BDS/Sinowal.6553621 in einer Temp-Datei (AppData)

DarkClaw

Hey Leute, ich hab da wohl ein kleines Virenproblem.
Erstmal: ich bin mir nicht sicher, wo die Viren herkommen, aber ich habe Angst, dass sie mir Probleme machen werden.
1) Ich habe eben einfach im Internet gesurft, als AntiVir mit einem unsichtbaren Scan BDS/Sinowal.6553621 im Pfad C:\Users\DarkClaw\AppData\Local\Temp\0.9089879125445383.exe gefunden hat. Da das keine Systemdatei ist, hoffe ich, dass ihr mir helfen könnt, ohne das ich das System neu aufsetzen muss. Ein Malwarebytesscan des genannten Ordners (DarkClaw) läuft gerade durch. Die behaftete Datei sitzt atm bei AntiVit in der Quarantäne.
2.) hab ich einen Scan mit AntiVir desselben Gebiets angefangen, dieser hat html/infected.webpage.gen2 gefunden, ist aber noch nicht fertig, daher nichts genaueres; aber kann man diese HTML-Dinger nicht einfach löschen?

Ich benutze Windows 7 Ultimate mit 64-Bit. Scans usw habe ich grad keine geordneten zur Hand, deshalb folgen diese später (AntiVir-Organisation ist ja mal unübersichtlich)

Ich bin nicht richtig gut informiert, was das Thema angeht, wenn also noch irgendwelche Informationen, Logs, Scans, etc fehlen bitte wissen lassen.
mfg DC
€: Der AntiVir Suchlauf ist durch, hab jetzt noch mehr
C:\Users\DarkClaw\AppData\Local\Mozilla\Firefox\Profiles\utsf41mg.default\Cache\0\17\039C9d01
[0] Archivtyp: GZ
--> object
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Infected.WebPage.Gen2
C:\Users\DarkClaw\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\3\144851c3-426e80b4
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Sinowal.6553621
C:\Users\DarkClaw\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\55\57789877-616cf44e
[0] Archivtyp: ZIP
--> Market.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/2011-3544.A
Hab jetzt alles in der Quarantäne sitzen. Der MB-Suchlauf hat seltsamerweise nichts ergeben. Ich schau nochmal nach Updates und mach einen Gesamtsuchlauf.
Hier ist der Log vom Antivirsuchlauf (wie kann ich den in ein extrafenster setzen?)


Avira Free Antivirus
Erstellungsdatum der Reportdatei: Samstag, 10. Dezember 2011 13:32

Es wird nach 3552166 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 7 x64
Windowsversion : (plain) [6.1.7600]
Boot Modus : Normal gebootet
Benutzername : DarkClaw
Computername : DARKCLAW-PC

