unerwarteter Virenfund?

frühe Vogel · 08.09.2011, 16:52

Hallo Zusammen.

Ich habe eben mit dem CCleaner meinen PC ein wenig aufgeräumt.
Also die üblichen Funktionen, wie Cache leeren und so weiter.
Mittendrin meldet sich mein Avira mit einem Virenfund.
Ich poste hier mal den Report dazu:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 8. September 2011 16:55

Es wird nach 3325296 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : LARS-SEINLAPTOP

Versionsinformationen:
BUILD.DAT : 10.2.0.700 35934 Bytes 21.07.2011 16:49:00
AVSCAN.EXE : 10.3.0.7 484008 Bytes 30.06.2011 11:40:46
AVSCAN.DLL : 10.0.5.0 57192 Bytes 30.06.2011 11:40:46
LUKE.DLL : 10.3.0.5 45416 Bytes 30.06.2011 11:40:47
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:47
AVSCPLR.DLL : 10.3.0.7 119656 Bytes 30.06.2011 11:40:47
AVREG.DLL : 10.3.0.9 88833 Bytes 18.07.2011 21:12:45
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 08:05:36
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 17:26:16
VBASE002.VDF : 7.11.3.0 1950720 Bytes 09.02.2011 01:33:19
VBASE003.VDF : 7.11.5.225 1980416 Bytes 07.04.2011 20:52:35
VBASE004.VDF : 7.11.8.178 2354176 Bytes 31.05.2011 12:48:42
VBASE005.VDF : 7.11.10.251 1788416 Bytes 07.07.2011 21:09:27
VBASE006.VDF : 7.11.13.60 6411776 Bytes 16.08.2011 11:49:10
VBASE007.VDF : 7.11.13.61 2048 Bytes 16.08.2011 11:49:10
VBASE008.VDF : 7.11.13.62 2048 Bytes 16.08.2011 11:49:10
VBASE009.VDF : 7.11.13.63 2048 Bytes 16.08.2011 11:49:10
VBASE010.VDF : 7.11.13.64 2048 Bytes 16.08.2011 11:49:10
VBASE011.VDF : 7.11.13.65 2048 Bytes 16.08.2011 11:49:10
VBASE012.VDF : 7.11.13.66 2048 Bytes 16.08.2011 11:49:10
VBASE013.VDF : 7.11.13.95 166400 Bytes 17.08.2011 11:49:11
VBASE014.VDF : 7.11.13.125 209920 Bytes 18.08.2011 11:49:11
VBASE015.VDF : 7.11.13.157 184832 Bytes 22.08.2011 11:49:12
VBASE016.VDF : 7.11.13.201 128000 Bytes 24.08.2011 20:38:56
VBASE017.VDF : 7.11.13.234 160768 Bytes 25.08.2011 10:46:07
VBASE018.VDF : 7.11.14.16 141312 Bytes 30.08.2011 10:46:08
VBASE019.VDF : 7.11.14.48 133120 Bytes 31.08.2011 10:46:09
VBASE020.VDF : 7.11.14.49 2048 Bytes 31.08.2011 10:46:09
VBASE021.VDF : 7.11.14.50 2048 Bytes 31.08.2011 10:46:09
VBASE022.VDF : 7.11.14.51 2048 Bytes 31.08.2011 10:46:09
VBASE023.VDF : 7.11.14.52 2048 Bytes 31.08.2011 10:46:09
VBASE024.VDF : 7.11.14.53 2048 Bytes 31.08.2011 10:46:09
VBASE025.VDF : 7.11.14.54 2048 Bytes 31.08.2011 10:46:09
VBASE026.VDF : 7.11.14.55 2048 Bytes 31.08.2011 10:46:09
VBASE027.VDF : 7.11.14.56 2048 Bytes 31.08.2011 10:46:09
VBASE028.VDF : 7.11.14.57 2048 Bytes 31.08.2011 10:46:10
VBASE029.VDF : 7.11.14.58 2048 Bytes 31.08.2011 10:46:10
VBASE030.VDF : 7.11.14.59 2048 Bytes 31.08.2011 10:46:10
VBASE031.VDF : 7.11.14.70 89600 Bytes 02.09.2011 10:46:10
Engineversion : 8.2.6.54
AEVDF.DLL : 8.1.2.1 106868 Bytes 13.12.2010 07:39:16
AESCRIPT.DLL : 8.1.3.76 1626490 Bytes 25.08.2011 20:39:09
AESCN.DLL : 8.1.7.2 127349 Bytes 13.12.2010 07:39:16
AESBX.DLL : 8.2.1.34 323957 Bytes 03.06.2011 12:48:58
AERDL.DLL : 8.1.9.13 639349 Bytes 18.07.2011 21:12:44
AEPACK.DLL : 8.2.10.10 684407 Bytes 02.09.2011 10:46:20
AEOFFICE.DLL : 8.1.2.13 201083 Bytes 06.08.2011 15:16:41
AEHEUR.DLL : 8.1.2.164 3654007 Bytes 02.09.2011 10:46:18
AEHELP.DLL : 8.1.17.7 254327 Bytes 06.08.2011 15:16:24
AEGEN.DLL : 8.1.5.9 401780 Bytes 25.08.2011 20:38:58
AEEMU.DLL : 8.1.3.0 393589 Bytes 13.12.2010 07:39:10
AECORE.DLL : 8.1.23.0 196983 Bytes 25.08.2011 20:38:58
AEBB.DLL : 8.1.1.0 53618 Bytes 13.12.2010 07:39:10
AVWINLL.DLL : 10.0.0.0 19304 Bytes 13.12.2010 07:39:20
AVPREF.DLL : 10.0.3.2 44904 Bytes 30.06.2011 11:40:46
AVREP.DLL : 10.0.0.10 174120 Bytes 23.05.2011 20:39:27
AVARKT.DLL : 10.0.26.1 255336 Bytes 30.06.2011 11:40:46
AVEVTLOG.DLL : 10.0.0.9 203112 Bytes 30.06.2011 11:40:46
SQLITE3.DLL : 3.6.19.0 355688 Bytes 17.06.2010 13:27:02
AVSMTP.DLL : 10.0.0.17 63848 Bytes 13.12.2010 07:39:20
NETNT.DLL : 10.0.0.0 11624 Bytes 17.06.2010 13:27:01
RCIMAGE.DLL : 10.0.0.35 2589544 Bytes 30.06.2011 11:40:46
RCTEXT.DLL : 10.0.64.0 98664 Bytes 30.06.2011 11:40:46

