Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Virenbefall: Exploits und "Java-Virus" inkl Logs

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 26.08.2012, 19:08   #1
bierbuster
 
Virenbefall: Exploits und "Java-Virus" inkl Logs - Standard

Virenbefall: Exploits und "Java-Virus" inkl Logs



Hallo,

ich habe einen "alten" PC im Keller stehen und jetzt meldet AntiVir immer ein paar Viren ...

hier mal der AntiVir Log

Zitat:

Avira Free Antivirus
Erstellungsdatum der Reportdatei: Sonntag, 26. August 2012 19:11

Es wird nach 4166737 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : ***********************
Plattform : Microsoft Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : Busch
Computername : PC-KELLER

Versionsinformationen:
BUILD.DAT : 12.0.0.1167 40870 Bytes 18.07.2012 19:07:00
AVSCAN.EXE : 12.3.0.33 468472 Bytes 18.07.2012 16:04:24
AVSCAN.DLL : 12.3.0.15 66256 Bytes 18.07.2012 16:04:38
LUKE.DLL : 12.3.0.15 68304 Bytes 18.07.2012 16:04:31
AVSCPLR.DLL : 12.3.0.27 97064 Bytes 18.07.2012 16:04:24
AVREG.DLL : 12.3.0.33 232232 Bytes 18.07.2012 16:04:23
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 18:18:34
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 23:22:12
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 23:31:36
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 09:58:50
VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 22:37:35
VBASE005.VDF : 7.11.34.116 4034048 Bytes 29.06.2012 16:04:37
VBASE006.VDF : 7.11.34.117 2048 Bytes 29.06.2012 16:04:37
VBASE007.VDF : 7.11.34.118 2048 Bytes 29.06.2012 16:04:37
VBASE008.VDF : 7.11.34.119 2048 Bytes 29.06.2012 16:04:37
VBASE009.VDF : 7.11.34.120 2048 Bytes 29.06.2012 16:04:37
VBASE010.VDF : 7.11.34.121 2048 Bytes 29.06.2012 16:04:37
VBASE011.VDF : 7.11.34.122 2048 Bytes 29.06.2012 16:04:37
VBASE012.VDF : 7.11.34.123 2048 Bytes 29.06.2012 16:04:37
VBASE013.VDF : 7.11.34.124 2048 Bytes 29.06.2012 16:04:37
VBASE014.VDF : 7.11.38.18 2554880 Bytes 30.07.2012 13:30:36
VBASE015.VDF : 7.11.38.70 556032 Bytes 31.07.2012 13:30:36
VBASE016.VDF : 7.11.38.143 171008 Bytes 02.08.2012 13:30:36
VBASE017.VDF : 7.11.38.221 178176 Bytes 06.08.2012 13:30:36
VBASE018.VDF : 7.11.39.37 168448 Bytes 08.08.2012 13:30:37
VBASE019.VDF : 7.11.39.89 131072 Bytes 09.08.2012 13:30:37
VBASE020.VDF : 7.11.39.145 142336 Bytes 11.08.2012 13:30:37
VBASE021.VDF : 7.11.39.207 165888 Bytes 14.08.2012 13:30:37
VBASE022.VDF : 7.11.40.9 156160 Bytes 16.08.2012 13:30:38
VBASE023.VDF : 7.11.40.49 133120 Bytes 17.08.2012 13:30:38
VBASE024.VDF : 7.11.40.95 156160 Bytes 20.08.2012 13:30:38
VBASE025.VDF : 7.11.40.155 181760 Bytes 22.08.2012 13:30:17
VBASE026.VDF : 7.11.40.205 203264 Bytes 23.08.2012 13:18:06
VBASE027.VDF : 7.11.40.206 2048 Bytes 23.08.2012 13:18:06
VBASE028.VDF : 7.11.40.207 2048 Bytes 23.08.2012 13:18:06
VBASE029.VDF : 7.11.40.208 2048 Bytes 23.08.2012 13:18:06
VBASE030.VDF : 7.11.40.209 2048 Bytes 23.08.2012 13:18:06
VBASE031.VDF : 7.11.40.250 96256 Bytes 25.08.2012 07:48:33
Engineversion : 8.2.10.146
AEVDF.DLL : 8.1.2.10 102772 Bytes 21.08.2012 13:30:43
AESCRIPT.DLL : 8.1.4.46 455034 Bytes 24.08.2012 13:19:07
AESCN.DLL : 8.1.8.2 131444 Bytes 16.02.2012 16:11:36
AESBX.DLL : 8.2.5.12 606578 Bytes 18.07.2012 16:04:20
AERDL.DLL : 8.1.9.15 639348 Bytes 20.01.2012 23:21:32
AEPACK.DLL : 8.3.0.32 811382 Bytes 24.08.2012 13:19:05
AEOFFICE.DLL : 8.1.2.42 201083 Bytes 21.08.2012 13:30:42
AEHEUR.DLL : 8.1.4.92 5177718 Bytes 24.08.2012 13:18:51
AEHELP.DLL : 8.1.23.2 258422 Bytes 18.07.2012 16:04:17
AEGEN.DLL : 8.1.5.36 434549 Bytes 24.08.2012 13:18:09
AEEXP.DLL : 8.1.0.80 86389 Bytes 24.08.2012 13:19:08
AEEMU.DLL : 8.1.3.2 393587 Bytes 21.08.2012 13:30:39
AECORE.DLL : 8.1.27.4 201078 Bytes 21.08.2012 13:30:39
AEBB.DLL : 8.1.1.0 53618 Bytes 20.01.2012 23:21:28
AVWINLL.DLL : 12.3.0.15 27344 Bytes 18.07.2012 16:04:25
AVPREF.DLL : 12.3.0.15 51920 Bytes 18.07.2012 16:04:23
AVREP.DLL : 12.3.0.15 179208 Bytes 18.07.2012 16:04:23
AVARKT.DLL : 12.3.0.15 211408 Bytes 18.07.2012 16:04:21
AVEVTLOG.DLL : 12.3.0.15 169168 Bytes 18.07.2012 16:04:22
SQLITE3.DLL : 3.7.0.1 398288 Bytes 18.07.2012 16:04:34
AVSMTP.DLL : 12.3.0.32 63480 Bytes 18.07.2012 16:04:24
NETNT.DLL : 12.3.0.15 17104 Bytes 18.07.2012 16:04:31
RCIMAGE.DLL : 12.3.0.31 4444408 Bytes 18.07.2012 16:04:41
RCTEXT.DLL : 12.3.0.31 100088 Bytes 18.07.2012 16:04:41

