TR/Offend.KD.458366 - JAVA/Tharra.B - TR/Rootkit.Gen2 gefunden

Benedikt.

Guten Abend,

Ich sitze hier an dem PC meiner Mutter und habe einen Virusscan durchgeführt. Wie schon im Namen des Themas erwähnt, findet die AVIRA Antivir Free Version die verschiedenen Funde).
Ich habe das Forum schon mehrfach durchsucht, aber es scheinen einfach zu viele verschiedene Variationen von Trojanern im Netz zu existieren.
Daher öffne ich nun ein neues Thema.
Ich hoffe das ich hier an der richtigen Stelle gelandet bin. Sollte mein Problem bereits in einem anderen Thema existieren, würde ich mich um einen Link zu diesem freuen.

In den Themen, die ich mir angesehen habe, scheint es immer wieder mit dem OTL-Scan los zu gehen.
Den habe ich auch gemacht und füge unten die OTL.txt und Extras.txt - Dateien ein.

Nur kurz zur Info:

System: Windows XP Professional 32-Bit, Version 2002, SP3
Hardware: Intel Atom 230 1,6 GHz, 2GB RAM

Ich habe zwei weitere nicht-virenverseuchte PC's zur Verfügung (falls es mir in irgendeiner Weise helfen sollte - habe mal etwas von einer OTL-Live CD gelesen, die ich mir also ohne Probleme brennen könnte)

So nun noch das AVIRA-Logfile:



Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Sonntag, 11. Dezember 2011 20:15

Es wird nach 3537942 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : Administrator
Computername : PC-***

Versionsinformationen:
BUILD.DAT : 10.2.0.704 35934 Bytes 28.09.2011 13:14:00
AVSCAN.EXE : 10.3.0.7 484008 Bytes 29.06.2011 09:28:17
AVSCAN.DLL : 10.0.5.0 57192 Bytes 29.06.2011 09:28:17
LUKE.DLL : 10.3.0.5 45416 Bytes 29.06.2011 09:28:18
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:47
AVSCPLR.DLL : 10.3.0.7 119656 Bytes 29.06.2011 09:28:19
AVREG.DLL : 10.3.0.9 88833 Bytes 14.07.2011 01:19:49
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 07:21:07
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 09:40:09
VBASE002.VDF : 7.11.3.0 1950720 Bytes 09.02.2011 06:47:13
VBASE003.VDF : 7.11.5.225 1980416 Bytes 07.04.2011 12:53:51
VBASE004.VDF : 7.11.8.178 2354176 Bytes 31.05.2011 08:10:16
VBASE005.VDF : 7.11.10.251 1788416 Bytes 07.07.2011 07:01:28
VBASE006.VDF : 7.11.13.60 6411776 Bytes 16.08.2011 10:08:42
VBASE007.VDF : 7.11.15.106 2389504 Bytes 05.10.2011 08:29:04
VBASE008.VDF : 7.11.18.32 2132992 Bytes 24.11.2011 08:05:24
VBASE009.VDF : 7.11.18.33 2048 Bytes 24.11.2011 08:05:24
VBASE010.VDF : 7.11.18.34 2048 Bytes 24.11.2011 08:05:24
VBASE011.VDF : 7.11.18.35 2048 Bytes 24.11.2011 08:05:24
VBASE012.VDF : 7.11.18.36 2048 Bytes 24.11.2011 08:05:24
VBASE013.VDF : 7.11.18.89 204800 Bytes 28.11.2011 08:05:15
VBASE014.VDF : 7.11.18.145 143872 Bytes 01.12.2011 07:11:29
VBASE015.VDF : 7.11.18.180 173056 Bytes 02.12.2011 07:11:29
VBASE016.VDF : 7.11.18.208 164864 Bytes 05.12.2011 07:11:27
VBASE017.VDF : 7.11.18.239 177152 Bytes 06.12.2011 07:11:31
VBASE018.VDF : 7.11.18.240 2048 Bytes 06.12.2011 07:11:31
VBASE019.VDF : 7.11.18.241 2048 Bytes 06.12.2011 07:11:31
VBASE020.VDF : 7.11.18.242 2048 Bytes 06.12.2011 07:11:31
VBASE021.VDF : 7.11.18.243 2048 Bytes 06.12.2011 07:11:31
VBASE022.VDF : 7.11.18.244 2048 Bytes 06.12.2011 07:11:31
VBASE023.VDF : 7.11.18.245 2048 Bytes 06.12.2011 07:11:31
VBASE024.VDF : 7.11.18.246 2048 Bytes 06.12.2011 07:11:31
VBASE025.VDF : 7.11.18.247 2048 Bytes 06.12.2011 07:11:31
VBASE026.VDF : 7.11.18.248 2048 Bytes 06.12.2011 07:11:31
VBASE027.VDF : 7.11.18.249 2048 Bytes 06.12.2011 07:11:31
VBASE028.VDF : 7.11.18.250 2048 Bytes 06.12.2011 07:11:31
VBASE029.VDF : 7.11.18.251 2048 Bytes 06.12.2011 07:11:32
VBASE030.VDF : 7.11.18.252 2048 Bytes 06.12.2011 07:11:32
VBASE031.VDF : 7.11.19.5 18432 Bytes 07.12.2011 07:11:32
Engineversion : 8.2.6.128
AEVDF.DLL : 8.1.2.2 106868 Bytes 26.10.2011 05:45:48
AESCRIPT.DLL : 8.1.3.88 479611 Bytes 03.12.2011 07:11:35
AESCN.DLL : 8.1.7.2 127349 Bytes 22.11.2010 13:54:30
AESBX.DLL : 8.2.4.5 434549 Bytes 03.12.2011 07:11:35
AERDL.DLL : 8.1.9.15 639348 Bytes 16.09.2011 05:24:27
AEPACK.DLL : 8.2.14.4 741752 Bytes 03.12.2011 07:11:34
AEOFFICE.DLL : 8.1.2.21 201084 Bytes 03.12.2011 07:11:34
AEHEUR.DLL : 8.1.3.3 3871095 Bytes 03.12.2011 07:11:33
AEHELP.DLL : 8.1.18.0 254327 Bytes 26.10.2011 05:45:44
AEGEN.DLL : 8.1.5.15 405878 Bytes 03.12.2011 07:11:31
AEEMU.DLL : 8.1.3.0 393589 Bytes 22.11.2010 13:53:49
AECORE.DLL : 8.1.24.0 196983 Bytes 26.10.2011 05:45:44
AEBB.DLL : 8.1.1.0 53618 Bytes 23.04.2010 17:33:24
AVWINLL.DLL : 10.0.0.0 19304 Bytes 13.12.2010 07:39:20
AVPREF.DLL : 10.0.3.2 44904 Bytes 29.06.2011 09:28:17
AVREP.DLL : 10.0.0.10 174120 Bytes 18.05.2011 05:27:57
AVARKT.DLL : 10.0.26.1 255336 Bytes 29.06.2011 09:28:16
AVEVTLOG.DLL : 10.0.0.9 203112 Bytes 29.06.2011 09:28:16
SQLITE3.DLL : 3.6.19.0 355688 Bytes 17.06.2010 13:27:02
AVSMTP.DLL : 10.0.0.17 63848 Bytes 13.12.2010 07:39:20
NETNT.DLL : 10.0.0.0 11624 Bytes 17.06.2010 13:27:01
RCIMAGE.DLL : 10.0.0.35 2589544 Bytes 29.06.2011 09:28:15
RCTEXT.DLL : 10.0.64.0 98664 Bytes 29.06.2011 09:28:15

