|
Infektion über java / rundll32.exe hallo, leider hats mich gestern erwischt und ich werde nicht mehr herr der lage. beim nächtlichen surfen hat sich plötzlich der windows dialog (ein echter) geöffnet, ob ich sicher bin rundll32 auszuführen. da ich mal wieder 10 dinge gleichzeitig gemacht habe (diverse programme liefen) und total im klickwahn war, klickte ich bereits akzeptieren, bevor ich überhaupt registriert hatte, was ich da klicke. im gleichen moment schwante mir schon böses. was soll ich sagen... die infektion war mit ansage! folgende symptome: ein blick in den taskmanager zeigte direkt prozesse wie javah.exe, javaw.exe, mehrere instanzen von rundll32.exe (vorher hatte ich keine einzige). permanent öffnet sich ein IE fenster mit werbung oder einer google suchanfrage "111211url.cptgt.com". in firefox werden google suchergebnisse auf 7search oder andere seiten umgeleitet. mehrere firefox addons haben sich installiert mit den namen: "java console 6.0.12" bis "java console 6.0.22" der rechner ist spürbar langsamer. hijackthis hab ich bereits laufen lassen und einige auffällige prozesse entfernt, allerdings bleibt das problem. anschliessend habe ich auch malwarebytes anti-malware laufen lassen, das ebenfalls 9 infektionen gefunden und (angeblich) erfolgreich entfernt hat. leider besteht das problem weiter. eine mögliche ursache ist das java nicht up-to-date war. ein besuch auf der java webseite sagt mir zwar, dass ich den neuesten client habe, das ist aber definitiv unwahr! im anhang hänge ich 2 logs von hijackthis und anti-malware an. vielen dank für jegliche hilfe! |
1. immer genaue beschreibungen. 2. nimm keinerlei reinigung selbstständig vor, sonst ist das nur störend. 3. reiche alle evtl vorhandenen scan logs nach. ootl: Systemscan mit OTL download otl: http://filepony.de/download-otl/ Doppelklick auf die OTL.exe (user von Windows 7 und Vista: Rechtsklick als Administrator ausführen) 1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output 2. Hake an "scan all users" 3. Unter "Extra Registry wähle: "Use Safelist" "LOP Check" "Purity Check" 4. Kopiere in die Textbox: netsvcs msconfig safebootminimal safebootnetwork activex drivers32 %ALLUSERSPROFILE%\Application Data\*. %ALLUSERSPROFILE%\Application Data\*.exe /s %APPDATA%\*. %APPDATA%\*.exe /s %SYSTEMDRIVE%\*.exe /md5start userinit.exe eventlog.dll scecli.dll netlogon.dll cngaudit.dll ws2ifsl.sys sceclt.dll ntelogon.dll winlogon.exe logevent.dll user32.DLL explorer.exe iaStor.sys nvstor.sys atapi.sys IdeChnDr.sys viasraid.sys AGP440.sys vaxscsi.sys nvatabus.sys viamraid.sys nvata.sys nvgts.sys iastorv.sys ViPrt.sys eNetHook.dll ahcix86.sys KR10N.sys nvstor32.sys ahcix86s.sys /md5stop %systemroot%\system32\drivers\*.sys /lockedfiles %systemroot%\System32\config\*.sav %systemroot%\*. /mp /s %systemroot%\system32\*.dll /lockedfiles CREATERESTOREPOINT 5. Klicke "Scan" 6. 2 reporte werden erstellt: OTL.Txt Extras.Txt |
hier die scan logs... danke! |
bitte erstelle und poste ein combofix log. Ein Leitfaden und Tutorium zur Nutzung von ComboFix |
und hier das combofix log |
VirusTotal - Free Online Virus, Malware and URL Scanner dort prüfe: c:\windows\system32\authsrv32.dll falls datei bereits analysiert, klicke erneut prüfen, poste den ergebniss link |
die datei existiert nicht. ich lasse alle dateien anzeigen, auch die systemdateien. also sie ist definitiv nicht da. ich habe direkt nach der infektion hijackthis ausgeführt und diesen eintrag fixen lassen. vermutlich wurde sie gelöscht!? |
welche probleme gibts noch genau? |
vielen dank erstmal ausdrücklich für die superschnelle helpline hier!!! also ich beschreibe nochmal genau die syptome: erstmal: manchmal passiert für 5 - 10 minuten nichts. alles scheint ganz normal. dann öffnen sich schlagartig IE fenster im ca. 60 sekundentakt die entweder auf google suchergebnisse dieser url verweisen: "111211url.cptgt.com" (das lustige ist, an dritter stelle ist dieser(!!!) thread hier) oder auf diverse werbungs seiten. wenn ich die fenster schliesse, läuft trotzdem der sound der werbungen weiter im hintergrund. nur durch killen des IE aus der prozessliste bekomme ich wieder ruhe. ein paar minuten passiert wieder nichts, dann geht das spektakel von vorne los. im firefox (IE benutze ich eigentlich nie) werden google suchergebnisse beim anklicken auf eine seite namens 7search.com umgeleitet, die von mir will, dass ich dort einen fragebogen ausfülle. gelegentlich werden suchergebnisse auch auf andere werbungsseiten umgelenkt. wenn ich den link einer seite aber manuell in die firefox adresseiste eingebe findet keine umleitung statt. firefox wird manchmal sehr, sehr langsam und fast unbenutzbar träge. währenddessen rödelt die platte wie wild. /edit sorry hab den link nicht den regeln entsprechend bearbeitet. also das ist der link der mit 50% wahrscheinlich im IE fenster angezeigt wird: "hXXp://www.google.com/search?q=111211url.cptgt.com" |
|
ein erster scan hat den rechner einfrieren lassen, nur ein kaltstart half. ich lasse den scan jetzt gerade im abgesicherten modus laufen... |
wow... wird immer selbstsamer. im abgesicherten modus hat der rechner sich offenbar wegen überhitzung selbst abgeschaltet. ich muss ihn jetzt erstmal abkühlen lassen... |
ok. bis später. |
ok, hier das gmer log. allerdings aus dem abgesicherten modus. im normalmodus hatte das log sehr viel mehr einträge... |
wo ist das log aus dem normalen modus. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 20:31 Uhr. |
Copyright ©2000-2025, Trojaner-Board