Hallo zusammen!

Heute habe ich bei einem Systemcheck mit Avira folgenden Virus auf meinem Rechner gefunden, EXP/Wimad.J
Durch die Suche im Netz bin ich auf eure Seite gestoßen. Ich habe in der Forums suche den Threat gefunden und habe mich dafür entschieden einen eigenen Threat auf zumachen da ich "nur" diesen einen Virus habe. Ich hoffe das ist in Ordnung.

Hier das Protokoll von Avira (immer Aktuell):

Zitat:

Avira Free Antivirus
Erstellungsdatum der Reportdatei: Sonntag, 9. September 2012 16:38

Es wird nach 4178820 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 7 Ultimate
Windowsversion : (Service Pack 1) [6.1.7601]
Boot Modus : Normal gebootet
Benutzername : Andi
Computername : ANDI-PC

Versionsinformationen:
BUILD.DAT : 12.0.0.1167 40870 Bytes 18.07.2012 19:07:00
AVSCAN.EXE : 12.3.0.33 468472 Bytes 26.08.2012 15:31:41
AVSCAN.DLL : 12.3.0.15 66256 Bytes 09.05.2012 09:18:28
LUKE.DLL : 12.3.0.15 68304 Bytes 09.05.2012 09:18:28
AVSCPLR.DLL : 12.3.0.14 97032 Bytes 09.05.2012 09:18:28
AVREG.DLL : 12.3.0.17 232200 Bytes 11.05.2012 10:08:19
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 18:18:34
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 09:07:39
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 08:26:41
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 10:46:25
VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 11:17:51
VBASE005.VDF : 7.11.34.116 4034048 Bytes 29.06.2012 04:27:44
VBASE006.VDF : 7.11.41.250 4902400 Bytes 06.09.2012 07:45:11
VBASE007.VDF : 7.11.41.251 2048 Bytes 06.09.2012 07:45:11
VBASE008.VDF : 7.11.41.252 2048 Bytes 06.09.2012 07:45:12
VBASE009.VDF : 7.11.41.253 2048 Bytes 06.09.2012 07:45:12
VBASE010.VDF : 7.11.41.254 2048 Bytes 06.09.2012 07:45:12
VBASE011.VDF : 7.11.41.255 2048 Bytes 06.09.2012 07:45:12
VBASE012.VDF : 7.11.42.0 2048 Bytes 06.09.2012 07:45:12
VBASE013.VDF : 7.11.42.1 2048 Bytes 06.09.2012 07:45:12
VBASE014.VDF : 7.11.42.2 2048 Bytes 06.09.2012 07:45:12
VBASE015.VDF : 7.11.42.3 2048 Bytes 06.09.2012 07:45:12
VBASE016.VDF : 7.11.42.4 2048 Bytes 06.09.2012 07:45:12
VBASE017.VDF : 7.11.42.5 2048 Bytes 06.09.2012 07:45:12
VBASE018.VDF : 7.11.42.6 2048 Bytes 06.09.2012 07:45:12
VBASE019.VDF : 7.11.42.7 2048 Bytes 06.09.2012 07:45:12
VBASE020.VDF : 7.11.42.8 2048 Bytes 06.09.2012 07:45:12
VBASE021.VDF : 7.11.42.9 2048 Bytes 06.09.2012 07:45:12
VBASE022.VDF : 7.11.42.10 2048 Bytes 06.09.2012 07:45:12
VBASE023.VDF : 7.11.42.11 2048 Bytes 06.09.2012 07:45:12
VBASE024.VDF : 7.11.42.12 2048 Bytes 06.09.2012 07:45:12
VBASE025.VDF : 7.11.42.13 2048 Bytes 06.09.2012 07:45:12
VBASE026.VDF : 7.11.42.14 2048 Bytes 06.09.2012 07:45:12
VBASE027.VDF : 7.11.42.15 2048 Bytes 06.09.2012 07:45:12
VBASE028.VDF : 7.11.42.16 2048 Bytes 06.09.2012 07:45:12
VBASE029.VDF : 7.11.42.17 2048 Bytes 06.09.2012 07:45:12
VBASE030.VDF : 7.11.42.18 2048 Bytes 06.09.2012 07:45:12
VBASE031.VDF : 7.11.42.62 184320 Bytes 08.09.2012 07:28:07
Engineversion : 8.2.10.158
AEVDF.DLL : 8.1.2.10 102772 Bytes 10.07.2012 16:44:39
AESCRIPT.DLL : 8.1.4.48 459130 Bytes 08.09.2012 07:55:21
AESCN.DLL : 8.1.8.2 131444 Bytes 27.01.2012 13:58:39
AESBX.DLL : 8.2.5.12 606578 Bytes 14.06.2012 15:02:13
AERDL.DLL : 8.1.9.15 639348 Bytes 08.09.2011 21:16:06
AEPACK.DLL : 8.3.0.34 811383 Bytes 08.09.2012 07:55:21
AEOFFICE.DLL : 8.1.2.42 201083 Bytes 20.07.2012 07:33:43
AEHEUR.DLL : 8.1.4.96 5267830 Bytes 08.09.2012 07:55:21
AEHELP.DLL : 8.1.23.2 258422 Bytes 28.06.2012 21:05:32
AEGEN.DLL : 8.1.5.36 434549 Bytes 26.08.2012 15:31:36
AEEXP.DLL : 8.1.0.86 90484 Bytes 08.09.2012 07:55:21
AEEMU.DLL : 8.1.3.2 393587 Bytes 10.07.2012 16:44:38
AECORE.DLL : 8.1.27.4 201078 Bytes 26.08.2012 15:31:36
AEBB.DLL : 8.1.1.0 53618 Bytes 01.09.2011 21:46:01
AVWINLL.DLL : 12.3.0.15 27344 Bytes 09.05.2012 09:18:28
AVPREF.DLL : 12.3.0.15 51920 Bytes 09.05.2012 09:18:28
AVREP.DLL : 12.3.0.15 179208 Bytes 09.05.2012 09:18:28
AVARKT.DLL : 12.3.0.15 211408 Bytes 09.05.2012 09:18:28
AVEVTLOG.DLL : 12.3.0.15 169168 Bytes 09.05.2012 09:18:28
SQLITE3.DLL : 3.7.0.1 398288 Bytes 09.05.2012 09:18:28
AVSMTP.DLL : 12.3.0.32 63480 Bytes 26.08.2012 15:31:41
NETNT.DLL : 12.3.0.15 17104 Bytes 09.05.2012 09:18:28
RCIMAGE.DLL : 12.3.0.31 4444408 Bytes 26.08.2012 15:31:09
RCTEXT.DLL : 12.3.0.31 100088 Bytes 26.08.2012 15:31:09

