Hallo!
Hab schon seit ewigkeiten Norton Antivirus installiert. Bisher nie Probleme mit Viren und Trojanern gehabt. Mein Virendefinitionsabbonements ist jedoch schon seit geraumer Zeit abgelaufen. Deswegen dachte ich mir AntiVir mal zu installen.

Nach der Installation hab ich nicht schlecht gestaunt..und zwar wurde im Windows Temp Ordner die Datei Tmp1.tmp als DR/Agent.age und demnach als Trojaner identifiziert. Die erste Warnmeldung zeigt jedoch das der Trojaner im Verzeichnis unter Antivir selbst gefunden wurde also unter Eigene Dateien. Komischerweise hat mein Norton Antivirus, 1 sek. nachdem Antivir erstmals den Trojaner entdeckt hat auch eine Warnmeldung mit Backdoor.Trojan aufgezeigt.

Ist es vielleicht möglich das ich mit Antivir einen Trojaner geladen habe?? Hab die Software von einem Downloadportal, ist die normale kostenlose version für privatanwender.

Wenn ich Antivir nun durchlaufen lasse, erkennt er in der Datei Tmp(zahlen aufsteigend).tmp immer wieder neue infizierte Dateien. Reicht mittlerweile schon bis Tmp98.tmp.

Ich schätze mal um ein Neuaufsetzen des Systems werde ich nicht drum herum kommen, oder was meint ihr??
Habe meine Festplatte in 4 Partionen aufgeteilt und auf einer separat Windows abgelegt. Können Dokumente (word/excel...) von anderen Partitonen mit viren infiziert worden sein, oder wäre dies eher unwahrscheinlich??

Würde mich sehr über eine paar tipps freuen.

Danke schonmal!!

Downloade dir http://download.hijackthis.eu/hijackthis_199.zip
Entpacke es in einen eigenen Ordner und klicke auf "Hijackthis.exe". -> "Do a system scan only and safe log", danach dürfte sich bald ein Textdokument öffnen. Den Inhalt kopierst du ab und postest es hier.


Dokumente können auch infiziert werden ( z.B. von Makroviren ) jedoch denke ich nicht, dass sie infiziert wurden.


Wahrscheinlich musst du aber alles neu aufsetzen.


Win32/Jeefo

Hier mal das Log-File:

Logfile of HijackThis v1.99.1
Scan saved at 17:54:31, on 15.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\twain_32\C6U14K\WATCH.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\PROGRA~1\NORTON~2\NORTON~1\GHOSTS~2.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\PROGRA~1\NORTON~2\SPEEDD~1\nopdb.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\NMain.exe
C:\PROGRA~1\FIREFOX\FIREFOX.EXE
E:\Programme\WinRar\WinRAR.exe
C:\DOKUME~1\We\LOKALE~1\Temp\Rar$EX00.657\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - f:\programme\Adobe Acrobat Reader\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~3\AdvTools\ADVCHK.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Watch.lnk = C:\WINDOWS\twain_32\C6U14K\WATCH.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-24.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F6288D32-C532-414F-B1D7-8108388601FE}: NameServer = ***.***.***.*** ***.***.***.***
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\NORTON~2\NORTON~1\GHOSTS~2.EXE
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~2\SPEEDD~1\nopdb.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

Hallo.

Kennst du diese Domain:

O17 - HKLM\System\CCS\Services\Tcpip\..\{F6288D32-C532-414F-B1D7-8108388601FE}: NameServer = ***.***.***.*** ***.***.***.***

wenn nicht oder du dir unsicher bist, fixen!

Dann zu deinem Problem.
Das ist eine schwierige Sache.
Dein Log sieht sauber aus,

Aber das hat leider nichts zu heissen.

