Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Antivir Fund JAVA/Agent.IV; JAVA/Agent.HT.2; JAVA/Agent.ID.2 (https://www.trojaner-board.de/94398-antivir-fund-java-agent-iv-java-agent-ht-2-java-agent-id-2-a.html)

firestriker 02.01.2011 23:08
Antivir Fund JAVA/Agent.IV; JAVA/Agent.HT.2; JAVA/Agent.ID.2
 
Hallo,
ich habe gerade ein Fullscan mit Antivir gemacht und folgendes gefunden (und in die Quarantäne verschoben):

HTML-Code:
C:\Dokumente und Einstellungen\*eingeschr. Benutzer*\Lokale Einstellungen\Temp\jar_cache2777882797088858390.tmp
[0] Archivtyp: ZIP
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Agent.IV
--> news/messenger.class
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Agent.IV
C:\Dokumente und Einstellungen\*eingeschr. Benutzer*\Lokale Einstellungen\Temp\jar_cache3564569897641648549.tmp
[0] Archivtyp: ZIP
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Agent.HT.2
--> applet.class
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Agent.HT.2
--> tools.class
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Agent.ID.2

Vor ca. 3 Wochen ist mir der PC beim surfen hängen geblieben und wollte WinXP SP3 nicht wieder gescheit starten. Ich habe dann den MBR neu geschrieben und "chkdsk" hat einige Einträge repariert. Seitdem läuft mein Rechner wieder, allerdings (gefühlt) langsamer als vorher.
Ich bin zuerst von einem Fehler der Festplatte ausgegangen, aber weitere Festplattenchecks haben nichts gemeldet.
(Bis jetzt habe ich mit dem Rechner auch nicht mehr viel gemacht, ausser WinXP und einige Programme aktualisiert )

Virenscan habe ich erst jetzt gemacht, weil ich gar nicht auf die Idee eines Virus gekommen bin.



MBAMlogfile: h**p://www.file-upload.net/download-3097582/mbam-log-2011-01-02--20-41-59-.txt.html

RSIT meldet beim Ausführen einen Fehler: h**p://www.file-upload.net/view-3097575/rsit_fehler.JPG.html

Wenn ich noch weiteres nachliefern soll, bitte bescheid sagen.

Wäre nett, wenn mir jmd. helfen kann. :)
Dankeschön,
Firestriker

cosinus 03.01.2011 13:49
Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind.

firestriker 03.01.2011 16:01
Hallo cosinus,

es gibt noch 2 logs vom Jahresende (nachdem die Probleme aufgetreten sind), allerdings leider nur von Quick-Scans.

h**p://www.file-upload.net/download-3098971/MBAM_Logs.rar.html

cosinus 03.01.2011 20:07
Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Doppelklick auf die OTL.exe
  • Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
  • Unter Extra Registry, wähle bitte Use SafeList
  • Klicke nun auf Run Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt
  • Poste die Logfiles hier in den Thread.

firestriker 03.01.2011 23:02
done,

h**p://www.file-upload.net/download-3100374/OTL_logs.rar.html

Ich habe wie auf dem Screenshot im Toturial zu sehen ist auch "LOP -" und "Purity-Prüfung" und "scanne alle Benutzer" ausgewählt.

cosinus 03.01.2011 23:21
Rel. unauffällig. Mach mal ein Log mit CF:


ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
http://saved.im/mtm0nzyzmzd5/cofi.jpg
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

firestriker 03.01.2011 23:36
Werde die Liste gleich abarbeiten.
Vorher habe ich noch eine Nachfrage:

- Gibt es eine Option den CCleaner für alle Nutzer auszuführen, oder muss ich mich jeweils einloggen und unter dem jeweiligen Benutzer ausführen? Bei bisherigen Clean-Vorgängen ist mir aufgefallen, dass z.b. Cockies etc. nur vom aktiven Nutzer gelöscht werden.


