EXP/CVE 2010-0840.EV und EXP/2010-0840.A

flieger-baby

Ensign
Registriert
Aug. 2011
Beiträge
232
Hi.
Der monatliche Suchlauf von Avira (free antivir) hat auf dem Laptop meiner Freundin die beiden "Dinger" gefunden und in Quarantäne geschoben.

Was sind das für Teile und wie bekommen wir den Laptop wieder clean ?

Ich bin in solchen Sachen echt nicht fit und momentan etwas überfordert. :(
Es wär echt super, wenn mir jemand nützliche Tips/eine Anleitung zur Bereinigung geben könnte.


Gruß... Carsten

Hier der Bericht von Antivir.


Avira Free Antivirus
Erstellungsdatum der Reportdatei: Montag, 14. November 2011 20:35

Es wird nach 3524353 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 7 x64
Windowsversion : (Service Pack 1) [6.1.7601]
Boot Modus : Normal gebootet
Benutzername : kati005
Computername : KATI005-PC

Versionsinformationen:
BUILD.DAT : 12.0.0.855 Bytes 12.10.2011 16:36:00
AVSCAN.EXE : 12.1.0.17 490448 Bytes 11.10.2011 12:59:38
AVSCAN.DLL : 12.1.0.17 65744 Bytes 11.10.2011 12:59:58
LUKE.DLL : 12.1.0.17 68304 Bytes 11.10.2011 12:59:47
AVSCPLR.DLL : 12.1.0.19 99536 Bytes 11.10.2011 12:59:38
AVREG.DLL : 12.1.0.22 226512 Bytes 25.10.2011 17:40:42
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 18:18:34
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 09:07:39
VBASE002.VDF : 7.11.3.0 1950720 Bytes 09.02.2011 15:08:51
VBASE003.VDF : 7.11.5.225 1980416 Bytes 07.04.2011 10:00:55
VBASE004.VDF : 7.11.8.178 2354176 Bytes 31.05.2011 10:18:22
VBASE005.VDF : 7.11.10.251 1788416 Bytes 07.07.2011 12:12:53
VBASE006.VDF : 7.11.13.60 6411776 Bytes 16.08.2011 07:26:09
VBASE007.VDF : 7.11.15.106 2389504 Bytes 05.10.2011 12:59:54
VBASE008.VDF : 7.11.15.107 2048 Bytes 05.10.2011 12:59:54
VBASE009.VDF : 7.11.15.108 2048 Bytes 05.10.2011 12:59:54
VBASE010.VDF : 7.11.15.109 2048 Bytes 05.10.2011 12:59:54
VBASE011.VDF : 7.11.15.110 2048 Bytes 05.10.2011 12:59:54
VBASE012.VDF : 7.11.15.111 2048 Bytes 05.10.2011 12:59:54
VBASE013.VDF : 7.11.15.144 161792 Bytes 07.10.2011 12:59:54
VBASE014.VDF : 7.11.15.177 130048 Bytes 10.10.2011 12:59:54
VBASE015.VDF : 7.11.15.213 113664 Bytes 11.10.2011 13:35:57
VBASE016.VDF : 7.11.16.1 163328 Bytes 14.10.2011 07:32:10
VBASE017.VDF : 7.11.16.34 187904 Bytes 18.10.2011 19:50:17
VBASE018.VDF : 7.11.16.77 139264 Bytes 20.10.2011 19:50:10
VBASE019.VDF : 7.11.16.112 162816 Bytes 24.10.2011 17:40:39
VBASE020.VDF : 7.11.16.150 167424 Bytes 26.10.2011 17:51:09
VBASE021.VDF : 7.11.16.187 171520 Bytes 28.10.2011 18:56:09
VBASE022.VDF : 7.11.16.209 190976 Bytes 31.10.2011 16:09:37
VBASE023.VDF : 7.11.16.243 158208 Bytes 02.11.2011 19:08:17
VBASE024.VDF : 7.11.17.21 194560 Bytes 06.11.2011 08:08:04
VBASE025.VDF : 7.11.17.101 202752 Bytes 09.11.2011 17:26:32
VBASE026.VDF : 7.11.17.137 214528 Bytes 11.11.2011 10:34:31
VBASE027.VDF : 7.11.17.138 2048 Bytes 11.11.2011 10:34:31
VBASE028.VDF : 7.11.17.139 2048 Bytes 11.11.2011 10:34:32
VBASE029.VDF : 7.11.17.140 2048 Bytes 11.11.2011 10:34:32
VBASE030.VDF : 7.11.17.141 2048 Bytes 11.11.2011 10:34:32
VBASE031.VDF : 7.11.17.149 132608 Bytes 14.11.2011 10:34:32
Engineversion : 8.2.6.112
AEVDF.DLL : 8.1.2.2 106868 Bytes 25.10.2011 17:40:42
AESCRIPT.DLL : 8.1.3.85 463227 Bytes 10.11.2011 17:26:36
AESCN.DLL : 8.1.7.2 127349 Bytes 01.09.2011 21:46:02
AESBX.DLL : 8.2.1.34 323957 Bytes 01.09.2011 21:46:02
AERDL.DLL : 8.1.9.15 639348 Bytes 08.09.2011 21:16:06
AEPACK.DLL : 8.2.13.4 684406 Bytes 10.11.2011 17:26:36
AEOFFICE.DLL : 8.1.2.19 201084 Bytes 03.11.2011 20:10:57
AEHEUR.DLL : 8.1.2.190 3813752 Bytes 10.11.2011 17:26:35
AEHELP.DLL : 8.1.18.0 254327 Bytes 25.10.2011 17:40:40
AEGEN.DLL : 8.1.5.13 405877 Bytes 08.11.2011 09:23:02
AEEMU.DLL : 8.1.3.0 393589 Bytes 01.09.2011 21:46:01
AECORE.DLL : 8.1.24.0 196983 Bytes 25.10.2011 17:40:40
AEBB.DLL : 8.1.1.0 53618 Bytes 01.09.2011 21:46:01
AVWINLL.DLL : 12.1.0.17 27344 Bytes 11.10.2011 12:59:41
AVPREF.DLL : 12.1.0.17 51920 Bytes 11.10.2011 12:59:38
AVREP.DLL : 12.1.0.17 179408 Bytes 11.10.2011 12:59:38
AVARKT.DLL : 12.1.0.17 223184 Bytes 11.10.2011 12:59:36
AVEVTLOG.DLL : 12.1.0.17 169168 Bytes 11.10.2011 12:59:37
SQLITE3.DLL : 3.7.0.0 398288 Bytes 11.10.2011 12:59:51
AVSMTP.DLL : 12.1.0.17 62928 Bytes 11.10.2011 12:59:39
NETNT.DLL : 12.1.0.17 17104 Bytes 11.10.2011 12:59:47
RCIMAGE.DLL : 12.1.0.17 4447952 Bytes 11.10.2011 13:00:00
RCTEXT.DLL : 12.1.0.16 98512 Bytes 11.10.2011 13:00:00

