Hallo,

heute Vormittag meldete mir mein Comodo On-Access Scanner zunächst folgendes:

Code: Alles auswählenAufklappen

ATTFilter

Exploit.Java.Agent.~A@95823236 in C:\Users\***\AppData\Local\Temp\jar_cache3794015469892078952.tmp
         

fünf Minuten später dann:

Code: Alles auswählenAufklappen

ATTFilter

Exploit.Java.Agent.~A@95823236 in C:\Users\***\AppData\Local\Opera\Opera\cache\opr08OUP
         

Ich prüfte die Datei bei Virustotal (h**p://www.virustotal.com/de/analisis/fba57ff8cfed809e8fdc1b6647515090933f4dd6f1c3cc0b02d80044c6c50f7b-1266920067) mit etwa 26% positiven Resultaten, was ja eher auf einen false Positive hindeutet. Allerdings kam ich beim Googlen des Hashwertes auf folgende Seite: h**p://maliciousbytes.blogspot.com/2010/02/exploit-kit-trying-all-exploits.html, welche die Datei als Exploit klassifiziert.

Diverse Scanner (Comodo, Bitdefender online, Panda online, Anti-Malware, HijackThis) fanden keine Gefahr mehr.

Nun zwei Fragen:
Bin ich wieder sicher (eine Infektion hat m.E. ja nicht stattgefunden)?
Wie kann eine infizierte Datei auf den Rechner kommen, die offenbar erst später durch den Scanner entdeckt wurde?

Danke und Grüße
Oli

Hallo,

welche Java-Version hast du?

Zitat:

wie kann eine infizierte Datei auf den Rechner kommen, die offenbar erst später durch den Scanner entdeckt wurde?

Du weißt wie Virenscanner prinzipiell funktionieren und dass das signaturbasierte Scannen eben genau diese Schwächen hat? Neue/unbekannte Malware kann erst zuverlässig mit zukünftigen Signaturen erkannt werden, da unbekannte Malware ja erst bei den AV-Lab ankommen, analysiert, passende Signaturen bereitgestellt werden und diese auch beim Endanwender ankommen müssen

Zitat:

mit etwa 26% positiven Resultaten

26% bei VT sind schon recht viel, zuviel für meinen Geschmack um es als Fehlalarm einzustufen.

Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!!
Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

Hi cosinus,

danke für die Antwort.

Eben, beim Öffnen von Opera nach Neustart, bekam ich wieder dieselben beiden Viruswarnungen. Eventuell war eine Seite meiner ~40 geöffneten Tabs verseucht, denke ich mir.

CCleaner habe ich durchlaufen lassen (die Registryreinigung nicht).
MWAM habe ich durchlaufen lassen - keine Fehler.
RSIT funktionierte nicht, dafür OLT.

Alle Logfiles hier: http://www.kinder-theater-werkstatt.de/logfiles.7z

Anbei auch das Bitdefenderlogfile (nicht von den unzähligen Warnungen irritieren lassen, die entstanden, als ich die betroffene Datei bei VT uploadete), das HijackThis Logfile und die infizierte Datei in einem 7z Archiv.

Für beide Archive lautet das Passwort "ukneif".

Java ist aktuell.

Grüße
Oli

Sieht alles sowit okay aus. Ich vermute, dieser Schädling im Java-Verzeichnis ist ein Exploit für alte verwundbare Versionen - da Du die bereits aktuellste Version hast, dürfte der Logik nach dieser Exploit nicht greifen und Du bist schädlingsfrei