ja taucht auf, versuch es nochmal mit löschen und lass dann nochmal den eset drüber. soll ich sonst noch was tun?

Falls der wieder auftaucht, Java komplett deinstallieren, evtl wurde da Installationsdateien manipuliert.

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6427
# api_version=3.0.2
# EOSSerial=7a0e86557aff984ab7f2be5fe1c39522
# end=stopped
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-05-29 07:30:32
# local_time=2011-05-29 09:30:32 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=768 16777215 100 0 22896331 22896331 0 0
# compatibility_mode=8192 67108863 100 0 0 0 0 0
# scanned=17808
# found=3
# cleaned=0
# scan_time=1056
C:\Dokumente und Einstellungen\Bernd\Anwendungsdaten\OpenCandy\01B2BE34A4B54F58A292AF7332C7EF8F\registrybooster21.exe a variant of Win32/RegistryBooster application (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\Bernd\Anwendungsdaten\OpenCandy\01B2BE34A4B54F58A292AF7332C7EF8F\registrybooster21Wrapped.exe a variant of Win32/RegistryBooster application (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\Bernd\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\39\58ec35a7-6c42d129 a variant of Java/Exploit.CVE-2010-4452.A trojan (unable to clean) 00000000000000000000000000000000 I
ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=53251
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6427
# api_version=3.0.2
# EOSSerial=7a0e86557aff984ab7f2be5fe1c39522
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-05-29 09:03:32
# local_time=2011-05-29 11:03:32 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=768 16777215 100 0 22898035 22898035 0 0
# compatibility_mode=8192 67108863 100 0 1815 1815 0 0
# scanned=126847
# found=6
# cleaned=0
# scan_time=4932
C:\Dokumente und Einstellungen\Bernd\Anwendungsdaten\OpenCandy\01B2BE34A4B54F58A292AF7332C7EF8F\registrybooster21.exe a variant of Win32/RegistryBooster application (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\Bernd\Anwendungsdaten\OpenCandy\01B2BE34A4B54F58A292AF7332C7EF8F\registrybooster21Wrapped.exe a variant of Win32/RegistryBooster application (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\Bernd\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\39\58ec35a7-6c42d129 a variant of Java/Exploit.CVE-2010-4452.A trojan (unable to clean) 00000000000000000000000000000000 I
C:\_OTL\MovedFiles\05262011_212358\C_Programme\Application Updater\ApplicationUpdater.exe probably a variant of Win32/Adware.Toolbar.Dealio application (unable to clean) 00000000000000000000000000000000 I
C:\_OTL\MovedFiles\05262011_212358\C_Programme\Gemeinsame Dateien\Spigot\Search Settings\SearchSettings.exe a variant of Win32/Adware.Toolbar.Dealio application (unable to clean) 00000000000000000000000000000000 I
C:\_OTL\MovedFiles\05262011_212358\C_Programme\pdfforge Toolbar\IE\4.3\pdfforgeToolbarIE.dll a variant of Win32/Adware.Toolbar.Dealio application (unable to clean) 00000000000000000000000000000000 I
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6427
# api_version=3.0.2
# EOSSerial=7a0e86557aff984ab7f2be5fe1c39522
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-05-29 03:30:49
# local_time=2011-05-29 05:30:49 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=768 16777215 100 0 22924512 22924512 0 0
# compatibility_mode=8192 67108863 100 0 24692 24692 0 0
# scanned=127200
# found=6
# cleaned=0
# scan_time=5288
C:\Dokumente und Einstellungen\Bernd\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\39\58ec35a7-6c42d129 a variant of Java/Exploit.CVE-2010-4452.A trojan (unable to clean) 00000000000000000000000000000000 I
C:\System Volume Information\_restore{0541B86D-C8AC-41F1-B80D-38692499E89D}\RP517\A0069655.exe a variant of Win32/RegistryBooster application (unable to clean) 00000000000000000000000000000000 I
C:\System Volume Information\_restore{0541B86D-C8AC-41F1-B80D-38692499E89D}\RP517\A0069656.exe a variant of Win32/RegistryBooster application (unable to clean) 00000000000000000000000000000000 I
C:\_OTL\MovedFiles\05262011_212358\C_Programme\Application Updater\ApplicationUpdater.exe probably a variant of Win32/Adware.Toolbar.Dealio application (unable to clean) 00000000000000000000000000000000 I
C:\_OTL\MovedFiles\05262011_212358\C_Programme\Gemeinsame Dateien\Spigot\Search Settings\SearchSettings.exe a variant of Win32/Adware.Toolbar.Dealio application (unable to clean) 00000000000000000000000000000000 I
C:\_OTL\MovedFiles\05262011_212358\C_Programme\pdfforge Toolbar\IE\4.3\pdfforgeToolbarIE.dll a variant of Win32/Adware.Toolbar.Dealio application (unable to clean) 00000000000000000000000000000000 I