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\program files (x86)\avira\antivir desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Montag, 14. November 2011 20:35

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
[INFO] Bitte starten Sie den Suchlauf erneut mit Administratorrechten

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
[INFO] Bitte starten Sie den Suchlauf erneut mit Administratorrechten

Der Suchlauf nach versteckten Objekten wird begonnen.
%WINDIR%\system32\SQLSRV32.dll
C:\Windows\system32\SQLSRV32.dll
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
%WINDIR%\system32\SQLSRV32.dll

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '71' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '104' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '79' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqgpc01.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqbam08.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqSTE08.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'ArcadeDeluxeAgent.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'UIExec.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'BackupManagerTray.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'EgisUpdate.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '109' Modul(e) wurden durchsucht
Durchsuche Prozess 'ImApp.exe' - '109' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqtra08.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'IncMail.exe' - '157' Modul(e) wurden durchsucht
Durchsuche Prozess 'PLFSetI.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'mwlDaemon.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'IAAnotif.exe' - '39' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1780' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <ACER>
C:\Users\kati005\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\5\4ab7d745-24d401ea
[0] Archivtyp: ZIP
--> json/Parser.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0840.EV
C:\Users\kati005\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\59\34da533b-4007c721
[0] Archivtyp: ZIP
--> mail/Cid.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.FP.2
--> mail/MailAgent.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/2010-0840.B
--> mail/SendMail.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0840.EO
--> mail/VirtualTable.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/2010-0840.A

Beginne mit der Desinfektion:
C:\Users\kati005\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\59\34da533b-4007c721
[FUND] Enthält Erkennungsmuster des Exploits EXP/2010-0840.A
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4af528d3.qua' verschoben!
C:\Users\kati005\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\5\4ab7d745-24d401ea
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0840.EV
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '52640749.qua' verschoben!


Ende des Suchlaufs: Montag, 14. November 2011 22:22
Benötigte Zeit: 1:17:48 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

28504 Verzeichnisse wurden überprüft
523148 Dateien wurden geprüft
5 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
2 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
523143 Dateien ohne Befall
3018 Archive wurden durchsucht
0 Warnungen
3 Hinweise
520350 Objekte wurden beim Rootkitscan durchsucht
2 Versteckte Objekte wurden gefunden
 
Zuletzt bearbeitet:
Die angeblich erkannten Schaddateien auf Virustotal hochladen, dort wird mit 40 AV Engines gescannt, sollte die Erkennungsrate gering sein, z.Bsp. nur 2 od. 3, währs wohl ein Fehlalarm.
http://www.virustotal.com/

Zusätzlich eine Rescue-CD herunterladen, die ISO auf CD brennen und von der booten.
Bitte vorher die Anleitung auf der Herstellerseite unbedingt durchlesen.
Kaspersky:http://support.kaspersky.com/viruses/rescuedisk?level=2
AVG:http://www.avg.com/us-en/avg-rescue-cd
F-Secure:http://www.f-secure.com/linux-weblog/2009/09/22/rescue-cd-311/
Bitdefender:http://download.bitdefender.com/rescue_cd/
Dr.Web:http://www.freedrweb.com/livecd/?lng=en
Knoppicillin:http://www.heise.de/software/download/knoppicillin_download_edition/37894
Mcafee:http://www.mcafee.com/us/downloads/free-tools/how-to-use-stinger.aspx
Emisoft:https://www.computerbase.de/downloads/sicherheit/antimalware/emsisoft-emergency-kit/
Symantec/Norton:http://security.symantec.com/sscv6/WelcomePage.asp
 
Zuletzt bearbeitet:

Ähnliche Themen

P
Antworten
5
Aufrufe
3.584
Zurück
Oben