Hallo, es ist ein graus.
Ich verwalte auf meinem Rechner Homepages. Darauf greife ich mit einem FTP Programm zu (WISE). Hier habe ich als ich vorhatte meine Seiten zu sichern alle daten runtergezogen. Jetzt musste ich feststellen, dass sich hier auch ein Virus versteckt hat.
--> php agent.aj
was nun?
Werde nun meinen Virenscanner drüber laufen lassen und das Protokoll posten.

Danke für die geduld und hilfe!!

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 15. April 2010 22:21

Es wird nach 2000380 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : Alle
Computername : FAMILIE

Versionsinformationen:
BUILD.DAT : 9.0.0.422 21701 Bytes 09.03.2010 10:23:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 19.11.2009 16:12:08
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 16:12:08
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 17:38:48
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 22:31:45
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 09:53:18
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 14:14:08
VBASE005.VDF : 7.10.4.204 2048 Bytes 05.03.2010 14:14:08
VBASE006.VDF : 7.10.4.205 2048 Bytes 05.03.2010 14:14:08
VBASE007.VDF : 7.10.4.206 2048 Bytes 05.03.2010 14:14:08
VBASE008.VDF : 7.10.4.207 2048 Bytes 05.03.2010 14:14:08
VBASE009.VDF : 7.10.4.208 2048 Bytes 05.03.2010 14:14:08
VBASE010.VDF : 7.10.4.209 2048 Bytes 05.03.2010 14:14:08
VBASE011.VDF : 7.10.4.210 2048 Bytes 05.03.2010 14:14:09
VBASE012.VDF : 7.10.4.211 2048 Bytes 05.03.2010 14:14:09
VBASE013.VDF : 7.10.4.242 153088 Bytes 08.03.2010 20:17:37
VBASE014.VDF : 7.10.5.17 99328 Bytes 10.03.2010 20:17:39
VBASE015.VDF : 7.10.5.44 107008 Bytes 11.03.2010 20:17:40
VBASE016.VDF : 7.10.5.69 92672 Bytes 12.03.2010 20:17:41
VBASE017.VDF : 7.10.5.91 119808 Bytes 15.03.2010 20:17:42
VBASE018.VDF : 7.10.5.121 112640 Bytes 18.03.2010 20:17:43
VBASE019.VDF : 7.10.5.138 139776 Bytes 18.03.2010 20:17:44
VBASE020.VDF : 7.10.5.164 113152 Bytes 22.03.2010 20:17:45
VBASE021.VDF : 7.10.5.182 108032 Bytes 23.03.2010 20:17:47
VBASE022.VDF : 7.10.5.199 123904 Bytes 24.03.2010 20:17:48
VBASE023.VDF : 7.10.5.217 279552 Bytes 25.03.2010 17:04:07
VBASE024.VDF : 7.10.5.234 202240 Bytes 26.03.2010 17:04:09
VBASE025.VDF : 7.10.5.254 187904 Bytes 30.03.2010 17:04:11
VBASE026.VDF : 7.10.6.18 130560 Bytes 01.04.2010 17:04:12
VBASE027.VDF : 7.10.6.34 136192 Bytes 06.04.2010 19:47:49
VBASE028.VDF : 7.10.6.44 232448 Bytes 07.04.2010 14:21:13
VBASE029.VDF : 7.10.6.60 124416 Bytes 12.04.2010 15:53:21
VBASE030.VDF : 7.10.6.74 116224 Bytes 14.04.2010 15:51:43
VBASE031.VDF : 7.10.6.76 47104 Bytes 14.04.2010 15:51:43
Engineversion : 8.2.1.210
AEVDF.DLL : 8.1.1.3 106868 Bytes 23.01.2010 13:16:21
AESCRIPT.DLL : 8.1.3.24 1282425 Bytes 03.04.2010 17:04:29
AESCN.DLL : 8.1.5.0 127347 Bytes 26.02.2010 05:46:57
AESBX.DLL : 8.1.2.1 254323 Bytes 24.03.2010 20:18:13
AERDL.DLL : 8.1.4.3 541043 Bytes 24.03.2010 20:18:09
AEPACK.DLL : 8.2.1.1 426358 Bytes 24.03.2010 20:18:07
AEOFFICE.DLL : 8.1.0.41 201083 Bytes 24.03.2010 20:18:05
AEHEUR.DLL : 8.1.1.16 2503031 Bytes 03.04.2010 17:04:25
AEHELP.DLL : 8.1.11.3 242039 Bytes 03.04.2010 17:04:17
AEGEN.DLL : 8.1.3.6 373108 Bytes 03.04.2010 17:04:16
AEEMU.DLL : 8.1.1.0 393587 Bytes 03.10.2009 04:39:20
AECORE.DLL : 8.1.13.1 188790 Bytes 03.04.2010 17:04:14
AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 13:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56
AVPREF.DLL : 9.0.3.0 44289 Bytes 08.09.2009 15:59:50
AVREP.DLL : 8.0.0.7 159784 Bytes 18.02.2010 17:17:17
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:37
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 14:35:17
RCTEXT.DLL : 9.0.73.0 87297 Bytes 19.11.2009 16:12:08

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Manuelle Auswahl
Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\PROFILES\folder.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: D:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Intelligente Dateiauswahl
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Donnerstag, 15. April 2010 22:21

