Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: infekt mit: exploit.wmf + exploit.java.ByteVerify + sploit[1].anr

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 25.03.2006, 20:35   #1
habs
 
infekt mit: exploit.wmf + exploit.java.ByteVerify + sploit[1].anr - Standard

infekt mit: exploit.wmf + exploit.java.ByteVerify + sploit[1].anr



Mein System scheint mit drei Trojanern:
exploit.wmf ; exploit.java.ByteVerify ; sploit[1].anr
infiziert zu sein.

Ich musste aber noch nie einen Virus/Trojaner jemals von einem System entfernen, habe also gar keine Erfahrungen damit.
Ich bitte Euch deshalb, mich zu begleiten und Euer Auge darauf zu halten, was und wie ich es tue.

2 installierte Scanner haben folgendes geliefert:

AVG free edition
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0XARG5EN\count[1].jar:\BlackBox.class,
"Virus identified Java/ByteVerify","Infected, Embedded object"
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0XARG5EN\count[1].jar:\VerifierBug.class,
"Virus identified Java/ByteVerify","Infected, Embedded object"
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0XARG5EN\count[1].jar:\Beyond.class,
"Virus identified Java/ByteVerify","Infected, Embedded object"
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0XARG5EN\count[1].jar,
"Virus identified Java/ByteVerify","Infected, Archive"
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OHYZ89QN\xxx[1].wmf,
"May be infected by unknown virus Exploit.WMF","Infected"

antivir personal edition
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0XARG5EN\count[1].jar
[0] Archivtyp: ZIP
--> BlackBox.class
[FUND] Enthält Signatur des Java-Virus JAVA/BlackBox.AA.2
--> VerifierBug.class
[FUND] Enthält Signatur des Java-Virus JAVA/BlackBox.AA.4
--> Dummy.class
[FUND] Enthält Signatur des Java-Virus JAVA/BlackBox.AA.3
--> Beyond.class
[FUND] Enthält Signatur des Java-Virus JAVA/BlackBox.AA.1
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OHYZ89QN\xxx[1].wmf
[FUND] Enthält Signatur des Exploits EXP/MS06-001.WMF

Bem: der allererste Scan mit AVG hat eine weitere infizierte Datei automatisch (falsche Einstellung) gelöscht:
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\W5U3OLEB\sploit[1].anr


Was ich sonst noch getan habe:
1. Ich habe zuerst die trojaner-bord Seiten durchgeackert.
2. Da mir die obigen Virusbezeichnung unbekannt waren, habe ich nach Informationen und speziellen Entfernungstools gesucht (Google). Die uneinheitlichen Bezeichnungen der Viren in den Archiven hat mich aber vorerst eher behindert. Habe auch keine Spezialtools gefunden.
3. Ich habe mir von anderen Virenbezeichnungen ein Weiterkommen erhofft, und darum weitere virenscanner heruntergeladen und aufdatiert, soweit wie möglich installiert, aber nie einen Sytemneustart gemacht: Ad-aware SE Personal; spybot S&D; avast 4.6.
Das hat aber wenig bis nichts gebracht (ohne Neustart funktioniert das wohl nicht richtig)
4. Habe noch "HijackThis" vorbereitet, aber nicht angewendet.
5. Die System-Restore-Fkt. ist ausgeschaltet.
6. Alle AktivX- Elemente sind deaktiviert.
7. Alle Dateien werden angezeigt. (auch die geschützten Sytemdateien).
Bem: diesen Punkt habe ich erst nach den obigen Scans aktiviert.
8. Die obigen Scans habe ich notiert.


Verständnisfrage:
I. Nicht verstanden habe ich jene Tips, die empfehlen, alle IE-tempfliles und den JAVA-Cache zu löschen! Werden infizierte files durch die Scans dort nicht erfasst?

