AVG Bericht, Attach.txt und gmer.txt im Anhang.
Keine Auffälligkeiten am System, Software wird regelmäßig aktualisiert.

Virustotal:
https://www.virustotal.com/file/4096fe528482e8f4c5b29d8417bc5338ab79b4da593bcb7f0cc3cd56189947b4/analysis/

DDS:

Code: Alles auswählenAufklappen

ATTFilter

.
DDS (Ver_2011-08-26.01) - NTFSx86 
Internet Explorer: 8.0.6001.18702  BrowserJavaVersion: 1.6.0_31
Run by Admin at 19:08:35 on 2012-05-20
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.511.294 [GMT 2:00]
.
AV: Avira Desktop *Enabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
============== Running Processes ===============
.
C:\WINDOWS\system32\svchost -k DcomLaunch
svchost.exe
C:\WINDOWS\System32\svchost.exe -k netsvcs
C:\WINDOWS\SuRun.exe
svchost.exe
svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
svchost.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Macrium\Reflect\ReflectService.exe
C:\WINDOWS\system32\svchost.exe -k imgsvc
C:\Programme\UltraVNC\WinVNC.exe
C:\Programme\UltraVNC\WinVNC.exe
C:\Programme\Avira\AntiVir Desktop\avshadow.exe
.
============== Pseudo HJT Report ===============
.
uStart Page = hxxp://www.google.com/
BHO: AcroIEHlprObj Class: {06849e9f-c8d7-4d59-b87d-784b7d6be0b3} - c:\programme\adobe\acrobat 6.0\acrobat\activex\AcroIEHelper.dll
BHO: Java(tm) Plug-In SSV Helper: {761497bb-d6f0-462c-b6eb-d4daf1d92d43} - c:\programme\java\jre6\bin\ssv.dll
BHO: AcroIEToolbarHelper Class: {ae7cd045-e861-484f-8273-0445ee161910} - c:\programme\adobe\acrobat 6.0\acrobat\AcroIEFavClient.dll
BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\programme\java\jre6\bin\jp2ssv.dll
BHO: JQSIEStartDetectorImpl Class: {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - c:\programme\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
TB: Adobe PDF: {47833539-d0c5-4125-9fa8-0819e2eaac93} - c:\programme\adobe\acrobat 6.0\acrobat\AcroIEFavClient.dll
EB: Adobe PDF: {182ec0be-5110-49c8-a062-beb1d02a220b} - c:\programme\adobe\acrobat 6.0\acrobat\AcroIEFavClient.dll
uRun: [CTFMON.EXE] c:\windows\system32\ctfmon.exe
mRun: [SuRun Systemmenü-Erweiterung] c:\windows\SuRun.exe /SYSMENUHOOK
mRun: [avgnt] "c:\programme\avira\antivir desktop\avgnt.exe" /min
mRun: [SunJavaUpdateSched] "c:\programme\gemeinsame dateien\java\java update\jusched.exe"
dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE
dRunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N
uPolicies-explorer: ForceClassicControlPanel = 1 (0x1)
uPolicies-explorer: NoResolveTrack = 1 (0x1)
uPolicies-explorer: NoSMHelp = 1 (0x1)
mPolicies-explorer: EnableShellExecuteHooks = 1 (0x1)
dPolicies-explorer: ForceClassicControlPanel = 1 (0x1)
dPolicies-explorer: NoResolveTrack = 1 (0x1)
dPolicies-explorer: NoSMHelp = 1 (0x1)
IE: Nach Microsoft &Excel exportieren - c:\progra~1\micros~3\office10\EXCEL.EXE/3000
IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} - hxxp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1323016763937
DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} - hxxp://download.eset.com/special/eos/OnlineScanner.cab
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab
TCP: Interfaces\{DBA9B8BA-52BA-4C00-AEA0-4E04A5A17DD5} : NameServer = 192.168.178.1
SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - c:\windows\system32\WPDShServiceObj.dll
SEH: SuRun Shell Extension: {2c7b6088-5a77-4d48-be43-30337dca9a86} - SuRunExt.dll
.
================= FIREFOX ===================
.
FF - ProfilePath - 
.
============= SERVICES / DRIVERS ===============
.
R0 pssnap;Paramount Software Snapshot Filter;c:\windows\system32\drivers\pssnap.sys [2011-11-9 16024]
R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [2011-12-4 36000]
R2 AntiVirSchedulerService;Avira Planer;c:\programme\avira\antivir desktop\sched.exe [2011-12-4 86224]
R2 AntiVirService;Avira Echtzeit Scanner;c:\programme\avira\antivir desktop\avguard.exe [2011-12-4 110032]
R2 avgntflt;avgntflt;c:\windows\system32\drivers\avgntflt.sys [2011-12-4 83392]
R2 ReflectService.exe;Macrium Reflect Image Mounting Service;c:\programme\macrium\reflect\ReflectService.exe [2011-11-9 224920]
R2 Super User Run (SuRun) Service;Super User Run (SuRun) Service;c:\windows\SuRun.exe [2010-3-14 503858]
R2 uvnc_service;uvnc_service;c:\programme\ultravnc\winvnc.exe [2012-5-6 2015968]
R3 AR9271;Wireless Network Adapter Service;c:\windows\system32\drivers\athuw.sys [2011-12-31 1756384]
R3 mv2;mv2;c:\windows\system32\drivers\mv2.sys [2012-5-6 11496]
S3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\macromed\flash\FlashPlayerUpdateService.exe [2012-3-31 257696]
S3 MozillaMaintenance;Mozilla Maintenance Service;c:\programme\mozilla maintenance service\maintenanceservice.exe [2012-4-28 129976]
.
=============== Created Last 30 ================
.
2012-05-10 08:10:25	--------	d-sh--w-	\Config.Msi
2012-05-06 17:16:41	--------	d-----w-	c:\programme\TeamViewer
2012-05-06 15:28:32	21480	----a-w-	c:\windows\system32\mv2.dll
2012-05-06 15:28:32	11496	----a-w-	c:\windows\system32\drivers\mv2.sys
2012-05-06 15:28:23	--------	d-----w-	c:\programme\UltraVNC
2012-04-28 12:33:46	--------	d-----w-	c:\programme\Mozilla Maintenance Service
2012-04-28 12:33:45	97208	----a-w-	c:\programme\mozilla firefox\components\browsercomps.dll
2012-04-28 12:33:41	157352	----a-w-	c:\programme\mozilla firefox\maintenanceservice_installer.exe
2012-04-28 12:33:41	129976	----a-w-	c:\programme\mozilla firefox\maintenanceservice.exe
.
==================== Find3M  ====================
.
2012-05-08 09:16:45	83392	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2012-05-06 08:27:32	419488	----a-w-	c:\windows\system32\FlashPlayerApp.exe
2012-05-06 08:27:30	70304	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2012-04-11 13:51:20	2071424	----a-w-	c:\windows\system32\ntkrnlpa.exe
2012-04-11 13:51:18	1862400	----a-w-	c:\windows\system32\win32k.sys
2012-04-11 13:51:17	2194944	----a-w-	c:\windows\system32\ntoskrnl.exe
2012-03-01 11:00:09	916992	----a-w-	c:\windows\system32\wininet.dll
2012-03-01 11:00:08	43520	----a-w-	c:\windows\system32\licmgr10.dll
2012-03-01 11:00:08	1469440	------w-	c:\windows\system32\inetcpl.cpl
2012-02-29 14:09:48	177664	----a-w-	c:\windows\system32\wintrust.dll
2012-02-29 14:09:48	148480	----a-w-	c:\windows\system32\imagehlp.dll
2012-02-29 12:17:40	385024	----a-w-	c:\windows\system32\html.iec
.
============= FINISH: 19:09:10,20 ===============
         

