EXP/JAVA.Ternub.Gen mit AVIRA gefunden / Trojan.Ransom.ED mit Malwarebytes

��



Avira Free Antivirus

Erstellungsdatum der Reportdatei: Dienstag, 26. M�rz 2013  07:53





Das Programm l�uft als uneingeschr�nkte Vollversion.

Online-Dienste stehen zur Verf�gung.



Lizenznehmer   : Avira Free Antivirus

Seriennummer   : 0000149996-ADJIE-0000001

Plattform      : Windows 7 Professional

Windowsversion : (Service Pack 1)  [6.1.7601]

Boot Modus     : Abgesicherter Modus

Benutzername   : Fr Fee

Computername   : FRFEE-PC



Versionsinformationen:

BUILD.DAT      : 13.0.0.3499    49286 Bytes  19.03.2013 16:29:00

AVSCAN.EXE     : 13.6.0.986    639712 Bytes  08.03.2013 14:58:40

AVSCANRC.DLL   : 13.4.0.360     64800 Bytes  07.12.2012 08:39:19

LUKE.DLL       : 13.6.0.902     67808 Bytes  04.03.2013 14:27:51

AVSCPLR.DLL    : 13.6.0.986     94944 Bytes  08.03.2013 14:58:40

AVREG.DLL      : 13.6.0.940    250592 Bytes  06.03.2013 15:13:27

avlode.dll     : 13.6.2.940    434912 Bytes  06.03.2013 15:13:26

avlode.rdf     : 13.0.0.44      15591 Bytes  19.03.2013 08:12:28

VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 14:50:29

VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 08:51:35

VBASE002.VDF   : 7.11.19.170 14374912 Bytes  20.12.2011 08:51:41

VBASE003.VDF   : 7.11.21.238  4472832 Bytes  01.02.2012 08:51:42

VBASE004.VDF   : 7.11.26.44   4329472 Bytes  28.03.2012 08:51:44

VBASE005.VDF   : 7.11.34.116  4034048 Bytes  29.06.2012 11:25:54

VBASE006.VDF   : 7.11.41.250  4902400 Bytes  06.09.2012 11:25:56

VBASE007.VDF   : 7.11.50.230  3904512 Bytes  22.11.2012 08:39:18

VBASE008.VDF   : 7.11.60.10   6627328 Bytes  07.02.2013 13:15:26

VBASE009.VDF   : 7.11.60.11      2048 Bytes  07.02.2013 13:15:26

VBASE010.VDF   : 7.11.60.12      2048 Bytes  07.02.2013 13:15:26

VBASE011.VDF   : 7.11.60.13      2048 Bytes  07.02.2013 13:15:26

VBASE012.VDF   : 7.11.60.14      2048 Bytes  07.02.2013 13:15:26

VBASE013.VDF   : 7.11.60.62    351232 Bytes  08.02.2013 13:15:26

VBASE014.VDF   : 7.11.60.115   190976 Bytes  09.02.2013 13:15:26

VBASE015.VDF   : 7.11.60.177   282624 Bytes  11.02.2013 13:15:26

VBASE016.VDF   : 7.11.60.249   215552 Bytes  13.02.2013 15:47:36

VBASE017.VDF   : 7.11.61.65    151040 Bytes  15.02.2013 15:47:36

VBASE018.VDF   : 7.11.61.135   159232 Bytes  18.02.2013 15:47:36

VBASE019.VDF   : 7.11.61.163   152064 Bytes  18.02.2013 15:47:36

VBASE020.VDF   : 7.11.61.207   164352 Bytes  19.02.2013 15:47:36

VBASE021.VDF   : 7.11.62.43    206336 Bytes  21.02.2013 15:47:36

VBASE022.VDF   : 7.11.64.106  1510912 Bytes  11.03.2013 15:18:11

VBASE023.VDF   : 7.11.64.107     2048 Bytes  11.03.2013 08:12:36

VBASE024.VDF   : 7.11.64.108     2048 Bytes  11.03.2013 08:12:36

VBASE025.VDF   : 7.11.64.109     2048 Bytes  11.03.2013 08:12:36

VBASE026.VDF   : 7.11.64.110     2048 Bytes  11.03.2013 08:12:36

VBASE027.VDF   : 7.11.64.111     2048 Bytes  11.03.2013 08:12:36

VBASE028.VDF   : 7.11.64.112     2048 Bytes  11.03.2013 08:12:36

VBASE029.VDF   : 7.11.64.113     2048 Bytes  11.03.2013 08:12:36

