remix.to java applet trojaner

  • #1
S

soamazin

Neues Mitglied
Themenersteller
Dabei seit
04.11.2011
Beiträge
2
Reaktionspunkte
0
hallo,

ich habe eben auf der seite [gelöscht] dummerweise das java applet installiert, daraufhin kam eine fehlermeldung mit einem langen zahlencode (ich glaube von java) und ich konnte danach firefox nicht mehr benutzen, da was an den proxyeinstellungen verändert wurde. dieses problem war aber natürlich leicht zu beheben. daraufhin bin ich auf dieses forum gestoßen wo das thema behandelt wird: dort wird von den usern auch gesagt, dass nur noch formatieren hilft, was ich natürlich gerne vermeiden würde. dort ist auch ein user der das glück hatte, das sein kaspersky internet security 2012 dies unterbunden hat. ich habe dagegen leider nur die standard antivir version auf dem rechner, die für den privatgebraucht kostenlos ist.

hier ist mein hijack log:
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 20:25:33, on 04.11.2011
Platform: Windows 7 SP1 (WinNT 6.00.3505)
MSIE: Internet Explorer v8.00 (8.00.7601.17514)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\Creative\Volume Panel\VolPanlu.exe
C:\Windows\SysWOW64\Ctxfihlp.exe
C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe
C:\Windows\SysWOW64\CTXFISPI.EXE
C:\Program Files (x86)\Windows Media Player\wmplayer.exe
C:\Program Files (x86)\Winamp\winamp.exe
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
C:\Program Files (x86)\Mozilla Firefox\plugin-container.exe
C:\Program Files (x86)\Mozilla Firefox\plugin-container.exe
C:\Program Files (x86)\Trend Micro\HiJackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = Preserve
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:5220
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=userinit.exe,
O2 - BHO: vShare Plugin - {043C5167-00BB-4324-AF7E-62013FAEDACF} - C:\Program Files (x86)\vShare\vshare_toolbar.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: IE5BarLauncherBHO Class - {78F3A323-798E-4AEA-9A57-88F4B05FD5DD} - C:\Program Files (x86)\vShare.tv plugin\BarLcher.dll
O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: vShare Plugin - {043C5167-00BB-4324-AF7E-62013FAEDACF} - C:\Program Files (x86)\vShare\vshare_toolbar.dll
O3 - Toolbar: VShareToolBar - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - C:\Program Files (x86)\vShare.tv plugin\BarLcher.dll
O4 - HKLM\..\Run: [StartCCC] C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe MSRun
O4 - HKLM\..\Run: [ATICustomerCare] C:\Program Files (x86)\ATI\ATICustomerCare\ATICustomerCare.exe
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\Windows\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [VolPanel] C:\Program Files (x86)\Creative\Volume Panel\VolPanlu.exe /r
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [avgnt] C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe /min
O4 - HKLM\..\Run: [Adobe ARM] C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe
O4 - HKLM\..\Run: [sysrunc] C:\Windows\system32\sysrunc.exe
O4 - HKCU\..\Run: [Steam] C:\Program Files (x86)\Steam\steam.exe -silent
O4 - HKCU\..\Run: [daemon] C:\Users\oGs\AppData\Roaming\daemon.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User->LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User->LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User->NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User->NETZWERKDIENST')
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\Windows\system32\GPhotos.scr/200
O8 - Extra context menu item: Free YouTube to Mp3 Converter - C:\Users\oGs\AppData\Roaming\DVDVideoSoftIEHelpers\youtubetomp3.htm
O9 - Extra button: ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Program Files (x86)\ICQ7.2\ICQ.exe
O9 - Extra->Tools' menuitem: ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Program Files (x86)\ICQ7.2\ICQ.exe
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
O15 - Trusted Zone:
O15 - Trusted Zone:
O15 - Trusted Zone:
O16 - DPF: {8167C273-DF59-4416-B647-C8BB2C7EE83E} (WebSDev Control) -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} -
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} -
O18 - Protocol: vsharechrome - {3F3A4B8A-86FC-43A4-BB00-6D7EBE9D4484} - C:\Program Files (x86)\vShare\vshare_toolbar.dll
O20 - AppInit_DLLs: prio32.dll
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: AMD External Events Utility - Unknown owner - C:\Windows\system32\atiesrxx.exe (file missing)
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Axiom Audio Device Monitor (AxiomAudioDevMon) - M-Audio - C:\Program Files (x86)\M-Audio\Axiom\AudioDevMon.exe
O23 - Service: Creative ALchemy AL6 Licensing Service - Creative Labs - C:\Program Files (x86)\Common Files\Creative Labs Shared\Service\AL6Licensing.exe
O23 - Service: Creative Audio Service (CTAudSvcService) - Creative Technology Ltd - C:\Program Files (x86)\Creative\Shared Files\CTAudSvc.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files (x86)\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Prio Service (prio_svc) - Unknown owner - C:\Program Files\Prio\prio_svc.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files (x86)\Common Files\Steam\SteamService.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: WireHelpSvc - Unknown owner - C:\Program Files\Common Files\WireHelpSvc.exe
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 9509 bytes

