Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: EXP/2010-0840.AR BKA Virus oder nicht?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 31.10.2011, 14:22   #1
.iArt
 
EXP/2010-0840.AR BKA Virus oder nicht? - Standard

EXP/2010-0840.AR BKA Virus oder nicht?



Hallöchen!

normalerweiße hab ich ja garkein Virusprogramm installiert (ja ich weiß ihr werdet mich bestimmt gleich erschlagen, aber ich mach eh kein Online Banking oder der gleichen auf dem PC. Und es ist ja meine Entscheidung )

Auf jeden Fall hat mir heute Facebook erzählt, das sich jmd aus Korea mit meinen Passwort eingeloggt hat. Kam mir schonmal sehr strange vor. Daraufhin hab ich mir mal eben Anti-vir installiert und fast 2 Stunden durchlaufen lassen. Dabei kam dann folgender Log raus:

Code:
ATTFilter
Avira Free Antivirus
Erstellungsdatum der Reportdatei: Montag, 31. Oktober 2011  12:16

Es wird nach 3462793 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira AntiVir Personal - Free Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows 7 x64
Windowsversion : (Service Pack 1)  [6.1.7601]
Boot Modus     : Normal gebootet
Benutzername   : .indy
Computername   : INDY-PC

Versionsinformationen:
BUILD.DAT      : 12.0.0.861     41826 Bytes  19.10.2011 18:18:00
AVSCAN.EXE     : 12.1.0.18     490448 Bytes  19.10.2011 15:55:49
AVSCAN.DLL     : 12.1.0.17      65744 Bytes  19.10.2011 15:56:10
LUKE.DLL       : 12.1.0.17      68304 Bytes  19.10.2011 15:55:59
AVSCPLR.DLL    : 12.1.0.19      99536 Bytes  19.10.2011 15:55:49
AVREG.DLL      : 12.1.0.22     226512 Bytes  19.10.2011 15:55:48
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 19:18:34
VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 10:07:39
VBASE002.VDF   : 7.11.3.0     1950720 Bytes  09.02.2011 16:08:51
VBASE003.VDF   : 7.11.5.225   1980416 Bytes  07.04.2011 11:00:55
VBASE004.VDF   : 7.11.8.178   2354176 Bytes  31.05.2011 11:18:22
VBASE005.VDF   : 7.11.10.251  1788416 Bytes  07.07.2011 13:12:53
VBASE006.VDF   : 7.11.13.60   6411776 Bytes  16.08.2011 08:26:09
VBASE007.VDF   : 7.11.15.106  2389504 Bytes  05.10.2011 15:56:05
VBASE008.VDF   : 7.11.15.107     2048 Bytes  05.10.2011 15:56:05
VBASE009.VDF   : 7.11.15.108     2048 Bytes  05.10.2011 15:56:05
VBASE010.VDF   : 7.11.15.109     2048 Bytes  05.10.2011 15:56:05
VBASE011.VDF   : 7.11.15.110     2048 Bytes  05.10.2011 15:56:05
VBASE012.VDF   : 7.11.15.111     2048 Bytes  05.10.2011 15:56:05
VBASE013.VDF   : 7.11.15.144   161792 Bytes  07.10.2011 15:56:05
VBASE014.VDF   : 7.11.15.177   130048 Bytes  10.10.2011 15:56:05
VBASE015.VDF   : 7.11.15.213   113664 Bytes  11.10.2011 15:56:05
VBASE016.VDF   : 7.11.16.1     163328 Bytes  14.10.2011 15:56:05
