Ergebnis 1 bis 9 von 9
  1. 01.09.2012, 08:48 #1
    art1st
    art1st ist offline
    Einsteiger
    Registriert seit
    01.09.2012
    Beiträge
    5

    Win 7 - bka trojaner 1.13 - pc gesperrt - was tun?

    Hi,

    mich hat es heute morgen vollkommen unvermittelt erwischt und ich hoffe, ihr könnt mir helfen!

    Der Bildschirmvergleich lässt auf oben im Betreff genannten Trojaner schließen.

    Ich hab mir OTL, Malwarebytes, Adwcleaner und Emisoft Antimalware schon runtergeladen.

    Kann WIN 7 nur noch im abgesicherten Modus starten.

    Wie gehe ich jetzt mit den Programmen vor?

    Vielen Dank vorab für eure Hilfe!!!
  2. 01.09.2012, 09:05 #2
    art1st
    art1st ist offline
    Einsteiger
    Registriert seit
    01.09.2012
    Beiträge
    5
    Hier die Dateien.Extras.TxtOTL.Txt

    Danke :)
  3. 01.09.2012, 09:22 #3
    john.doe
    john.doe ist offline
    Malware-Mogul Avatar von john.doe
    Registriert seit
    11.03.2012
    Beiträge
    9.044
    Hallo art1st und

    ein System zu bereinigen ist aufwaendig und mit einiger Arbeit für Dich verbunden. Es ist immer am Sichersten und meist am Schnellsten bei Schaedlingen auf dem Rechner eine Neuinstallation durchzufuehren.
    Bevor wir anfangen, hier noch ein paar laestige, aber wichtige und grundsätzliche Punkte, die von Dir zu beachten sind:

    • Es gibt grundsätzlich keinen Support per privater Nachricht oder Email.
    • Wir bereinigen keine Rechner, die geschäftlich/gewerblich genutzt werden, dafuer ist der Administrator oder lokale Fachhandel zustaendig.
    • Wir bereinigen keine Rechner, die Cracks, Keygens und Konsorten oder kurz, gestohlene Software enthalten.
    • Es ist wichtig, dass Du solange mitarbeitest, bis alle Punkte abgearbeitet sind und das Signal kommt, dass die Bereinigung beendet ist, auch wenn die Symptome vielleicht schon nach den ersten Aktionen verschwunden sein sollten.

      Solltest du eigenmaechtig die Bereinigung abbrechen und dich danach noch einmal mit neuen Problemen melden, kannst du sicher sein, von mir ignoriert zu werden.
    • Evtl. vorhandene persönliche Daten und Nachnamen durch xyz ersetzen.


    Wichtig:
    • Während unserer Reinigungsphase nur Programme installieren, Programme starten und Scans durchführen, die wir anordnen.
    • Arbeite die Punkte unbedingt in der vorgegebenen Reihenfolge ab. Sollte etwas nicht klar sein, dann frage nach. Sollte etwas Probleme bereiten, dann berichte es. In jedem Fall warte auf weitere Anweisungen, bevor du den naechsten Punkt startest.


    1.) Fixen mit OTL

    Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).
    • Starte die OTL.exe.
      Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und waehlen "Als Administrator ausfuehren".
    • Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:

