Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: EXP/CVE-2010-0840.AH und EXP/2010-0840.AN

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 18.11.2011, 18:15   #16
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
EXP/CVE-2010-0840.AH und EXP/2010-0840.AN - Standard

EXP/CVE-2010-0840.AH und EXP/2010-0840.AN



Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:
ATTFilter
File::
c:\users\Melli\AppData\Local\Temp\krdpdre.sys

Driver::
krdpdre
         
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 18.11.2011, 20:14   #17
Melli1985
 
EXP/CVE-2010-0840.AH und EXP/2010-0840.AN - Standard

EXP/CVE-2010-0840.AH und EXP/2010-0840.AN



Und weiter gehts. Log im Anhang.

Was ist das denn überhaupt, was ich mir da eingefangen habe? Wieder so ein Spyeye, oder wie die immer noch heißen, welches auch Passwörter ausspioniert?
__________________


Geändert von Melli1985 (18.11.2011 um 20:22 Uhr)

Alt 18.11.2011, 21:35   #18
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
EXP/CVE-2010-0840.AH und EXP/2010-0840.AN - Standard

EXP/CVE-2010-0840.AH und EXP/2010-0840.AN



Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM!

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.
  • Starte die aswMBR.exe - (aswMBR.exe Anleitung)
    Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
  • Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
    Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  • Klicke auf Scan.
  • Warte bitte bis Scan finished successfully im DOS-Fenster steht.
  • Drücke auf Save Log und speichere diese auf dem Desktop.
Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).

__________________
__________________

Alt 19.11.2011, 19:12   #19
Melli1985
 
EXP/CVE-2010-0840.AH und EXP/2010-0840.AN - Standard

EXP/CVE-2010-0840.AH und EXP/2010-0840.AN



Hier nun die Logs von GMER, OSAM und aswMBR.

Alt 20.11.2011, 12:44   #20
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
EXP/CVE-2010-0840.AH und EXP/2010-0840.AN - Standard

EXP/CVE-2010-0840.AH und EXP/2010-0840.AN



Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!


Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:


ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset


__________________
Logfiles bitte immer in CODE-Tags posten

Alt 20.11.2011, 21:13   #21
Melli1985
 
EXP/CVE-2010-0840.AH und EXP/2010-0840.AN - Standard

EXP/CVE-2010-0840.AH und EXP/2010-0840.AN



Logs befinden sich im Anhang. Den von SUPERAntiSpyware musste ich als Zip-Datei anhängen, da sie sonst zu groß war.

Wenn ich das richtig verstanden habe, hatte dann die veraltete Java-Version etwas mit dem Virus zu tun?
Und was war das jetzt genau für ein Virus? Wieder so ein Spyeye, oder wie die immer noch heißen, welches auch Passwörter ausspioniert?

Alt 21.11.2011, 10:27   #22
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
EXP/CVE-2010-0840.AH und EXP/2010-0840.AN - Standard

EXP/CVE-2010-0840.AH und EXP/2010-0840.AN



Sieht ok aus, da wurden nur Cookies gefunden.
Noch Probleme oder weitere Funde in der Zwischenzeit?
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 21.11.2011, 19:46   #23
Melli1985
 
EXP/CVE-2010-0840.AH und EXP/2010-0840.AN - Standard

EXP/CVE-2010-0840.AH und EXP/2010-0840.AN



Ok, ich bin am verzweifeln. Da du gefragt hast, ob es in der Zwischenzeit weitere Funde gab, habe ich bei Avira unter Ereignisse geschaut und ich musste feststellen, dass am 19.11. um 18:54 Uhr vom Guard Malware gefunden wurde! Ich habe das gar nicht gemerkt, da Avira sich nicht gemeldet hatte.

Da steht folgendes:

In der Datei 'C:\Users\Melli\AppData\Local\Temp\_avast4_\unp91690960.tmp'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff erlauben

und

In der Datei 'C:\Users\Melli\AppData\Local\Temp\_avast4_\unp201565916.tmp'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff erlauben

Das war an dem Tag, als ich GMER, OSAM und aswMBR hab durchlaufen lassen. Das war vllt. nach aswMBR. Aber wie gesagt, Avira hat sich nicht bemerkbar gemacht. Normalerweise piept es ja, wenn der Guard etwas findet.

Dann habe ich manchmal das Problem, dass, wenn ich schon länger am PC sitze, sich Seiten nur noch laden, wenn ich die Maus bewege. Genauso gestern, nach den ganzen Suchläufen durch Malwarebytes, Eset und SuperAntispyware.
Kann vllt. auch nur an meinen PC liegen.

