Guten Morgen liebes TB-Team
Ich habe ein kleines Problem. Damit Ihr alles wisst und einschätzen könnt, erörtere ich erst einmal den Hintergrund dazu:
Es ist nun bereits gut drei Jahre her, als ich Eure Hilfe benötigte. Seither habe ich mich versucht an alle Eure Tipps zu halten. Ich habe seit 2 Jahren einen komplett neuen Rechner, den ich selber zusammengebaut und aufgesetzt habe (mit Hilfe
). Dadurch konnte ich aber auch wirklich nur das installieren, was ich wollte. Von den Fertigrechnern halte ich einfach nichts mehr, da zu viel Müll drauf ist.
Ich treibe mich nicht auf dubiosen Seiten rum, update alles immer, wenn die Meldung kommt und bin eigentlich bei allem vorsichtig, was Internet betrifft. Dass man sich mal verklickt und irgendwelche Pop-Up's öffnet, kommt trotzdem vor.
Grundsätzlich läuft mein Rechner tiptop und es gab auch absolut keine Auffälligkeiten bezüglich PW-Diebstahl oder dass der Rechner irgendwie seltsam reagiert, obwohl er nun bereits 2 Jahre unverändert so läuft.
Gestern habe ich jedoch in kurzen Abständen 2 Phising-Mails für World of Warcraft (WOW) erhalten. Ich habe diese natürlich sofort erkannt und gelöscht, jedoch war ich unsicher, wieso in so kurzen Abständen diese Mails kommen. Mein damaliges Problem beruhte ebenfalls auf einen Trojaner für WOW.
Daraufhin habe ich mal AV durchlaufen lassen und dabei wurden 3 Sachen gefunden.
Meine Frage an Euch: Ist dies in der Tat gefährlich? Da Blizzard damals den Benutzernamen mit der E-Mail-Adresse gleichgesetzt hat und die Phisher durch den damaligen Trojaner eh die Adresse haben, vermute ich jetzt mal, dass die es einfach über die Phishing-Mails versuchen. Aber Ihr könnte das viel besser abschätzen. Es sind zwei Meldungen zu Java und eins zu einem Exploit. Letzteres sagt mir jetzt leider nichts, aber ich bin der Meinung, das hat nichts mit normalen WOW-Trojanern zu tun.
Hier der Log von AV:
Zitat:
Avira Free Antivirus
Erstellungsdatum der Reportdatei: Mittwoch, 23. Oktober 2013 21:03
Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.
Lizenznehmer : Avira Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 7 Home Premium
Windowsversion : (Service Pack 1) [6.1.7601]
Boot Modus : Normal gebootet
Benutzername : Christoph
Computername : CHRISTOPH-PC
Versionsinformationen:
BUILD.DAT : 14.0.0.383 Bytes 30.09.2013 11:01:00
AVSCAN.EXE : 14.0.0.383 968776 Bytes 07.10.2013 14:46:36
AVSCANRC.DLL : 14.0.0.225 62024 Bytes 07.10.2013 14:46:36
LUKE.DLL : 14.0.0.383 65096 Bytes 07.10.2013 14:46:45
AVSCPLR.DLL : 14.0.0.383 92232 Bytes 07.10.2013 14:46:36
AVREG.DLL : 14.0.0.383 250440 Bytes 07.10.2013 14:46:35
avlode.dll : 14.0.0.383 512584 Bytes 07.10.2013 14:46:34
avlode.rdf : 13.0.1.42 26846 Bytes 28.08.2013 15:00:00
VBASE000.VDF : 7.11.70.0 66736640 Bytes 04.04.2013 16:08:16
VBASE001.VDF : 7.11.74.226 2201600 Bytes 30.04.2013 12:19:36
VBASE002.VDF : 7.11.80.60 2751488 Bytes 28.05.2013 14:38:48
VBASE003.VDF : 7.11.85.214 2162688 Bytes 21.06.2013 14:34:37
VBASE004.VDF : 7.11.91.176 3903488 Bytes 23.07.2013 14:26:57
VBASE005.VDF : 7.11.98.186 6822912 Bytes 29.08.2013 16:21:59
VBASE006.VDF : 7.11.103.230 2293248 Bytes 24.09.2013 17:19:28
VBASE007.VDF : 7.11.103.231 2048 Bytes 24.09.2013 17:19:28
VBASE008.VDF : 7.11.103.232 2048 Bytes 24.09.2013 17:19:28
VBASE009.VDF : 7.11.103.233 2048 Bytes 24.09.2013 17:19:28
