Trojaner TR/Agent.4608 eingefangen! Wa
 

Hallo,
habe mir leider zweimal den Trojaner TR/Agent.4608 (lt. Avira AntiVir) eingefangen. Was ist zu tun?

Logfile des AntiVirScans:



Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 30. April 2008 19:18

Es wird nach 1245960 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: BOJU

Versionsinformationen:
BUILD.DAT : 8.1.00.295 16479 Bytes 09.04.2008 16:22:00
AVSCAN.EXE : 8.1.2.12 311553 Bytes 20.04.2008 11:32:35
AVSCAN.DLL : 8.1.1.0 57601 Bytes 20.04.2008 11:32:35
LUKE.DLL : 8.1.2.9 151809 Bytes 20.04.2008 11:32:36
LUKERES.DLL : 8.1.2.0 12545 Bytes 20.04.2008 11:32:36
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 10:37:28
ANTIVIR1.VDF : 7.0.3.2 5447168 Bytes 07.03.2008 03:11:09
ANTIVIR2.VDF : 7.0.3.197 1260032 Bytes 22.04.2008 20:04:54
ANTIVIR3.VDF : 7.0.3.235 248832 Bytes 30.04.2008 16:55:56
Engineversion : 8.1.0.37
AEVDF.DLL : 8.1.0.5 102772 Bytes 20.04.2008 11:32:37
AESCRIPT.DLL : 8.1.0.28 233851 Bytes 30.04.2008 16:56:02
AESCN.DLL : 8.1.0.15 119157 Bytes 30.04.2008 16:56:02
AERDL.DLL : 8.1.0.20 418165 Bytes 26.04.2008 21:21:21
AEPACK.DLL : 8.1.1.4 364918 Bytes 30.04.2008 16:56:01
AEOFFICE.DLL : 8.1.0.18 192890 Bytes 20.04.2008 11:32:37
AEHEUR.DLL : 8.1.0.21 1196407 Bytes 30.04.2008 16:56:00
AEHELP.DLL : 8.1.0.14 115063 Bytes 20.04.2008 11:32:36
AEGEN.DLL : 8.1.0.18 299381 Bytes 26.04.2008 21:21:17
AEEMU.DLL : 8.1.0.5 430450 Bytes 20.04.2008 11:32:36
AECORE.DLL : 8.1.0.27 168310 Bytes 20.04.2008 11:32:36
AVWINLL.DLL : 1.0.0.7 14593 Bytes 20.04.2008 11:32:35
AVPREF.DLL : 8.0.0.1 25857 Bytes 20.04.2008 11:32:35
AVREP.DLL : 7.0.0.1 155688 Bytes 24.04.2007 16:17:19
AVREG.DLL : 8.0.0.0 30977 Bytes 20.04.2008 11:32:35
AVARKT.DLL : 1.0.0.23 307457 Bytes 20.04.2008 11:32:34
AVEVTLOG.DLL : 8.0.0.11 114945 Bytes 20.04.2008 11:32:34
SQLITE3.DLL : 3.3.17.1 339968 Bytes 20.04.2008 11:32:36
SMTPLIB.DLL : 1.2.0.19 28929 Bytes 20.04.2008 11:32:36
NETNT.DLL : 8.0.0.1 7937 Bytes 20.04.2008 11:32:36
RCIMAGE.DLL : 8.0.0.35 2371841 Bytes 20.04.2008 11:32:26
RCTEXT.DLL : 8.0.32.0 86273 Bytes 20.04.2008 11:32:26

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, E:, F:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch

Beginn des Suchlaufs: Mittwoch, 30. April 2008 19:18

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msimn.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vsmon.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'StarWindServiceAE.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DTSRVC.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMIndexStoreSvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wcescomm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMBgMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HookManager.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winampa.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dthtml.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICQLite.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'zlclient.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'MouseDrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PS2USBKbdDrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'VTTrayp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'VTTimer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'raid_tool.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '38' Prozesse mit '38' Modulen durchsucht