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: avguard_async_scan
Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\AVGUARD_4ea3f376\guard_slideup.avp
Protokollierung.......................: standard
Primäre Aktion........................: reparieren
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: vollständig
Abweichende Gefahrenkategorien........: +PCK,

Beginn des Suchlaufs: Donnerstag, 8. September 2011 16:55

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CCleaner.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMSAccessU.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hamachi-2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'E_S30RP1.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dropbox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rapimgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wcescomm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HControlUser.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxsrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MsgTranAgt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxpers.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\Dokumente und Einstellungen\Lars\Lokale Einstellungen\temp\jar_cache4636977769147994144.tmp'
C:\Dokumente und Einstellungen\Lars\Lokale Einstellungen\temp\jar_cache4636977769147994144.tmp
[0] Archivtyp: ZIP
--> buildService/MapYandex.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0840.AH
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d6076b2.qua' verschoben!

Ende des Suchlaufs: Donnerstag, 8. September 2011 16:55
Benötigte Zeit: 00:05 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

0 Verzeichnisse wurden überprüft
652 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
651 Dateien ohne Befall
2 Archive wurden durchsucht
0 Warnungen
1 Hinweise

Hat jemand von euch eine Idee, was das genau ist und wo er herkommen könnte?
Danke schon mal für eventuelle Antworten.

cosinus · 08.09.2011, 22:44

Hallo und

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Danach OTL-Custom:

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die Textbox.