Arne, hab jetzt nochmal den scan. Was soll ich tun? Wenn ich über den Explorer nach den Dateien such sind sie weg. ???

Zitat:

C:\Dokumente und Einstellungen\Bernd\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\39\58ec35a7-6c42d129 a variant of Java/Exploit.CVE-2010-4452.A trojan (unable to clean)

"nur" noch der ist da.
Die anderen Funde sind isolierte Dateien in der OTL-Q, das andere in der SWH.

Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde.

wenn ich es deaktiviert habe, was soll ich dann tun? einfach lassen? nochmal scannen? wieder aktivieren?

habe jetzt sun/java komplett über Systemsteuerung->Software gelöscht

Ok. Dann sollten wir eigentlich durch sein, aber du kannst ruhig nochmal ESET laufen lassen.

Rechner sonst wieder ok?

ja soweit ohne probs, soll ich jetzt eset laufen lassen oder soll ich erst wider den wiederherstellungspunkt setzen?

wenn ich

C:\Dokumente und Einstellungen\Bernd\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\39.....

aufrufe, ist alles noch da?

Mach erstmal ESET.

ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=53251
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6427
# api_version=3.0.2
# EOSSerial=7a0e86557aff984ab7f2be5fe1c39522
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-05-29 08:46:11
# local_time=2011-05-29 10:46:11 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=768 16777215 100 0 22944937 22944937 0 0
# compatibility_mode=8192 67108863 100 0 45117 45117 0 0
# scanned=116019
# found=0
# cleaned=0
# scan_time=3789

Gut keine Funde mehr. Rechner jetzt wieder im Lot?

Hallo Arne,

vielen herzlichen Dank. Rechner ist soweit wieder fit, kommen keine Warnungen mehr. Ich hab nur das Gefühl er läuft langsamer, kann mich aber auch täuschen.

Also Danke nochmals und eine Gute Zeit

Dann wären wir durch!

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update



PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink:

Mozilla und andere Browser => http://filepony.de/?q=Flash+Player
Internet Explorer => http://fpdownload.adobe.com/get/flas..._player_ax.exe


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

HAbe alle updates gemacht, den foxit instaliert. Jetzt habe ich da mal ne frage? Wieso öffnet der mir nicht automatisch meine PDFs wenn ich eins anklicke?
Muss ich immer erst den Foxit öffnen und dann eine datei auswählen? Gespeichert habe ich das Programm under C/Programme/...


So nun noch was. Ich habe ein Programm das ich von der CD aus über den InternetBrowser bediene. Das programm startet nun nach dem einlegen der CD nicht mehr. Auch über den Explorer kann ich das Programm nicht mehr starten?????

ok nach 5 mal versuchen hat es geklappt es über den Explorer zu starten.

Zitat:

Wieso öffnet der mir nicht automatisch meine PDFs wenn ich eins anklicke?

Welche PDF willst du öffnen? Aus dem Browser? Soll sie eingebettet im Browser sein oder soll die PDF separat in einem Foxit-Fenster geöffnet werden?

Zitat:

Das programm startet nun nach dem einlegen der CD nicht mehr.

Weil sinnvollerweise das unnötig riskante Autorun (die automatische Wiedergabe) deaktiviert wurde.

wenn ich eigene dateien-> xxx.pdf aufmachen möchte


autorun deaktiviert? gut so, dann weis ich bescheid