Avira hat Trojaner gefunden, wie kann ich ihn entfernen?

Hallo,

ich habe ein dringendes Problem: vorhin lief das übliche tägliche Update von Avira, danach habe ich per Outlook meine Emails abgerufen (nichts neues) und wollte mich gerade anschicken, den PC herunterzufahren, als Avira plötzlich den Trojaner TR/Agent.102400.CT meldete, der sich irgendwo in Programme/HP herumtrieb. Da dies das erste Mal war, dass Avira überhaupt etwas gefunden hat, habe ich bei den Optionen "Löschen" gewählt (hätte ich besser "Quarantäne" wählen sollen? Aber wenn ja, wie entferne ich die Dinger dann generell ganz?).
Jetzt habe ich vorsichtshalber eine Systemüberprüfung gestartet, die noch nicht ganz fertig ist, und mir wird wieder eben dieser Trojaner als Fund angezeigt.

Ist er wirklich nicht gelöscht worden oder könnte hier vielleicht eine Fehlmeldung von Avira vorliegen?

Was soll ich jetzt tun? Wenn er wirklich noch da ist, will ich ihn natürlich loswerden.

Ich muss aber ergänzen, dass ich definitiv kein PC-Experte bin und vor Neuformatierungen etc. zurückschrecke, da ich sowas noch nie gemacht habe.

Es wäre sehr nett, wenn ihr mir weiterhelfen und möglichst einfach erklären könntet, was ich tun kann und sollte.

LG und danke im voraus,
Anne

Danke schon einmal für die Antwort, aber bevor ich das mache, hat sich folgendes getan:
Der Suchlauf ist fertig und ein Fenster erschienen, das den Trojaner anzeigt und die betroffene Datei A0017577.exe. Als Auwahlmöglichkeiten habe ich "Alles Reparieren" und "Abbrechen".

Soll ich jetzt zuallerst die Reparieren-Option auswählen? (Wenn mein Kursor über dem Dateinamen ist, wird als Aktion "Quarantäne" angezeigt.)

Anne

Habe ich gemacht, der Suchlauf ist jetzt vollständig abgeschlossen und ich habe den Report anzeigen lassen:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Freitag, 26. März 2010 19:55

Es wird nach 1931788 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer :
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : xxx
Computername : xxx

Versionsinformationen:
BUILD.DAT : 9.0.0.422 21701 Bytes 09.03.2010 10:23:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 13.10.2009 10:26:28
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 06:35:52
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 10:03:40
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 17:20:51
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 19:23:18
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 18:33:38
VBASE005.VDF : 7.10.4.204 2048 Bytes 05.03.2010 18:33:38
VBASE006.VDF : 7.10.4.205 2048 Bytes 05.03.2010 18:33:38
VBASE007.VDF : 7.10.4.206 2048 Bytes 05.03.2010 18:33:38
VBASE008.VDF : 7.10.4.207 2048 Bytes 05.03.2010 18:33:38
VBASE009.VDF : 7.10.4.208 2048 Bytes 05.03.2010 18:33:38
VBASE010.VDF : 7.10.4.209 2048 Bytes 05.03.2010 18:33:38
VBASE011.VDF : 7.10.4.210 2048 Bytes 05.03.2010 18:33:39
VBASE012.VDF : 7.10.4.211 2048 Bytes 05.03.2010 18:33:39
VBASE013.VDF : 7.10.4.242 153088 Bytes 08.03.2010 10:48:30
VBASE014.VDF : 7.10.5.17 99328 Bytes 10.03.2010 16:15:03
VBASE015.VDF : 7.10.5.44 107008 Bytes 11.03.2010 16:15:04
VBASE016.VDF : 7.10.5.69 92672 Bytes 12.03.2010 17:12:21
VBASE017.VDF : 7.10.5.91 119808 Bytes 15.03.2010 17:12:22
VBASE018.VDF : 7.10.5.121 112640 Bytes 18.03.2010 17:32:03
VBASE019.VDF : 7.10.5.138 139776 Bytes 18.03.2010 18:43:11
VBASE020.VDF : 7.10.5.164 113152 Bytes 22.03.2010 15:20:09
VBASE021.VDF : 7.10.5.182 108032 Bytes 23.03.2010 15:23:31
VBASE022.VDF : 7.10.5.199 123904 Bytes 24.03.2010 17:01:10
VBASE023.VDF : 7.10.5.217 279552 Bytes 25.03.2010 17:39:32
VBASE024.VDF : 7.10.5.234 202240 Bytes 26.03.2010 17:39:33
VBASE025.VDF : 7.10.5.235 2048 Bytes 26.03.2010 17:39:33
VBASE026.VDF : 7.10.5.236 2048 Bytes 26.03.2010 17:39:33
VBASE027.VDF : 7.10.5.237 2048 Bytes 26.03.2010 17:39:33
VBASE028.VDF : 7.10.5.238 2048 Bytes 26.03.2010 17:39:33
VBASE029.VDF : 7.10.5.239 2048 Bytes 26.03.2010 17:39:33
VBASE030.VDF : 7.10.5.240 2048 Bytes 26.03.2010 17:39:33
VBASE031.VDF : 7.10.5.241 2048 Bytes 26.03.2010 17:39:33
Engineversion : 8.2.1.196
AEVDF.DLL : 8.1.1.3 106868 Bytes 23.01.2010 16:42:00
AESCRIPT.DLL : 8.1.3.18 1024378 Bytes 17.03.2010 18:08:52
AESCN.DLL : 8.1.5.0 127347 Bytes 26.02.2010 16:47:04
AESBX.DLL : 8.1.2.1 254323 Bytes 17.03.2010 18:08:57
AERDL.DLL : 8.1.4.3 541043 Bytes 17.03.2010 18:08:15
AEPACK.DLL : 8.2.1.1 426358 Bytes 19.03.2010 18:44:27
AEOFFICE.DLL : 8.1.0.41 201083 Bytes 17.03.2010 18:07:50
AEHEUR.DLL : 8.1.1.13 2470262 Bytes 17.03.2010 18:07:44
AEHELP.DLL : 8.1.10.2 237941 Bytes 17.03.2010 18:02:57
AEGEN.DLL : 8.1.3.2 373108 Bytes 19.03.2010 18:44:22
AEEMU.DLL : 8.1.1.0 393587 Bytes 08.11.2009 06:38:26
AECORE.DLL : 8.1.12.3 188789 Bytes 17.03.2010 18:02:35
AEBB.DLL : 8.1.0.3 53618 Bytes 08.11.2009 06:38:20
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56
AVPREF.DLL : 9.0.3.0 44289 Bytes 26.08.2009 14:13:59
AVREP.DLL : 8.0.0.7 159784 Bytes 18.02.2010 15:15:37
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:37
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 14:35:17
RCTEXT.DLL : 9.0.73.0 87297 Bytes 13.10.2009 11:19:29