Und ich habe seit ein paar Tagen dass Problem, wie soll ich es erklären?, wenn ich den PC einschalte, gehe ich meistens sofort ins Internet. Die ersten 30-60 Sekunden stockt der PC dann für 2-3 Sekunden. Also wenn ich auf einer Seite runterscrolle, dann hängt der PC kurz für 2-3 Sek. und dann läufts wieder. Und das wiederum nur in den 30-60 Sekunden, nachdem ich ins Internet gegangen bin. Danach ist das weg, egal wie lange ich am PC sitze.

Aber auch das könnte ja an meinem PC liegen, da er nicht mehr der Neueste ist.

Naja, jedenfalls, als ich gesehen habe, dass der Guard etwas gefunden hatte, habe ich Avira vorhin nochmal durchlaufen lassen, hat aber nichts gefunden. Ich füge den Log aber im Anhang bei.

Bei den Vollscans von gestern wurde doch nichts gefunden. Du sagtest ja, dass es ok aussieht und nur Cookies gefunden wurden.

Muss ich mir weiter Sorgen machen? Muss ich noch was unternehmen?

Alt 21.11.2011, 20:58   #24
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
EXP/CVE-2010-0840.AH und EXP/2010-0840.AN - Standard

EXP/CVE-2010-0840.AH und EXP/2010-0840.AN



Zitat:
Da steht folgendes:

In der Datei 'C:\Users\Melli\AppData\Local\Temp\_avast4_\unp91690960.tmp'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan] gefunden.
Man muss sich auch mal die Meldungen von Anfang bis Ende anschauen, dann sollte es klingeln
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 21.11.2011, 21:13   #25
Melli1985
 
EXP/CVE-2010-0840.AH und EXP/2010-0840.AN - Standard

EXP/CVE-2010-0840.AH und EXP/2010-0840.AN



Ich habe mir die Meldung von Anfang bis Ende durchgelesen!

Ich habe das avast4 auch gesehen und weiß auch noch, dass bei aswMBR gefragt wurde, ob man mit der aktuellen Virendefinition von AVAST! das System scannen will.

Wenn ich mich mit sowas aber auskennen würde, hätte ich nicht nachgefragt!!

Darf ich deiner Antowrt also entnehmen, dass alles okay ist?

Alt 21.11.2011, 21:18   #26
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
EXP/CVE-2010-0840.AH und EXP/2010-0840.AN - Standard

EXP/CVE-2010-0840.AH und EXP/2010-0840.AN



Ja, ist ein Fehalarm. Zum anderen Problem mit den 2-3 Sekunden das hier mal beachten => http://www.trojaner-board.de/71631-p...tml#post425616

Ansonsten wieder alles ok?
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 21.11.2011, 21:24   #27
Melli1985
 
EXP/CVE-2010-0840.AH und EXP/2010-0840.AN - Standard

EXP/CVE-2010-0840.AH und EXP/2010-0840.AN



Ok, dann bin ich beruhigt.

Abgesehen davon, dass ich nach längerer Sitzung mal die Maus zum laden bewegen muss, ist alles okay. Aber wenn ich das richtig in Erinnerung habe, war das auch nur dann, wenn ich mit den Programmen gescannt habe.
Ich werde das einfach mal weiter beobachten.

Alt 21.11.2011, 21:27   #28
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
EXP/CVE-2010-0840.AH und EXP/2010-0840.AN - Standard

EXP/CVE-2010-0840.AH und EXP/2010-0840.AN



Dann wären wir durch!

Die Programme, die hier zum Einsatz kamen, können alle wieder runter. CF kann über Start, Ausführen mit combofix /uninstall entfernt werden. Melde dich falls es da Fehlermeldungen zu gibt.
Malwarebytes zu behalten ist kein Fehler. Kannst ja 1x im Monat damit scannen, aber immer vorher ans Update denken.

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update


PDF-Reader aktualisieren
Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast)

Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, die sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink:

Mozilla und andere Browser => http://filepony.de/?q=Flash+Player
Internet Explorer => http://fpdownload.adobe.com/get/flas..._player_ax.exe

Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind.


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 21.11.2011, 21:36   #29
Melli1985
 
EXP/CVE-2010-0840.AH und EXP/2010-0840.AN - Standard

EXP/CVE-2010-0840.AH und EXP/2010-0840.AN



Ich danke dir für deine große Hilfe!

Ich werde das andere morgen in Angriff nehmen, da habe ich mehr Zeit.

