Trojaner-Board - AVG Rescue CD findet Java/Exploit.AOQ

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - AVG Rescue CD findet Java/Exploit.AOQ (https://www.trojaner-board.de/115485-avg-rescue-cd-findet-java-exploit-aoq.html)

AVG Rescue CD findet Java/Exploit.AOQ

AVG Bericht, Attach.txt und gmer.txt im Anhang.
Keine Auffälligkeiten am System, Software wird regelmäßig aktualisiert.

Virustotal:
https://www.virustotal.com/file/4096fe528482e8f4c5b29d8417bc5338ab79b4da593bcb7f0cc3cd56189947b4/analysis/

DDS:

Code:

.

DDS (Ver_2011-08-26.01) - NTFSx86 

Internet Explorer: 8.0.6001.18702  BrowserJavaVersion: 1.6.0_31

Run by Admin at 19:08:35 on 2012-05-20

Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.511.294 [GMT 2:00]

.

AV: Avira Desktop *Enabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}

.

============== Running Processes ===============

.

C:\WINDOWS\system32\svchost -k DcomLaunch

svchost.exe

C:\WINDOWS\System32\svchost.exe -k netsvcs

C:\WINDOWS\SuRun.exe

svchost.exe

svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Avira\AntiVir Desktop\sched.exe

svchost.exe

C:\Programme\Avira\AntiVir Desktop\avguard.exe

C:\Programme\Java\jre6\bin\jqs.exe

C:\Programme\Macrium\Reflect\ReflectService.exe

C:\WINDOWS\system32\svchost.exe -k imgsvc

C:\Programme\UltraVNC\WinVNC.exe

C:\Programme\UltraVNC\WinVNC.exe

C:\Programme\Avira\AntiVir Desktop\avshadow.exe

.

============== Pseudo HJT Report ===============

.

uStart Page = hxxp://www.google.com/

BHO: AcroIEHlprObj Class: {06849e9f-c8d7-4d59-b87d-784b7d6be0b3} - c:\programme\adobe\acrobat 6.0\acrobat\activex\AcroIEHelper.dll

BHO: Java(tm) Plug-In SSV Helper: {761497bb-d6f0-462c-b6eb-d4daf1d92d43} - c:\programme\java\jre6\bin\ssv.dll

BHO: AcroIEToolbarHelper Class: {ae7cd045-e861-484f-8273-0445ee161910} - c:\programme\adobe\acrobat 6.0\acrobat\AcroIEFavClient.dll

BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\programme\java\jre6\bin\jp2ssv.dll

BHO: JQSIEStartDetectorImpl Class: {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - c:\programme\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

TB: Adobe PDF: {47833539-d0c5-4125-9fa8-0819e2eaac93} - c:\programme\adobe\acrobat 6.0\acrobat\AcroIEFavClient.dll

EB: Adobe PDF: {182ec0be-5110-49c8-a062-beb1d02a220b} - c:\programme\adobe\acrobat 6.0\acrobat\AcroIEFavClient.dll

uRun: [CTFMON.EXE] c:\windows\system32\ctfmon.exe

mRun: [SuRun Systemmenü-Erweiterung] c:\windows\SuRun.exe /SYSMENUHOOK

mRun: [avgnt] "c:\programme\avira\antivir desktop\avgnt.exe" /min

mRun: [SunJavaUpdateSched] "c:\programme\gemeinsame dateien\java\java update\jusched.exe"

dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE

dRunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N

uPolicies-explorer: ForceClassicControlPanel = 1 (0x1)

uPolicies-explorer: NoResolveTrack = 1 (0x1)

uPolicies-explorer: NoSMHelp = 1 (0x1)

mPolicies-explorer: EnableShellExecuteHooks = 1 (0x1)

dPolicies-explorer: ForceClassicControlPanel = 1 (0x1)

dPolicies-explorer: NoResolveTrack = 1 (0x1)

dPolicies-explorer: NoSMHelp = 1 (0x1)

