| |
| |||||||
Log-Analyse und Auswertung: Exploit.Java.CVE-2011-3544.jy + Weitere Viren?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
| |
03.03.2012, 20:14
| #1 |
 |  Exploit.Java.CVE-2011-3544.jy + Weitere Viren? Hallo Trojaner-Board User! Und zwar ich eine ein großes Problem! Vor 2 Tagen ungefähr war ich auf der Seite: www.serials.ws, hatte allerdings mein Kaspersky Internet Security 2012 Deaktiviert! (Das war weil es Hamachi i.wie beim Spielen geblockt hatte). Aufjedenfall ist auf einmal mein explorer (Desktop) verschwunden und die Meldung:"explorer.exe funktioniert nicht mehr". Dann hatte sich mein Win7 gefreezed und es öffnete sich ein Fenster mit folgender Meldung: Zahlen sie 50€ für ein Update, dieser Virus wird euch bekannt sein. Aufjedenfall habe ich mit einer zufälligen Tastenkombination es geschafft dieses Fenster zu umgehen, sozusagen zu "minimieren". Ich hatte noch einige Ordner geöffnet und hatte somit zugriff auf meine desktop dateien undco. Nun habe ich mein Kaspersky geöffnet und habe meinen Rechner gescannt, virus gefunden und gelöscht! Aber das war noch nicht alles, ich habe die Registry (shell)-Winlogon gecheckt nur explorer.exe vorhanden. Dann habe ich mich ein wenig Informiert. Spybot-Search&Destroy installiert laufen lassen und es hatte noch einen Trojaner gefunden, und gelöscht. Und heute habe ich meine zeit in Teamspeak3 verbracht und plötzlich hang sich mein pc auf, hatte kein Zugriff mehr auf mein Internet das hatte sich dauernt neu Connected. Was war dann klar? Ich bin noch infected! Kaspersky Scan gemacht und nun kamen 3 solcher Meldungen: Exploit.Java.CVE-2011-3544.jy einmal in: Temp wo genau weiß ich nicht mehr! -> 4bb9e887-782cca65//Effect.class Temp wo genau weiß ich nicht mehr! -> 4bb9e887-782cca65//Inc.class Temp wo genau weiß ich nicht mehr! -> 4bb9e887-782cca65//Matrix.class und nebenbei ich bekomme dauernt solche "Skriptfehler" Zeile: 1 Zeichen: 7 Fehler: ungültiges zeichen Code: 0 URL: hxxp://adserver.71i.de/global_js/ICQ/M_18-24_FB2_ICQ_Client_DE.js?mpt\n=$RANDOM7$$RANDOM4$&mpvc=$HTMLCLICKURL$ Ja - Nein Habe bis jetzt immer wieder auf nein gedrückt! Ich brauche unbedingt eure Hilfe! Ich würde mich sehr freuen wenn sie mit ihrem Wissen meine probleme beheben könnten! Es währe "schön" wenn ihr noch weitere Viren finden würdet! Denn wenn nicht weiteres währe dann liegt es wohl an meinem Rechner -.- OTL LOG: (Ich weiß nicht wie ich einen Anhang mache!) hxxp://pastebin.com/952469Pm GMER log: hxxp://pastebin.com/hCMG87mS Malewarebytes logs folgen! Rechner Details: AMD Phenom(tm) 9500 Quead-Core Processor 2,20GHz 4,50GB Ram Win7 Ultimate 64Bit AMD Radeon HD 6850 Wlan Weitere Informationen nötig? edit: OSAM log: hxxp://pastebin.com/6RM1RA8v Push.. :S könnte sich bitte jemand das hier mal ansehen? ich habe nämlich auch mit meinem Bankdaten hier gearbeitet.. :/ Push... :S |
|
05.03.2012, 15:59
| #2 |
| /// Winkelfunktion /// TB-Süch-Tiger™   |  Exploit.Java.CVE-2011-3544.jy + Weitere Viren? Bitte nun routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
__________________Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden. Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten! ESET Online Scanner
Bitte alles nach Möglichkeit hier in CODE-Tags posten. Wird so gemacht: [code] hier steht das Log [/code] Und das ganze sieht dann so aus: Code:
ATTFilter hier steht das Log
__________________ |
|
05.03.2012, 17:29
| #3 |
| | Exploit.Java.CVE-2011-3544.jy + Weitere Viren?Code:
ATTFilter Malwarebytes Anti-Malware (Test) 1.60.1.1000 www.malwarebytes.org Datenbank Version: v2012.03.04.02 Windows 7 x64 NTFS Internet Explorer 9.0.8112.16421 Manuel :: UNKNOWN [Administrator] Schutz: Deaktiviert 04.03.2012 13:40:38 mbam-log-2012-03-04 (13-40-38).txt Art des Suchlaufs: Vollständiger Suchlauf Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 492744 Laufzeit: 1 Stunde(n), 46 Minute(n), 11 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 1 HKCU\Software\--((Mutex))-- (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden). Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 2 C:\Users\Manuel\AppData\Local\Temp\dclogs\2012-03-01-5.dc (Stolen.Data) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\Manuel\AppData\Roaming\Microsoft\Windows\--((Mutex))--.dat (Malware.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) ESET logs folgen! |
|
05.03.2012, 19:06
| #4 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Exploit.Java.CVE-2011-3544.jy + Weitere Viren? Malwarebytes erstellt bei jedem Scanvorgang genau ein Log. Hast du in der Vergangenheit schonmal mit Malwarebytes gescannt? Wenn ja dann stehen auch alle Logs zu jedem Scanvorgang im Reiter Logdateien. Bitte alle posten, die dort sichtbar sind.