VBASE017.VDF   : 7.11.16.34    187904 Bytes  18.10.2011 15:56:05
VBASE018.VDF   : 7.11.16.77    139264 Bytes  20.10.2011 11:13:02
VBASE019.VDF   : 7.11.16.112   162816 Bytes  24.10.2011 11:13:02
VBASE020.VDF   : 7.11.16.150   167424 Bytes  26.10.2011 11:13:03
VBASE021.VDF   : 7.11.16.187   171520 Bytes  28.10.2011 11:13:03
VBASE022.VDF   : 7.11.16.209   190976 Bytes  31.10.2011 11:13:04
VBASE023.VDF   : 7.11.16.210     2048 Bytes  31.10.2011 11:13:04
VBASE024.VDF   : 7.11.16.211     2048 Bytes  31.10.2011 11:13:04
VBASE025.VDF   : 7.11.16.212     2048 Bytes  31.10.2011 11:13:04
VBASE026.VDF   : 7.11.16.213     2048 Bytes  31.10.2011 11:13:04
VBASE027.VDF   : 7.11.16.214     2048 Bytes  31.10.2011 11:13:04
VBASE028.VDF   : 7.11.16.215     2048 Bytes  31.10.2011 11:13:04
VBASE029.VDF   : 7.11.16.216     2048 Bytes  31.10.2011 11:13:04
VBASE030.VDF   : 7.11.16.217     2048 Bytes  31.10.2011 11:13:04
VBASE031.VDF   : 7.11.16.218     2048 Bytes  31.10.2011 11:13:04
Engineversion  : 8.2.6.100 
AEVDF.DLL      : 8.1.2.2       106868 Bytes  31.10.2011 11:13:10
AESCRIPT.DLL   : 8.1.3.84      467324 Bytes  31.10.2011 11:13:10
AESCN.DLL      : 8.1.7.2       127349 Bytes  01.09.2011 22:46:02
AESBX.DLL      : 8.2.1.34      323957 Bytes  01.09.2011 22:46:02
AERDL.DLL      : 8.1.9.15      639348 Bytes  08.09.2011 22:16:06
AEPACK.DLL     : 8.2.13.3      684407 Bytes  31.10.2011 11:13:10
AEOFFICE.DLL   : 8.1.2.18      201084 Bytes  31.10.2011 11:13:09
AEHEUR.DLL     : 8.1.2.186    3789177 Bytes  31.10.2011 11:13:09
AEHELP.DLL     : 8.1.18.0      254327 Bytes  31.10.2011 11:13:05
AEGEN.DLL      : 8.1.5.11      401781 Bytes  31.10.2011 11:13:05
AEEMU.DLL      : 8.1.3.0       393589 Bytes  01.09.2011 22:46:01
AECORE.DLL     : 8.1.24.0      196983 Bytes  31.10.2011 11:13:05
AEBB.DLL       : 8.1.1.0        53618 Bytes  01.09.2011 22:46:01
AVWINLL.DLL    : 12.1.0.17      27344 Bytes  19.10.2011 15:55:51
AVPREF.DLL     : 12.1.0.17      51920 Bytes  19.10.2011 15:55:48
AVREP.DLL      : 12.1.0.17     179408 Bytes  19.10.2011 15:55:49
AVARKT.DLL     : 12.1.0.17     223184 Bytes  19.10.2011 15:55:46
AVEVTLOG.DLL   : 12.1.0.17     169168 Bytes  19.10.2011 15:55:47
SQLITE3.DLL    : 3.7.0.0       398288 Bytes  19.10.2011 15:56:03
AVSMTP.DLL     : 12.1.0.17      62928 Bytes  19.10.2011 15:55:50
NETNT.DLL      : 12.1.0.17      17104 Bytes  19.10.2011 15:55:59
RCIMAGE.DLL    : 12.1.0.17    4447952 Bytes  19.10.2011 15:56:14
RCTEXT.DLL     : 12.1.0.16      98512 Bytes  19.10.2011 15:56:14

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\Program Files (x86)\Avira\AntiVir Desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, 
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Montag, 31. Oktober 2011  12:16