Code:

ATTFilter

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Klick auf .
Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

frühe Vogel · 09.09.2011, 15:38

Ok, ist alles erledigt.
Von MBAM gibts noch 2 ältere Suchläufe allerdings alle ohne Fund.
Ist alles im Anhang.

Viele Grüße

cosinus · 09.09.2011, 18:15

Führ bitte auch ESET aus, danach sehen wir weiter:

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

frühe Vogel · 10.09.2011, 14:00

Ok, ist so weit fertig.
Ich glaube die Funde sind alle aus dem Quarantäne Ordner, von einer alten Bereinigung.
Das müsste so Anfang dieses Jahres gewesen sein. Davon hatte ich leider keine Logs mehr.
Ansonsten hab ich keine Ahnung was Bandoo ist, oder wo es herkommt.

ESETSmartInstaller@High as downloader log:
Can not open internetESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6528
# api_version=3.0.2
# EOSSerial=4809d7346dedf848b8fcac122eab02ca
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-09-10 12:40:41
# local_time=2011-09-10 02:40:41 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1797 16775141 100 93 673977 52191441 151997 0
# compatibility_mode=8192 67108863 100 0 390 390 0 0
# scanned=83607
# found=6
# cleaned=0
# scan_time=3830
C:\Qoobox\Quarantine\C\Programme\Windows Searchqu Toolbar\ToolBar\SearchquDx.dll.vir Win32/Adware.Bandoo application (unable to clean) 00000000000000000000000000000000 I
C:\Qoobox\Quarantine\C\Programme\Windows Searchqu Toolbar\ToolBar\SearchquTb.dll.vir Win32/Adware.Bandoo application (unable to clean) 00000000000000000000000000000000 I
C:\Qoobox\Quarantine\C\Programme\Windows Searchqu Toolbar\ToolBar\chrome\content\.#searchqutb.js.1.3.vir Win32/Adware.Bandoo application (unable to clean) 00000000000000000000000000000000 I
C:\Qoobox\Quarantine\C\Programme\Windows Searchqu Toolbar\ToolBar\chrome\content\searchqutb.js.vir Win32/Adware.Bandoo application (unable to clean) 00000000000000000000000000000000 I
C:\Qoobox\Quarantine\C\Programme\Windows Searchqu Toolbar\ToolBar\chrome\content\toolbar.htm.vir Win32/Adware.Bandoo application (unable to clean) 00000000000000000000000000000000 I
C:\Qoobox\Quarantine\C\Programme\Windows Searchqu Toolbar\ToolBar\chrome\content\toolbar.xul.vir Win32/Adware.Bandoo application (unable to clean) 00000000000000000000000000000000 I

cosinus · 11.09.2011, 13:14

Das sind noch Funde im Qoobox Ordner, Quarantäne von Combofix, als wir das letzes Mal im Januar ausgeführt hatten, du erinnerst dich vll.

Zitat:

Internet Explorer (Version = 6.0.2900.5512)

Ich hab dir damals einen Updatebeitrag gepostet, wieso hast du aber immer noch den uralten IE6? Auch wenn man den IE nicht nutzt, sollte er so aktuell wie möglich sein!

frühe Vogel · 11.09.2011, 13:55

Hm, jo ich erinner mich. Hätte nicht erwartet, dass davon noch weißt, weil du hier ja so viele Fälle bearbeitest.
Was den IE betrifft, dachte ich eigentlich ich hätte ihn gelöscht.
Naja, dann werde ich mal das Update machen.
Danke, für deine Antworten!

unerwarteter Virenfund?

Log-Analyse und Auswertung: unerwarteter Virenfund?