Antivir hat heute 2 Trojaner gefunden, die ich sicherheitshalber erstmal in die Quarantäne geschoben habe.
Da ich mir nicht sicher bin, ob ein löschen mit Antivir die richtige und Erfolg versprechende Lösung ist möchte ich doch hier lieber mal nachfragen, was zu tun oder zu lassen ist.

Hier erstmal der Antivir-Report



Erstellungsdatum der Reportdatei: Freitag, 24. Februar 2006 11:20


Job Name: 'Lokale Laufwerke'

Es wird nach 318238 Virenstämmen gesucht.

Lizenznehmer: AntiVir PersonalEdition Classic
Seriennummer: 0000149996-WURGE-0001
Plattform: Windows 2000
Windowsversion: (Service Pack 4) [5.0.2195]
Benutzername: SYSTEM
Computername: ***

Versionsinformationen:
AVSCAN.EXE : 7.0.0.21 528424 31.01.2006 10:54:42
AVSCAN.DLL : 7.0.0.21 46632 31.01.2006 10:54:42
LUKE.DLL : 7.0.0.21 114728 31.01.2006 10:54:42
LUKERES.DLL : 7.0.0.21 28200 31.01.2006 10:54:42
ANTIVIR0.VDF : 6.32.0.60 4323840 22.02.2006 08:09:48
ANTIVIR1.VDF : 6.33.0.207 1160192 22.02.2006 08:09:50
ANTIVIR2.VDF : 6.33.1.4 144896 22.02.2006 08:09:52
ANTIVIR3.VDF : 6.33.1.17 30720 22.02.2006 08:09:52
AVEWIN32.DLL : 6.33.0.34 1044992 02.02.2006 10:21:04
AVPREF.DLL : 6.34.0.0 38440 18.01.2006 12:05:54
AVREP.DLL : 6.33.1.0 2392104 22.02.2006 08:09:52
AVPACK32.DLL : 6.33.0.6 331816 09.01.2006 09:03:38
AVREG.DLL : 6.31.0.90 27688 28.07.2005 10:06:24
NETNT.DLL : 6.32.0.0 6696 27.09.2005 07:56:48
NETNW.DLL : 6.32.0.0 9768 27.09.2005 07:56:48


Beginn des Suchlaufs: Freitag, 24. Februar 2006 11:20


Es wird begonnen die Bootsektoren zu durchsuchen:

Bootsektor 'C:'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'D:'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'E:'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'A:'
[HINWEIS] Im Laufwerk 'A:' ist kein Datenträger eingelegt!

Es wird begonnen die Registry nach ausführbaren Programmen zu durchsuchen.

Die Registry wurde durchsucht ( 45 Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\***\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\***\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\rtrm7jl2.default\parent.lock
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\IM\Identities\{D21642D3-F90A-4CDB-B04F-74969E1BBA3B}\Message Store\Attachments\09030002.JPG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\IM\Identities\{D21642D3-F90A-4CDB-B04F-74969E1BBA3B}\Message Store\Attachments\09030003.JPG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\IM\Identities\{D21642D3-F90A-4CDB-B04F-74969E1BBA3B}\Message Store\Attachments\09030004.JPG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\IM\Identities\{D21642D3-F90A-4CDB-B04F-74969E1BBA3B}\Message Store\Attachments\09030007.JPG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\IM\Identities\{D21642D3-F90A-4CDB-B04F-74969E1BBA3B}\Message Store\Attachments\09030008.JPG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\IM\Identities\{D21642D3-F90A-4CDB-B04F-74969E1BBA3B}\Message Store\Attachments\***1.jpg
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\IM\Identities\{D21642D3-F90A-4CDB-B04F-74969E1BBA3B}\Message Store\Attachments\thorsten-030421-0315.jpg
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\ImInstaller\IncrediMail\incredimail_install[2].exe
[FUND] Ist das Trojanische Pferd TR/Dldr.ImLoader.B
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4461f72f.qua' verschoben!
C:\System Volume Information\tracking.log
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINNT\Downloaded Program Files\CONFLICT.3\imloader.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.ImLoader.B
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '446affe5.qua' verschoben!
C:\WINNT\system32\Perflib_Perfdata_584.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINNT\system32\config\default
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINNT\system32\config\default.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINNT\system32\config\SAM
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINNT\system32\config\SAM.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINNT\system32\config\SECURITY
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINNT\system32\config\SECURITY.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINNT\system32\config\software
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINNT\system32\config\software.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINNT\system32\config\system
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINNT\system32\config\SYSTEM.ALT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Der zu durchsuchende Pfad A:\ konnte nicht gefunden werden!
Auf dem Datenträger befindet sich kein erkanntes Dateisystem.
Stellen Sie sicher, dass alle benötigten Dateisystemtreiber geladen sind und dass der Datenträger nicht beschädigt ist.

Der zu durchsuchende Pfad F:\ konnte nicht gefunden werden!
Falscher Parameter.

Der zu durchsuchende Pfad G:\ konnte nicht gefunden werden!
Falscher Parameter.



Ende des Suchlaufs: Freitag, 24. Februar 2006 14:46
Benötigte Zeit: 3:26:33 min

Der Suchlauf wurde vollständig durchgeführt.

5683 Verzeichnisse wurden überprüft
153723 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
2 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2756 Archive wurden durchsucht
60 Warnungen
0 Hinweise

Mit den Warnungen kann ich leider auch nichts anfangen *schäm*

Und hier noch das Hijacklogfile, das für mich genau so ein böhmisches Dorf ist.

