|
Kaspersky findet TrojanDropper in Logitechordner (Fehlalarm?) Mein Kaspersky Antivirus hat in einem Logitechordner auf meinem System eine Datei namens Quicktour2.exe als TrojanDropper.Win32.Agent.bd. identifiziert. Ich vermute mal es handelt sich dabei um einen Fehlalarm. Hat jemand Interesse sich die Datei mal genauer anzuschauen? Wollte sie eigentlich mal mit nem Onlinescanner checken, aber die verlangen alle ActiveX, bzw. einen anderen Browser. Und wie gehe ich vor, wenn ich sieh an Kaspersky schicken möchte? Hab das noch nie gemacht. Muss ich sie erst in Quarantäne stecken lassen und dann von dort aus irgendwie weiterschicken? |
Hallo, Der Zatu, Hier kannst Du bei Kaspersky überprüfen: http://www.kaspersky.com/de/scanforvirus Vermutlich ist nicht die Quicktour2 der TrojanDropper, sondern sie ist damit infiziert. Manche Trojaner "klauen" Dir aber auch Namen aus Deinem System; insofern muß es kein Fehlalarm sein! Und verzichte erst mal darauf, die Datei hier rein zu posten ... cacatoa |
Zitat:
Zur endgültigen Gewissheit und Sicherheit kannst du diese Datei bei http://virusscan.jotti.org/de überprüfen und das Ergebnis posten. @ cacatoa Es macht wenig Sinn, dass diese Datei nochmals bei Kaspersky gecheckt wird, wenn schon KAV die Quicktour2.exe als TrojanDropper.Win32.Agent.bd ausweist. btw: Die Datei ist die Malware. |
File: QuickTour2.exe Status: INFECTED/MALWARE Packers detected: None AntiVir No viruses found (1.62 seconds taken) Avast No viruses found (4.59 seconds taken) BitDefender No viruses found (7.09 seconds taken) ClamAV No viruses found (4.20 seconds taken) Dr.Web No viruses found (4.27 seconds taken) F-Prot Antivirus No viruses found (0.38 seconds taken) Kaspersky Anti-Virus TrojanDropper.Win32.Agent.bd (4.24 seconds taken) mks_vir No viruses found (1.44 seconds taken) NOD32 No viruses found (5.77 seconds taken) Norman Virus Control No viruses found (1.17 seconds taken) Also Kaspersky ist der einzige Scanner der hier eine Malware erkennt! Nun weiss ich nicht mehr was ich glauben soll. Ich werd mir nochmal die Setpointsoftware runterladen und schauen ob auch im Original von Kaspersky etwas gefunden wird. Dann werd ich das Ding halt mal löschen und googeln woran man eine Infektion erkennt. Zu Kaspersky schicken war halt ne Idee von mir, damit die schauen können obs vielleicht tatsächlich ein Fehlalarm ist. Jemand noch nen Tip wie ich dem sonst noch auf den Grund gehen könnte? edit: ach ja, danke für den Hinweis auf den Onlinescanner, den werd ich mir merken. Ne Frage istauch noch wie der sich bei mir eingeschlichen haben will. Hab ja kontinuierlich Kaspersky Echtzeitschutz am Laufen. Einzige Veränderung am System war der gestrige Wechsel von KAV personal zur Pro-Version. Deshalb ja auch der Verdacht des Fehlalarms. |
Sieht für euch denn mein Hijackthis Log nach einer Infektion aus? Logfile of HijackThis v1.98.2 Scan saved at 23:14:29, on 19.10.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\CTsvcCDA.EXE C:\WINDOWS\system32\nvsvc32.exe d:\Programme\Kerio\Personal Firewall\persfw.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\MsPMSPSv.exe C:\WINDOWS\system32\Fast.exe D:\Programme\Trojancheck 6\tcguard.exe D:\Programme\Logitech\SetPoint\KEM.exe D:\Programme\Trillian\trillian.exe D:\Programme\Logitech\SetPoint\KHALMNPR.EXE C:\WINDOWS\System32\svchost.exe d:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kavmm.exe d:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kav.exe E:\emule\eMule_0.44b_Xlillo_PW_1.04_bin\emule\emule.exe D:\Programme\The Bat 2.13\THEBAT!\thebat.exe E:\Programme\hijackthis1982\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe O4 - HKLM\..\Run: [Trojancheck 6 Guard] D:\Programme\Trojancheck 6\tcguard.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [KAV50] "d:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kav.exe" -run -n PersonalPro -v 5.0.0.0 O4 - Startup: Trillian.lnk = ? O4 - Global Startup: Logitech SetPoint.lnk = D:\Programme\Logitech\SetPoint\KEM.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1093348008870 O17 - HKLM\System\CCS\Services\Tcpip\..\{DF60DCAD-5FD6-4B38-AC41-AA4FD324E0D9}: NameServer = 192.168.0.1 |
