EXP/2010-0840.AR BKA Virus oder nicht?

.iArt · 31.10.2011, 14:22

Hallöchen!

normalerweiße hab ich ja garkein Virusprogramm installiert (ja ich weiß ihr werdet mich bestimmt gleich erschlagen, aber ich mach eh kein Online Banking oder der gleichen auf dem PC. Und es ist ja meine Entscheidung

)

Auf jeden Fall hat mir heute Facebook erzählt, das sich jmd aus Korea mit meinen Passwort eingeloggt hat. Kam mir schonmal sehr strange vor. Daraufhin hab ich mir mal eben Anti-vir installiert und fast 2 Stunden durchlaufen lassen. Dabei kam dann folgender Log raus:

Code:

ATTFilter

Avira Free Antivirus
Erstellungsdatum der Reportdatei: Montag, 31. Oktober 2011  12:16

Es wird nach 3462793 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira AntiVir Personal - Free Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows 7 x64
Windowsversion : (Service Pack 1)  [6.1.7601]
Boot Modus     : Normal gebootet
Benutzername   : .indy
Computername   : INDY-PC

Versionsinformationen:
BUILD.DAT      : 12.0.0.861     41826 Bytes  19.10.2011 18:18:00
AVSCAN.EXE     : 12.1.0.18     490448 Bytes  19.10.2011 15:55:49
AVSCAN.DLL     : 12.1.0.17      65744 Bytes  19.10.2011 15:56:10
LUKE.DLL       : 12.1.0.17      68304 Bytes  19.10.2011 15:55:59
AVSCPLR.DLL    : 12.1.0.19      99536 Bytes  19.10.2011 15:55:49
AVREG.DLL      : 12.1.0.22     226512 Bytes  19.10.2011 15:55:48
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 19:18:34
VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 10:07:39
VBASE002.VDF   : 7.11.3.0     1950720 Bytes  09.02.2011 16:08:51
VBASE003.VDF   : 7.11.5.225   1980416 Bytes  07.04.2011 11:00:55
VBASE004.VDF   : 7.11.8.178   2354176 Bytes  31.05.2011 11:18:22
VBASE005.VDF   : 7.11.10.251  1788416 Bytes  07.07.2011 13:12:53
VBASE006.VDF   : 7.11.13.60   6411776 Bytes  16.08.2011 08:26:09
VBASE007.VDF   : 7.11.15.106  2389504 Bytes  05.10.2011 15:56:05
VBASE008.VDF   : 7.11.15.107     2048 Bytes  05.10.2011 15:56:05
VBASE009.VDF   : 7.11.15.108     2048 Bytes  05.10.2011 15:56:05
VBASE010.VDF   : 7.11.15.109     2048 Bytes  05.10.2011 15:56:05
VBASE011.VDF   : 7.11.15.110     2048 Bytes  05.10.2011 15:56:05
VBASE012.VDF   : 7.11.15.111     2048 Bytes  05.10.2011 15:56:05
VBASE013.VDF   : 7.11.15.144   161792 Bytes  07.10.2011 15:56:05
VBASE014.VDF   : 7.11.15.177   130048 Bytes  10.10.2011 15:56:05
VBASE015.VDF   : 7.11.15.213   113664 Bytes  11.10.2011 15:56:05
VBASE016.VDF   : 7.11.16.1     163328 Bytes  14.10.2011 15:56:05
VBASE017.VDF   : 7.11.16.34    187904 Bytes  18.10.2011 15:56:05
VBASE018.VDF   : 7.11.16.77    139264 Bytes  20.10.2011 11:13:02