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'F:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '31' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Programme\ICQLite\LiteDataFiles\bartout.exe
[FUND] Ist das Trojanische Pferd TR/Agent.4608
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '488ab2ab.qua' verschoben!
C:\System Volume Information\_restore{C255A0A8-7858-4790-BEBC-43320425DBF7}\RP378\A0126341.exe
[FUND] Ist das Trojanische Pferd TR/Agent.4608
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4849c36c.qua' verschoben!
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'E:\'
Beginne mit der Suche in 'F:\'


Ende des Suchlaufs: Mittwoch, 30. April 2008 21:25
Benötigte Zeit: 2:07:32 min

Der Suchlauf wurde vollständig durchgeführt.

4951 Verzeichnisse wurden überprüft
241651 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
2 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
241649 Dateien ohne Befall
1316 Archive wurden durchsucht
2 Warnungen
2 Hinweise

HiJackthis - Log:

Logfile of HijackThis v1.99.1
Scan saved at 21:43:47, on 30.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\VIA\RAID\raid_tool.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\TCMCOM~1\PS2USBKBDDrv.exe
C:\PROGRA~1\TCMCOM~1\MouseDrv.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Portrait Displays\forteManager\DTHtml.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Gemeinsame Dateien\Portrait Displays\Shared\HookManager.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Portrait Displays\Shared\DTSRVC.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
c:\programme\antivir personaledition classic\avcenter.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\***\LOKALE~1\Temp\Rar$EX00.359\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 208.67.222.222
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\tbu3F\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\tbu3F\toolbaru.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [RaidTool] C:\Programme\VIA\RAID\raid_tool.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [TCMKeyboard ] C:\PROGRA~1\TCMCOM~1\PS2USBKBDDrv.exe
O4 - HKLM\..\Run: [TCMMouse ] C:\PROGRA~1\TCMCOM~1\MouseDrv.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [DT LGE] C:\Programme\Portrait Displays\forteManager\DTHtml.exe -startup_folder
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Im Standard-Aggregator abonnieren - C:\Dokumente und Einstellungen\***\Anwendungsdaten\RssBandit\iecontext_subscribefeed.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Portrait Displays Display Tune Service (DTSRVC) - Unknown owner - C:\Programme\Gemeinsame Dateien\Portrait Displays\Shared\DTSRVC.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - The Firebird Project - C:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Habs bei Antivir erstmal in Quarantäne gepackt (was auch immer das heißen mag)...was ist als nächstes zu tun?

Da hast Du Dir aber was tolles über ICQ schicken lassen.
Hast Du die Datei ausgeführt?
Das ist ein Virut Dateiinfizierer.
Wenn ja, würde ich hier nur noch zu einem Backup raten und dann neu aufspielen.

Nein, habe die meines Wissens nach nicht ausgeführt. Eigtl. hat mir auch niemand was geschickt, ich versteh es einfach nicht.
Was ist, wenn ich die Datei also nicht ausgeführt hab? Wie werde ich das ganze los???

:daumenhoc Das wäre sehr gut, es kann auch sein, das Dir das jemand untergeschoben hat ohne das Du es merkst!

Machen wir folgendes.

1) Scan mit Malwarebytes, Anleitung hier.

2) Das System mit Avira (vorher updaten und wie hier beschrieben einstellen) scannen.
Den Scanbericht hier posten, es kann durchaus sein das noch Kopien in der Systemwiederherstellung zu finden sind.

Poste beide Logs dann hier.

die beschreibung ist aber nicht mehr aktuell :)
Avira hatt nun nen anderen style und die menüpunkte sind auch ein wenig anders.

