Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   EXP/2010-0840.AR BKA Virus oder nicht? (https://www.trojaner-board.de/104647-exp-2010-0840-ar-bka-virus.html)

.iArt 31.10.2011 14:22
EXP/2010-0840.AR BKA Virus oder nicht?
 
Hallöchen!

normalerweiße hab ich ja garkein Virusprogramm installiert (ja ich weiß ihr werdet mich bestimmt gleich erschlagen, aber ich mach eh kein Online Banking oder der gleichen auf dem PC. Und es ist ja meine Entscheidung ;))

Auf jeden Fall hat mir heute Facebook erzählt, das sich jmd aus Korea mit meinen Passwort eingeloggt hat. Kam mir schonmal sehr strange vor. Daraufhin hab ich mir mal eben Anti-vir installiert und fast 2 Stunden durchlaufen lassen. Dabei kam dann folgender Log raus:

Code:

Avira Free Antivirus
Erstellungsdatum der Reportdatei: Montag, 31. Oktober 2011  12:16

Es wird nach 3462793 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer  : Avira AntiVir Personal - Free Antivirus
Seriennummer  : 0000149996-ADJIE-0000001
Plattform      : Windows 7 x64
Windowsversion : (Service Pack 1)  [6.1.7601]
Boot Modus    : Normal gebootet
Benutzername  : .indy
Computername  : INDY-PC

