Mein Kaspersky Antivirus hat in einem Logitechordner
auf meinem System eine Datei namens Quicktour2.exe
als TrojanDropper.Win32.Agent.bd. identifiziert.
Ich vermute mal es handelt sich dabei um einen
Fehlalarm. Hat jemand Interesse sich die Datei mal genauer
anzuschauen? Wollte sie eigentlich mal mit nem Onlinescanner
checken, aber die verlangen alle ActiveX, bzw. einen anderen
Browser.
Und wie gehe ich vor, wenn ich sieh an Kaspersky schicken möchte?
Hab das noch nie gemacht. Muss ich sie erst in Quarantäne stecken lassen
und dann von dort aus irgendwie weiterschicken?

Hallo, Der Zatu,
Hier kannst Du bei Kaspersky überprüfen:
http://www.kaspersky.com/de/scanforvirus

Vermutlich ist nicht die Quicktour2 der TrojanDropper, sondern sie ist damit infiziert. Manche Trojaner "klauen" Dir aber auch Namen aus Deinem System; insofern muß es kein Fehlalarm sein!
Und verzichte erst mal darauf, die Datei hier rein zu posten ...
cacatoa

Zitat:

Ich vermute mal es handelt sich dabei um einen Fehlalarm.

Nein, das denke ich nicht!

Zur endgültigen Gewissheit und Sicherheit kannst du diese Datei bei http://virusscan.jotti.org/de
überprüfen und das Ergebnis posten.

@ cacatoa

Es macht wenig Sinn, dass diese Datei nochmals bei Kaspersky gecheckt wird, wenn schon KAV die Quicktour2.exe als TrojanDropper.Win32.Agent.bd ausweist.

btw: Die Datei ist die Malware.

File: QuickTour2.exe
Status:
INFECTED/MALWARE
Packers detected:
None

AntiVir
No viruses found (1.62 seconds taken)
Avast
No viruses found (4.59 seconds taken)
BitDefender
No viruses found (7.09 seconds taken)
ClamAV
No viruses found (4.20 seconds taken)
Dr.Web
No viruses found (4.27 seconds taken)
F-Prot Antivirus
No viruses found (0.38 seconds taken)
Kaspersky Anti-Virus
TrojanDropper.Win32.Agent.bd (4.24 seconds taken)
mks_vir
No viruses found (1.44 seconds taken)
NOD32
No viruses found (5.77 seconds taken)
Norman Virus Control
No viruses found (1.17 seconds taken)

Also Kaspersky ist der einzige Scanner der hier eine Malware erkennt!
Nun weiss ich nicht mehr was ich glauben soll. Ich werd mir nochmal die
Setpointsoftware runterladen und schauen ob auch im Original von
Kaspersky etwas gefunden wird. Dann werd ich das Ding halt mal löschen und
googeln woran man eine Infektion erkennt.
Zu Kaspersky schicken war halt ne Idee von mir, damit die schauen können
obs vielleicht tatsächlich ein Fehlalarm ist.
Jemand noch nen Tip wie ich dem sonst noch auf den Grund gehen könnte?

edit: ach ja, danke für den Hinweis auf den Onlinescanner, den werd ich mir
merken. Ne Frage istauch noch wie der sich bei mir eingeschlichen haben will.
Hab ja kontinuierlich Kaspersky Echtzeitschutz am Laufen. Einzige Veränderung am System war der gestrige Wechsel von KAV personal zur Pro-Version.
Deshalb ja auch der Verdacht des Fehlalarms.

Sieht für euch denn mein HijackThis Log nach einer
Infektion aus?

Logfile of HijackThis v1.98.2
Scan saved at 23:14:29, on 19.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\WINDOWS\system32\nvsvc32.exe
d:\Programme\Kerio\Personal Firewall\persfw.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\system32\Fast.exe
D:\Programme\Trojancheck 6\tcguard.exe
D:\Programme\Logitech\SetPoint\KEM.exe
D:\Programme\Trillian\trillian.exe
D:\Programme\Logitech\SetPoint\KHALMNPR.EXE
C:\WINDOWS\System32\svchost.exe
d:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kavmm.exe
d:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kav.exe
E:\emule\eMule_0.44b_Xlillo_PW_1.04_bin\emule\emule.exe
D:\Programme\The Bat 2.13\THEBAT!\thebat.exe
E:\Programme\hijackthis1982\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [Trojancheck 6 Guard] D:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [KAV50] "d:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kav.exe" -run -n PersonalPro -v 5.0.0.0
O4 - Startup: Trillian.lnk = ?
O4 - Global Startup: Logitech SetPoint.lnk = D:\Programme\Logitech\SetPoint\KEM.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1093348008870
O17 - HKLM\System\CCS\Services\Tcpip\..\{DF60DCAD-5FD6-4B38-AC41-AA4FD324E0D9}: NameServer = 192.168.0.1

@ Der Zatu

wenn Du die befallene Datei noch hast, sende sie bitte passwortgeschützt an partytime-germany.ice@web.de mit Verweis auf diesen Thread.

Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe dann mit Hijack This (Häk'chen setzen und fix checked klicken):

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

Systemwiederherstellung aktivieren, in den normalen Modus booten.

Hast Du Dir bereits die Zusatz-Schutz-Signaturen runtergeladen, auf die diese Seite: eScan ganz unten hinweist, für die User, die KAV verwenden?

SD

So, hab die Datei passwortgeschützt und WinRarverpackt per email
abgeschickt. Da ich sie allerdings gestern gelöscht hatte, musste
ich die Datei durch ein drüberinstallieren der Logitech Setpoint
Software erst wieder herstellen. Dann muss also schon die Software
verseucht sein wenn es sich nicht um einen Fehlalarm handelt.
In dem Fall bin ich aber ein wenig sauer auf Logitech, denn die
setpoint211_deu.exe hab ich von einer Logitechseite und nicht etwas
bei Kazaa runtergeladen.
Die genannten Punkte hab ich im abgesicherten Modus mit Hijackthis
gefixed, die Systemwiederherstellung allerdings nicht wieder aktiviert
wenns recht ist. Die hat mir nämlich noch nie was genützt.
Einzig die zusätzlichen Schutzsignaturen konnte ich nicht runterladen,
da ich KAV 5 pro benutze und es die genannten Einstellungsmöglichkeiten
dort nicht gibt. So langsam bin ich echt unzufrieden mit KAV 5 pro,
hab das Gefühl die personalversion bietet mehr Möglichkeiten.
Wenn mir also niemand nen Tip geben kann wie ich mit der pro an die
zusätzlichen Signaturen kommen kann, dann installier ich wieder die
personalversion.
Wenn Interesse an der Original Setpointsoftware besteht bitte Bescheid geben.
Ist allerdings 15MB gross, kann ich also nicht als email verschicken.
Also vielen Dank erstmal für die Bemühungen
Zatu

Also nun werd ich gleich verrückt. Nachdem ich wieder auf
die Personalversion von Kaspersky downgegradet habe, findet das
Programm keinen Trojaner mehr in der Datei.
Nur die Pro-Version hatte das Problem, bzw. den Fehlalarm.
Und das mit den gleich aktuellen Signaturen.
Aber egal jetzt, mit der Personalversion konnte ich jetzt auch endlich
die erweiterten Signaturen runterladen. Und auch wieder nen Ordner
vom Scan auf Befehl ausschliessen.
Bin sehr enttäuscht von KAV 5 pro.
Bietet zwar unzählige Feineinstellungen, nur die die wichtig sind,
wurden weggelassen.
Wie peinlich!

Folgendes schreibt Antiviruslabs (Gdata) dazu:

Zitat:

TrojanDropper.Win32.Agent.bh ist selbst kein Trojaner, jedoch ist das Programm unter Windows 32BIT-Systemen in der Lage, unbemerkt einen Trojaner zu erzeugen (z.B. durch Entschlüsselung oder Extraktion)

Wird von AVK 2004/2005 seit dem 22.10.04 erkannt

Wie auch immer, ich hab die Datei jetzt gelöscht und hab
auch keinen Bock mehr durch nochmaliges drüberinstallieren
weiter rumzuprobieren.
Die Personalversion von Kaspersky erkennt das Ding nicht als
Trojaner und der Version glaub ich bis auf weiteres auch.
Wenn ich das nächste Mal das System neu aufsetze, dann
werd ich nochmal schauen.

@ Thibor

Zitat:

Wird von AVK 2004/2005 seit dem 22.10.04 erkannt

Das ist klar, weil auch AVK unter anderem die Kaspersky Scan Engine verwendet.

Das war mir auch klar. Ich wollt nur deutlich machen, warum erst jetzt das Programm erkannt wird, obwohl es sich z.B. bei mir schon Monate auf dem Rechner befindet. Deswegen das Datum.

Ich hab trotzdem den "Trojaner" an GData zur Überprüfung geschickt ....

Alles klar, dann habe ich dich missverstanden.

AVK aktualisiert die Virensignaturen soweit ich weiss nicht so
oft wie Kaspersky. So ist auch zu erklären, warum AVK die
Datei erst seit dem 22.10. erkennt, Kaspersky aber schon
am 20.10. gemeckert hat.
Stellt sich nur noch die Frage warum Kaspersky pro meckert und
Kaspersky personal nicht?
Magst du Bescheid geben wie sich GData dazu äussert?
Und ist es bei dir die gleiche Datei (Quicktour2.exe) im Logitech-
Ordner? Dann könnte man ja mal Logitech dazu befragen.
Ach ja, nochwas. Wenn man die erweiterten Signaturen von
Kaspersky runterlädt, fügt er die dann den vorhandenen normalen
Signaturen zu, oder ersetzt er die?

Es werden zusätzlich Singnaturen heruntergeladen:
riskware, pornware und adware.