Trojaner-Board - Java/Exploit.Blacole.AN Trojaner ? Gelöscht, was nu Sys clr oder nicht ?

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Java/Exploit.Blacole.AN Trojaner ? Gelöscht, was nu Sys clr oder nicht ? (https://www.trojaner-board.de/112029-java-exploit-blacole-trojaner-geloescht-nu-sys-clr.html)

Java/Exploit.Blacole.AN Trojaner ? Gelöscht, was nu Sys clr oder nicht ?

Hi ho Trojaner-board Team,

ich habe heute über Nacht wieder mal die Eset-Systemprüfung angehauen und da bei Folgendes entdeckt:

(siehe Anhang, Log ist zu Lang fürs Posten)

nun ist meine Fragen ob mein System weiter Kompromittiert ist oder nicht ? Da der Scan nur eine Schnell Prüfung war, läuft aktuell noch eine Tiefenprüfung, die kann aber noch ein paar Stunden dauern, wenn es fertig ist kann ich den Log ggf. Posten falls dieser benötigt wird.

Die Checkliste bin ich durchgegangen und wird auch angehangen.

Mfg

Welches ESET genau hast du da benutzt?

ESET Smart Security 4 mit der Signaturdatenbank: 6984 (20120320)

Mfg

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

OK :) Log Poste ich dann

So hier der Log:

Code:

Malwarebytes Anti-Malware (Test) 1.60.1.1000

www.malwarebytes.org
 

Datenbank Version: v2012.03.22.02
 

Windows 7 Service Pack 1 x64 NTFS

Internet Explorer 9.0.8112.16421

Pointshot :: POINTSHOT-PC [Administrator]
 

Schutz: Aktiviert
 

22.03.2012 13:06:50

mbam-log-2012-03-22 (13-06-50).txt
 

Art des Suchlaufs: Vollständiger Suchlauf

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 784842

Laufzeit: 1 Stunde(n), 56 Minute(n), 21 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 0

(Keine bösartigen Objekte gefunden)
 

(Ende)

Mfg

Hm also ich gerade erneute mal nur aus spaß wieder einen schnell Scan durchgeführt habe kamm dies:

Code:

C:\Users\Pointshot\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\52\98399f4-5e9bed0f » ZIP » a/Help.class - Variante von Java/TrojanDownloader.Agent.NDR Trojaner - war Teil des gelöschten Objekts

C:\Users\Pointshot\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\52\98399f4-5e9bed0f » ZIP » a/Test.class - Variante von Java/TrojanDownloader.Agent.NDR Trojaner - war Teil des gelöschten Objekts

also das ist wieder der schnell Scan von Eset... über Malwarbytes:

Code:

Malwarebytes Anti-Malware (Test) 1.60.1.1000

www.malwarebytes.org
 

Datenbank Version: v2012.03.22.04
 

Windows 7 Service Pack 1 x64 NTFS

Internet Explorer 9.0.8112.16421

Pointshot :: POINTSHOT-PC [Administrator]
 

Schutz: Aktiviert
 

23.03.2012 13:02:47

mbam-log-2012-03-23 (13-02-47).txt
 

Art des Suchlaufs: Quick-Scan

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 194151

Laufzeit: 3 Minute(n), 58 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 0

(Keine bösartigen Objekte gefunden)
 

(Ende)

Malwarebytes erstellt bei jedem Scanvorgang genau ein Log. Hast du in der Vergangenheit schonmal mit Malwarebytes gescannt?
Wenn ja dann stehen auch alle Logs zu jedem Scanvorgang im Reiter Logdateien. Bitte alle posten, die dort sichtbar sind.

Zitat:

Hm also ich gerade erneute mal nur aus spaß wieder einen schnell Scan durchgeführt habe kamm dies:

Mit welchem Scanner? Das sind "nur" Funde im Java-Cache. Du möchtest diesen mal leeren also den Ordner 6.0 in C:\Users\Pointshot\AppData\LocalLow\Sun\Java\Deployment\cache löschen

Naja den Scan habe ich mit ESET Smart Security 4 durchgeführt...

Den Java-Cache, also der Inhalt wurde gelöscht...
Mit Malwarebytes habe ich vorher nie gescant. Malwarebytes wurde erst auf den Rechner installiert als es mir gesagt wurde.

Die aller erste Log-Datei von Malwarebytes ist diese:

Code:

2012/03/22 13:05:50 +0100        POINTSHOT-PC        Pointshot        MESSAGE        Starting protection

2012/03/22 13:05:51 +0100        POINTSHOT-PC        Pointshot        MESSAGE        Protection started successfully

2012/03/22 13:05:54 +0100        POINTSHOT-PC        Pointshot        MESSAGE        Starting IP protection

2012/03/22 13:05:56 +0100        POINTSHOT-PC        Pointshot        MESSAGE        IP Protection started successfully

2012/03/22 18:14:04 +0100        POINTSHOT-PC        Pointshot        MESSAGE        Executing scheduled update:  Daily

2012/03/22 18:14:09 +0100        POINTSHOT-PC        Pointshot        MESSAGE        Scheduled update executed successfully:  database updated from version v2012.03.22.02 to version v2012.03.22.03