(Antivir kann ich ja nicht beenden, sondern nur deaktivieren oder bin ich nur zu blind? :balla:)

cosinus 04.01.2011 09:18
Zitat:
dass z.b. Cockies etc. nur vom aktiven Nutzer gelöscht werden.
Dafür hab ich auch noch keine Lösung gefunden, beschäftige mich aber auch nicht wirklich mehr damit. Grundsätzlich reicht es, wenn du das Profil des Users aufräumst, der auch CF ausführt.

firestriker 04.01.2011 16:37
Ich habe jetzt mal beim Admin und beim eingeschr. Nutzer CCleaner durchlaufen lassen.

Hier die Log-Datei von combofix:
h**p://www.file-upload.net/download-3101817/cofi_log.txt.html

btw.: Habe ich der installierten Wiederherstellungskonsole zu verdanken, dass sich der IE wieder als Standard-Browser definiert hat?

Danke!

cosinus 04.01.2011 16:57
Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur wenige Sekunden.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes

firestriker 04.01.2011 18:10
Hi,

also gmer ist jedes Mal bei scannen hängen geblieben.
osam und mbrcheck habe ich gemacht.

h**p://www.file-upload.net/download-3102084/log_osam_gmer_mbr.rar.html

Ich habe mal das, was gmer im ersten Scan schon ausgespuckt hatte in eine Textdatei geschrieben und auch hochgeladen.

cosinus 04.01.2011 20:40
Zitat:
"vsdatant" (vsdatant) - "Zone Labs, LLC" - C:\WINDOWS\system32\vsdatant.sys
Hattest du mal ZoneAlarm draf? wenn ja, kannst du das mit OSAM fixen

firestriker 04.01.2011 20:47
Und wenn nicht? Sehr merkwürdig, ich hatte seit einer Neuinstallation vor wenigen Monaten keine Personal-Firewall mehr installiert.

btw: Der Windowsstart dauert trotz SSD noch ungewöhnlich lange.

edit: Nur als Nachfrage nochmal: Bei den ganzen Scans werden doch auch alle Nutzer mitgescannt, oder? Die Viren hatte sich ja im "Temp"-Verzeichnis meines eingeschr. Benutzers versteckt.

cosinus 04.01.2011 20:52
Zitat:
Und wenn nicht? Sehr merkwürdig, ich hatte seit einer Neuinstallation vor wenigen Monaten keine Personal-Firewall mehr installiert.
vsdatant ist aber typisch ZA :crazy:
Kannst ja erstmal nur deaktivieren und wenns keine Probleme gibt endgültig kicken (delete from storage)

Zitat:
btw: Der Windowsstart dauert trotz SSD noch ungewöhnlich lange.
Wie lange genau? :wtf:

firestriker 04.01.2011 21:05
Also ZA war definitiv nicht installiert! (Kann sein, dass ich zu Anfang die *.exe runtergeladen habe, aber mich danach etwas mit Personal-Firewalls auseinandergesetzt und die Datei wieder gelöscht. Aber davon sollte wohl kein Eintrag entstanden sein?!)

Windowsstart (bis ich den Benutzer auswählen kann): etwa 2 min 20 sek (vorher gute 30-40 sek)

Werde das auf jeden Fall deaktivieren!

firestriker 05.01.2011 19:28
Hey cosinus,

habe die
Zitat:
"vsdatant" (vsdatant) - "Zone Labs, LLC" - C:\WINDOWS\system32\vsdatant.sys
jetzt einfach mal entfernt. Bis jetzt ist mir nichts aufgefallen.
Der Windowsstart ist auch unverändert langsam. ;)

Ein erneuter Scan mit MBAM brachte kein Ergebnis.

Allerdings verstehe ich die Warnmeldungen von Antivir nicht ganz.
Ich habe zwei Scans gemacht und die Warnmeldungen mal hochgeladen. Wäre nett, wenn du einmal drüberschauen könntest.
Komisch finde ich, dass beim ersten Scans eine versteckte Datei gefunden wurde, beim zweiten aber nicht...

h**p://www.file-upload.net/download-3105252/Antivir_Warnungen.rar.html

Besten Dank!

