Exploit.PDF-JS.Gen - wie wird man das los?

pink_panther · 01.11.2010, 12:05

Hallo!

Hatte in letzter Zeit einige Trojaner-Funde mit AntiVir (Free), die ich dann in der Quarantäne gelöscht habe.
Habe nun zusätzlich nochmal mit BitDefender gescannt - Fund : Exploit.PDF-JS.Gen

Folgend das BitDefender Log und auch HijackThis Log

//-----------------------------------------------------------------
//
// Product: BitDefender 8 Free Edition
// Version: 8.0
//
// Erstelt am: 30/10/2010 10:58:02
//
//-----------------------------------------------------------------

Statistik

Pfad : C:\
Ordner : 2833
Dateien : 37785
Archive : 3470
Komprimierte Dateien : 1376
Erkannte Viren : 2
Infizierte Dateien : 4
Warnungen : 0
Verdächtige Dateien : 0
Desinfizierte Dateien : 0
Gelöschte Dateien : 0
Kopierte Dateien : 0
Verschobene Dateien : 0
Umbenannte Dateien : 0
I/O Fehler : 9
Prüfzeit :00:06:53
Prüfgeschwindigkeit (Dateien/Sekunde) : 91

Virusdefinitionen : 6081403
Scan Plug-Ins : 16
Archiv Plug-Ins : 41
Archiv Plug-Ins : 10
E-Mail Plug-Ins : 6
System Plug-Ins : 1

Scan Optionen

Erkennung
[X] Boot-Sektoren prüfen
[X] Archive prüfen
[X] Komprimierte Dateien prüfen
[X] E-Mails prüfen

Dateimaske
[ ] Programme
[X] Alle Dateien
[ ] Benutzerdefinierte Erweiterungen:
[ ] Ausgeschlossene Erweiterungen: ;

Aktion

Infizierte Objekte
[ ] Ignorieren
[X] Desinfizieren
[ ] Löschen
[ ] In die Quarantäne kopieren
[ ] In die Quarantäne verschieben
[ ] Umbenennen
[ ] Benutzer abfragen

Zweite Aktion
[ ] Ignorieren
[ ] Löschen
[ ] In die Quarantäne kopieren
[X] In die Quarantäne verschieben
[ ] Umbenennen
[ ] Benutzer abfragen

Scan Optionen
[X] Warnungen aktiviert
[X] Heuritik aktiviert
[ ] Alle Dateien im Bericht anzeigen
[X] Berichtsdatei: vscan.log
[ ] Zum bestehenden Bericht hinzufügen

Zusammenfassung:

C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\plugtmp-20\plugin-skepticalalso.pdf=>(JAVASCRIPT) Infiziert mit: Exploit.PDF-JS.Gen
C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\plugtmp-20\plugin-skepticalalso.pdf=>(JAVASCRIPT) Desinfizieren fehlgeschlagen
C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\plugtmp-20\plugin-skepticalalso.pdf=>(JAVASCRIPT) Verschieben fehlgeschlagen
C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\plugtmp-20\plugin-skepticalalso.pdf=>(NAME) Infiziert mit: Exploit.PDF-Name.Gen
C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\plugtmp-20\plugin-skepticalalso.pdf=>(NAME) Desinfizieren fehlgeschlagen
C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\plugtmp-20\plugin-skepticalalso.pdf=>(NAME) Verschieben fehlgeschlagen
C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\plugtmp-26\plugin-ballshustleandbustle.pdf=>(JAVASCRIPT) Infiziert mit: Exploit.PDF-JS.Gen
C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\plugtmp-26\plugin-ballshustleandbustle.pdf=>(JAVASCRIPT) Desinfizieren fehlgeschlagen
C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\plugtmp-26\plugin-ballshustleandbustle.pdf=>(JAVASCRIPT) Verschieben fehlgeschlagen
C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\plugtmp-26\plugin-ballshustleandbustle.pdf=>(NAME) Infiziert mit: Exploit.PDF-Name.Gen
C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\plugtmp-26\plugin-ballshustleandbustle.pdf=>(NAME) Desinfizieren fehlgeschlagen
C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\plugtmp-26\plugin-ballshustleandbustle.pdf=>(NAME) Verschieben fehlgeschlagen

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:21:36, on 01.11.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Twain_32\FlatBed\HotKey.exe
C:\WINDOWS\system32\VTTimer.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Softwin\BitDefender8\bdmcon.exe
C:\Programme\Softwin\BitDefender8\bdnagent.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIA AE.EXE
C:\Programme\Google\GoogleToolbarNotifier\GoogleTo olbarNotifier.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Avira\AntiVir Desktop\avshadow.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Mozilla Firefox\plugin-container.exe
C:\WINDOWS\notepad.exe
C:\Programme\HijackThis\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN, Messenger und Hotmail sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.6.5805 .1910\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugi n.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [BDMCon] "C:\Programme\Softwin\BitDefender8\bdmcon.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "C:\Programme\Softwin\BitDefender8\bdnagent.ex e"
O4 - HKCU\..\Run: [swg] "C:\Programme\Google\GoogleToolbarNotifier\GoogleT oolbarNotifier.exe"
O8 - Extra context menu item: Google Sidewiki... - res://C:\Programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_950D F09FAB501E03.dll/cmsidewiki.html
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/micr...?1261665012625
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/micr...?1260537504250
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe

--
End of file - 4481 bytes

Habe folgendes zum Exploit.PDF-JS.Gen gelesen:
Die Schadsoftware manipuliert die Javascript-Engine von Adobe-Tools und führt schädlichen Code auf dem jeweiligen Rechner aus.
Was genau ist mit 'schädlichem Code' gemeint?
Wie wird man das wieder los?

Für Antworten und Hilfe vielen Dank im voraus!

Grüße