      Vorher alle XXXX ersetzen!
    Code:
    :OTL
[2012.08.31 19:17:40 | 000,061,952 | ---- | C] () -- C:\ProgramData\bxaglzuv.exe
[2012.08.31 19:17:35 | 000,000,051 | ---- | C] () -- C:\ProgramData\hoqtynwmnvumiix
[2012.08.31 19:18:30 | 000,001,064 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-3412626160-3636344328-1527875849-1000Core.job
[2012.09.01 09:20:00 | 000,001,106 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
[2012.09.01 09:18:12 | 000,001,116 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-3412626160-3636344328-1527875849-1000UA.job
[2012.09.01 09:17:57 | 000,001,102 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
[2012.08.31 19:17:40 | 000,000,000 | ---D | C] -- C:\ProgramData\eakaduyjbixnxhb
O21:64bit: - SSODL: WebCXXXX - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O21 - SSODL: WebCXXXX - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O32 - AutoRun File - [2009.06.10 23:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.batc -- [ NTFS ]
O32 - AutoRun File - [2010.03.12 20:27:50 | 000,385,024 | R--- | M] (TP-LINK TECHNOLOGIES CO., LTD.) - D:\Autorun.exec -- [ CDFS ]
O32 - AutoRun File - [2009.02.06 10:10:24 | 000,000,047 | R--- | M] () - D:\autorun.infc -- [ CDFS ]
O33 - MountPoints2\{36823c3c-9aee-11e1-892c-806e6f6e6963}\Shell - "" = AutoRun
O33 - MountPoints2\{36823c3c-9aee-11e1-892c-806e6f6e6963}\Shell\AutoRun\command - "" = D:\Autorun.exec -- [2010.03.12 20:27:50 | 000,385,024 | R--- | M] (TP-LINK TECHNOLOGIES CO., LTD.)
O33 - MountPoints2\{842a26e9-9b4c-11e1-a7bf-d0bf29350e19}\Shell - "" = AutoRun
O33 - MountPoints2\{842a26e9-9b4c-11e1-a7bf-d0bf29350e19}\Shell\AutoRun\command - "" = G:\PanzerCorpsWehrmacht-SetupRelease-v103.exec
O8:64bit: - Extra context menu item: An OneNote s&enden - res://C:\PROGRA~2\MICROS~1\Office14\ONBttnIE.dll/105 File not found
O8:64bit: - Extra context menu item: Nach Microsoft E&xcel exportieren - res://C:\PROGRA~2\MICROS~1\Office14\EXCEL.EXE/3000 File not found
O8 - Extra context menu item: An OneNote s&enden - res://C:\PROGRA~2\MICROS~1\Office14\ONBttnIE.dll/105 File not found
O8 - Extra context menu item: Nach Microsoft E&xcel exportieren - res://C:\PROGRA~2\MICROS~1\Office14\EXCEL.EXE/3000 File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O4 - HKCU..\Run: [bxaglzuvbbeoefy] C:\ProgramData\bxaglzuv.exe ()
O4 - HKLM..\Run: []  File not found
FF:64bit: - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=10.4.0: C:\Windows\system32\npDeployJava1.dll File not found

:Files
C:\ProgramData\*.exe
C:\ProgramData\TEMP
C:\Users\XXXX\AppData\LocalLow\Sun\Java\Deployment\cache

:Commands
[emptytemp]
    • Schliesse alle Programme.
    • Klicke auf Fix.
    • Wenn OTL einen Neustart verlangt, bitte zulassen.
    • Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
      Nachtraeglich kannst Du das Logfile hier einsehen
      => C:\_OTL\MovedFiles\<datum_nummer.log>

    Hinweis fuer Mitleser: Obiges OTL-Script ist ausschliesslich fuer diesen User in dieser Situtation erstellt worden.
    Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schaedigen!

    2.) Rechner startet neu, Windows "normal" starten und berichten, ob der Sperrbildschirm noch erscheint.

    ciao, andreas
    Worauf musst du waehrend der Bereinigung achten --- Anleitungen & FAQs
    Antivirenprogramme schuetzen? ---------- Kompromittierung unvermeidbar?
  4. 01.09.2012, 09:38 #4
    art1st
    art1st ist offline
    Einsteiger
    Registriert seit
    01.09.2012
    Beiträge
    5
    Hallo Andreas,

    danke für die erste Hilfe!!!!!

    Schreibe jetzt wieder von meinem PC.

    Wie sehen die nächsten Schritte aus?

    Gruß!
  5. 01.09.2012, 09:44 #5
    john.doe
    john.doe ist offline
    Malware-Mogul Avatar von john.doe
    Registriert seit
    11.03.2012
    Beiträge
    9.044
    Hallo art1st,

    eigentlich solltest du das Log vom Fix posten.

    Schreibe jetzt wieder von meinem PC.


    Schritt 1: Entsperren, so dass du wieder "normal" starten kannst. Erledigt.

    Wie sehen die nächsten Schritte aus?
    Schritt 2: Schaedlinge killen. Offen.
    Schritt 3: Sicherheitsluecken schließen. Offen.
    Schritt 4: Aufraeumen und Absicherung. Offen.

    1.) Packe den Ordner C:\_OTL\MovedFiles als Zip- oder Rar-Archiv.

    2.) Lade das Archiv bei einem Filehoster hoch (z.B. www.zippyshare.com)

    3.) Schicke mir den Link als private Nachricht.

    4.) Welcher Browser wird benutzt?

