|
Avira AntiVir meldet 'JAVA/OpenConnecti.C' [virus] Hallo zusammen, meine Neffen bekamen gestern beim surfen auf meinem PC plötzlich Warnmeldungen von AntiVir, daß angeblich die o.g. Malware gefunden wurde. Lt. AntiVir wurde verhindert, daß dieses Programm sich ausführen konnte. Die betroffenen Datein wurden in die Quarantäne geschoben und entfernt. Ich habe anschliessend nochmals AntiVir, Anti-Malware, Ad-Aware und SuperAntispyware laufen lassen, keine neuen Funde. Die Ergebnisse habe ich beigefügt, ebenso das Ergebnis des OTL-Laufes. Könnte sich das bitte jemand ansehen und mir sagen, ob noch irgendwo eine mögliche Gefahrenquelle zu erkennen ist (um die Gefahrenquelle "Neffen" habe ich mich schon gekümmert...;) )? Vielen Dank vorab! |
Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle davon posten. Du findest diese im Reiter Logdateien in Malwarebytes. |
Hallo, ja da sind noch ein paar vorhanden aus den letzten Läufen. Habe diese dem Post hier beigefügt. Mal eine Frage abseits des Geschehens: ich wollte Online Armor Free installieren und nach erfolgtem Scan die Firewall wieder deinstallieren. Die Option zum deinstallieren habe ich nicht gefunden, konnte lediglich die Firewall von Online Armor abschalten. Aber seitdem ich das Programm nutzte, ist mir andauernd das Betriebssystem abgestürzt (Win7 64 Home) mit der Fehlermeldung "Page Fault in Nonpaged Area". Nach der Deinstallation lief wieder alles normal. Gibt es bekannte Probleme zwischen dem Win7-64 und Online Armor? |
Zitat:
|
Ne, die Windows-Firewall würde ich auch nicht abstellen. Bin nur über einen Beitrag aus diesem Forum auf das Programm aufmerksam geworden, da es neben der Firewall auch aktiv im Hintergrund prüft, ob sich Programme plötzlich anders verhalten und Keylogger aktiv sind - dachte das wäre ne super Ergänzung zu AntiVir. |
Was installierst du dir eigentlich diese Toolbars? :wtf: Sind die gewollt oder passt du bei Programmsetups nicht auf, was diese noch alles mitinstallieren? Du solltest IMMER die benutzerdefinierte Variante bei Programmsetups wählen und etwaige Mitbringsel die sich v.a. in der Form von Toolbars äußern deaktivieren!! Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code: :OTLDas Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. |
Hi, welche Toolbars genau meintest Du? Die von Opera oder von Win7? Ich habe das ganze über OTL laufen lassen, folgendes Ergebnis wurde nach Neustart angezeigt: All processes killed ========== OTL ========== File not found. File move failed. E:\autorun.exe scheduled to be moved on reboot. File move failed. E:\autorun.inf scheduled to be moved on reboot. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{11160c7e-4fb6-11df-b14b-806e6f6e6963}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{11160c7e-4fb6-11df-b14b-806e6f6e6963}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{11160c7e-4fb6-11df-b14b-806e6f6e6963}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{11160c7e-4fb6-11df-b14b-806e6f6e6963}\ not found. File move failed. E:\autorun.exe scheduled to be moved on reboot. ========== COMMANDS ========== C:\Windows\System32\drivers\etc\Hosts moved successfully. HOSTS file reset successfully [EMPTYTEMP] User: All Users User: Default ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes ->Flash cache emptied: 56502 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->Flash cache emptied: 0 bytes User: MB ->Temp folder emptied: 7434009 bytes ->Temporary Internet Files folder emptied: 8566540 bytes ->Java cache emptied: 536 bytes ->Opera cache emptied: 11618238 bytes ->Flash cache emptied: 58380 bytes User: Public %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32 (64bit) .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 1739208 bytes %systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 33170 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 28,00 mb OTL by OldTimer - Version 3.2.20.1 log created on 01092011_204233 Files\Folders moved on Reboot... File move failed. E:\autorun.exe scheduled to be moved on reboot. File move failed. E:\autorun.inf scheduled to be moved on reboot. C:\Users\MB\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully. Registry entries deleted on Reboot... |
Google- und Yahoo-Toolbar. naja es gibt schlimmer Sorten und es gibt Rechner auf dem wesentlich mehr Toolbars drauf sind :blabla: Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
http://saved.im/mtm0nzyzmzd5/cofi.jpg
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! |
Hi, danke für die Antwort, habe soweit alles ausgeführt, Ergebnis habe ich beigefügt. Auffällig war, daß mehrmals gemeldet wurde, daß das Programm PEV.cfxxe nicht mehr ordnungsgemäß ausgeführt werden könne - Meldung kam ein paar mal, später nicht mehr und ComboFix kam zum Ende mit Log-Datei. Aber wegen der Toolbars: verstehen tue ich es nicht, ich nutze beim browsen nur Opera und da sehe ich keine? Oder sind das evtl. Überbleibsel als ich noch den IE8 benutzt hatte? Danke für die Hilfe! :) |
Zitat:
Die Toolbars deinstalliert man über den entsprechenden Eintrag in der Systemsteuerung, Programme und Funktionen (bzw. Software bei Windows XP) Bitte nun Logs mit GMER und mbrcheck erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg Anleitung zu mbrcheck: Downloade Dir MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
|
Hi, ach sowas meintest Du. Ok, habe mit der Systemsteuerung einige Toolbars lokalisiert und geschreddert - wobei ich mich nicht erinnern kann, die gewollt installiert zu haben. Egal, werde da künftig aufpassen. GMER hat leider nichts gebracht, aber das andere Programm lief erfolgreich und hat seine txt-Datei erstellt. Hab diese als Anhang beigefügt. Schon mal danke für die ganze Mühe! |
Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! |
Hi, alles klar, habe ich eben gemacht, Logs sind in der Anlage. Vielen Dank! :) |
Keine Funde, Rechner wieder paletti? :) |
Hi, ja alles scheint völlig normal zu laufen - vielen Dank für die Hilfe! :) |
Dann wären wir durch! :abklatsch: Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern. Microsoftupdate Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Windows Vista/7: Anleitung Windows-Update PDF-Reader aktualisieren Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader. Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player Java-Update Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es. |
Hi, alles klar, habe alle Punkte erledigt. Die neuesten Win7-Updates habe ich mir gestern bereits runtergeladen, eben noch Java deinstalliert und dieses JRE runtergeladen und installiert und SumatraPDF besorgt. Neue Kennwörter werde ich mir nachher noch vergeben. Letzte Frage noch zu Adobe Acrobat Reader: in der Systemsteuerung sind neben dem Reader noch einige anderen Sachen mit Adobe drin (Adobe AIR, Adobe Flash Player 10 ActiveX, Adobe Flash Player Activex-64bit und Adobe Flash Player 10 Plugin). Sollten die ebenfalls weg? Bin mir da grade nicht so sicher und bevor ich was falsches weghau....;) |
Nein die anderen Sachen von Adobe sollten drinbleiben. Es geht nur um den PDF-Reader. |
Hi, alles klar, dann war´s das! Vielen Dank nochmals! :) |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 11:30 Uhr. |
Copyright ©2000-2025, Trojaner-Board