Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
GVU Trojaner 2.12, Siredef, etc. eingefangen

GVU Trojaner 2.12, Siredef, etc. eingefangen


Plagegeister aller Art und deren Bekämpfung: GVU Trojaner 2.12, Siredef, etc. eingefangen

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

 
Vorheriger Beitrag Vorheriger Beitrag   Nächster Beitrag Nächster Beitrag
Alt 08.05.2013, 06:49   #1
desl
 
GVU Trojaner 2.12, Siredef, etc. eingefangen - Standard

GVU Trojaner 2.12, Siredef, etc. eingefangen


Hallo Helfer-Team,

offenbar bin ich beim Schutz meines Systems sehr nachlässig vorgegangen, was sich letzte Woche bei mir gerächt hat. Ich wurde mit dem Sperrbildschirm einer Ransomware begrüßt ... wenn ich mich recht erinnere war es der "GVU Trojaner 2.12" (die Erinnerung kommt jenem Screenshot in der BKA-Trojaner-Galerie auf botfrei.de am nächsten).

Ich habe ein paar Schritte unternommen in der Hoffnung, die Infektion zumindest teilweise bekämpfen zu können ... allerdings hält sich der Erfolg durchaus in Grenzen, weswegen ich auf fachkundige Hilfe hier hoffe.


1. Start im abgesicherten Modus, Systemwiederherstellung durchgeführt. Ich kann wieder auf den Desktop zugreifen. Aber ich verzichte vorerst darauf.

2. Laptop mit Kaspersky Rescue Disc gestartet. WindowsUnlocker laufen lassen. Log:

Code:
ATTFilter
Kaspersky Lab WindowsUnlocker, 2013
version 1.2.2 Feb 27 2013 09:42:26

Bearbeitet Volume "/discs/C:"

Registrierung "/discs/C:/windows/system32/config/system" wurde erfolgreich geöffnet
"AlternateShell" - OK
"AlternateShell" - OK

Registrierung "/discs/C:/windows/system32/config/software" wurde erfolgreich geöffnet
Windows wurde erkannt: Windows 7 Professional  ( 7600.win7_gdr.130318-1532 ) C:\windows
Bearbeitet "Winlogon"
"Shell" - OK
"Userinit" - verdächtige Veränderung: C:\Windows\system32\userinit.exe,c:\Program Files (x86)\Hewlett-Packard\HP ProtectTools Security Manager\Bin\DPAgent.exe,
Userinit - wurde wiederhergestellt nach C:\windows\system32\userinit.exe,
Bearbeitet WOW64 "Winlogon"
"Shell" - OK
"Userinit" - OK
Bearbeitet "Windows"
Bearbeitet WOW64 "Windows"
Bearbeitet "Image File Execution Options"
Bearbeitet "Run"
Bearbeitet WOW64 "Run"
Bearbeitet Volume "/discs/Webbrowser"
Bearbeitet Volume "/discs/E:"
Bearbeitet Volume "/discs/Kaspersky Rescue Disk"
Bearbeitet Volume "/discs/sda1"
Bearbeitet Volume "/discs/Dateimanager"
Bearbeitet Volume "/discs/Kaspersky Registry Editor"
Bearbeitet Volume "/discs/F:"

Registrierung "/discs/C:/Windows/ServiceProfiles/LocalService/NTUSER.DAT" wurde erfolgreich geöffnet
Bearbeitet "Winlogon"
Bearbeitet "Windows"
Bearbeitet "Run"

Registrierung "/discs/C:/Windows/ServiceProfiles/NetworkService/NTUSER.DAT" wurde erfolgreich geöffnet
Bearbeitet "Winlogon"
Bearbeitet "Windows"
Bearbeitet "Run"

Registrierung "/discs/C:/Users/Jörg/NTUSER.DAT" wurde erfolgreich geöffnet
Bearbeitet "Winlogon"
Bearbeitet "Windows"
Bearbeitet "Run"
Bearbeitet /dev/sda
/dev/sda -> /var/kl/WUnlocker.1.2.2_04.05.2013_10.17.30_quarantine/krd0000.dta
Bearbeitet /dev/sda1
/dev/sda1 -> /var/kl/WUnlocker.1.2.2_04.05.2013_10.17.30_quarantine/krd0001.dta
Bearbeitet /dev/sda2
/dev/sda2 -> /var/kl/WUnlocker.1.2.2_04.05.2013_10.17.30_quarantine/krd0002.dta
Bearbeitet /dev/sda3
/dev/sda3 -> /var/kl/WUnlocker.1.2.2_04.05.2013_10.17.30_quarantine/krd0003.dta
Bearbeitet /dev/sda4
/dev/sda4 -> /var/kl/WUnlocker.1.2.2_04.05.2013_10.17.30_quarantine/krd0004.dta
Bearbeitet /dev/dm-0
/dev/dm-0 -> /var/kl/WUnlocker.1.2.2_04.05.2013_10.17.30_quarantine/krd0005.dta