Fragen zum weiteren Vorgehen:
ich nehme an, dass die Scanner zum jetztigen Zeitpunkt noch nicht alle Viren gefunden haben, dass ich nochmals scannen muss.
Ich würde jetzt folgendes tun:
A. Die bereits gefundenen Viren löschen.
B. Kaltstart im abgesicherten Modus.
C. nochmals scannen, neu gefundene Viren löschen.
D. Kaltstart im abgesicherten Modus.
E. Hijack darüberlassen, zur Diskussion stellen.

vorerst mal soweit.
Ich bitte um Euere Kommentare.
Mach ich zuviel, zuwenig, oder ganz falsch?
Danke.

habs

Alt 26.03.2006, 03:03   #2
BataAlexander
> MalwareDB
 
infekt mit: exploit.wmf + exploit.java.ByteVerify + sploit[1].anr - Standard

infekt mit: exploit.wmf + exploit.java.ByteVerify + sploit[1].anr



Hallo,

wenn Du XP oder 2000 und alle Patches hast, macht Dir der wmf Exploid nichts aus.
Lade Dir Cleanup, erstelle dannach ein eScan Log, nach der in meiner Signatur verlinkten Anleitung. Poste den Inhalt der escan_neu.txt.

Gruß

Schrulli
__________________

__________________

Alt 26.03.2006, 14:56   #3
habs
 
infekt mit: exploit.wmf + exploit.java.ByteVerify + sploit[1].anr - Standard

infekt mit: exploit.wmf + exploit.java.ByteVerify + sploit[1].anr



Hallo Schrulli

Danke für Deine Antwort.
Wie gesagt, ich bin noch ziemlich unsicher in Virenbekämpfung und im Umgang mit den Tools und wie man die beste Wirkung erzielt. Darum meine Nachfagen:

Habe CleanUp runtergeladen u. installiert.
Zitat:
Zitat von Schrulli
Lade Dir Cleanup, erstelle dannach ein eScan Log, ...
dh., CleanUp nicht nur installieren sondern ausführen bevor eScan ausführen??

Habe auch eScan bei MicroWorld runtergeladen.
Zitat:
Zitat von Schrulli
...erstelle dannach ein eScan Log, nach der in meiner Signatur verlinkten Anleitung. ...
und Zitat Anleitung: " Nach dem Download, sollte das Archiv mittels WinRAR entpackt [2] werden. "
und Zitat Anmerkung: "[2] Rechtsklick auf die 'mwav.exe' -> 'Dateien entpacken…' auswählen -> unter Zielverzeichnis 'C:\Bases_X' eingeben -> 'OK'"
die datei scheint bereits entpackt zu sein (10'147KB), also direkt nach 'C:\Bases_X' kopieren?? (Jedenfalls wenn ich die Datei starte, gelange ich zum Licenceagreemnt).

Bitte um Nachsicht. Gruß.
habs
__________________

Alt 26.03.2006, 15:15   #4
BataAlexander
> MalwareDB
 
infekt mit: exploit.wmf + exploit.java.ByteVerify + sploit[1].anr - Standard

infekt mit: exploit.wmf + exploit.java.ByteVerify + sploit[1].anr



Hallo,

erst mittels Cleanup Temp Dateien löschen, dann diese Anleitung ausdrucken, lesen und genau ausführen. Das führt Dich dann nach ca. 2-3 Stunden zu einer eScan_neu.txt.

Gruß

Schrulli
__________________
If every computer is running a diverse ecosystem, crackers will have
no choice but to resort to small-scale, targetted attacks, and the
days of mass-market malware will be over
[...].
Stuart Udall

Alt 26.03.2006, 15:33   #5
habs
 
infekt mit: exploit.wmf + exploit.java.ByteVerify + sploit[1].anr - Standard

infekt mit: exploit.wmf + exploit.java.ByteVerify + sploit[1].anr



Hallo Schrulli,

Der eScan-download ist eine exe.datei; mit rechtsklick habe ich keine möglichkeit zu entpacken; im menu 'datei' auch nicht.

habs


Alt 26.03.2006, 16:24   #6
habs
 
infekt mit: exploit.wmf + exploit.java.ByteVerify + sploit[1].anr - Standard

infekt mit: exploit.wmf + exploit.java.ByteVerify + sploit[1].anr



Nachtrag

CleanUp beschwert sich über laufende Antivirenprogramme.
Die Guard, Shield -oder wie auch immer- ist ausgeschaltet. Das hilft aber nicht.
Ich finde keinen Abstellknopf für die Hauptprogramme. (Antivir Pers.Ed Classic 7.00.; AVG FreeEd. 7.1.).
Muss ich diese im Taskmanager abschiessen??

habs

Alt 26.03.2006, 20:41   #7
BataAlexander
> MalwareDB
 
infekt mit: exploit.wmf + exploit.java.ByteVerify + sploit[1].anr - Standard

infekt mit: exploit.wmf + exploit.java.ByteVerify + sploit[1].anr



Hallo,

rechtsklick auf den Regenschirm, unten Rechts, dann "Antivir Guard aktivieren" abhaken.