Hallo, ich habe das gleiche Problem und das ganze 9x, habe mir bei icq den 6er runtergeladen u bing seit dem hab ich das und bekomme es auch nicht mehr weg!
Auch nicht nach der Anleitung oben!
Um Hilfe wäre ich sehr dankbar!:heulen:

Bei mir seit heute die gleiche Meldung bei ICQ 5.1

Du hast recht, allerdings kann man die Einstellung auch so vornehmen.

Wie es scheint ist das eine Lücke in ICQ 5.1 hab es nun mal weg gelassen und bin auf Miranda mit ICQ-Skin umgestiegen.

1)
Malwarebytes' Anti-Malware 1.11
Datenbank Version: 703

Scan Art: Komplett Scan (C:\|E:\|F:\|)
Objekte gescannt: 95816
Scan Dauer: 1 hour(s), 14 minute(s), 48 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 2
Infizierte Dateien: 0

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine Malware Objekte gefunden)

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
C:\Programme\MyGlobalSearch (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyGlobalSearch\bar (Adware.MyWebSearch) -> Quarantined and deleted successfully.

Infizierte Dateien:
(Keine Malware Objekte gefunden)


2)


Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 1. Mai 2008 09:07

Es wird nach 1245960 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: BOJU

Versionsinformationen:
BUILD.DAT : 8.1.00.295 16479 Bytes 09.04.2008 16:22:00
AVSCAN.EXE : 8.1.2.12 311553 Bytes 20.04.2008 11:32:35
AVSCAN.DLL : 8.1.1.0 57601 Bytes 20.04.2008 11:32:35
LUKE.DLL : 8.1.2.9 151809 Bytes 20.04.2008 11:32:36
LUKERES.DLL : 8.1.2.0 12545 Bytes 20.04.2008 11:32:36
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 10:37:28
ANTIVIR1.VDF : 7.0.3.2 5447168 Bytes 07.03.2008 03:11:09
ANTIVIR2.VDF : 7.0.3.197 1260032 Bytes 22.04.2008 20:04:54
ANTIVIR3.VDF : 7.0.3.235 248832 Bytes 30.04.2008 16:55:56
Engineversion : 8.1.0.37
AEVDF.DLL : 8.1.0.5 102772 Bytes 20.04.2008 11:32:37
AESCRIPT.DLL : 8.1.0.28 233851 Bytes 30.04.2008 16:56:02
AESCN.DLL : 8.1.0.15 119157 Bytes 30.04.2008 16:56:02
AERDL.DLL : 8.1.0.20 418165 Bytes 26.04.2008 21:21:21
AEPACK.DLL : 8.1.1.4 364918 Bytes 30.04.2008 16:56:01
AEOFFICE.DLL : 8.1.0.18 192890 Bytes 20.04.2008 11:32:37
AEHEUR.DLL : 8.1.0.21 1196407 Bytes 30.04.2008 16:56:00
AEHELP.DLL : 8.1.0.14 115063 Bytes 20.04.2008 11:32:36
AEGEN.DLL : 8.1.0.18 299381 Bytes 26.04.2008 21:21:17
AEEMU.DLL : 8.1.0.5 430450 Bytes 20.04.2008 11:32:36
AECORE.DLL : 8.1.0.27 168310 Bytes 20.04.2008 11:32:36
AVWINLL.DLL : 1.0.0.7 14593 Bytes 20.04.2008 11:32:35
AVPREF.DLL : 8.0.0.1 25857 Bytes 20.04.2008 11:32:35
AVREP.DLL : 7.0.0.1 155688 Bytes 24.04.2007 16:17:19
AVREG.DLL : 8.0.0.0 30977 Bytes 20.04.2008 11:32:35
AVARKT.DLL : 1.0.0.23 307457 Bytes 20.04.2008 11:32:34
AVEVTLOG.DLL : 8.0.0.11 114945 Bytes 20.04.2008 11:32:34
SQLITE3.DLL : 3.3.17.1 339968 Bytes 20.04.2008 11:32:36
SMTPLIB.DLL : 1.2.0.19 28929 Bytes 20.04.2008 11:32:36
NETNT.DLL : 8.0.0.1 7937 Bytes 20.04.2008 11:32:36
RCIMAGE.DLL : 8.0.0.35 2371841 Bytes 20.04.2008 11:32:26
RCTEXT.DLL : 8.0.32.0 86273 Bytes 20.04.2008 11:32:26