P.S.:
Zitat:
Zitat von Firestriker
btw.: Habe ich der installierten Wiederherstellungskonsole zu verdanken, dass sich der IE wieder als Standard-Browser definiert hat?
Kannst du dazu etwas sagen?

cosinus 05.01.2011 19:54
So ein Log von AntiVir hab ich noch nie gesehen :balla:
Der hat da viele Fehler, ungültige Verzeichnisnamen. Entweder spinnt AntiVir oder das Dateisystem hat ne Macke. Haste schonmal CHKDSK ausgeführt?

Zitat:
Habe ich der installierten Wiederherstellungskonsole zu verdanken, dass sich der IE wieder als Standard-Browser definiert hat?
Ist mir kein Zusammenhang bekannt.

firestriker 05.01.2011 20:02
Zitat:
Zitat von cosinus (Beitrag 606463)
So ein Log von AntiVir hab ich noch nie gesehen :balla:
Der hat da viele Fehler, ungültige Verzeichnisnamen. Entweder spinnt AntiVir oder das Dateisystem hat ne Macke. Haste schonmal CHKDSK ausgeführt?
Ja, habe ich vor kurzem mehrmals ausgeführt. Dies hängt mit dem im ersten Post erwähnten Systemabsturz zusammen. Bei zwei Scans hat CHKDSK auch einiges fehlerhaftes gefunden und repariert. Bei weiteren Scans gab es allerdings keine Probleme.
Ich werde nun nochmals CHKDSK ausführen und danach einen weiteren Antivir Scan starten.

P.S.: Schön wenn man euch auch noch mit Logfiles überraschen kann. :D

Zitat:
Zitat von cosinus
Ist mir kein Zusammenhang bekannt.
Fieser IE ^^

firestriker 05.01.2011 22:57
CHKDSK hat nichts gefunden oder berechtigt.
Der erneute Scan mit Antivir ist quasi unverändert, nur die versteckte Datei ist wieder aufgetaucht. :kloppen:

h**p://www.file-upload.net/download-3105956/warnungen3_antivir.rar.html

cosinus 06.01.2011 10:47
Zitat:
CHKDSK hat nichts gefunden oder berechtigt.
Lass CHKDSK auf die Systempartition mit den Parametern /f /r /v los:

Code:
chkdsk %systemdrive% /f /r /v
f = Fehler beheben
r = Intensivcheck
v = erweiterte Ausgabe ("verbose")
%systemdrive% = Umgebungsvariable für die Systempartition

firestriker 06.01.2011 17:25
Code:
Kleinere Inkonsistenzen auf dem Laufwerk werden aufgeräumt.
16 nicht verwendete Indexeinträge aus Index $SII der Datei 0x9 werden aufgeräumt.
16 nicht verwendete Indexeinträge aus Index $SDH der Datei 0x9 werden aufgeräumt.
16 nicht verwendete Sicherheitsbeschreibungen werden aufgeräumt.
Naja, sonst keine Fehler.
Wenn dir das hilft/du dich mit chkdsk "logs" etwas besser auskennst kann ich auch mal die "logs" vom Systemabsturz hochladen.

Kann man an den Meldungen i.d.R. etwas konkretes ablesen oder ist das eher das hier: :glaskugel:

Vielen Dank schonmal an dieser Stelle für deine Mühe! :daumenhoc

cosinus 06.01.2011 17:41
Wenn nur kleinere Inkonsistenzen berichtet werden ist dies nicht kritisch und das Dateisystem selbst sollte völlig intakt sein. Macht AntiVir immer diese merkwürdigen Logs? :wtf:

firestriker 07.01.2011 17:25
ich poste morgen mal die anderen (älteren) logs, die sehen etwas anders aus. ;)

Scan mache ich auch nochmal und poste dann wie es aussieht.


Alle Zeitangaben in WEZ +1. Es ist jetzt 23:42 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131