Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Java/Exploit.Blacole.AN Trojaner ? Gelöscht, was nu Sys clr oder nicht ?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 21.03.2012, 14:48   #1
Pointshot
 
Java/Exploit.Blacole.AN Trojaner ? Gelöscht, was nu Sys clr oder nicht ? - Standard

Java/Exploit.Blacole.AN Trojaner ? Gelöscht, was nu Sys clr oder nicht ?



Hi ho Trojaner-board Team,

ich habe heute über Nacht wieder mal die Eset-Systemprüfung angehauen und da bei Folgendes entdeckt:

(siehe Anhang, Log ist zu Lang fürs Posten)

nun ist meine Fragen ob mein System weiter Kompromittiert ist oder nicht ? Da der Scan nur eine Schnell Prüfung war, läuft aktuell noch eine Tiefenprüfung, die kann aber noch ein paar Stunden dauern, wenn es fertig ist kann ich den Log ggf. Posten falls dieser benötigt wird.

Die Checkliste bin ich durchgegangen und wird auch angehangen.

Mfg

Geändert von Pointshot (21.03.2012 um 14:57 Uhr) Grund: Anhang vergessen...

Alt 21.03.2012, 17:54   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Java/Exploit.Blacole.AN Trojaner ? Gelöscht, was nu Sys clr oder nicht ? - Standard

Java/Exploit.Blacole.AN Trojaner ? Gelöscht, was nu Sys clr oder nicht ?



Welches ESET genau hast du da benutzt?
__________________

__________________

Alt 21.03.2012, 23:37   #3
Pointshot
 
Java/Exploit.Blacole.AN Trojaner ? Gelöscht, was nu Sys clr oder nicht ? - Standard

Java/Exploit.Blacole.AN Trojaner ? Gelöscht, was nu Sys clr oder nicht ?



ESET Smart Security 4 mit der Signaturdatenbank: 6984 (20120320)


Mfg
__________________

Geändert von Pointshot (21.03.2012 um 23:40 Uhr) Grund: Signaturdatenbank eingetragen

Alt 22.03.2012, 12:27   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Java/Exploit.Blacole.AN Trojaner ? Gelöscht, was nu Sys clr oder nicht ? - Standard

Java/Exploit.Blacole.AN Trojaner ? Gelöscht, was nu Sys clr oder nicht ?



Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 22.03.2012, 13:03   #5
Pointshot
 
Java/Exploit.Blacole.AN Trojaner ? Gelöscht, was nu Sys clr oder nicht ? - Standard

Java/Exploit.Blacole.AN Trojaner ? Gelöscht, was nu Sys clr oder nicht ?



OK Log Poste ich dann

So hier der Log:

Code:
ATTFilter
 Malwarebytes Anti-Malware  (Test) 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.03.22.02

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Pointshot :: POINTSHOT-PC [Administrator]

Schutz: Aktiviert

22.03.2012 13:06:50
mbam-log-2012-03-22 (13-06-50).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 784842
Laufzeit: 1 Stunde(n), 56 Minute(n), 21 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         
Mfg


Alt 23.03.2012, 13:10   #6
Pointshot
 
Java/Exploit.Blacole.AN Trojaner ? Gelöscht, was nu Sys clr oder nicht ? - Standard

Java/Exploit.Blacole.AN Trojaner ? Gelöscht, was nu Sys clr oder nicht ?



Hm also ich gerade erneute mal nur aus spaß wieder einen schnell Scan durchgeführt habe kamm dies:


Code:
ATTFilter
C:\Users\Pointshot\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\52\98399f4-5e9bed0f » ZIP » a/Help.class - Variante von Java/TrojanDownloader.Agent.NDR Trojaner - war Teil des gelöschten Objekts
C:\Users\Pointshot\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\52\98399f4-5e9bed0f » ZIP » a/Test.class - Variante von Java/TrojanDownloader.Agent.NDR Trojaner - war Teil des gelöschten Objekts
         
also das ist wieder der schnell Scan von Eset... über Malwarbytes:

