Hallo,

heute hat Avira den obigen Virus und 3 andere entdeckt.
Ist der gefährlich, wenn ja wie werde ich ihn los und was kann der anstellen.

Hier der Log:

Code: Alles auswählenAufklappen

ATTFilter

Avira Free Antivirus
Erstellungsdatum der Reportdatei: Sonntag, 15. April 2012  16:50

Es wird nach 3622734 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira AntiVir Personal - Free Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows XP
Windowsversion : (Service Pack 3)  [5.1.2600]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : ***-5F24D2660

Versionsinformationen:
BUILD.DAT      : 12.0.0.898     41963 Bytes  31.01.2012 13:51:00
AVSCAN.EXE     : 12.1.0.20     492496 Bytes  31.01.2012 06:55:52
AVSCAN.DLL     : 12.1.0.18      65744 Bytes  31.01.2012 06:56:29
LUKE.DLL       : 12.1.0.19      68304 Bytes  31.01.2012 06:56:01
AVSCPLR.DLL    : 12.1.0.22     100048 Bytes  31.01.2012 06:55:52
AVREG.DLL      : 12.1.0.36     229128 Bytes  05.04.2012 14:01:02
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 09:49:21
VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 06:56:15
VBASE002.VDF   : 7.11.19.170 14374912 Bytes  20.12.2011 06:56:21
VBASE003.VDF   : 7.11.21.238  4472832 Bytes  01.02.2012 16:50:10
VBASE004.VDF   : 7.11.26.44   4329472 Bytes  28.03.2012 14:06:44
VBASE005.VDF   : 7.11.26.45      2048 Bytes  28.03.2012 14:06:44
VBASE006.VDF   : 7.11.26.46      2048 Bytes  28.03.2012 14:06:44
VBASE007.VDF   : 7.11.26.47      2048 Bytes  28.03.2012 14:06:44
VBASE008.VDF   : 7.11.26.48      2048 Bytes  28.03.2012 14:06:44
VBASE009.VDF   : 7.11.26.49      2048 Bytes  28.03.2012 14:06:44
VBASE010.VDF   : 7.11.26.50      2048 Bytes  28.03.2012 14:06:44
VBASE011.VDF   : 7.11.26.51      2048 Bytes  28.03.2012 14:06:45
VBASE012.VDF   : 7.11.26.52      2048 Bytes  28.03.2012 14:06:45
VBASE013.VDF   : 7.11.26.53      2048 Bytes  28.03.2012 14:06:45
VBASE014.VDF   : 7.11.26.107   221696 Bytes  30.03.2012 14:01:58
VBASE015.VDF   : 7.11.26.179   224768 Bytes  02.04.2012 14:01:07
VBASE016.VDF   : 7.11.26.241   142336 Bytes  04.04.2012 14:49:47
VBASE017.VDF   : 7.11.27.41    247808 Bytes  08.04.2012 17:47:22
VBASE018.VDF   : 7.11.27.107   161280 Bytes  12.04.2012 14:01:14
VBASE019.VDF   : 7.11.27.159   148992 Bytes  13.04.2012 22:00:56
VBASE020.VDF   : 7.11.27.160     2048 Bytes  13.04.2012 22:00:56
VBASE021.VDF   : 7.11.27.161     2048 Bytes  13.04.2012 22:00:56
VBASE022.VDF   : 7.11.27.162     2048 Bytes  13.04.2012 22:00:56
VBASE023.VDF   : 7.11.27.163     2048 Bytes  13.04.2012 22:00:57
VBASE024.VDF   : 7.11.27.164     2048 Bytes  13.04.2012 22:00:57
VBASE025.VDF   : 7.11.27.165     2048 Bytes  13.04.2012 22:00:57
VBASE026.VDF   : 7.11.27.166     2048 Bytes  13.04.2012 22:00:57
VBASE027.VDF   : 7.11.27.167     2048 Bytes  13.04.2012 22:00:57
VBASE028.VDF   : 7.11.27.168     2048 Bytes  13.04.2012 22:00:57
VBASE029.VDF   : 7.11.27.169     2048 Bytes  13.04.2012 22:00:57
VBASE030.VDF   : 7.11.27.170     2048 Bytes  13.04.2012 22:00:57
VBASE031.VDF   : 7.11.27.176     2560 Bytes  14.04.2012 17:47:32
Engineversion  : 8.2.10.42 
AEVDF.DLL      : 8.1.2.2       106868 Bytes  31.01.2012 06:55:38
AESCRIPT.DLL   : 8.1.4.16      446842 Bytes  04.04.2012 17:50:19
AESCN.DLL      : 8.1.8.2       131444 Bytes  25.03.2012 16:50:51
AESBX.DLL      : 8.2.5.5       606579 Bytes  25.03.2012 16:50:52
AERDL.DLL      : 8.1.9.15      639348 Bytes  31.01.2012 06:55:37
AEPACK.DLL     : 8.2.16.9      807287 Bytes  30.03.2012 14:04:46
AEOFFICE.DLL   : 8.1.2.27      201082 Bytes  04.04.2012 17:50:08
AEHEUR.DLL     : 8.1.4.15     4628855 Bytes  13.04.2012 06:01:46
AEHELP.DLL     : 8.1.19.1      254327 Bytes  02.04.2012 14:01:19
AEGEN.DLL      : 8.1.5.23      409973 Bytes  25.03.2012 16:50:39
AEEXP.DLL      : 8.1.0.29       82293 Bytes  13.04.2012 06:01:47
AEEMU.DLL      : 8.1.3.0       393589 Bytes  31.01.2012 06:55:34
AECORE.DLL     : 8.1.25.6      201078 Bytes  25.03.2012 16:50:38
AEBB.DLL       : 8.1.1.0        53618 Bytes  31.01.2012 06:55:33
AVWINLL.DLL    : 12.1.0.17      27344 Bytes  31.01.2012 06:55:54
AVPREF.DLL     : 12.1.0.17      51920 Bytes  31.01.2012 06:55:51
AVREP.DLL      : 12.1.0.17     179408 Bytes  31.01.2012 06:55:51
AVARKT.DLL     : 12.1.0.23     209360 Bytes  31.01.2012 06:55:46
AVEVTLOG.DLL   : 12.1.0.17     169168 Bytes  31.01.2012 06:55:47
SQLITE3.DLL    : 3.7.0.0       398288 Bytes  31.01.2012 06:56:07
AVSMTP.DLL     : 12.1.0.17      62928 Bytes  31.01.2012 06:55:52
NETNT.DLL      : 12.1.0.17      17104 Bytes  31.01.2012 06:56:02
RCIMAGE.DLL    : 12.1.0.17    4447952 Bytes  31.01.2012 06:56:32
RCTEXT.DLL     : 12.1.0.16      98512 Bytes  31.01.2012 06:56:32