Hilfreich waere ein logFile von deinem AntiVir um ueberhaupt zu wissen was du auf deinem System hattest/hast.
-Update AniVir
-stelle in den erweiterten Einstellungen die hoechste Sicherheitsstufe ein ALLE DATEIEN DURCHSUCHEN
-wechsel in den abgesicherten Modus (f8 beim hochfahren) und mache dann einen vollen Systemscann.

Wenn wir dabei schon unheilvolle Meldungen bekommen kannst du dir eScan und alles weitere sparen und neu auf setzen.

Mfg Undoreal

Bin mal meine Protokollanzeige von Norton Antivirus durchgegangen!


06.10.06
Quelle: Foto-Bild-06__JPG.com
Beschreibung: Der E-Mail-Anhang Foto-Bild-06__JPG.com ist mit dem Virus Backdoor.Trojan infiziert.
Klicken Sie hier, um weitere Informationen über diese Bedrohung zu erhalten: Backdoor.Trojan
AUTOMATISCH GELÖSCHT!

13.02.07
Quelle: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\TEMP\AVSCAN-20070213-223206-F8F2DA69\AVSCAN-20070213-224549-A87A8A8F.AV$
Klicken Sie hier, um weitere Informationen über diese Bedrohung zu erhalten: Backdoor.Trojan
AUTOMATISCH GELÖSCHT!

13.02.07
Quelle: C:\WINDOWS\Temp\tmp4C.tmp
Klicken Sie hier, um weitere Informationen über diese Bedrohung zu erhalten: Backdoor.Trojan
REPARATUR FEHLGESCHLAGEN!

Was mich ein wenig verwundert ist, dass der Virus/Trojaner im Dokumente und Einstellungen Ordner von Antivir gefunden wurde und auch erst nachdem ich antivir installiert habe es von norton antivirus erkannt wurde..….??

Es wurde da eine längere Domain/IP oder was auch immer angegeben..hab sie nur unerkenntlich gemacht, könnte dies vielleicht weiterhelfen, wenn ich sie hier poste?? kenn mich da ja nun nicht so wirklich aus...

hab jedenfalls mal nach tcpip gesucht..stammt vom servicepackfile bzw. system32\drivers, letzter zugriff/geändert 2004.

Zitat:

Zitat von undoreal

Hallo.

Kennst du diese Domain:

O17 - HKLM\System\CCS\Services\Tcpip\..\{F6288D32-C532-414F-B1D7-8108388601FE}: NameServer = ***.***.***.*** ***.***.***.***

wenn nicht oder du dir unsicher bist, fixen!

Dann zu deinem Problem.
Das ist eine schwierige Sache.
Dein Log sieht sauber aus,

Aber das hat leider nichts zu heissen.

Hilfreich waere ein logFile von deinem AntiVir um ueberhaupt zu wissen was du auf deinem System hattest/hast.
-Update AniVir
-stelle in den erweiterten Einstellungen die hoechste Sicherheitsstufe ein ALLE DATEIEN DURCHSUCHEN
-wechsel in den abgesicherten Modus (f8 beim hochfahren) und mache dann einen vollen Systemscann.

Wenn wir dabei schon unheilvolle Meldungen bekommen kannst du dir eScan und alles weitere sparen und neu auf setzen.

Mfg Undoreal

Hier mal der Scan von Antivir.

AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Donnerstag, 15. Februar 2007 21:02

Es wird nach 672524 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: We
Computername: W

