Infektion mit EXP/CVE-2010-0840.DL

Avira Free Antivirus
Erstellungsdatum der Reportdatei: Freitag, 16. November 2012  16:54

Es wird nach 4500023 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira Free Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Microsoft Windows XP
Windowsversion : (Service Pack 3)  [5.1.2600]
Boot Modus     : Normal gebootet
Benutzername   : xxx
Computername   : YYY

Versionsinformationen:
BUILD.DAT      : 12.1.9.1236    40872 Bytes  11.10.2012 15:29:00
AVSCAN.EXE     : 12.3.0.48     468256 Bytes  15.11.2012 19:58:16
AVSCAN.DLL     : 12.3.0.15      66256 Bytes  02.05.2012 00:02:50
LUKE.DLL       : 12.3.0.15      68304 Bytes  01.05.2012 23:31:47
AVSCPLR.DLL    : 12.3.0.14      97032 Bytes  01.05.2012 22:13:36
AVREG.DLL      : 12.3.0.17     232200 Bytes  10.05.2012 17:54:10
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 18:18:34
VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 23:22:12
VBASE002.VDF   : 7.11.19.170 14374912 Bytes  20.12.2011 23:31:36
VBASE003.VDF   : 7.11.21.238  4472832 Bytes  01.02.2012 09:58:50
VBASE004.VDF   : 7.11.26.44   4329472 Bytes  28.03.2012 10:43:53
VBASE005.VDF   : 7.11.34.116  4034048 Bytes  29.06.2012 20:26:48
VBASE006.VDF   : 7.11.41.250  4902400 Bytes  06.09.2012 14:51:09
VBASE007.VDF   : 7.11.45.207  2363904 Bytes  11.10.2012 13:36:30
VBASE008.VDF   : 7.11.45.208     2048 Bytes  11.10.2012 13:36:30
VBASE009.VDF   : 7.11.45.209     2048 Bytes  11.10.2012 13:36:30
VBASE010.VDF   : 7.11.45.210     2048 Bytes  11.10.2012 13:36:31
VBASE011.VDF   : 7.11.45.211     2048 Bytes  11.10.2012 13:36:31
VBASE012.VDF   : 7.11.45.212     2048 Bytes  11.10.2012 13:36:31
VBASE013.VDF   : 7.11.45.213     2048 Bytes  11.10.2012 13:36:31
VBASE014.VDF   : 7.11.46.65    220160 Bytes  16.10.2012 08:28:29
VBASE015.VDF   : 7.11.46.153   173568 Bytes  18.10.2012 08:28:29
VBASE016.VDF   : 7.11.46.223   162304 Bytes  19.10.2012 08:28:30
VBASE017.VDF   : 7.11.47.35    126464 Bytes  22.10.2012 10:29:10
VBASE018.VDF   : 7.11.47.95    175616 Bytes  24.10.2012 17:09:14
VBASE019.VDF   : 7.11.47.177   164352 Bytes  26.10.2012 15:52:23
VBASE020.VDF   : 7.11.47.229   143360 Bytes  28.10.2012 19:51:03
VBASE021.VDF   : 7.11.48.47    138240 Bytes  30.10.2012 19:56:08
VBASE022.VDF   : 7.11.48.135   122880 Bytes  01.11.2012 11:04:58
VBASE023.VDF   : 7.11.48.209   142848 Bytes  05.11.2012 20:00:35
VBASE024.VDF   : 7.11.48.243   119296 Bytes  05.11.2012 20:00:39
VBASE025.VDF   : 7.11.49.47    136704 Bytes  07.11.2012 11:12:12
VBASE026.VDF   : 7.11.49.135   194560 Bytes  09.11.2012 12:20:51
VBASE027.VDF   : 7.11.49.209   188416 Bytes  12.11.2012 08:51:08
VBASE028.VDF   : 7.11.50.27    212992 Bytes  14.11.2012 19:57:57
VBASE029.VDF   : 7.11.50.28      2048 Bytes  14.11.2012 19:57:58
VBASE030.VDF   : 7.11.50.29      2048 Bytes  14.11.2012 19:57:58
VBASE031.VDF   : 7.11.50.48     70656 Bytes  15.11.2012 19:57:58
Engineversion  : 8.2.10.202
AEVDF.DLL      : 8.1.2.10      102772 Bytes  10.07.2012 12:45:56
AESCRIPT.DLL   : 8.1.4.66      463227 Bytes  13.11.2012 08:51:21
AESCN.DLL      : 8.1.9.4       131445 Bytes  15.11.2012 19:58:12
AESBX.DLL      : 8.2.5.12      606578 Bytes  18.06.2012 19:57:25
AERDL.DLL      : 8.2.0.74      643445 Bytes  08.11.2012 11:12:27
AEPACK.DLL     : 8.3.0.40      815479 Bytes  13.11.2012 08:51:20
AEOFFICE.DLL   : 8.1.2.50      201084 Bytes  05.11.2012 20:00:48
AEHEUR.DLL     : 8.1.4.138    5542265 Bytes  15.11.2012 19:58:11
AEHELP.DLL     : 8.1.25.2      258423 Bytes  12.10.2012 13:36:38
AEGEN.DLL      : 8.1.6.10      438646 Bytes  15.11.2012 19:58:00
AEEXP.DLL      : 8.2.0.10      119158 Bytes  05.11.2012 20:00:50
AEEMU.DLL      : 8.1.3.2       393587 Bytes  10.07.2012 12:45:54
AECORE.DLL     : 8.1.29.2      201079 Bytes  08.11.2012 11:12:14
AEBB.DLL       : 8.1.1.4        53619 Bytes  05.11.2012 20:00:36
AVWINLL.DLL    : 12.3.0.15      27344 Bytes  01.05.2012 22:59:21
AVPREF.DLL     : 12.3.0.32      50720 Bytes  15.11.2012 19:58:14
AVREP.DLL      : 12.3.0.15     179208 Bytes  01.05.2012 22:13:35
AVARKT.DLL     : 12.3.0.33     209696 Bytes  15.11.2012 19:58:13
AVEVTLOG.DLL   : 12.3.0.15     169168 Bytes  01.05.2012 22:28:49
SQLITE3.DLL    : 3.7.0.1       398288 Bytes  16.04.2012 21:11:02
AVSMTP.DLL     : 12.3.0.32      63480 Bytes  09.08.2012 07:07:22
NETNT.DLL      : 12.3.0.15      17104 Bytes  01.05.2012 23:33:29
RCIMAGE.DLL    : 12.3.0.31    4444408 Bytes  09.08.2012 07:06:59
RCTEXT.DLL     : 12.3.0.32      98848 Bytes  15.11.2012 19:57:56

