©onsultant | 20.07.2010 19:14 | AntiVir Virenfund - JAVA/Agent.N Hallo,
mein Problem ist folgendes:
Ich ließ gestern einen vollständigen Virenscan durchlaufen (auf hochgestufter Konfiguration von AntiVir) und der Scanner fand eine Datei mit der Bezeichnung "JAVA/Agent.N". Als ich ein wenig im Netz gegoogelt hatte stellte ich fest, dass mehrere User diesen "JAVA/Agent" auf ihrem System haben, hm. Ich habe gleich ein Java Update durchgeführt, habe nun die neueste Version. Hier erst einmal ein Logfile von HjT: Code:
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 19:56:26, on 20.07.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\explorer.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Avira\AntiVir Desktop\avshadow.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\****\Eigene Dateien\Downloads\HiJackThis204.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.****.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\WINDOWS\system32\skype4com.dll
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Oracle - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
--
End of file - 5579 bytes Avira AntiVir Report 1: Code:
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Montag, 19. Juli 2010 02:06
Es wird nach 2354648 Virenstämmen gesucht.
Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.
Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : ****-****-****
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : Admin
Computername : Admin
Versionsinformationen:
BUILD.DAT : 10.0.0.567 32097 Bytes 19.04.2010 15:50:00
AVSCAN.EXE : 10.0.3.0 433832 Bytes 24.04.2010 23:06:45
AVSCAN.DLL : 10.0.3.0 56168 Bytes 24.04.2010 23:06:45
LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 16:32:59
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 09:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 07:05:36
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 17:27:49
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 15:37:42
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 14:37:42
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 09:29:03
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 23:06:44
VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 14:28:36
VBASE007.VDF : 7.10.7.219 2048 Bytes 02.06.2010 14:28:36
VBASE008.VDF : 7.10.7.220 2048 Bytes 02.06.2010 14:28:36
VBASE009.VDF : 7.10.7.221 2048 Bytes 02.06.2010 14:28:36
VBASE010.VDF : 7.10.7.222 2048 Bytes 02.06.2010 14:28:38
VBASE011.VDF : 7.10.7.223 2048 Bytes 02.06.2010 14:28:38
VBASE012.VDF : 7.10.7.224 2048 Bytes 02.06.2010 14:28:38
VBASE013.VDF : 7.10.8.37 270336 Bytes 10.06.2010 17:09:39
VBASE014.VDF : 7.10.8.69 138752 Bytes 14.06.2010 15:35:37
VBASE015.VDF : 7.10.8.102 130560 Bytes 16.06.2010 15:35:50
VBASE016.VDF : 7.10.8.135 152064 Bytes 21.06.2010 15:35:47
VBASE017.VDF : 7.10.8.163 432128 Bytes 23.06.2010 15:35:39
VBASE018.VDF : 7.10.8.194 133632 Bytes 27.06.2010 15:35:35
VBASE019.VDF : 7.10.8.220 134656 Bytes 29.06.2010 15:35:41
VBASE020.VDF : 7.10.8.252 171520 Bytes 04.07.2010 14:19:41
VBASE021.VDF : 7.10.9.19 131072 Bytes 06.07.2010 11:06:29
VBASE022.VDF : 7.10.9.36 297472 Bytes 07.07.2010 09:47:42
VBASE023.VDF : 7.10.9.60 150016 Bytes 11.07.2010 13:03:52
VBASE024.VDF : 7.10.9.79 113152 Bytes 13.07.2010 10:16:51
VBASE025.VDF : 7.10.9.99 158720 Bytes 16.07.2010 12:00:49
VBASE026.VDF : 7.10.9.100 2048 Bytes 16.07.2010 12:00:49
VBASE027.VDF : 7.10.9.101 2048 Bytes 16.07.2010 12:00:49
VBASE028.VDF : 7.10.9.102 2048 Bytes 16.07.2010 12:00:49
VBASE029.VDF : 7.10.9.103 2048 Bytes 16.07.2010 12:00:49
VBASE030.VDF : 7.10.9.104 2048 Bytes 16.07.2010 12:00:49
VBASE031.VDF : 7.10.9.108 67584 Bytes 16.07.2010 09:19:51
Engineversion : 8.2.4.12
AEVDF.DLL : 8.1.2.0 106868 Bytes 24.04.2010 23:06:45
AESCRIPT.DLL : 8.1.3.40 1360250 Bytes 16.07.2010 12:00:52
AESCN.DLL : 8.1.6.1 127347 Bytes 13.05.2010 16:26:42
AESBX.DLL : 8.1.3.1 254324 Bytes 24.04.2010 23:06:45
AERDL.DLL : 8.1.4.6 541043 Bytes 24.04.2010 23:06:45
AEPACK.DLL : 8.2.2.6 430452 Bytes 16.07.2010 12:00:51
AEOFFICE.DLL : 8.1.1.6 201081 Bytes 07.07.2010 11:06:32
AEHEUR.DLL : 8.1.1.38 2724214 Bytes 23.06.2010 15:35:58
AEHELP.DLL : 8.1.11.6 242038 Bytes 23.06.2010 15:35:43
AEGEN.DLL : 8.1.3.14 381299 Bytes 16.07.2010 12:00:51
AEEMU.DLL : 8.1.2.0 393588 Bytes 24.04.2010 23:06:44
AECORE.DLL : 8.1.15.4 192886 Bytes 16.07.2010 12:00:50
AEBB.DLL : 8.1.1.0 53618 Bytes 24.04.2010 23:06:44
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 09:59:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 09:59:07
AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 14:47:40
AVREG.DLL : 10.0.3.0 53096 Bytes 24.04.2010 23:06:45
AVSCPLR.DLL : 10.0.3.0 83816 Bytes 24.04.2010 23:06:45
AVARKT.DLL : 10.0.0.14 227176 Bytes 24.04.2010 23:06:45
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 07:53:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 10:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 13:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 12:40:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 11:10:08
RCTEXT.DLL : 10.0.53.0 98152 Bytes 24.04.2010 23:06:44