VBASE030.VDF   : 7.11.64.114     2048 Bytes  11.03.2013 08:12:36

VBASE031.VDF   : 7.11.64.154   126976 Bytes  12.03.2013 08:12:36

Engineversion  : 8.2.12.14 

AEVDF.DLL      : 8.1.2.10      102772 Bytes  29.11.2012 11:25:33

AESCRIPT.DLL   : 8.1.4.96      471420 Bytes  08.03.2013 14:58:35

AESCN.DLL      : 8.1.10.0      131445 Bytes  25.01.2013 09:24:59

AESBX.DLL      : 8.2.5.12      606578 Bytes  29.11.2012 11:25:33

AERDL.DLL      : 8.2.0.88      643444 Bytes  25.01.2013 09:24:59

AEPACK.DLL     : 8.3.2.0       827767 Bytes  08.03.2013 14:58:35

AEOFFICE.DLL   : 8.1.2.56      205180 Bytes  08.03.2013 14:58:35

AEHEUR.DLL     : 8.1.4.236    5833081 Bytes  08.03.2013 14:58:35

AEHELP.DLL     : 8.1.25.2      258423 Bytes  29.11.2012 11:25:30

AEGEN.DLL      : 8.1.6.16      434549 Bytes  25.01.2013 09:24:56

AEEXP.DLL      : 8.4.0.10      192886 Bytes  08.03.2013 14:58:30

AEEMU.DLL      : 8.1.3.2       393587 Bytes  29.11.2012 11:25:29

AECORE.DLL     : 8.1.31.2      201080 Bytes  25.02.2013 15:47:15

AEBB.DLL       : 8.1.1.4        53619 Bytes  29.11.2012 11:25:29

AVWINLL.DLL    : 13.6.0.480     26480 Bytes  25.01.2013 09:25:06

AVPREF.DLL     : 13.6.0.480     51056 Bytes  25.01.2013 09:25:03

AVREP.DLL      : 13.6.0.480    178544 Bytes  25.01.2013 09:25:03

AVARKT.DLL     : 13.6.0.902    260832 Bytes  04.03.2013 14:27:38

AVEVTLOG.DLL   : 13.6.0.902    167648 Bytes  04.03.2013 14:27:40

SQLITE3.DLL    : 3.7.0.1       397704 Bytes  25.01.2013 09:25:19

AVSMTP.DLL     : 13.6.0.480     62832 Bytes  25.01.2013 09:25:04

NETNT.DLL      : 13.6.0.480     16240 Bytes  25.01.2013 09:25:15

RCIMAGE.DLL    : 13.4.0.360   4780832 Bytes  07.12.2012 08:39:21

RCTEXT.DLL     : 13.6.0.976     69344 Bytes  08.03.2013 14:58:59



Konfiguration f�r den aktuellen Suchlauf:

Job Name..............................: Lokale Festplatten

Konfigurationsdatei...................: C:\Program Files\Avira\AntiVir Desktop\alldiscs.avp

Protokollierung.......................: standard

Prim�re Aktion........................: interaktiv

Sekund�re Aktion......................: ignorieren

Durchsuche Masterbootsektoren.........: ein

Durchsuche Bootsektoren...............: ein

Bootsektoren..........................: C:, D:, 

Durchsuche aktive Programme...........: ein

Durchsuche Registrierung..............: ein

Suche nach Rootkits...................: aus

Integrit�tspr�fung von Systemdateien..: ein

Datei Suchmodus.......................: Alle Dateien

Durchsuche Archive....................: ein

Rekursionstiefe einschr�nken..........: 20

Archiv Smart Extensions...............: ein

Makrovirenheuristik...................: ein

Dateiheuristik........................: erweitert



Beginn des Suchlaufs: Dienstag, 26. M�rz 2013  07:53



Der Suchlauf �ber die Masterbootsektoren wird begonnen:

Masterbootsektor HD0

    [INFO]      Es wurde kein Virus gefunden!

Masterbootsektor HD1

    [INFO]      Es wurde kein Virus gefunden!



Der Suchlauf �ber die Bootsektoren wird begonnen:

Bootsektor 'C:\'

    [INFO]      Es wurde kein Virus gefunden!

