| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: java/agent.2212 + ADWARE/OpenCandy.A.7Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
20.02.2011, 13:51
| #1 |
| |  java/agent.2212 + ADWARE/OpenCandy.A.7 Hallo allesamt, als ich heute auf einer Internetseite surfte kam 5-6mal eine Meldung von AviraAntiVir das etwas auf meinen PC zugreifen will. ich habe bei allen Anfragen sofort auf "Löschen" gedrückt, anschließend habe ich ein Virenscan durchgeführt und es wurden 2 Funde gemacht. Nr. 1 Objekt: "2d89d408-40188a2b" Fund: JAVA/Agent.2212 C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\sun\Java\Deployment\cache\6.0\8\2d89d408-40188a2b Aktion: In Quarantände verschieben Nr. 2 Objekt: "OCSetupHlp.dll" Fund: ADWARE/OpenCancy.A.7 C:\Soldat\OpenCancy\OCSetupHlp.dll Aktion: In Quarantäne verschieben Hier der Log vom AviraAntiVir Code:
ATTFilter Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Sonntag, 20. Februar 2011 13:07
Es wird nach 2415455 Virenstämmen gesucht.
Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : ORSIMER
Versionsinformationen:
BUILD.DAT : 9.0.0.429 21701 Bytes 06.10.2010 09:59:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 13.10.2009 10:26:28
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 06:35:52
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 14:43:44
VBASE002.VDF : 7.11.3.0 1950720 Bytes 09.02.2011 16:49:25
VBASE003.VDF : 7.11.3.1 2048 Bytes 09.02.2011 16:49:25
VBASE004.VDF : 7.11.3.2 2048 Bytes 09.02.2011 16:49:25
VBASE005.VDF : 7.11.3.3 2048 Bytes 09.02.2011 16:49:25
VBASE006.VDF : 7.11.3.4 2048 Bytes 09.02.2011 16:49:25
VBASE007.VDF : 7.11.3.5 2048 Bytes 09.02.2011 16:49:25
VBASE008.VDF : 7.11.3.6 2048 Bytes 09.02.2011 16:49:25
VBASE009.VDF : 7.11.3.7 2048 Bytes 09.02.2011 16:49:25
VBASE010.VDF : 7.11.3.8 2048 Bytes 09.02.2011 16:49:25
VBASE011.VDF : 7.11.3.9 2048 Bytes 09.02.2011 16:49:26
VBASE012.VDF : 7.11.3.10 2048 Bytes 09.02.2011 16:49:26
VBASE013.VDF : 7.11.3.59 157184 Bytes 14.02.2011 17:13:45
VBASE014.VDF : 7.11.3.97 120320 Bytes 16.02.2011 18:31:38
VBASE015.VDF : 7.11.3.148 128000 Bytes 19.02.2011 22:55:23
VBASE016.VDF : 7.11.3.149 2048 Bytes 19.02.2011 22:55:23
VBASE017.VDF : 7.11.3.150 2048 Bytes 19.02.2011 22:55:23
VBASE018.VDF : 7.11.3.151 2048 Bytes 19.02.2011 22:55:23
VBASE019.VDF : 7.11.3.152 2048 Bytes 19.02.2011 22:55:23
VBASE020.VDF : 7.11.3.153 2048 Bytes 19.02.2011 22:55:24
VBASE021.VDF : 7.11.3.154 2048 Bytes 19.02.2011 22:55:24
VBASE022.VDF : 7.11.3.155 2048 Bytes 19.02.2011 22:55:24
VBASE023.VDF : 7.11.3.156 2048 Bytes 19.02.2011 22:55:24
VBASE024.VDF : 7.11.3.157 2048 Bytes 19.02.2011 22:55:24
VBASE025.VDF : 7.11.3.158 2048 Bytes 19.02.2011 22:55:24
VBASE026.VDF : 7.11.3.159 2048 Bytes 19.02.2011 22:55:24
VBASE027.VDF : 7.11.3.160 2048 Bytes 19.02.2011 22:55:24
VBASE028.VDF : 7.11.3.161 2048 Bytes 19.02.2011 22:55:24
VBASE029.VDF : 7.11.3.162 2048 Bytes 19.02.2011 22:55:24
VBASE030.VDF : 7.11.3.163 2048 Bytes 19.02.2011 22:55:24
VBASE031.VDF : 7.11.3.164 2048 Bytes 19.02.2011 22:55:24
Engineversion : 8.2.4.170
AEVDF.DLL : 8.1.2.1 106868 Bytes 02.08.2010 06:36:42
AESCRIPT.DLL : 8.1.3.53 1282427 Bytes 31.01.2011 12:32:06
AESCN.DLL : 8.1.7.2 127349 Bytes 23.11.2010 12:25:50
AESBX.DLL : 8.1.3.2 254324 Bytes 23.11.2010 12:25:52
AERDL.DLL : 8.1.9.2 635252 Bytes 06.11.2010 15:21:01
AEPACK.DLL : 8.2.4.9 512374 Bytes 31.01.2011 12:32:04
AEOFFICE.DLL : 8.1.1.16 205179 Bytes 31.01.2011 12:32:02
AEHEUR.DLL : 8.1.2.78 3277175 Bytes 19.02.2011 22:55:26
AEHELP.DLL : 8.1.16.1 246134 Bytes 04.02.2011 19:50:12
AEGEN.DLL : 8.1.5.2 397683 Bytes 20.01.2011 21:21:20
AEEMU.DLL : 8.1.3.0 393589 Bytes 23.11.2010 12:25:42
AECORE.DLL : 8.1.19.2 196983 Bytes 20.01.2011 21:21:19
AEBB.DLL : 8.1.1.0 53618 Bytes 24.04.2010 10:14:38
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56
AVPREF.DLL : 9.0.3.0 44289 Bytes 26.08.2009 14:13:59
AVREP.DLL : 8.0.0.7 159784 Bytes 17.02.2010 20:01:07
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:37
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 14:35:17