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: ShlExt
Konfigurationsdatei...................: C:\DOKUME~1\Busch\LOKALE~1\Temp\2eb78245.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: aus
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Intelligente Dateiauswahl
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Sonntag, 26. August 2012 19:11

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\Dokumente und Einstellungen\Busch\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\0\1f685dc0-7a848d43
[0] Archivtyp: ZIP
--> h4dAa/h4dAe.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/2012-1723.EH.2
--> h4dAa/h4dAa.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/2012-0507.CN.2
--> h4dAa/h4dAc.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Karam.V.3
--> h4dAa/h4dAd.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Karam.W.2
--> h4dAa/h4dAb.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/2008-5353.AJ.2

Beginne mit der Desinfektion:
C:\Dokumente und Einstellungen\Busch\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\0\1f685dc0-7a848d43
[FUND] Enthält Erkennungsmuster des Exploits EXP/2008-5353.AJ.2
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5455f9f9.qua' verschoben!


Ende des Suchlaufs: Sonntag, 26. August 2012 19:29
Benötigte Zeit: 16:31 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

3360 Verzeichnisse wurden überprüft
101024 Dateien wurden geprüft
5 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
101019 Dateien ohne Befall
762 Archive wurden durchsucht
0 Warnungen
1 Hinweise
Malwarebytes:
Ich habe einmal einen Fullscan gemacht aber vergessen die Funde zu entfernen. Danach habe ich einen Quickscan gemacht und die Funde enfternt. Hier der Log:
Zitat:
Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org




Datenbank Version: v2012.08.26.04




Windows XP Service Pack 3 x86 NTFS
Internet Explorer 6.0.2900.5512
Busch :: PC-KELLER [Administrator]




26.08.2012 20:36:06
mbam-log-2012-08-26 (20-36-06).txt




Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 192815
Laufzeit: 6 Minute(n), 6 Sekunde(n)




Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)




Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)




Infizierte Registrierungsschlüssel: 7
HKCR\CLSID\{C0F1636E-13A8-4C84-BB11-774BE45E1F83} (Trojan.Banker) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\linkd.AIEbho.1 (Trojan.Banker) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\linkd.AIEbho (Trojan.Banker) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C0F1636E-13A8-4C84-BB11-774BE45E1F83} (Trojan.Banker) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{C0F1636E-13A8-4C84-BB11-774BE45E1F83} (Trojan.Banker) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\prh (Trojan.Banker) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\tst (Trojan.Banker) -> Erfolgreich gelöscht und in Quarantäne gestellt.




Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)




Infizierte Dateiobjekte der Registrierung: 6
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Userinit (Trojan.Downloader) -> Bösartig: (C:\WINDOWS\system32\appConf32.exe) Gut: () -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowHelp (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Userinit (Hijack.UserInit) -> Bösartig: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\appConf32.exe,) Gut: (userinit.exe) -> Erfolgreich ersetzt und in Quarantäne gestellt.




Infizierte Verzeichnisse: 1
C:\WINDOWS\system32\xmldm (Stolen.Data) -> Erfolgreich gelöscht und in Quarantäne gestellt.




Infizierte Dateien: 3
C:\WINDOWS\system32\appConf32.exe (Trojan.Downloader) -> Löschen bei Neustart.
C:\WINDOWS\system32\AcroIEHelpe200.dll (Trojan.Banker) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\system32\AcroIEHelpe.txt (Malware.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt.




(Ende)
Hier von OTL

Zitat:
Wird nachgetragen
Ich hoffe, dass ich die logs heute noch hinbekomme ,... ansonsten lade ich sie morgen hoch

MfG und Danke schonmal

Olli

Geändert von bierbuster (26.08.2012 um 19:45 Uhr)

Alt 26.08.2012, 20:15   #2
bierbuster
 
Virenbefall: Exploits und "Java-Virus" inkl Logs - Standard

Virenbefall: Exploits und "Java-Virus" inkl Logs



Hier die beiden OTL-Logs. Ich kann (leider) nur alle 60 Minuten meinen Beitrag editieren.
Angehängte Dateien
Dateityp: txt Extras.Txt (27,8 KB, 177x aufgerufen)
Dateityp: txt OTL.Txt (25,4 KB, 159x aufgerufen)
__________________


Alt 27.08.2012, 04:21   #3
t'john
/// Helfer-Team
 
Virenbefall: Exploits und "Java-Virus" inkl Logs - Standard

Virenbefall: Exploits und "Java-Virus" inkl Logs





Code:
ATTFilter
Trojan.Banker
appConf32.exe (Trojan.Downloader)
         
Schlechte Nachrichten!

Du hast mehr als eine schwere Infektion auf Deinem Rechner. http://www.trojaner-board.de/56634-rootkits.html
Er ist kompromittiert und ist nicht mehr vertrauenswuerdig. Du solletest von einem sauberen System aus alle deine Passwoerter aendern.
Ich empfehle dir dringendst den PC vom Netz zu trennen und neu aufzusetzen.


Anleitungen zum Neuaufsetzen (bebildert) > Windows 7 neu aufsetzen > Vista > XP

1. Datenrettung:





2. Formatieren, Windows neu instalieren:





3. PC absichern: http://www.trojaner-board.de/96344-a...-rechners.html
ich werde außerdem noch weitere punkte dazu posten.
4. alle Passwörter ändern!
5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen.
__________________
__________________

Alt 28.08.2012, 10:51   #4
bierbuster
 
Virenbefall: Exploits und "Java-Virus" inkl Logs - Standard

Virenbefall: Exploits und "Java-Virus" inkl Logs



Hallo,

Okay Passwörter brauch ich keine ändern... das System läuft erst seit ein paar tagen und ist nur für meinen kleinen Bruder gedacht... spieleaffe und so.

Neu machen ist ja kein Ding... aber wo dran hast du erkannt dass es ein rootkit ist?