VBASE010.VDF : 7.11.103.234 2048 Bytes 24.09.2013 17:19:28
VBASE011.VDF : 7.11.103.235 2048 Bytes 24.09.2013 17:19:28
VBASE012.VDF : 7.11.103.236 2048 Bytes 24.09.2013 17:19:28
VBASE013.VDF : 7.11.103.237 2048 Bytes 24.09.2013 17:19:28
VBASE014.VDF : 7.11.104.123 282112 Bytes 26.09.2013 15:36:52
VBASE015.VDF : 7.11.104.237 359424 Bytes 28.09.2013 11:55:16
VBASE016.VDF : 7.11.105.103 195072 Bytes 02.10.2013 11:55:16
VBASE017.VDF : 7.11.105.243 571904 Bytes 07.10.2013 14:46:30
VBASE018.VDF : 7.11.106.91 185856 Bytes 08.10.2013 14:11:04
VBASE019.VDF : 7.11.106.167 183296 Bytes 09.10.2013 14:24:14
VBASE020.VDF : 7.11.107.5 236544 Bytes 11.10.2013 14:22:59
VBASE021.VDF : 7.11.107.85 178688 Bytes 13.10.2013 12:41:16
VBASE022.VDF : 7.11.107.163 276992 Bytes 15.10.2013 14:19:59
VBASE023.VDF : 7.11.108.15 308224 Bytes 17.10.2013 14:21:58
VBASE024.VDF : 7.11.108.79 190464 Bytes 18.10.2013 14:31:22
VBASE025.VDF : 7.11.108.159 245248 Bytes 20.10.2013 18:43:29
VBASE026.VDF : 7.11.108.160 2048 Bytes 20.10.2013 18:43:30
VBASE027.VDF : 7.11.108.161 2048 Bytes 20.10.2013 18:43:30
VBASE028.VDF : 7.11.108.162 2048 Bytes 20.10.2013 18:43:30
VBASE029.VDF : 7.11.108.163 2048 Bytes 20.10.2013 18:43:30
VBASE030.VDF : 7.11.108.164 2048 Bytes 20.10.2013 18:43:30
VBASE031.VDF : 7.11.109.28 414720 Bytes 23.10.2013 15:17:06
Engineversion : 8.2.12.132
AEVDF.DLL : 8.1.3.4 102774 Bytes 13.06.2013 14:20:56
AESCRIPT.DLL : 8.1.4.158 516478 Bytes 18.10.2013 14:31:24
AESCN.DLL : 8.1.10.4 131446 Bytes 30.03.2013 16:59:00
AESBX.DLL : 8.2.16.26 1245560 Bytes 23.08.2013 17:34:04
AERDL.DLL : 8.2.0.128 688504 Bytes 13.06.2013 14:20:56
AEPACK.DLL : 8.3.3.4 758136 Bytes 16.10.2013 14:40:37
AEOFFICE.DLL : 8.1.2.76 205181 Bytes 08.08.2013 14:26:41
AEHEUR.DLL : 8.1.4.700 6214010 Bytes 18.10.2013 14:31:24
AEHELP.DLL : 8.1.27.6 266617 Bytes 27.08.2013 15:10:17
AEGEN.DLL : 8.1.7.14 446839 Bytes 06.09.2013 17:33:01
AEEXP.DLL : 8.4.1.84 344439 Bytes 10.10.2013 14:24:00
AEEMU.DLL : 8.1.3.2 393587 Bytes 19.09.2012 13:42:55
AECORE.DLL : 8.1.32.0 201081 Bytes 23.08.2013 17:34:01
AEBB.DLL : 8.1.1.4 53619 Bytes 05.11.2012 14:18:04
AVWINLL.DLL : 14.0.0.225 23624 Bytes 07.10.2013 14:45:14
AVPREF.DLL : 14.0.0.225 48712 Bytes 07.10.2013 14:46:35
AVREP.DLL : 14.0.0.225 175688 Bytes 07.10.2013 14:46:35
AVARKT.DLL : 14.0.0.225 257096 Bytes 07.10.2013 14:46:32
AVEVTLOG.DLL : 14.0.0.383 165960 Bytes 07.10.2013 14:46:33
SQLITE3.DLL : 3.7.0.1 397088 Bytes 19.09.2012 17:17:40
AVSMTP.DLL : 14.0.0.225 60488 Bytes 07.10.2013 14:46:36
NETNT.DLL : 14.0.0.225 13384 Bytes 07.10.2013 14:46:46
RCIMAGE.DLL : 14.0.0.225 4786760 Bytes 07.10.2013 14:45:14
RCTEXT.DLL : 14.0.0.225 67144 Bytes 07.10.2013 14:45:14
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\program files (x86)\avira\antivir desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: Interaktiv
Sekundäre Aktion......................: Ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Prüfe alle Dateien....................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert
Abweichende Gefahrenkategorien........: +SPR,
Beginn des Suchlaufs: Mittwoch, 23. Oktober 2013 21:03
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'HDD0(C:, D '
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf nach versteckten Objekten wird begonnen.
