TR/Dldr.Agent

emmmi

Hallo!

Vorab: ich habe keinen Plan von Computern. Schlechte Voraussetzung, aber vielleicht gibt's für mich trotzdem eine Antwort.

Heute hat Avira bei mir den Trojaner "TR/Dldr.Agent.260608.2" gefunden.
Die Websuche und Forensuche brachte nur uralte Beiträge mit für mich unverständlichen seehr langen Anleitungen zutage.

Die entscheidende Frage für mich: ist das Ding schädlich?
Bisher ist nichts sichtbar passiert, also kein merkwürdiges Verhalten des Rechners. Habe aber auch erstmal nix laufen außer Firefox.

Avira hat die Datei erstmal in Quarantäne verschoben, vorher habe ich "Wiederherstellungspunkt erstellen" (oder so ähnlich) angeklickt. Wenn ich auf Quarantäne klicke, wird die Datei da auch angezeigt, auch wenn es sich im Bericht für mich so liest, als sei sie garnicht in Quarantäne verschoben worden.
Übrigens habe ich seit Ewigkeiten keinerlei ausführbare Dateien runtergeladen, nur Bilder - mir ist also rätselhaft, wo das Ding überhaupt herkommt.

Warum hat Avira nur 1 Datei in Quarantäne verschoben, obwohl 2 gefunden wurden?

Dies ist der Report:



Avira Free Antivirus
Erstellungsdatum der Reportdatei: Donnerstag, 31. Januar 2013 13:09

Es wird nach 4892059 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira Free Antivirus
Seriennummer : (die Angabe lösche ich mal, weil ich denke, dass sie vielleicht zuviel über mich preisgibt und hoffentlich nicht notwendig ist)
Plattform : Microsoft Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : (gelöscht weil: siehe oben)

Versionsinformationen:
BUILD.DAT : 12.1.9.1236 40872 Bytes 11.10.2012 15:29:00
AVSCAN.EXE : 12.3.0.48 468256 Bytes 15.11.2012 17:32:34
AVSCAN.DLL : 12.3.0.15 66256 Bytes 10.05.2012 11:05:07
LUKE.DLL : 12.3.0.15 68304 Bytes 10.05.2012 11:05:08
AVSCPLR.DLL : 12.3.0.14 97032 Bytes 10.05.2012 11:05:09
AVREG.DLL : 12.3.0.17 232200 Bytes 11.05.2012 11:04:19
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 19:18:34
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 10:07:39
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 10:52:20
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 10:50:52
VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 12:49:50
VBASE005.VDF : 7.11.34.116 4034048 Bytes 29.06.2012 07:19:53
VBASE006.VDF : 7.11.41.250 4902400 Bytes 06.09.2012 19:02:37
VBASE007.VDF : 7.11.50.230 3904512 Bytes 22.11.2012 19:43:35
VBASE008.VDF : 7.11.55.142 2214912 Bytes 03.01.2013 12:55:52
VBASE009.VDF : 7.11.55.143 2048 Bytes 03.01.2013 12:55:52
VBASE010.VDF : 7.11.55.144 2048 Bytes 03.01.2013 12:55:52
VBASE011.VDF : 7.11.55.145 2048 Bytes 03.01.2013 12:55:52
VBASE012.VDF : 7.11.55.146 2048 Bytes 03.01.2013 12:55:52
VBASE013.VDF : 7.11.55.196 260096 Bytes 04.01.2013 12:55:49
VBASE014.VDF : 7.11.56.23 206848 Bytes 07.01.2013 15:48:43
VBASE015.VDF : 7.11.56.83 186880 Bytes 08.01.2013 15:48:43
VBASE016.VDF : 7.11.56.145 135168 Bytes 09.01.2013 18:42:02
VBASE017.VDF : 7.11.56.211 139776 Bytes 11.01.2013 18:42:03
VBASE018.VDF : 7.11.57.11 153088 Bytes 13.01.2013 18:41:32
VBASE019.VDF : 7.11.57.75 165888 Bytes 15.01.2013 18:41:36
VBASE020.VDF : 7.11.57.163 190976 Bytes 17.01.2013 12:35:04
VBASE021.VDF : 7.11.57.219 119808 Bytes 18.01.2013 13:39:55
VBASE022.VDF : 7.11.58.7 167936 Bytes 21.01.2013 12:00:55
VBASE023.VDF : 7.11.58.49 140288 Bytes 22.01.2013 17:59:16
VBASE024.VDF : 7.11.58.119 137728 Bytes 24.01.2013 19:21:55
VBASE025.VDF : 7.11.58.175 132608 Bytes 25.01.2013 12:51:47
VBASE026.VDF : 7.11.58.213 116736 Bytes 27.01.2013 12:51:47
VBASE027.VDF : 7.11.58.236 1738752 Bytes 28.01.2013 17:09:16
VBASE028.VDF : 7.11.58.237 2048 Bytes 28.01.2013 17:09:16
VBASE029.VDF : 7.11.58.238 2048 Bytes 28.01.2013 17:09:16
VBASE030.VDF : 7.11.58.239 2048 Bytes 28.01.2013 17:09:16
VBASE031.VDF : 7.11.59.52 146432 Bytes 30.01.2013 17:09:10
Engineversion : 8.2.10.238
AEVDF.DLL : 8.1.2.10 102772 Bytes 10.07.2012 11:35:04
AESCRIPT.DLL : 8.1.4.84 467322 Bytes 25.01.2013 19:22:07
AESCN.DLL : 8.1.10.0 131445 Bytes 13.12.2012 16:15:48
AESBX.DLL : 8.2.5.12 606578 Bytes 16.06.2012 08:14:56
AERDL.DLL : 8.2.0.88 643444 Bytes 11.01.2013 18:42:13
AEPACK.DLL : 8.3.1.2 819574 Bytes 21.12.2012 16:59:54
AEOFFICE.DLL : 8.1.2.50 201084 Bytes 06.11.2012 11:49:34
AEHEUR.DLL : 8.1.4.182 5706104 Bytes 25.01.2013 19:22:05
AEHELP.DLL : 8.1.25.2 258423 Bytes 12.10.2012 11:05:29
AEGEN.DLL : 8.1.6.16 434549 Bytes 25.01.2013 19:22:01
AEEXP.DLL : 8.3.0.14 188788 Bytes 25.01.2013 19:22:08
AEEMU.DLL : 8.1.3.2 393587 Bytes 10.07.2012 11:35:03
AECORE.DLL : 8.1.30.0 201079 Bytes 13.12.2012 16:15:47
AEBB.DLL : 8.1.1.4 53619 Bytes 06.11.2012 11:49:29
AVWINLL.DLL : 12.3.0.15 27344 Bytes 10.05.2012 11:05:06
AVPREF.DLL : 12.3.0.32 50720 Bytes 15.11.2012 17:32:33
AVREP.DLL : 12.3.0.15 179208 Bytes 10.05.2012 11:05:09
AVARKT.DLL : 12.3.0.33 209696 Bytes 15.11.2012 17:32:33
AVEVTLOG.DLL : 12.3.0.15 169168 Bytes 10.05.2012 11:05:07
SQLITE3.DLL : 3.7.0.1 398288 Bytes 10.05.2012 11:05:09
AVSMTP.DLL : 12.3.0.32 63480 Bytes 10.08.2012 11:49:06
NETNT.DLL : 12.3.0.15 17104 Bytes 10.05.2012 11:05:08
RCIMAGE.DLL : 12.3.0.31 4444408 Bytes 10.08.2012 11:48:55
RCTEXT.DLL : 12.3.0.32 98848 Bytes 15.11.2012 17:32:26

