevor ich sie jedoch öffnen konnte, hat mein Antivir selbige Datei als Trojaner erkannt und sofort in Quarantäne verschoben.
Wie gesagt ausgeführt wurde die pdf.exe tausendprozentig nicht. Allerdings sind alle meine Favoriten im Firefox verschwunden...

Wie soll ich weiter vorgehen (bei einem Komplettdurchlauf findet das ganz frisch geupdatete Antivir nichts mehr), vielleicht doch über die Systemwiederherstellung 2 Tage zurücksetzen?
Wäre um Hilfe dankbar!

Zitat:

Tausendprozentig sicher?

Eigentlich kann es kein "Tausendprozent sicher" geben. Entweder wurde die ausgeführt und dein System erfolgreich kompromittiert oder eben nicht.

Es ist doch ganz einfach:

Das schreibt Heise:

Bitte lesen

Öffnen=Kompromittiert

werde mal meinen log gleich woanders posten gebe aber mal hier die info zu dem rechnung.pdf.exe

Antivirus Version Update Result
AntiVir 7.3.0.21 01.09.2007 TR/Dldr.iBill.A
Authentium 4.93.8 01.09.2007 W32/Downloader.AXEN
Avast 4.7.892.0 12.30.2006 no virus found
AVG 386 01.09.2007 BackDoor.Agent.DKF
BitDefender 7.2 01.09.2007 Trojan.Downloader.ACC
CAT-QuickHeal 9.00 01.09.2007 (Suspicious) - DNAScan
ClamAV devel-20060426 01.09.2007 Trojan.Downloader-462
DrWeb 4.33 01.09.2007 Trojan.DownLoader.17212
eSafe 7.0.14.0 01.09.2007 Win32.Agent.akf
eTrust-InoculateIT 23.73.109 01.09.2007 Win32/SillyDL.2rj!Trojan
eTrust-Vet 30.3.3313 01.09.2007 Win32/Clagger.BE
Ewido 4.0 01.09.2007 Downloader.Nurech
Fortinet 2.82.0.0 01.09.2007 W32/Small.ZC!tr.dldr
F-Prot 3.16f 01.09.2007 security risk named W32/Downloader.AXEN
F-Prot4 4.2.1.29 01.09.2007 W32/Downloader.AXEN
Ikarus T3.1.0.27 01.09.2007 Backdoor.Win32.Agent.akf
Kaspersky 4.0.2.24 01.09.2007 Backdoor.Win32.Agent.akf
McAfee 4934 01.08.2007 Downloader-AAP
Microsoft 1.1904 01.09.2007 TrojanDownloader:Win32/Clagger.gen!B
NOD32v2 1967 01.09.2007 Win32/TrojanDownloader.Agent.NIN
Norman 5.80.02 12.31.2007 Suspicious_F.gen
Panda 9.0.0.4 01.08.2007 Trj/Abwiz.BP
Prevx1 V2 01.09.2007 Virus.Rechnung
Sophos 4.13.0 01.05.2007 Mal/Packer
Sunbelt 2.2.907.0 01.05.2007 VIPRE.Suspicious
TheHacker 6.0.3.146 01.08.2007 no virus found
UNA 1.83 01.06.2007 no virus found
VBA32 3.11.2 01.09.2007 Backdoor.Win32.Agent.akf
VirusBuster 4.3.19:9 01.09.2007 Trojan.Agent.FVT

Hi zusammen,

wenn ich mir die ganzen Beiträge hier so ansehe, scheint mir irgendwie, dass dieser Virus der mit der 1&1 Mail gekommen ist, ab und zu nicht "funktioniert" hat. Ich meine, ich habe auch die exe.pdf Datei ausgeführt , aber auch nur weil ich 1&1 Kunde bin und nachdem ich einen Scan mit Trend Micro, AntiVir UND dem online scanner von Kaspersky Lab gemacht habe, habe ich nichts gefunden .

Kann es sein, dass es diesen Virus schon länger gibt? Wenn man bei der Virusliste von F-Secure "Backdoor.Win32.agent.akf" eingiebt, dann erscheint "Agent.AGW" und der wurde schon am 4. September 2006 entdeckt. Ist es nicht ein Variante von diesem Virus der mit diesen Telekom Mails verschickt wurde?

Grüße

Norman