| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: EXP/CVE-2013-0422 (Trojan.FakeAlert)Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
26.02.2013, 19:12
| #1 |
 |  EXP/CVE-2013-0422 (Trojan.FakeAlert) Hallo! Ich habe ein ganz ähnliches Problem wie in http://www.trojaner-board.de/129580-...ch-sauber.html geschildert. Ich habe gelesen, dass das Ding über eine Java-Lücke kommt. Dabei habe ich Version 7 vom 14.2.2013 drauf?! Über einen Link, der etwas ganz anderes versprochen hat, bin ich auf einer offensichtlich unseriösen Seite gelandet. Von wegen Geld online etc. etc. Etwa 10 Minuten später war von meinem Bildschirm alles weg, ich habe für einige Sekunden nur das Desktophintergrundbild gesehen, dann kam formatfüllend mit Logo der Bundespolizei etc. "Sie haben sich durch ihre Onlineaktivität strafbar gemacht... zahlen Sie 100 Euro mit ukash...". Dieses Fenster konnte man nicht schließen, keine Tabs wechseln, keinen Taskmanager starten... Bei Windows-Neustart kam derselbe Dreck wieder, ehe man irgendwas anderes machen konnte. Auf einem zweiten Rechner habe ich dann dieses Board gefunden, was das Hauptproblem gelöst hat: Der sperrende Schirm taucht nicht mehr auf. Aber es ist noch nicht sauber. Was habe ich bislang gemacht? Mit Avira im abgesicherten Modus einen Komplettscan gemacht, der den EXP/CVE-2013-0422 festgestellt und entfernt hat. Nach einem Neustart aber dasselbe Bild: Sperrbildschirm... Auf anraten eures Boards habe ich mir Malwarebytes Anti-Malware geholt. Ein Quickscan hat ein paar Sachen gekillt: Code:
ATTFilter Malwarebytes Anti-Malware (Test) 1.70.0.1100 www.malwarebytes.org Datenbank Version: v2012.12.14.11 Windows Vista Service Pack 2 x86 NTFS (Abgesichertenmodus) Internet Explorer 9.0.8112.16421 Admin :: ADMIN-PC [Administrator] Schutz: Deaktiviert 26.02.2013 10:38:06 mbam-log-2013-02-26 (10-38-06).txt Art des Suchlaufs: Quick-Scan Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 227419 Laufzeit: 5 Minute(n), 44 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 1 HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Shell (Trojan.FakeAlert) -> Daten: explorer.exe, "C:\Users\Admin\AppData\Roaming\Microsoft\Windows\msshell.exe" -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 1 C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk (Trojan.Ransom.SUGen) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) Code:
ATTFilter Malwarebytes Anti-Malware (Test) 1.70.0.1100 www.malwarebytes.org Datenbank Version: v2013.02.26.06 Windows Vista Service Pack 2 x86 NTFS Internet Explorer 9.0.8112.16421 Admin :: ADMIN-PC [Administrator] Schutz: Aktiviert 26.02.2013 11:35:42 mbam-log-2013-02-26 (11-35-42).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|) Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 272622 Laufzeit: 2 Stunde(n), 28 Minute(n), 51 Sekunde(n) [Abgebrochen] Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 1 C:\Users\Admin\10217379.exe (Trojan.Ransom) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) Nun habe ich nochmal einen Quickscan laufen lassen, und siehe da: der Registry-Eintrag ist schon wieder da: Code:
ATTFilter Malwarebytes Anti-Malware (Test) 1.70.0.1100 www.malwarebytes.org Datenbank Version: v2013.02.26.06 Windows Vista Service Pack 2 x86 NTFS Internet Explorer 9.0.8112.16421 Admin :: ADMIN-PC [Administrator] Schutz: Aktiviert 26.02.2013 18:32:20 mbam-log-2013-02-26 (18-32-20).txt Art des Suchlaufs: Quick-Scan Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 230783 Laufzeit: 11 Minute(n), 15 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 1 HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|shell (Trojan.FakeAlert) -> Daten: explorer.exe, "C:\Users\Admin\AppData\Roaming\Microsoft\Windows\msshell.exe" -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 0 (Keine bösartigen Objekte gefunden) (Ende) Avira sagt zwar dass es blockt, aber es blockt offenbar doch nicht. Ich glaube nicht dass Avira die Arbeit von Malwarebytes stört, denn ich habe auch probiert im abgesicherten Modus den Registrywert zu löschen - trotzdem war er dann als Admin wieder da. Wenn ihr helfen könntet, wäre das wunderbar! lg Christoph |
| Themen zu EXP/CVE-2013-0422 (Trojan.FakeAlert) |
| administrator, autostart, avira, bildschirm, checken, dateien, entfernen, euro, explorer, explorer.exe, festgestellt, geld, gelöscht, löschen, malwarebytes, microsoft, problem, problem gelöst, programm, registrywert, scan, schließen, sekunden, software, taskmanager, vista |
Baum-Darstellung