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\Programme\Avira\AntiVir Desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Beginn des Suchlaufs: Montag, 19. Juli 2010 02:06
Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32\threadingmodel
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32\threadingmodel
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32\threadingmodel
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32\threadingmodel
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32\threadingmodel
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32\threadingmodel
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32\threadingmodel
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32\threadingmodel
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32\threadingmodel
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32\threadingmodel
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32\threadingmodel
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32\threadingmodel
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32\cd042efbbd7f7af1647644e76e06692b
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32\bca643cdc5c2726b20d2ecedcc62c59b
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32\2c81e34222e8052573023a60d06dd016
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32\2582ae41fb52324423be06337561aa48
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32\caaeda5fd7a9ed7697d9686d4b818472
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32\a4a1bcf2cc2b8bc3716b74b2b4522f5d
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32\4d370831d2c43cd13623e232fed27b7b
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32\1d68fe701cdea33e477eb204b76f993d
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32\1fac81b91d8e3c5aa4b0a51804d844a3
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32\f5f62a6129303efb32fbe080bb27835b
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32\fd4e2e1a3940b94dceb5a6a021f2e3c6
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32\8a8aec57dd6508a385616fbc86791ec2
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NtmsSvc\Config\Standalone\drivelist
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
c:\windows\explorer.exe
c:\WINDOWS\explorer.exe
[HINWEIS] Der Prozess ist nicht sichtbar.
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'rsmsink.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '105' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '143' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskmgr.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'NOTEPAD.EXE' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxpers.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxtray.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.EXE' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '80' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '162' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht
Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD3
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD4
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD5
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1721' Dateien ).
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\'
C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\32\7dd8b7e0-76053673
[0] Archivtyp: ZIP
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.N
--> AppleT.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.N
C:\Dokumente und Einstellungen\Admin\Eigene Dateien\Downloads\B4TTL3.rar
[0] Archivtyp: RAR
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
--> B4TTL3\B4TTL3.dll
--> Object
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
--> B4TTL3\B4TTL3.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Pher.fdy
C:\Dokumente und Einstellungen\Admin\Eigene Dateien\Downloads\Super Simple Wall v6.81.rar
[0] Archivtyp: RAR
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
--> Super Simple Wall 6.81\SSWv6.81.dll
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
C:\Dokumente und Einstellungen\Admin\Eigene Dateien\swh\Super Simple Wall 6.81\SSWv6.81.dll
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
Beginne mit der Desinfektion:
C:\Dokumente und Einstellungen\Admin\Eigene Dateien\swh\Super Simple Wall 6.81\SSWv6.81.dll
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '46014a25.qua' verschoben!
C:\Dokumente und Einstellungen\Admin\Eigene Dateien\Downloads\Super Simple Wall v6.81.rar
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5ebf65e4.qua' verschoben!
C:\Dokumente und Einstellungen\Admin\Eigene Dateien\Downloads\B4TTL3.rar
[FUND] Ist das Trojanische Pferd TR/Dldr.Pher.fdy
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '0cc43f4b.qua' verschoben!
C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\32\7dd8b7e0-76053673
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.N
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '6ac370de.qua' verschoben!
Ende des Suchlaufs: Montag, 19. Juli 2010 08:19
Benötigte Zeit: 1:29:35 Stunde(n)
Der Suchlauf wurde vollständig durchgeführt.