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, 
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Optimierter Suchlauf..................: ein
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Sonntag, 15. April 2012  16:50

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD1
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD2
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD3
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD4
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD5
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'rsmsink.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '87' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'LCDRSS.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'LCDClock.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'LCDMedia.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'LCDCountdown.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'LCDPop3.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '65' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'LGDCore.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'LCDMon.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'LgDevAgt.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '90' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '159' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '475' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\16\62026d90-794b8d2f
  [0] Archivtyp: ZIP
  --> msf/x/Exploit.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2012-0507
  --> msf/x/Help.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/JAVA.Carbul.Gen
  --> msf/x/PayloadX.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Small.BX
  --> msf/x/Xxploit.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2012-0507

Beginne mit der Desinfektion:
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\16\62026d90-794b8d2f
  [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2012-0507
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c1255e4.qua' verschoben!


Ende des Suchlaufs: Sonntag, 15. April 2012  18:04
Benötigte Zeit:  1:11:57 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

   9143 Verzeichnisse wurden überprüft
 326643 Dateien wurden geprüft
      4 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      1 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 326639 Dateien ohne Befall
   1747 Archive wurden durchsucht
      0 Warnungen
      1 Hinweise
 369534 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden
         

Mbam-Log hat nichts entdeckt:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.04.15.05

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
*** :: ***-5F24D2660 [Administrator]

15.04.2012 18:20:43
mbam-log-2012-04-15 (18-20-43).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 316825
Laufzeit: 1 Stunde(n), 4 Minute(n), 45 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         

Malwarebytes erstellt bei jedem Scanvorgang genau ein Log. Hast du in der Vergangenheit schonmal mit Malwarebytes gescannt?
Wenn ja dann stehen auch alle Logs zu jedem Scanvorgang im Reiter Logdateien. Bitte alle posten, die dort sichtbar sind.

Ja, ich hab schon öfter mit Mbam gescannt, denn ich mache jede Woche einen Vollscan mit Mbam und einen Vollscan mit Avira, aber die Logs von Mbam habe ich nicht mehr.

Zitat:

aber die Logs von Mbam habe ich nicht mehr.

