Avira meldet Malware EXP/MS04-028.JPEG.A
Nach Upload zu Avira folgendes Ergebnis:


"Wir haben folgende Archivdateien empfangen:

Datei ID Dateiname Größe (Byte) Ergebnis
26299696 4e6f70c23397d.zip 66.92 KB OK

Eine Auflistung der Dateien und Ergebnisse, die in Archiven enthalten waren, sind im folgenden aufgeführt:
Datei ID Dateiname Größe (Byte) Ergebnis
26299697 4bbb5872.vir 67.83 KB MALWARE


Genaue Ergebnisse für jede Datei finden sie im folgenden Abschnitt:
Dateiname Ergebnis
4bbb5872.vir MALWARE

Die Datei '4bbb5872.vir' wurde als 'MALWARE' eingestuft. Unsere Analytiker haben dieser Bedrohung den Namen EXP/MS04-028.JPEG.A gegeben. Bei der Bezeichnung "EXP/" handelt es sich um eine spezielle Erkennung von Sicherheitslücken, welche es einem Angreifer ermöglichen könnte, Zugriff auf das System zu erhalten.Ein Erkennungsmuster ist mit Version der Virendefinitionsdatei (VDF) hinzugefügt. Bitte beachten Sie, dass Aviras proaktives heuristisches Erkennungsmodul AHeAD diese Datei bereits ohne das aktuellste VDF Update als EXP/MS04-028.JPEG.A erkannt hat. "



Logfile Avira:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Dienstag, 13. September 2011 08:40

Es wird nach 3350887 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows Vista x64
Windowsversion : (Service Pack 2) [6.0.6002]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : HW4-PC