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wise_ftp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rapimgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SUPERAntiSpyware.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AOSD.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wcescomm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'E_FATI9CE.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ABOARD.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jucheck.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PCMService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ALCWZRD.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SOUNDMAN.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLSched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMSAccessU.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLMLService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HidService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLMLServer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLCapSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '46' Prozesse mit '46' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD3
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD4
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '64' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'D:\' <Sicherung>
D:\Eigene Dateien\Eigene Bilder\Homepage\xxx\www.xxx.de\configuration.php
[FUND] Enthält Erkennungsmuster des PHP-Virus PHP/Agent.AJ
D:\Eigene Dateien\Eigene Bilder\Homepage\xxx\www.xxx.de\index.php
[FUND] Enthält Erkennungsmuster des PHP-Virus PHP/Agent.AJ
D:\Eigene Dateien\Eigene Bilder\Homepage\xxx\www.xxx.de\index2.php
[FUND] Enthält Erkennungsmuster des PHP-Virus PHP/Agent.AJ
D:\Eigene Dateien\Eigene Bilder\Homepage\xxx\www.xxx.de\templates\madeyourweb\index.php
[FUND] Enthält Erkennungsmuster des PHP-Virus PHP/Agent.AJ
D:\Eigene Dateien\Eigene Bilder\Homepage\xxx\www.xxx.de\templates\princess_parrot\index.php
[FUND] Enthält Erkennungsmuster des PHP-Virus PHP/Agent.AJ
D:\Eigene Dateien\Eigene Bilder\Homepage\xxx\www.xxx.de\templates\rhuk_solarflare_ii\index.php
[FUND] Enthält Erkennungsmuster des PHP-Virus PHP/Agent.AJ
D:\Eigene Dateien\Eigene Bilder\Homepage\xxx\www.xxx.de\configuration.php
[FUND] Enthält Erkennungsmuster des PHP-Virus PHP/Agent.AJ
D:\Eigene Dateien\Eigene Bilder\Homepage\xxx\www.sxxx.de\index.php
[FUND] Enthält Erkennungsmuster des PHP-Virus PHP/Agent.AJ
D:\Eigene Dateien\Eigene Bilder\Homepage\xxx\www.xxx.de\index2.php
[FUND] Enthält Erkennungsmuster des PHP-Virus PHP/Agent.AJ

Beginne mit der Desinfektion:
D:\Eigene Dateien\Eigene Bilder\Homepage\xxx\www.xxx.de\configuration.php
[FUND] Enthält Erkennungsmuster des PHP-Virus PHP/Agent.AJ
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c357a4a.qua' verschoben!
D:\Eigene Dateien\Eigene Bilder\Homepage\xxx\www.xxx.de\index.php
[FUND] Enthält Erkennungsmuster des PHP-Virus PHP/Agent.AJ
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c2b7a49.qua' verschoben!
D:\Eigene Dateien\Eigene Bilder\Homepage\xxx\www.xxx.de\index2.php
[FUND] Enthält Erkennungsmuster des PHP-Virus PHP/Agent.AJ
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d53d1da.qua' verschoben!
D:\Eigene Dateien\Eigene Bilder\Homepage\xxx\www.xxx.de\templates\madeyourweb\index.php
[FUND] Enthält Erkennungsmuster des PHP-Virus PHP/Agent.AJ
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d50b8a2.qua' verschoben!
D:\Eigene Dateien\Eigene Bilder\Homepage\xxx\www.xxx.de\templates\princess_parrot\index.php
[FUND] Enthält Erkennungsmuster des PHP-Virus PHP/Agent.AJ
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d57b0fa.qua' verschoben!
D:\Eigene Dateien\Eigene Bilder\Homepage\xxx\www.xxx.de\templates\rhuk_solarflare_ii\index.php
[FUND] Enthält Erkennungsmuster des PHP-Virus PHP/Agent.AJ
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d56a832.qua' verschoben!
D:\Eigene Dateien\Eigene Bilder\Homepage\xxx\www.sxxx.de\configuration.php
[FUND] Enthält Erkennungsmuster des PHP-Virus PHP/Agent.AJ
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d4cc913.qua' verschoben!
D:\Eigene Dateien\Eigene Bilder\Homepage\xxx\www.xxx.de\index.php
[FUND] Enthält Erkennungsmuster des PHP-Virus PHP/Agent.AJ
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d51c16a.qua' verschoben!
D:\Eigene Dateien\Eigene Bilder\Homepage\xxx\www.xxx.de\index2.php
[FUND] Enthält Erkennungsmuster des PHP-Virus PHP/Agent.AJ
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4f42a5d2.qua' verschoben!


Ende des Suchlaufs: Donnerstag, 15. April 2010 22:40
Benötigte Zeit: 15:33 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

2412 Verzeichnisse wurden überprüft
59880 Dateien wurden geprüft
9 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
9 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
59871 Dateien ohne Befall
86 Archive wurden durchsucht
0 Warnungen
9 Hinweise

Ich brauch die Dateien damit die Page funktioniert. Was soll ich tun?
Sind alle in Quarantäne verschoben worden.

Wurden Deine PHP-Dateien denn verändert? SIehst Du darin fremden oder unbekannten Code?