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\program files (x86)\avira\antivir desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Sonntag, 9. September 2012 16:38

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'Origin.exe' - '95' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '82' Modul(e) wurden durchsucht
Durchsuche Prozess 'daemonu.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'AdobeARM.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'SBRnPCIe.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'winampa.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '82' Modul(e) wurden durchsucht
Durchsuche Prozess 'CTSched.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeamViewer_Service.exe' - '79' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrA.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'CtHdaSvc.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'CTAudSvc.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvSCPAPISvr.exe' - '30' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '994' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\Games\World_of_Tanks\Updates\wot_67.141320_launcher_eu.patch
[WARNUNG] Die Komprimierungsmethode wird nicht unterstützt
C:\Games\World_of_Tanks\Updates\wot_71.131446_client_eu.patch
[WARNUNG] Dieses Archiv wird nicht unterstützt
C:\Games\World_of_Tanks\Updates\wot_71.145341_launcher_eu.patch
[WARNUNG] Die Komprimierungsmethode wird nicht unterstützt
C:\Games\World_of_Tanks\Updates\wot_71.145342_launcher_eu.patch
[WARNUNG] Die Datei konnte nicht gelesen werden!
C:\Games\World_of_Tanks\Updates\wot_74.98_launcher_eu.patch
[WARNUNG] Die Komprimierungsmethode wird nicht unterstützt
C:\Program Files\Logitech Gaming Software\uninstallhlpr.exe
[WARNUNG] Die Version dieses Archives wird nicht unterstützt
C:\Program Files\WinRAR\rarnew.dat
[WARNUNG] Das Archiv ist unbekannt oder defekt
C:\Users\Andi\AppData\Local\Temp\B51D.tmp.0
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Users\Andi\Music\SoundNeu\Motorhead - Ramones.wma
[FUND] Enthält Erkennungsmuster des Exploits EXP/Wimad.J
C:\Users\Andi\Music\SoundNeu\Discographien\Sonstige\60s - 70s Dance Party (8 CD) - all top tunes (AIO)\Tour.exe
[WARNUNG] Die Datei ist kennwortgeschützt