Versionsinformationen:
BUILD.DAT : 10.2.0.700 35934 Bytes 21.07.2011 16:49:00
AVSCAN.EXE : 10.3.0.7 484008 Bytes 28.06.2011 17:59:02
AVSCAN.DLL : 10.0.5.0 57192 Bytes 28.06.2011 17:59:02
LUKE.DLL : 10.3.0.5 45416 Bytes 28.06.2011 17:59:02
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 11:59:47
AVSCPLR.DLL : 10.3.0.7 119656 Bytes 28.06.2011 17:59:02
AVREG.DLL : 10.3.0.9 88833 Bytes 12.07.2011 19:01:45
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 21:32:24
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 09:57:01
VBASE002.VDF : 7.11.3.0 1950720 Bytes 09.02.2011 19:21:06
VBASE003.VDF : 7.11.5.225 1980416 Bytes 07.04.2011 16:17:49
VBASE004.VDF : 7.11.8.178 2354176 Bytes 31.05.2011 17:07:23
VBASE005.VDF : 7.11.10.251 1788416 Bytes 07.07.2011 20:11:14
VBASE006.VDF : 7.11.13.60 6411776 Bytes 16.08.2011 05:25:48
VBASE007.VDF : 7.11.13.61 2048 Bytes 16.08.2011 05:25:48
VBASE008.VDF : 7.11.13.62 2048 Bytes 16.08.2011 05:25:48
VBASE009.VDF : 7.11.13.63 2048 Bytes 16.08.2011 05:25:48
VBASE010.VDF : 7.11.13.64 2048 Bytes 16.08.2011 05:25:49
VBASE011.VDF : 7.11.13.65 2048 Bytes 16.08.2011 05:25:49
VBASE012.VDF : 7.11.13.66 2048 Bytes 16.08.2011 05:25:49
VBASE013.VDF : 7.11.13.95 166400 Bytes 17.08.2011 05:25:49
VBASE014.VDF : 7.11.13.125 209920 Bytes 18.08.2011 10:35:08
VBASE015.VDF : 7.11.13.157 184832 Bytes 22.08.2011 10:35:09
VBASE016.VDF : 7.11.13.201 128000 Bytes 24.08.2011 16:16:21
VBASE017.VDF : 7.11.13.234 160768 Bytes 25.08.2011 07:31:24
VBASE018.VDF : 7.11.14.16 141312 Bytes 30.08.2011 07:39:06
VBASE019.VDF : 7.11.14.48 133120 Bytes 31.08.2011 12:36:07
VBASE020.VDF : 7.11.14.78 156160 Bytes 02.09.2011 12:36:12
VBASE021.VDF : 7.11.14.109 126976 Bytes 06.09.2011 12:36:20
VBASE022.VDF : 7.11.14.137 131584 Bytes 08.09.2011 12:36:28
VBASE023.VDF : 7.11.14.138 2048 Bytes 08.09.2011 12:36:28
VBASE024.VDF : 7.11.14.139 2048 Bytes 08.09.2011 12:36:28
VBASE025.VDF : 7.11.14.140 2048 Bytes 08.09.2011 12:36:28
VBASE026.VDF : 7.11.14.141 2048 Bytes 08.09.2011 12:36:28
VBASE027.VDF : 7.11.14.142 2048 Bytes 08.09.2011 12:36:29
VBASE028.VDF : 7.11.14.143 2048 Bytes 08.09.2011 12:36:29
VBASE029.VDF : 7.11.14.144 2048 Bytes 08.09.2011 12:36:29
VBASE030.VDF : 7.11.14.145 2048 Bytes 08.09.2011 12:36:29
VBASE031.VDF : 7.11.14.157 76288 Bytes 09.09.2011 12:36:31
Engineversion : 8.2.6.60
AEVDF.DLL : 8.1.2.1 106868 Bytes 02.01.2011 09:57:01
AESCRIPT.DLL : 8.1.3.76 1626490 Bytes 27.08.2011 07:31:32
AESCN.DLL : 8.1.7.2 127349 Bytes 02.01.2011 09:57:01
AESBX.DLL : 8.2.1.34 323957 Bytes 02.06.2011 07:19:35
AERDL.DLL : 8.1.9.15 639348 Bytes 09.09.2011 12:37:48
AEPACK.DLL : 8.2.10.10 684407 Bytes 09.09.2011 12:37:40
AEOFFICE.DLL : 8.1.2.13 201083 Bytes 31.07.2011 15:01:45
AEHEUR.DLL : 8.1.2.167 3690871 Bytes 09.09.2011 12:37:30
AEHELP.DLL : 8.1.17.7 254327 Bytes 31.07.2011 15:01:41
AEGEN.DLL : 8.1.5.9 401780 Bytes 27.08.2011 07:31:26
AEEMU.DLL : 8.1.3.0 393589 Bytes 02.01.2011 09:57:01
AECORE.DLL : 8.1.23.0 196983 Bytes 27.08.2011 07:31:25
AEBB.DLL : 8.1.1.0 53618 Bytes 02.01.2011 09:57:01
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 11:59:10
AVPREF.DLL : 10.0.3.2 44904 Bytes 28.06.2011 17:59:02
AVREP.DLL : 10.0.0.10 174120 Bytes 17.05.2011 16:20:06
AVARKT.DLL : 10.0.26.1 255336 Bytes 28.06.2011 17:59:02
AVEVTLOG.DLL : 10.0.0.9 203112 Bytes 28.06.2011 17:59:02
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 12:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 15:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 14:40:55
RCIMAGE.DLL : 10.0.0.35 2589544 Bytes 28.06.2011 17:59:01
RCTEXT.DLL : 10.0.64.0 98664 Bytes 28.06.2011 17:59:01

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: avguard_async_scan
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_4f4f8f9c\guard_slideup.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: vollständig

Beginn des Suchlaufs: Dienstag, 13. September 2011 08:40

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DllHost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TOTALCMD.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Updater.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DivXUpdate.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpwuSchd2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpsysdrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IAAnotif.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeamViewer_Service.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LVPrS64H.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSSrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Iaantmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PhotoshopElementsFileAgent.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'aavus.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\Users\helmi\AppData\Local\temp\~PI47F8.tmp'
C:\Users\helmi\AppData\Local\temp\~PI47F8.tmp
[FUND] Enthält Erkennungsmuster des Exploits EXP/MS04-028.JPEG.A

Beginne mit der Desinfektion:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA
C:\Users\helmi\AppData\Local\temp\~PI47F8.tmp
[FUND] Enthält Erkennungsmuster des Exploits EXP/MS04-028.JPEG.A
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4bbb5872.qua' verschoben!


Ende des Suchlaufs: Dienstag, 13. September 2011 08:40
Benötigte Zeit: 00:00 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

0 Verzeichnisse wurden überprüft
25 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
24 Dateien ohne Befall
0 Archive wurden durchsucht
0 Warnungen
1 Hinweise


Die Suchergebnisse werden an den Guard übermittelt.