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, E:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Freitag, 26. März 2010 19:55

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '28342' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:

Es wurden '33' Prozesse mit '33' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '56' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\System Volume Information\_restore{24374C99-3DA0-4B17-91DC-FE8A23579A0D}\RP330\A0017577.exe
[FUND] Ist das Trojanische Pferd TR/Agent.102400.CP
Beginne mit der Suche in 'E:\' <Daten>

Beginne mit der Desinfektion:
C:\System Volume Information\_restore{24374C99-3DA0-4B17-91DC-FE8A23579A0D}\RP330\A0017577.exe
[FUND] Ist das Trojanische Pferd TR/Agent.102400.CP
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4bdd13f5.qua' verschoben!

Ende des Suchlaufs: Freitag, 26. März 2010 21:06
Benötigte Zeit: 51:36 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

6383 Verzeichnisse wurden überprüft
301609 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
301607 Dateien ohne Befall
3607 Archive wurden durchsucht
1 Warnungen
2 Hinweise
28342 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

Was mache ich nun als nächstes? Ich habe das Luke Filewalker-Fenster vorsichtshalber noch geöffnet gelassen.

Ich habe jetzt auch noch auf Avira->Ereignisse->Fund (Doppelklick) geklickt, und das Fund-Fenster sagt folgendes:

Die Datei 'C:\System Volume Information\_restore{24374C99-3DA0-4B17-91DC-FE8A23579A0D}\RP330\A0017577.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Agent.102400.CP' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4bdd13f5.qua' verschoben!

Wie soll ich jetzt weiter vorgehen? (Wenn ich alles richtig verstehe, kann die Datei durch die Quarantäne im Moment keinerlei Schaden anrichten; gilt das auch, wenn ich den PC herunterfahre nach dem nächsten Neustart noch? Ich frage nur, falls ich das Problem heute abend nicht mehr gelöst bekomme - ich will auf keinen Fall den PC herunterfahren und morgen funktioniert dann womöglich nichts mehr.)

Meine Frage war eigentlich, was jetzt mit der Datei passiert, die in die Quarantäne verschoben wurde. Bleibt die jetzt dort "für immer und ewig" oder muss noch etwas getan werden, um sie zu löschen/ganz vom PC zu entfernen?

Kann ich die Deinstallation von 9 umgehen und gleich 10 draufpacken?
Mit dem abgesichterten Modus usw. kenne ich mich nämlich nicht aus, wenn die Deinstallation wie auf der Seite beschrieben zwingend notwendig ist, müsste ich bis morgen warten und einen Bekannten um Hilfe bitten.

In Avira->Ansicht->Verwaltung->Quarantäne wird die Datei ja aufgelistet, könnte ich da nicht auch auf den Papierkorb zum Löschen klicken, um sie loszuwerden?

