Funde von Avira & Malwarebytes A-M: Java-Virus JAVA/Rilly.CL & Trojan.Zbot.EPSF

 

Avira Free Antivirus
Erstellungsdatum der Reportdatei: Montag, 7. Januar 2013  20:41


Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira Free Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Microsoft Windows XP
Windowsversion : (Service Pack 3)  [5.1.2600]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : RAETHKEY

Versionsinformationen:
BUILD.DAT      : 13.0.0.2890    48567 Bytes  05.12.2012 17:11:00
AVSCAN.EXE     : 13.6.0.402    639264 Bytes  11.12.2012 19:51:17
AVSCANRC.DLL   : 13.4.0.360     64800 Bytes  11.12.2012 19:51:17
LUKE.DLL       : 13.6.0.400     67360 Bytes  11.12.2012 19:51:41
AVSCPLR.DLL    : 13.6.0.402     93984 Bytes  11.12.2012 19:51:49
AVREG.DLL      : 13.6.0.406    248096 Bytes  11.12.2012 19:51:49
avlode.dll     : 13.6.1.402    428832 Bytes  11.12.2012 19:51:50
avlode.rdf     : 13.0.0.26       7958 Bytes  11.12.2012 19:51:49
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 13:50:29
VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 13:50:31
VBASE002.VDF   : 7.11.19.170 14374912 Bytes  20.12.2011 13:50:34
VBASE003.VDF   : 7.11.21.238  4472832 Bytes  01.02.2012 13:50:36
VBASE004.VDF   : 7.11.26.44   4329472 Bytes  28.03.2012 13:50:37
VBASE005.VDF   : 7.11.34.116  4034048 Bytes  29.06.2012 13:42:40
VBASE006.VDF   : 7.11.41.250  4902400 Bytes  06.09.2012 13:42:40
VBASE007.VDF   : 7.11.50.230  3904512 Bytes  22.11.2012 12:59:38
VBASE008.VDF   : 7.11.55.142  2214912 Bytes  03.01.2013 18:31:09
VBASE009.VDF   : 7.11.55.143     2048 Bytes  03.01.2013 18:31:09
VBASE010.VDF   : 7.11.55.144     2048 Bytes  03.01.2013 18:31:09
VBASE011.VDF   : 7.11.55.145     2048 Bytes  03.01.2013 18:31:09
VBASE012.VDF   : 7.11.55.146     2048 Bytes  03.01.2013 18:31:09
VBASE013.VDF   : 7.11.55.196   260096 Bytes  04.01.2013 12:30:57
VBASE014.VDF   : 7.11.56.23    206848 Bytes  07.01.2013 18:20:43
VBASE015.VDF   : 7.11.56.24      2048 Bytes  07.01.2013 18:20:43
VBASE016.VDF   : 7.11.56.25      2048 Bytes  07.01.2013 18:20:43
VBASE017.VDF   : 7.11.56.26      2048 Bytes  07.01.2013 18:20:43
VBASE018.VDF   : 7.11.56.27      2048 Bytes  07.01.2013 18:20:43
VBASE019.VDF   : 7.11.56.28      2048 Bytes  07.01.2013 18:20:43
VBASE020.VDF   : 7.11.56.29      2048 Bytes  07.01.2013 18:20:43
VBASE021.VDF   : 7.11.56.30      2048 Bytes  07.01.2013 18:20:43
VBASE022.VDF   : 7.11.56.31      2048 Bytes  07.01.2013 18:20:43
VBASE023.VDF   : 7.11.56.32      2048 Bytes  07.01.2013 18:20:43
VBASE024.VDF   : 7.11.56.33      2048 Bytes  07.01.2013 18:20:43
VBASE025.VDF   : 7.11.56.34      2048 Bytes  07.01.2013 18:20:43
VBASE026.VDF   : 7.11.56.35      2048 Bytes  07.01.2013 18:20:44
VBASE027.VDF   : 7.11.56.36      2048 Bytes  07.01.2013 18:20:44
VBASE028.VDF   : 7.11.56.37      2048 Bytes  07.01.2013 18:20:44
VBASE029.VDF   : 7.11.56.38      2048 Bytes  07.01.2013 18:20:44
VBASE030.VDF   : 7.11.56.39      2048 Bytes  07.01.2013 18:20:44
VBASE031.VDF   : 7.11.56.44     45568 Bytes  07.01.2013 18:20:44
Engineversion  : 8.2.10.224
AEVDF.DLL      : 8.1.2.10      102772 Bytes  19.09.2012 13:42:55
AESCRIPT.DLL   : 8.1.4.78      467323 Bytes  20.12.2012 19:00:42
AESCN.DLL      : 8.1.10.0      131445 Bytes  13.12.2012 17:51:59
AESBX.DLL      : 8.2.5.12      606578 Bytes  28.08.2012 15:58:06
AERDL.DLL      : 8.2.0.74      643445 Bytes  07.11.2012 15:46:01
AEPACK.DLL     : 8.3.1.2       819574 Bytes  20.12.2012 19:00:42
AEOFFICE.DLL   : 8.1.2.50      201084 Bytes  05.11.2012 16:06:05
AEHEUR.DLL     : 8.1.4.168    5628280 Bytes  20.12.2012 19:00:36
AEHELP.DLL     : 8.1.25.2      258423 Bytes  18.10.2012 18:29:49
AEGEN.DLL      : 8.1.6.12      434549 Bytes  13.12.2012 17:51:58
AEEXP.DLL      : 8.3.0.4       184692 Bytes  20.12.2012 19:00:42
AEEMU.DLL      : 8.1.3.2       393587 Bytes  19.09.2012 13:42:55
AECORE.DLL     : 8.1.30.0      201079 Bytes  13.12.2012 17:51:57
AEBB.DLL       : 8.1.1.4        53619 Bytes  05.11.2012 16:06:02
AVWINLL.DLL    : 13.4.0.163     25888 Bytes  19.09.2012 17:09:30
AVPREF.DLL     : 13.4.0.360     50464 Bytes  11.12.2012 19:51:15
AVREP.DLL      : 13.4.0.360    177952 Bytes  11.12.2012 19:51:49
AVARKT.DLL     : 13.6.0.402    260384 Bytes  11.12.2012 19:51:09
AVEVTLOG.DLL   : 13.6.0.400    167200 Bytes  11.12.2012 19:51:13
SQLITE3.DLL    : 3.7.0.1       397088 Bytes  19.09.2012 17:17:40
AVSMTP.DLL     : 13.4.0.163     62240 Bytes  19.09.2012 17:08:54
NETNT.DLL      : 13.4.0.360     15648 Bytes  11.12.2012 19:51:41
RCIMAGE.DLL    : 13.4.0.360   4780832 Bytes  11.12.2012 19:51:01
RCTEXT.DLL     : 13.4.0.360     68384 Bytes  11.12.2012 19:51:01

