Hallo Forum! Heute früh bekam ich beim Hochfahren des Computers vom Antvir Guard die Warnung, es sei ein Trojaner in einem Teil von Malwarebytes. Bei der Untersuchung der betreffenden Datei mit Antivir wurde der Fund bestätigt:

Beginn des Suchlaufs: Freitag, 10. Oktober 2008 07:53

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'D:\Programme\Malwarebytes' Anti-Malware\mbam-dor.exe'
D:\Programme\Malwarebytes' Anti-Malware\mbam-dor.exe
[FUND] Ist das Trojanische Pferd TR/Drop.Agent.ckm
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '494fee56.qua' verschoben!

Von der Quarantäne aus habe ich die Datei nach Avira gemeldet, allerdings bekommt man dann von denen (als Gratisnutzer?) keine Beurteilung sondern nur eine Empfangsbestätigung.
Ich habe dieselbe Datei auf meinem alten Laptop von Antivir prüfen lassen und bekam keine Virenmeldung.
Mein HijachThis Logfile :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:13:55, on 10.10.2008
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: XXX

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\System32\svchost.exe
C:\Programme\SiteAdvisor\6261\SAService.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
C:\Programme\SiteAdvisor\6261\SiteAdv.exe
C:\Programme\Spamihilator\spamihilator.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_06\bin\jusched.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
D:\Programme\Privoxy\privoxy.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Microsoft Office\Office\WINWORD.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = *******=127.0.0.1:8118;*******s=127.0.0.1:8118;ftp=127.0.0.1:8118;gopher=127.0.0.1:8118;socks=localhost:9050
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1;<local>
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Programme\SiteAdvisor\6261\SiteAdv.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Programme\SiteAdvisor\6261\SiteAdv.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [SiteAdvisor] "C:\Programme\SiteAdvisor\6261\SiteAdv.exe"
O4 - HKLM\..\Run: [Spamihilator] "C:\Programme\Spamihilator\spamihilator.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_06\bin\jusched.exe"
O4 - HKCU\..\Run: [ccleaner] "C:\Programme\CCleaner\CCleaner.exe" /AUTO
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Privoxy.lnk = D:\Programme\Privoxy\privoxy.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - *******://vvvv.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1201448707180
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - *******://vvvv.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1203713975375
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: SiteAdvisor-Dienst (SiteAdvisor Service) - Unknown owner - C:\Programme\SiteAdvisor\6261\SAService.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

--
End of file - 4816 bytes

Mein System:
Betriebssystem Microsoft Windows 2000 Professional Computername *******-HPX6UCG DirectX 4.09.00.0904 (DirectX 9.0c) OS Service Pack Service Pack 4 Motherboard: CPU Typ Intel Pentium II, 350 MHz (3.5 x 100) Motherboard Name Intel Rochester RC440BX Motherboard Chipsatz Intel 82440BX/ZX Arbeitsspeicher 256 MB (PC100 SDRAM) BIOS Typ AMI (10/02/98) . Ich benutze einen LAN-Hardware-Router von Netgear. Der Computer läuft normal.

Zu dem angegebenen Trojaner findet man bei Google nicht viel. Ist es ein Fehlalarm? Der letzte Test mit Antivir war am 04.10.2008 ohne Fund. Der letzte Test mit Malwarebytes war gestern ohne Fund.
Jetzt sitzt die beschuldigte Datei in der Quarantäne. Wie kann ich sie bei Jotti testen lassen? Soll ich sie in einen Ordner wiederherstellen? Was soll ich tun? Dank und Gruß an alle harlud

Hi,

es kann einige Tage dauern, bis die Bewertung kommt. Du solltest noch eine Mail bekommen, in der die Einstufung der Datei erklärt wird.

Ich würde auf einen Fehlalarm tippen. McAfee und ClamAV haben in den letzten Tagen diese Datei bereits fälschlich erkannt und das Problem behoben.