VBASE019.VDF   : 7.11.16.112   162816 Bytes  24.10.2011 11:13:02
VBASE020.VDF   : 7.11.16.150   167424 Bytes  26.10.2011 11:13:03
VBASE021.VDF   : 7.11.16.187   171520 Bytes  28.10.2011 11:13:03
VBASE022.VDF   : 7.11.16.209   190976 Bytes  31.10.2011 11:13:04
VBASE023.VDF   : 7.11.16.210     2048 Bytes  31.10.2011 11:13:04
VBASE024.VDF   : 7.11.16.211     2048 Bytes  31.10.2011 11:13:04
VBASE025.VDF   : 7.11.16.212     2048 Bytes  31.10.2011 11:13:04
VBASE026.VDF   : 7.11.16.213     2048 Bytes  31.10.2011 11:13:04
VBASE027.VDF   : 7.11.16.214     2048 Bytes  31.10.2011 11:13:04
VBASE028.VDF   : 7.11.16.215     2048 Bytes  31.10.2011 11:13:04
VBASE029.VDF   : 7.11.16.216     2048 Bytes  31.10.2011 11:13:04
VBASE030.VDF   : 7.11.16.217     2048 Bytes  31.10.2011 11:13:04
VBASE031.VDF   : 7.11.16.218     2048 Bytes  31.10.2011 11:13:04
Engineversion  : 8.2.6.100 
AEVDF.DLL      : 8.1.2.2       106868 Bytes  31.10.2011 11:13:10
AESCRIPT.DLL   : 8.1.3.84      467324 Bytes  31.10.2011 11:13:10
AESCN.DLL      : 8.1.7.2       127349 Bytes  01.09.2011 22:46:02
AESBX.DLL      : 8.2.1.34      323957 Bytes  01.09.2011 22:46:02
AERDL.DLL      : 8.1.9.15      639348 Bytes  08.09.2011 22:16:06
AEPACK.DLL     : 8.2.13.3      684407 Bytes  31.10.2011 11:13:10
AEOFFICE.DLL   : 8.1.2.18      201084 Bytes  31.10.2011 11:13:09
AEHEUR.DLL     : 8.1.2.186    3789177 Bytes  31.10.2011 11:13:09
AEHELP.DLL     : 8.1.18.0      254327 Bytes  31.10.2011 11:13:05
AEGEN.DLL      : 8.1.5.11      401781 Bytes  31.10.2011 11:13:05
AEEMU.DLL      : 8.1.3.0       393589 Bytes  01.09.2011 22:46:01
AECORE.DLL     : 8.1.24.0      196983 Bytes  31.10.2011 11:13:05
AEBB.DLL       : 8.1.1.0        53618 Bytes  01.09.2011 22:46:01
AVWINLL.DLL    : 12.1.0.17      27344 Bytes  19.10.2011 15:55:51
AVPREF.DLL     : 12.1.0.17      51920 Bytes  19.10.2011 15:55:48
AVREP.DLL      : 12.1.0.17     179408 Bytes  19.10.2011 15:55:49
AVARKT.DLL     : 12.1.0.17     223184 Bytes  19.10.2011 15:55:46
AVEVTLOG.DLL   : 12.1.0.17     169168 Bytes  19.10.2011 15:55:47
SQLITE3.DLL    : 3.7.0.0       398288 Bytes  19.10.2011 15:56:03
AVSMTP.DLL     : 12.1.0.17      62928 Bytes  19.10.2011 15:55:50
NETNT.DLL      : 12.1.0.17      17104 Bytes  19.10.2011 15:55:59
RCIMAGE.DLL    : 12.1.0.17    4447952 Bytes  19.10.2011 15:56:14
RCTEXT.DLL     : 12.1.0.16      98512 Bytes  19.10.2011 15:56:14

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\Program Files (x86)\Avira\AntiVir Desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, 
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Montag, 31. Oktober 2011  12:16

