Win32:Dropper-gen

**Elektro** · 05.11.13, 21:50

Hallo habe mir was eingefangen, neu Aufsetzen?

11/04/2013 19:24
Prüfung aller lokalen Laufwerke

Datei C:\Program Files\CSBrowserHelper\cs-browser-assistant.exe ist infiziert von Win32

ropper-gen [Drp], In Container verschoben
Datei C:\Users\JS\AppData\LocalLow\Sun\Java\Deployment\c ache\6.0\25\2ff268d9-28bdd8ca|>AkTiVBV.class ist infiziert von Java:Malware-gen [Trj], In Container verschoben
Datei C:\Users\JS\AppData\LocalLow\Sun\Java\Deployment\c ache\6.0\25\2ff268d9-28bdd8ca|>aPVQrJlT.class ist infiziert von Java:Malware-gen [Trj], In Container verschoben
Datei C:\Users\JS\AppData\LocalLow\Sun\Java\Deployment\c ache\6.0\25\2ff268d9-28bdd8ca|>eNjT.class ist infiziert von Java:Agent-GIQ [Trj], In Container verschoben
Datei C:\Users\JS\AppData\LocalLow\Sun\Java\Deployment\c ache\6.0\25\2ff268d9-28bdd8ca|>JpVQRTT.class ist infiziert von Java:Agent-GLK [Expl], In Container verschoben
Datei C:\Users\JS\AppData\LocalLow\Sun\Java\Deployment\c ache\6.0\25\2ff268d9-28bdd8ca|>MPGrbqzGR.class ist infiziert von Java:Malware-gen [Trj], In Container verschoben
Datei C:\Users\JS\AppData\LocalLow\Sun\Java\Deployment\c ache\6.0\25\2ff268d9-28bdd8ca|>NeuH.class ist infiziert von Java:Malware-gen [Trj], In Container verschoben
Datei C:\Users\JS\AppData\LocalLow\Sun\Java\Deployment\c ache\6.0\25\2ff268d9-28bdd8ca|>niKRH.class ist infiziert von Java:Malware-gen [Trj], In Container verschoben
Datei C:\Users\JS\AppData\LocalLow\Sun\Java\Deployment\c ache\6.0\25\2ff268d9-28bdd8ca|>NxHdQXBJuQ.class ist infiziert von Java:Agent-GKP [Expl], In Container verschoben
Datei C:\Users\JS\AppData\LocalLow\Sun\Java\Deployment\c ache\6.0\25\2ff268d9-28bdd8ca|>srogXzg.class ist infiziert von Java:Malware-gen [Trj], In Container verschoben
Datei C:\Users\JS\AppData\LocalLow\Sun\Java\Deployment\c ache\6.0\25\2ff268d9-28bdd8ca|>zIPfNi.class ist infiziert von Java:Agent-GIC [Expl], In Container verschoben
Datei C:\Users\JS\AppData\LocalLow\Sun\Java\Deployment\c ache\6.0\43\29ea176b-1e48e3b9|>UGAltfkg.class ist infiziert von Java:CVE-2010-0840-CN [Expl], In Container verschoben
Datei C:\Users\JS\AppData\LocalLow\Sun\Java\Deployment\c ache\6.0\43\29ea176b-1e48e3b9|>Umh.class ist infiziert von Java:Malware-gen [Trj], In Container verschoben
Datei C:\Users\JS\AppData\LocalLow\Sun\Java\Deployment\c ache\6.0\43\29ea176b-1e48e3b9|>xXGTQTCk.class ist infiziert von Java:Malware-gen [Trj], In Container verschoben
Datei C:\Users\JS\Downloads\libreoffice_4.0.0_win_x86.ms i|>libreoffice1.cab|>template7.bau|>+BBcEEQ-1+BCE-\Pictures\2000001B00000CD200000CED63AA5866.svm Fehler 42125 {ZIP-Archiv ist beschädigt.}
Datei C:\Users\JS\Downloads\libreoffice_4.0.0_win_x86.ms i|>libreoffice1.cab|>template7.bau|>+BBcEEQQU-\Pictures\2000001B00000CD200000CED63AA5866.svm Fehler 42125 {ZIP-Archiv ist beschädigt.}
Datei C:\Windows\Installer\37a488.msi|>libreoffice1.cab| >template7.bau|>+BBcEEQ-1+BCE-\Pictures\2000001B00000CD200000CED63AA5866.svm Fehler 42125 {ZIP-Archiv ist beschädigt.}
Datei C:\Windows\Installer\37a488.msi|>libreoffice1.cab| >template7.bau|>+BBcEEQQU-\Pictures\2000001B00000CD200000CED63AA5866.svm Fehler 42125 {ZIP-Archiv ist beschädigt.}
Datei C:\Windows\Panther\img\appicon_0000ae8695e2412c0d2 ac81374497228dabe70b95651.png Fehler 0xC000009C {STATUS_DEVICE_DATA_ERROR}
Anzahl durchsuchter Ordner: 24704
Anzahl der geprüften Dateien: 913194
Anzahl infizierter Dateien: 14