Gruß

Schrulli
__________________
If every computer is running a diverse ecosystem, crackers will have
no choice but to resort to small-scale, targetted attacks, and the
days of mass-market malware will be over
[...].
Stuart Udall

Alt 26.03.2006, 23:06   #8
habs
 
infekt mit: exploit.wmf + exploit.java.ByteVerify + sploit[1].anr - Standard

infekt mit: exploit.wmf + exploit.java.ByteVerify + sploit[1].anr



hallo Schrulli

Wie schon vorher gesagt,
ich habe die Guard bei Antivir abgehakt;
und bei AVG ist alles ausgeschaltet was möglich ist (Shield, EmailSanner, ExplorerScanner, Updater). Für VirusVault und Sheduler gibts keine Knöpfe, die sind aktiv.

habs

Alt 26.03.2006, 23:11   #9
BataAlexander
> MalwareDB
 
infekt mit: exploit.wmf + exploit.java.ByteVerify + sploit[1].anr - Standard

infekt mit: exploit.wmf + exploit.java.ByteVerify + sploit[1].anr



Hallo,

ok, ich habe üerlesen, das DU zwei Virenprogramme Antivir und AVG aktiv hast. Warum das, sowas fürt über kurz oder lang immer zu Problemen.
Deinstalliere eines und wenn das Cleanup nicht funktioniert, führe den eScan ohne die vorherige Bereinigung durch.

Gruß

Schrulli
__________________
If every computer is running a diverse ecosystem, crackers will have
no choice but to resort to small-scale, targetted attacks, and the
days of mass-market malware will be over
[...].
Stuart Udall

Alt 26.03.2006, 23:45   #10
habs
 
infekt mit: exploit.wmf + exploit.java.ByteVerify + sploit[1].anr - Standard

infekt mit: exploit.wmf + exploit.java.ByteVerify + sploit[1].anr



Hallo

Habe jetzt Antivir deinstalliert.
(Mehrere Scanner habe ich wegen einer Empfehlung bei nickles.de "Viren und Trojaner finden und beseitigen", 05.04.2005 installiert.)
Ich muss Dir aber vollauf Recht geben, ich konnte nie beide shields parallel oben halten; die haben sich immer gegenseitig gestört.

Ich weiss, Greenhorns sind enorm mühselig. Bitte, bitte nicht die Geduld verlieren.
Da ist immer noch die Frage, dass ich bei eScan nichts entpacken kann (siehe früheres post).
Was schlägst Du vor??

habs

Alt 26.03.2006, 23:48   #11
BataAlexander
> MalwareDB
 
infekt mit: exploit.wmf + exploit.java.ByteVerify + sploit[1].anr - Standard

infekt mit: exploit.wmf + exploit.java.ByteVerify + sploit[1].anr



Hallo,

wenn Du Winrar o.ä. auf dem Rechner hast, kannst Du die Datei sehr wohl mittels Rechtsklick entpacken.
Ansonsten landen die Dateien im C:\Dokumente und Einstellungen\*Benutzer*\Lokale Einstellungen\Temp

Steht aber auch in der Anleitung
Zitat:
Nach dem Download, sollte das Archiv mittels WinRAR entpackt [2] werden.


Gruß

Schrulli
__________________
If every computer is running a diverse ecosystem, crackers will have
no choice but to resort to small-scale, targetted attacks, and the
days of mass-market malware will be over
[...].
Stuart Udall

Alt 27.03.2006, 00:28   #12
habs
 
infekt mit: exploit.wmf + exploit.java.ByteVerify + sploit[1].anr - Standard

infekt mit: exploit.wmf + exploit.java.ByteVerify + sploit[1].anr



Schrulli

Sorry, hatte den link auf winrar überlesen, das war doof.
Habe winrar installiert.
(Musste es 2mal machen, die option 'in kontextmenu kakadieren' muss aktiv sein, sonst wird 'dateien entpacken' dort nicht eingetragen.)
Habe nun Mwav.exe entpackt.
Versuche nun eScan zu starten.
Gehe offline, melde mich dann wieder.