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Suche nach Rootkits und aktiver Malware
Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\PROFILES\rootkit.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: vollständig

Beginn des Suchlaufs: Freitag, 16. November 2012  16:54

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'rsmsink.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '73' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '104' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '83' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqSTE08.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqtra08.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'Apntex.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '65' Modul(e) wurden durchsucht
Durchsuche Prozess 'PM.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'Apoint.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxtray.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'AGRSMMSG.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'SOUNDMAN.EXE' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '79' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '110' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '171' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '12' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '4798' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:' <N00691>
C:\Dokumente und Einstellungen\XXX.YYY\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\48\791d4a70-768fe814
  [0] Archivtyp: ZIP
  --> support/Functions.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0840.DH
  --> support/ListView.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0840.DD
  --> support/Panel.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/Java.Blacole.A
  --> support/SmartyPointer.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0840.CV
  --> support/Window.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0840.DL

Beginne mit der Desinfektion:
C:\Dokumente und Einstellungen\XXX.YYY\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\48\791d4a70-768fe814
  [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0840.DL
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '53cc2982.qua' verschoben!


Ende des Suchlaufs: Freitag, 16. November 2012  19:59
Benötigte Zeit:  3:02:39 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  14872 Verzeichnisse wurden überprüft
 627062 Dateien wurden geprüft
      5 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      1 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 627057 Dateien ohne Befall
  21177 Archive wurden durchsucht
      0 Warnungen
      1 Hinweise
 439785 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden
         

Malwarebytes Anti-Malware 1.65.1.1000
www.malwarebytes.org

Datenbank Version: v2012.11.16.08

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
XXX :: YYY [Administrator]

16.11.2012 20:17:52
mbam-log-2012-11-16 (20-17-52).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 281935
Laufzeit: 10 Minute(n), 53 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)