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, E:, F:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Donnerstag, 1. Mai 2008 09:07

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'notepad.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WINWORD.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HijackThis.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WinRAR.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msimn.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vsmon.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'StarWindServiceAE.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DTSRVC.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMIndexStoreSvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wcescomm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMBgMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HookManager.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winampa.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dthtml.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'zlclient.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'MouseDrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PS2USBKbdDrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'VTTrayp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'VTTimer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'raid_tool.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '42' Prozesse mit '42' Modulen durchsucht

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'F:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '31' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'E:\'
Beginne mit der Suche in 'F:\'


Ende des Suchlaufs: Donnerstag, 1. Mai 2008 09:46
Benötigte Zeit: 39:15 min

Der Suchlauf wurde vollständig durchgeführt.

4932 Verzeichnisse wurden überprüft
241344 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
241344 Dateien ohne Befall
1331 Archive wurden durchsucht
2 Warnungen
0 Hinweise

So das ist das Ergebnis!
Was ist als nächstes zu tun?

ich habe das selbe Trojanische Peferd seit heute morgen....plötzlich kam AntiVir mit einer Meldung....bei jeden Start von ICQ 5.1 kommt nun diese Meldung...:confused:

Hallo,

ich hab das gleiche Problem. Komischerweise habe ich auch ICQLite 5.1 .
Und ich habe mir zudem nichts zuschicken lassen per ICQ. Kann mir das auch nicht erklären, woher der kommt.

Kann es sein das es am Programm selbst liegt ???

Ich habe das DIng auch. Weiss allerdings nicht was zu tun ist und was ihr mit backup meint?

Vielleicht kann mir ja jemand helfen???

Und is das Ding gefährlich bzw. was richtet es an?

also ich hab grade alle aus meine kontaktliste gefragt der icq 5.1 hat ob er in C:\Programme\ICQLite\LiteDataFiles\bartout.exe das teil auch hat und ja sie haben es.... muss also irgendwie was größeres sein oder es ist einfach nur ....

also leute es macht kein sinn jetzt nur zu scheiben ich hab in....
wartet ab bis einer eine lösung hat... wenn man in löscht kommt er wieder... davon gehe ich aus das er wenn in der registi trinn ist oder es von icq selber ausgeht... wenn macht einfach jetzt nichts wenn ihr euch nicht auskennt... an besten ihr geht von icq raus... und wenn geht auf keiner seite wo man ein Passwort und so eingeben muss... dann seit ihr schon bischen auf der sicheren seite...^^
wenn ein freund hat gesagt (er hat in leider ausgefürt) das er sich auch in C:/System Volume Informatiom/_restoe{CB01E65D-FBF7-4CD6-8A75-A9CF2DABDC9C}/A0071937.exe und C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\LE17FFG2\bartout[1].cb' einnistet....


werde mal schaun und bei icq selber nach fragen was das sein soll....

edit: es ist wirlich ein trojaner....

Dein erster Beitrag ging nicht gerade von einer Lösung des Problems beim User Boju1848aus, der diesen Beitrag (Thema!) hier erstellt hat.

Daher nochmal an alle, wer ein Problem hat und dieses schildern möchte/will, der soll bitte ein neues Thema hier im Unterforum (Plagegeister aller Art und deren Bekämpfung ) erstellen.
Einzig und allein der übersichthalber, denn wenn jeder einen Report von Antivir und ein Hijacklog hier reinstellt, ist das Chaos gross. :)

Sunny

Leite, wir sollten nicht rumrätseln sondern eine Lösung für das Problem finden.
Er schreibt sich nicht in die Registry rein, dafür anscheinend mehrmals in die SystemVolumeInformation. Im günstigsten Fall spioniert er nur eure ICQ-Passwörter aus.