habs

Alt 27.03.2006, 12:20   #13
habs
 
infekt mit: exploit.wmf + exploit.java.ByteVerify + sploit[1].anr - Standard

infekt mit: exploit.wmf + exploit.java.ByteVerify + sploit[1].anr



Hallo

Habe 'CleanUp' erfolgreich ausgeführt.
Ich hatte beim Start noch eine 2. Fehlermeldung wegen akiven Browsern. Mein IE war aber geschlossen . Habe die Meldung dann übergangen.

Habe 'eScan' erfolgreich ausgeführt. Hier der LOG-Auszug:
System XP Home mit SP2, letzter Update 16.2.2006
WinOffice 2003 Prof


Mon Mar 27 02:00:16 2006 => **********************************************************
Mon Mar 27 02:00:16 2006 => MicroWorld Anti Virus & Spyware Toolkit Utility.
Mon Mar 27 02:00:16 2006 => Copyright © 2003-2006, MicroWorld Technologies Inc.
Mon Mar 27 02:00:16 2006 => **********************************************************
Mon Mar 27 02:00:16 2006 => Version 8.2.1 (C:\Bases_X\mwavscan.com)
Mon Mar 27 02:00:16 2006 => Log File: C:\Bases_X\MWAV.LOG
Mon Mar 27 02:00:16 2006 => MWAV Registered: FALSE.
Mon Mar 27 02:00:16 2006 => OS Type: Windows Workstation
Mon Mar 27 02:00:16 2006 => Local Fixed Drives: c:\,e:\
Mon Mar 27 02:00:16 2006 => MWAV Mode: Only Scan files.
Mon Mar 27 02:00:18 2006 => Latest Date of files inside MWAV: 24 Mar 2006 13:24:40.
Mon Mar 27 02:00:20 2006 => AV Library Loaded...
Mon Mar 27 02:00:20 2006 => MWAV doing self scanning...
Mon Mar 27 02:00:20 2006 => Scanning File C:\Bases_X\kavss.exe
Mon Mar 27 02:00:20 2006 => Scanning File C:\Bases_X\Getvlist.exe
Mon Mar 27 02:00:21 2006 => Scanning File C:\Bases_X\kavss.dll
Mon Mar 27 02:00:21 2006 => Scanning File C:\Bases_X\kavssdi.dll
Mon Mar 27 02:00:21 2006 => Scanning File C:\Bases_X\kavssi.dll
Mon Mar 27 02:00:21 2006 => Scanning File C:\Bases_X\kavvlg.dll
Mon Mar 27 02:00:21 2006 => Scanning File C:\Bases_X\msvlclnt.dll
Mon Mar 27 02:00:21 2006 => Scanning File C:\Bases_X\ipc.dll
Mon Mar 27 02:00:21 2006 => Scanning File C:\Bases_X\main.avi
Mon Mar 27 02:00:21 2006 => Scanning File C:\Bases_X\virus.avi
Mon Mar 27 02:00:21 2006 => MWAV files are clean.
Mon Mar 27 02:01:02 2006 => Virus Database Date: 3/24/2006
Mon Mar 27 02:01:02 2006 => Virus Database Count: 183808
Mon Mar 27 02:02:06 2006 => Downloading AntiVirus and Anti-Spyware Databases...
Mon Mar 27 02:02:16 2006 => Downloads Successful...
Mon Mar 27 02:02:21 2006 => Indexed Spyware Databases Successfully Created...
Mon Mar 27 02:02:22 2006 => Reload of AntiVirus Signatures successfully done.
Mon Mar 27 02:02:22 2006 => Virus Database Date: 3/27/2006
Mon Mar 27 02:02:22 2006 => Virus Database Count: 180080
Mon Mar 27 02:03:08 2006 => AV Library Unloaded (3)...
Mon Mar 27 02:40:53 2006 => **********************************************************
Mon Mar 27 02:40:53 2006 => MicroWorld Anti Virus & Spyware Toolkit Utility.
Mon Mar 27 02:40:53 2006 => Copyright © 2003-2006, MicroWorld Technologies Inc.
Mon Mar 27 02:40:53 2006 => **********************************************************
Mon Mar 27 02:40:53 2006 => Version 8.2.1 (C:\Bases_X\mwavscan.com)
Mon Mar 27 02:40:53 2006 => Log File: C:\Bases_X\MWAV.LOG
Mon Mar 27 02:40:53 2006 => MWAV Registered: FALSE.
Mon Mar 27 02:40:53 2006 => OS Type: Windows Workstation
Mon Mar 27 02:40:53 2006 => Local Fixed Drives: c:\,e:\
Mon Mar 27 02:40:53 2006 => MWAV Mode: Only Scan files.
Mon Mar 27 02:40:56 2006 => Latest Date of files inside MWAV: 27 Mar 2006 01:36:54.
Mon Mar 27 02:40:59 2006 => AV Library Loaded...
Mon Mar 27 02:40:59 2006 => MWAV doing self scanning...
Mon Mar 27 02:40:59 2006 => Scanning File C:\Bases_X\kavss.exe
Mon Mar 27 02:40:59 2006 => Scanning File C:\Bases_X\Getvlist.exe
Mon Mar 27 02:40:59 2006 => Scanning File C:\Bases_X\kavss.dll
Mon Mar 27 02:40:59 2006 => Scanning File C:\Bases_X\kavssdi.dll
Mon Mar 27 02:40:59 2006 => Scanning File C:\Bases_X\kavssi.dll
Mon Mar 27 02:40:59 2006 => Scanning File C:\Bases_X\kavvlg.dll
Mon Mar 27 02:40:59 2006 => Scanning File C:\Bases_X\msvlclnt.dll
Mon Mar 27 02:40:59 2006 => Scanning File C:\Bases_X\ipc.dll
Mon Mar 27 02:40:59 2006 => Scanning File C:\Bases_X\main.avi
Mon Mar 27 02:40:59 2006 => Scanning File C:\Bases_X\virus.avi
Mon Mar 27 02:40:59 2006 => MWAV files are clean.
Mon Mar 27 02:40:59 2006 => Virus Database Date: 3/27/2006
Mon Mar 27 02:40:59 2006 => Virus Database Count: 180080

