Computerhilfen.de Logo
Forum
Tipps
News
Frage stellen

Windows XP: java:Agent-AO

Hallo,

ich habe hier schon einiges gelesen, konnte mir jetzt aber aus dem vielen Informationen nicht raus nehmen was die richtige Abfolge ist - von daher Sorry wenn schon manche Dinge in anderen Threads stehen.

Folgendes Problem, ich habe mein G-Data Antivirenprog. durchlaufen lassen. Diesmal wurden mehrere Funde angezeigt:

Malware-gen
Java: Agent-AO
Java: Agent-AP
Java.Trojan.Downloader.OppenConnection.C

alle im ...Java\deployment\cache\6.0\...

Jetzt wäre zunächst mal meine Frage der Vorgehensweise?

Mit G-Data die angezeigten Dateien löschen? Oder dies mittels eines malware Tool tun? oder hier erst mal Hijack erstellen und posten? Zunächst Update Java? Java ganz löschen und neu Installieren?


Windows ist auf automatische Updates geschaltet, Java Version 6 Aktualisierung 24 - es gibt wohl inzwischen die 25.

Danke schon mal für eure Hilfe


Mein Computer-System:
   
Mein PC ist etwa 0-2 Jahre alt.



Antworten zu Windows XP: java:Agent-AO:

Mach für weitere Analysen erstmal einen Vollscan mit Malwarebytes.
Denk dran, dass dieses Tool vor jedem Scan auch manuell aktualisiert werden muss!!

Erstell anschließend Logfiles mit OTL und poste sie. Am besten zipst Du alle Logs in eine (ZIP-)Datei und lädst sie bei http://www.file-upload.net hoch und verlinkst das ganze hier.

Eine Anleitung zu Malwarebytes und OTL findest Du notfalls auch im TB:

http://www.trojaner-board.de/51187-anleitung-malwarebytes-anti-malware.html

http://www.trojaner-board.de/85104-otl-otlogfile-oldtimer.html

Danke schon mal...

läuft so weit jetzt alles, ich poste dann hier die Ergebnisse.

Ok. Und lass dich nicht beirren, wenn hier die Schwarz-Weiß-Denker ihre format-c-geschichte brüllen. Wir können erstmal analysieren und später immer noch schauen ob wir bereinigen oder formatieren.  ;)

jetzt bin ich etwas irritiert  ???

Logfile
mit OTL erstellt, einen Vollscan mit Malwarebytes durchgeführt.

Malwarebytes findet nun aber nichts. Es kam aber beim Scan jeweils bei den Infizierten Dateien eine G-Data Meldung mit der Frage Zugriff verweigern. Zugriff zulassen konnte ich gar nicht, hab das Fenster dann einfach weg geklickt.
Hab dann noch einen zweiten Durchlauf gemacht (ohne Internet Verbindung und G-Data ausgeschaltet) finden konnte malewarebytes aber trotzdem nichts. Ich habe zwar beim G-Data Scan nichts angewählt was mit den Infizierten Dateien gemacht werden soll, ich vermute aber mal das die Dateien trotzdem irgendwie geblockt werden (im Quarantäne-Ordner stehen sie aber nicht).

Im Zip Archiv sind jetzt OTL Logfiles, malewarebytes Bericht und der G-Data Bericht.

http://www.file-upload.net/download-3459966/Log-files_11-05-26.zip.html
 
 

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

:OTL
O4 - HKLM..\Run: [CmUCRRun] C:\WINDOWS\system32\CmUCREye.exe ()
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.07.06 14:54:55 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{f0d21f14-7c3e-11de-96ae-001cc0de9ced}\Shell - "" = AutoRun
O33 - MountPoints2\{f0d21f14-7c3e-11de-96ae-001cc0de9ced}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{f0d21f14-7c3e-11de-96ae-001cc0de9ced}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe THINKPADHJ.vbs
:Commands
[purity]
[resethosts]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-anleitung-rootkit-tdss-entfernen.html

Das Tool so einstellen wie unten im Bild angegeben.
Also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.




Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
Vista und 7 User müssen das Tool per Rechtsklick als Administrator ausführen!  

hab den TDSS Killer durchlaufen lassen, Funde hat er keine angezeigt

hier der Log

http://www.file-upload.net/download-3461411/TDSSKiller.2.5.3.0_27.05.2011_07.07.59_log.txt.html

Dann führ mal CF aus, wie zB auf dieser Anleitung beschrieben ist => http://bit.ly/kZZTR7

ist geschehen... lt. Anleitung erst CCleaner und dann Confi

hier wieder die Log Datei

http://www.file-upload.net/download-3461663/confi-log_11-05-27.txt.html

Wenn Du fertig bist, wirst Du kein verlässliches System haben.
Bedenke das bitte bei deiner angestrebten Reinigungsorgie.
Das Wort  (............) nehme ich jetzt nicht in den Mund.  :P

Noch ein Wort,
ich bin für einen sicheren PC dem ich auch Vertrauen kann.  ;)

Burgeule

ich hoffe nach der ganzen Aktion sind die Tro janer weg und das System läuft noch verlässlich. Derzeit kann ich keine Verschlechterung feststellen.

Nichts dagegen tun wäre nicht Sinnvoll und die Option format c: bleibt mir dann im schlimmsten Falle später auch noch.

Einen anderer Weg sehe ich mit meinen laienhaften Kenntnissen leider nicht.  