2012/03/22 18:14:09 +0100        POINTSHOT-PC        Pointshot        MESSAGE        Starting database refresh

2012/03/22 18:14:09 +0100        POINTSHOT-PC        Pointshot        MESSAGE        Stopping IP protection

2012/03/22 18:15:12 +0100        POINTSHOT-PC        Pointshot        MESSAGE        IP Protection stopped

2012/03/22 18:15:14 +0100        POINTSHOT-PC        Pointshot        MESSAGE        Database refreshed successfully

2012/03/22 18:15:14 +0100        POINTSHOT-PC        Pointshot        MESSAGE        Starting IP protection

2012/03/22 18:15:15 +0100        POINTSHOT-PC        Pointshot        MESSAGE        IP Protection started successfully

der 2te Log eintrag war der, den ich oben gepostet hat als ich dazu aufgevordert wurde mit Malwarebytes den Vollständigen suchlauf durchzuführen.

und dann hat ich nochmal mit Malwarebytes (Quick-Scan) gescant als ESET Smart Security 4, den 2ten Fund anzeigte... der Quick-Scan ist ja auch gepostet... Rechner hatte ich nach dem letzten Post hier, vom Netzwerk getrennt, in der Zeit lief noch mal ein Vollständiger Scan:

Code:

Malwarebytes Anti-Malware (Test) 1.60.1.1000

www.malwarebytes.org
 

Datenbank Version: v2012.03.22.05
 

Windows 7 Service Pack 1 x64 NTFS

Internet Explorer 9.0.8112.16421

Pointshot :: POINTSHOT-PC [Administrator]
 

Schutz: Aktiviert
 

23.03.2012 14:36:34

mbam-log-2012-03-23 (14-36-34).txt
 

Art des Suchlaufs: Vollständiger Suchlauf

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 783870

Laufzeit: 2 Stunde(n), 24 Minute(n), 25 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 0

(Keine bösartigen Objekte gefunden)
 

(Ende)

und hier das Log als ich den Rechner wieder ans Netzwerk angeschlossen habe:

Code:

2012/03/23 00:05:17 +0100        POINTSHOT-PC        Pointshot        MESSAGE        Starting database refresh

2012/03/23 00:05:17 +0100        POINTSHOT-PC        Pointshot        MESSAGE        Stopping IP protection

2012/03/23 00:06:26 +0100        POINTSHOT-PC        Pointshot        MESSAGE        IP Protection stopped

2012/03/23 00:06:27 +0100        POINTSHOT-PC        Pointshot        MESSAGE        Database refreshed successfully

2012/03/23 00:06:27 +0100        POINTSHOT-PC        Pointshot        MESSAGE        Starting IP protection

2012/03/23 00:06:29 +0100        POINTSHOT-PC        Pointshot        MESSAGE        IP Protection started successfully

2012/03/23 13:23:28 +0100        POINTSHOT-PC        Pointshot        MESSAGE        Starting database refresh

2012/03/23 13:23:28 +0100        POINTSHOT-PC        Pointshot        MESSAGE        Stopping IP protection

2012/03/23 13:24:41 +0100        POINTSHOT-PC        Pointshot        MESSAGE        IP Protection stopped

2012/03/23 13:24:43 +0100        POINTSHOT-PC        Pointshot        MESSAGE        Database refreshed successfully

2012/03/23 13:24:43 +0100        POINTSHOT-PC        Pointshot        MESSAGE        Starting IP protection

2012/03/23 13:24:44 +0100        POINTSHOT-PC        Pointshot        MESSAGE        IP Protection started successfully

2012/03/23 14:33:05 +0100        POINTSHOT-PC        Pointshot        MESSAGE        Starting protection

2012/03/23 14:33:07 +0100        POINTSHOT-PC        Pointshot        MESSAGE        Protection started successfully

2012/03/23 14:33:10 +0100        POINTSHOT-PC        Pointshot        MESSAGE        Starting IP protection

2012/03/23 14:33:12 +0100        POINTSHOT-PC        Pointshot        MESSAGE        IP Protection started successfully

2012/03/23 18:30:56 +0100        POINTSHOT-PC        Pointshot        MESSAGE        Executing scheduled update:  Daily

2012/03/23 18:30:56 +0100        POINTSHOT-PC        Pointshot        ERROR        Scheduled update failed:  No address found failed with error code 11004

2012/03/23 23:30:22 +0100        POINTSHOT-PC        Pointshot        IP-BLOCK        83.128.3.231 (Type: outgoing, Port: 50913, Process: pmb.exe)

bzw. ich habe aktuell nochmal einen neuen gemacht:

Code:

Malwarebytes Anti-Malware (Test) 1.60.1.1000

www.malwarebytes.org
 

Datenbank Version: v2012.03.22.05
 

Windows 7 Service Pack 1 x64 NTFS

Internet Explorer 9.0.8112.16421

Pointshot :: POINTSHOT-PC [Administrator]
 

Schutz: Aktiviert
 

23.03.2012 23:45:59

mbam-log-2012-03-23 (23-45-59).txt
 

Art des Suchlaufs: Quick-Scan

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 193926

Laufzeit: 3 Minute(n), 44 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 0

(Keine bösartigen Objekte gefunden)
 

(Ende)

das wars an Logs.

Mfg