Mon Mar 27 02:43:11 2006 => **********************************************************
Mon Mar 27 02:43:11 2006 => MicroWorld Anti Virus & Spyware Toolkit Utility.
Mon Mar 27 02:43:11 2006 => Copyright © 2003-2006, MicroWorld Technologies Inc.
Mon Mar 27 02:43:11 2006 =>
Mon Mar 27 02:43:11 2006 => Support: support@mwti.net
Mon Mar 27 02:43:11 2006 => Web: http://www.mwti.net
Mon Mar 27 02:43:11 2006 => **********************************************************
Mon Mar 27 02:43:11 2006 => Version 8.2.1 (C:\Bases_X\mwavscan.com)
Mon Mar 27 02:43:11 2006 => Log File: C:\Bases_X\MWAV.LOG
Mon Mar 27 02:43:11 2006 => User Account: ***
Mon Mar 27 02:43:11 2006 => Windows Root Folder: C:\WINDOWS
Mon Mar 27 02:43:11 2006 => Windows Sys32 Folder: C:\WINDOWS\system32
Mon Mar 27 02:43:11 2006 => OS: Windows XP
Mon Mar 27 02:43:11 2006 => Latest Date of files inside MWAV: 27 Mar 2006 01:36:54.

Mon Mar 27 02:43:12 2006 => Options Selected by User:
Mon Mar 27 02:43:12 2006 => Memory Check: Enabled
Mon Mar 27 02:43:12 2006 => Registry Check: Enabled
Mon Mar 27 02:43:12 2006 => StartUp Folder Check: Disabled
Mon Mar 27 02:43:12 2006 => System Folder Check: Disabled
Mon Mar 27 02:43:12 2006 => System Area Check: Disabled
Mon Mar 27 02:43:12 2006 => Services Check: Enabled
Mon Mar 27 02:43:12 2006 => Drive Check: Disabled
Mon Mar 27 02:43:12 2006 => All Drive Check :Enabled
Mon Mar 27 02:43:12 2006 => Folder Check: Disabled

