Dein erster Beitrag ging nicht gerade von einer Lösung des Problems beim User Boju1848aus, der diesen Beitrag (Thema!) hier erstellt hat.

Daher nochmal an alle, wer ein Problem hat und dieses schildern möchte/will, der soll bitte ein neues Thema hier im Unterforum (Plagegeister aller Art und deren Bekämpfung ) erstellen.
Einzig und allein der übersichthalber, denn wenn jeder einen Report von Antivir und ein Hijacklog hier reinstellt, ist das Chaos gross. :)

Sunny

Leite, wir sollten nicht rumrätseln sondern eine Lösung für das Problem finden.
Er schreibt sich nicht in die Registry rein, dafür anscheinend mehrmals in die SystemVolumeInformation. Im günstigsten Fall spioniert er nur eure ICQ-Passwörter aus.

Ich habe die Datei gelöscht und durch eine leere schreibgeschützte Datei mit gleichem Namen ersetzt. Als ich ICQ wieder startete, meldete AntiVir 3 mal zugleich die Datei (die nun wieder 5 kB hatte) als Trojaner. Nachdem ich in allen 3 Meldungen auf Löschen geklickt hatte, ist die Datei aber immer noch da. Nur darauf zugreifen kann ich nicht, außerdem wird sie auch nicht mehr als Trojaner erkannt. Der komplette Zugriff auf die Datei scheint verweigert.
Auch bei einem Neustart von ICQ kommt keine neue Meldung... ich weiß nicht, woran es liegt, probierts mal aus.

@error: Wie hast du dir die Datei genauer angeschaut?

Also, ich hatte den auch. ICQ 5.1 downloaded der datei hab ich rausgefunden. In der file ICQLite\LiteDataFiles\datafiles.xml befindet sich ein regel:

<item><url>http://df.icq.com/cb/2052/datafiles/bartout.cb</url><path>bartout.exe</path><date>12-06-2006</date><time>18:00:00</time></item>

Ich habe die regel einfach mit wordpad deleted, bartout.exe deleted un jetzt kommt bartout nicht mehr zuruck wenn ich icq5.1 startte.

Jetzt die frage, war die regel dar when ich icq installiert hab? Und wie safe ist icq eigentlich? Die file befindet sich auf der icq site...

@all

Avira untersucht das Verhalten und hat auch Kopien der betroffenen Dateien.
Die Dateien kommen offensichtlich von den ICQ Update Servern und werden nur von Avira und Webwasher-Gateway erkannt.
Jeden den es interessiert, soll hier mitlesen, sobald es ein Statement von Avira gibt, werde ich es hier posten.

Alex :)

Das glaube ich nicht. Anscheinend ist das Problem bei uns allen gestern oder heute morgen aufgetreten. Stimmt zwar, dass ich gestern auch meine Virendefinition erneuert habe, aber deswegen denke ich doch, dass es sich bei dem Teil um einen echten Schädling handelt.

Jedenfalls hatte ich gestern nachmittag und abend ziemlich nervige und plötzlich neu auftretende Probleme mit meinem ICQLite 5.1. Ich hatte mehrere Chatfenster offen, die immer wieder aus unerklärlichen Gründen hin und her switchten und dann ab und zu hing das System komplett, dass ich mehrere Sekunden gar nichts tippen konnte. Außerdem ist ICQ gestern mehrmal abgestürzt. Das hatte ich sonst bisher nur sehr selten.

Ich habe ICQ erstmal komplett deinstalliert. Die infizierten Datien gelöscht und jetzt führt Luke Filewalker gerade einen Komplettscann durch. Danach nochmal im gesicherten Modus neu booten, die letzten Reste von ICQ killen und nochmal Systemchecken. Dann neue Version von ICQ drauf. Ich hoffe damit hat sich das dann erledigt!

Ich hab nochmal ne Frage: Inwiefern hat die Datei bartout.exe mit dem Trojaner TR/Agent.4608 zu tun? Also klar ist, dass sich laut AntiVir hinter der Datei bartout.exe nämlicher Trojaner versteckt. Nur ist dieser auch woanders bekannt und was macht er?

Weil ich hatte grad beim Scannen die selbe Meldung auch bei zwei anderen Dateien erhalten, die nicht im ICQ-Ordner liegen.

Die liegen bestimmt in der Systemwiederherstellung? :D
Einfach mal abwarten oder ICQ 6 installieren oder die bessere Variante Miranda, Trillian oder Pidgin.

Alle die das gleiche Problem haben:

Bitte AntiVir updaten!

Avira hat neue Signaturen bereitgestellt.

Ohja, stimmt. Das ist sehr gut möglich! hihi

Werde mir wohl wirklich mal die Alternativen zu ICQ ansehen. Immerhin hab ich das Programm jetzt ohnehin schon deinstalliert. Ahh, der Filewalker ist jetzt auch endlich fertig.

Hast Recht, es war die Systemwiederherstellung:

C:\System Volume Information\_restore{E5E22AA0-5FA1-4C7D-892D-2ACEA2862D84}\RP340\A0056744.exe
[FUND] Ist das Trojanische Pferd TR/Agent.4608
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{E5E22AA0-5FA1-4C7D-892D-2ACEA2862D84}\RP340\A0056959.exe
[FUND] Ist das Trojanische Pferd TR/Agent.4608
[HINWEIS] Die Datei wurde gelöscht.

Außerdem aber auch 3 mal in den temporären Internetdaten. Aber die werden jetzt auch gleich gelöscht...

Danke für die Hilfe. Ich bin trotzdem gespannt ob das Ding jetzt eine Fehlmeldung oder ein wirklicher Trojaner ist. Immerhin hatte ich gestern Abend echte Probleme mit ICQ, die ich vorher nicht hatte.

Hm, also doch ne Fehlmeldung?

Ja!

Alle die das gleiche Problem haben:

Bitte AntiVir updaten!

Avira hat neue Signaturen bereitgestellt.

Das is nicht wahr . Ich habe Avira heute auch geupdatet und dann ein Scan durchgeführt und er zeigt mir immer noch die Trojaner bei ICQ an. Und auch im F und C Volumen....
Oder kannst du mir erklären warum er immer noch diesen Trojaner nach dem Update von Avira anzeigt???

Eine Gute Argumentation hast Du. ;)
Funde auf einem anderen Datenträger sind hierfür eher ungewöhnlich. Vielleicht ist es bei Dir ein anderer Befall?
Meine Aussagen habe über kurze Weg von Avira, bei einigen anderen User hat es so funktioniert.
Du solltest in diesem Fall am Besten ein eigens Thema erstellen.

braucht er nicht zu tun. Ihr habt wahrscheinlich alle euer ICQ auf C:\ installiert, aber ich habs auf F:\
-> bei mir sind bei C und F die SystemVolumeInformation befallen.

Das wäre eine Erklärung, trotzdem sollten die Meldungen nach dem Update nicht mehr kommen!