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Lokale Laufwerke
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\alldrives.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Sonntag, 11. Dezember 2011 20:15

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchFilterHost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchProtocolHost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rapimgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'brccMCtl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WindowsSearch.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iv39od7ft9.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wcescomm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeaTimer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BrMfimon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BrMfcWnd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'pptd40nt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MOUSE32A.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Reader_sl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'updctrl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LxUpdateManager.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleQuickSearchBox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'OpwareSE4.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CNMNSUT.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'fpassist.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HDeck.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxsrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxpers.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MotoHelperAgent.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MotoHelperService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IJPLMSVC.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '456' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\5\1adcc145-1f2bc997
[FUND] Ist das Trojanische Pferd TR/Offend.KD.458366
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\5\1adcc145-39cebff0
[FUND] Ist das Trojanische Pferd TR/Offend.KD.458366
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\5\1adcc145-423ca62f
[FUND] Ist das Trojanische Pferd TR/Offend.KD.458366
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\5\1adcc145-4962c6c9
[FUND] Ist das Trojanische Pferd TR/Offend.KD.458366
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\56\39d688b8-734415d8
[0] Archivtyp: ZIP
--> v1.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Tharra.B
C:\WINDOWS\system32\drivers\netbt.sys
[FUND] Ist das Trojanische Pferd TR/Rootkit.Gen2
C:\WINDOWS\Temp\0.05278196952520209.exe
[FUND] Ist das Trojanische Pferd TR/Offend.KD.458366
C:\WINDOWS\Temp\0.4224702920239144.exe
[FUND] Ist das Trojanische Pferd TR/Offend.KD.458366
C:\WINDOWS\Temp\0.4505273517964151.exe
[FUND] Ist das Trojanische Pferd TR/Offend.KD.458366
C:\WINDOWS\Temp\0.4857613208064606.exe
[FUND] Ist das Trojanische Pferd TR/Offend.KD.458366
C:\WINDOWS\Temp\0.49338393380538603.exe
[FUND] Ist das Trojanische Pferd TR/Offend.KD.458366
C:\WINDOWS\Temp\0.5391350237076071.exe
[FUND] Ist das Trojanische Pferd TR/Offend.KD.458366
C:\WINDOWS\Temp\0.6020246395282199.exe
[FUND] Ist das Trojanische Pferd TR/Offend.KD.458366
C:\WINDOWS\Temp\0.6746609250326401.exe
[FUND] Ist das Trojanische Pferd TR/Offend.KD.458366
C:\WINDOWS\Temp\0.9207889387096394.exe
[FUND] Ist das Trojanische Pferd TR/Offend.KD.458366
Beginne mit der Suche in 'D:\'
Der zu durchsuchende Pfad D:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.