    5.) Bereinigung mit Malwarebytes' Anti-Malware (Komplett-Scan)

    Mache bitte mit Malwarebytes' Anti-Malware einen Komplett-Scan nach dieser Anleitung und poste das Logfile hier in den Thread.

    6.) Malware-Scan mit Emsisoft Anti-Malware

    Lade die Gratisversion von => Emsisoft Anti-Malware herunter und installiere das Programm.
    Lade über Jetzt Updaten die aktuellen Signaturen herunter.
    Wähle den Freeware-Modus.
    .

    .
    Wähle Detail Scan und starte über den Button Scan die Überprüfung des Computers.
    Am Ende des Scans nichts loeschen lassen!. Mit Klick auf Bericht speichern das Logfile auf dem Desktop speichern und hier in den Thread posten.

    Deinstalliere Emsisoft.

    7.) ESET Online Scanner

    Vorbereitung
    • Schließe evtl. vorhandene externe Festplatten und/oder sonstigen Wechselmedien (z. B. evtl. vorhandene USB-Sticks) an den Rechner an.
    • Bitte während des Online-Scans Anti-Virus-Programm und Firewall deaktivieren.
    • Vista/Win7-User: Bitte den Browser unbedingt als Administrator starten.

    Los geht's
    • Lade und starte Eset Smartinstaller
    • Haken setzen bei YES, I accept the Terms of Use.
    • Klick auf Start.
    • Haken setzen bei Remove found threads und Scan archives.
    • Klick auf Start.
    • Signaturen werden heruntergeladen, der Scan beginnt automatisch.
    • Finish drücken.
    • Browser schließen.
    • Explorer öffnen.
    • C:\Programme\Eset\EsetOnlineScanner\log.txt (manchmal auch C:\Programme\Eset\log.txt) suchen und mit Deinem Editor öffnen.
    • Logfile hier posten.
    • Deinstallation: Systemsteuerung => Software => Eset Online Scanner V3 entfernen.
    • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset


    ciao, andreas
    Worauf musst du waehrend der Bereinigung achten --- Anleitungen & FAQs
    Antivirenprogramme schuetzen? ---------- Kompromittierung unvermeidbar?
  6. 01.09.2012, 10:12 #6
    art1st
    art1st ist offline
    Einsteiger
    Registriert seit
    01.09.2012
    Beiträge
    5
    Hallo Andreas,

    den Link zum Archiv hast du als PM erhalten :)

    Browser - IE

    :)

    Danke!

    Gruß,
    Sebastian.
  7. 01.09.2012, 10:21 #7
    art1st
    art1st ist offline
    Einsteiger
    Registriert seit
    01.09.2012
    Beiträge
    5
    Anbei das Logfile.


    Malwarebytes Anti-Malware 1.62.0.1300
    www.malwarebytes.org

    Datenbank Version: v2012.09.01.02

    Windows 7 Service Pack 1 x64 NTFS
    Internet Explorer 9.0.8112.16421
    Heck :: HECK-PC [Administrator]

    01.09.2012 10:40:17
    mbam-log-2012-09-01 (10-40-17).txt

    Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|F:\|)
    Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
    Deaktivierte Suchlaufeinstellungen: P2P
    Durchsuchte Objekte: 501333
    Laufzeit: 39 Minute(n), 50 Sekunde(n)

    Infizierte Speicherprozesse: 0
    (Keine bösartigen Objekte gefunden)

    Infizierte Speichermodule: 0
    (Keine bösartigen Objekte gefunden)

    Infizierte Registrierungsschlüssel: 0
    (Keine bösartigen Objekte gefunden)

    Infizierte Registrierungswerte: 0
    (Keine bösartigen Objekte gefunden)

    Infizierte Dateiobjekte der Registrierung: 0
    (Keine bösartigen Objekte gefunden)

    Infizierte Verzeichnisse: 0
    (Keine bösartigen Objekte gefunden)

    Infizierte Dateien: 1
    C:\_OTL\MovedFiles\09012012_103302\C_ProgramData\bxaglzuv.exe (Trojan.Ransom) -> Erfolgreich gelöscht und in Quarantäne gestellt.