« Letzte Ă„nderung: 27.05.11, 12:51:25 von RicGe »
ich hoffe nach der ganzen Aktion sind die Tro janer weg und das System läuft noch verlässlich.   

Diese Denkweise findet sich häufig bei Jusern die nicht so ins Details gehen können und genau das ist das gefährliche.

Deshalb vertraue ich einem gereinigten System auch nicht.


Nichts dagegen tun wäre nicht Sinnvoll und die Option format c: bleibt mir dann im schlimmsten Falle später auch noch.
 

Du erkennst einfach nicht den Ernst der Lage.
Der schlimmste Fall ist nicht Format C:
sondern das dein PC  ohne dein Wissenunbemerkt hinterrücks deine intimsten Daten an andere sendet.

Zu so einem System kann ich persönlich kein Vertrauen mehr haben.
Das möchte ich damit ausdrücken.
Ich hoffe das bei künftigen Entscheidungen diese meine Meinung dir hilft dich richtig zu entscheiden.
Im Übrigen wer einmal die Installation von Windows nach Vorschrift durchgeführt hat sollte ein Image auf einer anderen Partition anlegen und im Ernstfall zurück spielen.
Dieser Vorgang dauert dann nicht Stunden oder Tage, sondern 15 Minuten.

Burgeule

 

Zitat
Zu so einem System kann ich persönlich kein Vertrauen mehr haben.
Das möchte ich damit ausdrücken.

Liebe Burgeule,

dir steht es völlig frei mit deinen Rechnern zu tun und lassen was du willst. Aber überlasse es doch den Leuten selbst, ob sie formatieren und bereinigen möchten. Jeder trägt nämlich selbst Verantwortung über sein System und Internetanschluss.

@RicGe

Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus.
Die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

  • Doppelklick auf die MBRCheck.exe => Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur wenige Sekunden.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
  • Poste mir bitte den Inhalt des .txt Dokumentes

so die beiden Logfiles als ZIP vom Gmer und Osam

http://www.file-upload.net/download-3462343/Log-files_11-05-27_OSAM-GEMER.zip.html


MBRCheck - Link kann nicht angezeigt werden (Seiten Ladefehler) hab das Prog auch sonst nirgends gefunden, hast du noch einen anderen Link?

Ja, habs auch gerade danach erst erfahren, dass der primäre Donwloadlink zu mbrcheck down ist. Ich such mal ne alternative Quelle raus.


Edit: Hab was => http://download.bleepingcomputer.com/rootrepeal/MBRCheck.exe

« Letzte Ă„nderung: 27.05.11, 17:38:26 von cosinus »

Danke... hatte auch selbst gesucht, die alternativen Downloads gingen irgendwie  auch nicht so recht.

Hier noch der MBR Check Log

http://www.file-upload.net/download-3463825/MBRCheck_05.28.11_09.21.05.txt.html

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!
Wie Malwarebytes geht sollte klar sein, zu SASW hast du hier eine Anleitung => http://www.trojaner-board.de/51871-anleitung-superantispyware.html

Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:

ESET Online Scanner
Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.

    Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt als Administrator starten.[/COLOR]
    • Dein Anti-Virus-Programm während des Scans deaktivieren.


    Button (<< klick) drücken.
    • Firefox-User:
      Bitte esetsmartinstaller_enu.exe downloaden.Das Firefox-Addon auf dem Desktop speichern und dann installieren.
    • IE-User:
      müssen das Installieren eines ActiveX Elements erlauben.
    • Setze den einen Hacken bei Yes, i accept the Terms of Use.
    • Drücke den Button.
    • Warte bis die Komponenten herunter geladen wurden.
    • Setze einen Haken bei "Scan archives".
    • Gehe sicher das bei Remove Found Threads kein Hacken gesetzt ist.
    • drücken.
    • Die Signaturen werden herunter geladen.Der Scan beginnt automatisch.
    Wenn der Scan beendet wurde
    • Klicke Finish.
    • Browser schließen.
    Drücke bitte die + R Taste und kopiere folgenden Text in das Ausführen Fenster.
    "%ProgramFiles%\Eset\Eset Online Scanner\log.txt"
    Poste nun den Inhalt der log.txt.

    das ist schon mal gut wenn es OK aussieht...

    hier die Log´s von Malwarebytes und SASW

    http://www.file-upload.net/download-3466514/Log-file-11-05-29.rar.html

    ESET führe ich heute Abend noch mal durch.
    Bei SASW hat er was gefunden, schau es dir mal an ob wirklich eine Bedrohung dadurch vorliegt.

     

    Zitat
    C:\TOOLS\BPI\DLUBAL RSTAB\* bitte keine illegalen Tipps *\KEYGEN.NFO

    Sowas find ich garnicht witzig.  >:(

    Cr.acks/Keygens sind zu 99,9% gefährliche Schädlinge, mit denen man nicht spaßen sollte. Ausserdem sind diese illegal.

    Dass illegale Cr.acks und Keygens im Wesentlichen dazu dienen, Malware zu verbreiten ist kein Geheimnis und muss jedem klar sein!
     

    hab das ehrlich gesagt nicht wirklich ernst genommen, das kam vor langer Zeit mit einer ganzen Menge anderer Daten auf meinen Rechner und wurde auch nie genutzt. Lag halt nur so rum... ist ziemlich naiv da geb ich dir recht.


    « Wer kann helfenWin XP: Virus! - Kann man da noch was machen?? »
     

    Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!