Ich habe die Datei gelöscht und durch eine leere schreibgeschützte Datei mit gleichem Namen ersetzt. Als ich ICQ wieder startete, meldete AntiVir 3 mal zugleich die Datei (die nun wieder 5 kB hatte) als Trojaner. Nachdem ich in allen 3 Meldungen auf Löschen geklickt hatte, ist die Datei aber immer noch da. Nur darauf zugreifen kann ich nicht, außerdem wird sie auch nicht mehr als Trojaner erkannt. Der komplette Zugriff auf die Datei scheint verweigert.
Auch bei einem Neustart von ICQ kommt keine neue Meldung... ich weiß nicht, woran es liegt, probierts mal aus.

@error: Wie hast du dir die Datei genauer angeschaut?

Also, ich hatte den auch. ICQ 5.1 downloaded der datei hab ich rausgefunden. In der file ICQLite\LiteDataFiles\datafiles.xml befindet sich ein regel:

<item><url>http://df.icq.com/cb/2052/datafiles/bartout.cb</url><path>bartout.exe</path><date>12-06-2006</date><time>18:00:00</time></item>

Ich habe die regel einfach mit wordpad deleted, bartout.exe deleted un jetzt kommt bartout nicht mehr zuruck wenn ich icq5.1 startte.

Jetzt die frage, war die regel dar when ich icq installiert hab? Und wie safe ist icq eigentlich? Die file befindet sich auf der icq site...

@all

Avira untersucht das Verhalten und hat auch Kopien der betroffenen Dateien.
Die Dateien kommen offensichtlich von den ICQ Update Servern und werden nur von Avira und Webwasher-Gateway erkannt.
Jeden den es interessiert, soll hier mitlesen, sobald es ein Statement von Avira gibt, werde ich es hier posten.

Alex :)

Das glaube ich nicht. Anscheinend ist das Problem bei uns allen gestern oder heute morgen aufgetreten. Stimmt zwar, dass ich gestern auch meine Virendefinition erneuert habe, aber deswegen denke ich doch, dass es sich bei dem Teil um einen echten Schädling handelt.

Jedenfalls hatte ich gestern nachmittag und abend ziemlich nervige und plötzlich neu auftretende Probleme mit meinem ICQLite 5.1. Ich hatte mehrere Chatfenster offen, die immer wieder aus unerklärlichen Gründen hin und her switchten und dann ab und zu hing das System komplett, dass ich mehrere Sekunden gar nichts tippen konnte. Außerdem ist ICQ gestern mehrmal abgestürzt. Das hatte ich sonst bisher nur sehr selten.

Ich habe ICQ erstmal komplett deinstalliert. Die infizierten Datien gelöscht und jetzt führt Luke Filewalker gerade einen Komplettscann durch. Danach nochmal im gesicherten Modus neu booten, die letzten Reste von ICQ killen und nochmal Systemchecken. Dann neue Version von ICQ drauf. Ich hoffe damit hat sich das dann erledigt!

Ich hab nochmal ne Frage: Inwiefern hat die Datei bartout.exe mit dem Trojaner TR/Agent.4608 zu tun? Also klar ist, dass sich laut AntiVir hinter der Datei bartout.exe nämlicher Trojaner versteckt. Nur ist dieser auch woanders bekannt und was macht er?

Weil ich hatte grad beim Scannen die selbe Meldung auch bei zwei anderen Dateien erhalten, die nicht im ICQ-Ordner liegen.

Die liegen bestimmt in der Systemwiederherstellung? :D
Einfach mal abwarten oder ICQ 6 installieren oder die bessere Variante Miranda, Trillian oder Pidgin.

