Rokop Security

Willkommen, Gast ( Anmelden | Registrierung )

 
Closed TopicStart new topic
> Avast meldet Java:Agent Exploits
Gast_Joybringer_*
Beitrag 09.01.2011, 04:52
Beitrag #1






Gäste






Hallo und Guten Morgen,

nach einem gestrigen Suchlauf meldete mir Avast in C:\Users\Mike\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\27 die drei folgenden Treffer mit dem angegebenen Schweregrad "Hoch":

Java:Agent-BJ[Expl]

Java:Agent-BM[Expl]

Java:Agent-BM[Expl]

Diese wurden gemäß meiner Einstellungen problemlos in Quarantäne verfrachtet und anschließend von mir gelöscht. Der darauf folgende Scan verlief negativ.

Leider habe ich mit Malware & Co keinerlei Erfahrung, da dies die erste, ernstere Heimsuchung zu sein scheint. Ich weiß lediglich, das es sich hier um Exploits handelt, deren Bedeutung ich in Wikipedia nachgelesen habe.

Nun würde ich gerne wissen, ob trotz des erfolgreichen Löschvorgangs und anschließendem negativ Scan weitere Schritte erforderlich sind.

Gruß Joy

Edit: Hoffe, das das Thema hier richtig plaziert ist.

Obwohl ich selbst nichts ungewöhnliches erkennen kann, hier noch mein HJT Log:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 05:04:57, on 09.01.2011
Platform: Windows 7 (WinNT 6.00.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16700)
Boot mode: Normal

Running processes:
C:\Program Files\Alwil Software\Avast5\AvastUI.exe
C:\Windows\SysWOW64\Macromed\Flash\FlashUtil10l_ActiveX.exe
C:\Users\Mike\Desktop\HiJackThis204.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [avast5] "C:\Program Files\Alwil Software\Avast5\avastUI.exe" /nogui
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files (x86)\Java\jre6\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files (x86)\Java\jre6\bin\ssv.dll
O16 - DPF: {0E8D0700-75DF-11D3-8B4A-0008C7450C4A} - http://www.caminova.net/ja/downloads/getmodule.aspx?lang=de
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: AMD External Events Utility - Unknown owner - C:\Windows\system32\atiesrxx.exe (file missing)
O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Distributed Transaction Coordinator (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)

--
End of file - 4362 bytes


Der Beitrag wurde von Joybringer bearbeitet: 09.01.2011, 05:13
Go to the top of the page
 
+Quote Post
Gast_uweli1967_*
Beitrag 09.01.2011, 11:24
Beitrag #2






Gäste






ZITAT
Leider habe ich mit Malware & Co keinerlei Erfahrung, da dies die erste, ernstere Heimsuchung zu sein scheint. Ich weiß lediglich, das es sich hier um Exploits handelt, deren Bedeutung ich in Wikipedia nachgelesen habe.

Nun würde ich gerne wissen, ob trotz des erfolgreichen Löschvorgangs und anschließendem negativ Scan weitere Schritte erforderlich sind.

Joybringer, du könntest zur Kontrolle einen OnDemand Scanner nehmen und damit dein System scannen lassen. Als da wären: Malwarebytes Free, Emergency Kit oder auch McAfee Stinger um einmal 3 zu nennen.
Go to the top of the page
 
+Quote Post
Gast_Joybringer_*
Beitrag 09.01.2011, 18:02
Beitrag #3


Threadersteller




Gäste






Habe mich zur Gegenprobe für das Emisoft Emergency Kit entschieden, welches, was recht vorteilhaft, nicht installiert werden muß.

Der Scanner hat lediglich noch meinen Matrix Screensaver ausgegraben (Trace.File.BackAtack!A2). Nach dem Löschen der Datei brachte eine erneute Gegenprobe keinerlei Ergebnisse mehr zutage.

Tja, und das, obwohl ich die Datei ehemals bei Chip gedownloaded habe. Den selben Screensaver habe ich anschließend nochmals installiert, ebenfalls von Chip. Diesmal ist er clean.

Ich gehe nun einmal vorsichtig davon aus, das sich die Angelegenheit somit erledigt hat oder wären hier evtl. weitere Vorkehrungen von Nöten?
Go to the top of the page
 
+Quote Post
Gast_uweli1967_*
Beitrag 09.01.2011, 18:40
Beitrag #4






Gäste






Ich würde sagen nein, Joybringer wink.gif Du kannst ja den Emergency Kit als 2. OnDemand Scanner auf deinen PC lassen, muss ja nicht einmal installiert werden das Tool.
Go to the top of the page
 
+Quote Post
Gast_Joybringer_*
Beitrag 10.01.2011, 05:17
Beitrag #5


Threadersteller




Gäste






Ist bereits beschlossen und für Gegenproben allemal sinnvoll, wie ich nun erfahren habe.

Danke für die Tips.

Gruß Joy
Go to the top of the page
 
+Quote Post

Closed TopicStart new topic
1 Besucher lesen dieses Thema (Gäste: 1 | Anonyme Besucher: 0)
0 Mitglieder:

 



Vereinfachte Darstellung Aktuelles Datum: 29.03.2024, 13:52
Impressum