Java ist bei dir aktuell?
Den JavaCache hast du schonmal geleert?

Java ist aktuell (also die aktuellste 6er Version aus Kompatibilitätsgründen).
Soll ich den Cache wirklich löschen? Normalerweise empfehlt ihr doch immer, erst einmal nichts zu entfernen.

Zitat:

Java ist aktuell (also die aktuellste 6er Version aus Kompatibilitätsgründen).

Oracle empfiehlt mittlerweile Java7, bis vor kurzem sollte man aber tatsächlich noch produktiv Java6 verwenden
Welches Java6 genau hast du?

Zitat:

Normalerweise empfehlt ihr doch immer, erst einmal nichts zu entfernen.

Das stimmt so pauschal ausgesagt nicht
Den Cache leeren sollte man IMHO ruhig regelmäßig mal tun, gerade wenn angebliche Exploits gefunden wurden
Wenn du den Cache nämlich nicht leerst, weißt du nicht so auf dem ersten Blick ob das eine alte Datei im Cache ist oder ob da eine neuere Datei angemeckert wird

Java 6 Update 31
Cache habe ich geleert und Datei wird auch nicht mehr im Explorer angezeigt.

Zitat:

Java 6 Update 31

Ich meine Update 32 wäre aktuell für die 6er Reihe => Java SE 6u32 Downloads

Stimmt, ist offenbar vor 2 Wochen erschienen.
Aber wie entferne ich nun die Schädlinge?

Wurde schon genannt => Cache leeren

Wenn du immer immer noch Probleme hast melden

Hatte ich bereits geschrieben, Cache ist geleert, aber wie kann ich nun feststellen, ob das System wieder in Ordnung ist?

