Trojaner taucht wieder auf

Hallo,

ich habe ein Problem mit Trojaner.MalJava. NIS Online hat den am 06.03.2012 um 12:28:59 drei mal gefunden und behauptet gelöscht. Heute 14.03.2012 um 15:15:10 wieder drei mal gefunden. Die Orte waren die gleichen Java Cache-Bereiche:

appdata\locallow\sun\java\deployment\cache\6.0\24\44fd018-3e0a6df1
appdata\locallow\sun\java\deployment\cache\6.0\15\77572b4f-656b2981


Es sieht so aus, als wenn die drei nach acht Tagen wieder da sind. Ich habe nach der heutigen Meldung nachgeschaut, die Dateien waren noch da. Allerdings heute um 15:15 geändert. Hat NIS nur die "gefährlichen" Java-Klassen entfernt? Oder was passiert da?


Die Klassen hießen:


sfgusvpbmpvrn.class
ksjgpmfarblgmfqtwyy.class
faauvqcyhrd.class


und heute:


qcnnnchedfdday.class
easmjktgyhjyjj.class
adqnllv.class


Ich habe einen zusätzlichen Vollscan gemacht aber nichts weiter gefunden. Wenn, wie auch immer geschehen, noch ein Trojaner wirksam ist, wie kann ich den finden?


Am 29.02. hatte ich die "Plattenkiste" runtergeladen und am 06.03. "Netdetect" von Netzwelt.de. Beide waren als sicher eingestuft. Zeigten bei der Ausführung aber Warnungen:

 

Quelldatei:
setup.exe
Datei erstellt:
pkhlplib.exe
Datei erstellt:
pk_mp3enc.exe

Dateiaktionen
Datei: c:\plattenkiste\helpers\pk_mp3enc.exe
entfernt
Datei: c:\plattenkiste\helpers\pkhlplib.exe
entfernt

Systemeinstellungsaktionen
Ereignis: Prozessstart (Performed by c:\plattenkiste\helpers\pk_mp3enc.exe, PID:3392)
Keine Aktion unternommen
Ereignis: PE-Datei erstellen: c:\plattenkiste\helpers\cdrip.dll (Performed by c:\plattenkiste\helpers\pkhlplib.exe, PID:3428)
Keine Aktion unternommen
Ereignis: PE-Datei erstellen: c:\plattenkiste\helpers\wnaspi32.dll (Performed by c:\plattenkiste\helpers\pkhlplib.exe, PID:3428)
Keine Aktion unternommen
Ereignis: Prozessstart (Performed by c:\plattenkiste\helpers\pkhlplib.exe, PID:4264)
Keine Aktion unternommen
Ereignis: PE-Datei erstellen: c:\plattenkiste\helpers\pk_mp3enc.exe (Performed by c:\plattenkiste\helpers\pkhlplib.exe, PID:5016)
Keine Aktion unternommen
Ereignis: PE-Datei erstellen: c:\plattenkiste\helpers\lame_enc.dll (Performed by c:\plattenkiste\helpers\pkhlplib.exe, PID:5016)
Keine Aktion unternommen


und:

 

Quelldatei:
java.exe
Datei erstellt:
jag109849.exe

Dateiaktionen
Datei: c:\users\bernd\appdata\local\temp\jag109849.exe
entfernt

Systemeinstellungsaktionen
Ereignis: Prozessstart (Performed by c:\users\bernd\appdata\local\temp\jag109849.exe, PID:928)
Keine Aktion unternommen

 

 

Gruß
Bernd