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{00020D75-0000-0000-C000-000000000046}\ShellFolder\attributes
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Microsoft\DevDiv\VC\Servicing\8.0\sp
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Microsoft\DevDiv\VC\Servicing\8.0\sp
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Applets\SysTray\BattMeter\Flyout\a1841308-3541-4fab-bc81-f71556f20b4a
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '72' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '104' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '82' Modul(e) wurden durchsucht
Durchsuche Prozess 'UpdaterService.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '74' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'PMVService.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'ArcadeDeluxeAgent.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'LManager.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'SchedulerSvc.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'EgisUpdate.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'BackupManagerTray.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'trillian.exe' - '163' Modul(e) wurden durchsucht
Durchsuche Prozess 'flux.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'PLFSetI.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'GregHSRW.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'mwlDaemon.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '63' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1596' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <ACER>
C:\Program Files (x86)\Steam\SteamApps\common\terraria\dotNetFx40_Full_x86_x64.exe
  [WARNUNG]   Die Datei konnte nicht gelesen werden!
C:\Users\.indy\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\40\77ad73e8-46d04eb0
  [0] Archivtyp: ZIP
  --> buildService/MapYandex.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0840.AH
  --> buildService/VirtualTable.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/2010-0840.AN
C:\Users\.indy\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\59\4acc82fb-14830199
  [0] Archivtyp: ZIP
  --> mail/MailAgent.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0840.BZ
  --> mail/VirtualTable.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/2010-0840.AR

Beginne mit der Desinfektion:
C:\Users\.indy\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\59\4acc82fb-14830199
  [FUND]      Enthält Erkennungsmuster des Exploits EXP/2010-0840.AR
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '491939a2.qua' verschoben!
C:\Users\.indy\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\40\77ad73e8-46d04eb0
  [FUND]      Enthält Erkennungsmuster des Exploits EXP/2010-0840.AN
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '51901653.qua' verschoben!

Ende des Suchlaufs: Montag, 31. Oktober 2011  13:58
Benötigte Zeit:  1:41:01 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  36638 Verzeichnisse wurden überprüft
 789744 Dateien wurden geprüft
      4 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      2 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 789738 Dateien ohne Befall
   4746 Archive wurden durchsucht
      2 Warnungen
      5 Hinweise
 507188 Objekte wurden beim Rootkitscan durchsucht
      4 Versteckte Objekte wurden gefunden

Die 2 Viren hab ich mal in Quarantäne verschoben. Wolte aber mal danach googlen um zu sehen was das den ist. Und ich finde eigentlich nichts Handfestes irgendwie. Aber ich hab bisschen was vonwegen BKA/Bundestrojaner gelesen. Stimmt das? Und wenn ja wie gehe ich jetzt vor? Einfach platt machen?

mfg

cosinus · 31.10.2011, 18:45

Bitte nun routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

.iArt · 01.11.2011, 17:38

Code:

ATTFilter

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=e6faa0a707b68c41b4f34ddb02c9b29f
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-11-01 03:09:54
# local_time=2011-11-01 04:09:54 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1792 16777215 100 0 94887 94887 0 0
# compatibility_mode=5893 16776573 100 94 11626 71780597 0 0
# compatibility_mode=8192 67108863 100 0 3886 3886 0 0
# scanned=220272
# found=0
# cleaned=0
# scan_time=9447

mh nix gefunden, oder?

cosinus · 01.11.2011, 20:27

Was ist mit dem Vollscan mit Malwarebytes?

.iArt · 01.11.2011, 21:35

Wie darf ich das verstehen? das sind doch alle Logs die ich habe.

cosinus · 01.11.2011, 21:56

Lies mal den ersten Teil meiner ersten Antwort.

01.11.2011, 20:27	#4
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	EXP/2010-0840.AR BKA Virus oder nicht? Was ist mit dem Vollscan mit Malwarebytes? __________________ Logfiles bitte immer in CODE-Tags posten

01.11.2011, 21:56	#6
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	EXP/2010-0840.AR BKA Virus oder nicht? Lies mal den ersten Teil meiner ersten Antwort. __________________ --> EXP/2010-0840.AR BKA Virus oder nicht?

EXP/2010-0840.AR BKA Virus oder nicht?

Log-Analyse und Auswertung: EXP/2010-0840.AR BKA Virus oder nicht?