Zur Zeit läuft übrigens ein erneuter Suchlauf mit meiner geupdateten Version 9... ist fast fertig und hat nichts gefunden.

Die Datei wurde übrigens ursprünglich in 'C:\Programme\Hewlett-Packard\Digital Imaging\bin\Hpqdirec.exe' gefunden.

Wäre es für mich (bevor ich mich in die Deinstallation von Avira 9 und die Neuinstallation von 10, was ich demnächst einem Bekannten überlassen möchte) stürze, nicht erstmal die einfachste Lösung zur Quarantäne zu gehen und den Schädling mit dem Papierkorb-Symbol bzw. Rechtsklick->Löschen zu löschen?

Da er sich in dem HP Ordner befand, könnte es doch im schlimmsten Fall nur passieren, dass mit meiner HP Software ein Problem auftaucht - oder sehe ich das falsch?

Zitat von Unregistriert;777539

Kann ich die Deinstallation von 9 umgehen und gleich 10 draufpacken?

Ja, genauso wird's gemacht!

Im Gegensatz zum Versionswechsel 8 > 9, bei dem zunächst die 8 zwingend deinstalliert werden mußte, da quasi wesentliche Programmteile völlig neu konzipiert wurden, ist der Wechsel 9 > 10 als normales Update über die bestehende Version 9 möglich!

Du mußt den Wechsel aber selbst anstoßen, sofern Du die PERSONAL installiert hast (kostenlose Version).

Zumindest zur Zeit wird nur der Versionswechsel der kostenpflichtigen Varianten per normalem Update unterstützt.

Ob das von Avira gewollt ist, oder ein bug ist, kann ich Dir abschließend nicht sagen.

Viel Glück!

Hier hast Du zunächst mal den Link zum Avira-Forum, wo alle Fragen zur neuen Version 10 diskutiert werden:

AntiVir Personal für Windows - Avira Support Forum

Zitat von Unregistriert;777546

Wäre es für mich (bevor ich mich in die Deinstallation von Avira 9 und die Neuinstallation von 10, was ich demnächst einem Bekannten überlassen möchte) stürze, nicht erstmal die einfachste Lösung zur Quarantäne zu gehen und den Schädling mit dem Papierkorb-Symbol bzw. Rechtsklick->Löschen zu löschen?

Du kannst die Datei erstmal ruhig in Quarantäne lassen, weil sie dort vom übrigen System völlig isoliert ist und keinen Schaden mehr anrichten kann!

Dann nutze Deinen PC mitsamt HP-Drucker(?) ganz normal und wenn Du nach einiger Zeit mal alles gemacht hast, was Du sonst auch machst, ohne dass irgendwelche Fehler(meldungen) auftreten, dann lösche den Schädling dauerhaft aus der Quarantäne, wenn er Dich dort stören sollte.

Es gibt eine interessante neue Entwicklung...

Ich habe heute die Datei im Quarantäneverzeichnis gelöscht, was auch problemlos ging, und einen neuen Suchlauf gestartet, der ohne Funde verlief.
Mein HP All-In-One konnte immer noch drucken und kopieren, aber die Software zum Scannen ließ sich nicht mehr öffnen. Also habe ich die ganze Software deinstalliert und anschließend neu installiert, und alles ging wieder.

Aber dann kam nach ca. 2 Minuten wieder dieselbe Meldung von Avira, dass TR/Agent.102400.CP gefunden worden sei - wieder im HP Software Ordner, nur an einer anderen .exe:

In der Datei 'C:\Programme\Hewlett-Packard\Digital Imaging\bin\Hpqdirec.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Agent.102400.CP' [trojan] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

Wieder in die Quarantäne gepackt (aber ohne es zu löschen) und wieder lässt sich das Scanner Programm nicht öffnen.

Könnte das nicht einfach ein Fehlalarm von Avira sein? Es kommt mir komisch vor, dass ich die ganze Nacht und den ganzen Vormittag Ruhe hatte, und sobald HP wieder komplett drauf ist meldet Avira diesen Trojaner. Nach dem Namen habe ich übrigens gegoogelt und konnte ihn nicht finden (nur als Varianten mit anderen Zahlen bzw. anderen Endbuchstaben).
Jetzt bin ich ehrlich gesagt etwas ratlos.

Gut, ich hab die Datei eben wiederhergestellt und abgesendet. Die ID lautet 25622584 (Hpqdirec.exe).

Mit der Neuinstallation des Scanner Programms warte ich einfach 1-2 Wochen, im Moment benötige ich das eh nicht dringend.

Kann ich die Datei vom Desktop jetzt einfach in den Papierkorb schieben und löschen? In der Quarantäne wird sie übrigens immer noch aufgeführt, ist also durch das Wiederherstellen nicht verschwunden.