Mon Mar 27 02:43:12 2006 => ***** Scanning Memory Files *****

....................Infected
Mon Mar 27 02:45:16 2006 => Offending file found: C:\Dokumente und Einstellungen\***\Anwendungsdaten\real\realplayer\history\amateur.lnk
Mon Mar 27 02:45:16 2006 => System found infected with xxxtoolbar Spyware/Adware (amateur.lnk)! Action taken: No Action Taken.
Mon Mar 27 02:45:16 2006 => Offending file found: C:\Dokumente und Einstellungen\***\Anwendungsdaten\real\realplayer\history\lesbian.lnk
Mon Mar 27 02:45:16 2006 => System found infected with xxxtoolbar Spyware/Adware (lesbian.lnk)! Action taken: No Action Taken.
Mon Mar 27 02:45:17 2006 => Offending file found: C:\WINDOWS\system32\ctfmon.exe
Mon Mar 27 02:45:17 2006 => System found infected with family keylogger Commercial KeyLogger (C:\WINDOWS\system32\ctfmon.exe)! Action taken: No Action Taken.
.................Errors
Mon Mar 27 02:43:41 2006 => ERROR!!! Invalid Entry \??\D:\INSTALL\GMSIPCI.SYS in SYSTEM\CurrentControlSet\Services\GMSIPCI...
Mon Mar 27 02:43:44 2006 => ERROR!!! Invalid Entry \??\D:\NTACCESS.sys in SYSTEM\CurrentControlSet\Services\NTACCESS...
Mon Mar 27 02:43:45 2006 => ERROR!!! Invalid Entry \??\D:\NTGLM7X.sys in SYSTEM\CurrentControlSet\Services\SetupNTGLM7X...
Mon Mar 27 02:48:22 2006 => Result: ERROR!!! File C:\Installer\lavasoft\ad_aware SE Pers 1.06\aawsepersonal.exe is Not Scanned
Mon Mar 27 02:48:52 2006 => Result: ERROR!!! File C:\pagefile.sys: Scanning Failure!!!
Mon Mar 27 02:48:52 2006 => ERROR!!! ScanFile fails for C:\pagefile.sys
Mon Mar 27 02:54:06 2006 => Result: ERROR!!! File C:\Programme\lavasoft\Ad-Aware SE Personal V1.06\Skins\Ad-Aware SE default.ask is Not Scanned


Mon Mar 27 03:25:05 2006 => ***** Scanning complete. *****

Mon Mar 27 03:25:05 2006 => Total Objects Scanned: 32490
Mon Mar 27 03:25:05 2006 => Total Critical Objects: 3
Mon Mar 27 03:25:05 2006 => Total Disinfected Objects: 0
Mon Mar 27 03:25:05 2006 => Total Objects Renamed: 0
Mon Mar 27 03:25:05 2006 => Total Deleted Objects: 0
Mon Mar 27 03:25:05 2006 => Total Errors: 6
Mon Mar 27 03:25:05 2006 => Time Elapsed: 00:41:52
Mon Mar 27 03:25:05 2006 => Virus Database Date: 3/27/2006
Mon Mar 27 03:25:05 2006 => Virus Database Count: 180080

Mon Mar 27 03:25:05 2006 => Scan Completed.

Mon Mar 27 11:53:40 2006 => Virus Database Date: 3/27/2006
Mon Mar 27 11:53:40 2006 => Virus Database Count: 180080
Mon Mar 27 12:00:15 2006 => Generating Virus List... getvlist.exe C:\Bases_X\vlist.txt


Ich bitte um Eure Kommentare

Gruss
habs

Alt 27.03.2006, 22:28   #14
BataAlexander
> MalwareDB
 
infekt mit: exploit.wmf + exploit.java.ByteVerify + sploit[1].anr - Standard

infekt mit: exploit.wmf + exploit.java.ByteVerify + sploit[1].anr



Hallo,

die Ergebnisse bei Dir sind falase positives.
Prüfe zur Sicherheit
Zitat:
C:\WINDOWS\system32\ctfmon.exe
online bei Jotti und virustotal, beide in meiner Signatur verlinkt. Poste das Ergebnis hier.