11109 Verzeichnisse wurden überprüft
459553 Dateien wurden geprüft
5 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
4 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
459548 Dateien ohne Befall
6150 Archive wurden durchsucht
0 Warnungen
4 Hinweise
476238 Objekte wurden beim Rootkitscan durchsucht
26 Versteckte Objekte wurden gefunden
Zitat:
Das war mein erster Scan mit mittlerer Konfiguration, die Trojaner mit den Namen TR/Crypt.XPACK.Gen und TR/Dldr.Pher.fdy gehören zu sog. "Cheat-Programmen" eines Ego-Shooters, diese machen mir kein Kopfzerbrechen. Jedoch der Fund "JAVA/Agent.N". Was ist das und wie muss ich weiter vorgehen um diese Datei sicher von meinem System zu entfernen?
| Avira AntiVir Report 2: Code:
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Montag, 19. Juli 2010 21:22
Es wird nach 2362927 Virenstämmen gesucht.
Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.
Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : ****-****-****
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : Admin
Computername : Admin
Versionsinformationen:
BUILD.DAT : 10.0.0.567 32097 Bytes 19.04.2010 15:50:00
AVSCAN.EXE : 10.0.3.0 433832 Bytes 24.04.2010 23:06:45
AVSCAN.DLL : 10.0.3.0 56168 Bytes 24.04.2010 23:06:45
LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 16:32:59
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 09:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 07:05:36
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 17:27:49
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 15:37:42
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 14:37:42
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 09:29:03
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 23:06:44
VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 14:28:36
VBASE007.VDF : 7.10.7.219 2048 Bytes 02.06.2010 14:28:36
VBASE008.VDF : 7.10.7.220 2048 Bytes 02.06.2010 14:28:36
VBASE009.VDF : 7.10.7.221 2048 Bytes 02.06.2010 14:28:36
VBASE010.VDF : 7.10.7.222 2048 Bytes 02.06.2010 14:28:38
VBASE011.VDF : 7.10.7.223 2048 Bytes 02.06.2010 14:28:38
VBASE012.VDF : 7.10.7.224 2048 Bytes 02.06.2010 14:28:38
VBASE013.VDF : 7.10.8.37 270336 Bytes 10.06.2010 17:09:39
VBASE014.VDF : 7.10.8.69 138752 Bytes 14.06.2010 15:35:37
VBASE015.VDF : 7.10.8.102 130560 Bytes 16.06.2010 15:35:50
VBASE016.VDF : 7.10.8.135 152064 Bytes 21.06.2010 15:35:47
VBASE017.VDF : 7.10.8.163 432128 Bytes 23.06.2010 15:35:39
VBASE018.VDF : 7.10.8.194 133632 Bytes 27.06.2010 15:35:35
VBASE019.VDF : 7.10.8.220 134656 Bytes 29.06.2010 15:35:41
VBASE020.VDF : 7.10.8.252 171520 Bytes 04.07.2010 14:19:41
VBASE021.VDF : 7.10.9.19 131072 Bytes 06.07.2010 11:06:29
VBASE022.VDF : 7.10.9.36 297472 Bytes 07.07.2010 09:47:42
VBASE023.VDF : 7.10.9.60 150016 Bytes 11.07.2010 13:03:52
VBASE024.VDF : 7.10.9.79 113152 Bytes 13.07.2010 10:16:51
VBASE025.VDF : 7.10.9.99 158720 Bytes 16.07.2010 12:00:49
VBASE026.VDF : 7.10.9.112 155136 Bytes 19.07.2010 13:59:52
VBASE027.VDF : 7.10.9.113 2048 Bytes 19.07.2010 13:59:52
VBASE028.VDF : 7.10.9.114 2048 Bytes 19.07.2010 13:59:52
VBASE029.VDF : 7.10.9.115 2048 Bytes 19.07.2010 13:59:52
VBASE030.VDF : 7.10.9.116 2048 Bytes 19.07.2010 13:59:52
VBASE031.VDF : 7.10.9.120 23552 Bytes 19.07.2010 13:59:53
Engineversion : 8.2.4.12
AEVDF.DLL : 8.1.2.0 106868 Bytes 24.04.2010 23:06:45
AESCRIPT.DLL : 8.1.3.40 1360250 Bytes 16.07.2010 12:00:52
AESCN.DLL : 8.1.6.1 127347 Bytes 13.05.2010 16:26:42
AESBX.DLL : 8.1.3.1 254324 Bytes 24.04.2010 23:06:45
AERDL.DLL : 8.1.4.6 541043 Bytes 24.04.2010 23:06:45
AEPACK.DLL : 8.2.2.6 430452 Bytes 16.07.2010 12:00:51
AEOFFICE.DLL : 8.1.1.6 201081 Bytes 07.07.2010 11:06:32
AEHEUR.DLL : 8.1.1.38 2724214 Bytes 23.06.2010 15:35:58
AEHELP.DLL : 8.1.11.6 242038 Bytes 23.06.2010 15:35:43
AEGEN.DLL : 8.1.3.14 381299 Bytes 16.07.2010 12:00:51
AEEMU.DLL : 8.1.2.0 393588 Bytes 24.04.2010 23:06:44
AECORE.DLL : 8.1.15.4 192886 Bytes 16.07.2010 12:00:50
AEBB.DLL : 8.1.1.0 53618 Bytes 24.04.2010 23:06:44
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 09:59:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 09:59:07
AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 14:47:40
AVREG.DLL : 10.0.3.0 53096 Bytes 24.04.2010 23:06:45
AVSCPLR.DLL : 10.0.3.0 83816 Bytes 24.04.2010 23:06:45
AVARKT.DLL : 10.0.0.14 227176 Bytes 24.04.2010 23:06:45
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 07:53:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 10:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 13:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 12:40:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 11:10:08
RCTEXT.DLL : 10.0.53.0 98152 Bytes 24.04.2010 23:06:44
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Lokale Laufwerke
Konfigurationsdatei...................: C:\Programme\Avira\AntiVir Desktop\alldrives.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: ignorieren
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, A:, D:, E:, F:, G:, H:, I:, J:, L:, M:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: aus
Archiv Smart Extensions...............: ein
Abweichende Archivtypen...............: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, +ISO,
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch
Beginn des Suchlaufs: Montag, 19. Juli 2010 21:22
Der Suchlauf nach versteckten Objekten wird begonnen.