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{00020D75-0000-0000-C000-000000000046}\ShellFolder\attributes
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Microsoft\DevDiv\VC\Servicing\8.0\sp
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Microsoft\DevDiv\VC\Servicing\8.0\sp
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Applets\SysTray\BattMeter\Flyout\a1841308-3541-4fab-bc81-f71556f20b4a
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '72' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '104' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '82' Modul(e) wurden durchsucht
Durchsuche Prozess 'UpdaterService.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '74' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'PMVService.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'ArcadeDeluxeAgent.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'LManager.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'SchedulerSvc.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'EgisUpdate.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'BackupManagerTray.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'trillian.exe' - '163' Modul(e) wurden durchsucht
Durchsuche Prozess 'flux.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'PLFSetI.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'GregHSRW.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'mwlDaemon.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '63' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1596' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <ACER>
C:\Program Files (x86)\Steam\SteamApps\common\terraria\dotNetFx40_Full_x86_x64.exe
  [WARNUNG]   Die Datei konnte nicht gelesen werden!
C:\Users\.indy\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\40\77ad73e8-46d04eb0
  [0] Archivtyp: ZIP
  --> buildService/MapYandex.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0840.AH
  --> buildService/VirtualTable.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/2010-0840.AN
C:\Users\.indy\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\59\4acc82fb-14830199
  [0] Archivtyp: ZIP
  --> mail/MailAgent.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0840.BZ
  --> mail/VirtualTable.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/2010-0840.AR

Beginne mit der Desinfektion:
C:\Users\.indy\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\59\4acc82fb-14830199
  [FUND]      Enthält Erkennungsmuster des Exploits EXP/2010-0840.AR
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '491939a2.qua' verschoben!
C:\Users\.indy\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\40\77ad73e8-46d04eb0
  [FUND]      Enthält Erkennungsmuster des Exploits EXP/2010-0840.AN
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '51901653.qua' verschoben!

Ende des Suchlaufs: Montag, 31. Oktober 2011  13:58
Benötigte Zeit:  1:41:01 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  36638 Verzeichnisse wurden überprüft
 789744 Dateien wurden geprüft
      4 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      2 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 789738 Dateien ohne Befall
   4746 Archive wurden durchsucht
      2 Warnungen
      5 Hinweise
 507188 Objekte wurden beim Rootkitscan durchsucht
      4 Versteckte Objekte wurden gefunden
         
Die 2 Viren hab ich mal in Quarantäne verschoben. Wolte aber mal danach googlen um zu sehen was das den ist. Und ich finde eigentlich nichts Handfestes irgendwie. Aber ich hab bisschen was vonwegen BKA/Bundestrojaner gelesen. Stimmt das? Und wenn ja wie gehe ich jetzt vor? Einfach platt machen?

mfg

Geändert von .iArt (31.10.2011 um 15:13 Uhr)

Alt 31.10.2011, 18:45   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
EXP/2010-0840.AR BKA Virus oder nicht? - Standard

EXP/2010-0840.AR BKA Virus oder nicht?



Bitte nun routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

__________________

__________________

Alt 01.11.2011, 17:38   #3
.iArt
 
EXP/2010-0840.AR BKA Virus oder nicht? - Standard

EXP/2010-0840.AR BKA Virus oder nicht?



Code:
ATTFilter
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=e6faa0a707b68c41b4f34ddb02c9b29f
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-11-01 03:09:54
# local_time=2011-11-01 04:09:54 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1792 16777215 100 0 94887 94887 0 0
# compatibility_mode=5893 16776573 100 94 11626 71780597 0 0
# compatibility_mode=8192 67108863 100 0 3886 3886 0 0
# scanned=220272
# found=0
# cleaned=0
# scan_time=9447
         
mh nix gefunden, oder?
__________________

Alt 01.11.2011, 20:27   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
EXP/2010-0840.AR BKA Virus oder nicht? - Standard

EXP/2010-0840.AR BKA Virus oder nicht?



Was ist mit dem Vollscan mit Malwarebytes?
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 01.11.2011, 21:35   #5
.iArt
 
EXP/2010-0840.AR BKA Virus oder nicht? - Standard

EXP/2010-0840.AR BKA Virus oder nicht?



Wie darf ich das verstehen? das sind doch alle Logs die ich habe.


Alt 01.11.2011, 21:56   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
EXP/2010-0840.AR BKA Virus oder nicht? - Standard

EXP/2010-0840.AR BKA Virus oder nicht?