Bootsektor 'D:\'

    [INFO]      Es wurde kein Virus gefunden!



Der Suchlauf �ber gestartete Prozesse wird begonnen:

Durchsuche Prozess 'avscan.exe' - '105' Modul(e) wurden durchsucht

Durchsuche Prozess 'wmiprvse.exe' - '52' Modul(e) wurden durchsucht

Durchsuche Prozess 'avcenter.exe' - '111' Modul(e) wurden durchsucht

Durchsuche Prozess 'avgnt.exe' - '82' Modul(e) wurden durchsucht

Durchsuche Prozess 'ctfmon.exe' - '21' Modul(e) wurden durchsucht

Durchsuche Prozess 'Explorer.EXE' - '167' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '29' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '49' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '26' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '30' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '51' Modul(e) wurden durchsucht

Durchsuche Prozess 'lsm.exe' - '18' Modul(e) wurden durchsucht

Durchsuche Prozess 'lsass.exe' - '59' Modul(e) wurden durchsucht

Durchsuche Prozess 'services.exe' - '31' Modul(e) wurden durchsucht

Durchsuche Prozess 'winlogon.exe' - '23' Modul(e) wurden durchsucht

Durchsuche Prozess 'csrss.exe' - '16' Modul(e) wurden durchsucht

Durchsuche Prozess 'wininit.exe' - '21' Modul(e) wurden durchsucht

Durchsuche Prozess 'csrss.exe' - '16' Modul(e) wurden durchsucht

Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht



Untersuchung der Systemdateien wird begonnen:

Signiert -> 'C:\Windows\system32\svchost.exe'

Signiert -> 'C:\Windows\system32\winlogon.exe'

Signiert -> 'C:\Windows\explorer.exe'

Signiert -> 'C:\Windows\system32\smss.exe'

Signiert -> 'C:\Windows\system32\wininet.DLL'

Signiert -> 'C:\Windows\system32\wsock32.DLL'

Signiert -> 'C:\Windows\system32\ws2_32.DLL'

Signiert -> 'C:\Windows\system32\services.exe'

Signiert -> 'C:\Windows\system32\lsass.exe'

Signiert -> 'C:\Windows\system32\csrss.exe'

Signiert -> 'C:\Windows\system32\drivers\kbdclass.sys'

Signiert -> 'C:\Windows\system32\spoolsv.exe'

Signiert -> 'C:\Windows\system32\alg.exe'

Signiert -> 'C:\Windows\system32\wuauclt.exe'

Signiert -> 'C:\Windows\system32\advapi32.DLL'

Signiert -> 'C:\Windows\system32\user32.DLL'

Signiert -> 'C:\Windows\system32\gdi32.DLL'

Signiert -> 'C:\Windows\system32\kernel32.DLL'

Signiert -> 'C:\Windows\system32\ntdll.DLL'

Signiert -> 'C:\Windows\system32\ntoskrnl.exe'

Signiert -> 'C:\Windows\system32\ctfmon.exe'

Die Systemdateien wurden durchsucht ('21' Dateien)



Der Suchlauf auf Verweise zu ausf�hrbaren Dateien (Registry) wird begonnen:

Die Registry wurde durchsucht ( '2968' Dateien ).





Der Suchlauf �ber die ausgew�hlten Dateien wird begonnen:



Beginne mit der Suche in 'C:\'

    [0] Archivtyp: RSRC

    --> C:\Users\Fr Fee\AppData\Local\Temp\jre-6u35-windows-i586-iftw.exe

        [1] Archivtyp: Runtime Packed

      --> C:\Users\Fr Fee\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\56\2fe23df8-41e999da