3. Die Rescue Disc nach Viren/Trojaner/Malware suchen lassen. Log:

Code:
ATTFilter
Untersuchung von Objekten: wurde abgeschlossen vor weniger als einer Minute  (Ereignis: 178, Objekte: 2840819, Zeit: 15:23:20)	
05.05.13 01:42	Aufgabe wurde abgeschlossen			
05.05.13 01:42	Gelöscht: HEUR:Exploit.Java.CVE-2012-1723.gen	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/9/6eadf189-14375f33		
05.05.13 01:42	Gefunden: HEUR:Exploit.Java.CVE-2012-1723.gen	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/9/6eadf189-14375f33		
05.05.13 01:42	Gefunden: HEUR:Exploit.Java.CVE-2012-1723.gen	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/9/6eadf189-14375f33		
05.05.13 01:42	Gelöscht: HEUR:Exploit.Java.CVE-2012-1723.gen	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/61/5529023d-66787d3d		
05.05.13 01:42	Gefunden: HEUR:Exploit.Java.CVE-2012-1723.gen	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/61/5529023d-66787d3d		
05.05.13 01:42	Gelöscht: HEUR:Exploit.Java.CVE-2012-1723.gen	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/61/3144d27d-6ce7b2fd		
05.05.13 01:42	Gefunden: HEUR:Exploit.Java.CVE-2012-1723.gen	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/61/3144d27d-6ce7b2fd		
05.05.13 01:41	Gefunden: HEUR:Exploit.Java.CVE-2012-1723.gen	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/61/3144d27d-6ce7b2fd		
05.05.13 01:41	Gelöscht: HEUR:Exploit.Java.CVE-2012-1723.gen	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/59/491bbfb-640093ee		
05.05.13 01:41	Gefunden: HEUR:Exploit.Java.CVE-2012-1723.gen	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/59/491bbfb-640093ee		
05.05.13 01:41	Gefunden: Exploit.Java.CVE-2012-1723.is	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/59/491bbfb-640093ee/Class2.class		
05.05.13 01:41	Gelöscht: HEUR:Exploit.Java.CVE-2012-1723.gen	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/52/4373f8f4-2fbc77e0		
05.05.13 01:41	Gefunden: HEUR:Exploit.Java.CVE-2012-1723.gen	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/52/4373f8f4-2fbc77e0		
05.05.13 01:41	Gelöscht: HEUR:Exploit.Java.CVE-2012-1723.gen	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/38/711e1b66-2ee986be		
05.05.13 01:41	Gefunden: HEUR:Exploit.Java.CVE-2012-1723.gen	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/38/711e1b66-2ee986be		
05.05.13 01:41	Gelöscht: HEUR:Exploit.Java.CVE-2012-1723.gen	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/37/2345d965-40ec2b5f		
05.05.13 01:41	Gefunden: HEUR:Exploit.Java.CVE-2012-1723.gen	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/37/2345d965-40ec2b5f		
05.05.13 01:41	Gelöscht: HEUR:Exploit.Java.CVE-2012-1723.gen	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/28/6036dfdc-156e9d74		
05.05.13 01:41	Gefunden: HEUR:Exploit.Java.CVE-2012-1723.gen	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/28/6036dfdc-156e9d74		
05.05.13 01:41	Gelöscht: HEUR:Exploit.Java.CVE-2012-1723.gen	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/22/5a8b0316-348c262c		
05.05.13 01:40	Gefunden: HEUR:Exploit.Java.CVE-2012-1723.gen	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/22/5a8b0316-348c262c		
05.05.13 01:40	Gelöscht: HEUR:Exploit.Java.CVE-2012-1723.gen	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/18/60c2a012-6dba0c0c		
05.05.13 01:40	Gefunden: HEUR:Exploit.Java.CVE-2012-1723.gen	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/18/60c2a012-6dba0c0c		
05.05.13 01:40	Gelöscht: HEUR:Exploit.Java.CVE-2012-1723.gen	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/18/5d2c0a52-31d1cc39		
05.05.13 01:39	Gefunden: HEUR:Exploit.Java.CVE-2012-1723.gen	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/18/5d2c0a52-31d1cc39		
05.05.13 01:39	Gelöscht: HEUR:Exploit.Java.CVE-2012-1723.gen	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/11/3e94648b-70cb1d50		
05.05.13 01:39	Gefunden: HEUR:Exploit.Java.CVE-2012-1723.gen	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/11/3e94648b-70cb1d50		
05.05.13 01:39	Gelöscht: HEUR:Exploit.Java.CVE-2012-1723.gen	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/0/e4915c0-748d45b0		
05.05.13 01:39	Gefunden: HEUR:Exploit.Java.CVE-2012-1723.gen	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/0/e4915c0-748d45b0		
05.05.13 01:39	Gelöscht: HEUR:Exploit.Java.CVE-2012-0507.gen	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/Local/Temp/jar_cache2347408806416956498.tmp		
05.05.13 01:39	Gefunden: HEUR:Exploit.Java.CVE-2012-0507.gen	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/Local/Temp/jar_cache2347408806416956498.tmp		
05.05.13 01:39	Gelöscht: HEUR:Exploit.Java.CVE-2012-1723.gen	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/Local/Temp/jar_cache2141793567052607985.tmp		
05.05.13 01:39	Gefunden: HEUR:Exploit.Java.CVE-2012-1723.gen	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/Local/Temp/jar_cache2141793567052607985.tmp		
05.05.13 01:39	Gefunden: HEUR:Exploit.Java.CVE-2012-1723.gen	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/Local/Temp/jar_cache2141793567052607985.tmp		
05.05.13 01:39	Gefunden: Exploit.Java.CVE-2012-1723.jr	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/Local/Temp/jar_cache2141793567052607985.tmp/vcs.class		
05.05.13 01:39	Gefunden: Exploit.Java.CVE-2012-1723.hn	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/Local/Temp/jar_cache2141793567052607985.tmp/chcyih.class		
05.05.13 01:39	Gelöscht: HEUR:Exploit.Java.CVE-2012-1723.gen	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/Local/Temp/jar_cache1536752464902496919.tmp		
05.05.13 01:39	Gefunden: HEUR:Exploit.Java.CVE-2012-1723.gen	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/Local/Temp/jar_cache1536752464902496919.tmp		