Zwei Fragen noch:

1) Kann ich die Ordner _OTL und Qoobox auch löschen?

2) Gestern habe ich bzgl. SuperAntiSpyware etwas vergessen: nach dem Scan konnte ich auf "Remove" oder auf "Cancel" klicken, habe das Programm aber einfach nur geschlossen. War das richtig so oder ist es notwendig, dass ich die Cookies entferne?

Nochmals danke!

Alt 21.11.2011, 22:13   #30
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
EXP/CVE-2010-0840.AH und EXP/2010-0840.AN - Standard

EXP/CVE-2010-0840.AH und EXP/2010-0840.AN



Zitat:
1) Kann ich die Ordner _OTL und Qoobox auch löschen?
_OTL kann weg, Qoobox ist von CF und da hab ich was zu geschrieben

Zitat:
dass ich die Cookies entferne?
Ob du die Cookies entfernst oder lässt ist ziemlich latte
__________________
Logfiles bitte immer in CODE-Tags posten

Antwort

Themen zu EXP/CVE-2010-0840.AH und EXP/2010-0840.AN
administrator, anfang, aufrufe, avira, chip.de, fehler, firefox, frage, fritz box, internet, kabel, kein log, log, malwarebytes, meldung, neue, neues, nicht geladen, problem, programme, quarantäne, seite, seiten, update, updates, viren, windows, windows updates



Ähnliche Themen: EXP/CVE-2010-0840.AH und EXP/2010-0840.AN


  1. Ist Exploits EXP/Blacole.BK.19 und EXP/CVE-2010-0840.FH noch gefährlich?
    Plagegeister aller Art und deren Bekämpfung - 30.03.2013 (1)
  2. Infektion mit EXP/CVE-2010-0840.DL
    Plagegeister aller Art und deren Bekämpfung - 22.11.2012 (15)
  3. EXP/CVE-2010-0840.EO (evtl. Verschlüsselungs/BKA-Trojaner)
    Log-Analyse und Auswertung - 13.06.2012 (7)
  4. Mehrere Trojaner auf dem PC (FakeSysdef, CVE-2010-0840, Dropper.gen...)
    Plagegeister aller Art und deren Bekämpfung - 27.03.2012 (3)
  5. EXP/CVE-2010-0840.FL - Virus losgeworden?
    Plagegeister aller Art und deren Bekämpfung - 15.03.2012 (41)
  6. Exploits EXP/CVE-2010-0840
    Plagegeister aller Art und deren Bekämpfung - 22.02.2012 (14)
  7. EXP/2011-3544.AK und EXP/2010-0840.CN
    Plagegeister aller Art und deren Bekämpfung - 29.01.2012 (4)
  8. JAVA/Dldr.Tharra.G und EXP/CVE-2010-0840
    Log-Analyse und Auswertung - 18.01.2012 (11)
  9. EXP/2010-0840.AO entfernt - System jetzt sauber?
    Plagegeister aller Art und deren Bekämpfung - 12.01.2012 (24)
  10. Trojaner gefunden - TR/Agent.eu und EXP/2010-0840.ag
    Log-Analyse und Auswertung - 14.12.2011 (7)
  11. Virus EXP/2010-0840.BC auf Rechner gefunden
    Log-Analyse und Auswertung - 11.11.2011 (32)
  12. Exploit:Java/CVE-2010-0840.KM von MSE gemeldet
    Log-Analyse und Auswertung - 06.11.2011 (2)
  13. RE: Exploit.Java.CVE-2010-0840.ed bei MbaM Scan
    Plagegeister aller Art und deren Bekämpfung - 03.11.2011 (1)
  14. Exp/2010-0840
    Plagegeister aller Art und deren Bekämpfung - 02.11.2011 (14)
  15. EXP/2010-0840.AR BKA Virus oder nicht?
    Log-Analyse und Auswertung - 01.11.2011 (5)
  16. EXP/CVE2010-0840.CX und EXP/2010-0840.A
    Plagegeister aller Art und deren Bekämpfung - 10.10.2011 (1)
  17. Kaspersky findet EXPLOIT.JAVA.CVE-2010-0840.CR
    Log-Analyse und Auswertung - 06.10.2011 (12)

Zum Thema EXP/CVE-2010-0840.AH und EXP/2010-0840.AN - Combofix - Scripten 1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. Code: Alles - EXP/CVE-2010-0840.AH und EXP/2010-0840.AN...
Archiv
Du betrachtest: EXP/CVE-2010-0840.AH und EXP/2010-0840.AN auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.