RCTEXT.DLL : 9.0.73.0 87297 Bytes 13.10.2009 11:19:29
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Beginn des Suchlaufs: Sonntag, 20. Februar 2011 13:07
Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '65375' Objekte überprüft, '0' versteckte Objekte wurden gefunden.
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbam.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winamp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wscntfy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nSvcAppFlt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Apache.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TnglCtrl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'snmp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'tcpsvcs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrB.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrA.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nSvcLog.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nSvcIp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICQ Service.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Apache.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DivXUpdate.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AdobeARM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PWRISOVM.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Amoumain.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '46' Prozesse mit '46' Modulen durchsucht
Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '55' Dateien ).
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\8\2d89d408-40188a2b
[0] Archivtyp: ZIP
--> bpac/a.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.2212
C:\Soldat\OpenCandy\OCSetupHlp.dll
[FUND] Enthält Erkennungsmuster der Adware ADWARE/OpenCandy.A.7
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Desinfektion:
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\8\2d89d408-40188a2b
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d990dfd.qua' verschoben!
C:\Soldat\OpenCandy\OCSetupHlp.dll
[FUND] Enthält Erkennungsmuster der Adware ADWARE/OpenCandy.A.7
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4db40ddc.qua' verschoben!
Ende des Suchlaufs: Sonntag, 20. Februar 2011 13:48
Benötigte Zeit: 31:34 Minute(n)
Der Suchlauf wurde vollständig durchgeführt.
7971 Verzeichnisse wurden überprüft
232480 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
2 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
232476 Dateien ohne Befall
2271 Archive wurden durchsucht
2 Warnungen
3 Hinweise
65375 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden
Zusätzlich hab ich mir wie hier geraten Malwarebytes runtergeladen und bin dem Leitfaden gefolgt, hier die Logs. Code:
ATTFilter Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org
Datenbank Version: 5817
Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512
20.02.2011 12:57:18
mbam-log-2011-02-20 (12-57-18).txt
Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 141063
Laufzeit: 4 Minute(n), 55 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
c:\dokumente und einstellungen\Besitzer\lokale einstellungen\Temp\2l4bcq4j.dat (Rootkit.MBR) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\Besitzer\lokale einstellungen\Temp\3hh4irtl.dat (Rootkit.MBR) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\Besitzer\lokale einstellungen\Temp\0.1514300037761267.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\Besitzer\lokale einstellungen\Temp\0.8297775223203513.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
 MfG Xombi Geändert von Xombi (20.02.2011 um 14:03 Uhr) |
| Themen zu java/agent.2212 + ADWARE/OpenCandy.A.7 |
| besitzer, candy, csrss.exe, desktop, einstellungen, explorer.exe, frage, icq, java/agent.2212, log, lsass.exe, löschen, malwarebytes, modul, namen, nt.dll, opencandy, programme, prozesse, registry, rundll, rundll32.exe, scan, service.exe, services.exe, svchost.exe, system32, versteckte objekte, verweise, virus gefunden, warnung, windows, winlogon.exe |
Baum-Darstellung