Versionsinformationen:
BUILD.DAT : 217 12749 Bytes 05.12.2006 16:57:00
AVSCAN.EXE : 7.0.3.5 208936 Bytes 15.02.2007 19:51:06
AVSCAN.DLL : 7.0.3.0 35880 Bytes 26.10.2006 19:54:37
LUKE.DLL : 7.0.3.2 143400 Bytes 31.10.2006 16:07:43
LUKERES.DLL : 7.0.2.0 9256 Bytes 19.10.2006 08:27:59
ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31.05.2006 08:15:44
ANTIVIR1.VDF : 6.37.0.153 3131392 Bytes 12.01.2007 19:51:07
ANTIVIR2.VDF : 6.37.1.85 598016 Bytes 14.02.2007 19:51:07
ANTIVIR3.VDF : 6.37.1.99 20480 Bytes 15.02.2007 19:51:07
AVEWIN32.DLL : 7.3.1.37 2306560 Bytes 15.02.2007 19:51:08
AVPREF.DLL : 7.0.2.0 23592 Bytes 03.11.2006 09:56:47
AVREP.DLL : 6.37.1.1 1105960 Bytes 15.02.2007 19:51:08
AVRPBASE.DLL : 7.0.0.0 2162728 Bytes 30.03.2006 08:43:10
AVPACK32.DLL : 7.2.0.5 368680 Bytes 23.10.2006 15:21:31
AVREG.DLL : 7.0.1.2 30760 Bytes 15.02.2007 19:51:06
NETNT.DLL : Keine Information!
RCIMAGE.DLL : 7.0.1.3 2097192 Bytes 08.11.2006 12:26:22
RCTEXT.DLL : 7.0.12.0 77864 Bytes 22.11.2006 13:17:43

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Manuelle Auswahl
Konfigurationsdatei..............: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\PROFILES\folder.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche Speicher..............: ein
Durchsuche Laufende Programme....: ein
Durchsuche Registrierung.........: ein
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Donnerstag, 15. Februar 2007 21:02

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Module wurden durchsucht
Es wurden '11' Prozesse mit '11' Modulen durchsucht

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( 11 Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <System>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Programme\Norton AntiVirus\Quarantine\286F0180.av$
[FUND] Ist das Trojanische Pferd TR/Drop.Agent.age
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '460abebe.qua' verschoben!
C:\Programme\Norton AntiVirus\Quarantine\28722B7C.tmp
[FUND] Ist das Trojanische Pferd TR/Drop.Agent.age
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '460bbec1.qua' verschoben!
C:\Programme\Norton AntiVirus\Quarantine\6A4F6C13
[FUND] Ist das Trojanische Pferd TR/Drop.Agent.age
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4608bece.qua' verschoben!
C:\Programme\Norton AntiVirus\Quarantine\78E80183.tmp
[FUND] Ist das Trojanische Pferd TR/Drop.Agent.age
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4619bec9.qua' verschoben!


Ende des Suchlaufs: Donnerstag, 15. Februar 2007 21:29
Benötigte Zeit: 27:10 min

Der Suchlauf wurde vollständig durchgeführt.

2245 Verzeichnisse wurden überprüft
101050 Dateien wurden geprüft
4 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
4 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
101046 Dateien ohne Befall
741 Archive wurden durchsucht
1 Warnungen
1 Hinweise

Hallo,
das hier genügt schon....

Zitat:

06.10.06
Quelle: Foto-Bild-06__JPG.com
Beschreibung: Der E-Mail-Anhang Foto-Bild-06__JPG.com ist mit dem Virus Backdoor.Trojan infiziert.
Klicken Sie hier, um weitere Informationen über diese Bedrohung zu erhalten: Backdoor.Trojan

Die genaue Bezeichnung wurde zwar nicht mitgeliefert,aber "backdoor" reicht vollkommen aus um dich in die Sektion "Anleitungen,FAQ,Link`s " zu schicken.Dort suchst du dir den Thread zum Thema "euaufsetzen des Systems und die anschließende Absicherung"

Noch ein Wort am Rande...
Wenn du das öffnen von Mailanhängen nicht bleiben läßt,schlage ich vor du tauscht deine Kiste gegen eine Playstation.Da schickt dir nämlich niemand verseuchte Mailanhänge,die du dann dämlicherweise öffnen kannst...
Ist das zu dir noch nicht durchgedrungen,das Mailanhänge aus unbekannter Quelle immer "bäh" sind und niemals geöffnet werden dürfen ?
Irrlicht