JAVA/Agent.FP und JAVA/Dldr.Agent und andere Schädlinge
 

hallo,

Betriebssystemname Microsoft Windows XP Professional
Version 5.1.2600 Service Pack 3 Build 2600
Betriebssystemhersteller Microsoft Corporation
Systemname ***-xxx
Systemhersteller MICRO-STAR INTERNATIONAL CO.,LTD
Systemmodell MS-7514
Systemtyp X86-basierter PC
Prozessor x86 Family 6 Model 23 Stepping 10 GenuineIntel ~3007 Mhz
BIOS-Version/-Datum American Megatrends Inc. V1.5, 11.09.2008
SMBIOS-Version 2.5
Windows-Verzeichnis C:\WINDOWS
Systemverzeichnis C:\WINDOWS\system32
Startgerät \Device\HarddiskVolume1
Gebietsschema Deutschland
Hardwareabstraktionsebene Version = "5.1.2600.5512 (xpsp.080413-2111)"
Benutzername ***-xxx\***
Zeitzone Westeuropäische Normalzeit
Gesamter realer Speicher 4.096,00 MB
Verfügbarer realer Speicher 2,26 GB
Gesamter virtueller Speicher 2,00 GB
Verfügbarer virtueller Speicher 1,96 GB
Größe der Auslagerungsdatei 4,84 GB
Auslagerungsdatei C:\pagefile.sys





vor einiger zeit meldete sich mein avira und hat einige java/agent viren entdeckt, dachte damals das problem wäre durch avira bereinigt worden.
...
gestern habe ich nochmal einen systemscan durchgeführt und es wurden einige viren in:

\Lokale Einstellungen\temp\jar_cache6065673759433015481.tmp
\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\4\33dff2c4-55207403
usw...

*malwarebytes hat nach 3min suche auf der ganzen! festplatte nichts gefunden
*außerderm dauert der avira-scan exrem lange und hört irgendwann auf bzw. der pc hängt sich auf
EDIT: ich habe java (Version 6 Update 22).

ich hab dann mal mit OTL gescannt. hier die berichte im anhang.

mfg bakkli

Quickscan oder Vollscan? Wie auch immer, auch wenn nichts gefunden wird immer die Logs von malwarebytes posten.

als quick-scan:

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

keine älteren logs vorhanden.

Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org

Datenbank Version: 5228

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

01.12.2010 23:47:17
mbam-log-2010-12-01 (23-47-17).txt

Art des Suchlaufs: Vollständiger Suchlauf (A:\|C:\|D:\|E:\|)
Durchsuchte Objekte: 279970
Laufzeit: 1 Stunde(n), 0 Minute(n), 42 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

im anhang der bericht.

Wieso wurde die WHK nicht installiert?

hab mich iwie verklickt:o

Sowas ist nicht gut :pfeiff:

Führ CF bitte nochmal aus, aber mit Installation der WHK!

so jetzt mit wiederherstellungskonsole...

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur eine Sekunde.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

hier die logfiles:

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

hier die logs.
wenn es "ok" aussieht wundern mich die vielen avira meldungen. avia meldet auch öfter funde im "cache" ordner gefunden zu haben.

Das sieht ok aus, denn da wurden nur Cookies gefunden.

Meinst du die im Javacache? Die sollte man imho nicht so ernst nehmen...

Noch Probleme oder weitere Funde in der Zwischenzeit?

nein, bisher keine funde in der zwischenzeit.
ja das waren glaube ich die im java-cache
mich wundert nur warum avira immer abgebrochen hat bzw. der pc abstürzte beim suchlauf.
ich habe noch eine große zahl an einträgen(auch von vor monaten) in der quarantäne, soll ich das so belassen oder löschen?


noch ein paar fragen: stimmt es, dass virenscanner im abgesicherten modus bzw. unter einem anderen system(bei mir z.b.linux) effektiver sind, da die viren dafür nicht gut angepasst sind?
ich habe auch mal gelesen, dass es malware geben soll die selbst ein neuaufsetzen des pcs überleben sollen, da sie sich im bootsektor festsetzen oder so?

vielen dank für deine hilfe. :daumenhoc

Lass die in der Quarantäne. Es ist im Prinzip egal ob man die löscht oder in Quarantäne steckt, in letzterem sind sie harmlos weil isoliert, aber mit dem Vorteil, dass man notfalls an diese Datei rankommt wenn man will (zwecks Auswertung oder Wiederherstellung weil es ein Fehlalarm war) - diese Möglichkeit hast du bei einem direkten Löschen ohne was in Quarantäne zu stecken NICHT!!

Wer erzählt dir sowas?? Nein das stimmt so nicht. Der abgesicherte Modus lädt Windows nur in einem minimalen Grundmodus, wo auch viele Schädlinge nicht gestartet würden...
=> Abgesicherter Modus ? Wikipedia

Ja die gibt es. Aber vor dem neuaufsetzen wird idR auch der MBR immer neu geschrieben, wenn man sicher gehen will überschreibt man den vorher manuell (also vor der Neuinstallation des Betriebssystems)

ok danke.:)

Dann wären wir durch! :abklatsch:

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update



PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

danke, mach ich.
habe doch noch eineallgemeine fragen zur sicherheit.
es gibt so ein programm, dass nach verfügbaren updates aller programme sucht, weißt du wie das heißt?

Da gibt es zB Secunia PSI