Versionsinformationen:
BUILD.DAT      : 12.0.0.861    41826 Bytes  19.10.2011 18:18:00
AVSCAN.EXE    : 12.1.0.18    490448 Bytes  19.10.2011 15:55:49
AVSCAN.DLL    : 12.1.0.17      65744 Bytes  19.10.2011 15:56:10
LUKE.DLL      : 12.1.0.17      68304 Bytes  19.10.2011 15:55:59
AVSCPLR.DLL    : 12.1.0.19      99536 Bytes  19.10.2011 15:55:49
AVREG.DLL      : 12.1.0.22    226512 Bytes  19.10.2011 15:55:48
VBASE000.VDF  : 7.10.0.0    19875328 Bytes  06.11.2009 19:18:34
VBASE001.VDF  : 7.11.0.0    13342208 Bytes  14.12.2010 10:07:39
VBASE002.VDF  : 7.11.3.0    1950720 Bytes  09.02.2011 16:08:51
VBASE003.VDF  : 7.11.5.225  1980416 Bytes  07.04.2011 11:00:55
VBASE004.VDF  : 7.11.8.178  2354176 Bytes  31.05.2011 11:18:22
VBASE005.VDF  : 7.11.10.251  1788416 Bytes  07.07.2011 13:12:53
VBASE006.VDF  : 7.11.13.60  6411776 Bytes  16.08.2011 08:26:09
VBASE007.VDF  : 7.11.15.106  2389504 Bytes  05.10.2011 15:56:05
VBASE008.VDF  : 7.11.15.107    2048 Bytes  05.10.2011 15:56:05
VBASE009.VDF  : 7.11.15.108    2048 Bytes  05.10.2011 15:56:05
VBASE010.VDF  : 7.11.15.109    2048 Bytes  05.10.2011 15:56:05
VBASE011.VDF  : 7.11.15.110    2048 Bytes  05.10.2011 15:56:05
VBASE012.VDF  : 7.11.15.111    2048 Bytes  05.10.2011 15:56:05
VBASE013.VDF  : 7.11.15.144  161792 Bytes  07.10.2011 15:56:05
VBASE014.VDF  : 7.11.15.177  130048 Bytes  10.10.2011 15:56:05
VBASE015.VDF  : 7.11.15.213  113664 Bytes  11.10.2011 15:56:05
VBASE016.VDF  : 7.11.16.1    163328 Bytes  14.10.2011 15:56:05
VBASE017.VDF  : 7.11.16.34    187904 Bytes  18.10.2011 15:56:05
VBASE018.VDF  : 7.11.16.77    139264 Bytes  20.10.2011 11:13:02
VBASE019.VDF  : 7.11.16.112  162816 Bytes  24.10.2011 11:13:02
VBASE020.VDF  : 7.11.16.150  167424 Bytes  26.10.2011 11:13:03
VBASE021.VDF  : 7.11.16.187  171520 Bytes  28.10.2011 11:13:03
VBASE022.VDF  : 7.11.16.209  190976 Bytes  31.10.2011 11:13:04
VBASE023.VDF  : 7.11.16.210    2048 Bytes  31.10.2011 11:13:04
VBASE024.VDF  : 7.11.16.211    2048 Bytes  31.10.2011 11:13:04
VBASE025.VDF  : 7.11.16.212    2048 Bytes  31.10.2011 11:13:04
VBASE026.VDF  : 7.11.16.213    2048 Bytes  31.10.2011 11:13:04
VBASE027.VDF  : 7.11.16.214    2048 Bytes  31.10.2011 11:13:04
VBASE028.VDF  : 7.11.16.215    2048 Bytes  31.10.2011 11:13:04
VBASE029.VDF  : 7.11.16.216    2048 Bytes  31.10.2011 11:13:04
VBASE030.VDF  : 7.11.16.217    2048 Bytes  31.10.2011 11:13:04
VBASE031.VDF  : 7.11.16.218    2048 Bytes  31.10.2011 11:13:04
Engineversion  : 8.2.6.100
AEVDF.DLL      : 8.1.2.2      106868 Bytes  31.10.2011 11:13:10
AESCRIPT.DLL  : 8.1.3.84      467324 Bytes  31.10.2011 11:13:10
AESCN.DLL      : 8.1.7.2      127349 Bytes  01.09.2011 22:46:02
AESBX.DLL      : 8.2.1.34      323957 Bytes  01.09.2011 22:46:02
AERDL.DLL      : 8.1.9.15      639348 Bytes  08.09.2011 22:16:06
AEPACK.DLL    : 8.2.13.3      684407 Bytes  31.10.2011 11:13:10
AEOFFICE.DLL  : 8.1.2.18      201084 Bytes  31.10.2011 11:13:09
AEHEUR.DLL    : 8.1.2.186    3789177 Bytes  31.10.2011 11:13:09
AEHELP.DLL    : 8.1.18.0      254327 Bytes  31.10.2011 11:13:05
AEGEN.DLL      : 8.1.5.11      401781 Bytes  31.10.2011 11:13:05
AEEMU.DLL      : 8.1.3.0      393589 Bytes  01.09.2011 22:46:01
AECORE.DLL    : 8.1.24.0      196983 Bytes  31.10.2011 11:13:05
AEBB.DLL      : 8.1.1.0        53618 Bytes  01.09.2011 22:46:01
AVWINLL.DLL    : 12.1.0.17      27344 Bytes  19.10.2011 15:55:51
AVPREF.DLL    : 12.1.0.17      51920 Bytes  19.10.2011 15:55:48
AVREP.DLL      : 12.1.0.17    179408 Bytes  19.10.2011 15:55:49
AVARKT.DLL    : 12.1.0.17    223184 Bytes  19.10.2011 15:55:46
AVEVTLOG.DLL  : 12.1.0.17    169168 Bytes  19.10.2011 15:55:47
SQLITE3.DLL    : 3.7.0.0      398288 Bytes  19.10.2011 15:56:03
AVSMTP.DLL    : 12.1.0.17      62928 Bytes  19.10.2011 15:55:50
NETNT.DLL      : 12.1.0.17      17104 Bytes  19.10.2011 15:55:59
RCIMAGE.DLL    : 12.1.0.17    4447952 Bytes  19.10.2011 15:56:14
RCTEXT.DLL    : 12.1.0.16      98512 Bytes  19.10.2011 15:56:14

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\Program Files (x86)\Avira\AntiVir Desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Montag, 31. Oktober 2011  12:16

