Hallo Leute,
mein AntiVir hat eine Trojaner gefunden. Als Quelle gibt mir das Programm C:\WINDOWS\Downloaded Programm Files\imloader.exe an.
Kann ich das denn so ohne weiteres löschen, oder würde ich somit eine wichtige Datei entfernen?
Ich kenn mich da leider überhaupt nicht aus...
Aber vl kann mir ja trotzdem jemand helfen! Würd mich freuen,
ciao Sigi

Wie lautet die genaue Schädlingsbezeichnung? Kannst ja mal die Datei imloader.exe bei Kaspersky auswerten lassen und das Ergebnis posten.

Poste bitte auch so ein Logfile.

Also die Meldung lautet: Ist das tojanische Pferd TR/Dldr.ImLoader.B
Die beschädigte Datei befindet sich im moment übrigens in Quarantäne von Avira AntiVir. hoffe das hilft weiter.

Hier das Logfile:
Logfile of HijackThis v1.99.1
Scan saved at 20:58:15, on 13.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Telekom\Eumex 404PC\Capictrl.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BROWSER\BROWSER.EXE
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
c:\programme\t-online\t-online_software_5\browser\dlman.exe
C:\Dokumente und Einstellungen\Sigrid\Eigene Dateien\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [routcnf] C:\Programme\Telekom\Eumex 404PC\routcnf.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://install.serviceurl.de/StarInstall.ocx
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{03581B30-B040-48E9-AD9C-C4A17BC5A6AC}: NameServer = 217.237.151.97 217.237.149.225
O17 - HKLM\System\CS1\Services\Tcpip\..\{03581B30-B040-48E9-AD9C-C4A17BC5A6AC}: NameServer = 217.237.151.97 217.237.149.225
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

Zitat:

O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://install.serviceurl.de/StarInstall.ocx

Das sieht imho nach einem Dialer aus! Hast Du eine DSL-Verbindung? Ansonsten lässt sich anhand des Logfiles nicht auf weitere Malware schließen. Du könntest mal ein Onlinescan bei Kaspersky machen!

Okay, nachdem ich heute morgen den gleichen Virus nochmal in einer anderen Datei gefunden habe, mache ich mir jetzt wirklich Sorgen...
Hier ist mal das Ergebnis von

Kaspersky File Scanner
Attention!
Kaspersky Anti-Virus has detected a virus in the file you have submitted.

We suggest that you consider:

Reading about the virus/viruses in our Virus Encyclopedia

Downloading a trial version of Kaspersky Anti-Virus

Purchasing a copy of Kaspersky Anti-Virus in our E-Store

Purchasing Kaspersky Anti-Virus from a certified partner


Scanned file: imloader.exe - Infected

imloader.exe - infected by not-a-virus: Downloader.Win32.ImLoader.b


Statistics:
Known viruses: 188543 Updated: 17-04-2006
File size (Kb): 390 Virus bodies: 1
Files: 1 Warnings: 0
Archives: 0 Suspicious: 0



Ich hoffe du kannst damit mehr anfangen als ich...
Und ja, ich habe eine DSL-Verbindung. Achso, und eine bescheidene Frage, was genau ist eigtl ein Dialer?

@Sigrid

Zitat:

Und ja, ich habe eine DSL-Verbindung.

Das ist gut so. Bitte im Laufe der PC-Säuberung deinstalleire T-Online-Software und richte die DSL-Verbindung . wie hier beschreiben, aus. Es spart die Startzeit und Systemressoursen gewaltig.
Als Web-Browser soll man sich Etwas aus der Reihe aussuchen: Mozilla-Firefox-Opera. Als E-Mail Programm könntest Du E-Mail-Modul von Mozilla oder Opera oder Thunderbird, als eigenständiges Programm, verwenden.

Zitat:

was genau ist eigtl ein Dialer?

http://cidres-security.de/dialer.html

Okay, also das hab ich soweit jetzt eigtl verstanden,
Bloß bleibt mir dann immer noch die frage, wie ich den Dialer oder was auch immer es ist wieder loskrieg, ohne irgendwelche (evtl wichtigen) Daten zu löschen?

@Sigrid
Lösche die Datei: C:\WINDOWS\Downloaded Programm Files\imloader.exe
Fixe mit HijackThis alle Einträge, wo der Name imloader auftaucht. Wie man das tut- lese bitte die Anleitung.

Hallo Sigrid,
du wechselst in den "abgesicherten Modus" (Taste F8 beim Starten gedrückt halten.Mit den Pfeiltasten "abgesicherter Modus" auswählen.Nix anderes bitte !
Eingabetaste und warten bis sich was tut.Das erscheinende Bild wird dir merkwürdig vorkommen,ist aber richtig so.Dann läßt du dein Antivir laufen als "Fullscan" bzw.kompletter Systemscan.Lösche was gefunden wird.Kiste ausschalten und gut ist.Beim erneuten Einschalten wird alles so sein wie es war.
Irrlicht