Was heißt denn wieder?! Es gab kein Problem, da bevor der Exploit Schaden anrichten konnte ja gestoppt wurde!
Außerdem schrieb ich, dass du dich melden solltest falls es noch Probleme oder weitere Funde gibt

Dass er vorher gestoppt wurde hast du den Logfiles entnommen?

Zitat:

Dass er vorher gestoppt wurde hast du den Logfiles entnommen?

Welchem Log? Wo steht was von vorzeitig gestoppt? Hier sieh unten im AVG-Log von dir nochmal selbst nach, da steht nichts davon und das ist von dir das erste Mal, dass du von einem vorzeitigen Stopp redest.
Wenn ich die Info nicht habe kann ich ja schlecht wissen was dich beunruhigt oder hätte ich die konsultieren sollen?

=> eine Scanzeit von 2223 Sekunden (was ungefähr 37 Minuten entspricht), dabei wurden über 80.000 Elemente durchsucht - das kann durchaus einem Vollscan entsprechen

Code: Alles auswählenAufklappen

ATTFilter

AVG command line Anti-Virus scanner
Copyright (c) 2011 AVG Technologies CZ

Virus database version: 2409/5011
Virus database release date: Sun, 20 May 2012 06:34:00 +0000
Scan command: /opt/avg/av/bin/avgscan -T --ignerrors --report /opt/avg/arl/scan_report.txt --arc --heur --pup --pup2 --hidext -W /mnt/sdb1/WINDOWS\\%WINDOWS% /mnt/sdb1 

/mnt/sdb1/Dokumente und Einstellungen/Frank/Anwendungsdaten/Sun/Java/Deployment/cache/6.0/17/5a587fd1-2ef4ec35:/Photo.class  Trojan horse Java/Exploit.AOQ
/mnt/sdb1/Dokumente und Einstellungen/Frank/Anwendungsdaten/Sun/Java/Deployment/cache/6.0/17/5a587fd1-2ef4ec35  Trojan horse Java/Exploit.AOQ
------------------------------------------------------------------------------
Scan started at: Sun, 20 May 2012 15:43:54 +0000
Scan ended at: Sun, 20 May 2012 16:20:58 +0000

Elapsed time:  2223s
------------------------------------------------------------------------------
Files scanned     :  82870(32165)
Infections found  :  2(1)
PUPs found        :  0
Files healed      :  0
Warnings reported :  0
Errors reported   :  0
------------------------------------------------------------------------------
         

Jetzt haben wir aneinander vorbeigeredet

Zitat:

Es gab kein Problem, da bevor der Exploit Schaden anrichten konnte ja gestoppt wurde!

Das meinte ich mit vorzeitig gestoppt.

Ja, bei dem Scan handelte es sich um einen Vollscan, der auch zu Ende gebracht wurde.

Oh, dann hab ich dich völlig falsch verstanden



Natürlich kann über die Rescue-Disc nichts vorzeitig gestoppt werden. Da kam ja rein als du vorher noch normal in Windows drin warst. Meine Fehler, hab da diesen Zusammenhang nicht berücksichtigt

Jedenfalls scheint es aber so, als ob der Exploit ins Leere gelaufen wäre.
Damit so ein Exploit funktioniert, muss er erstens ausgeführt werden und zweitens muss er auch die entsprechende alte Java-Version vorfinden. Wenn das also ein Exploit war, der alte bis uralte Java-Versionen angreift, dann war/ist JRE6u31 nicht verwundbar bei diesem Exploit

Sofern es denn auch KEIN Fehlalarm war


Kannst ja mal routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code: Alles auswählenAufklappen

ATTFilter

 hier steht das Log
         

ESET

Code: Alles auswählenAufklappen

ATTFilter

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=78138735bbb35c48a65daa7cea2ade1b
# end=finished
# remove_checked=false
# archives_checked=false
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-05-23 03:05:32
# local_time=2012-05-23 05:05:32 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1031
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=512 16777215 100 0 0 0 0 0
# compatibility_mode=1792 16777175 100 0 14762953 14762953 0 0
# compatibility_mode=8192 67108863 100 0 132 132 0 0
# scanned=51810
# found=0
# cleaned=0
# scan_time=5563
         

MBAM

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.05.22.03

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Benutzer :: AMD [Administrator]

22.05.2012 20:45:38
mbam-log-2012-05-22 (22-45-17).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 259227
Laufzeit: 51 Minute(n), 18 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|ForceClassicControlPanel (Hijack.ControlPanelStyle) -> Daten: 1 -> Keine Aktion durchgeführt.

Infizierte Dateiobjekte der Registrierung: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowHelp (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|NoSMHelp (PUM.Hijack.Help) -> Bösartig: (1) Gut: (0) -> Keine Aktion durchgeführt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)