Eventuell wurde das Problem bereits behoben? Ein Test auf meinem Rechner ergab keinen Befund.
Stell die Datei vielleicht erstmal in einen anderen Ordner wieder her und lass sie erneut von Antivir scannen. Wenn die Datei weiterhin bemängelt wird, lade sie bitte mal bei Jotti ode Virustotal hoch.

lg myrtille

Hallo Myrtille! Hier das Ergebnis von Jotti:
Service
Service load:
0% 100%
File: mbam-dor.exe
Status:
POSSIBLY INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) (Note: this file was only classified as malware by scanners known to generate more false positives than the average scanner. Do not consider these results definately accurate. Also, because of this, results of this scan will not be recorded in the database.)
MD5: 214accbd13a96b67eb619579c7b61eed
Packers detected:
-
Scanner results
Scan taken on 10 Oct 2008 12:30:51 (GMT)
A-Squared
Found nothing
AntiVir
Found TR/Drop.Agent.ckm
ArcaVir
Found nothing
Avast
Found nothing
AVG Antivirus
Found nothing
BitDefender
Found nothing
ClamAV
Found Joke.FakeInfect
CPsecure
Found nothing
Dr.Web
Found nothing
F-Prot Antivirus
Found nothing
F-Secure Anti-Virus
Found nothing
G DATA
Found nothing
Ikarus
Found nothing
Kaspersky Anti-Virus
Found nothing
NOD32
Found nothing
Norman Virus Control
Found nothing
Panda Antivirus
Found nothing
Sophos Antivirus
Found nothing
VirusBuster
Found nothing
VBA32
Found nothing

Powered by
images/asquared.png images/antivir.png images/arcabit.png images/avast.png images/avg.gif
Ich muß jetzt dringend wieder zur Arbeit. Bis später harlud

Hi,

ich würde die Antwort von Antivir abwarten.

lg myrtille

Hallo Myrtille! Ich befürchte, daß ich da lange warten kann:
Avira schrieb nämlichZitat)
"Sehr geehrte Damen und Herren,

vielen Dank fuer Ihre Email.

Die von Ihnen zugesandte Datei wurde an unser Virenlabor weitergeleitet.

Wir bitten um Ihr Verst�ndnis, dass aufgrund zahlreicher Anfragen keine
pers�nliche R�ckantwort m�glich ist.

Vielen Dank f�r Ihre Mithilfe zur Verbesserung des Virenschutzes.


Freundliche Gr�sse

AntiVir Personal Support Team
http://www.avira.de/" (Ende des Zitates)

Beide entsprechenden Dateien mbam-dor.exe hatten dieselbe Größe, nämlich 371 KB auf beiden Computern. Alarm gabs aber nur auf einem.
Viele Grüße harlud

Hi,

ok, da hab ich dich wohl missverstanden, ich dachte du hättest die Datei als Fehlalarm hochgeladen.

Im Aviraforum wird das Thema ebenfalls behandelt.

Es sollte also bald klar sein, wo das Problem liegt.

Welches Betriebssystem lief auf dem Rechner, auf dem keine Warnung kam?

lg myrtille

Hallo Myrtille! Auf beiden Computern läuft win2000 mit SP 4. Auf dem Computer mit der Warnung ist allerdings noch Microsoft.Net Framework 2.0 mit Sevicepack 1. Gruß harlud

Hallo Myrtille!
Das Problem scheint gelöst zu sein. Das alte Laptop hatte eine etwas neuere (Virendefinitionsdatei 7.00.07.23 vom 10.10.2008 von etwa 13 Uhr) als der Rechner mit der Warnung (Virendefinitionsdatei 7.00.07.20 vom 09.10.2008von ca. 7 Uhr). Bei der neuesten Virendefinitionsdatei (7.00.07.27 vom 10.10.2008 ca. 19 Uhr) tritt das Problem nicht mehr auf:
(Zitat)
"Beginne mit der Suche in 'C:\...\mbam-dor.exe'
Ende des Suchlaufs: Freitag, 10. Oktober 2008 19:54
Benötigte Zeit: 00:23 Minute(n)
Der Suchlauf wurde vollständig durchgeführt.
0 Verzeichnisse wurden überprüft
1 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft" (Ende des Zitates)


Avira hat also offenbar schon reagiert.
Danke für die Hilfe, Gruß harlud

Danke fürs Rückmelden.

lg myrtille