Code:
ATTFilter
 Malwarebytes Anti-Malware  (Test) 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.03.22.04

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Pointshot :: POINTSHOT-PC [Administrator]

Schutz: Aktiviert

23.03.2012 13:02:47
mbam-log-2012-03-23 (13-02-47).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 194151
Laufzeit: 3 Minute(n), 58 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         

Alt 23.03.2012, 21:29   #7
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Java/Exploit.Blacole.AN Trojaner ? Gelöscht, was nu Sys clr oder nicht ? - Standard

Java/Exploit.Blacole.AN Trojaner ? Gelöscht, was nu Sys clr oder nicht ?



Malwarebytes erstellt bei jedem Scanvorgang genau ein Log. Hast du in der Vergangenheit schonmal mit Malwarebytes gescannt?
Wenn ja dann stehen auch alle Logs zu jedem Scanvorgang im Reiter Logdateien. Bitte alle posten, die dort sichtbar sind.

Zitat:
Hm also ich gerade erneute mal nur aus spaß wieder einen schnell Scan durchgeführt habe kamm dies:
Mit welchem Scanner? Das sind "nur" Funde im Java-Cache. Du möchtest diesen mal leeren also den Ordner 6.0 in C:\Users\Pointshot\AppData\LocalLow\Sun\Java\Deployment\cache löschen
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 23.03.2012, 23:44   #8
Pointshot
 
Java/Exploit.Blacole.AN Trojaner ? Gelöscht, was nu Sys clr oder nicht ? - Standard

Java/Exploit.Blacole.AN Trojaner ? Gelöscht, was nu Sys clr oder nicht ?



Naja den Scan habe ich mit ESET Smart Security 4 durchgeführt...

Den Java-Cache, also der Inhalt wurde gelöscht...
Mit Malwarebytes habe ich vorher nie gescant. Malwarebytes wurde erst auf den Rechner installiert als es mir gesagt wurde.

Die aller erste Log-Datei von Malwarebytes ist diese:

Code:
ATTFilter
2012/03/22 13:05:50 +0100	POINTSHOT-PC	Pointshot	MESSAGE	Starting protection
2012/03/22 13:05:51 +0100	POINTSHOT-PC	Pointshot	MESSAGE	Protection started successfully
2012/03/22 13:05:54 +0100	POINTSHOT-PC	Pointshot	MESSAGE	Starting IP protection
2012/03/22 13:05:56 +0100	POINTSHOT-PC	Pointshot	MESSAGE	IP Protection started successfully
2012/03/22 18:14:04 +0100	POINTSHOT-PC	Pointshot	MESSAGE	Executing scheduled update:  Daily
2012/03/22 18:14:09 +0100	POINTSHOT-PC	Pointshot	MESSAGE	Scheduled update executed successfully:  database updated from version v2012.03.22.02 to version v2012.03.22.03
2012/03/22 18:14:09 +0100	POINTSHOT-PC	Pointshot	MESSAGE	Starting database refresh
2012/03/22 18:14:09 +0100	POINTSHOT-PC	Pointshot	MESSAGE	Stopping IP protection
2012/03/22 18:15:12 +0100	POINTSHOT-PC	Pointshot	MESSAGE	IP Protection stopped
2012/03/22 18:15:14 +0100	POINTSHOT-PC	Pointshot	MESSAGE	Database refreshed successfully
2012/03/22 18:15:14 +0100	POINTSHOT-PC	Pointshot	MESSAGE	Starting IP protection
2012/03/22 18:15:15 +0100	POINTSHOT-PC	Pointshot	MESSAGE	IP Protection started successfully
         
der 2te Log eintrag war der, den ich oben gepostet hat als ich dazu aufgevordert wurde mit Malwarebytes den Vollständigen suchlauf durchzuführen.

und dann hat ich nochmal mit Malwarebytes (Quick-Scan) gescant als ESET Smart Security 4, den 2ten Fund anzeigte... der Quick-Scan ist ja auch gepostet... Rechner hatte ich nach dem letzten Post hier, vom Netzwerk getrennt, in der Zeit lief noch mal ein Vollständiger Scan:

