Hallo,

ich habe eine Frage:
Hijackthis hat mir angezeigt, dass beim Start automatisch eine Datei C:\windows\system\mps.exe gestartet wird.

Ein Scan dieser Datei auf virustotal.com ergab, dass ausschließlich der Ikarus den Trojaner Trojan-SPY.WIN32.AGENT.OY erkannt haben will, alle anderen haben keinen Virus gefunden.

Was soll ich jetzt tun? Kennt jemand diese Datei und kann sie zuordnen oder soll ich sie sicherheitshalber entfernen? Oder kann man noch was ganz anderes tun?

Andreas

Hallo Andreas. Poste doch mal bitte das HJT logfile.

Gruss Undoreal

Hallo,

hier das Logfile:


Logfile of HijackThis v1.99.1
Scan saved at 18:03:34, on 04.02.2007
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\PDESK.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\WINDOWS\SYSTEM\MPS.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\FREECELL.EXE
C:\PROGRAMME\OUTLOOK EXPRESS\MSIMN.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE
C:\PROGRAMME\WINZIP\WINZIP32.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE
C:\PROGRAMME\CANON\MULTIPASS4\MPDBMGR.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://de.docs.yahoo.com/XXXXXinfo/ie6.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.yahoo.com/XXXXsearch?p=%s
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\WINDOWS\DOWNLOADED PROGRAM FILES\YCOMP5_3_18_0.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Yahoo! Assistent - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\WINDOWS\DOWNLOADED PROGRAM FILES\YCOMP5_3_18_0.DLL
O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAM FILES\MSN TOOLBAR\01.01.2607.0\DE\MSNTB.DLL
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINDOWS\SYSTEM\PDesk.exe /Autolaunch
O4 - HKLM\..\Run: [mps] C:\WINDOWS\SYSTEM\mps.exe /s
O4 - HKLM\..\Run: [EumexInst] "D:\Setup.exe"
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (Yahoo! Assistent) - http://us.dl1.yimg.com/download.companion.yahoo.com/XXXX/toolbar/yiebio5_3_18_0.cab

Werte die Datei C:\windows\system\mps.exe doch mal bei Virustotal oder Jotti aus. Poste die Ergebnisse samt Angaben zu Dateigröße und Prüfsummen.

Hier die Auswertung von virustotal:

File "mps.exe" received on 02.09.2007 at 14:43:25 (CET) is being scanned by VirusTotal in this moment. Results will be shown as they're generated.

Antivirus Version Update Result
AntiVir 7.3.1.36 02.09.2007 no virus found
Authentium 4.93.8 02.09.2007 no virus found
Avast 4.7.936.0 02.09.2007 no virus found
AVG 386 02.08.2007 no virus found
BitDefender 7.2 02.09.2007 no virus found
CAT-QuickHeal 9.00 02.09.2007 no virus found
ClamAV devel-20060426 02.09.2007 no virus found
DrWeb 4.33 02.09.2007 no virus found
eSafe 7.0.14.0 02.09.2007 no virus found
eTrust-Vet 30.4.3382 02.09.2007 no virus found
Ewido 4.0 02.09.2007 no virus found
Fortinet 2.85.0.0 02.09.2007 no virus found
F-Prot 4.2.1.29 02.08.2007 no virus found
F-Secure 6.70.13030.0 02.09.2007 no virus found
Ikarus T3.1.0.31 02.09.2007 Trojan-Spy.Win32.Agent.oy
Kaspersky 4.0.2.24 02.09.2007 no virus found
McAfee 4959 02.08.2007 no virus found
Microsoft 1.2101 02.08.2007 no virus found
NOD32v2 2048 02.09.2007 no virus found
Norman 5.80.02 02.08.2007 no virus found
Panda 9.0.0.4 02.09.2007 no virus found
Prevx1 V2 02.09.2007 no virus found
Sophos 4.13.0 02.08.2007 no virus found
Sunbelt 2.2.907.0 02.09.2007 no virus found
Symantec 10 02.09.2007 no virus found
TheHacker 6.1.6.055 02.09.2007 no virus found
UNA 1.83 02.08.2007 no virus found
VBA32 3.11.2 02.08.2007 no virus found
VirusBuster 4.3.19:9 02.08.2007 no virus found

Aditional Information
File size: 40960 bytes
MD5: 7d614d96b52472052b30d1779476b817
SHA1: 145a2e15c9785313ef91faa74fe21f0306cd74cc



Vielen Dank schonmal für Eure Hilfe!

Kann ich hier von einem Trojaner ausgehen oder findet ikarus eher etwas was gar nicht da ist?