Sign in to follow this  
na_iche

Infektion Java (Exploid)

Recommended Posts

Emsisoft Anti-Malware - Version 6.0

Dieser Rechner ist infiziert!

Betriebssystem ist Windows Vista, und im Vorfeld wurde das Installieren der neuen EAM Version mit einem Bluescreen verhindert.

Danach gab es Schwierigkeiten mit der Installation und Deinstallation.

Es erfolgte eine Säuberung mit einem Emsicleaner und eine Neu Installation!

Der erste Suchlauf wurde selbsttändig beendet, mit Nachfrage ob der Scan abgebrochen werden soll!

Ein erneuter Suchlauf war dann nicht mehr durchführbar.

Neustart!

Danach wieder Suchlauf, mit diesen Funden!

Ich bitte um Hilfe bei der Entfernung, Danke!

Report:

Letztes Update: 17.11.2011 00:01:38

Scan Einstellungen:

Scan Methode: Detail Scan

Objekte: Rootkits, Speicher, Traces, C:\, D:\

Archiv Scan: An

ADS Scan: An

Scan Beginn: 17.11.2011 00:06:02

C:\Users\Davide\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\25\1f56cd19-1fe2e53e gefunden: Exploit.Java.CVE-2010!E2

C:\Users\Davide\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\25\1f56cd19-130f74c5 gefunden: Exploit.Java.CVE-2010!E2

C:\Users\Davide\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\25\1f56cd19-385b6d80 gefunden: Exploit.Java.CVE-2010!E2

C:\Users\Davide\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\25\1f56cd19-336107d1 gefunden: Exploit.Java.CVE-2010!E2

C:\Users\Davide\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\25\1f56cd19-412b128c gefunden: Exploit.Java.CVE-2010!E2

C:\Users\Davide\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\25\4f032b99-766327ca -> report\FWriter.class gefunden: Exploit.Java.Blacole!E2

C:\Users\Davide\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\25\4f032b99-766327ca -> report\Generator.class gefunden: Exploit.Java.Blacole!E2

C:\Users\Davide\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\25\4f032b99-766327ca -> report\Panel.class gefunden: Exploit.Java.Blacole!E2

C:\Users\Davide\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\25\4f032b99-766327ca -> report\SmartyPointer.class gefunden: Exploit.Java.Blacole!E2

C:\Users\Davide\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\25\4f032b99-766327ca -> report\StorageSave.class gefunden: Exploit.Java.Blacole!E2

C:\Users\Davide\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\25\1f56cd19-5180d8a4 gefunden: Exploit.Java.CVE-2010!E2

Gescannt 634258

Gefunden 11

Scan Ende: 17.11.2011 02:52:13

Scan Zeit: 2:46:11

Share this post


Link to post
Share on other sites

Habe die Funde in Quarantäne genommen, bei Emsisoft über das EAM eingesendet und anschließend gelöscht!

Habe Java auf die aktuelle Version 6.29 gebracht.

Jetzt lasse ich gerade das Malwarebytes´Antimalware drüber laufen.

Soll ich das Ergebnis dann hier posten?

Kann ich davon ausgehen das die Infektion dann beseitigt ist?

Share this post


Link to post
Share on other sites

hi, bitte führe erst mal keine scans mehr auf eigene faust durch und sonst auch keine weiteren reinigungs maßnamen.

Systemscan mit OTL

download otl:

http://oldtimer.geekstogo.com/OTL.exe

Doppelklick auf die OTL.exe

(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)

1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output

2. Hake an "scan all users"

3. Unter "Extra Registry wähle:

"Use Safelist" "LOP Check" "Purity Check"

4. Kopiere in die Textbox:

netsvcs

msconfig

safebootminimal

safebootnetwork

activex

drivers32

%ALLUSERSPROFILE%\Application Data\*.

%ALLUSERSPROFILE%\Application Data\*.exe /s

%APPDATA%\*.

%APPDATA%\*.exe /s

%SYSTEMDRIVE%\*.exe

/md5start

userinit.exe

eventlog.dll

scecli.dll

netlogon.dll

cngaudit.dll

ws2ifsl.sys

sceclt.dll

ntelogon.dll

winlogon.exe

logevent.dll

user32.DLL

explorer.exe

iaStor.sys

nvstor.sys

atapi.sys

IdeChnDr.sys

viasraid.sys

AGP440.sys

vaxscsi.sys

nvatabus.sys

viamraid.sys

nvata.sys

nvgts.sys

iastorv.sys

ViPrt.sys

eNetHook.dll

ahcix86.sys

KR10N.sys

nvstor32.sys

ahcix86s.sys

/md5stop

%systemroot%\system32\drivers\*.sys /lockedfiles

%systemroot%\System32\config\*.sav

%systemroot%\*. /mp /s

%systemroot%\system32\*.dll /lockedfiles

CREATERESTOREPOINT

5. Klicke "Scan"

6. 2 reporte werden erstellt:

OTL.Txt

Extras.Txt

nutze den attachment manager, hänge sie an.

Share this post


Link to post
Share on other sites

Ich glaube das hier war gemeint:

Emsisoft Anti-Malware - Version 6.0

Letztes Update: 17.11.2011 09:35:30

Scan Einstellungen:

Scan Methode: Detail Scan

Objekte: Rootkits, Speicher, Traces, C:\, D:\

Archiv Scan: An

ADS Scan: An

Scan Beginn: 17.11.2011 10:32:11

Gescannt 454

Gefunden 0

Scan Ende: 17.11.2011 10:32:38

Scan Zeit: 0:00:27

Share this post


Link to post
Share on other sites

sind das alle aktuellen?

downloade

http://www.chip.de/downloads/Rootkit-Unhooker-3.7_21701698.html

instalieren, sprache englisch.

gehe jetzt auf start suchen

tippe:

rootkit unhooker

rechtsklick, als admin ausführen

falls rootkit unhooker schreibt:

"found parasite in itself" mit ok bestätigen

trenne den pc vom internet, deaktiviere alle programme auch antivirus, rechtsklick auf das emsi symbol, wächter status, bis zum reboot deaktivieren..

• Klicke auf den Report Tab und danach auf Scan

hake dort alles an

• Wenn Du gefragt wirst welcher Bereich gescannt werden soll, gehe sicher das deine Systemplatte ( meistens C: ) angehackt ist.

• Klicke OK

• Wenn der Scan beendet wurde

Zitatblock

File --> Save Report

Zitatblock Ende

klicken.

• Speichere die Datei als RKU.txt auf dem Desktop.

• Klicke Close

nutze den attachment manager und hänge sie an

Share this post


Link to post
Share on other sites

ach so! und eam blockt das ding auch!

habs mal als false positiv eingeschickt.

Nachdem alle Schutzmaßnahmen aus waren, ging die installation.

Aber der rootkit unhooker startet nicht

Share this post


Link to post
Share on other sites

Sorry, aber es hatte sich keiner mehr gemeldet!

Probleme gibt es eigentlich keine mehr, bis auf die Tatsache, das Kaspersky Tool eben die gepostete Sache anzeigt.

Kann ich die löschen, oder ist das was vom System?

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

  • Recently Browsing   0 members

    No registered users viewing this page.