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, 
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Montag, 7. Januar 2013  20:41

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD5
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'rsmsink.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '94' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '72' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '113' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'NclRSSrv.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'NclUSBSrv.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMIndexingService.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'ServiceLayer.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'PMBDeviceInfoProvider.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamgui.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'mdm.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamservice.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamscheduler.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'LVPrcSrv.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'COCIManager.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleUpdate.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '79' Modul(e) wurden durchsucht
Durchsuche Prozess 'dfs.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'cvpnd.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'WG111v2.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMIndexStoreSvr.exe' - '76' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'SpotifyWebHelper.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'PCSuite.exe' - '71' Modul(e) wurden durchsucht
Durchsuche Prozess 'Skype.exe' - '138' Modul(e) wurden durchsucht
Durchsuche Prozess 'FacebookUpdate.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'vid.exe' - '95' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMBgMonitor.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'PMBVolumeWatcher.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '72' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '65' Modul(e) wurden durchsucht
Durchsuche Prozess 'GrooveMonitor.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'LWS.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'OpwareSE4.exe' - '17' Modul(e) wurden durchsucht
Durchsuche Prozess 'PDVDServ.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'RUNDLL32.EXE' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.EXE' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '110' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '168' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '12' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '4151' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <XP>
    [0] Archivtyp: Runtime Packed
    --> C:\Dokumente und Einstellungen\andy\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\32\74a56ba0-4d34e912
        [1] Archivtyp: ZIP
      --> hw.class
          [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Rilly.CJ
          [WARNUNG]   Infizierte Dateien in Archiven können nicht repariert werden
      --> mac.class
          [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2012-0507.DO
          [WARNUNG]   Infizierte Dateien in Archiven können nicht repariert werden
      --> test.class
          [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Rilly.CL
          [WARNUNG]   Infizierte Dateien in Archiven können nicht repariert werden
C:\Dokumente und Einstellungen\andy\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\32\74a56ba0-4d34e912
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Rilly.CL

Beginne mit der Desinfektion:
C:\Dokumente und Einstellungen\andy\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\32\74a56ba0-4d34e912
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Rilly.CL
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '545dffbb.qua' verschoben!


Ende des Suchlaufs: Dienstag, 8. Januar 2013  00:34
Benötigte Zeit:  1:57:16 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  17584 Verzeichnisse wurden überprüft
 765292 Dateien wurden geprüft
      4 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      1 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 765288 Dateien ohne Befall
  12592 Archive wurden durchsucht
      3 Warnungen
      1 Hinweise
 594245 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden
         

 Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org

Datenbank Version: v2013.01.08.02

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
andy :: RAETHKEY [Administrator]

08.01.2013 07:06:17
mbam-log-2013-01-08 (07-06-17).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|J:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 422878
Laufzeit: 2 Stunde(n), 8 Minute(n), 44 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\WINDOWS\ServicePackFiles\i386\lang\imjpinst.exe (Trojan.Zbot.EPSF) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)