          [2] Archivtyp: ZIP

        --> l_t_a/a2.class

            [FUND]      Enth�lt Erkennungsmuster des Exploits EXP/JAVA.Ternub.Gen

            [WARNUNG]   Infizierte Dateien in Archiven k�nnen nicht repariert werden

        --> l_t_a/l_t_e.class

            [FUND]      Enth�lt Erkennungsmuster des Exploits EXP/CVE-2012-0507.BK

            [WARNUNG]   Infizierte Dateien in Archiven k�nnen nicht repariert werden

        --> l_t_a/l_t_a.class

            [FUND]      Enth�lt Erkennungsmuster des Exploits EXP/Blacole.FU.5

            [WARNUNG]   Infizierte Dateien in Archiven k�nnen nicht repariert werden

        --> l_t_a/F.class

            [FUND]      Enth�lt Erkennungsmuster des Exploits EXP/CVE-2012-0507.A.335

            [WARNUNG]   Infizierte Dateien in Archiven k�nnen nicht repariert werden

        --> l_t_a/l_t_b.class

            [FUND]      Enth�lt Erkennungsmuster des Exploits EXP/2012-0507.ED

            [WARNUNG]   Infizierte Dateien in Archiven k�nnen nicht repariert werden

        --> l_t_a/l_t_d.class

            [FUND]      Enth�lt Erkennungsmuster des Exploits EXP/JAVA.Ternub.Gen

            [WARNUNG]   Infizierte Dateien in Archiven k�nnen nicht repariert werden

        --> l_t_a/l_t_c.class

            [FUND]      Enth�lt Erkennungsmuster des Exploits EXP/JAVA.Ternub.Gen

            [WARNUNG]   Infizierte Dateien in Archiven k�nnen nicht repariert werden

C:\Users\Fr Fee\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\56\2fe23df8-41e999da

  [FUND]      Enth�lt Erkennungsmuster des Exploits EXP/JAVA.Ternub.Gen

Beginne mit der Suche in 'D:\' <RECOVERY>



Beginne mit der Desinfektion:

C:\Users\Fr Fee\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\56\2fe23df8-41e999da

  [FUND]      Enth�lt Erkennungsmuster des Exploits EXP/JAVA.Ternub.Gen

  [HINWEIS]   Die Datei wurde ins Quarant�neverzeichnis unter dem Namen '56adcf74.qua' verschoben!





Ende des Suchlaufs: Dienstag, 26. M�rz 2013  08:48

Ben�tigte Zeit: 54:19 Minute(n)



Der Suchlauf wurde vollst�ndig durchgef�hrt.



  25646 Verzeichnisse wurden �berpr�ft

 273773 Dateien wurden gepr�ft

      8 Viren bzw. unerw�nschte Programme wurden gefunden

      0 Dateien wurden als verd�chtig eingestuft

      0 Dateien wurden gel�scht

      0 Viren bzw. unerw�nschte Programme wurden repariert

      1 Dateien wurden in die Quarant�ne verschoben

      0 Dateien wurden umbenannt

      0 Dateien konnten nicht durchsucht werden

 273765 Dateien ohne Befall

   3983 Archive wurden durchsucht

      7 Warnungen

      1 Hinweise
         

 Malwarebytes Anti-Malware  (Test) 1.70.0.1100
www.malwarebytes.org

Datenbank Version: v2013.03.25.10

Windows 7 Service Pack 1 x86 FAT32 (Abgesichertenmodus)
Internet Explorer 9.0.8112.16421
Fr Fee :: FRFEE-PC [Administrator]

Schutz: Deaktiviert

26.03.2013 08:56:36
MBAM-log-2013-03-26 (09-46-31).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 328231
Laufzeit: 42 Minute(n), 33 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|{8B6E56F1-F72F-CA33-A75E-CBBC34E38F76} (Trojan.Ransom.ED) -> Daten: "C:\Users\Fr Fee\AppData\Roaming\Adlo\muuqwaa.exe" -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|Load (PUM.UserWLoad) -> Daten: c:\users\frfee~1\dxahap.exe -> Keine Aktion durchgeführt.

Infizierte Dateiobjekte der Registrierung: 1
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|Load (Trojan.Ransom.ED) -> Bösartig: (c:\users\frfee~1\dxahap.exe) Gut: () -> Keine Aktion durchgeführt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 5
C:\Users\Fr Fee\AppData\Roaming\Adlo\muuqwaa.exe (Trojan.Ransom.ED) -> Keine Aktion durchgeführt.
C:\Users\Fr Fee\dxahap.exe (Trojan.Ransom.ED) -> Keine Aktion durchgeführt.
C:\Users\Fr Fee\dxqmhhr.exe (Trojan.Ransom.ED) -> Keine Aktion durchgeführt.
C:\Users\Fr Fee\dxygpfj.exe (Trojan.Ransom.ED) -> Keine Aktion durchgeführt.
C:\Users\Fr Fee\AppData\Local\Temp\1370819571.exe (Trojan.Ransom.ED) -> Keine Aktion durchgeführt.

(Ende)