Mfg und danke
Olli

Alt 28.08.2012, 19:42   #5
t'john
/// Helfer-Team
 
Virenbefall: Exploits und "Java-Virus" inkl Logs - Standard

Virenbefall: Exploits und "Java-Virus" inkl Logs



Lektuere:

Encyclopedia entry: PWS:Win32/Banker.O - Learn more about malware - Microsoft Malware Protection Center

__________________
Mfg, t'john
Das TB unterstützen

Antwort

Themen zu Virenbefall: Exploits und "Java-Virus" inkl Logs
.dll, avira antivir, bytes, einstellungen, fund, hijack.userinit, java, log, malware.trace, microsoft, modus, namen, programm, pum.disabled.securitycenter, pum.hijack.startmenu, service, service pack 3, sonntag, stolen.data, trojan.banker, trojan.downloader, userinit.exe, windows, xmldm



Ähnliche Themen: Virenbefall: Exploits und "Java-Virus" inkl Logs


  1. Diverse Malware ("CoolSaleCoupon", "ddownlloaditkeep", "omiga-plus", "SaveSense", "SaleItCoupon"); lahmer PC & viel Werbung!
    Plagegeister aller Art und deren Bekämpfung - 11.01.2015 (16)
  2. Windows 8: Nach 'Java-Update', Explorer mit "Websearcher.com"-Virus befallen
    Log-Analyse und Auswertung - 04.08.2014 (16)
  3. Mozilla Firefox öffnet neue Tabs, die mit "123srv" beginnen inkl. hyperlinks auf Internetseiten
    Log-Analyse und Auswertung - 09.04.2014 (3)
  4. "monstermarketplace.com" Infektion und ihre Folgen; "Anti-Virus-Blocker"," unsichtbare Toolbars" + "Browser-Hijacker" von selbst installiert
    Log-Analyse und Auswertung - 16.11.2013 (21)
  5. Sicherheitscenter deaktiviert und Virus "ADWARE/InstallCo.HA" "ADWARE/bProtect.D" "TR/Mevade.A.95" gefunden
    Log-Analyse und Auswertung - 10.09.2013 (10)
  6. Trojaner, Java Viren und Exploits - in Form von z.B. Rogue.KD, Kalika.E, Agent.MT verschiedene Exploits :(
    Plagegeister aller Art und deren Bekämpfung - 03.01.2013 (9)
  7. Befall mit Exploits Java.Expkit.B, C und E und Virus JAVA/Blacole.GD , vermutlich durch searchnu Toolbar
    Log-Analyse und Auswertung - 22.12.2012 (26)
  8. GVU Trojaner inkl. "Wasserbild"
    Plagegeister aller Art und deren Bekämpfung - 21.07.2012 (3)
  9. Java-Virus JAVA/Agent.LB und Exploits EXP/CVE-2008-5353.AG Windows 7
    Plagegeister aller Art und deren Bekämpfung - 03.01.2012 (18)
  10. viren "Trojan:Win32/Bumat!rts" und "Exploit Java/CVE-2010-0840.ew" auf Laptop
    Plagegeister aller Art und deren Bekämpfung - 05.10.2011 (8)
  11. "java virus / exploit virus" verschwindet nicht ganz
    Log-Analyse und Auswertung - 31.07.2011 (1)
  12. Java-Virus JAVA/Agent.BH und Exploits EXP/Pidief.3582
    Log-Analyse und Auswertung - 27.01.2011 (1)
  13. Trojanerangriff auf Comdirect-Konto und Sperrung, Java-Virus, "Christian..."??
    Plagegeister aller Art und deren Bekämpfung - 28.10.2010 (10)
  14. Antivir findet Trojaner: "TR/Crypt.ZPACK.Gen (trojan)" - Was nun? (inkl. Hjackthis-File)
    Plagegeister aller Art und deren Bekämpfung - 17.06.2010 (1)
  15. "Adware.Virtumonde"/"Downloader.MisleadApp"/"TR/VB.agt.4"/"NewDotNet.A.1350"/"Fakerec
    Plagegeister aller Art und deren Bekämpfung - 22.08.2008 (6)
  16. "Enthält Signatur des Exploits EXP/Agent.B"
    Plagegeister aller Art und deren Bekämpfung - 01.04.2007 (5)
  17. Bitte um Hilfe - "System Alert Popup" - HJT-Log inkl.
    Log-Analyse und Auswertung - 04.02.2007 (1)

Zum Thema Virenbefall: Exploits und "Java-Virus" inkl Logs - Hallo, ich habe einen "alten" PC im Keller stehen und jetzt meldet AntiVir immer ein paar Viren ... hier mal der AntiVir Log Zitat: Avira Free Antivirus Erstellungsdatum der Reportdatei: - Virenbefall: Exploits und "Java-Virus" inkl Logs...
Archiv
Du betrachtest: Virenbefall: Exploits und "Java-Virus" inkl Logs auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.