Hallo ihr Lieben,
ich habe heute schon viel gegoogelt, aber immer noch nicht arg viel schlauer geworden.
Ich habe zwar viele ähnliche Probleme gefunden, aber nun bin ich noch verwirrter als vorher, weil jeder etwas anderes sagt.
Deshalb dachte ich, ich poste hier mein konkretes Problem, dann kann ich sicher sein, dass ich nichts falsch mache. Ich muss dazu sagen, dass ich mich nicht besonders gut auskenne mit solchen Dingen. Also seid nicht böse, wenn ich was nicht auf Anhieb blicke. Also:

Heute morgen hat unser AntiVir 2 Trojaner gefunden und zwar TR/Horse.MG.
Meine Mum (die sich genauso wenig auskennt) hat dann einfach mal auf "In Quarantäne verschieben" geklickt. Soweit so gut.
Was mich wundert: Beide Dateien sind auf einer externen Festplatte (die immer angeschlossen ist), eine im Ordner eines Spiels und eine in einem Verzeichnis "System Volume Information", das es aber auf dieser Festplatte gar nicht gibt? (Auch nicht unsichtbar.) Oder liegt das daran, dass die Dateien nun in Quarantäne sind und deshalb dort auch nicht mehr zu sehen sind? Ich weiß es nicht...

Auf jeden Fall habe ich erstmal ein paar Dateien gesichert, falls irgendwas schlimmes passieren sollte. Allerdings will ich gern den Virus beseitigen, ohne zu formatieren (falls es möglich wäre).

Dann habe ich nach dem Problem gesucht und ähnliche Probleme gefunden. Die Lösungsansätze haben mich nicht wirklich weitergebracht.

Die einen meinten, in Quarantäne verschieben und dann löschen reicht.
Allerdings habe ich woanders gelesen, dass man das auf keinen Fall machen soll, sondern erstmal wieder aus der Quarantäne herausholen und bei VirusTotal hochladen soll. Weil es sein könnte, dass AntiVir sich irrt und man dann versehentlich eine sehr wichtige Datei löschen könnte.
Das habe ich diesem Post: http://forum.avira.de/wbb/index.php?page=Thread&postID=815088#post815088

Könnt ihr mir sagen, was ich in meinem Fall hier tun soll? Ich will auf keinen Fall was falsch machen.

Falls ihr noch irgendwelche Angaben braucht, gebt mir bitte Bescheid.

Ich hoffe hier kann mir jemand weiterhelfen. :/

Zitat:

Zitat von ani

Könnt ihr mir sagen, was ich in meinem Fall hier tun soll? Ich will auf keinen Fall was falsch machen.

Falls ihr noch irgendwelche Angaben braucht, gebt mir bitte Bescheid.

Ich hoffe hier kann mir jemand weiterhelfen. :/

Guten Tag,

bisher hast du alles richtig gemacht. Ich brauche folgende Information

> Gebe mal die Fundmeldungen von Avira hier an. Welche Dateien wurden als Trojaner gemeldet? Bitte die ganzen Pfade der infizierten Dateien angeben.

> Lade dir HijackThis runter und fertige ein Log an, das du dann hier in das Thread kopierst.

lg.

Ich hoffe mal ich hab alles richtig gemacht mit dem Ersetzen der persönlichen Informationen und so.

Zitat:

logfile of trend micro HijackThis v2.0.2
scan saved at 15:00:13, on 28.01.2010
platform: Windows xp sp2 (winnt 5.01.2600)
msie: Internet explorer v6.00 sp2 (6.00.2900.2180)
boot mode: Normal