Das ist ja nun Quatsch, Malwarebytes bewahrt die alle im Reiter Logdateien auf

Nicht wenn man CCleaner laufen lässt, der löscht die Logdateien, denn kurz vorm Schlafen lass ich den immer drüberlaufen.

Das ist ziemlich denn so hast du alle Spuren und Infos vernichtet
Steht denn noch was Malwarebytes in seiner Q aufbewahrt oder ist das auch weg?

Ich schau mir natürlich die Logs von Mbam vorher immer an, sind ja nicht wirklich schwer zu verstehen, aber da stand nichts auffälliges.
Avira hat nur die Viren erkannt, Mbam nicht.
Inzwischen hab ich wieder einen Vollscan mit Avira und aggressiven Einstellungen gemacht und es wurde nichts mehr erkannt.
Mit SUPERAntiSpyware habe ich auch einen Vollscan gemacht und wurde auch nichts erkannt, mit Spybot - Search & Destroy habe ich auch einen gemacht und es wurde auch nichts erkannt, gerade bin ich dabei einen Vollscan mit Mbam zu machen.
Die Scans von SUPERAntiSpyware und Mbam dauern immer ewig, vermute der Avira Guard bremst die übelst aus, will den aber während der Scans nicht deaktivieren.

Zu meinem Surfverhalten möchte ich noch anmerken, dass ich sehr vorsichtig im Internet unterwegs bin, bin eigentlich jeden Tag so ziemlich auf denselben Seiten wie an anderen Tagen, vorwiegend auf Seiten rund um Computer, Computerspielen und Sport.
Autostart der Laufwerke habe ich auch schon seit Ewigkeiten deaktiviert.
Mein System ist eigentlich immer auf den aktuellsten Stand, das bewerkstellige ich mit Update Checker und den SUMo Updater.
Alternativer Browser wird auch genutzt, also Firefox mit Adblock Plus und WOT.

In der Quarantäne von Mbam war schon seit Ewigkeiten nichts mehr und wie schon geschrieben mache ich jede Woche einen Vollscan mit Mbam und es wurde schon lange nichts mehr entdeckt. Nur Avira hat zu Weihnachten etwas gemeldet und da habe ich auch einen Thread hier erstellt, wurde aber nie darauf geantwortet.
So zum aktuellen Problem, das eventuell schon gelöst sein, habe ich 2 neue Logs.
Einmal von Mbam (Namen wurden "ausgesternt"):

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.04.16.04

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
*** :: ***-5F24D2660 [Administrator]

16.04.2012 18:46:48
mbam-log-2012-04-16 (18-46-48).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 317038
Laufzeit: 2 Stunde(n), 1 Minute(n), 33 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         

SUPERAntiSpyware:

Code: Alles auswählenAufklappen

ATTFilter

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 04/16/2012 at 06:43 PM

Application Version : 5.0.1146

Core Rules Database Version : 8458
Trace Rules Database Version: 6270

Scan type       : Complete Scan
Total Scan Time : 02:19:08

Operating System Information
Windows XP Home Edition 32-bit, Service Pack 3 (Build 5.01.2600)
Administrator

Memory items scanned      : 424
Memory threats detected   : 0
Registry items scanned    : 32771
Registry threats detected : 0
File items scanned        : 132772
File threats detected     : 0
         

Ich habe jetzt auch mal die Haken im CCleaner bei Antivir Desktop, Malwarebytes Antimalware, SpyBot Search and Destroy und SUPERAntiSpyware entfernt, dürfte also nicht mehr die Logs löschen.

Führ bitte auch ESET aus, danach sehen wir weiter:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Eset-Log:

Code: Alles auswählenAufklappen

ATTFilter

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=a329bdbd76259f46a404cba9fb10a016
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-04-16 09:35:18
# local_time=2012-04-16 11:35:18 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1792 16777191 100 0 1913554 1913554 0 0
# compatibility_mode=8192 67108863 100 0 313 313 0 0
# scanned=126241
# found=1
# cleaned=0
# scan_time=4421
C:\Programme\TERA\Client\Binaries\TERA.exe	a variant of Win32/Packed.Themida application (unable to clean)	00000000000000000000000000000000	I
         

Das Gefundene scheint ein False Positive zu sein.
https://forum.tera-europe.com/showthread.php?t=60115
https://www.virustotal.com/file/81059035f26db1742839148cbf36e3043b53c16ef781dfdd5e5202ca656e8dc9/analysis/1334612595/
hxxp://virusscan.jotti.org/de/scanresult/5642cd5f24fe9ac3427d96cceec66640904478d5