c:\windows\explorer.exe
c:\WINDOWS\explorer.exe
[HINWEIS] Der Prozess ist nicht sichtbar.
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'rsmsink.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'notepad.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NOTEPAD.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxpers.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD3
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD4
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD5
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'A:\'
[INFO] Im Laufwerk 'A:\' ist kein Datenträger eingelegt!
Bootsektor 'D:\'
[INFO] Im Laufwerk 'D:\' ist kein Datenträger eingelegt!
Bootsektor 'E:\'
[INFO] Im Laufwerk 'E:\' ist kein Datenträger eingelegt!
Bootsektor 'F:\'
[INFO] Im Laufwerk 'F:\' ist kein Datenträger eingelegt!
Bootsektor 'G:\'
[INFO] Im Laufwerk 'G:\' ist kein Datenträger eingelegt!
Bootsektor 'H:\'
[INFO] Im Laufwerk 'H:\' ist kein Datenträger eingelegt!
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1721' Dateien ).
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\'
C:\Dokumente und Einstellungen\****\Eigene Dateien\****\**** _**** **** - ****_****
[0] Archivtyp: ****
[FUND] Ist das Trojanische Pferd TR/Packed.22775
--> **** - ****.exe
[FUND] Ist das Trojanische Pferd TR/Packed.22775
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 5ed50c72.qua erstellt ( QUARANTÄNE )
Beginne mit der Suche in 'A:\'
Der zu durchsuchende Pfad A:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.
Beginne mit der Suche in 'D:\'
Der zu durchsuchende Pfad D:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.
Beginne mit der Suche in 'E:\'
Der zu durchsuchende Pfad E:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.
Beginne mit der Suche in 'F:\'
Der zu durchsuchende Pfad F:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.
Beginne mit der Suche in 'G:\'
Der zu durchsuchende Pfad G:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.
Beginne mit der Suche in 'H:\'
Der zu durchsuchende Pfad H:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.
Beginne mit der Suche in 'I:\'
Der zu durchsuchende Pfad I:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.
Beginne mit der Suche in 'J:\'
Der zu durchsuchende Pfad J:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.
Beginne mit der Suche in 'L:\'
Der zu durchsuchende Pfad L:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.
Beginne mit der Suche in 'M:\'
Der zu durchsuchende Pfad M:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.
Ende des Suchlaufs: Montag, 19. Juli 2010 23:12
Benötigte Zeit: 1:49:52 Stunde(n)
Der Suchlauf wurde vollständig durchgeführt.
11110 Verzeichnisse wurden überprüft
470900 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
470899 Dateien ohne Befall
6564 Archive wurden durchsucht
0 Warnungen
0 Hinweise
69141 Objekte wurden beim Rootkitscan durchsucht
1 Versteckte Objekte wurden gefunden
Zitat:
Der Fund "TR/Packed.22775" gehört ebenso zu einem "Cheat-Programm". Nun nach dem zweiten Scan hier mit hochgestufter Konfiguration kam kein Fund mehr. JAVA/Agent.N wurde zwar ins Quarantäneverzeichnis verschoben aber wie sicher kann ich mir nun sein, dass das System sauber ist?
|
Komisch ist auch, dass ich keine auffälligen Prozesse laufen habe, zmdst. keine sichtbaren die eine hohe CPU-Auslastung verursachen. Auch bemerke ich sonst nichts auffälliges, mein System arbeitet völlig normal.
Ich bedanke mich im Voraus schon für Lösungsvorschläge. |