Mein Kaspersky Antivirus hat in einem Logitechordner
auf meinem System eine Datei namens Quicktour2.exe
als TrojanDropper.Win32.Agent.bd. identifiziert.
Ich vermute mal es handelt sich dabei um einen
Fehlalarm. Hat jemand Interesse sich die Datei mal genauer
anzuschauen? Wollte sie eigentlich mal mit nem Onlinescanner
checken, aber die verlangen alle ActiveX, bzw. einen anderen
Browser.
Und wie gehe ich vor, wenn ich sieh an Kaspersky schicken möchte?
Hab das noch nie gemacht. Muss ich sie erst in Quarantäne stecken lassen
und dann von dort aus irgendwie weiterschicken?

Hallo, Der Zatu,
Hier kannst Du bei Kaspersky überprüfen:
http://www.kaspersky.com/de/scanforvirus

Vermutlich ist nicht die Quicktour2 der TrojanDropper, sondern sie ist damit infiziert. Manche Trojaner "klauen" Dir aber auch Namen aus Deinem System; insofern muß es kein Fehlalarm sein!
Und verzichte erst mal darauf, die Datei hier rein zu posten ...
cacatoa

Zitat:

Ich vermute mal es handelt sich dabei um einen Fehlalarm.

Nein, das denke ich nicht!

Zur endgültigen Gewissheit und Sicherheit kannst du diese Datei bei http://virusscan.jotti.org/de
überprüfen und das Ergebnis posten.

@ cacatoa

Es macht wenig Sinn, dass diese Datei nochmals bei Kaspersky gecheckt wird, wenn schon KAV die Quicktour2.exe als TrojanDropper.Win32.Agent.bd ausweist.

btw: Die Datei ist die Malware.

File: QuickTour2.exe
Status:
INFECTED/MALWARE
Packers detected:
None

AntiVir
No viruses found (1.62 seconds taken)
Avast
No viruses found (4.59 seconds taken)
BitDefender
No viruses found (7.09 seconds taken)
ClamAV
No viruses found (4.20 seconds taken)
Dr.Web
No viruses found (4.27 seconds taken)
F-Prot Antivirus
No viruses found (0.38 seconds taken)
Kaspersky Anti-Virus
TrojanDropper.Win32.Agent.bd (4.24 seconds taken)
mks_vir
No viruses found (1.44 seconds taken)
NOD32
No viruses found (5.77 seconds taken)
Norman Virus Control
No viruses found (1.17 seconds taken)

Also Kaspersky ist der einzige Scanner der hier eine Malware erkennt!
Nun weiss ich nicht mehr was ich glauben soll. Ich werd mir nochmal die
Setpointsoftware runterladen und schauen ob auch im Original von
Kaspersky etwas gefunden wird. Dann werd ich das Ding halt mal löschen und
googeln woran man eine Infektion erkennt.
Zu Kaspersky schicken war halt ne Idee von mir, damit die schauen können
obs vielleicht tatsächlich ein Fehlalarm ist.
Jemand noch nen Tip wie ich dem sonst noch auf den Grund gehen könnte?

edit: ach ja, danke für den Hinweis auf den Onlinescanner, den werd ich mir
merken. Ne Frage istauch noch wie der sich bei mir eingeschlichen haben will.
Hab ja kontinuierlich Kaspersky Echtzeitschutz am Laufen. Einzige Veränderung am System war der gestrige Wechsel von KAV personal zur Pro-Version.
Deshalb ja auch der Verdacht des Fehlalarms.

Sieht für euch denn mein HijackThis Log nach einer
Infektion aus?

Logfile of HijackThis v1.98.2
Scan saved at 23:14:29, on 19.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\WINDOWS\system32\nvsvc32.exe
d:\Programme\Kerio\Personal Firewall\persfw.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\system32\Fast.exe
D:\Programme\Trojancheck 6\tcguard.exe
D:\Programme\Logitech\SetPoint\KEM.exe
D:\Programme\Trillian\trillian.exe
D:\Programme\Logitech\SetPoint\KHALMNPR.EXE
C:\WINDOWS\System32\svchost.exe
d:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kavmm.exe
d:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kav.exe
E:\emule\eMule_0.44b_Xlillo_PW_1.04_bin\emule\emule.exe
D:\Programme\The Bat 2.13\THEBAT!\thebat.exe
E:\Programme\hijackthis1982\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [Trojancheck 6 Guard] D:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [KAV50] "d:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kav.exe" -run -n PersonalPro -v 5.0.0.0
O4 - Startup: Trillian.lnk = ?
O4 - Global Startup: Logitech SetPoint.lnk = D:\Programme\Logitech\SetPoint\KEM.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1093348008870
O17 - HKLM\System\CCS\Services\Tcpip\..\{DF60DCAD-5FD6-4B38-AC41-AA4FD324E0D9}: NameServer = 192.168.0.1

@ Der Zatu

wenn Du die befallene Datei noch hast, sende sie bitte passwortgeschützt an partytime-germany.ice@web.de mit Verweis auf diesen Thread.

Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe dann mit Hijack This (Häk'chen setzen und fix checked klicken):

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

Systemwiederherstellung aktivieren, in den normalen Modus booten.

Hast Du Dir bereits die Zusatz-Schutz-Signaturen runtergeladen, auf die diese Seite: eScan ganz unten hinweist, für die User, die KAV verwenden?

SD