Logfile of HijackThis v1.99.1
Scan saved at 14:40:26, on 24.02.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\cleanmgr.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\cdplayer.exe
C:\Programme\FRITZ!DSL\Awatch.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINNT\system32\ctfmon.exe
C:\Programme\Yahoo!\Messenger\ypager.exe
C:\Programme\FRITZ!DSL\FritzDsl.exe
C:\Programme\Trillian\trillian.exe
C:\Programme\Ashampoo\Ashampoo Magic Defrag\bin\aDefragService.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\HiJackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://search.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://keyword.de.netscape.com/keyword/%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\ycomp5_1_6_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\programme\adobe\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\ycomp5_1_6_0.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DeluxeCD] C:\WINNT\System32\cdplayer.exe -tray
O4 - HKLM\..\Run: [TrustInstaller] G:\Setup.exe
O4 - HKLM\..\Run: [iKeyWorks] C:\PROGRA~1\Trust\270KDS~1\Keyboard\Ikeymain.exe
O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\Trust\270KDS~1\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [PMC] C:\Programme\PMC\pmccheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\RunServicesOnce: [TS-Tune2002] "C:\Programme\Tune 2001\tstune.exe"
O4 - HKCU\..\Run: [YAW Autostart] "C:\Programme\YAW\yaw.exe"
O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Programme\Yahoo!\Messenger\ypager.exe" -quiet
O4 - Startup: Fritz!web DSL.lnk = C:\Programme\FRITZ!DSL\FritzDsl.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo!\Companion\Modules\messmod\v2\yhex_O2.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo!\Companion\Modules\messmod\v2\yhex_O2.dll
O9 - Extra button: eBay Toolbar - {92D7F210-7F20-11d3-8157-0090278B20DE} - C:\WINNT\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: eBay Toolbar - {92D7F210-7F20-11d3-8157-0090278B20DE} - C:\WINNT\System32\shdocvw.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {00000000-8c7d-4ea8-b113-9163c935d38e} -
O16 - DPF: {00000000-d9e3-4bc6-a0bd-3d0ca4be5271} -
O16 - DPF: {00000012-890E-4AAC-AFD9-EFF6954A34DD} -
O16 - DPF: {15C3C7A4-9676-11D3-9799-0060087190B9} - h**p://www.media18.de/spezial/active2.exe
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - h**p://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - h**p://216.249.24.141/code/PWActiveXImgCtl.CAB
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (&Yahoo! Companion) - h**p://us.dl1.yimg.com/download.yahoo.com/dl/toolbar/my/yiebio4025.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E4E6A930-E37C-4E4D-AC0D-BD77963D3786}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{F6C89A44-2F86-447E-98C2-6E3B4696587C}: NameServer = 192.168.122.252,192.168.122.253
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ashampoo Defrag Service (AshampooDefragService) - - C:\Programme\Ashampoo\Ashampoo Magic Defrag\bin\aDefragService.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

Ich hoffe auf eure Hilfe und bedanke mich schon mal im voraus
hexy

Evtl. handelt es sich um die Adware-Komponente von Incredimail. Du solltest ein anderes Mailprogramm nutzen. Außerdem führ mal eine Datenträgerbereinigung durch (Start - Programme - System - Datenträgerbereinigung?).

Gruß
Yopie

Datenträgerbereinigung und Defrag habe ich gestern erst durchlaufen lassen. Da dürfte also nichts mehr groß passieren.

Incredi läuft allerdings schon seit ein paar Jahren auf dem Rechner und bisher problemlos. Hatte bis jetzt auch noch keine Probleme mit Viren, Trojanern und co.

Incredimail enthält aber Adware. Es kann sein, dass Antivir das mittlerweile als Trojan/Downloader bezeichnet.

Es gibt so viele gute kostenlose Mailprogramme ohne Werbung. Warum also Incredimail? Weils bunt ist und so schön blinkt?

Gruß
Yopie

Wieder ein Stück schlauer.
Danke

Mit Incredi ist es bei mir wohl eher die Macht der Gewohnheit, dass ich mich (noch) nicht trennen mag

Zitat:

Zitat von hexy

Mit Incredi ist es bei mir wohl eher die Macht der Gewohnheit, dass ich mich (noch) nicht trennen mag

Tja, das kenne ich auch. Ich hatte letztens Thunderbird ausprobiert, aber das war mir dann zu bunt, und so bin ich wieder bei der Mozilla-Suite mit der alten Oberfläche a la Netscape Navigator gelandet. Geschmäcker sind halt verschieden.

Gruß
Yopie

Was mich aber noch stutzig macht, auf meinem anderen Rechner, dieser hier ist nur der Ersatz, wird kein Trojaner gefunden obwohl da auch Incredi drauf läuft *grübel*

Gleiche Versionen von IM, Betriebssystem und AV?

Vielleicht hat IM dort die Werbung noch nicht nachgeladen?

Gruß
Yopie

Auf dem anderen läuft XP, AV ist die gleiche Version nur bei IM bin ich mir nicht so sicher, denke aber die auf diesem Rechner ist eine ältere.

Reicht das nun eigentlich, dass ich die beiden Dateien in die Quarantäne geschickt habe oder soll/muß ich noch was anderes damit anstellen?

Tja, da die Dinger vermutlich eh wiederkommen, falls du Incredimail benutzt, reicht das bloße Verschieben nicht.

Antivir kann sich natürlich auch irren bei seiner Einschätzung! Ich stehe AV-Programmen mindestens ebenso skeptisch gegenüber wie Incredimail.

Gruß
Yopie