    (Ende)
  8. 01.09.2012, 10:37 #8
    john.doe
    john.doe ist offline
    Malware-Mogul Avatar von john.doe
    Registriert seit
    11.03.2012
    Beiträge
    9.044
    Moin Sebastian,

    hier das Log vom Fix:

    Code:
    All processes killed
========== OTL ==========
C:\ProgramData\bxaglzuv.exe moved successfully.
C:\ProgramData\hoqtynwmnvumiix moved successfully.
C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-3412626160-3636344328-1527875849-1000Core.job moved successfully.
C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job moved successfully.
C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-3412626160-3636344328-1527875849-1000UA.job moved successfully.
C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job moved successfully.
C:\ProgramData\eakaduyjbixnxhb folder moved successfully.
64bit-Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\\WebCHECK deleted successfully.
64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\ not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\\WebCHECK deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\ not found.
File C:\autoexec.batc not found.
File D:\Autorun.exec not found.
File D:\autorun.infc not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{36823c3c-9aee-11e1-892c-806e6f6e6963}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{36823c3c-9aee-11e1-892c-806e6f6e6963}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{36823c3c-9aee-11e1-892c-806e6f6e6963}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{36823c3c-9aee-11e1-892c-806e6f6e6963}\ not found.
File D:\Autorun.exec not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{842a26e9-9b4c-11e1-a7bf-d0bf29350e19}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{842a26e9-9b4c-11e1-a7bf-d0bf29350e19}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{842a26e9-9b4c-11e1-a7bf-d0bf29350e19}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{842a26e9-9b4c-11e1-a7bf-d0bf29350e19}\ not found.
File G:\PanzerCorpsWehrmacht-SetupRelease-v103.exec not found.
64bit-Registry key HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\An OneNote s&enden\ deleted successfully.
64bit-Registry key HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\Nach Microsoft E&xcel exportieren\ deleted successfully.
Registry key HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\An OneNote s&enden\ not found.
Registry key HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\Nach Microsoft E&xcel exportieren\ not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktop deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktopChanges deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\bxaglzuvbbeoefy deleted successfully.
File C:\ProgramData\bxaglzuv.exe not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully.
64bit-Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@java.com/DTPlugin,version=10.4.0\ deleted successfully.
========== FILES ==========
File\Folder C:\ProgramData\*.exe not found.
File\Folder C:\ProgramData\TEMP not found.
C:\Users\john.doe\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\tmp folder moved successfully.
C:\Users\john.doe\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\muffin folder moved successfully.
C:\Users\john.doe\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\host folder moved successfully.
C:\Users\john.doe\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\9 folder moved successfully.
C:\Users\john.doe\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\8 folder moved successfully.
C:\Users\john.doe\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\7 folder moved successfully.
C:\Users\john.doe\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\63 folder moved successfully.
C:\Users\john.doe\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\62 folder moved successfully.
C:\Users\john.doe\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\61 folder moved successfully.
C:\Users\john.doe\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\60 folder moved successfully.
C:\Users\john.doe\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\6 folder moved successfully.
C:\Users\john.doe\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\59 folder moved successfully.
C:\Users\john.doe\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\58 folder moved successfully.
C:\Users\john.doe\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\57 folder moved successfully.
C:\Users\john.doe\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\56 folder moved successfully.
C:\Users\john.doe\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\55 folder moved successfully.
C:\Users\john.doe\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\54 folder moved successfully.
C:\Users\john.doe\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\53 folder moved successfully.
C:\Users\john.doe\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\52 folder moved successfully.
C:\Users\john.doe\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\51 folder moved successfully.
C:\Users\john.doe\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\50 folder moved successfully.
C:\Users\john.doe\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\5 folder moved successfully.
C:\Users\john.doe\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\49 folder moved successfully.
C:\Users\john.doe\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\48 folder moved successfully.
C:\Users\john.doe\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\47 folder moved successfully.
C:\Users\john.doe\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\46 folder moved successfully.
C:\Users\john.doe\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\45 folder moved successfully.
C:\Users\john.doe\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\44 folder moved successfully.
C:\Users\john.doe\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\43 folder moved successfully.
C:\Users\john.doe\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\42 folder moved successfully.
C:\Users\john.doe\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\41 folder moved successfully.
C:\Users\john.doe\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\40 folder moved successfully.
C:\Users\john.doe\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\4 folder moved successfully.
C:\Users\john.doe\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\39 folder moved successfully.
C:\Users\john.doe\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\38 folder moved successfully.
C:\Users\john.doe\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\37 folder moved successfully.
C:\Users\john.doe\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\36 folder moved successfully.
C:\Users\john.doe\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\35 folder moved successfully.
C:\Users\john.doe\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\34 folder moved successfully.
C:\Users\john.doe\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\33 folder moved successfully.
C:\Users\john.doe\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\32 folder moved successfully.
C:\Users\john.doe\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\31 folder moved successfully.
C:\Users\john.doe\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\30 folder moved successfully.
C:\Users\john.doe\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\3 folder moved successfully.
C:\Users\john.doe\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\29 folder moved successfully.
C:\Users\john.doe\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\28 folder moved successfully.
C:\Users\john.doe\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\27 folder moved successfully.
C:\Users\john.doe\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\26 folder moved successfully.
C:\Users\john.doe\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\25 folder moved successfully.
C:\Users\john.doe\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\24 folder moved successfully.
C:\Users\john.doe\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\23 folder moved successfully.
C:\Users\john.doe\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\22 folder moved successfully.
C:\Users\john.doe\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\21 folder moved successfully.
C:\Users\john.doe\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\20 folder moved successfully.
C:\Users\john.doe\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\2 folder moved successfully.
C:\Users\john.doe\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\19 folder moved successfully.
C:\Users\john.doe\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\18 folder moved successfully.
C:\Users\john.doe\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\17 folder moved successfully.
C:\Users\john.doe\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\16 folder moved successfully.
C:\Users\john.doe\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\15 folder moved successfully.
C:\Users\john.doe\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\14 folder moved successfully.
C:\Users\john.doe\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\13 folder moved successfully.
C:\Users\john.doe\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\12 folder moved successfully.
C:\Users\john.doe\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\11 folder moved successfully.
C:\Users\john.doe\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\10 folder moved successfully.
C:\Users\john.doe\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\1 folder moved successfully.
C:\Users\john.doe\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\0 folder moved successfully.
C:\Users\john.doe\AppData\LocalLow\Sun\Java\Deployment\cache\6.0 folder moved successfully.
C:\Users\john.doe\AppData\LocalLow\Sun\Java\Deployment\cache folder moved successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 56466 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: john.doe
->Temp folder emptied: 986933419 bytes
->Temporary Internet Files folder emptied: 484624667 bytes
->Google Chrome cache emptied: 159330019 bytes
->Flash cache emptied: 57671 bytes
 