Lies mal den ersten Teil meiner ersten Antwort.
__________________
--> EXP/2010-0840.AR BKA Virus oder nicht?

Antwort

Themen zu EXP/2010-0840.AR BKA Virus oder nicht?
.dll, acer, appdata, avg, bat, datei, desktop, exp/2010-0840.ar, folge, free, google, java, microsoft, modul, namen, nt.dll, online, online banking, passwort, prozesse, registry, sched.exe, software, svchost.exe, verweise, virus, virus gefunden, virusprogramm, warnung, win32, windows



Ähnliche Themen: EXP/2010-0840.AR BKA Virus oder nicht?


  1. Ist Exploits EXP/Blacole.BK.19 und EXP/CVE-2010-0840.FH noch gefährlich?
    Plagegeister aller Art und deren Bekämpfung - 30.03.2013 (1)
  2. Infektion mit EXP/CVE-2010-0840.DL
    Plagegeister aller Art und deren Bekämpfung - 22.11.2012 (15)
  3. EXP/CVE-2010-0840.HG(Exploit), EXP/JAVA.Ternub.Gen(Exploit) und TR/Agent.464.4(Trojaner) - nicht totzukriegen
    Plagegeister aller Art und deren Bekämpfung - 14.08.2012 (12)
  4. EXP/CVE-2010-0840.EO (evtl. Verschlüsselungs/BKA-Trojaner)
    Log-Analyse und Auswertung - 13.06.2012 (7)
  5. Mehrere Trojaner auf dem PC (FakeSysdef, CVE-2010-0840, Dropper.gen...)
    Plagegeister aller Art und deren Bekämpfung - 27.03.2012 (3)
  6. EXP/CVE-2010-0840.FL - Virus losgeworden?
    Plagegeister aller Art und deren Bekämpfung - 15.03.2012 (41)
  7. Exploits EXP/CVE-2010-0840
    Plagegeister aller Art und deren Bekämpfung - 22.02.2012 (14)
  8. EXP/2011-3544.AK und EXP/2010-0840.CN
    Plagegeister aller Art und deren Bekämpfung - 29.01.2012 (4)
  9. JAVA/Dldr.Tharra.G und EXP/CVE-2010-0840
    Log-Analyse und Auswertung - 18.01.2012 (11)
  10. EXP/2010-0840.AO entfernt - System jetzt sauber?
    Plagegeister aller Art und deren Bekämpfung - 12.01.2012 (24)
  11. Trojaner gefunden - TR/Agent.eu und EXP/2010-0840.ag
    Log-Analyse und Auswertung - 14.12.2011 (7)
  12. EXP/CVE-2010-0840.AH und EXP/2010-0840.AN
    Log-Analyse und Auswertung - 22.11.2011 (31)
  13. Virus EXP/2010-0840.BC auf Rechner gefunden
    Log-Analyse und Auswertung - 11.11.2011 (32)
  14. Exploit:Java/CVE-2010-0840.KM von MSE gemeldet
    Log-Analyse und Auswertung - 06.11.2011 (2)
  15. RE: Exploit.Java.CVE-2010-0840.ed bei MbaM Scan
    Plagegeister aller Art und deren Bekämpfung - 03.11.2011 (1)
  16. Exp/2010-0840
    Plagegeister aller Art und deren Bekämpfung - 02.11.2011 (14)
  17. EXP/CVE2010-0840.CX und EXP/2010-0840.A
    Plagegeister aller Art und deren Bekämpfung - 10.10.2011 (1)

Zum Thema EXP/2010-0840.AR BKA Virus oder nicht? - Hallöchen! normalerweiße hab ich ja garkein Virusprogramm installiert (ja ich weiß ihr werdet mich bestimmt gleich erschlagen, aber ich mach eh kein Online Banking oder der gleichen auf dem PC. - EXP/2010-0840.AR BKA Virus oder nicht?...
Archiv
Du betrachtest: EXP/2010-0840.AR BKA Virus oder nicht? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.