Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Infektion über java / rundll32.exe

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 11.12.2010, 21:38   #1
x^2
 
Infektion über java / rundll32.exe - Standard

Infektion über java / rundll32.exe



hallo,

leider hats mich gestern erwischt und ich werde nicht mehr herr der lage.
beim nächtlichen surfen hat sich plötzlich der windows dialog (ein echter) geöffnet, ob ich sicher bin rundll32 auszuführen. da ich mal wieder 10 dinge gleichzeitig gemacht habe (diverse programme liefen) und total im klickwahn war, klickte ich bereits akzeptieren, bevor ich überhaupt registriert hatte, was ich da klicke. im gleichen moment schwante mir schon böses.

was soll ich sagen...
die infektion war mit ansage!

folgende symptome:
ein blick in den taskmanager zeigte direkt prozesse wie javah.exe, javaw.exe, mehrere instanzen von rundll32.exe (vorher hatte ich keine einzige).
permanent öffnet sich ein IE fenster mit werbung oder einer google suchanfrage "111211url.cptgt.com".
in firefox werden google suchergebnisse auf 7search oder andere seiten umgeleitet.
mehrere firefox addons haben sich installiert mit den namen: "java console 6.0.12" bis "java console 6.0.22"
der rechner ist spürbar langsamer.

hijackthis hab ich bereits laufen lassen und einige auffällige prozesse entfernt, allerdings bleibt das problem.
anschliessend habe ich auch malwarebytes Anti-Malware laufen lassen, das ebenfalls 9 infektionen gefunden und (angeblich) erfolgreich entfernt hat.

leider besteht das problem weiter.

eine mögliche ursache ist das java nicht up-to-date war. ein besuch auf der java webseite sagt mir zwar, dass ich den neuesten client habe, das ist aber definitiv unwahr!

im anhang hänge ich 2 logs von HijackThis und Anti-Malware an.


vielen dank für jegliche hilfe!

Alt 12.12.2010, 11:51   #2
markusg
/// Malware-holic
 
Infektion über java / rundll32.exe - Standard

Infektion über java / rundll32.exe



1. immer genaue beschreibungen.
2. nimm keinerlei reinigung selbstständig vor, sonst ist das nur störend.
3. reiche alle evtl vorhandenen scan logs nach. ootl:
Systemscan mit OTL
download otl:
http://filepony.de/download-otl/

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt
__________________

__________________

Alt 12.12.2010, 18:32   #3
x^2
 
Infektion über java / rundll32.exe - Standard

Infektion über java / rundll32.exe



hier die scan logs...

danke!
__________________

Alt 12.12.2010, 19:06   #4
markusg
/// Malware-holic
 
Infektion über java / rundll32.exe - Standard

Infektion über java / rundll32.exe



bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 12.12.2010, 19:41   #5
x^2
 
Infektion über java / rundll32.exe - Standard

Infektion über java / rundll32.exe



und hier das combofix log


Alt 12.12.2010, 19:47   #6
markusg
/// Malware-holic
 
Infektion über java / rundll32.exe - Standard

Infektion über java / rundll32.exe



VirusTotal - Free Online Virus, Malware and URL Scanner
dort prüfe:
c:\windows\system32\authsrv32.dll
falls datei bereits analysiert, klicke erneut prüfen, poste den ergebniss link
__________________
--> Infektion über java / rundll32.exe

Alt 12.12.2010, 20:07   #7
x^2
 
Infektion über java / rundll32.exe - Standard

Infektion über java / rundll32.exe



die datei existiert nicht.
ich lasse alle dateien anzeigen, auch die systemdateien. also sie ist definitiv nicht da.

ich habe direkt nach der infektion HijackThis ausgeführt und diesen eintrag fixen lassen. vermutlich wurde sie gelöscht!?

Alt 12.12.2010, 20:08   #8
markusg
/// Malware-holic
 
Infektion über java / rundll32.exe - Standard

Infektion über java / rundll32.exe



welche probleme gibts noch genau?
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 12.12.2010, 20:22   #9
x^2
 
Infektion über java / rundll32.exe - Standard

Infektion über java / rundll32.exe



vielen dank erstmal ausdrücklich für die superschnelle helpline hier!!!


also ich beschreibe nochmal genau die syptome:

erstmal: manchmal passiert für 5 - 10 minuten nichts. alles scheint ganz normal.

dann öffnen sich schlagartig IE fenster im ca. 60 sekundentakt die entweder auf google suchergebnisse dieser url verweisen: "111211url.cptgt.com" (das lustige ist, an dritter stelle ist dieser(!!!) thread hier)
oder auf diverse werbungs seiten.
wenn ich die fenster schliesse, läuft trotzdem der sound der werbungen weiter im hintergrund. nur durch killen des IE aus der prozessliste bekomme ich wieder ruhe.

ein paar minuten passiert wieder nichts, dann geht das spektakel von vorne los.

im firefox (IE benutze ich eigentlich nie) werden google suchergebnisse beim anklicken auf eine seite namens 7search.com umgeleitet, die von mir will, dass ich dort einen fragebogen ausfülle. gelegentlich werden suchergebnisse auch auf andere werbungsseiten umgelenkt. wenn ich den link einer seite aber manuell in die firefox adresseiste eingebe findet keine umleitung statt.

firefox wird manchmal sehr, sehr langsam und fast unbenutzbar träge. währenddessen rödelt die platte wie wild.