OTL by OldTimer - Version 3.2.59.1 log created on 09012012_103302

Files\Folders moved on Reboot...
C:\Users\john.doe\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...
    Der Sperrbildschirm:
    Code:
    SHA256:	f4367b9a5401ba7631f838965e4df2ac1e21bff1d339955defeeb527e7492d1b
SHA1:	66fc433ae441be4f2dec47fa53fd7cf00c0db6a0
MD5:	f9abba384f4be4fe66f85d7552adb566
File size:	60.5 KB ( 61952 bytes ) 
File name:	bxaglzuv.exe
File type:	Win32 EXE
Detection ratio:	7 / 42
Analysis date:	 2012-09-01 09:30:08 UTC ( 0 Minuten ago ) 

 
0
0
More detailsAntivirus	Result	Update
AhnLab-V3	Trojan/Win32.Jorik	20120831
AntiVir	-	20120901
Antiy-AVL	-	20120831
Avast	-	20120901
AVG	-	20120901
BitDefender	-	20120901
ByteHero	-	20120817
CAT-QuickHeal	-	20120901
ClamAV	-	20120828
Commtouch	-	20120901
Comodo	UnclassifiedMalware	20120901
DrWeb	Trojan.Winlock.6576	20120901
Emsisoft	Trojan.Win32.Agent.AMN!A2	20120901
eSafe	-	20120830
ESET-NOD32	-	20120831
F-Prot	-	20120831
F-Secure	-	20120901
Fortinet	-	20120830
GData	-	20120901
Ikarus	-	20120901
Jiangmin	-	20120901
K7AntiVirus	-	20120831
Kaspersky	UDS:DangerousObject.Multi.Generic	20120901
McAfee	-	20120901
McAfee-GW-Edition	-	20120901
Microsoft	-	20120901
Norman	-	20120831
nProtect	-	20120901
Panda	-	20120901
PCTools	-	20120901
Rising	-	20120831
Sophos	-	20120901
SUPERAntiSpyware	-	20120901
Symantec	Suspicious.Cloud.5	20120901
TheHacker	-	20120830
TotalDefense	-	20120831
TrendMicro	-	20120901
TrendMicro-HouseCall	TROJ_GEN.F47V0831	20120901
VBA32	-	20120831
VIPRE	-	20120901
ViRobot	-	20120901
VirusBuster	-	20120831