05.05.13 01:39	Gefunden: Exploit.Java.CVE-2012-1723.cm	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/Local/Temp/jar_cache1536752464902496919.tmp/l_r1a/l_r1a.class		
05.05.13 01:38	Gefunden: Exploit.Java.CVE-2012-1723.cp	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/Local/Temp/jar_cache1536752464902496919.tmp/l_r1a/l_r1c.class		
05.05.13 01:38	Gelöscht: Trojan-Ransom.Win32.Foreign.bxjj	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/ProgramData/qeq8r.dat		
05.05.13 01:37	Gefunden: Trojan-Ransom.Win32.Foreign.bxjj	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/ProgramData/qeq8r.dat		
05.05.13 01:37	Gelöscht: Trojan-Ransom.Win32.Foreign.bxjj	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/ProgramData/llgr.dat		
04.05.13 13:17	Gefunden: Trojan-Ransom.Win32.Foreign.bxjj	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/ProgramData/llgr.dat		
04.05.13 12:15	Nicht desinfizierte Objekte: HEUR:Exploit.Java.CVE-2012-0507.gen	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/Local/Temp/jar_cache2347408806416956498.tmp	Zurückgestellt	
04.05.13 12:15	Gefunden: HEUR:Exploit.Java.CVE-2012-0507.gen	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/Local/Temp/jar_cache2347408806416956498.tmp		
04.05.13 12:12	Gefunden: HEUR:Exploit.Java.CVE-2012-1723.gen	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/Local/Temp/jar_cache2141793567052607985.tmp		
04.05.13 12:12	Nicht desinfizierte Objekte: HEUR:Exploit.Java.CVE-2012-1723.gen	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/Local/Temp/jar_cache2141793567052607985.tmp	Zurückgestellt	
04.05.13 12:12	Gefunden: HEUR:Exploit.Java.CVE-2012-1723.gen	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/Local/Temp/jar_cache2141793567052607985.tmp		
04.05.13 12:12	Nicht desinfizierte Objekte: Exploit.Java.CVE-2012-1723.jr	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/Local/Temp/jar_cache2141793567052607985.tmp/vcs.class	Zurückgestellt	
04.05.13 12:12	Gefunden: Exploit.Java.CVE-2012-1723.jr	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/Local/Temp/jar_cache2141793567052607985.tmp/vcs.class		
04.05.13 12:12	Nicht desinfizierte Objekte: Exploit.Java.CVE-2012-1723.hn	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/Local/Temp/jar_cache2141793567052607985.tmp/chcyih.class	Zurückgestellt	
04.05.13 12:12	Gefunden: Exploit.Java.CVE-2012-1723.hn	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/Local/Temp/jar_cache2141793567052607985.tmp/chcyih.class		
04.05.13 12:12	Nicht desinfizierte Objekte: HEUR:Exploit.Java.CVE-2012-1723.gen	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/Local/Temp/jar_cache1536752464902496919.tmp	Zurückgestellt	
04.05.13 12:12	Gefunden: HEUR:Exploit.Java.CVE-2012-1723.gen	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/Local/Temp/jar_cache1536752464902496919.tmp		
04.05.13 12:12	Nicht desinfizierte Objekte: Exploit.Java.CVE-2012-1723.cm	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/Local/Temp/jar_cache1536752464902496919.tmp/l_r1a/l_r1a.class	Zurückgestellt	
04.05.13 12:12	Gefunden: Exploit.Java.CVE-2012-1723.cm	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/Local/Temp/jar_cache1536752464902496919.tmp/l_r1a/l_r1a.class		
04.05.13 12:12	Nicht desinfizierte Objekte: Exploit.Java.CVE-2012-1723.cp	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/Local/Temp/jar_cache1536752464902496919.tmp/l_r1a/l_r1c.class	Zurückgestellt	
04.05.13 12:12	Gefunden: Exploit.Java.CVE-2012-1723.cp	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/Local/Temp/jar_cache1536752464902496919.tmp/l_r1a/l_r1c.class		
04.05.13 11:58	Gefunden: HEUR:Exploit.Java.CVE-2012-1723.gen	C:/Users/Jörg/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/9/6eadf189-14375f33		
04.05.13 11:58	Nicht desinfizierte Objekte: HEUR:Exploit.Java.CVE-2012-1723.gen	C:/Users/Jörg/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/9/6eadf189-14375f33	Zurückgestellt	
04.05.13 11:58	Gefunden: HEUR:Exploit.Java.CVE-2012-1723.gen	C:/Users/Jörg/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/9/6eadf189-14375f33		
04.05.13 11:58	Nicht desinfizierte Objekte: HEUR:Exploit.Java.CVE-2012-1723.gen	C:/Users/Jörg/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/61/5529023d-66787d3d	Zurückgestellt	
04.05.13 11:58	Gefunden: HEUR:Exploit.Java.CVE-2012-1723.gen	C:/Users/Jörg/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/61/5529023d-66787d3d		
04.05.13 11:58	Gefunden: HEUR:Exploit.Java.CVE-2012-1723.gen	C:/Users/Jörg/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/61/3144d27d-6ce7b2fd		
04.05.13 11:58	Nicht desinfizierte Objekte: HEUR:Exploit.Java.CVE-2012-1723.gen	C:/Users/Jörg/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/61/3144d27d-6ce7b2fd	Zurückgestellt	
04.05.13 11:58	Gefunden: HEUR:Exploit.Java.CVE-2012-1723.gen	C:/Users/Jörg/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/61/3144d27d-6ce7b2fd		
04.05.13 11:58	Nicht desinfizierte Objekte: HEUR:Exploit.Java.CVE-2012-1723.gen	C:/Users/Jörg/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/59/491bbfb-640093ee	Zurückgestellt	
04.05.13 11:58	Gefunden: HEUR:Exploit.Java.CVE-2012-1723.gen	C:/Users/Jörg/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/59/491bbfb-640093ee		
04.05.13 11:58	Nicht desinfizierte Objekte: Exploit.Java.CVE-2012-1723.is	C:/Users/Jörg/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/59/491bbfb-640093ee/Class2.class	Zurückgestellt	
04.05.13 11:58	Gefunden: Exploit.Java.CVE-2012-1723.is	C:/Users/Jörg/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/59/491bbfb-640093ee/Class2.class		