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
05.03.2012, 19:17
| #5 |
| | Exploit.Java.CVE-2011-3544.jy + Weitere Viren? Hallo, ich danke dir schoneinmal für deine Hilfe! Also nein es gibt keine anderen "logs" nur protection logs, da ich die IP protection geblockt habe. Es hat mir die Teamspeak3 Ip geblockt deshalb. Log 1 habe ich oben gepostet! Log 2: 2012/03/03 19:45:33 +0100 UNKNOWN Manuel MESSAGE IP Protection stopped 2012/03/03 19:53:52 +0100 UNKNOWN Manuel MESSAGE Executing scheduled update: Daily 2012/03/03 19:53:52 +0100 UNKNOWN Manuel ERROR Scheduled update failed: Config missing or corrupt, please reinstall failed with error code 2 Log3: 2012/03/04 16:10:13 +0100 UNKNOWN Manuel MESSAGE Executing scheduled update: Daily 2012/03/04 16:10:14 +0100 UNKNOWN Manuel MESSAGE Database already up-to-date Log4: 2012/03/05 04:01:29 +0100 UNKNOWN Manuel MESSAGE Executing scheduled update: Daily 2012/03/05 04:01:49 +0100 UNKNOWN Manuel MESSAGE Scheduled update executed successfully: database updated from version v2012.03.04.02 to version v2012.03.05.01 Eset Scanner scannt schon seit 02:10 Std! hoffe es nimmt bald ein ende |
|
05.03.2012, 19:34
| #6 |
| | Exploit.Java.CVE-2011-3544.jy + Weitere Viren? ESET LOG: Code:
ATTFilter C:\Program Files (x86)\GamersFirst\War Rock\system\WarRock.exe a variant of Win32/Packed.Themida application
C:\Users\Manuel\AppData\Local\Mozilla\Firefox\Profiles\34nask8m.default\Cache\2\91\9CD4Fd01 HTML/ScrInject.B.Gen virus
C:\Users\Manuel\AppData\Roaming\Uniblue\RegistryBooster\_temp\registrybooster.exe Win32/RegistryBooster application
C:\Users\Manuel\Downloads\SoftonicDownloader_fuer_driverscanner.exe a variant of Win32/SoftonicDownloader.C application
C:\Users\Manuel\Downloads\SoftonicDownloader_fuer_kaspersky-tdsskiller.exe Win32/SoftonicDownloader.C application
C:\Users\Manuel\Downloads\SoftonicDownloader_fuer_morphvox.exe a variant of Win32/SoftonicDownloader.C application
E:\Unlocker1.9.1-x64.exe Win32/Adware.ADON application
Wie sehen meine weiteren Schritte aus? Ich sehe das hier ist ein Trojaner, mit dem etwas zusammen hängen könnte, stimmts? C:\Users\Manuel\AppData\Local\Mozilla\Firefox\Profiles\34nask8m.default\Cache\2\91\9CD4Fd01 HTML/ScrInject.B.Gen virus |
|
05.03.2012, 19:53
| #7 | ||
| /// Winkelfunktion /// TB-Süch-Tiger™ | Exploit.Java.CVE-2011-3544.jy + Weitere Viren?Zitat:
Die Registry ist das Hirn des Systems. Funktioniert das Hirn nicht, funktioniert der Rest nicht mehr wirklich. Wir lesen oft genug von Hilfesuchenden, dass deren System nach der Nutzung von Registry Cleanern nicht mehr startet.
Ein sogenanntes False Positive von einem Cleaner kann auch dein System unbootbar machen. Zerstörst Du die Registry, zerstörst Du Windows. Zitat:
Softonic ist eine Toolbar- und Adwareschleuder! Finger weg! Software lädt man sich mit oberster Priorität direkt vom Hersteller und nicht von solchen Toolbarklitschen wie Softonic! Im Notfall würde natürlich chip.de gehen
__________________ Logfiles bitte immer in CODE-Tags posten |
|
05.03.2012, 19:59
| #8 |
| | Exploit.Java.CVE-2011-3544.jy + Weitere Viren? Ich deeinstalliere Dieses Programm sofort! Danke! Und was soll ich nun mit diesem Trojaner anstellen?! |
|
05.03.2012, 20:03
| #9 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Exploit.Java.CVE-2011-3544.jy + Weitere Viren? Nach der Deinstallation: CustomScan mit OTL Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code:
ATTFilter netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
__________________ Logfiles bitte immer in CODE-Tags posten |
Textbox von OTL - wenn OTL auf deutsch ist wird sie mit 
beschriftet
.
Hybrid-Darstellung