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: AVGuardAsyncScan
Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\AVGUARD_510a5d34\guard_slideup.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: vollständig
Abweichende Gefahrenkategorien........: +APPL,

Beginn des Suchlaufs: Donnerstag, 31. Januar 2013 13:09
C:\Dokumente und Einstellungen\user\Anwendungsdaten\SuperPump\updater.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Agent.260608.2
Der Systemwiederstellungspunkt wurde erfolgreich angelegt.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Your Image File Name Here without a path\Debugger> wurde erfolgreich entfernt.
Der Registrierungseintrag <HKEY_USERS\S-1-5-21-436374069-1078081533-1644491937-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideIcons> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\S-1-5-21-436374069-1078081533-1644491937-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\CompuCare Check for updates> wurde erfolgreich entfernt.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Netzmanager_Service.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RtkBtMnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.BIN' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Mausarm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WindowsSearch.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'updater.exe' - '1' Modul(e) wurden durchsucht
Modul ist infiziert -> <C:\Dokumente und Einstellungen\user\Anwendungsdaten\SuperPump\updater.exe>
[FUND] Ist das Trojanische Pferd TR/Dldr.Agent.260608.2
[HINWEIS] Prozess 'updater.exe' wurde beendet
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '520ec49b.qua' verschoben!
[HINWEIS] Der Registrierungseintrag <HKEY_USERS\S-1-5-21-436374069-1078081533-1644491937-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\CompuCare Check for updates> wurde erfolgreich repariert.
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EEventManager.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'pptd40nt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winampa.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxpers.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxsrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'brss01a.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'brsvc01a.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
C:\Dokumente und Einstellungen\user\Anwendungsdaten\SuperPump\updater.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Agent.260608.2
[HINWEIS] Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
[HINWEIS] Die Datei existiert nicht!

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\Dokumente und Einstellungen\user\Anwendungsdaten\SuperPump\updater.exe'
Der zu durchsuchende Pfad C:\Dokumente und Einstellungen\user\Anwendungsdaten\SuperPump\updater.exe konnte nicht geöffnet werden!
Systemfehler [2]: Das System kann die angegebene Datei nicht finden.


Ende des Suchlaufs: Donnerstag, 31. Januar 2013 13:15
Benötigte Zeit: 05:56 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

0 Verzeichnisse wurden überprüft
2777 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
2775 Dateien ohne Befall
32 Archive wurden durchsucht
0 Warnungen
2 Hinweise


Ich danke schonmal im Voraus für jede Antwort und jeden Hilfeversuch!