04.05.13 11:58	Nicht desinfizierte Objekte: HEUR:Exploit.Java.CVE-2012-1723.gen	C:/Users/Jörg/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/52/4373f8f4-2fbc77e0	Zurückgestellt	
04.05.13 11:58	Gefunden: HEUR:Exploit.Java.CVE-2012-1723.gen	C:/Users/Jörg/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/52/4373f8f4-2fbc77e0		
04.05.13 11:58	Nicht desinfizierte Objekte: HEUR:Exploit.Java.CVE-2012-1723.gen	C:/Users/Jörg/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/38/711e1b66-2ee986be	Zurückgestellt	
04.05.13 11:58	Gefunden: HEUR:Exploit.Java.CVE-2012-1723.gen	C:/Users/Jörg/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/38/711e1b66-2ee986be		
04.05.13 11:58	Nicht desinfizierte Objekte: HEUR:Exploit.Java.CVE-2012-1723.gen	C:/Users/Jörg/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/37/2345d965-40ec2b5f	Zurückgestellt	
04.05.13 11:58	Gefunden: HEUR:Exploit.Java.CVE-2012-1723.gen	C:/Users/Jörg/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/37/2345d965-40ec2b5f		
04.05.13 11:58	Nicht desinfizierte Objekte: HEUR:Exploit.Java.CVE-2012-1723.gen	C:/Users/Jörg/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/28/6036dfdc-156e9d74	Zurückgestellt	
04.05.13 11:58	Gefunden: HEUR:Exploit.Java.CVE-2012-1723.gen	C:/Users/Jörg/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/28/6036dfdc-156e9d74		
04.05.13 11:58	Nicht desinfizierte Objekte: HEUR:Exploit.Java.CVE-2012-1723.gen	C:/Users/Jörg/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/22/5a8b0316-348c262c	Zurückgestellt	
04.05.13 11:58	Gefunden: HEUR:Exploit.Java.CVE-2012-1723.gen	C:/Users/Jörg/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/22/5a8b0316-348c262c		
04.05.13 11:58	Nicht desinfizierte Objekte: HEUR:Exploit.Java.CVE-2012-1723.gen	C:/Users/Jörg/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/18/60c2a012-6dba0c0c	Zurückgestellt	
04.05.13 11:58	Gefunden: HEUR:Exploit.Java.CVE-2012-1723.gen	C:/Users/Jörg/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/18/60c2a012-6dba0c0c		
04.05.13 11:58	Nicht desinfizierte Objekte: HEUR:Exploit.Java.CVE-2012-1723.gen	C:/Users/Jörg/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/18/5d2c0a52-31d1cc39	Zurückgestellt	
04.05.13 11:58	Gefunden: HEUR:Exploit.Java.CVE-2012-1723.gen	C:/Users/Jörg/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/18/5d2c0a52-31d1cc39		
04.05.13 11:58	Nicht desinfizierte Objekte: HEUR:Exploit.Java.CVE-2012-1723.gen	C:/Users/Jörg/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/11/3e94648b-70cb1d50	Zurückgestellt	
04.05.13 11:58	Gefunden: HEUR:Exploit.Java.CVE-2012-1723.gen	C:/Users/Jörg/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/11/3e94648b-70cb1d50		
04.05.13 11:58	Nicht desinfizierte Objekte: HEUR:Exploit.Java.CVE-2012-1723.gen	C:/Users/Jörg/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/0/e4915c0-748d45b0	Zurückgestellt	
04.05.13 11:58	Gefunden: HEUR:Exploit.Java.CVE-2012-1723.gen	C:/Users/Jörg/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/0/e4915c0-748d45b0		
04.05.13 11:57	Nicht desinfizierte Objekte: HEUR:Exploit.Java.CVE-2012-0507.gen	C:/Users/Jörg/AppData/Local/Temp/jar_cache2347408806416956498.tmp	Zurückgestellt	
04.05.13 11:57	Gefunden: HEUR:Exploit.Java.CVE-2012-0507.gen	C:/Users/Jörg/AppData/Local/Temp/jar_cache2347408806416956498.tmp		
04.05.13 11:50	Gefunden: HEUR:Exploit.Java.CVE-2012-1723.gen	C:/Users/Jörg/AppData/Local/Temp/jar_cache2141793567052607985.tmp		
04.05.13 11:50	Nicht desinfizierte Objekte: HEUR:Exploit.Java.CVE-2012-1723.gen	C:/Users/Jörg/AppData/Local/Temp/jar_cache2141793567052607985.tmp	Zurückgestellt	
04.05.13 11:50	Gefunden: HEUR:Exploit.Java.CVE-2012-1723.gen	C:/Users/Jörg/AppData/Local/Temp/jar_cache2141793567052607985.tmp		
04.05.13 11:50	Nicht desinfizierte Objekte: Exploit.Java.CVE-2012-1723.jr	C:/Users/Jörg/AppData/Local/Temp/jar_cache2141793567052607985.tmp/vcs.class	Zurückgestellt	
04.05.13 11:50	Gefunden: Exploit.Java.CVE-2012-1723.jr	C:/Users/Jörg/AppData/Local/Temp/jar_cache2141793567052607985.tmp/vcs.class		
04.05.13 11:50	Nicht desinfizierte Objekte: Exploit.Java.CVE-2012-1723.hn	C:/Users/Jörg/AppData/Local/Temp/jar_cache2141793567052607985.tmp/chcyih.class	Zurückgestellt	
04.05.13 11:50	Gefunden: Exploit.Java.CVE-2012-1723.hn	C:/Users/Jörg/AppData/Local/Temp/jar_cache2141793567052607985.tmp/chcyih.class		
04.05.13 11:50	Nicht desinfizierte Objekte: HEUR:Exploit.Java.CVE-2012-1723.gen	C:/Users/Jörg/AppData/Local/Temp/jar_cache1536752464902496919.tmp	Zurückgestellt	
04.05.13 11:50	Gefunden: HEUR:Exploit.Java.CVE-2012-1723.gen	C:/Users/Jörg/AppData/Local/Temp/jar_cache1536752464902496919.tmp		
04.05.13 11:50	Nicht desinfizierte Objekte: Exploit.Java.CVE-2012-1723.cm	C:/Users/Jörg/AppData/Local/Temp/jar_cache1536752464902496919.tmp/l_r1a/l_r1a.class	Zurückgestellt	
04.05.13 11:50	Gefunden: Exploit.Java.CVE-2012-1723.cm	C:/Users/Jörg/AppData/Local/Temp/jar_cache1536752464902496919.tmp/l_r1a/l_r1a.class		
04.05.13 11:50	Nicht desinfizierte Objekte: Exploit.Java.CVE-2012-1723.cp	C:/Users/Jörg/AppData/Local/Temp/jar_cache1536752464902496919.tmp/l_r1a/l_r1c.class	Zurückgestellt	
04.05.13 11:50	Gefunden: Exploit.Java.CVE-2012-1723.cp	C:/Users/Jörg/AppData/Local/Temp/jar_cache1536752464902496919.tmp/l_r1a/l_r1c.class		
04.05.13 11:33	Nicht desinfizierte Objekte: Trojan-Ransom.Win32.Foreign.bxjj	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/ProgramData/qeq8r.dat	Zurückgestellt	
04.05.13 11:33	Gefunden: Trojan-Ransom.Win32.Foreign.bxjj	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/ProgramData/qeq8r.dat		
04.05.13 11:33	Nicht desinfizierte Objekte: Trojan-Ransom.Win32.Foreign.bxjj	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/ProgramData/llgr.dat	Zurückgestellt	