running processes:
C:\windows\system32\smss.exe
c:\windows\system32\winlogon.exe
c:\windows\system32\services.exe
c:\windows\system32\lsass.exe
c:\windows\system32\svchost.exe
c:\windows\system32\svchost.exe
c:\windows\system32\spoolsv.exe
c:\programme\avira\antivir desktop\sched.exe
c:\programme\avira\antivir desktop\avguard.exe
c:\programme\gemeinsame dateien\apple\mobile device support\bin\applemobiledeviceservice.exe
c:\programme\bonjour\mdnsresponder.exe
c:\programme\icq6toolbar\icq service.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\svchost.exe
c:\programme\ipod\bin\ipodservice.exe
c:\windows\system32\winlogon.exe
c:\windows\explorer.exe
c:\programme\avmwlanstick\fritzwlanmini.exe
c:\programme\avira\antivir desktop\avgnt.exe
c:\programme\itunes\ituneshelper.exe
c:\windows\rthdcpl.exe
c:\programme\canon\myprinter\bjmyprt.exe
c:\windows\system32\ctfmon.exe
c:\programme\messenger\msmsgs.exe
c:\programme\openoffice.org 3\program\soffice.exe
c:\windows\alcfdrtm.exe
c:\programme\openoffice.org 3\program\soffice.bin
c:\programme\avira\antivir desktop\avcenter.exe
c:\programme\mozilla firefox\firefox.exe
c:\windows\system32\msiexec.exe
c:\windows\system32\msiexec.exe
c:\windows\system32\wuauclt.exe
c:\programme\avira\antivir desktop\avscan.exe
c:\dokumente und einstellungen\xxx\eigene dateien\downloads\hijackthis.exe

r0 - hkcu\software\microsoft\internet explorer\main,start page = h**p://start.icq.com/
r1 - hkcu\software\microsoft\windows\currentversion\internet settings,proxyoverride = *.local
r3 - urlsearchhook: (no name) - - (no file)
r3 - urlsearchhook: Icqtoolbar - {855f3b16-6d32-4fe6-8a56-bbb695989046} - c:\programme\icq6toolbar\icqtoolbar.dll
o3 - toolbar: Icqtoolbar - {855f3b16-6d32-4fe6-8a56-bbb695989046} - c:\programme\icq6toolbar\icqtoolbar.dll
o4 - hklm\..\run: [avmwlanclient] c:\programme\avmwlanstick\fritzwlanmini.exe
o4 - hklm\..\run: [avgnt] "c:\programme\avira\antivir desktop\avgnt.exe" /min
o4 - hklm\..\run: [quicktime task] "c:\programme\quicktime\qttask.exe" -atboottime
o4 - hklm\..\run: [ituneshelper] "c:\programme\itunes\ituneshelper.exe"
o4 - hklm\..\run: [rthdcpl] rthdcpl.exe
o4 - hklm\..\run: [skytel] skytel.exe
o4 - hklm\..\run: [alcmtr] alcmtr.exe
o4 - hklm\..\run: [nvcpldaemon] rundll32.exe c:\windows\system32\nvcpl.dll,nvstartup
o4 - hklm\..\run: [nwiz] nwiz.exe /install
o4 - hklm\..\run: [canonmyprinter] c:\programme\canon\myprinter\bjmyprt.exe /logon
o4 - hklm\..\run: [canonsolutionmenu] c:\programme\canon\solutionmenu\cnslmain.exe /logon
o4 - hkcu\..\run: [ctfmon.exe] c:\windows\system32\ctfmon.exe
o4 - hkcu\..\run: [msmsgs] "c:\programme\messenger\msmsgs.exe" /background
o4 - hkus\s-1-5-19\..\run: [ctfmon.exe] c:\windows\system32\ctfmon.exe (user 'lokaler dienst')
o4 - hkus\s-1-5-20\..\run: [ctfmon.exe] c:\windows\system32\ctfmon.exe (user 'netzwerkdienst')
o4 - hkus\s-1-5-21-515967899-2049760794-725345543-1005\..\run: [ctfmon.exe] c:\windows\system32\ctfmon.exe (user 'xxx')
o4 - hkus\s-1-5-18\..\run: [ctfmon.exe] c:\windows\system32\ctfmon.exe (user 'system')
o4 - hkus\.default\..\run: [ctfmon.exe] c:\windows\system32\ctfmon.exe (user 'default user')
o4 - s-1-5-21-515967899-2049760794-725345543-1005 startup: Openoffice.org 3.1.lnk = c:\programme\openoffice.org 3\program\quickstart.exe (user 'xxx')
o4 - startup: Openoffice.org 3.1.lnk = c:\programme\openoffice.org 3\program\quickstart.exe
o9 - extra button: Icq6 - {e59eb121-f339-4851-a3ba-fe49c35617c2} - c:\programme\icq6.5\icq.exe
o9 - extra 'tools' menuitem: Icq6 - {e59eb121-f339-4851-a3ba-fe49c35617c2} - c:\programme\icq6.5\icq.exe
o9 - extra button: Messenger - {fb5f1910-f110-11d2-bb9e-00c04f795683} - c:\programme\messenger\msmsgs.exe
o9 - extra 'tools' menuitem: Windows messenger - {fb5f1910-f110-11d2-bb9e-00c04f795683} - c:\programme\messenger\msmsgs.exe
o23 - service: Avira antivir planer (antivirschedulerservice) - avira gmbh - c:\programme\avira\antivir desktop\sched.exe
o23 - service: Avira antivir guard (antivirservice) - avira gmbh - c:\programme\avira\antivir desktop\avguard.exe
o23 - service: Apple mobile device - apple inc. - c:\programme\gemeinsame dateien\apple\mobile device support\bin\applemobiledeviceservice.exe
o23 - service: Bonjour-dienst (bonjour service) - apple inc. - c:\programme\bonjour\mdnsresponder.exe
o23 - service: Icq service - unknown owner - c:\programme\icq6toolbar\icq service.exe
o23 - service: Ipod-dienst (ipod service) - apple inc. - c:\programme\ipod\bin\ipodservice.exe
o23 - service: Nvidia display driver service (nvsvc) - nvidia corporation - c:\windows\system32\nvsvc32.exe