IE: Nach Microsoft &Excel exportieren - c:\progra~1\micros~3\office10\EXCEL.EXE/3000

IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} - hxxp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1323016763937

DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} - hxxp://download.eset.com/special/eos/OnlineScanner.cab

DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab

DPF: {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab

DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab

TCP: Interfaces\{DBA9B8BA-52BA-4C00-AEA0-4E04A5A17DD5} : NameServer = 192.168.178.1

SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - c:\windows\system32\WPDShServiceObj.dll

SEH: SuRun Shell Extension: {2c7b6088-5a77-4d48-be43-30337dca9a86} - SuRunExt.dll

.

================= FIREFOX ===================

.

FF - ProfilePath - 

.

============= SERVICES / DRIVERS ===============

.

R0 pssnap;Paramount Software Snapshot Filter;c:\windows\system32\drivers\pssnap.sys [2011-11-9 16024]

R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [2011-12-4 36000]

R2 AntiVirSchedulerService;Avira Planer;c:\programme\avira\antivir desktop\sched.exe [2011-12-4 86224]

R2 AntiVirService;Avira Echtzeit Scanner;c:\programme\avira\antivir desktop\avguard.exe [2011-12-4 110032]

R2 avgntflt;avgntflt;c:\windows\system32\drivers\avgntflt.sys [2011-12-4 83392]

R2 ReflectService.exe;Macrium Reflect Image Mounting Service;c:\programme\macrium\reflect\ReflectService.exe [2011-11-9 224920]

R2 Super User Run (SuRun) Service;Super User Run (SuRun) Service;c:\windows\SuRun.exe [2010-3-14 503858]

R2 uvnc_service;uvnc_service;c:\programme\ultravnc\winvnc.exe [2012-5-6 2015968]

R3 AR9271;Wireless Network Adapter Service;c:\windows\system32\drivers\athuw.sys [2011-12-31 1756384]

R3 mv2;mv2;c:\windows\system32\drivers\mv2.sys [2012-5-6 11496]

S3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\macromed\flash\FlashPlayerUpdateService.exe [2012-3-31 257696]

S3 MozillaMaintenance;Mozilla Maintenance Service;c:\programme\mozilla maintenance service\maintenanceservice.exe [2012-4-28 129976]

.

=============== Created Last 30 ================

.

2012-05-10 08:10:25        --------        d-sh--w-        \Config.Msi

2012-05-06 17:16:41        --------        d-----w-        c:\programme\TeamViewer

2012-05-06 15:28:32        21480        ----a-w-        c:\windows\system32\mv2.dll

2012-05-06 15:28:32        11496        ----a-w-        c:\windows\system32\drivers\mv2.sys

2012-05-06 15:28:23        --------        d-----w-        c:\programme\UltraVNC

2012-04-28 12:33:46        --------        d-----w-        c:\programme\Mozilla Maintenance Service

2012-04-28 12:33:45        97208        ----a-w-        c:\programme\mozilla firefox\components\browsercomps.dll

2012-04-28 12:33:41        157352        ----a-w-        c:\programme\mozilla firefox\maintenanceservice_installer.exe

2012-04-28 12:33:41        129976        ----a-w-        c:\programme\mozilla firefox\maintenanceservice.exe

.

==================== Find3M  ====================

.

2012-05-08 09:16:45        83392        ----a-w-        c:\windows\system32\drivers\avgntflt.sys

2012-05-06 08:27:32        419488        ----a-w-        c:\windows\system32\FlashPlayerApp.exe

2012-05-06 08:27:30        70304        ----a-w-        c:\windows\system32\FlashPlayerCPLApp.cpl

2012-04-11 13:51:20        2071424        ----a-w-        c:\windows\system32\ntkrnlpa.exe

2012-04-11 13:51:18        1862400        ----a-w-        c:\windows\system32\win32k.sys

2012-04-11 13:51:17        2194944        ----a-w-        c:\windows\system32\ntoskrnl.exe

2012-03-01 11:00:09        916992        ----a-w-        c:\windows\system32\wininet.dll

2012-03-01 11:00:08        43520        ----a-w-        c:\windows\system32\licmgr10.dll

2012-03-01 11:00:08        1469440        ------w-        c:\windows\system32\inetcpl.cpl

2012-02-29 14:09:48        177664        ----a-w-        c:\windows\system32\wintrust.dll

2012-02-29 14:09:48        148480        ----a-w-        c:\windows\system32\imagehlp.dll

2012-02-29 12:17:40        385024        ----a-w-        c:\windows\system32\html.iec

.