Versionsinformationen:
BUILD.DAT : 12.0.0.870 Bytes 09.12.2011 13:59:00
AVSCAN.EXE : 12.1.0.18 490448 Bytes 25.10.2011 16:35:27
AVSCAN.DLL : 12.1.0.17 65744 Bytes 11.10.2011 12:59:58
LUKE.DLL : 12.1.0.17 68304 Bytes 11.10.2011 12:59:47
AVSCPLR.DLL : 12.1.0.21 99536 Bytes 08.12.2011 17:15:00
AVREG.DLL : 12.1.0.27 227536 Bytes 09.12.2011 17:15:01
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 18:18:34
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 09:07:39
VBASE002.VDF : 7.11.3.0 1950720 Bytes 09.02.2011 15:08:51
VBASE003.VDF : 7.11.5.225 1980416 Bytes 07.04.2011 10:00:55
VBASE004.VDF : 7.11.8.178 2354176 Bytes 31.05.2011 10:18:22
VBASE005.VDF : 7.11.10.251 1788416 Bytes 07.07.2011 12:12:53
VBASE006.VDF : 7.11.13.60 6411776 Bytes 16.08.2011 07:26:09
VBASE007.VDF : 7.11.15.106 2389504 Bytes 05.10.2011 12:59:54
VBASE008.VDF : 7.11.18.32 2132992 Bytes 24.11.2011 16:50:12
VBASE009.VDF : 7.11.18.33 2048 Bytes 24.11.2011 16:50:12
VBASE010.VDF : 7.11.18.34 2048 Bytes 24.11.2011 16:50:12
VBASE011.VDF : 7.11.18.35 2048 Bytes 24.11.2011 16:50:12
VBASE012.VDF : 7.11.18.36 2048 Bytes 24.11.2011 16:50:12
VBASE013.VDF : 7.11.18.89 204800 Bytes 28.11.2011 17:14:33
VBASE014.VDF : 7.11.18.145 143872 Bytes 01.12.2011 17:17:53
VBASE015.VDF : 7.11.18.180 173056 Bytes 02.12.2011 17:14:41
VBASE016.VDF : 7.11.18.208 164864 Bytes 05.12.2011 17:14:43
VBASE017.VDF : 7.11.18.239 177152 Bytes 06.12.2011 17:14:46
VBASE018.VDF : 7.11.19.36 171520 Bytes 09.12.2011 17:14:55
VBASE019.VDF : 7.11.19.37 2048 Bytes 09.12.2011 17:14:55
VBASE020.VDF : 7.11.19.38 2048 Bytes 09.12.2011 17:14:55
VBASE021.VDF : 7.11.19.39 2048 Bytes 09.12.2011 17:14:55
VBASE022.VDF : 7.11.19.40 2048 Bytes 09.12.2011 17:14:55
VBASE023.VDF : 7.11.19.41 2048 Bytes 09.12.2011 17:14:55
VBASE024.VDF : 7.11.19.42 2048 Bytes 09.12.2011 17:14:55
VBASE025.VDF : 7.11.19.43 2048 Bytes 09.12.2011 17:14:55
VBASE026.VDF : 7.11.19.44 2048 Bytes 09.12.2011 17:14:55
VBASE027.VDF : 7.11.19.45 2048 Bytes 09.12.2011 17:14:55
VBASE028.VDF : 7.11.19.46 2048 Bytes 09.12.2011 17:14:55
VBASE029.VDF : 7.11.19.47 2048 Bytes 09.12.2011 17:14:55
VBASE030.VDF : 7.11.19.48 2048 Bytes 09.12.2011 17:14:55
VBASE031.VDF : 7.11.19.52 35840 Bytes 09.12.2011 17:14:55
Engineversion : 8.2.6.134
AEVDF.DLL : 8.1.2.2 106868 Bytes 25.10.2011 16:35:10
AESCRIPT.DLL : 8.1.3.90 491899 Bytes 09.12.2011 17:15:00
AESCN.DLL : 8.1.7.2 127349 Bytes 01.09.2011 21:46:02
AESBX.DLL : 8.2.4.5 434549 Bytes 01.12.2011 17:20:48
AERDL.DLL : 8.1.9.15 639348 Bytes 08.09.2011 21:16:06
AEPACK.DLL : 8.2.14.5 741751 Bytes 09.12.2011 17:15:00
AEOFFICE.DLL : 8.1.2.21 201084 Bytes 01.12.2011 17:20:46
AEHEUR.DLL : 8.1.3.6 3895670 Bytes 09.12.2011 17:14:59
AEHELP.DLL : 8.1.18.0 254327 Bytes 25.10.2011 16:31:50
AEGEN.DLL : 8.1.5.17 405877 Bytes 09.12.2011 17:14:56
AEEMU.DLL : 8.1.3.0 393589 Bytes 01.09.2011 21:46:01
AECORE.DLL : 8.1.24.0 196983 Bytes 25.10.2011 16:31:19
AEBB.DLL : 8.1.1.0 53618 Bytes 01.09.2011 21:46:01
AVWINLL.DLL : 12.1.0.17 27344 Bytes 11.10.2011 12:59:41
AVPREF.DLL : 12.1.0.17 51920 Bytes 11.10.2011 12:59:38
AVREP.DLL : 12.1.0.17 179408 Bytes 11.10.2011 12:59:38
AVARKT.DLL : 12.1.0.19 208848 Bytes 08.12.2011 17:14:52
AVEVTLOG.DLL : 12.1.0.17 169168 Bytes 11.10.2011 12:59:37
SQLITE3.DLL : 3.7.0.0 398288 Bytes 11.10.2011 12:59:51
AVSMTP.DLL : 12.1.0.17 62928 Bytes 11.10.2011 12:59:39
NETNT.DLL : 12.1.0.17 17104 Bytes 11.10.2011 12:59:47
RCIMAGE.DLL : 12.1.0.17 4447952 Bytes 11.10.2011 13:00:00
RCTEXT.DLL : 12.1.0.16 98512 Bytes 11.10.2011 13:00:00

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: ShlExt
Konfigurationsdatei...................: C:\Users\DarkClaw\AppData\Local\Temp\c4dbbd79.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: aus
Durchsuche Registrierung..............: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Intelligente Dateiauswahl
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Samstag, 10. Dezember 2011 13:32

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\Users\DarkClaw\AppData'
C:\Users\DarkClaw\AppData\Local\Mozilla\Firefox\Profiles\utsf41mg.default\Cache\0\17\039C9d01
[0] Archivtyp: GZ
--> object
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Infected.WebPage.Gen2
C:\Users\DarkClaw\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\3\144851c3-426e80b4
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Sinowal.6553621
C:\Users\DarkClaw\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\55\57789877-616cf44e
[0] Archivtyp: ZIP
--> Market.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/2011-3544.A

Beginne mit der Desinfektion:
C:\Users\DarkClaw\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\55\57789877-616cf44e
[FUND] Enthält Erkennungsmuster des Exploits EXP/2011-3544.A
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '492ff7ac.qua' verschoben!
C:\Users\DarkClaw\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\3\144851c3-426e80b4
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Sinowal.6553621
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '51b5d808.qua' verschoben!
C:\Users\DarkClaw\AppData\Local\Mozilla\Firefox\Profiles\utsf41mg.default\Cache\0\17\039C9d01
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Infected.WebPage.Gen2
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '03e182e7.qua' verschoben!


Ende des Suchlaufs: Samstag, 10. Dezember 2011 14:10
Benötigte Zeit: 28:39 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

5989 Verzeichnisse wurden überprüft
106144 Dateien wurden geprüft
3 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
3 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
106141 Dateien ohne Befall
9902 Archive wurden durchsucht
0 Warnungen
3 Hinweise