04.05.13 11:33	Gefunden: Trojan-Ransom.Win32.Foreign.bxjj	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/ProgramData/llgr.dat		
04.05.13 11:10	Nicht desinfizierte Objekte: Trojan-Ransom.Win32.Foreign.bxjj	C:/ProgramData/qeq8r.dat	Zurückgestellt	
04.05.13 11:10	Gefunden: Trojan-Ransom.Win32.Foreign.bxjj	C:/ProgramData/qeq8r.dat		
04.05.13 11:10	Nicht desinfizierte Objekte: Trojan-Ransom.Win32.Foreign.bxjj	C:/ProgramData/llgr.dat	Zurückgestellt	
04.05.13 11:10	Gefunden: Trojan-Ransom.Win32.Foreign.bxjj	C:/ProgramData/llgr.dat		
04.05.13 10:51	Nicht desinfizierte Objekte: HEUR:Exploit.Java.CVE-2012-0507.gen	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/Local/Temp/jar_cache2347408806416956498.tmp	Zurückgestellt	
04.05.13 10:51	Gefunden: HEUR:Exploit.Java.CVE-2012-0507.gen	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/Local/Temp/jar_cache2347408806416956498.tmp		
04.05.13 10:46	Gefunden: HEUR:Exploit.Java.CVE-2012-1723.gen	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/Local/Temp/jar_cache2141793567052607985.tmp		
04.05.13 10:46	Nicht desinfizierte Objekte: HEUR:Exploit.Java.CVE-2012-1723.gen	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/Local/Temp/jar_cache2141793567052607985.tmp	Zurückgestellt	
04.05.13 10:46	Gefunden: HEUR:Exploit.Java.CVE-2012-1723.gen	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/Local/Temp/jar_cache2141793567052607985.tmp		
04.05.13 10:46	Nicht desinfizierte Objekte: Exploit.Java.CVE-2012-1723.jr	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/Local/Temp/jar_cache2141793567052607985.tmp/vcs.class	Zurückgestellt	
04.05.13 10:46	Gefunden: Exploit.Java.CVE-2012-1723.jr	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/Local/Temp/jar_cache2141793567052607985.tmp/vcs.class		
04.05.13 10:46	Nicht desinfizierte Objekte: Exploit.Java.CVE-2012-1723.hn	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/Local/Temp/jar_cache2141793567052607985.tmp/chcyih.class	Zurückgestellt	
04.05.13 10:46	Gefunden: Exploit.Java.CVE-2012-1723.hn	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/Local/Temp/jar_cache2141793567052607985.tmp/chcyih.class		
04.05.13 10:46	Nicht desinfizierte Objekte: HEUR:Exploit.Java.CVE-2012-1723.gen	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/Local/Temp/jar_cache1536752464902496919.tmp	Zurückgestellt	
04.05.13 10:46	Gefunden: HEUR:Exploit.Java.CVE-2012-1723.gen	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/Local/Temp/jar_cache1536752464902496919.tmp		
04.05.13 10:46	Nicht desinfizierte Objekte: Exploit.Java.CVE-2012-1723.cm	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/Local/Temp/jar_cache1536752464902496919.tmp/l_r1a/l_r1a.class	Zurückgestellt	
04.05.13 10:46	Gefunden: Exploit.Java.CVE-2012-1723.cm	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/Local/Temp/jar_cache1536752464902496919.tmp/l_r1a/l_r1a.class		
04.05.13 10:46	Nicht desinfizierte Objekte: Exploit.Java.CVE-2012-1723.cp	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/Local/Temp/jar_cache1536752464902496919.tmp/l_r1a/l_r1c.class	Zurückgestellt	
04.05.13 10:46	Gefunden: Exploit.Java.CVE-2012-1723.cp	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/Local/Temp/jar_cache1536752464902496919.tmp/l_r1a/l_r1c.class		
04.05.13 10:34	Gefunden: HEUR:Exploit.Java.CVE-2012-1723.gen	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/9/6eadf189-14375f33		
04.05.13 10:34	Nicht desinfizierte Objekte: HEUR:Exploit.Java.CVE-2012-1723.gen	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/9/6eadf189-14375f33	Zurückgestellt	
04.05.13 10:34	Gefunden: HEUR:Exploit.Java.CVE-2012-1723.gen	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/9/6eadf189-14375f33		
04.05.13 10:34	Nicht desinfizierte Objekte: HEUR:Exploit.Java.CVE-2012-1723.gen	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/61/5529023d-66787d3d	Zurückgestellt	
04.05.13 10:34	Gefunden: HEUR:Exploit.Java.CVE-2012-1723.gen	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/61/5529023d-66787d3d		
04.05.13 10:34	Gefunden: HEUR:Exploit.Java.CVE-2012-1723.gen	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/61/3144d27d-6ce7b2fd		
04.05.13 10:34	Nicht desinfizierte Objekte: HEUR:Exploit.Java.CVE-2012-1723.gen	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/61/3144d27d-6ce7b2fd	Zurückgestellt	
04.05.13 10:34	Gefunden: HEUR:Exploit.Java.CVE-2012-1723.gen	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/61/3144d27d-6ce7b2fd		
04.05.13 10:34	Nicht desinfizierte Objekte: HEUR:Exploit.Java.CVE-2012-1723.gen	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/59/491bbfb-640093ee	Zurückgestellt	
04.05.13 10:34	Gefunden: HEUR:Exploit.Java.CVE-2012-1723.gen	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/59/491bbfb-640093ee		
04.05.13 10:34	Nicht desinfizierte Objekte: Exploit.Java.CVE-2012-1723.is	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/59/491bbfb-640093ee/Class2.class	Zurückgestellt	
04.05.13 10:34	Gefunden: Exploit.Java.CVE-2012-1723.is	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/59/491bbfb-640093ee/Class2.class		
04.05.13 10:34	Nicht desinfizierte Objekte: HEUR:Exploit.Java.CVE-2012-1723.gen	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/52/4373f8f4-2fbc77e0	Zurückgestellt	
04.05.13 10:34	Gefunden: HEUR:Exploit.Java.CVE-2012-1723.gen	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/52/4373f8f4-2fbc77e0		
04.05.13 10:34	Nicht desinfizierte Objekte: HEUR:Exploit.Java.CVE-2012-1723.gen	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/38/711e1b66-2ee986be	Zurückgestellt	
