| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Joke/Rjump und Java Agent.M.1Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
| |
12.07.2011, 11:12
| #1 |
| /// Winkelfunktion /// TB-Süch-Tiger™   |  Joke/Rjump und Java Agent.M.1 Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
12.07.2011, 12:13
| #2 |
 | Joke/Rjump und Java Agent.M.1 geschafft!
__________________Als er mich fragte, ob ich den Ordner "WINDOWS" wirklich löschen will, hab ich ganz brav ja gedrückt...*hihi* Combofix Logfile: Code:
ATTFilter ComboFix 11-07-12.04 - Kekse 12.07.2011 13:02:48.1.1 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1023.728 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Kekse\Desktop\ComboFix.exe
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\Kekse\WINDOWS
c:\programme\Hotspot Shield\HssIE\HsSIe.dll
c:\windows\IsUn0407.exe
c:\windows\system32\CoolXPProgress.ocx
.
.
((((((((((((((((((((((( Dateien erstellt von 2011-06-12 bis 2011-07-12 ))))))))))))))))))))))))))))))
.
.
2011-07-11 23:02 . 2011-07-11 23:02 -------- d-----w- C:\_OTL
2011-07-11 14:49 . 2011-07-11 14:49 -------- d-----r- c:\dokumente und einstellungen\LocalService\Favoriten
2011-07-11 11:48 . 2011-07-11 11:48 404640 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2011-07-10 21:31 . 2011-07-10 21:31 -------- d-----w- c:\windows\Internet Logs
2011-07-09 21:30 . 2011-07-09 21:30 -------- d-----w- c:\programme\Gemeinsame Dateien\Java
2011-07-09 21:30 . 2011-05-04 02:52 476904 ----a-w- c:\programme\Mozilla Firefox\plugins\npdeployJava1.dll
2011-07-09 21:30 . 2011-05-04 02:52 472808 ----a-w- c:\windows\system32\deployJava1.dll
2011-07-07 21:31 . 2011-07-11 13:08 -------- d-----w- c:\windows\system32\NtmsData
2011-06-26 22:23 . 2011-06-26 22:23 -------- d-----w- c:\programme\AC3Filter
2011-06-23 19:45 . 2011-06-23 19:45 2106216 ----a-w- c:\programme\Mozilla Firefox\D3DCompiler_43.dll
2011-06-23 19:45 . 2011-06-23 19:45 1998168 ----a-w- c:\programme\Mozilla Firefox\d3dx9_43.dll
2011-06-15 13:02 . 2011-04-21 13:37 105472 -c----w- c:\windows\system32\dllcache\mup.sys
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-07-07 21:17 . 2010-03-21 15:26 138192 ----a-w- c:\windows\system32\drivers\avipbb.sys
2011-07-07 21:17 . 2010-03-21 15:26 66616 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2011-05-29 07:11 . 2010-05-21 22:25 39984 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-05-29 07:11 . 2010-05-21 22:25 22712 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-05-04 00:25 . 2010-03-22 14:20 73728 ----a-w- c:\windows\system32\javacpl.cpl
2011-05-02 15:31 . 2010-03-21 02:25 692736 ----a-w- c:\windows\system32\inetcomm.dll
2011-04-29 17:25 . 2004-08-10 12:00 151552 ----a-w- c:\windows\system32\schannel.dll
2011-04-29 16:19 . 2004-08-10 12:00 456320 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2011-04-25 16:05 . 2004-08-10 12:00 916480 ----a-w- c:\windows\system32\wininet.dll
2011-04-25 16:05 . 2004-08-10 12:00 43520 ----a-w- c:\windows\system32\licmgr10.dll
2011-04-25 16:05 . 2004-08-10 12:00 1469440 ------w- c:\windows\system32\inetcpl.cpl
2011-04-25 12:01 . 2004-08-10 12:00 385024 ----a-w- c:\windows\system32\html.iec
2011-04-21 13:37 . 2004-08-10 12:00 105472 ----a-w- c:\windows\system32\drivers\mup.sys
2010-04-09 07:10 . 2010-04-09 07:10 23510016 -c--a-w- c:\programme\Independence Free.dll
2009-05-01 21:02 . 2009-05-01 21:02 1044480 ----a-w- c:\programme\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02 200704 ----a-w- c:\programme\mozilla firefox\plugins\ssldivx.dll
2011-06-23 19:45 . 2011-03-26 19:18 142296 ----a-w- c:\programme\mozilla firefox\components\browsercomps.dll
2004-08-10 12:00 73728 -csha-w- c:\windows\RegisteredPackages\{DD90D410-1823-43EB-9A16-A2331BF08799}$BACKUP$\System\wmplayer.exe
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2011-02-18 05:12 94208 ----a-w- c:\dokumente und einstellungen\Kekse\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2011-02-18 05:12 94208 ----a-w- c:\dokumente und einstellungen\Kekse\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2011-02-18 05:12 94208 ----a-w- c:\dokumente und einstellungen\Kekse\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt4]