Beginne mit der Desinfektion:
C:\WINDOWS\Temp\0.9207889387096394.exe
[FUND] Ist das Trojanische Pferd TR/Offend.KD.458366
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4310bc96.qua' verschoben!
C:\WINDOWS\Temp\0.6746609250326401.exe
[FUND] Ist das Trojanische Pferd TR/Offend.KD.458366
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5b829331.qua' verschoben!
C:\WINDOWS\Temp\0.6020246395282199.exe
[FUND] Ist das Trojanische Pferd TR/Offend.KD.458366
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '09ddc9d9.qua' verschoben!
C:\WINDOWS\Temp\0.5391350237076071.exe
[FUND] Ist das Trojanische Pferd TR/Offend.KD.458366
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '6feb861b.qua' verschoben!
C:\WINDOWS\Temp\0.49338393380538603.exe
[FUND] Ist das Trojanische Pferd TR/Offend.KD.458366
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '2a6cab25.qua' verschoben!
C:\WINDOWS\Temp\0.4857613208064606.exe
[FUND] Ist das Trojanische Pferd TR/Offend.KD.458366
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '55779944.qua' verschoben!
C:\WINDOWS\Temp\0.4505273517964151.exe
[FUND] Ist das Trojanische Pferd TR/Offend.KD.458366
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '19cfb50e.qua' verschoben!
C:\WINDOWS\Temp\0.4224702920239144.exe
[FUND] Ist das Trojanische Pferd TR/Offend.KD.458366
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '65d7f55e.qua' verschoben!
C:\WINDOWS\Temp\0.05278196952520209.exe
[FUND] Ist das Trojanische Pferd TR/Offend.KD.458366
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4881da13.qua' verschoben!
C:\WINDOWS\system32\drivers\netbt.sys
[FUND] Ist das Trojanische Pferd TR/Rootkit.Gen2
[HINWEIS] Der Registrierungseintrag <HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\ImagePath> wurde erfolgreich repariert.
[HINWEIS] Der Registrierungseintrag <HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NetBT\ImagePath> wurde erfolgreich repariert.
[HINWEIS] Der Registrierungseintrag <HKEY_LOCAL_MACHINE\System\ControlSet003\Services\NetBT\ImagePath> wurde erfolgreich repariert.
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '51a5e1cc.qua' verschoben!
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\56\39d688b8-734415d8
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Tharra.B
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '3de9cda1.qua' verschoben!
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\5\1adcc145-4962c6c9
[FUND] Ist das Trojanische Pferd TR/Offend.KD.458366
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c50f46c.qua' verschoben!
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\5\1adcc145-423ca62f
[FUND] Ist das Trojanische Pferd TR/Offend.KD.458366
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '424ac4ab.qua' verschoben!
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\5\1adcc145-39cebff0
[FUND] Ist das Trojanische Pferd TR/Offend.KD.458366
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '0763bde9.qua' verschoben!
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\5\1adcc145-1f2bc997
[FUND] Ist das Trojanische Pferd TR/Offend.KD.458366
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '0e68b942.qua' verschoben!


Ende des Suchlaufs: Sonntag, 11. Dezember 2011 21:51
Benötigte Zeit: 1:15:32 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

7240 Verzeichnisse wurden überprüft
359276 Dateien wurden geprüft
15 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
15 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
359261 Dateien ohne Befall
2625 Archive wurden durchsucht
0 Warnungen
15 Hinweise


Und zum Schluss noch die zwei weiteren Anhänge. Ich hoffe, ihr könnt mir helfen und bedanke mich schon einmal im Voraus!

Gruß, Benedikt.