**Steven Winderlich** · 05.11.13, 21:52

Hallo Elektro,

lade dir mal Malwarebytes runter und mach eine vollständige Prüfung.

www.malwarebytes.org

Achtung im letzten Fenster der Installation die 14 Tage Testzeit der PRO-Version abwählen.

Ich habe mir neulich mal einen Browser-Hijacker irgendwo geholt.

**Elektro** · 05.11.13, 21:57

Hallo Steven Winderlich, habe ich gestern schon gemacht nichts auffälliges gefunden.

**Steven Winderlich** · 05.11.13, 22:04

OK.

Könntest du einmal dieser Anleitung folgen und die Logs posten? http://forum.avast.com/index.php?topic=102616.0

Ist aus dem Avast Web Forum. Ich kann die Logs an einen Malware Experten weitergeben wenn du willst.
Oder du könntest dich im Avast Web Forum anmelden und ein Thema eröffnen.

Es könnte sein das Avast schon alles erledigt hat. Aber lieber einmal einen Experten drüber schauen lassen.
Bitte auch das Log vom Malwarebytes Scan hier posten.

**Steven Winderlich** · 05.11.13, 22:05

Hast du in letzter Zeit irgendwelche Warnungen von Avast erhalten?

Blockierte Webseiten, Malwarefunde, etc......?

**TerraX** · 06.11.13, 05:57

Hallo,

bitte eine Startzeitüberprüfung mit avast! durchführen.
Anschließend bitte ein Log mit HijackThis erstellen und an deinen nächsten Beitrag mit anhängen.
http://sicher-ins-netz.info/analyse/hjt.html

TerraX

**Stefan** · 06.11.13, 10:39

Zitat von Elektro

C:\Program Files\CSBrowserHelper\cs-browser-assistant.exe

Würde sagen nix "schlimmes". Vermutlich "nur" so lästiges PUP Zeugs, obwohl von Avast als Dropper deklariert. MBAM hat ja auch nix weiteres mehr gefunden.

Beim anderen Zeugs sollte nix passiert sein, sofern Java aktuell ist. Würde mal den Java Cache leeren.

Ansonsten wie TerraX schon geschrieben hat ein HJT Log hier posten und eine Startzeitüberprüfung durchführen.

Mal gucken...

**Microstoff** · 06.11.13, 10:50

Zitat von TerraX

Hallo,

bitte eine Startzeitüberprüfung mit avast! durchführen.
Anschließend bitte ein Log mit HijackThis erstellen und an deinen nächsten Beitrag mit anhängen.
http://sicher-ins-netz.info/analyse/hjt.html

TerraX

Bevor du die Startzeitüberprüfung mit avast! absolvierst würde ich den Cache der benutzten Browser und von Java Sun
händisch oder mit dem CCleaner leeren/löschen.