@ Der Zatu wenn Du die befallene Datei noch hast, sende sie bitte passwortgeschützt an partytime-germany.ice@web.de mit Verweis auf diesen Thread. Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe dann mit Hijack This (Häk'chen setzen und fix checked klicken): O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) Systemwiederherstellung aktivieren, in den normalen Modus booten. Hast Du Dir bereits die Zusatz-Schutz-Signaturen runtergeladen, auf die diese Seite: eScan ganz unten hinweist, für die User, die KAV verwenden? SD |
So, hab die Datei passwortgeschützt und WinRarverpackt per email abgeschickt. Da ich sie allerdings gestern gelöscht hatte, musste ich die Datei durch ein drüberinstallieren der Logitech Setpoint Software erst wieder herstellen. Dann muss also schon die Software verseucht sein wenn es sich nicht um einen Fehlalarm handelt. In dem Fall bin ich aber ein wenig sauer auf Logitech, denn die setpoint211_deu.exe hab ich von einer Logitechseite und nicht etwas bei Kazaa runtergeladen. Die genannten Punkte hab ich im abgesicherten Modus mit Hijackthis gefixed, die Systemwiederherstellung allerdings nicht wieder aktiviert wenns recht ist. Die hat mir nämlich noch nie was genützt. Einzig die zusätzlichen Schutzsignaturen konnte ich nicht runterladen, da ich KAV 5 pro benutze und es die genannten Einstellungsmöglichkeiten dort nicht gibt. So langsam bin ich echt unzufrieden mit KAV 5 pro, hab das Gefühl die personalversion bietet mehr Möglichkeiten. Wenn mir also niemand nen Tip geben kann wie ich mit der pro an die zusätzlichen Signaturen kommen kann, dann installier ich wieder die personalversion. Wenn Interesse an der Original Setpointsoftware besteht bitte Bescheid geben. Ist allerdings 15MB gross, kann ich also nicht als email verschicken. Also vielen Dank erstmal für die Bemühungen Zatu |
Also nun werd ich gleich verrückt. Nachdem ich wieder auf die Personalversion von Kaspersky downgegradet habe, findet das Programm keinen Trojaner mehr in der Datei. Nur die Pro-Version hatte das Problem, bzw. den Fehlalarm. Und das mit den gleich aktuellen Signaturen. Aber egal jetzt, mit der Personalversion konnte ich jetzt auch endlich die erweiterten Signaturen runterladen. Und auch wieder nen Ordner vom Scan auf Befehl ausschliessen. Bin sehr enttäuscht von KAV 5 pro. Bietet zwar unzählige Feineinstellungen, nur die die wichtig sind, wurden weggelassen. Wie peinlich! |
Folgendes schreibt Antiviruslabs (Gdata) dazu: Zitat:
|
Wie auch immer, ich hab die Datei jetzt gelöscht und hab auch keinen Bock mehr durch nochmaliges drüberinstallieren weiter rumzuprobieren. Die Personalversion von Kaspersky erkennt das Ding nicht als Trojaner und der Version glaub ich bis auf weiteres auch. Wenn ich das nächste Mal das System neu aufsetze, dann werd ich nochmal schauen. |
@ Thibor Zitat:
|
Das war mir auch klar. :rolleyes: Ich wollt nur deutlich machen, warum erst jetzt das Programm erkannt wird, obwohl es sich z.B. bei mir schon Monate auf dem Rechner befindet. Deswegen das Datum. Ich hab trotzdem den "Trojaner" an GData zur Überprüfung geschickt .... |
Alles klar, dann habe ich dich missverstanden. ;) |
AVK aktualisiert die Virensignaturen soweit ich weiss nicht so oft wie Kaspersky. So ist auch zu erklären, warum AVK die Datei erst seit dem 22.10. erkennt, Kaspersky aber schon am 20.10. gemeckert hat. Stellt sich nur noch die Frage warum Kaspersky pro meckert und Kaspersky personal nicht? Magst du Bescheid geben wie sich GData dazu äussert? Und ist es bei dir die gleiche Datei (Quicktour2.exe) im Logitech- Ordner? Dann könnte man ja mal Logitech dazu befragen. Ach ja, nochwas. Wenn man die erweiterten Signaturen von Kaspersky runterlädt, fügt er die dann den vorhandenen normalen Signaturen zu, oder ersetzt er die? |
Es werden zusätzlich Singnaturen heruntergeladen: riskware, pornware und adware. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 00:41 Uhr. |
Copyright ©2000-2025, Trojaner-Board