04.05.13 10:34	Gefunden: HEUR:Exploit.Java.CVE-2012-1723.gen	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/38/711e1b66-2ee986be		
04.05.13 10:34	Nicht desinfizierte Objekte: HEUR:Exploit.Java.CVE-2012-1723.gen	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/37/2345d965-40ec2b5f	Zurückgestellt	
04.05.13 10:34	Gefunden: HEUR:Exploit.Java.CVE-2012-1723.gen	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/37/2345d965-40ec2b5f		
04.05.13 10:34	Nicht desinfizierte Objekte: HEUR:Exploit.Java.CVE-2012-1723.gen	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/28/6036dfdc-156e9d74	Zurückgestellt	
04.05.13 10:34	Gefunden: HEUR:Exploit.Java.CVE-2012-1723.gen	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/28/6036dfdc-156e9d74		
04.05.13 10:34	Nicht desinfizierte Objekte: HEUR:Exploit.Java.CVE-2012-1723.gen	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/22/5a8b0316-348c262c	Zurückgestellt	
04.05.13 10:34	Gefunden: HEUR:Exploit.Java.CVE-2012-1723.gen	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/22/5a8b0316-348c262c		
04.05.13 10:34	Nicht desinfizierte Objekte: HEUR:Exploit.Java.CVE-2012-1723.gen	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/18/60c2a012-6dba0c0c	Zurückgestellt	
04.05.13 10:34	Gefunden: HEUR:Exploit.Java.CVE-2012-1723.gen	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/18/60c2a012-6dba0c0c		
04.05.13 10:34	Nicht desinfizierte Objekte: HEUR:Exploit.Java.CVE-2012-1723.gen	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/18/5d2c0a52-31d1cc39	Zurückgestellt	
04.05.13 10:34	Gefunden: HEUR:Exploit.Java.CVE-2012-1723.gen	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/18/5d2c0a52-31d1cc39		
04.05.13 10:34	Nicht desinfizierte Objekte: HEUR:Exploit.Java.CVE-2012-1723.gen	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/11/3e94648b-70cb1d50	Zurückgestellt	
04.05.13 10:34	Gefunden: HEUR:Exploit.Java.CVE-2012-1723.gen	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/11/3e94648b-70cb1d50		
04.05.13 10:34	Nicht desinfizierte Objekte: HEUR:Exploit.Java.CVE-2012-1723.gen	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/0/e4915c0-748d45b0	Zurückgestellt	
04.05.13 10:34	Gefunden: HEUR:Exploit.Java.CVE-2012-1723.gen	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/0/e4915c0-748d45b0		
04.05.13 10:32	Nicht desinfizierte Objekte: HEUR:Exploit.Java.CVE-2012-0507.gen	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/Local/Temp/jar_cache2347408806416956498.tmp	Zurückgestellt	
04.05.13 10:32	Gefunden: HEUR:Exploit.Java.CVE-2012-0507.gen	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/Local/Temp/jar_cache2347408806416956498.tmp		
04.05.13 10:30	Gefunden: HEUR:Exploit.Java.CVE-2012-1723.gen	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/Local/Temp/jar_cache2141793567052607985.tmp		
04.05.13 10:30	Nicht desinfizierte Objekte: HEUR:Exploit.Java.CVE-2012-1723.gen	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/Local/Temp/jar_cache2141793567052607985.tmp	Zurückgestellt	
04.05.13 10:30	Gefunden: HEUR:Exploit.Java.CVE-2012-1723.gen	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/Local/Temp/jar_cache2141793567052607985.tmp		
04.05.13 10:30	Nicht desinfizierte Objekte: Exploit.Java.CVE-2012-1723.jr	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/Local/Temp/jar_cache2141793567052607985.tmp/vcs.class	Zurückgestellt	
04.05.13 10:30	Nicht desinfizierte Objekte: HEUR:Exploit.Java.CVE-2012-1723.gen	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/Local/Temp/jar_cache1536752464902496919.tmp	Zurückgestellt	
04.05.13 10:30	Gefunden: Exploit.Java.CVE-2012-1723.jr	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/Local/Temp/jar_cache2141793567052607985.tmp/vcs.class		
04.05.13 10:30	Gefunden: HEUR:Exploit.Java.CVE-2012-1723.gen	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/Local/Temp/jar_cache1536752464902496919.tmp		
04.05.13 10:30	Nicht desinfizierte Objekte: Exploit.Java.CVE-2012-1723.cm	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/Local/Temp/jar_cache1536752464902496919.tmp/l_r1a/l_r1a.class	Zurückgestellt	
04.05.13 10:30	Nicht desinfizierte Objekte: Exploit.Java.CVE-2012-1723.hn	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/Local/Temp/jar_cache2141793567052607985.tmp/chcyih.class	Zurückgestellt	
04.05.13 10:30	Gefunden: Exploit.Java.CVE-2012-1723.cm	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/Local/Temp/jar_cache1536752464902496919.tmp/l_r1a/l_r1a.class		
04.05.13 10:30	Gefunden: Exploit.Java.CVE-2012-1723.hn	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/Local/Temp/jar_cache2141793567052607985.tmp/chcyih.class		
04.05.13 10:30	Nicht desinfizierte Objekte: Exploit.Java.CVE-2012-1723.cp	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/Local/Temp/jar_cache1536752464902496919.tmp/l_r1a/l_r1c.class	Zurückgestellt	
04.05.13 10:30	Gefunden: Exploit.Java.CVE-2012-1723.cp	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/Users/Jörg/AppData/Local/Temp/jar_cache1536752464902496919.tmp/l_r1a/l_r1c.class		
04.05.13 10:20	Nicht desinfizierte Objekte: Trojan-Ransom.Win32.Foreign.bxjj	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/ProgramData/qeq8r.dat	Zurückgestellt	
04.05.13 10:20	Gefunden: Trojan-Ransom.Win32.Foreign.bxjj	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/ProgramData/qeq8r.dat		
04.05.13 10:20	Nicht desinfizierte Objekte: Trojan-Ransom.Win32.Foreign.bxjj	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/ProgramData/llgr.dat	Zurückgestellt	
04.05.13 10:20	Gefunden: Trojan-Ransom.Win32.Foreign.bxjj	/mnt/MountedDevices/PD-F2D83907-0000000012D00000/ProgramData/llgr.dat		
04.05.13 10:19	Aufgabe wurde gestartet