============= FINISH: 19:09:10,20 ===============

Java ist bei dir aktuell?
Den JavaCache hast du schonmal geleert?

Java ist aktuell (also die aktuellste 6er Version aus Kompatibilitätsgründen).
Soll ich den Cache wirklich löschen? Normalerweise empfehlt ihr doch immer, erst einmal nichts zu entfernen.

Zitat:

Java ist aktuell (also die aktuellste 6er Version aus Kompatibilitätsgründen).

Oracle empfiehlt mittlerweile Java7, bis vor kurzem sollte man aber tatsächlich noch produktiv Java6 verwenden
Welches Java6 genau hast du?

Zitat:

Normalerweise empfehlt ihr doch immer, erst einmal nichts zu entfernen.

Das stimmt so pauschal ausgesagt nicht
Den Cache leeren sollte man IMHO ruhig regelmäßig mal tun, gerade wenn angebliche Exploits gefunden wurden
Wenn du den Cache nämlich nicht leerst, weißt du nicht so auf dem ersten Blick ob das eine alte Datei im Cache ist oder ob da eine neuere Datei angemeckert wird

Java 6 Update 31
Cache habe ich geleert und Datei wird auch nicht mehr im Explorer angezeigt.

Zitat:

Java 6 Update 31

Ich meine Update 32 wäre aktuell für die 6er Reihe => Java SE 6u32 Downloads

Stimmt, ist offenbar vor 2 Wochen erschienen.
Aber wie entferne ich nun die Schädlinge?

Wurde schon genannt => Cache leeren

Wenn du immer immer noch Probleme hast melden

Hatte ich bereits geschrieben, Cache ist geleert, aber wie kann ich nun feststellen, ob das System wieder in Ordnung ist?

Was heißt denn wieder?! Es gab kein Problem, da bevor der Exploit Schaden anrichten konnte ja gestoppt wurde!
Außerdem schrieb ich, dass du dich melden solltest falls es noch Probleme oder weitere Funde gibt

Dass er vorher gestoppt wurde hast du den Logfiles entnommen?

Zitat:

Dass er vorher gestoppt wurde hast du den Logfiles entnommen?

Welchem Log? Wo steht was von vorzeitig gestoppt? Hier sieh unten im AVG-Log von dir nochmal selbst nach, da steht nichts davon und das ist von dir das erste Mal, dass du von einem vorzeitigen Stopp redest.
Wenn ich die Info nicht habe kann ich ja schlecht wissen was dich beunruhigt oder hätte ich die :glaskugel: konsultieren sollen? :confused:

=> eine Scanzeit von 2223 Sekunden (was ungefähr 37 Minuten entspricht), dabei wurden über 80.000 Elemente durchsucht - das kann durchaus einem Vollscan entsprechen

Code:

AVG command line Anti-Virus scanner

Copyright (c) 2011 AVG Technologies CZ
 

Virus database version: 2409/5011

Virus database release date: Sun, 20 May 2012 06:34:00 +0000

Scan command: /opt/avg/av/bin/avgscan -T --ignerrors --report /opt/avg/arl/scan_report.txt --arc --heur --pup --pup2 --hidext -W /mnt/sdb1/WINDOWS\\%WINDOWS% /mnt/sdb1 
 

/mnt/sdb1/Dokumente und Einstellungen/Frank/Anwendungsdaten/Sun/Java/Deployment/cache/6.0/17/5a587fd1-2ef4ec35:/Photo.class  Trojan horse Java/Exploit.AOQ