**Elektro** · 08.11.13, 16:10

Das war schon die Startzeitprüfung von Avast

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 16:00:52, on 08.11.2013
Platform: Unknown Windows (WinNT 6.02.1008)
MSIE: Internet Explorer v11.0 (11.00.9600.16384)
Boot mode: Normal

Running processes:
C:\Program Files\Classic Shell\ClassicStartMenu.exe
C:\WINDOWS\system32\taskhostex.exe
C:\WINDOWS\Explorer.EXE
C:\Windows\System32\skydrive.exe
C:\Program Files\NVIDIA Corporation\Display\nvtray.exe
C:\Windows\System32\RuntimeBroker.exe
C:\Windows\System32\carpserv.exe
C:\Program Files\Microsoft Mouse and Keyboard Center\itype.exe
C:\Program Files\Microsoft Mouse and Keyboard Center\ipoint.exe
C:\Program Files\EaseUS\EaseUS Partition Master 9.2.2\bin\EpmNews.exe
C:\Program Files\Acronis\DriveMonitor\adm_tray.exe
C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe
C:\Users\JS\AppData\Local\keepvid.com.exe
C:\Program Files\EaseUS\Todo Backup\bin\EuWatch.exe
C:\Program Files\EaseUS\Todo Backup\bin\TrayNotify.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\AVAST Software\Avast\AvastUI.exe
C:\Program Files\Rainlendar2\Rainlendar2.exe
C:\Program Files\Anti-Lost CD Ejector\antilostlite.exe
C:\Program Files\Secure Banking\SecureBanking.exe
C:\Program Files\Secure Banking\sbservice.exe
C:\Program Files\SoundFrost\SoundFrostService.exe
C:\Program Files\SoundFrost\Jap.fm.exe
C:\Program Files\MT\MT.exe
C:\Windows\System32\SettingSyncHost.exe
C:\Users\JS\Portable Programme\FirefoxPortable neu\FirefoxPortable.exe
C:\Users\JS\Portable Programme\FirefoxPortable neu\App\firefox\firefox.exe
C:\Program Files\Neo's SafeKeys v3\Neo's SafeKeys v3.exe
C:\WINDOWS\explorer.exe
C:\Users\JS\Desktop\KeePass-2.23\KeePass.exe
C:\Program Files\WindowsApps\Microsoft.Reader_6.3.9600.16422_ x86__8wekyb3d8bbwe\glcnd.exe
C:\Users\JS\Portable Programme\FirefoxPortable neu\App\firefox\plugin-container.exe
C:\Windows\system32\Macromed\Flash\FlashPlayerPlug in_11_9_900_117.exe
C:\Windows\system32\Macromed\Flash\FlashPlayerPlug in_11_9_900_117.exe
C:\Users\JS\Desktop\Bootlog204.exe
C:\WINDOWS\system32\SearchFilterHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/p/?LinkId=255141
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/p/?LinkId=255141
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: SoundFrost - {081524f7-7ed8-43ff-b01e-915c410a9cbe} - C:\PROGRA~1\SOUNDF~1\SOUNDF~1.DLL
O2 - BHO: ExplorerBHO Class - {449D0D6E-2412-4E61-B68F-1CB625CD9E52} - C:\Program Files\Classic Shell\ClassicExplorer32.dll
O2 - BHO: keepvid.com - {49ed9900-38cd-453c-bba7-3f2613317f5a} - C:\Users\JS\AppData\Local\keepvid.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre7\bin\ssv.dll
O2 - BHO: avast! Online Security - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: SoundFrost - {d997c836-ff82-4519-b459-1482ba942a4f} - C:\PROGRA~1\SOUNDF~1\SOUNDF~1.DLL
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre7\bin\jp2ssv.dll
O2 - BHO: Music Codec Pack - {e38b9042-67f5-4b8c-a1b5-4afa8acc648f} - C:\PROGRA~1\MUSICC~1\MUSICC~1.DLL
O2 - BHO: ClassicIE9BHO Class - {EA801577-E6AD-4BD5-8F71-4BE0154331A4} - C:\Program Files\Classic Shell\ClassicIE9DLL_32.dll
O3 - Toolbar: avast! Online Security - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll
O3 - Toolbar: Classic Explorer Bar - {553891B7-A0D5-4526-BE18-D3CE461D6310} - C:\Program Files\Classic Shell\ClassicExplorer32.dll
O3 - Toolbar: Perfect PDF 7 - {277BA090-1A90-4EDD-8F61-6574E274F50A} - C:\Program Files\soft Xpansion\Perfect PDF 7\ieagent32.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [vspdfprsrv.exe] C:\Program Files\Avanquest\PDF Experte 8 Ultimate\vspdfprsrv.exe --background