4. Malwarebytes Anti-Malware installiert und suchen lassen. Log:

Code:
ATTFilter
Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Datenbank Version: v2013.05.05.03

Windows 7 x64 NTFS
Internet Explorer 9.0.8112.16421
Jörg :: ****** [Administrator]

05.05.2013 12:28:56
mbam-log-2013-05-05 (12-28-56).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|Q:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 467662
Laufzeit: 1 Stunde(n), 17 Minute(n), 8 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

5. Malwarebytes Anti-Rootkit heruntergeladen und suchen lassen. Danach Neustart des Systems. Log:

Code:
ATTFilter
Malwarebytes Anti-Rootkit BETA 1.05.0.1001
www.malwarebytes.org

Database version: v2013.05.05.04

Windows 7 x64 NTFS
Internet Explorer 9.0.8112.16421
Jörg :: ****** [administrator]

05.05.2013 15:16:04
mbar-log-2013-05-05 (15-16-04).txt

Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM | P2P
Scan options disabled: 
Objects scanned: 30138
Time elapsed: 17 minute(s), 13 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 1
HKCU\SOFTWARE\CLASSES\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9} (Hijack.Trojan.Siredef.C) -> Delete on reboot.

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 1
HKCU\SOFTWARE\CLASSES\CLSID\{FBEB8A05-BEEE-4442-804E-409D6C4515E9}\INPROCSERVER32| (Trojan.0Access) -> Bad: (C:\$Recycle.Bin\S-1-5-21-2069978452-285043259-3883334984-1002\$1d9b1c173f91ffca9121b47860ae47af\n.) Good: (shell32.dll) -> Delete on reboot.

Folders Detected: 3
c:\$Recycle.Bin\S-1-5-21-2069978452-285043259-3883334984-1002\$1d9b1c173f91ffca9121b47860ae47af\U (Trojan.Siredef.C) -> Delete on reboot.
c:\$Recycle.Bin\S-1-5-21-2069978452-285043259-3883334984-1002\$1d9b1c173f91ffca9121b47860ae47af\L (Trojan.Siredef.C) -> Delete on reboot.
c:\$Recycle.Bin\S-1-5-21-2069978452-285043259-3883334984-1002\$1d9b1c173f91ffca9121b47860ae47af (Trojan.Siredef.C) -> Delete on reboot.

Files Detected: 1
c:\$Recycle.Bin\S-1-5-21-2069978452-285043259-3883334984-1002\$1d9b1c173f91ffca9121b47860ae47af\@ (Trojan.Siredef.C) -> Delete on reboot.

(end)

6. AdwCleaner heruntergeladen und mit "Löschen" arbeiten lassen. Danach Neustart des Systems. Log:

Code:
ATTFilter
# AdwCleaner v2.300 - Datei am 05/05/2013 um 15:52:21 erstellt
# Aktualisiert am 28/04/2013 von Xplode
# Betriebssystem : Windows 7 Professional  (64 bits)
# Benutzer : Jörg - ******
# Bootmodus : Normal
# Ausgeführt unter : C:\Users\Jörg\Downloads\adwcleaner.exe
# Option [Löschen]


**** [Dienste] ****


***** [Dateien / Ordner] *****


***** [Registrierungsdatenbank] *****

Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{2FA28606-DE77-4029-AF96-B231E3B8F827}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{2FA28606-DE77-4029-AF96-B231E3B8F827}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{2FA28606-DE77-4029-AF96-B231E3B8F827}

***** [Internet Browser] *****

-\\ Internet Explorer v9.0.8112.16476

[OK] Die Registrierungsdatenbank ist sauber.

-\\ Mozilla Firefox v20.0.1 (de)

Datei : C:\Users\Jörg\AppData\Roaming\Mozilla\Firefox\Profiles\lrimm10i.default\prefs.js

[OK] Die Datei ist sauber.

*************************

AdwCleaner[S1].txt - [1073 octets] - [05/05/2013 15:52:21]

########## EOF - C:\AdwCleaner[S1].txt - [1133 octets] ##########

7. Avira AntiVir deinstalliert. Avast Free Antivirus heruntergeladen, installiert und suchen lassen.
4 infizierte Dateien in den "Temporary Internet Files" des IE wurden gefunden, welche ich vom Avast habe löschen lassen.
Ein Log-File als gespeicherte Datei o.Ä. finde ich leider nicht. Ebenso keine entsprechende Funktion in Avast.

Avast möchte nun einen Scan beim Systemstart ausführen. Nach dem Start des PCs kann ich mich nicht einloggen. Ich tippe mein Passwort für mein Benutzerkonto ein, aber die Enter-Taste zeigt keine Reaktion ... ebensowenig das Anklicken des "Pfeil"-Symboles.
Nach einem weiteren Neustart des Laptops kann ich mich einloggen. Erhalte aber wie ein anderer User hier früher im Forum die Meldung "Ein kritischer Fehler ist aufgetreten. Windows wird in einer Minute neu gestartet. Speichern Sie jetzt Ihre Daten." (Beispiel: http://www.trojaner-board.de/121719-...-spoofing.html)
Das wirkt nich authentisch, aber dafür so, als hätte Avast was aufgewühlt, was mich nun ärgert.

Ein Starten im abgesicherten Modus ist noch möglich.

Ein "normales" Hochfahren dauert seeeehr lange. Der Win7-Startbildschirm frohlockt fast eine ganze Minute mit "Willkommen".

shutdown /A hilft leider nicht. Der Rechner startet dennoch neu.
Auf msconfig kann ich nicht zugreifen.

Nun ist es soweit, dass ich mir unsicher bin, ob Avast mein System "hasst" (was ich weniger vermute), oder ob irgendein Trojaner mich nun mit Zwangs-Neustarts ärgert (was ich eher vermute).
Mit der Systemwiederherstellung will ich nun auch nicht wirklich hantieren ... am Ende wirds nurnoch noch schlimmer.


8. Malwarebytes Anti-Rootkit nochmal im abgesicherten Modus nochmal suchen gelassen ... ein Fund.
Das Problem mit dem Zwangs-Neustarts behebt dies aber nicht. Der Fund ist im Prinzip auch nicht neu ... er trat schon beim ersten MBAR-Lauf auf.

Log:

Code:
ATTFilter
Malwarebytes Anti-Rootkit BETA 1.05.0.1001
www.malwarebytes.org

Database version: v2013.05.05.04

Windows 7 x64 NTFS (Safe Mode)
Internet Explorer 9.0.8112.16421
Jörg :: ****** [administrator]

05.05.2013 19:52:11
mbar-log-2013-05-05 (19-52-11).txt

Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM | P2P
Scan options disabled: 
Objects scanned: 29903
Time elapsed: 9 minute(s), 45 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 1
HKCU\SOFTWARE\CLASSES\CLSID\{FBEB8A05-BEEE-4442-804E-409D6C4515E9} (Hijack.Trojan.Siredef.C) -> Delete on reboot.