Comments
Votes
Additional informationssdeep
 768:hSGx9sd1yIottNNFqDmxYKkJJi1uZvcHE3aLzwC/xUQ3PbTgvqPe3J421hrMlJ:h360Npxai1uZp3aLz/KQDefG2QlJ 
TrID
 Win32 Dynamic Link Library (generic) (55.4%)
 Win16/32 Executable Delphi generic (15.1%)
 Generic Win/DOS Executable (14.6%)
 DOS Executable Generic (14.6%)
 Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEiD packer identifier
 BobSoft Mini Delphi -> BoB / BobSoft 
ExifTool
MIMEType.................: application/octet-stream
Subsystem................: Windows GUI
MachineType..............: Intel 386 or later, and compatibles
TimeStamp................: 1992:06:20 00:22:17+02:00
FileType.................: Win32 EXE
PEType...................: PE32
CodeSize.................: 19456
LinkerVersion............: 2.25
EntryPoint...............: 0x5ad8
InitializedDataSize......: 41472
SubsystemVersion.........: 4.0
ImageVersion.............: 0.0
OSVersion................: 4.0
UninitializedDataSize....: 0
Portable Executable structural information
Compilation timedatestamp.....: 1992-06-19 22:22:17
Target machine................: 0x14C (Intel 386 or later processors and compatible processors)
Entry point address...........: 0x00005AD8

PE Sections...................:

Name        Virtual Address  Virtual Size  Raw Size  Entropy  MD5
CODE                   4096         19248     19456     6.27  cedb9192e2fa0fa890c15b5af3aac45e
DATA                  24576           644      1024     2.65  ac70f6e0c5307636350928e9f0721835
BSS                   28672          2213         0     0.00  d41d8cd98f00b204e9800998ecf8427e
.idata                32768          1226      1536     3.77  83f7308fb757be99c617e83e334658ad
.tls                  36864             4         0     0.00  d41d8cd98f00b204e9800998ecf8427e
.rdata                40960            24       512     0.20  9437cddd0bbb41533c7ea705dd6f9514
.reloc                45056          1580      2048     5.75  5a9c412db6928b023820db9d2d352c03
.rsrc                 49152         36208     36352     7.99  c077430f7fddac4e5183ddebc9ed2c53

PE Imports....................:

[[comdlg32.dll]]
GetOpenFileNameA

[[opengl32.dll]]
wglDeleteContext, wglCopyContext, wglCreateLayerContext, wglCreateContext, wglUseFontBitmapsA

[[gdi32.dll]]
SwapBuffers, EndPage, FlattenPath, FillPath, CloseFigure, GetArcDirection, AbortDoc, AbortPath, StrokePath, StartPage, WidenPath, PathToRegion, BeginPath, StrokeAndFillPath, EndPath

[[kernel32.dll]]
lstrlenA, lstrcmpA, lstrcpyA, GetModuleHandleA, lstrcatA

[[oleaut32.dll]]
SysReAllocStringLen, SysFreeString

[[user32.dll]]
SetWindowPlacement, CheckDlgButton, CloseWindow, ShowOwnedPopups, EndDialog, OpenIcon, IsDlgButtonChecked, MoveWindow, IsZoomed, IsWindowVisible, GetNextDlgGroupItem, CheckRadioButton, GetNextDlgTabItem, GetDlgCtrlID, GetDlgItem, BringWindowToTop, IsIconic, SetDlgItemTextA, GetWindowPlacement

PE Resources..................:

Resource type            Number of resources
RT_FONT                  1
RT_RCDATA                1

Resource language        Number of resources
NEUTRAL                  2
F-Secure Deepguard
Suspicious:W32/Malware!Online 
First seen by VirusTotal
 2012-08-31 17:07:33 UTC ( 16 Stunden, 22 Minuten ago ) 
Last seen by VirusTotal
 2012-08-31 23:35:02 UTC ( 9 Stunden, 55 Minuten ago ) 
File names (max. 25)
 fjsmutvj.exe 
 f9abba384f4be4fe66f85d7552adb566 
 94.exe 
 620BF416001A208DF257005D0FEA9C006BDC0312.exe 
 hos32.exe 
 file-4441023_exe
    ciao, andreas

    p.s.: Nach etwas Suchen auch den Exploit gefunden:

    Code:
    SHA256:	711844be65fb23f0c45bcc1fa2e0eeb65ec4c76d4f33404991e27acc4a3ecc8f
SHA1:	bf925bf814cf42898c9885e71547b41ee922494f
MD5:	a273a9acba71404ec45d99d10c7ea4d7
File size:	7.1 KB ( 7314 bytes ) 
File name:	5255c511-5f93bb49
File type:	JAR
Detection ratio:	3 / 42
Analysis date:	 2012-09-01 09:44:57 UTC ( 0 Minuten ago ) 

 
0
0
More detailsAntivirus	Result	Update
AhnLab-V3	-	20120831
AntiVir	-	20120901
Antiy-AVL	-	20120831
Avast	-	20120901
AVG	Java/Exploit	20120901
BitDefender	-	20120901
ByteHero	-	20120822
CAT-QuickHeal	-	20120901
ClamAV	-	20120828
Commtouch	-	20120901
Comodo	-	20120901
DrWeb	-	20120901
Emsisoft	-	20120901
eSafe	-	20120830
ESET-NOD32	-	20120831
F-Prot	-	20120831
F-Secure	-	20120901
Fortinet	-	20120830
GData	-	20120901
Ikarus	-	20120901
Jiangmin	-	20120901
K7AntiVirus	-	20120831
Kaspersky	HEUR:Exploit.Java.CVE-2012-4681.gen	20120901
McAfee	-	20120901
McAfee-GW-Edition	-	20120901
Microsoft	-	20120901
Norman	-	20120831
nProtect	-	20120901
Panda	-	20120901
PCTools	-	20120901
Rising	-	20120831
Sophos	-	20120901
SUPERAntiSpyware	-	20120901
Symantec	-	20120901
TheHacker	-	20120830
TotalDefense	-	20120831
TrendMicro	-	20120901
TrendMicro-HouseCall	TROJ_GEN.F47V0831	20120901
VBA32	-	20120831
VIPRE	-	20120901
ViRobot	-	20120901
VirusBuster	-	20120831

Comments
Votes
Additional informationssdeep
 192:poill1i2lhMxSd3lNS+Ee3fCd9mPatlQqt0ZSty0N:poiXUklbEe30mPQiqpNN 
TrID
 Java Archive (78.3%)
 ZIP compressed archive (21.6%)
ExifTool
MIMEType.................: application/zip
ZipRequiredVersion.......: 10
ZipCRC...................: 0x00000000
FileType.................: ZIP
ZipCompression...........: None
ZipUncompressedSize......: 0
ZipCompressedSize........: 0
ZipFileName..............: META-INF/
ZipBitFlag...............: 0x0800
ZipModifyDate............: 2012:08:30 19:40:22
First seen by VirusTotal
 2012-08-31 21:41:05 UTC ( 12 Stunden, 8 Minuten ago ) 
Last seen by VirusTotal
 2012-09-01 09:44:57 UTC ( 4 Minuten ago ) 
File names (max. 25)
 gotit.php 
 5255c511-5f93bb49
    p.p.s.: Ich habe noch zehn weitere (und aeltere) Exploits bei dir gefunden.
    Geändert von john.doe (01.09.2012 um 11:57 Uhr) Grund: Realnamen ergaenzt.
    Worauf musst du waehrend der Bereinigung achten --- Anleitungen & FAQs
    Antivirenprogramme schuetzen? ---------- Kompromittierung unvermeidbar?
  9. 01.10.2012, 03:46 #9
    john.doe
    john.doe ist offline
    Malware-Mogul Avatar von john.doe
    Registriert seit
    11.03.2012
    Beiträge
    9.044
    Thread wird mangels Rueckmeldung mit einigen Tipps zur Absicherung geschlossen, damit wir ihn nicht weiter unter Beobachtung halten muessen und aus den Abos loeschen koennen.

    Wie mache ich mein Windows sicher?
    Wie kann ich mein System in Zukunft von Malware frei halten?
    Wie kann ich pruefen, ob meine Software aktuell ist?

    ciao, andreas

    Worauf musst du waehrend der Bereinigung achten --- Anleitungen & FAQs
    Antivirenprogramme schuetzen? ---------- Kompromittierung unvermeidbar?
« Vorheriges Thema | Nächstes Thema »

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  

Foren-Regeln

G Data
forum.botfrei.de wird überprüft von der Initiative-S