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 7716

Windows 6.0.6002 Service Pack 2
Internet Explorer 9.0.8112.16421

14.09.2011 19:17:25
mbam-log-2011-09-14 (19-17-25).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 222827
Laufzeit: 6 Minute(n), 24 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Bitte nun routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Database version: 7722

Windows 6.0.6002 Service Pack 2
Internet Explorer 9.0.8112.16421

15.09.2011 19:09:43
mbam-log-2011-09-15 (19-09-43).txt

Scan type: Full scan (C:\|D:\|)
Objects scanned: 500376
Time elapsed: 1 hour(s), 51 minute(s), 47 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 0

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
(No malicious items detected)



Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Database version: 6530

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.19048

09.05.2011 21:36:36
mbam-log-2011-05-09 (21-36-36).txt

Scan type: Full scan (C:\|D:\|)
Objects scanned: 482417
Time elapsed: 1 hour(s), 17 minute(s), 9 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 0

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
(No malicious items detected)



ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6528
# api_version=3.0.2
# EOSSerial=bc86b6177ca90241917c9da28855bba2
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-09-15 09:57:41
# local_time=2011-09-15 11:57:41 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.0.6002 NT Service Pack 2
# compatibility_mode=1797 16775165 100 100 526820 91009365 76861 0
# compatibility_mode=5892 16776573 100 56 208369 153636707 0 0
# compatibility_mode=8192 67108863 100 0 127 127 0 0
# scanned=374191
# found=1
# cleaned=0
# scan_time=11059
C:\Users\kremi\Downloads\Setup_FreeAVCHDConverter.exe Win32/Adware.Toolbar.Dealio application (unable to clean)

Sieht ok aus, nur eine Art Fehlalarm weil das Setup Toolbars enthalten kann, was ESET als Adware abstempelt.

Rechner soweit wieder im Lot?

Sieht soweit alles OK aus. Überlege mir, ob ich einen anderen Virenscanner nehmen soll, weil sich die Fehlalarme mit AVIRA häufen. Hältst Du das für sinnvoll?

Danke und Gruß

Zitat:

Überlege mir, ob ich einen anderen Virenscanner nehmen soll, weil sich die Fehlalarme mit AVIRA häufen. Hältst Du das für sinnvoll?

Die Frage - welcher Virenscanner oder ob der installierte reicht - taucht ständig auf.
Der Virenscanner - egal welcher - kann und wird niemals 100% Schutz bieten können. Neue/unbekannte Schädlinge können immer durch die Lappen gehen. Bleib bei dem Scanner oder nimm Microsoft Security Essentials.
Abgesehen davon nutzen verschiedene Virenscanner unterschiedliche Signaturen und Techniken, das führt dazu, dass zB Scanner1 Schädling X entdeckt, aber Schädling Y übersieht. Scanner2 erkennt Schädling Y, dafür aber Schädling X nicht...
Wichtiger ist, dass du dich an Regeln hälst. Der beste Virenscanner bringt nichts, wenn du dich falsch verhälst und fahrlässig/unvorsichtig bist. Airbag und Sicherheitsgurt im Auto sind ja auch keine Gründe dafür auf die Verkehrsregeln zu pfeifen.

Halte Dich am besten grob an diese Regeln:

1. Sei misstrauisch im Internet und v.a. bei unbekannten E-Mails, sei vorsichtig bei der Herausgabe persönlicher Daten!!
2. Halte Windows und alle verwendeten Programme immer aktuell - unterstützen kann dich dabei Secunia PSI
3. Führe regelmäßig Backups auf externe Medien durch
4. Arbeite mit eingeschränkten Rechten
5. Nutze sichere Programme wie zB Opera oder Firefox zum Surfen statt den IE, zum Mailen Thunderbird statt Outlook Express - E-Mails nur als reinen text anzeigen lassen
6. automatische Wiedergabe von allen Laufwerken komplett deaktivieren, denn das ist ein unnötiges Sicherheitsrisiko
7. Bei der Installation von Software möglichst darauf achten, dass die Setups aus offiziellen Quellen stammen und du bei der Installation nach Möglichkeit die benutzerdefinierte Methode wählst - dann hast du die Möglichkeit etwaigen Schrott (wie Toolbars oder sowas wie RegistryBooster) abzuwählen, welcher sonst einfach mitinstalliert wird.
8. Bösartige bzw. ungewollte Sites von vornherein blockieren lassen mit Hilfe der MVPS Hosts File => Blocking Unwanted Parasites with a Hosts File

Alles noch genauer erklärt steht hier => Kompromittierung unvermeidbar?