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

(end)
9. Herunterladen und ausführen von aswMBR.exe gemäß http://www.trojaner-board.de/101564-...-rootkits.html
Log:

Code:
ATTFilter
aswMBR version 0.9.9.1771 Copyright(c) 2011 AVAST Software
Run date: 2013-05-05 20:33:36
-----------------------------
20:33:36.757    OS Version: Windows x64 6.1.7600 
20:33:36.757    Number of processors: 4 586 0x2A07
20:33:36.757    ComputerName: ****** UserName: Jörg
20:33:37.178    Initialize success
20:33:37.241    AVAST engine defs: 13050500
20:33:40.096    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1
20:33:40.096    Disk 0 Vendor: TOSHIBA_ MH00 Size: 305245MB BusType: 3
20:33:40.220    Disk 0 MBR read successfully
20:33:40.220    Disk 0 MBR scan
20:33:40.220    Disk 0 Windows 7 default MBR code
20:33:40.220    Disk 0 Partition 1 80 (A) 07    HPFS/NTFS NTFS          300 MB offset 2048
20:33:40.220    Disk 0 Partition 2 00     07    HPFS/NTFS NTFS       281595 MB offset 616448
20:33:40.252    Disk 0 Partition 3 00     07    HPFS/NTFS NTFS        18226 MB offset 577323008
20:33:40.267    Disk 0 Partition 4 00     0C    FAT32 LBA MSDOS5.0     5115 MB offset 614649856
20:33:40.314    Disk 0 scanning C:\windows\system32\drivers
20:33:48.379    Service scanning
20:34:07.598    Modules scanning
20:34:07.598    Disk 0 trace - called modules:
20:34:07.630    ntoskrnl.exe CLASSPNP.SYS disk.sys hpdskflt.sys ACPI.sys iaStor.sys hal.dll 
20:34:07.630    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa800511a060]
20:34:07.645    3 CLASSPNP.SYS[fffff88001a8943f] -> nt!IofCallDriver -> [0xfffffa8004f8db10]
20:34:07.645    5 hpdskflt.sys[fffff8800140c361] -> nt!IofCallDriver -> [0xfffffa8004e9a880]
20:34:07.645    7 ACPI.sys[fffff88000f3a781] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-1[0xfffffa8004e9e050]
20:34:07.645    Scan finished successfully
21:57:34.665    Disk 0 MBR has been saved successfully to "D:\MBR.dat"
21:57:34.837    The log file has been saved successfully to "D:\aswMBR.txt"

10. Da keine emulierten Laufwerke vorhanden sind, lasse ich "Defogger" mal weg.
"OTL" geladen und laufen lassen.

Die beiden Log-Files befinden sich im Anhang dieses Beitrages, weil sie laut Forensoftware diesem zuviele Zeichen verpasst haben.

Ich bitte dies zu entschuldigen.


11. Nun kommt GMER. Log:

Code:
ATTFilter
GMER 2.1.19163 - hxxp://www.gmer.net
Rootkit scan 2013-05-08 07:06:39
Windows 6.1.7600  x64 \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1 TOSHIBA_ rev.MH00 298,09GB
Running: gem.exe; Driver: C:\Users\JRG~1\AppData\Local\Temp\pwldapog.sys


---- Threads - GMER 2.1 ----

Thread  C:\windows\System32\svchost.exe [800:432]                                                        000007fefc9b9688

---- Registry - GMER 2.1 ----

Reg     HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\74de2b4caa39                      
Reg     HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\74de2b4caa39@0013a970e0e8         0x50 0x59 0x62 0x8F ...
Reg     HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\74de2b4caa39 (not active ControlSet)  
Reg     HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\74de2b4caa39@0013a970e0e8             0x50 0x59 0x62 0x8F ...

---- EOF - GMER 2.1 ----


So das war es vorerst mit Log-Files.
Ich würde mich über Hinweise zum weiteren Vorgehen freuen. Danke.

 

Themen zu GVU Trojaner 2.12, Siredef, etc. eingefangen
.dll, administrator, antivir, antivirus, avast, classpnp.sys, computer, desktop, explorer, fehler, firefox, hal.dll, hijack.trojan.siredef.c, internet browser, kaspersky, log file, log-file, neustart, problem, recycle.bin, registrierungsdatenbank, registry, schutz, security, starten, svchost.exe, trojan-ransom.win32.foreign.bxjj, trojan.0access, trojan.siredef.c, trojaner


« Polizeitrojaner | GVU Trojaner 2013 unter Windows8 »


Ähnliche Themen: GVU Trojaner 2.12, Siredef, etc. eingefangen


  1. Malwarebytes-Free Scan: Trojan.Siredef.C - Bedrohung entfernen
    Plagegeister aller Art und deren Bekämpfung - 22.09.2015 (10)
  2. Malewarebyts und Siredef.C
    Plagegeister aller Art und deren Bekämpfung - 02.09.2014 (5)
  3. Trojan.Siredef.C / Trojan.0Access / Rootkit.0Access
    Plagegeister aller Art und deren Bekämpfung - 12.05.2014 (9)
  4. Sicherheits-Dienst konnte nicht gestartet werden und Firewall deaktiviert (Trojan.Siredef.C)
    Plagegeister aller Art und deren Bekämpfung - 28.01.2014 (11)
  5. Trojaner eingefangen
    Plagegeister aller Art und deren Bekämpfung - 19.12.2013 (10)
  6. GVU Trojaner eingefangen
    Log-Analyse und Auswertung - 23.07.2013 (25)
  7. GVU Trojaner eingefangen
    Plagegeister aller Art und deren Bekämpfung - 13.07.2013 (7)
  8. GVU Trojaner eingefangen
    Plagegeister aller Art und deren Bekämpfung - 24.05.2013 (25)
  9. Viren eingefangen (JAVA/dldr.lamar.TP), auch Trojaner (Polizei.Trojaner) gefunden
    Log-Analyse und Auswertung - 07.05.2013 (15)
  10. BKA Trojaner 2.11 eingefangen
    Log-Analyse und Auswertung - 11.01.2013 (2)
  11. GUV-trojaner eingefangen
    Log-Analyse und Auswertung - 25.11.2012 (4)
  12. GVU-Trojaner eingefangen
    Plagegeister aller Art und deren Bekämpfung - 12.09.2012 (3)
  13. Bei Downloads 8 Trojaner eingefangen - "Siredef-Downloader-FakeMS-0Access-Ransom FGen
    Plagegeister aller Art und deren Bekämpfung - 03.09.2012 (3)
  14. GVU Trojaner eingefangen-.-
    Log-Analyse und Auswertung - 02.09.2012 (4)
  15. BKA Trojaner eingefangen
    Log-Analyse und Auswertung - 27.04.2011 (1)
  16. Trojaner eingefangen?
    Plagegeister aller Art und deren Bekämpfung - 07.05.2010 (21)
  17. Hab ich nen Trojaner eingefangen??
    Log-Analyse und Auswertung - 27.10.2006 (3)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema GVU Trojaner 2.12, Siredef, etc. eingefangen - Hallo Helfer-Team, offenbar bin ich beim Schutz meines Systems sehr nachlässig vorgegangen, was sich letzte Woche bei mir gerächt hat. Ich wurde mit dem Sperrbildschirm einer Ransomware begrüßt ... wenn - GVU Trojaner 2.12, Siredef, etc. eingefangen...
Archiv
Du betrachtest: GVU Trojaner 2.12, Siredef, etc. eingefangen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132