Avira meldet Malware "msysyu32.exe"

Hallo,

habe heute eine Seite im Internet aufgerufen. Daraufhin hat sich der Acrobat Reader geöffnet. Habe gleich gedacht, da stimmt was nicht. Habe dann alles Seite schnell geschlossen. War aber wohl zu spät. Avira Antivir hat gemeldet, das Malware gefunden wurde. Und zwar aus Windows/Jar/ .....zip Datei. Gleichzeitig ist die Windows Firewall ausgegangen. Habe sie gleich wieder eingeschaltet. Habe Antivir gesagt, die gefundene DAtei nicht auszuführen. DAnn hat sich der Computer selber runter und wieder hochgefahren.
Habe dann ein System-Sca mit Antivir gemacht und der hat eine DAtei gefunden und zwar: msysyu32.exe
Kennt das jemand??
Was habe ich mir da eingehandelt???

 

bredolab ist ein heißer kandidat.
was hast du mit der datei gemacht?
bitte poste die fundmeldungen(antivir, ansicht, übersicht, ereignisse).

http://download.bleepingcomputer.com/sUBs/dds.scr
auf den desktop herunterladen und ausführen.

es öffnen sich zwei logs, dds.txt und attach.txt.

den dds.txt-bericht bitte abspeichern und anhängen.

 

Danke

Was ist bedolab?

Hier ist der Fund von Antivir:
In der Datei 'C:\WINDOWS\Temp\jar\gsb50.jar-4e5c4688-68bfedc6.zip'
wurde ein Virus oder unerwünschtes Programm 'JAVA/Dldr.Agen.NA.1' [virus] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Habe dann einen Scan gemacht und der hat die Datei in Quarantäne getan:
c:\windows\system32\msysyu32.exe
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4bf616d2.qua erstellt ( QUARANTÄNE )
Es wurden '55181' Objekte überprüft, '1' versteckte Objekte wurden gefunden.

Ansonsten sagt Antivir nichts gefunden. Ich möchte aber wirklich alles entfernt haben.

 

Mache gerade rsit-scan. Reichen die Log-Dateien auch?

 

bitte hänge das dds-logfile an.

bredolab ist ganz was fieses. wenn du magst, bemühe eine suchmaschine deiner wahl bzgl. des kameraden.
dieser
c:\windows\system32\msysyu32.exe
fundort wäre für die malware aber ungewöhnlich.

lege einen ordner c:\malware an.
antivir, ansicht, verwaltung, quarantäne, rechtsklick, objekt wiederherstellen nach c:\malware, av-guard temporär deaktivieren, dann den krempel hier http://www.virustotal.com/de/ auswerten lassen und die ergebnisse posten.

 

DAnke!

Hier das dds.txt

 

>Gleichzeitig ist die Windows Firewall ausgegangen.
Laut Log ist ZoneAlarm installiert. Die verträgt sich nicht mit der Windows Firewall. Die Java Version ist auch total veraltet. Gestern gab es ein Update für Adobe Reader, das Sicherheitslücken schließt. (Version 9.3.1).
Es ist aber noch der total veraltet Acrobat Reader 6 installiert!
IE6 ist veraltet und und und....

 

es spräche eigentlich auch nichts dagegen, service pack 3 zu installieren, wobei das system allerdings reif für die tonne und ein solcher schritt somit nicht mehr relevant sein dürfte.

@dretz3
du musst schon ein wenig mitarbeiten.
was ist mit der virustotal-prozedur?
was hat mbam hervorgebracht?

 

Hallo,

da tut sich nichts bei virustotal..
Probier es jetzt nochmal.

IE6 ist veraltet das weiss ich. Damit geh ich ja nich ins Internet.
Und Acrobat nutze ich sonst gar nicht.

 

Jetzt steht was bei virustotal:
Ist es das richtige??
MD5:
First received:
Datum
Ergebnisse
Permalink:

 

Das Acrobat Reader Plugin startet aber über den Browser automatisch bei PDF und dann hast du den Salat. Bei Noscript in Firefox wäre das nicht passiert.

 

Habe Firefox und habe die Skripte jetzt ausgestellt. Ist aber wohl zu spät.
Was muss ich denn jetzt machen. Habe noch das Logfile von malwarebytes:

 

So habe javascript wieder an hier das ergebnis von virustotal:
MD5: 84d3ded9e14a50ae23ef0e8ae8e0c1d1
First received: 2010.02.18 18:31:55 UTC
Datum 2010.02.18 18:31:55 UTC [<1D]
Ergebnisse 3/41
Permalink: analisis/8dae5ee55382be5e2dcd3f876037d9cc233166caf4c94a4984caed2710de548f-1266517915

 

machst du online-banking?

bitte pack msysyu32.exe in ein archiv mit dem passwort "infected",
sende eine mail mit diesem archiv als anhang an
newvirus@kaspersky.com
+
virus@avira.com
und bitte um untersuchung.

 

Der Virus scheint noch ganz neu zu sein.
Aber Avira findet hier nichts.
http://www.virustotal.com/analisis/...cc233166caf4c94a4984caed2710de548f-1266517915

Backdoor.Bot in der Registry und e.exe sind dann die Aufforderung, das System komplett neu aufzusetzen.

 

Danke!
Was habe ich mir denn nun eingefangen?
Einen Wurm, Trojaner oder eine spyware??

 

das, was mbam ausgespuckt hat, sind zbot-einträge, aber so ganz ist mir der zusammenhang noch nicht klar.
vgl. auch hier(die von den dortigen "helfern" fachlich äußerst gruseligen beiträge bitte ignorieren):
http://forum.chip.de/viren-trojaner-wuermer/kollah-rechner-1346565.html

 

Bis jetzt war es so, dass a.exe, b.exe, c.exe usw. die hier in HJT-Logs vorkamen, mit Neuaufsetzen endeten. Da helfen dann die ellenlangen Logs auch nicht weiter. Hier kann dann auch noch ein Rootkit aktiv sein, wenn e.exe nicht in HJT-Log und Taskmanager ist.

 

Danke an alle!

WErde dann den Computer wohl neu gestalten.

Kann ich fotos, mp3 videos und Textdateien gefahrlos auf Cd brennen???
Oder kann da auch was Schädliches dabei sein.

Die Software brauche ich nicht mehr.

Noch ne doofe Frage:
Was machen solche backdoor programme?? Spähen die meine Passwörter aus?

Habe leider nur einen Rechner. Deshalb bin ich mit dem online. Ich hoffe das ist ok.