Trojan.Agent/Gen-PEC

#1 SUPERAntiSpyware hat den Trojan.Agent/Gen-PEC in folgenden Dateien, welche ich in die Quarantäne verschoben habe, gefunden (siehe Anhang):

Wie ist nun das weitere Vorgehen?

#2 Systemwiederherstellung (de)aktivieren
__________
MfG Argus

#3 OK habe ich gemacht.


Habe einen Scan mit der aktuellen Version von Avira AntiVir Free durgeführt:


Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: reparieren
Sekundäre Aktion......................: umbenennen
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+SPR,


========================================================


Ergebnisse:

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\clamav-devel\test\.split\split.clam-pespin.exeaa
[FUND] Die Datei ist mit einem ungewöhnlichen Laufzeitpacker komprimiert (PCK/PESpin). Bitte verifizieren Sie den Ursprung dieser Datei.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4adc0f08.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde nach 'split.clam-pespin.exeaa.VIR' umbenannt!
C:\clamav-devel\test\.split\split.clam.cabaa
[0] Archivtyp: CAB (Microsoft)
--> clam.exe
[WARNUNG] Die Datei konnte nicht gelesen werden!
[WARNUNG] Die Datei konnte nicht gelesen werden!
C:\Dokumente und Einstellungen\swadmin.PC001\.housecall6.6\Quarantine\clam-pespin.exe.bac_a05860
[0] Archivtyp: HIDDEN
--> FIL\\\?\C:\Dokumente und Einstellungen\swadmin.PC001\.housecall6.6\Quarantine\clam-pespin.exe.bac_a05860
[FUND] Ist das Trojanische Pferd TR/Spy.16384.G
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4ad1119a.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde nach 'clam-pespin.exe.bac_a05860.VIR' umbenannt!
C:\Dokumente und Einstellungen\swadmin.PC001\.housecall6.6\Quarantine\clamav-0.93.3-1.exe.bac_a05860
[0] Archivtyp: HIDDEN
--> FIL\\\?\C:\Dokumente und Einstellungen\swadmin.PC001\.housecall6.6\Quarantine\clamav-0.93.3-1.exe.bac_a05860
[FUND] Ist das Trojanische Pferd TR/Spy.2885043
--> ProgramFilesDir/clam-pespin.exe
[FUND] Ist das Trojanische Pferd TR/Spy.16384.G
--> ProgramFilesDir/split.clam.cabaa
[2] Archivtyp: CAB (Microsoft)
--> clam.exe
[WARNUNG] Die Datei konnte nicht gelesen werden!
[FUND] Die Datei ist mit einem ungewöhnlichen Laufzeitpacker komprimiert (PCK/PESpin). Bitte verifizieren Sie den Ursprung dieser Datei.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4ad1119f.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde nach 'clamav-0.93.3-1.exe.bac_a05860.VIR' umbenannt!
C:\Dokumente und Einstellungen\swadmin.PC001\.housecall6.6\Quarantine\clamav-0.93.3-1.exe.bac_a05864
[0] Archivtyp: HIDDEN
--> FIL\\\?\C:\Dokumente und Einstellungen\swadmin.PC001\.housecall6.6\Quarantine\clamav-0.93.3-1.exe.bac_a05864
[FUND] Ist das Trojanische Pferd TR/Spy.2885043
--> ProgramFilesDir/clam-pespin.exe
[FUND] Ist das Trojanische Pferd TR/Spy.16384.G
--> ProgramFilesDir/split.clam.cabaa
[2] Archivtyp: CAB (Microsoft)
--> clam.exe
[WARNUNG] Die Datei konnte nicht gelesen werden!
[FUND] Die Datei ist mit einem ungewöhnlichen Laufzeitpacker komprimiert (PCK/PESpin). Bitte verifizieren Sie den Ursprung dieser Datei.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4ad111a5.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde nach 'clamav-0.93.3-1.exe.bac_a05864.VIR' umbenannt!
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\sptd8653.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!


Ende des Suchlaufs: Mittwoch, 29. Juli 2009 11:41
Benötigte Zeit: 55:27 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

8158 Verzeichnisse wurden überprüft
322937 Dateien wurden geprüft
8 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
4 Dateien wurden in die Quarantäne verschoben
4 Dateien wurden umbenannt
3 Dateien konnten nicht durchsucht werden
322926 Dateien ohne Befall
10303 Archive wurden durchsucht
7 Warnungen
5 Hinweise
48400 Objekte wurden beim Rootkitscan durchsucht
1942 Versteckte Objekte wurden gefunden




Dann habe ich noch das im Logfile gefunden:

Die Reparatur von Rootkits ist nur im interaktiven Modus möglich!


Wie kann ich diesen Modus aktivieren?

#4 Wieviele Anti Virenscanner hast du auf dein Rechner ?

http://www.free-av.com/documents/products/pdf/de/man_avira_antivir-personal_de.pdf
__________
MfG Argus

#5 Folgende Anti Virenscanner habe ich installiert:

ESET NOD32 Anti-Virus
Avira AntiVir Personal Free
SUPER AntiSpyware
Spyware Terminator mit ClamAV kombiniert

#6 Noch einmal: Auf ein Rechner muss nur EIN Virenscanner anwesend sein
Mehrere Spywarescanner darf man benutzen
Wie du siesht hat Antivir schon dein Clam/AV demoliert als waere es ein Virus
__________
MfG Argus