@="{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}]
2011-02-18 05:12 94208 ----a-w- c:\dokumente und einstellungen\Kekse\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="c:\windows\ehome\ehtray.exe" [2004-08-10 59392]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-11-06 8523776]
"nwiz"="nwiz.exe" [2007-11-06 1626112]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAudPropShortcut.exe" [2004-03-17 61952]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-11-13 281768]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2011-06-08 37296]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2011-03-30 937920]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2011-04-08 254696]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Kekse^Startmenü^Programme^Autostart^Dropbox.lnk]
path=c:\dokumente und einstellungen\Kekse\Startmenü\Programme\Autostart\Dropbox.lnk
backup=c:\windows\pss\Dropbox.lnkStartup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Kekse^Startmenü^Programme^Autostart^OpenOffice.org 3.2.lnk]
path=c:\dokumente und einstellungen\Kekse\Startmenü\Programme\Autostart\OpenOffice.org 3.2.lnk
backup=c:\windows\pss\OpenOffice.org 3.2.lnkStartup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2011-03-30 04:59 937920 ----a-r- c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2011-06-08 04:02 37296 ----a-w- c:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ]
2011-01-05 08:18 133432 ----a-w- c:\programme\ICQ7.0\ICQ.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]
2010-04-16 21:12 3872080 ----a-w- c:\programme\Windows Live\Messenger\msnmsgr.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2011-04-08 10:59 254696 ----a-w- c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Opera\\opera.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\ICQ7.0\\ICQ.exe"=
"c:\\Programme\\ICQ7.0\\aolload.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Dokumente und Einstellungen\\Kekse\\Anwendungsdaten\\Dropbox\\bin\\Dropbox.exe"=
.
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [21.03.2010 17:26 136360]
R3 cmudax;C-Media High Definition Audio Interface;c:\windows\system32\drivers\cmudax.sys [07.02.2006 13:35 1287296]
S2 HssWd;Hotspot Shield Monitoring Service;c:\programme\Hotspot Shield\bin\hsswd.exe -product HSS --> c:\programme\Hotspot Shield\bin\hsswd.exe -product HSS [?]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
getPlusHelper REG_MULTI_SZ getPlusHelper
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://google.de/
TCP: DhcpNameServer = 192.168.1.1
TCP: Interfaces\{2216EE52-0E03-4B23-A815-CD68DBE8B5CC}: NameServer = 213.191.92.87,213.191.74.19
FF - ProfilePath - c:\dokumente und einstellungen\Kekse\Anwendungsdaten\Mozilla\Firefox\Profiles\baptwamx.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.fahrinfo-berlin.de
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKLM-Run-Cmaudio - cmicnfg.cpl
MSConfigStartUp-CleanUp XP - c:\programme\CleanUp XP\CleanUp.exe
MSConfigStartUp-H2O - c:\programme\SyncroSoft\Pos\H2O\cledx.exe
AddRemove-SyncroSoft Emu - c:\programme\SyncroSoft\Pos\H2O\Uninst.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-07-12 13:08
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-07-12 13:10:55
ComboFix-quarantined-files.txt 2011-07-12 11:10
.
Vor Suchlauf: 11 Verzeichnis(se), 43.261.140.992 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 43.763.933.184 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Windows XP Media Center Edition" /noexecute=optin /fastdetect
.
- - End Of File - - 2A11CB65D3E7D37E541C362C912B4376
|
|
| Themen zu Joke/Rjump und Java Agent.M.1 |
| 0x00000001, alternate, anfang, antivir, avira, bho, browser, c:\windows\system32\rundll32.exe, einstellungen, entfernen, explorer, firefox, harddisk, hdaudio.sys, hotspot, hotspot shield, java/agent.bh, java/agent.m.1, java/agent.m.2, joke/rjump, microsoft, mozilla thunderbird, plug-in, registry, server, tr/crypt.zpack.gen2, wallpaper, winlogon, winlogon.exe |
Hybrid-Darstellung