Alle die das gleiche Problem haben:

Bitte AntiVir updaten!

Avira hat neue Signaturen bereitgestellt.

Ohja, stimmt. Das ist sehr gut möglich! hihi

Werde mir wohl wirklich mal die Alternativen zu ICQ ansehen. Immerhin hab ich das Programm jetzt ohnehin schon deinstalliert. Ahh, der Filewalker ist jetzt auch endlich fertig.

Hast Recht, es war die Systemwiederherstellung:

C:\System Volume Information\_restore{E5E22AA0-5FA1-4C7D-892D-2ACEA2862D84}\RP340\A0056744.exe
[FUND] Ist das Trojanische Pferd TR/Agent.4608
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{E5E22AA0-5FA1-4C7D-892D-2ACEA2862D84}\RP340\A0056959.exe
[FUND] Ist das Trojanische Pferd TR/Agent.4608
[HINWEIS] Die Datei wurde gelöscht.

Außerdem aber auch 3 mal in den temporären Internetdaten. Aber die werden jetzt auch gleich gelöscht...

Danke für die Hilfe. Ich bin trotzdem gespannt ob das Ding jetzt eine Fehlmeldung oder ein wirklicher Trojaner ist. Immerhin hatte ich gestern Abend echte Probleme mit ICQ, die ich vorher nicht hatte.

Hm, also doch ne Fehlmeldung?

Ja!

Alle die das gleiche Problem haben:

Bitte AntiVir updaten!

Avira hat neue Signaturen bereitgestellt.

Das is nicht wahr . Ich habe Avira heute auch geupdatet und dann ein Scan durchgeführt und er zeigt mir immer noch die Trojaner bei ICQ an. Und auch im F und C Volumen....
Oder kannst du mir erklären warum er immer noch diesen Trojaner nach dem Update von Avira anzeigt???

Eine Gute Argumentation hast Du. ;)
Funde auf einem anderen Datenträger sind hierfür eher ungewöhnlich. Vielleicht ist es bei Dir ein anderer Befall?
Meine Aussagen habe über kurze Weg von Avira, bei einigen anderen User hat es so funktioniert.
Du solltest in diesem Fall am Besten ein eigens Thema erstellen.

braucht er nicht zu tun. Ihr habt wahrscheinlich alle euer ICQ auf C:\ installiert, aber ich habs auf F:\
-> bei mir sind bei C und F die SystemVolumeInformation befallen.

Das wäre eine Erklärung, trotzdem sollten die Meldungen nach dem Update nicht mehr kommen!

Ok ich endschuldige mich für diese aussage ...^^
Habe nicht richtig bei avira geguckt . habe auf Suchlauf statt auf Signatur geguckt.. war noch vom 30.04.08 .

Also ich nehme alles zurück und nochmal endschuldigung für diese aussage!!

Der Trojaner wird NICHT mehr angezeigt

Jup vielen Dank, bei mir hats gehilft und nun ist auch nix mehr, konnte ICQ wieder aufspielen :party::Boogie:

So, ich als Threaderöffner;-)...
hab ja nun meine Logs von AntiVir etc. gepostet!
Ist das denn nun so ok? Was mache ich nun mit icq etc.? Löschen und neu aufspielen? Oder ist mein PC weiterhin infiziert und muss ich das gesamte System neu aufsetzen?

Boju1848

Antivir Updaten, eventeull den Rechner neu starten.
Dann kannst Du noch mal scannen, Funde in die Quarantäne.
An sich ist es keine Infektion, daher musst DU nichts machen.
Alternativ kannst Du ICQ durch Miranda, Trillian oder Pidgin ersetzen.

Also handelt es sich um keinen Trojaner oder doch ???

Nein, es ist kein Trojaner, Virus!

Alle die das gleiche Problem haben:

Bitte AntiVir updaten!

Avira hat neue Signaturen bereitgestellt.