/mnt/sdb1/Dokumente und Einstellungen/Frank/Anwendungsdaten/Sun/Java/Deployment/cache/6.0/17/5a587fd1-2ef4ec35  Trojan horse Java/Exploit.AOQ

------------------------------------------------------------------------------

Scan started at: Sun, 20 May 2012 15:43:54 +0000

Scan ended at: Sun, 20 May 2012 16:20:58 +0000
 

Elapsed time:  2223s

------------------------------------------------------------------------------

Files scanned     :  82870(32165)

Infections found  :  2(1)

PUPs found        :  0

Files healed      :  0

Warnings reported :  0

Errors reported   :  0

------------------------------------------------------------------------------

Jetzt haben wir aneinander vorbeigeredet ;)

Zitat:

Es gab kein Problem, da bevor der Exploit Schaden anrichten konnte ja gestoppt wurde!

Das meinte ich mit vorzeitig gestoppt.

Ja, bei dem Scan handelte es sich um einen Vollscan, der auch zu Ende gebracht wurde.

Oh, dann hab ich dich völlig falsch verstanden :lach: :D :uglyhammer:

:stirn:

Natürlich kann über die Rescue-Disc nichts vorzeitig gestoppt werden. Da kam ja rein als du vorher noch normal in Windows drin warst. Meine Fehler, hab da diesen Zusammenhang nicht berücksichtigt :headbang:

Jedenfalls scheint es aber so, als ob der Exploit ins Leere gelaufen wäre.
Damit so ein Exploit funktioniert, muss er erstens ausgeführt werden und zweitens muss er auch die entsprechende alte Java-Version vorfinden. Wenn das also ein Exploit war, der alte bis uralte Java-Versionen angreift, dann war/ist JRE6u31 nicht verwundbar bei diesem Exploit

Sofern es denn auch KEIN Fehlalarm war :D

Kannst ja mal routinemäßig einen Vollscan mit malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:

hier steht das Log

ESET

Code:

ESETSmartInstaller@High as downloader log:

all ok

# version=7

# OnlineScannerApp.exe=1.0.0.1

# OnlineScanner.ocx=1.0.0.6583

# api_version=3.0.2

# EOSSerial=78138735bbb35c48a65daa7cea2ade1b

# end=finished

# remove_checked=false

# archives_checked=false

# unwanted_checked=true

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2012-05-23 03:05:32

# local_time=2012-05-23 05:05:32 (+0100, Westeuropäische Sommerzeit)

# country="Germany"

# lang=1031

# osver=5.1.2600 NT Service Pack 3

# compatibility_mode=512 16777215 100 0 0 0 0 0

# compatibility_mode=1792 16777175 100 0 14762953 14762953 0 0

# compatibility_mode=8192 67108863 100 0 132 132 0 0

# scanned=51810

# found=0

# cleaned=0

# scan_time=5563

MBAM

Code:

Malwarebytes Anti-Malware 1.61.0.1400

www.malwarebytes.org
 

Datenbank Version: v2012.05.22.03
 

Windows XP Service Pack 3 x86 NTFS

Internet Explorer 8.0.6001.18702

Benutzer :: AMD [Administrator]
 

22.05.2012 20:45:38

mbam-log-2012-05-22 (22-45-17).txt
 

Art des Suchlaufs: Vollständiger Suchlauf

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 259227

Laufzeit: 51 Minute(n), 18 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 1

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|ForceClassicControlPanel (Hijack.ControlPanelStyle) -> Daten: 1 -> Keine Aktion durchgeführt.
 

Infizierte Dateiobjekte der Registrierung: 2

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowHelp (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Keine Aktion durchgeführt.

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|NoSMHelp (PUM.Hijack.Help) -> Bösartig: (1) Gut: (0) -> Keine Aktion durchgeführt.
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 0

(Keine bösartigen Objekte gefunden)
 

(Ende)