Hallo,

Ich habe erst mein Notebook neu aufgesetzt (WinXP, SP3) und die alten Dateien und Mailbox wieder hinzugelegt. Nun hat mir
Antivir (von Avira) einen Trojaner angegeben, der "TR/PCK.Tdss.C.129" heisst. Die Meldung von Antivir lautet (nur der Schlussteil mit den Funden):

Zitat:

Beginne mit der Suche in 'C:\'
Beginne mit der Suche in 'D:\' <Programme>
Beginne mit der Suche in 'E:\' <Dateien>
E:\System Volume Information\_restore{D70B54F1-11F7-43AA-A99D-105608A46374}\RP14\A0005849.exe
[0] Archivtyp: 7-Zip
[FUND] Ist das Trojanische Pferd TR/PCK.Tdss.C.129
--> ntemacs23/bin/runemacs.exe
[FUND] Ist das Trojanische Pferd TR/PCK.Tdss.C.129
[WARNUNG] Bei dieser Datei handelt es sich um eine Mailbox. Um Ihre Emails nicht zu beeinträchtigen wird diese Datei nicht repariert oder gelöscht.

Beginne mit der Desinfektion:
E:\System Volume Information\_restore{D70B54F1-11F7-43AA-A99D-105608A46374}\RP14\A0005849.exe
[FUND] Ist das Trojanische Pferd TR/PCK.Tdss.C.129
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4f263b4d.qua erstellt ( QUARANTÄNE )


Ende des Suchlaufs: Montag, 31. Mai 2010 13:37
Benötigte Zeit: 1:42:43 Stunde(n)

Danach hatte ich Combofix gemäss Anleitung laufen lassen:
hxxp://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird
(ich gehe davon aus, dass dieses Tool allfällige Schädlinge entfernt. Der Log ist im Anhang.)
und anschliessend habe ich nochmals Antivir laufen lassen. Der Trojaner wurde jedoch wieder angezeigt. Ich habe jedoch den Verdacht, dass es sich um eine Falschmeldung handelt (wegen Hinweise auf ntemacs), weshalb ich Malwarebytes laufen liess. Dieser gab nichts an. Gemäss Anleitung von Trojaner-Board soll man den Rechner noch mit rtis untersuchen lassen, was ich auch gemacht habe. Sowohl die Logs von rtis als auch Combofix weisen nichts auffälliges, bin aber kein Experte (es ist das erstemal, dass ich diese beiden Tools verwende). Alle logs habe ich angehängt. Wenn das falsch war, dann teilt es mir bitte mit (muss man es mit quote oder php abgrenzen?).

Mein Problem:
- Handelt es sich tatsächlich um einen Trojaner?
- wenn ja, was kann man tun? Bleibt mir nichts anderes übrig als neu aufzusetzen?
- wenn nein, wie bringe ich die Meldung weg? Die Datei soll ich im "System Volume Information" der Partition E befinden. Der ist jedoch nicht zugänglich, obwohl ich als Administrator eingeloggt bin.

Bin dankbar für jeden Ratschlag.
giordano

Hi und !

Combofix sollte nur auf Anweisung eines Kompetenzlers angewendet werden.
Außerdem ist es hierfür unnötig

Der Fund befindet sich in System Volume Information, kurz in der Systemwiederherstellung.

====================

Systemwiederherstellung (SWH) leeren

Die Systemwiederherstellung (SWH) enthält ein Backup Deiner Programme und kann auch infizierte Dateien gesichert haben. Setze die SWH daher bitte zurück:

Rechtsklick auf Arbeitsplatz > Eigenschaften > Tab Systemwiederherstellung
Setze einen Haken bei Systemwiederherstellung deaktivieren und klicke auf Übernehmen.
Beantworte den folgenden Dialog, ob Du die SWH wirklich deaktivieren willst, mit Ja.

Entferne danach wieder den Haken bei Systemwiederherstellung deaktivieren, klicke auf Übernehmen und anschließend auf OK.

Die SWH funktioniert nun wieder und hat einen neuen SWH-Punkt erstellt.

====================

Die Logfiles von Combofix und RSIT sind sauber

Hallo StLB,

Besten Dank für die rasche Antwort. Ich habe Deine Anweisungen durchgeführt und werde nochmals mit Antivir durchgehen. Ich nehme an, dass es sich also um eine falsch-posivitve Meldung von Antivir war.

Gruss
giordano

OK. Habe nochmals gescannt und nun gibt Antivir nichts an. Besten Dank für die Hilfe.
giordano