| |
| |||||||
Log-Analyse und Auswertung: WinXP: pup.optional.opencandy gefundenWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
12.10.2013, 13:21
| #1 |
 |  WinXP: pup.optional.opencandy gefunden Hi, mein Rechner hat seit einiger Zeit Probleme mit einer CPU-Auslastung von 100% verursacht von svchost.exe. Wenn ich den Prozess beende, fängt die das ganze nach kurzer Zeit wieder an. Also habe ich mal einen Check mit Avira Antivir gemacht und 2 infizierte Dateien mit "EXP/CVE-2013-1493.A.Gen" gefunden. Diese habe ich gelöscht und gehofft das das Problem damit erledigt ist. Leider war es das nicht. Noch einen Check mit Malwarebytes AntiMaleware gemacht und diesen Typen "pup.optional.opencandy" gefunden. hier ist das Avira Log-File Code:
ATTFilter
Avira Free Antivirus
Erstellungsdatum der Reportdatei: Donnerstag, 10. Oktober 2013 20:02
Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.
Lizenznehmer : Avira Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Microsoft Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : E-C91F6E37DF864
Versionsinformationen:
BUILD.DAT : 13.0.0.4052 55009 Bytes 29.08.2013 17:56:00
AVSCAN.EXE : 13.6.20.2100 639032 Bytes 03.09.2013 08:33:33
AVSCANRC.DLL : 13.6.20.2174 63032 Bytes 03.09.2013 08:33:33
LUKE.DLL : 13.6.20.2174 65080 Bytes 03.09.2013 08:33:49
AVSCPLR.DLL : 13.6.20.2174 92216 Bytes 03.09.2013 08:33:33
AVREG.DLL : 13.6.20.2174 250424 Bytes 03.09.2013 08:33:32
avlode.dll : 13.6.20.2174 497720 Bytes 03.09.2013 08:33:32
avlode.rdf : 13.0.1.42 26846 Bytes 31.08.2013 13:11:06
VBASE000.VDF : 7.11.70.0 66736640 Bytes 04.04.2013 16:26:34
VBASE001.VDF : 7.11.74.226 2201600 Bytes 30.04.2013 07:11:01
VBASE002.VDF : 7.11.80.60 2751488 Bytes 28.05.2013 16:45:42
VBASE003.VDF : 7.11.85.214 2162688 Bytes 21.06.2013 10:01:34
VBASE004.VDF : 7.11.91.176 3903488 Bytes 23.07.2013 16:55:12
VBASE005.VDF : 7.11.98.186 6822912 Bytes 29.08.2013 13:10:55
VBASE006.VDF : 7.11.103.230 2293248 Bytes 24.09.2013 17:25:42
VBASE007.VDF : 7.11.103.231 2048 Bytes 24.09.2013 17:25:42
VBASE008.VDF : 7.11.103.232 2048 Bytes 24.09.2013 17:25:42
VBASE009.VDF : 7.11.103.233 2048 Bytes 24.09.2013 17:25:42
VBASE010.VDF : 7.11.103.234 2048 Bytes 24.09.2013 17:25:42
VBASE011.VDF : 7.11.103.235 2048 Bytes 24.09.2013 17:25:42
VBASE012.VDF : 7.11.103.236 2048 Bytes 24.09.2013 17:25:42
VBASE013.VDF : 7.11.103.237 2048 Bytes 24.09.2013 17:25:42
VBASE014.VDF : 7.11.104.123 282112 Bytes 26.09.2013 16:26:01
VBASE015.VDF : 7.11.104.237 359424 Bytes 28.09.2013 16:20:06
VBASE016.VDF : 7.11.105.103 195072 Bytes 02.10.2013 11:40:46
VBASE017.VDF : 7.11.105.243 571904 Bytes 07.10.2013 16:49:39
VBASE018.VDF : 7.11.106.91 185856 Bytes 08.10.2013 16:19:27
VBASE019.VDF : 7.11.106.167 183296 Bytes 09.10.2013 16:45:50
VBASE020.VDF : 7.11.106.168 2048 Bytes 09.10.2013 16:45:50
VBASE021.VDF : 7.11.106.169 2048 Bytes 09.10.2013 16:45:50
VBASE022.VDF : 7.11.106.170 2048 Bytes 09.10.2013 16:45:50
VBASE023.VDF : 7.11.106.171 2048 Bytes 09.10.2013 16:45:50
VBASE024.VDF : 7.11.106.172 2048 Bytes 09.10.2013 16:45:50
VBASE025.VDF : 7.11.106.173 2048 Bytes 09.10.2013 16:45:50
VBASE026.VDF : 7.11.106.174 2048 Bytes 09.10.2013 16:45:50
VBASE027.VDF : 7.11.106.175 2048 Bytes 09.10.2013 16:45:50
VBASE028.VDF : 7.11.106.176 2048 Bytes 09.10.2013 16:45:50
VBASE029.VDF : 7.11.106.177 2048 Bytes 09.10.2013 16:45:50
VBASE030.VDF : 7.11.106.178 2048 Bytes 09.10.2013 16:45:50
VBASE031.VDF : 7.11.106.240 173056 Bytes 10.10.2013 15:54:15
Engineversion : 8.2.12.128
AEVDF.DLL : 8.1.3.4 102774 Bytes 13.06.2013 16:47:09
AESCRIPT.DLL : 8.1.4.156 516478 Bytes 10.10.2013 15:54:16
AESCN.DLL : 8.1.10.4 131446 Bytes 27.03.2013 16:49:37
AESBX.DLL : 8.2.16.26 1245560 Bytes 31.08.2013 13:11:05
AERDL.DLL : 8.2.0.128 688504 Bytes 13.06.2013 16:47:08
AEPACK.DLL : 8.3.2.30 749945 Bytes 02.10.2013 18:37:17
AEOFFICE.DLL : 8.1.2.76 205181 Bytes 08.08.2013 16:57:56
AEHEUR.DLL : 8.1.4.676 6201722 Bytes 02.10.2013 18:37:16
AEHELP.DLL : 8.1.27.6 266617 Bytes 31.08.2013 13:11:00
AEGEN.DLL : 8.1.7.14 446839 Bytes 06.09.2013 10:39:30
AEEXP.DLL : 8.4.1.84 344439 Bytes 10.10.2013 15:54:17
AEEMU.DLL : 8.1.3.2 393587 Bytes 11.07.2012 08:38:03
AECORE.DLL : 8.1.32.0 201081 Bytes 31.08.2013 13:11:00
AEBB.DLL : 8.1.1.4 53619 Bytes 10.11.2012 12:13:24
AVWINLL.DLL : 13.6.20.2174 23608 Bytes 03.09.2013 08:33:28
AVPREF.DLL : 13.6.20.2174 48184 Bytes 03.09.2013 08:33:32
AVREP.DLL : 13.6.20.2174 175672 Bytes 03.09.2013 08:33:33
AVARKT.DLL : 13.6.20.2174 258104 Bytes 03.09.2013 08:33:29
AVEVTLOG.DLL : 13.6.20.2174 165432 Bytes 03.09.2013 08:33:30
SQLITE3.DLL : 3.7.0.1 394824 Bytes 06.08.2013 17:14:36