Gruß

Schrulli
__________________
If every computer is running a diverse ecosystem, crackers will have
no choice but to resort to small-scale, targetted attacks, and the
days of mass-market malware will be over
[...].
Stuart Udall

Alt 28.03.2006, 15:51   #15
habs
 
infekt mit: exploit.wmf + exploit.java.ByteVerify + sploit[1].anr - Standard

infekt mit: exploit.wmf + exploit.java.ByteVerify + sploit[1].anr



Hallo Schrulli

Ich habe die Datei "ctfmon.exe" bei jotti und virusTotal gescannt. Hier die Ergebnisse:

This is a report processed by VirusTotal on 03/28/2006 at 11:51:43 (CET) after scanning the file "ctfmon.exe" file.
Antivirus Version Update Result
AntiVir 6.34.0.14 03.28.2006 no virus found
Avast 4.6.695.0 03.25.2006 no virus found
AVG 386 03.27.2006 no virus found
Avira 6.34.0.54 03.28.2006 no virus found
BitDefender 7.2 03.28.2006 no virus found
CAT-QuickHeal 8.00 03.27.2006 no virus found
ClamAV devel-20060202 03.27.2006 no virus found
DrWeb 4.33 03.28.2006 no virus found
eTrust-InoculateIT 23.71.113 03.28.2006 no virus found
eTrust-Vet 12.4.2136 03.27.2006 no virus found
Ewido 3.5 03.28.2006 no virus found
Fortinet 2.71.0.0 03.28.2006 no virus found
F-Prot 3.16c 03.27.2006 no virus found
Ikarus 0.2.59.0 03.28.2006 no virus found
Kaspersky 4.0.2.24 03.28.2006 no virus found
McAfee 4727 03.27.2006 no virus found
NOD32v2 1.1459 03.27.2006 no virus found
Norman 5.70.10 03.27.2006 no virus found
Panda 9.0.0.4 03.27.2006 no virus found
Sophos 4.04.0 03.27.2006 no virus found
Symantec 8.0 03.28.2006 no virus found
TheHacker 5.9.7.120 03.26.2006 no virus found
UNA 1.83 03.23.2006 no virus found
VBA32 3.10.5 03.27.2006 no virus found

jotti
Datei: ctfmon.exe
Status: OK (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: -
AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VirusBuster Keine Viren gefunden
VBA32 Keine Viren gefunden



Mit der allerersten Virusmeldung von AVG (das ist nun natürlich Tage her) wurden auch noch 3 Dateien als geändert gemeldet:
Objekt; Resultat; Status;
C:\WINDOWS\system32\user32.dll,"Change","Changed"
C:\WINDOWS\system32\shell32.dll,"Change","Changed"
C:\WINDOWS\system32\ntoskrnl.exe,"Change","Changed"
Ich wusste nicht sorecht, ob das was zu bedeuten hat, oder nur daher kommt, dass ich 3 Tage vorher von Outlook Express nach Outlook (Office) uminstalliert hatte.
Jedenfalls habe ich diese Dateien nun auch nach bei Jotti und VirusTotal durchgejagt.
5 von 6 Ergebnissen waren negativ.
Nur "shell32.dll" (8MB) konnte jotti nicht verarbeiten (habe es 3mal versucht). Der Datei-Upload wurde nach 4-5min. abgebrochen. Ich weiss nicht warum. Jotti war nur ca. 50 % ausgelastet, und es sind ja Dateien bis 15BM möglich.


Ich weiss dass nichts 100%-ig ist. Trotzdem:
1. Heisst das jetzt, dass mit 'CleanUp' alle Schädlinge ausgemistet wurden??
2. Die Trojaner haben also keine Malware installiert???
3. Und es sind keine verwaisten Starteinträge für die Malware zurückgeblieben??
4. Hast Du eine mir eine knappe Erklärung (oder etwas zu lesen), wie es zu den Falschalarmen kommt??


