JAVA/Agent.M.3 und andere ("Trojan.Downloader"?)

isla79

hallo,
ich war vor nicht allzulanger Zeit wegen eines Trojaners hier und hab den offensichtlich danke eurer Hilfe weggebracht - heute gab's aber wieder "Alarm", nachdem ich auf einer Firefox-Update-Website das Update installieren wollte, irgendwas war da vielleicht nicht ok... jedenfalls hat zunächst AVIRA angeschlagen:



Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Samstag, 04. September 2010 10:32

Es wird nach 2777015 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : islas
Computername : LISA

Versionsinformationen:
BUILD.DAT : 9.0.0.422 21701 Bytes 09.03.2010 10:23:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 13.10.2009 10:26:28
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 06:35:52
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 11:57:22
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 08:05:58
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 16:39:53
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 09:19:34
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 09:19:42
VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 14:14:45
VBASE007.VDF : 7.10.9.165 4840960 Bytes 23.07.2010 09:23:16
VBASE008.VDF : 7.10.9.166 2048 Bytes 23.07.2010 09:23:17
VBASE009.VDF : 7.10.9.167 2048 Bytes 23.07.2010 09:23:17
VBASE010.VDF : 7.10.9.168 2048 Bytes 23.07.2010 09:23:17
VBASE011.VDF : 7.10.9.169 2048 Bytes 23.07.2010 09:23:17
VBASE012.VDF : 7.10.9.170 2048 Bytes 23.07.2010 09:23:18
VBASE013.VDF : 7.10.9.198 157696 Bytes 26.07.2010 14:58:49
VBASE014.VDF : 7.10.9.255 997888 Bytes 29.07.2010 14:58:33
VBASE015.VDF : 7.10.10.28 139264 Bytes 02.08.2010 14:59:25
VBASE016.VDF : 7.10.10.52 127488 Bytes 03.08.2010 15:00:24
VBASE017.VDF : 7.10.10.84 137728 Bytes 06.08.2010 14:59:33
VBASE018.VDF : 7.10.10.107 176640 Bytes 09.08.2010 12:16:54
VBASE019.VDF : 7.10.10.130 132608 Bytes 10.08.2010 12:16:56
VBASE020.VDF : 7.10.10.158 131072 Bytes 12.08.2010 12:16:57
VBASE021.VDF : 7.10.10.190 136704 Bytes 16.08.2010 19:51:03
VBASE022.VDF : 7.10.10.217 118272 Bytes 19.08.2010 12:03:19
VBASE023.VDF : 7.10.10.246 130048 Bytes 23.08.2010 12:47:29
VBASE024.VDF : 7.10.11.11 144896 Bytes 25.08.2010 12:47:35
VBASE025.VDF : 7.10.11.33 135168 Bytes 27.08.2010 12:47:45
VBASE026.VDF : 7.10.11.52 148992 Bytes 31.08.2010 13:39:27
VBASE027.VDF : 7.10.11.75 124928 Bytes 03.09.2010 13:39:01
VBASE028.VDF : 7.10.11.76 2048 Bytes 03.09.2010 13:39:02
VBASE029.VDF : 7.10.11.77 2048 Bytes 03.09.2010 13:39:02
VBASE030.VDF : 7.10.11.78 2048 Bytes 03.09.2010 13:39:02
VBASE031.VDF : 7.10.11.86 54784 Bytes 03.09.2010 08:30:42
Engineversion : 8.2.4.50
AEVDF.DLL : 8.1.2.1 106868 Bytes 30.07.2010 14:58:54
AESCRIPT.DLL : 8.1.3.44 1364346 Bytes 26.08.2010 12:47:56
AESCN.DLL : 8.1.6.1 127347 Bytes 17.05.2010 20:26:22
AESBX.DLL : 8.1.3.1 254324 Bytes 11.05.2010 09:19:58
AERDL.DLL : 8.1.8.2 614772 Bytes 21.07.2010 07:17:22
AEPACK.DLL : 8.2.3.5 471412 Bytes 06.08.2010 21:52:48
AEOFFICE.DLL : 8.1.1.8 201081 Bytes 22.07.2010 09:20:39
AEHEUR.DLL : 8.1.2.21 2883958 Bytes 03.09.2010 13:39:12
AEHELP.DLL : 8.1.13.3 242038 Bytes 26.08.2010 12:47:43
AEGEN.DLL : 8.1.3.20 397684 Bytes 26.08.2010 12:47:42
AEEMU.DLL : 8.1.2.0 393588 Bytes 11.05.2010 09:19:50
AECORE.DLL : 8.1.16.2 192887 Bytes 21.07.2010 07:13:04
AEBB.DLL : 8.1.1.0 53618 Bytes 11.05.2010 09:19:49
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56
AVPREF.DLL : 9.0.3.0 44289 Bytes 26.08.2009 14:13:59
AVREP.DLL : 8.0.0.7 159784 Bytes 11.05.2010 09:19:59
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:37
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 14:35:17
RCTEXT.DLL : 9.0.73.0 87297 Bytes 13.10.2009 11:19:29

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: ShlExt
Konfigurationsdatei...................: C:\DOKUME~1\islas\LOKALE~1\Temp\5b2534a2.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: aus
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Samstag, 04. September 2010 10:32

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\Dokumente und Einstellungen\islas\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\47\140bd1ef-5f350efd
[0] Archivtyp: ZIP
--> seopack.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.M.3
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cb205d0.qua' verschoben!


Ende des Suchlaufs: Samstag, 04. September 2010 11:27
Benötigte Zeit: 55:09 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

4376 Verzeichnisse wurden überprüft
228132 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
228129 Dateien ohne Befall
1301 Archive wurden durchsucht
2 Warnungen
3 Hinweise



Dann hat MBAM gleich 7 infizierte Dateien gefunden, ich hab mich aber nicht getraut, alle Dateien zu löschen weil auch system-Dateien dabei sind - kann ich die einfach löschen?

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4541

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

04.09.2010 13:12:07
mbam-log-2010-09-04 (13-12-07).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 49236
Laufzeit: 1 Stunde(n), 1 Minute(n), 2 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 5

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
c:\WINDOWS\system32\sshnas21.dll (Trojan.Downloader) -> Not selected for removal.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sshnas (Trojan.Downloader) -> Not selected for removal.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\islas\Lokale Einstellungen\Temp\Evw.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\islas\Lokale Einstellungen\Temp\fYIVmyzG.exe.part (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\islas\Lokale Einstellungen\Temp\sshnas21.dll (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Exyzoa.exe (Trojan.Downloader) -> Not selected for removal.
C:\WINDOWS\system32\sshnas21.dll (Trojan.Downloader) -> Not selected for removal.

Danke schon einmal für eure Rückmeldung!