AVSMTP.DLL : 13.6.20.2174 60472 Bytes 03.09.2013 08:33:34
NETNT.DLL : 13.6.20.2174 13368 Bytes 03.09.2013 08:33:49
RCIMAGE.DLL : 13.6.20.2174 4786744 Bytes 03.09.2013 08:33:28
RCTEXT.DLL : 13.6.20.2174 68152 Bytes 03.09.2013 08:33:28
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: j:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: Interaktiv
Sekundäre Aktion......................: Ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: J:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Prüfe alle Dateien....................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert
Beginn des Suchlaufs: Donnerstag, 10. Oktober 2013 20:02
Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'J:\'
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf nach versteckten Objekten wird begonnen.
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'rsmsink.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '90' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '76' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '113' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskmgr.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'wscntfy.exe' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'AVWEBGRD.EXE' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'MDM.EXE' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'WinSplitDrvr32.exe' - '15' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '91' Modul(e) wurden durchsucht
Durchsuche Prozess 'apnmcp.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '81' Modul(e) wurden durchsucht
Durchsuche Prozess 'KiesPDLR.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'Kies.exe' - '86' Modul(e) wurden durchsucht
Durchsuche Prozess 'WinSplit.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'TBNotifier.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'KiesTrayAgent.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'RUNDLL32.EXE' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '101' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '12' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1829' Dateien ).
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'J:\'
J:\Dokumente und Einstellungen\computer\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\27\4c43485b-6c4f740a
[0] Archivtyp: ZIP
--> bb.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2013-1493.A.Gen
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
J:\Dokumente und Einstellungen\computer\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\33\2e5800e1-7e7d0838
[0] Archivtyp: ZIP
--> cb.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2013-1493.A.Gen
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
Beginne mit der Desinfektion:
J:\Dokumente und Einstellungen\computer\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\33\2e5800e1-7e7d0838
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2013-1493.A.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '51f45809.qua' verschoben!
J:\Dokumente und Einstellungen\computer\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\27\4c43485b-6c4f740a
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2013-1493.A.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '496277ac.qua' verschoben!
Ende des Suchlaufs: Donnerstag, 10. Oktober 2013 21:12
Benötigte Zeit: 1:08:42 Stunde(n)
Der Suchlauf wurde vollständig durchgeführt.
15217 Verzeichnisse wurden überprüft
602944 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
2 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
602942 Dateien ohne Befall
2576 Archive wurden durchsucht
2 Warnungen
2 Hinweise
390209 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden
Code:
ATTFilter Malwarebytes Anti-Malware 1.75.0.1300 www.malwarebytes.org Datenbank Version: v2013.10.12.03 Windows XP Service Pack 3 x86 NTFS Internet Explorer 7.0.5730.13 computer :: E-C91F6E37DF864 [Administrator] 12.10.2013 11:28:29 mbam-log-2013-01-12 (13-12-29).txt Art des Suchlaufs: Vollständiger Suchlauf (J:\|) Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 291549 Laufzeit: 1 Stunde(n), 27 Minute(n), 26 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 1 J:\Programme\RealArcade\Installer\bin\OCSetupHlp.dll (PUP.Optional.OpenCandy) -> Keine Aktion durchgeführt. (Ende) Gruß Bali-Mann |
| Themen zu WinXP: pup.optional.opencandy gefunden |
| 100%, administrator, antivir, avira, desktop, dllhost.exe, einstellungen, exp/cve-2013-1493.a.gen, lsass.exe, malwarebytes, mdm.exe, microsoft, modul, programm, programme, prozesse, pup.optional.opencandy, registry, services.exe, warnung, winlogon.exe, wuauclt.exe |
Baum-Darstellung