Drop.Agent.amh in C:\Windows\System32\help.txt

Wesptag

Hallo zusammen,

ich habe heute mit Antivir den TR/Drop.Agent.amh auf meinem Rechner gefunden wie kann ich vorgehen?

Anbei schon mal Antivir- und Malwarebyte- Protokolle

LG



Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 12. Mai 2010 20:19

Es wird nach 2113415 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows Vista
Windowsversion : (Service Pack 2) [6.0.6002]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : ASUS

Versionsinformationen:
BUILD.DAT : 9.0.0.422 21701 Bytes 09.03.2010 10:23:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 13.10.2009 10:26:28
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 06:35:52
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 06:47:21
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 06:47:31
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 06:47:34
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 18:53:19
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 19:40:28
VBASE006.VDF : 7.10.6.83 2048 Bytes 15.04.2010 19:40:28
VBASE007.VDF : 7.10.6.84 2048 Bytes 15.04.2010 19:40:28
VBASE008.VDF : 7.10.6.85 2048 Bytes 15.04.2010 19:40:29
VBASE009.VDF : 7.10.6.86 2048 Bytes 15.04.2010 19:40:30
VBASE010.VDF : 7.10.6.87 2048 Bytes 15.04.2010 19:40:30
VBASE011.VDF : 7.10.6.88 2048 Bytes 15.04.2010 19:40:30
VBASE012.VDF : 7.10.6.89 2048 Bytes 15.04.2010 19:40:30
VBASE013.VDF : 7.10.6.90 2048 Bytes 15.04.2010 19:40:30
VBASE014.VDF : 7.10.6.123 126464 Bytes 19.04.2010 20:09:09
VBASE015.VDF : 7.10.6.152 123392 Bytes 21.04.2010 20:09:16
VBASE016.VDF : 7.10.6.178 122880 Bytes 22.04.2010 21:29:41
VBASE017.VDF : 7.10.6.206 120320 Bytes 26.04.2010 13:16:50
VBASE018.VDF : 7.10.6.232 99328 Bytes 28.04.2010 13:16:35
VBASE019.VDF : 7.10.7.2 155648 Bytes 30.04.2010 15:50:13
VBASE020.VDF : 7.10.7.26 119808 Bytes 04.05.2010 18:47:05
VBASE021.VDF : 7.10.7.51 118272 Bytes 06.05.2010 18:47:10
VBASE022.VDF : 7.10.7.75 404992 Bytes 10.05.2010 15:25:18
VBASE023.VDF : 7.10.7.76 2048 Bytes 10.05.2010 15:25:18
VBASE024.VDF : 7.10.7.77 2048 Bytes 10.05.2010 15:25:19
VBASE025.VDF : 7.10.7.78 2048 Bytes 10.05.2010 15:25:19
VBASE026.VDF : 7.10.7.79 2048 Bytes 10.05.2010 15:25:19
VBASE027.VDF : 7.10.7.80 2048 Bytes 10.05.2010 15:25:19
VBASE028.VDF : 7.10.7.81 2048 Bytes 10.05.2010 15:25:19
VBASE029.VDF : 7.10.7.82 2048 Bytes 10.05.2010 15:25:19
VBASE030.VDF : 7.10.7.83 2048 Bytes 10.05.2010 15:25:19
VBASE031.VDF : 7.10.7.95 109056 Bytes 12.05.2010 15:40:45
Engineversion : 8.2.1.236
AEVDF.DLL : 8.1.2.0 106868 Bytes 23.04.2010 21:29:45
AESCRIPT.DLL : 8.1.3.28 1298810 Bytes 05.05.2010 18:47:41
AESCN.DLL : 8.1.5.0 127347 Bytes 27.02.2010 06:20:42
AESBX.DLL : 8.1.3.1 254324 Bytes 23.04.2010 21:29:45
AERDL.DLL : 8.1.4.6 541043 Bytes 16.04.2010 19:43:03
AEPACK.DLL : 8.2.1.1 426358 Bytes 20.03.2010 05:34:58
AEOFFICE.DLL : 8.1.0.41 201083 Bytes 18.03.2010 18:06:33
AEHEUR.DLL : 8.1.1.27 2670967 Bytes 05.05.2010 18:47:38
AEHELP.DLL : 8.1.11.3 242039 Bytes 02.04.2010 06:14:22
AEGEN.DLL : 8.1.3.7 373106 Bytes 16.04.2010 19:40:57
AEEMU.DLL : 8.1.2.0 393588 Bytes 23.04.2010 21:29:43
AECORE.DLL : 8.1.15.1 192886 Bytes 05.05.2010 18:47:28
AEBB.DLL : 8.1.1.0 53618 Bytes 23.04.2010 21:29:42
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56
AVPREF.DLL : 9.0.3.0 44289 Bytes 26.08.2009 14:13:59
AVREP.DLL : 8.0.0.7 159784 Bytes 20.02.2010 06:11:17
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:37
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 14:35:17
RCTEXT.DLL : 9.0.73.0 87297 Bytes 13.10.2009 11:19:29

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\program files\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +PFS,

Beginn des Suchlaufs: Mittwoch, 12. Mai 2010 20:19

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '89350' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WerFault.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WerFault.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WerFault.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehmsas.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnscfg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'InputPersonalization.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sm56hlpr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TosBtSrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SeaPort.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSSrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ATKOSD.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ACEngSvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BatteryLife.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ACMON.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wcourier.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ATKOSD2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HControl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dwm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ASLDRSrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'audiodg.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '64' Prozesse mit '64' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '43' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <VistaOS>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\Windows\System32\help.txt
[FUND] Ist das Trojanische Pferd TR/Drop.Agent.amh
Beginne mit der Suche in 'D:\' <DATA>

Beginne mit der Desinfektion:
C:\Windows\System32\help.txt
[FUND] Ist das Trojanische Pferd TR/Drop.Agent.amh
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c574367.qua' verschoben!


Ende des Suchlaufs: Donnerstag, 13. Mai 2010 02:08
Benötigte Zeit: 5:08:36 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

23277 Verzeichnisse wurden überprüft
355069 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
355067 Dateien ohne Befall
1978 Archive wurden durchsucht
1 Warnungen
2 Hinweise
89350 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden


Malwarebyte
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4094

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18904

13.05.10 04:12
mbam-log-2010-05-13 (04-12-28).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 119614
Laufzeit: 31 Minute(n), 18 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Helper (Trojan.Banker) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR (Trojan.Downloader) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)