Hallo,

ich habe erst vor kurzem ein frisches Windows XP Backup aufgespielt, von dem ich annahm das es Virusfrei ist. Heute habe ich einen Scan mit Escan gemacht und das behauptet folgendes:

Datei C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\ntkrnlpa.exe infiziert von "Trojan-Dropper.Win32.Agent.bwf" Virus.

Ich habe dann die besagte datei zu virustotal hochgeladen. Komischerweise wurde da keine Infektion festgestellt.

Kann das nun ein Fehl Alarm von Escan sein oder ist der Trojaner wirklich drauf?


Danke und viele Grüße

Hier mein HJT Log:

Logfile of HijackThis v1.99.1
Scan saved at 21:48:34, on 16.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\ATK0100\Hcontrol.exe
C:\Progra~1\ASUS\Power4 Gear\BatteryLife.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\Programme\Diskeeper Corporation\Diskeeper\DkService.exe
C:\Programme\M-Audio\Install\EvoInst.exe
C:\WINDOWS\System32\RegSrvc.exe
C:\Programme\Sandboxie\SbieSvc.exe
C:\WINDOWS\system32\Tablet.exe
C:\WINDOWS\system32\WTablet\TabUserW.exe
C:\WINDOWS\system32\Tablet.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\1XConfig.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\totalcmd\TOTALCMD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\*********\Desktop\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ***********
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = ***********
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = ***********
O4 - HKLM\..\Run: [Hcontrol] C:\WINDOWS\ATK0100\Hcontrol.exe
O4 - HKLM\..\Run: [Power_Gear] C:\Progra~1\ASUS\Power4 Gear\BatteryLife.exe 1
O4 - HKLM\..\Run: [PRONoMgr.exe] c:\Programme\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [kis] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Programme\Diskeeper Corporation\Diskeeper\DkIcon.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - Global Startup: PHASE 26 USB ControlPanel.lnk = ?
O8 - Extra context menu item: Add to Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\\ie_banner_deny.htm
O9 - Extra button: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O14 - IERESET.INF: START_PAGE_URL= ***********
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: Sebring - c:\WINDOWS\System32\LgNotify.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)
O23 - Service: Diskeeper - Diskeeper Corporation - C:\Programme\Diskeeper Corporation\Diskeeper\DkService.exe
O23 - Service: M-Audio Installer (EvoInstallerService) - Unknown owner - C:\Programme\M-Audio\Install\EvoInst.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe
O23 - Service: Sandboxie Service (SbieSvc) - tzuk - C:\Programme\Sandboxie\SbieSvc.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\system32\Tablet.exe

Hallo.

Zitat:

Datei C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\ntkrnlpa.exe infiziert von "Trojan-Dropper.Win32.Agent.bwf" Virus.
Ich habe dann die besagte datei zu virustotal hochgeladen. Komischerweise wurde da keine Infektion festgestellt.

Das sieht ganz stark nach einem Fehlalarm aus.
Könntest du mal die Prüfsummen (md5/sha1) der von escan angemeckerten Datei posten?

Hallo Cosinus danke für deine Hilfe.
Ich habe heute noch einen Scan mit escan gemacht und da hat es nichts gefunden:

Mon Sep 17 13:24:59 2007 => Scanne Datei C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\ntkrnlpa.exe

Meinst du das alles klar ist oder soll ich die Prüfsummen trotzdem posten?

Gruß

Poste mal die Prüfsummen. So kann man genauere Rückschlüsse ziehen.

gut hier kommen die Prüfsummen von Virustotal zur ntkrnlpa.exe:

Additional information
File size: 2059264 bytes
MD5: ae8364004bbfd70461d2ef34888d3360
SHA1: 022a199f605f3c454541065ce1aac9f3d0faf574

Die Datei mit diesen Eigenschaften ist sauber. Ist eine Windows-Systemdatei:

Zitat:

Zitat von hijackthis.de

MD5: AE8364004BBFD70461D2EF34888D3360
SHA1: 022A199F605F3C454541065CE1AAC9F3D0FAF574
CRC32: 28C59759
Size: 2059264 Bytes
Description: NT-Kernel und -System
Language: Deutsch (Deutschland)
Version: 5.1.2600.2622 (xpsp.
Manufacturer: Microsoft Corporation
Runs not in System32, Is not related to a firewall, Is not related to an antivirusscanner

Der Fehlalarm wurde damit nachgewiesen.

Super, vielen Dank für die kompetente Hilfe.