Gruss
habs

Antwort

Themen zu infekt mit: exploit.wmf + exploit.java.ByteVerify + sploit[1].anr
ad-aware, antivir, avast, avg, avg free, content.ie5, datei, dateien, einstellungen, entfernen, falsche, free, geliefert, gelöscht, google, hijack, hijackthis, infected, infizierte, infizierte datei, internet, java-virus, kaltstart, löschen, object, scan, seite, seiten, system, trojaner, viren, virus/trojaner



Ähnliche Themen: infekt mit: exploit.wmf + exploit.java.ByteVerify + sploit[1].anr


  1. ZoneAlarm hat zwei Viren gefunden: HEUR:Exploit.Script.Generic und HEUR:Exploit.Java.Generic
    Log-Analyse und Auswertung - 21.02.2014 (15)
  2. Kaspersky findet 2 trojanische Programme (Windows 7): HEUR:Exploit.Java.CVE-2012-1723.gen und Exploit.Java.CVE-2012-1723.nh
    Plagegeister aller Art und deren Bekämpfung - 18.09.2013 (14)
  3. Ransom.Win32.Foreign / Trojan-Downloader.Java / Exploit.Java (Bildschirm weiß)
    Log-Analyse und Auswertung - 19.05.2013 (6)
  4. Trojaner HEUR:Exploit.Java.CVE-2012-0507.gen und HEUR:Exploit.Java.Generic
    Log-Analyse und Auswertung - 26.01.2013 (24)
  5. HEUR:Exploit.Java.CVE-2012-4681.gen" sowie mehrfach Exploit.Java.CVE-2012-0507.ou mit kaspersky gefunden in C:Dokumente und Einstellungen ge
    Plagegeister aller Art und deren Bekämpfung - 21.11.2012 (11)
  6. EXP/CVE-2010-0840.HG(Exploit), EXP/JAVA.Ternub.Gen(Exploit) und TR/Agent.464.4(Trojaner) - nicht totzukriegen
    Plagegeister aller Art und deren Bekämpfung - 14.08.2012 (12)
  7. Desinfec't 2012/Kaspersky findet Exploit.Java.CVE-2011-3544.** und Exploit.Java.CVE-2012-0507.**
    Plagegeister aller Art und deren Bekämpfung - 22.06.2012 (21)
  8. Desinfec't 2012/Kaspersky findet Exploit.Java.CVE-2011-3544.** und Exploit.Java.CVE-2012-0507.**
    Mülltonne - 11.06.2012 (0)
  9. Exploit.Java.CVE-2012-0507.be in C:\Documents and Settings\Jonathan\Appdata\LocalLow\Sun\Java [...]
    Log-Analyse und Auswertung - 16.04.2012 (8)
  10. Exploit.Java.CVE-2010-0840.N in \AppData\LocalLow\Sun\Java\Deployment\cache\6.0\13\3
    Plagegeister aller Art und deren Bekämpfung - 05.03.2012 (21)
  11. Java-Exploit (CVE-2010-0840.l) (C:\Dokumente und Einstellungen\User\Anwendungsdaten\Sun\Java\
    Plagegeister aller Art und deren Bekämpfung - 17.08.2011 (3)
  12. Avira findet 2 Trojaner Java-Virus JAVA/Agent.BH und Exploit EXP/Pidief.coi
    Plagegeister aller Art und deren Bekämpfung - 07.01.2011 (29)
  13. Exploit-ByteVerify
    Plagegeister aller Art und deren Bekämpfung - 28.04.2008 (1)
  14. Name der Infektion: Java/ByteVerify!exploit!Trojan
    Plagegeister aller Art und deren Bekämpfung - 31.01.2007 (1)
  15. Exploit.Java.ByteVerify - In Temp. Java Sun
    Plagegeister aller Art und deren Bekämpfung - 01.11.2005 (1)
  16. Mist...java.byteverify!exploit!
    Log-Analyse und Auswertung - 12.08.2005 (16)
  17. exploit-byteVerify,JS/Exploit-DialogArg.b,Exploit-mhtRedir.gen. logfile auswerten
    Log-Analyse und Auswertung - 29.10.2004 (4)

Zum Thema infekt mit: exploit.wmf + exploit.java.ByteVerify + sploit[1].anr - Mein System scheint mit drei Trojanern: exploit.wmf ; exploit.java.ByteVerify ; sploit[1].anr infiziert zu sein. Ich musste aber noch nie einen Virus/Trojaner jemals von einem System entfernen, habe also gar keine - infekt mit: exploit.wmf + exploit.java.ByteVerify + sploit[1].anr...
Archiv
Du betrachtest: infekt mit: exploit.wmf + exploit.java.ByteVerify + sploit[1].anr auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.