O4 - HKLM\..\Run: [IntelliType Pro] "c:\Program Files\Microsoft Mouse and Keyboard Center\itype.exe"
O4 - HKLM\..\Run: [IntelliPoint] "c:\Program Files\Microsoft Mouse and Keyboard Center\ipoint.exe"
O4 - HKLM\..\Run: [EaseUS EPM tray] C:\Program Files\EaseUS\EaseUS Partition Master 9.2.2\bin\EpmNews.exe
O4 - HKLM\..\Run: [adm_tray.exe] C:\Program Files\Acronis\DriveMonitor\adm_tray.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [keepvid] C:\Users\JS\AppData\Local\keepvid.com.exe
O4 - HKLM\..\Run: [EaseUs Watch] "C:\Program Files\EaseUS\Todo Backup\bin\EuWatch.exe"
O4 - HKLM\..\Run: [EaseUs Tray] "C:\Program Files\EaseUS\Todo Backup\bin\TrayNotify.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [AvastUI.exe] "C:\Program Files\AVAST Software\Avast\AvastUI.exe" /nogui
O4 - HKCU\..\Run: [Rainlendar2] C:\Program Files\Rainlendar2\Rainlendar2.exe
O4 - HKCU\..\Run: [AntiLostCD] C:\Program Files\Anti-Lost CD Ejector\antilostlite.exe
O4 - HKCU\..\Run: [SecureBanking] C:\Program Files\Secure Banking\SecureBanking.exe
O4 - HKCU\..\Run: [SoundFrost Service] C:\Program Files\SoundFrost\SoundFrostService.exe
O4 - HKCU\..\Run: [Jap.fm] C:\Program Files\SoundFrost\Jap.fm.exe
O4 - HKCU\..\Run: [Meine Traffic] C:\PROGRA~1\MT\MT.EXE
O9 - Extra button: (no name) - {56753E59-AF1D-4FBA-9E15-31557124ADA2} - C:\Program Files\Classic Shell\ClassicIE9_32.exe
O9 - Extra 'Tools' menuitem: Classic IE9 Settings - {56753E59-AF1D-4FBA-9E15-31557124ADA2} - C:\Program Files\Classic Shell\ClassicIE9_32.exe
O9 - Extra button: (no name) - {64964764-1101-4bbd-8891-B56B1A53B9B3} - C:\Program Files\Classic Shell\ClassicExplorer32.dll
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\Windows\system32\Macromed\Flash\FlashPlayerUpda teService.exe
O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\AVAST Software\Avast\AvastSvc.exe
O23 - Service: Classic Shell Service (ClassicShellService) - IvoSoft - C:\Program Files\Classic Shell\ClassicShellService.exe
O23 - Service: EaseUS Agent Service (EaseUS Agent) - CHENGDU YIWO Tech Development Co., Ltd - C:\Program Files\EaseUS\Todo Backup\bin\Agent.exe
O23 - Service: Guard Agent Service (Guard Agent) - CHENGDU YIWO Tech Development Co., Ltd - C:\Program Files\EaseUS\Todo Backup\bin\GuardAgent.exe
O23 - Service: Google Update-Dienst (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Update-Dienst (gupdatem) (gupdatem) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: MBAMScheduler - Malwarebytes Corporation - C:\Program Files\Malwarebytes' Anti-Malware\mbamscheduler.exe
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvvsvc.exe
O23 - Service: Samsung UPD Service2 - Samsung Electronics - C:\Windows\System32\SUPDSvc2.exe
O23 - Service: SiSoftware Deployment Agent Service (SandraAgentSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2013.SP1\RpcAgentSrv.exe
O23 - Service: Skype Updater (SkypeUpdate) - Skype Technologies - C:\Program Files\Skype\Updater\Updater.exe
O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
O23 - Service: soft Xpansion Dispatch Service (SXDS10) - soft Xpansion - C:\Program Files\Common Files\soft Xpansion\sxds10.exe

--
End of file - 9046 bytes

Merlin · 08.11.13, 19:09

Hallo,

ich würde jetzt nicht direkt von einer Infektion ausgehen. Generell würde ich aber empfehlen, alle unnötigen Programme zu entfernen (z.B. auch diesen CSBrowserHelper), mit dem CCleaner den Rechner zu säubern (sollte eventuell auch den Java Cache leeren) und dann mal mit MBAM zu prüfen.