Beginne mit der Desinfektion:
C:\Users\Andi\Music\SoundNeu\Motorhead - Ramones.wma
[FUND] Enthält Erkennungsmuster des Exploits EXP/Wimad.J
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '57b31833.qua' verschoben!


Ende des Suchlaufs: Sonntag, 9. September 2012 17:22
Benötigte Zeit: 42:32 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

27089 Verzeichnisse wurden überprüft
465069 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
465068 Dateien ohne Befall
8075 Archive wurden durchsucht
9 Warnungen
1 Hinweise
471908 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

Und hier das Protokoll von Malwarebytes Anti-Malware 1.62.0.1300:

Zitat:

Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.09.09.04

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 8.0.7601.17514
Andi :: ANDI-PC [Administrator]

09.09.2012 17:19:17
mbam-log-2012-09-09 (17-19-17).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 355795
Laufzeit: 37 Minute(n), 41 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

Sollte ich meinen Rechner (Win7 Ultimate 64Bit) neu aufsetzten? Oder kann man den Virus entfernen?

Den Rechner benutze ich nur für Musik, Bildbearbeitung und zum Spielen (online).

Danke schon mal im vorraus.

Code: Alles auswählenAufklappen

ATTFilter

C:\Users\Andi\Music\SoundNeu\Motorhead - Ramones.wma
[FUND] Enthält Erkennungsmuster des Exploits EXP/Wimad.J
         

Aus welcher Quelle stammt die Musikdatei? AntiVir meint da wäre ein Exploit drin

Danke erst mal für die schnelle Antwort.

Das kann ich dir nicht mehr genau sagen, da ich ne Riesen Musiksammlung habe und das schon älter sein muss. Ich kann mich aber auch nicht erinnern, dass Antivir das zuvor schon mal erkannt hätte.

Dann würde ich hier einen Fehlalarm als am plausbelsten betrachten.

Ok, danke. Mich würde noch interessieren was genau ist/macht eigentlich EXP/Wimad.J?

Und ich soll das jetzt für dich ergooglen - ist dir eine Googlesuche zu mühsam?

Äh, eigentlich nicht. War nur eine Frage, die ich nicht gestellt hätte, wenn ich im Netz was brauchbares (Erklärung) gefunden hätte.

Na sowas => Trojan.Wimad | Symantec

Vierter Link bei Google wenn man nach wimad sucht!

Das hatte ich auch schon gefunden. Nur bin ich auf diesem Gebiet nicht sehr versiert und dachte mir das, dass nicht das richtige sein kann da nur "Wimad" erklärt wurde und mir das EXP/ und das .J fehlte. Aber danke.

Naja, wenn du diese Datei aus irgendeiner dubiosen Quelle wie zB Filesharing (eMule oder Torrent) hast, dann wäre das schon vorstellbar, dass jmd vorher darin einen Exploit eingebaut hat.

Werte die angemeckerte Datei daher mal bitte noch bei Virustotal aus und poste den Ergebnislink.