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'svchost.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '104' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvvsvc.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvSCPAPISvr.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '95' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '81' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '81' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '146' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '77' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvxdsync.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvvsvc.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '90' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'FABS.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'NBService.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskhost.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '165' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLIDSVC.EXE' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLIDSvcM.exe' - '17' Modul(e) wurden durchsucht
Durchsuche Prozess 'RAVCpl64.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '96' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '83' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvtray.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '90' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '126' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '117' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '31' Modul(e) wurden durchsucht
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '3990' Dateien ).
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\'
[0] Archivtyp: RSRC
--> C:\Users\Christoph\AppData\Local\Temp\jre-6u33-windows-i586-iftw.exe
[1] Archivtyp: Runtime Packed
--> C:\Users\Christoph\AppData\Local\Temp\jre-6u35-windows-i586-iftw.exe
[2] Archivtyp: Runtime Packed
--> C:\Users\Christoph\AppData\Local\Temp\jre-7u11-windows-i586-iftw.exe
[3] Archivtyp: Runtime Packed
--> C:\Users\Christoph\AppData\Local\Temp\jre-7u15-windows-i586-iftw.exe
[4] Archivtyp: Runtime Packed
--> C:\Users\Christoph\AppData\Local\Temp\jre-7u21-windows-i586-iftw.exe
[5] Archivtyp: Runtime Packed
--> C:\Users\Christoph\AppData\Local\Temp\jre-7u25-windows-i586-iftw.exe
[6] Archivtyp: Runtime Packed
--> C:\Users\Christoph\AppData\Local\Temp\jre-7u7-windows-i586-iftw.exe
[7] Archivtyp: Runtime Packed
--> C:\Users\Christoph\AppData\Local\Temp\jre-7u9-windows-i586-iftw.exe
[8] Archivtyp: Runtime Packed
--> C:\Users\Christoph\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\33\280820a1-5c93b6c3
[9] Archivtyp: ZIP
--> bagdfssdb.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2012-5076
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
--> bagdfssda.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Jogek.IL
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
C:\Users\Christoph\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\33\280820a1-5c93b6c3
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Jogek.IL
Beginne mit der Suche in 'D:\'
Beginne mit der Desinfektion:
C:\Users\Christoph\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\33\280820a1-5c93b6c3
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Jogek.IL
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '54ce88ea.qua' verschoben!
Ende des Suchlaufs: Mittwoch, 23. Oktober 2013 22:01
Benötigte Zeit: 55:36 Minute(n)
Der Suchlauf wurde vollständig durchgeführt.
45264 Verzeichnisse wurden überprüft
538197 Dateien wurden geprüft
3 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
538194 Dateien ohne Befall
7773 Archive wurden durchsucht
2 Warnungen
1 Hinweise
740470 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden
|
Ich hoffe ich hab alles sinnvoll und korrekt beschrieben für Euch.
Da ich gerade auf Arbeit sitze, hab ich erst jetzt gesehen, dass Ihr noch die Logfiles von Defogger, FRST und
GMER benötigt. Ich werde diese sofort nachliefern, wenn ich zu Hause bin und Ihr der Meinung seid, dass dies aufgrund des AV-Logs nötig ist (ich warte auf Eure Rückmeldung, damit Ihr nicht denkt, das Thema wird bereits behandelt). Tut mir leid, dass ich das zu spät gesehen habe, sonst hätte ich das gestern Abend noch schnell gemacht.
Liebe Grüsse
Charybdis
24.10.2013, 07:01
Baum-Darstellung