/edit sorry hab den link nicht den regeln entsprechend bearbeitet. also das ist der link der mit 50% wahrscheinlich im IE fenster angezeigt wird:
"hXXp://www.google.com/search?q=111211url.cptgt.com"

Alt 12.12.2010, 20:27   #10
markusg
/// Malware-holic
 
Infektion über java / rundll32.exe - Standard

Infektion über java / rundll32.exe



nutze bitte gmer
http://www.trojaner-board.de/74908-a...t-scanner.html
log posten
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 12.12.2010, 20:45   #11
x^2
 
Infektion über java / rundll32.exe - Standard

Infektion über java / rundll32.exe



ein erster scan hat den rechner einfrieren lassen, nur ein kaltstart half.
ich lasse den scan jetzt gerade im abgesicherten modus laufen...

Alt 12.12.2010, 20:48   #12
x^2
 
Infektion über java / rundll32.exe - Standard

Infektion über java / rundll32.exe



wow...

wird immer selbstsamer. im abgesicherten modus hat der rechner sich offenbar wegen überhitzung selbst abgeschaltet. ich muss ihn jetzt erstmal abkühlen lassen...

Geändert von x^2 (12.12.2010 um 21:10 Uhr)

Alt 12.12.2010, 21:10   #13
markusg
/// Malware-holic
 
Infektion über java / rundll32.exe - Standard

Infektion über java / rundll32.exe



ok. bis später.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 12.12.2010, 22:18   #14
x^2
 
Infektion über java / rundll32.exe - Standard

Infektion über java / rundll32.exe



ok, hier das GMER log.

allerdings aus dem abgesicherten modus. im normalmodus hatte das log sehr viel mehr einträge...

Alt 13.12.2010, 11:46   #15
markusg
/// Malware-holic
 
Infektion über java / rundll32.exe - Standard

Infektion über java / rundll32.exe



wo ist das log aus dem normalen modus.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Antwort

Themen zu Infektion über java / rundll32.exe
.com, anti-malware, diverse, dll, firefox, frage, google, google suchergebnisse, hilfe!, infektion, java, malwarebytes, namen, programme, prozesse, rechner, rundll, rundll32, rundll32.exe, seite, seiten, surfen, taskmanager, werbung, windows




Ähnliche Themen: Infektion über java / rundll32.exe


  1. Fragliche Infektion nach Phishingatacke über Telefon
    Plagegeister aller Art und deren Bekämpfung - 24.07.2015 (16)
  2. Infektion mit Ransomware und Java-Malware
    Log-Analyse und Auswertung - 25.08.2013 (10)
  3. Java Virus über eventim
    Plagegeister aller Art und deren Bekämpfung - 05.08.2013 (7)
  4. Probleme java über Secunia PSI zu updaten
    Diskussionsforum - 01.04.2013 (0)
  5. Probleme java über Secunia PSI zu updaten
    Antiviren-, Firewall- und andere Schutzprogramme - 17.03.2013 (0)
  6. Apple: erfolgreiche Angriffe über Java-Lücke
    Nachrichten - 20.02.2013 (0)
  7. Nach Verschlüsselungstrojaner viele Virenfunde (JAVA/Jogek.CT; rus JAVA/Agent.MH; JAVA/Dldr.Pesur.BH; W32/Idele.2219; VBS/Fluenza.B; u.a...
    Log-Analyse und Auswertung - 28.01.2013 (1)
  8. GUV-Trojaner-Infektion über Jawa-Sicherheitslücke
    Plagegeister aller Art und deren Bekämpfung - 04.01.2013 (31)
  9. Trojaner Infektion 12.6.2012 Über 1000 Familien Bilder Weg.
    Plagegeister aller Art und deren Bekämpfung - 03.07.2012 (12)
  10. nach Infektion mit trojan spyeyes,zbot,agent Java virus funktioniert tastatur nicht mehr
    Log-Analyse und Auswertung - 25.08.2011 (1)
  11. Über zwei Jahre und kein Fix für Java
    Nachrichten - 08.02.2011 (0)
  12. infektion über die ports des modemrouters hinweg?
    Diskussionsforum - 08.12.2010 (2)
  13. Möglicherweise Trojaner über Java-Update etc.?
    Log-Analyse und Auswertung - 21.09.2010 (7)
  14. Virus Java Agent D über MSN
    Plagegeister aller Art und deren Bekämpfung - 30.08.2010 (11)
  15. explorer.exe verursacht 100% CPU-Auslastung über rundll32.exe
    Log-Analyse und Auswertung - 31.05.2007 (6)
  16. Name der Infektion: Java/ByteVerify!exploit!Trojan
    Plagegeister aller Art und deren Bekämpfung - 31.01.2007 (1)
  17. Wer weiß was über den Trojaner TR/Femad.Java?
    Plagegeister aller Art und deren Bekämpfung - 31.03.2004 (1)

Zum Thema Infektion über java / rundll32.exe - hallo, leider hats mich gestern erwischt und ich werde nicht mehr herr der lage. beim nächtlichen surfen hat sich plötzlich der windows dialog (ein echter) geöffnet, ob ich sicher bin - Infektion über java / rundll32.exe...
Archiv
Du betrachtest: Infektion über java / rundll32.exe auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.