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{00020D75-0000-0000-C000-000000000046}\ShellFolder\attributes
  [HINWEIS]  Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Microsoft\DevDiv\VC\Servicing\8.0\sp
  [HINWEIS]  Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Microsoft\DevDiv\VC\Servicing\8.0\sp
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Applets\SysTray\BattMeter\Flyout\a1841308-3541-4fab-bc81-f71556f20b4a
  [HINWEIS]  Der Registrierungseintrag ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '72' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '104' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '82' Modul(e) wurden durchsucht
Durchsuche Prozess 'UpdaterService.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '74' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'PMVService.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'ArcadeDeluxeAgent.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'LManager.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'SchedulerSvc.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'EgisUpdate.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'BackupManagerTray.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'trillian.exe' - '163' Modul(e) wurden durchsucht
Durchsuche Prozess 'flux.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'PLFSetI.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'GregHSRW.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'mwlDaemon.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '63' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1596' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <ACER>
C:\Program Files (x86)\Steam\SteamApps\common\terraria\dotNetFx40_Full_x86_x64.exe
  [WARNUNG]  Die Datei konnte nicht gelesen werden!
C:\Users\.indy\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\40\77ad73e8-46d04eb0
  [0] Archivtyp: ZIP
  --> buildService/MapYandex.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0840.AH
  --> buildService/VirtualTable.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/2010-0840.AN
C:\Users\.indy\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\59\4acc82fb-14830199
  [0] Archivtyp: ZIP
  --> mail/MailAgent.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0840.BZ
  --> mail/VirtualTable.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/2010-0840.AR

Beginne mit der Desinfektion:
C:\Users\.indy\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\59\4acc82fb-14830199
  [FUND]      Enthält Erkennungsmuster des Exploits EXP/2010-0840.AR
  [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '491939a2.qua' verschoben!
C:\Users\.indy\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\40\77ad73e8-46d04eb0
  [FUND]      Enthält Erkennungsmuster des Exploits EXP/2010-0840.AN
  [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '51901653.qua' verschoben!

Ende des Suchlaufs: Montag, 31. Oktober 2011  13:58
Benötigte Zeit:  1:41:01 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  36638 Verzeichnisse wurden überprüft
 789744 Dateien wurden geprüft
      4 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      2 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 789738 Dateien ohne Befall
  4746 Archive wurden durchsucht
      2 Warnungen
      5 Hinweise
 507188 Objekte wurden beim Rootkitscan durchsucht
      4 Versteckte Objekte wurden gefunden
Die 2 Viren hab ich mal in Quarantäne verschoben. Wolte aber mal danach googlen um zu sehen was das den ist. Und ich finde eigentlich nichts Handfestes irgendwie. Aber ich hab bisschen was vonwegen BKA/Bundestrojaner gelesen. Stimmt das? Und wenn ja wie gehe ich jetzt vor? Einfach platt machen?

mfg

cosinus 31.10.2011 18:45
Bitte nun routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset


.iArt 01.11.2011 17:38
Code:
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=e6faa0a707b68c41b4f34ddb02c9b29f
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-11-01 03:09:54
# local_time=2011-11-01 04:09:54 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1792 16777215 100 0 94887 94887 0 0
# compatibility_mode=5893 16776573 100 94 11626 71780597 0 0
# compatibility_mode=8192 67108863 100 0 3886 3886 0 0
# scanned=220272
# found=0
# cleaned=0
# scan_time=9447
mh nix gefunden, oder?

cosinus 01.11.2011 20:27
Was ist mit dem Vollscan mit Malwarebytes?

.iArt 01.11.2011 21:35
Wie darf ich das verstehen? das sind doch alle Logs die ich habe.

cosinus 01.11.2011 21:56
Lies mal den ersten Teil meiner ersten Antwort.


Alle Zeitangaben in WEZ +1. Es ist jetzt 11:27 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131