Code:
ATTFilter
 Malwarebytes Anti-Malware  (Test) 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.03.22.05

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Pointshot :: POINTSHOT-PC [Administrator]

Schutz: Aktiviert

23.03.2012 14:36:34
mbam-log-2012-03-23 (14-36-34).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 783870
Laufzeit: 2 Stunde(n), 24 Minute(n), 25 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         

und hier das Log als ich den Rechner wieder ans Netzwerk angeschlossen habe:

Code:
ATTFilter
2012/03/23 00:05:17 +0100	POINTSHOT-PC	Pointshot	MESSAGE	Starting database refresh
2012/03/23 00:05:17 +0100	POINTSHOT-PC	Pointshot	MESSAGE	Stopping IP protection
2012/03/23 00:06:26 +0100	POINTSHOT-PC	Pointshot	MESSAGE	IP Protection stopped
2012/03/23 00:06:27 +0100	POINTSHOT-PC	Pointshot	MESSAGE	Database refreshed successfully
2012/03/23 00:06:27 +0100	POINTSHOT-PC	Pointshot	MESSAGE	Starting IP protection
2012/03/23 00:06:29 +0100	POINTSHOT-PC	Pointshot	MESSAGE	IP Protection started successfully
2012/03/23 13:23:28 +0100	POINTSHOT-PC	Pointshot	MESSAGE	Starting database refresh
2012/03/23 13:23:28 +0100	POINTSHOT-PC	Pointshot	MESSAGE	Stopping IP protection
2012/03/23 13:24:41 +0100	POINTSHOT-PC	Pointshot	MESSAGE	IP Protection stopped
2012/03/23 13:24:43 +0100	POINTSHOT-PC	Pointshot	MESSAGE	Database refreshed successfully
2012/03/23 13:24:43 +0100	POINTSHOT-PC	Pointshot	MESSAGE	Starting IP protection
2012/03/23 13:24:44 +0100	POINTSHOT-PC	Pointshot	MESSAGE	IP Protection started successfully
2012/03/23 14:33:05 +0100	POINTSHOT-PC	Pointshot	MESSAGE	Starting protection
2012/03/23 14:33:07 +0100	POINTSHOT-PC	Pointshot	MESSAGE	Protection started successfully
2012/03/23 14:33:10 +0100	POINTSHOT-PC	Pointshot	MESSAGE	Starting IP protection
2012/03/23 14:33:12 +0100	POINTSHOT-PC	Pointshot	MESSAGE	IP Protection started successfully
2012/03/23 18:30:56 +0100	POINTSHOT-PC	Pointshot	MESSAGE	Executing scheduled update:  Daily
2012/03/23 18:30:56 +0100	POINTSHOT-PC	Pointshot	ERROR	Scheduled update failed:  No address found failed with error code 11004
2012/03/23 23:30:22 +0100	POINTSHOT-PC	Pointshot	IP-BLOCK	83.128.3.231 (Type: outgoing, Port: 50913, Process: pmb.exe)
         
bzw. ich habe aktuell nochmal einen neuen gemacht:

Code:
ATTFilter
 Malwarebytes Anti-Malware  (Test) 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.03.22.05

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Pointshot :: POINTSHOT-PC [Administrator]

Schutz: Aktiviert

23.03.2012 23:45:59
mbam-log-2012-03-23 (23-45-59).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 193926
Laufzeit: 3 Minute(n), 44 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         
das wars an Logs.


Mfg

Geändert von Pointshot (23.03.2012 um 23:58 Uhr) Grund: neuer Scan hinzugefügt

Antwort

Themen zu Java/Exploit.Blacole.AN Trojaner ? Gelöscht, was nu Sys clr oder nicht ?
aktuell, anhang, benötigt, checkliste, entdeck, entdeckt, fertig, folge, folgendes, frage, fragen, gelöscht, heute, java/exploit.blacole.an, kompromittiert, log, nacht, poste, posten, scan, schnell, stunde, stunden, troja, trojaner, trojaner ?, trojaner-board, zu lang



Ähnliche Themen: Java/Exploit.Blacole.AN Trojaner ? Gelöscht, was nu Sys clr oder nicht ?