außerdem habe ich gerade noch einen komplettscan von malwarebytes gemacht hier auch die logfile:
Malwarebytes' Anti-Malware 1.51.2.1300


Datenbank Version: 8084

Windows 6.1.7601 Service Pack 1
Internet Explorer 8.0.7601.17514

04.11.2011 21:18:51
mbam-log-2011-11-04 (21-18-51).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 440936
Laufzeit: 47 Minute(n), 3 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 7

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\daemon (Trojan.Agent) -> Value: daemon -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sysrunc (Trojan.Agent) -> Value: sysrunc -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.StartPage) -> Bad: () Good: () -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.StartPage) -> Bad: () Good: () -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\program files (x86)\image-line\toxic biohazard\toxic biohazard.dll (Trojan.Backdoor) -> Quarantined and deleted successfully.
c:\Users\oGs\documents\prod stuff\sylenth\lennardigital.sylenth1.vsti.v2.202.incl.Keygen-air\Keygen.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\oGs\documents\prod stuff\sylenth\Sly_Fox\Sly Fox\lennardigital.sylenth1.vsti.v2.202.incl.Keygen\Keygen.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\oGs\documents\prod stuff\sylenth1 2.202\Keygen.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\oGs\AppData\Roaming\daemon.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Windows\System32\sysrunc.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Windows\SysWOW64\sysrunc.exe (Trojan.Agent) -> Quarantined and deleted successfully.

hoffe mal ihr könnt mir weiterhelfen.

vielen dank schonmal im vorraus
 
  • #2
Hijack-Log

soamazin schrieb:
O2 - BHO: vShare Plugin - {043C5167-00BB-4324-AF7E-62013FAEDACF} - C:\Program Files (x86)\vShare\vshare_toolbar.dll
O2 - BHO: IE5BarLauncherBHO Class - {78F3A323-798E-4AEA-9A57-88F4B05FD5DD} - C:\Program Files (x86)\vShare.tv plugin\BarLcher.dll
O3 - Toolbar: vShare Plugin - {043C5167-00BB-4324-AF7E-62013FAEDACF} - C:\Program Files (x86)\vShare\vshare_toolbar.dll
O3 - Toolbar: VShareToolBar - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - C:\Program Files (x86)\vShare.tv plugin\BarLcher.dll
O18 - Protocol: vsharechrome - {3F3A4B8A-86FC-43A4-BB00-6D7EBE9D4484} - C:\Program Files (x86)\vShare\vshare_toolbar.dll
Zum Vergrößern anklicken....

vShare.tv Toolbar - gewollt?

soamazin schrieb:
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
Zum Vergrößern anklicken....

gehörte mal zu Windows Live Messenger

soamazin schrieb:
O4 - HKLM\..\Run: [sysrunc] C:\Windows\system32\sysrunc.exe
Zum Vergrößern anklicken....

Da isser
[sub]http://www.boerse.bz/netzwelt/szene-talk/926373-remix.html[/sub]

soamazin schrieb:
O15 - Trusted Zone: asia.msi.com.tw
O15 - Trusted Zone: global.msi.com.tw
O15 - Trusted Zone: msi.com.tw
Zum Vergrößern anklicken....

ist der rote Eintrag OK?
schau unter Vertrauenswürdige Seiten des IEs

soamazin schrieb:
O20 - AppInit_DLLs: prio32.dll
O23 - Service: Prio Service (prio_svc) - Unknown owner - C:\Program Files\Prio\prio_svc.exe
Zum Vergrößern anklicken....

ist das eine Art Taskmanager Erweiterung?