--
end of file - 4905 bytes

Die genauen Pfade sehen so aus:

E:\Spiele\Age an Halifax\mythxpak.exe
E:\System Volume Information\_restore{E53F11B2-4CAB-4DC5-97C7-B334077C89EE}\RP40\A0006431.exe

Zitat:

Zitat von ani

Ich hoffe mal ich hab alles richtig gemacht mit dem Ersetzen der persönlichen Informationen und so.

Ja, du hast wieder alles richtig gemacht

Bei den Fundmeldungen von Avira handelt es sich wahrscheinlich um Malware. Gehe wie folgt vor, damit wir Gewissheit erlangen können.

> Stelle diese Datei: E:\Spiele\Age an Halifax\mythxpak.exe
aus der Quarantäne wieder her und lade sie dann hier VirusTotal - Kostenloser online Viren- und Malwarescanner
hoch. Lasse sie überprüfen und poste das ganze Log dieser Prüfung dann hier in den Thread.

> Danach verschiebe die Datei wieder in die Quarantäne.

Die andere Datei: E:\System Volume Information\_restore{E53F11B2-4CAB-4DC5-97C7-B334077C89EE}\RP40\A0006431.exe
kannst du bedenkenlos löschen. Es handelt sich hier um ein "Abbild" eines Programmes, eine Datei, die von Windows Systemwiederherstellungsdienst erstellt wird.

Das Hijackthislog ist ok. Du solltest aber unbedingt dein System updaten. Es ist eine Frage der Sicherheit.
> Führe ein Windows Update durch und update auf Servicepack 3 und Internet Explorer 8.

lg.

Wow klasse. :P
Danke schon mal für die Hilfe bis jetzt.

Übrigens: Ich kann die andere Datei nicht löschen, weil der Ordner "System Volume Information" nicht existiert?

Zitat:

Die Datei wurde bereits analysiert:
MD5: 831b8cad53201fb1fc2771493c3d81a8
First received: 2006.10.19 06:53:12 UTC
Datum 2010.01.28 16:01:32 UTC [<1D]
Ergebnisse 9/41
Permalink: analisis/5cdbcf960930e3a4eb1d2688a1f769fff0e42d656789669eada4bd23c497d592-1264694492


Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.50 2010.01.28 -
AhnLab-V3 5.0.0.2 2010.01.28 -
AntiVir 7.9.1.154 2010.01.28 TR/Horse.MG
Antiy-AVL 2.0.3.7 2010.01.28 -
Authentium 5.2.0.5 2010.01.28 -
Avast 4.8.1351.0 2010.01.28 -
AVG 9.0.0.730 2010.01.28 -
BitDefender 7.2 2010.01.28 -
CAT-QuickHeal 10.00 2010.01.28 Trojan.Agent.ATV
ClamAV 0.94.1 2010.01.28 -
Comodo 3740 2010.01.28 -
DrWeb 5.0.1.12222 2010.01.28 -
eSafe 7.0.17.0 2010.01.28 Win32.TrojanHorse
eTrust-Vet 35.2.7266 2010.01.28 -
F-Prot 4.5.1.85 2010.01.28 -
F-Secure 9.0.15370.0 2010.01.28 -
Fortinet 4.0.14.0 2010.01.28 -
GData 19 2010.01.28 -
Ikarus T3.1.1.80.0 2010.01.28 -
Jiangmin 13.0.900 2010.01.28 -
K7AntiVirus 7.10.957 2010.01.26 Trojan.Win32.Malware.1
Kaspersky 7.0.0.125 2010.01.28 -
McAfee 5875 2010.01.28 -
McAfee+Artemis 5875 2010.01.28 -
McAfee-GW-Edition 6.8.5 2010.01.28 Trojan.Horse.MG
Microsoft 1.5406 2010.01.28 -
NOD32 4815 2010.01.28 -
Norman 6.04.03 2010.01.27 -
nProtect 2009.1.8.0 2010.01.28 Trojan/W32.Agent.20992.JB
Panda 10.0.2.2 2010.01.28 Suspicious file
PCTools 7.0.3.5 2010.01.28 Trojan.Generic
Prevx 3.0 2010.01.28 -
Rising 22.32.03.04 2010.01.28 -
Sophos 4.50.0 2010.01.28 -
Sunbelt 3.2.1858.2 2010.01.28 -
Symantec 20091.2.0.41 2010.01.28 Trojan Horse
TheHacker 6.5.0.9.167 2010.01.28 -
TrendMicro 9.120.0.1004 2010.01.28 -
VBA32 3.12.12.1 2010.01.28 -
ViRobot 2010.1.28.2160 2010.01.28 -
VirusBuster 5.0.21.0 2010.01.28 -
weitere Informationen
File size: 20992 bytes
MD5...: 831b8cad53201fb1fc2771493c3d81a8
SHA1..: 05541d4c6e4b0317439dcaca0682abe0712f8ca7
SHA256: 5cdbcf960930e3a4eb1d2688a1f769fff0e42d656789669eada4bd23c497d592
ssdeep: 384:cfawJ0xrdfw5HV95kpU9aIXqZAratwYhw5Sgm:Fo0xmHLmpK6ZRwF5b
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0xf960
timedatestamp.....: 0x398de276 (Sun Aug 06 22:11:02 2000)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0xa000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0xb000 0x5000 0x4c00 7.85 ad99935160f1437282120df04cff8244
UPX2 0x10000 0x1000 0x200 1.86 bf7e06e756e0c6eb6e0a164a60b54fd2

( 3 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, ExitProcess
> MSACM32.dll: acmDriverAddA
> WINMM.dll: mmioRead

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: UPX compressed Win32 Executable (39.5%)
Win32 EXE Yoda's Crypter (34.3%)
Win32 Executable Generic (11.0%)
Win32 Dynamic Link Library (generic) (9.8%)
Generic Win/DOS Executable (2.5%)
ThreatExpert info: <a href='h**p://www.threatexpert.com/report.aspx?md5=831b8cad53201fb1fc2771493c3d81a8' target='_blank'>h**p://www.threatexpert.com/report.aspx?md5=831b8cad53201fb1fc2771493c3d81a8</a>
packers (Kaspersky): UPX
packers (F-Prot): UPX
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

Zitat:

CAT-QuickHeal 10.00 2010.01.28 Trojan.Agent.ATV

Es ist Malware. Bitte lösche diese Datei E:\Spiele\Age an Halifax\mythxpak.exe, die sich ja jetzt wieder in der Avira Quarantäne befindet.

Ich nehme an, dass du ein Spiel runtergeladen hast, das leider Malware enthielt.
Du solltest dieses Programm/Spiel nun restlos deinstallieren/entfernen:
E:\Spiele\Age an Halifax

> Sei immer sehr vorsichtig bei dem Download von Software und lade dir nur Software von sicheren und vertrauenswürdigen Anbietern runter.

> Nach einer Malware Infektion ist es angebracht, das System mit mehreren Virenscannern zu überprüfen. Bitte überprüfe dein System mit Malwarebytes und poste das Log hier rein.

Zitat:

Übrigens: Ich kann die andere Datei nicht löschen, weil der Ordner "System Volume Information" nicht existiert?

Diese Datei befindet sich doch in der Quarantäne von Avira? Dort gibt es die Option "Löschen"
Anleitung: Avira AntiVir - Das sollten Sie tun, wenn ein Virus gefunden wird - COMPUTER BILD

lg.