  1. HEUR:Exploit.Java.CVE-2012-0507.GEN weg oder nicht?
    Plagegeister aller Art und deren Bekämpfung - 28.04.2013 (17)
  2. Exploit.Java.CVE-2013-0422d von Kaspersky gefunden und gelöscht/desinfiziert. Was nun?
    Log-Analyse und Auswertung - 04.03.2013 (14)
  3. Trojaner HEUR:Exploit.Java.CVE-2012-0507.gen und HEUR:Exploit.Java.Generic
    Log-Analyse und Auswertung - 26.01.2013 (24)
  4. Exploit:JS/Blacole.KH
    Plagegeister aller Art und deren Bekämpfung - 15.01.2013 (25)
  5. ich glaub ich habe einen virus(trojaner>JS/Exploit-Blacole.ht< unter anderen.)
    Plagegeister aller Art und deren Bekämpfung - 27.12.2012 (5)
  6. Exploit:JS/Blacole.kh
    Plagegeister aller Art und deren Bekämpfung - 23.12.2012 (23)
  7. Befall mit Exploits Java.Expkit.B, C und E und Virus JAVA/Blacole.GD , vermutlich durch searchnu Toolbar
    Log-Analyse und Auswertung - 22.12.2012 (26)
  8. HEUR:Exploit.Java.CVE-2012-4681.gen" sowie mehrfach Exploit.Java.CVE-2012-0507.ou mit kaspersky gefunden in C:Dokumente und Einstellungen ge
    Plagegeister aller Art und deren Bekämpfung - 21.11.2012 (11)
  9. Exploit-CVE2012-1723.f und Exploit-PDF!Blacole.o gefunden
    Log-Analyse und Auswertung - 02.10.2012 (11)
  10. EXP/CVE-2010-0840.HG(Exploit), EXP/JAVA.Ternub.Gen(Exploit) und TR/Agent.464.4(Trojaner) - nicht totzukriegen
    Plagegeister aller Art und deren Bekämpfung - 14.08.2012 (12)
  11. Exploit:JS/Blacole.HP
    Log-Analyse und Auswertung - 05.08.2012 (25)
  12. Exploit:Java/Blacole.FY; Win32/Karagany.I; Verschlüsselung
    Log-Analyse und Auswertung - 29.06.2012 (7)
  13. Exploit:Java/Blacole.ET in C\Users\***\AppData\Local\Temp\jar_cache... gefunden
    Log-Analyse und Auswertung - 06.04.2012 (8)
  14. EXP\JAVA.NIABIL.GEN Exploit oder Trojaner oder beides - Lösung ?
    Log-Analyse und Auswertung - 29.02.2012 (1)
  15. Exploit.Java.Blacole
    Plagegeister aller Art und deren Bekämpfung - 31.10.2011 (10)
  16. Exploit:JS/Blacole.A
    Plagegeister aller Art und deren Bekämpfung - 22.10.2011 (5)
  17. Avira findet 2 Trojaner Java-Virus JAVA/Agent.BH und Exploit EXP/Pidief.coi
    Plagegeister aller Art und deren Bekämpfung - 07.01.2011 (29)

Zum Thema Java/Exploit.Blacole.AN Trojaner ? Gelöscht, was nu Sys clr oder nicht ? - Hi ho Trojaner-board Team, ich habe heute über Nacht wieder mal die Eset-Systemprüfung angehauen und da bei Folgendes entdeckt: (siehe Anhang, Log ist zu Lang fürs Posten) nun ist meine - Java/Exploit.Blacole.AN Trojaner ? Gelöscht, was nu Sys clr oder nicht ?...
Archiv
Du betrachtest: Java/Exploit.Blacole.AN Trojaner ? Gelöscht, was nu Sys clr oder nicht ? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.