MalwareBytes

Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Dateien: 7
Zum Vergrößern anklicken....

soamazin schrieb:
Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\da-emon (Trojan.Agent) -> Value: da-emon -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sysrunc (Trojan.Agent) -> Value: sysrunc -> Quarantined and deleted successfully.
Zum Vergrößern anklicken....

[sub]Quarantined and deleted successfully[/sub]
MalwareBytes hat den Schädling in Quarantäne verschoben und erfolgreich gelöscht.

soamazin schrieb:
Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.StartPage) -> Bad: (startsear.ch/?aff=1) Good: () -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.StartPage) -> Bad: (startsear.ch/?aff=1) Good: () -> Quarantined and deleted successfully.
Zum Vergrößern anklicken....

MalwareBytes hat auch noch eine suspekte Startseite (IE) in der Registry gefunden, in Quarantäne verschoben und erfolgreich gelöscht. (Bad: startsear.ch) könnte mit der Toolbar vShare.tv zu tun haben.

soamazin schrieb:
Infizierte Dateien:
c:\program files (x86)\image-line\toxic biohazard\toxic biohazard.dll (Trojan.Backdoor) -> Quarantined and deleted successfully.
c:\Users\oGs\documents\prod stuff\sylenth\lennardigital.sylenth1.vsti.v2.202.incl.Key-gen-air\Key-gen.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\oGs\documents\prod stuff\sylenth\Sly_Fox\Sly Fox\lennardigital.sylenth1.vsti.v2.202.incl.Key-gen\Key-gen.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\oGs\documents\prod stuff\sylenth1 2.202\Key-gen.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\oGs\AppData\Roaming\dae-mon.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Windows\System32\sysrunc.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Windows\SysWOW64\sysrunc.exe (Trojan.Agent) -> Quarantined and deleted successfully.
Zum Vergrößern anklicken....

Auch in deine Daten auf deiner Festplatte wurde MalwareBytes fündig.
Image Line Toxic Biohazard ist wohl eine Audio-Software - evtl. False Positiv (Fehlalarm)
Deinen Key-gen hat er auch gefunden, sowie Da-emon Tools :mad:
Lies bitte Wichtige Info zum Urheberrechtsgesetz:


und dein angebliches Java Applet sysrunc.exe ...
Ob dein PC von MalwareBytes gründlich gereinigt wurde kann ich leider nicht sagen.

Für die Zukunft: ausschließlich immer von der Herstellerwebseite beziehen, Java von oracle.com:


pan_fee
 
  • #3
danke erstmal fuer deine hilfe.
1. ja es ist ein taskmanagererweiterungsprogramm.
2. toolbars sind von mir nie gewollt, ist mir nur nicht aufgefallen da ich den internet explorer nicht nutze.
3. in dem von mir erwaehnten forum meinte ein user das durch die applet.exe automatisch andere schaedlingssoftware auf den pc geladen werden und das ich formatieren soll und deswegen mach ich es jetzt auch.

manchmal muss man einfach lehrgeld zahlen und auf nummer sicher zu gehen formatiere ich gerade.
trotzdem vielen dank fuer deine hilfe und muehe
das thema kann abgehakt werden..

und ja das auf meinem pc waren hinterlassenschaften eines musikprogramms das ich eh nicht benutzt habe..naja durch das formatieren duerfte ich in der hinsicht ja auch auf ser sicheren seite sein.

danke trotzdem nochmal vielmals..
p.s.: ich achreibe[br][br]Erstellt am: 05.11.11 um 14:52:10
[br]ich schreibe vom handy, deswegen entschuldige ich moch fuer alle rechtschreibfehler und entschuldigt bitte auch das illegal erworbene programm und deamon tools. das ist schon laenger her und ich habe es auch nie wirklich benutzt. ich bin naemlich eig auch ein ehrlicher user der nicht gegen das urheberrecht verstoesst da ich weiss das es illegal ist und ich lieber auf der sicheren seite bin..hoffe mal ihr glaubt mir das..danke trotzdem fuer alles..
 
Thema:

remix.to java applet trojaner

ANGEBOTE & SPONSOREN

Neueste Themen

Statistik des Forums

Themen
113.840
Beiträge
707.966
Mitglieder
51.494
Neuestes Mitglied
Flensburg45
Oben