Avira: TR/Crypt.XPACK.Gen & EXP/CVE-2010-4452
 

Hallo Engel des Trojanischen Bretts,

heute morgen hat mir mein Avira Antivir zum Frühstück einen Exploits EXP/CVE-2010-4452 angezeigt und in Quarantäne versetzt. Bei der Gelegenheit hab ich dort (Quarantäne) mal reingeschaut und sieh da, es hockt noch ein zweiter Kandidat vom Typ TR/Crypt.XPACK.Gen vom Scan am 08.03.12 drin. (Fragt bitte nicht wie ich die Meldung "ignorieren" konnte).
Nachdem ich gelesen habe, was über die beiden Gesellen alles scheußliches geschrieben wird, wollte ich gleich wieder Format c: um Hilfe bitten. Doch dann habe ich gesehen, dass meine externe Festplatte (als BackUp) ebenfalls mit TR/Crypt.XPACK.Gen infiziert ist.
Das ist nun zuviel für mich.

Was habe ich seither gemacht?
Spybot installiert - keine Treffer
Quick-Scan vom frischinstallierten Malwarebytes - keine Treffer
Eure (Sunny's) Anleitung "Für alle Hilfesuchenden" befolgt:
defogger
dds
Gmer

Report Antivirus 08.03.2102
Report Antivirus 14.03.2102 (1)
Report Antivirus 14.03.2102 (2)

dds
[code].DDS Logfile:
DDS Logfile:
DDS Logfile:
--- --- ---

--- --- ---

--- --- ---


gmer:
Vielen Dank schon mal, dass es Leute wie Euch gibt!
Gruß,
Marco

Zum Posten der Logs sind PHP-Log denkbar schlecht geeignet! Du solltest CODE-Tags dafür nehmen!


Bitte nun routinemäßig einen Vollscan mit malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Danke für die Hilfe soweit!

Malwarebytes Vollscan:
Malwarebytes Quick-Scan von heute Vormittag:
ESET-Log:
Gruß,
Marco

Malwarebytes erstellt bei jedem Scanvorgang genau ein Log. Hast du in der Vergangenheit schonmal mit Malwarebytes gescannt?
Wenn ja dann stehen auch alle Logs zu jedem Scanvorgang im Reiter Logdateien. Bitte alle posten, die dort sichtbar sind.

Finger weg von Softonic!!

Softonic ist eine Toolbar- und Adwareschleuder! Finger weg! Software lädt man sich mit oberster Priorität direkt vom Hersteller und nicht von solchen Toolbarklitschen wie Softonic! Im Notfall würde natürlich chip.de gehen

Hej Arne,

danke für Deine Antwort!
Ich habe Malwarebytes heute Mittag zum ersten Mal auf meinem Rechner installiert. Die einzigen beiden Scans aus der Liste sind die beiden oben.

Das mit Softonic hab ich kapiert!

Gruß,
Marco

Mach bitte ein neues OTL-Log. Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox von OTL - wenn OTL auf deutsch ist wird sie mit http://larusso.trojaner-board.de/Images/otlfix.jpg beschriftet

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Hej.

Der QuickScan mit OTL:

OTL Logfile:
--- --- ---


Danke!

Sagmal hattest du während das OTL-Log erstellt wurde gerade den IE8 installiert? :balla:
Wenn ja, es wäre schöner gewesen wenn nicht bzw. erst nach Absprache :(

Hallo Arne,

Eigentlich habe ich bis jetzt nur das gemacht, was Du gesagt hast.
Den IE8 hatte ich in meinem ersten Anfall von "alle Sicherheitslücken dicht machen" heruntergeladen, bevor ich Kontakt mit Euch aufgenommen hatte. Das sich der IE8 dann nicht voll installiert hatte und auf einen Neustart wartete, habe ich dann ganz vergessen. Deshalb war der Installationsprozeß unabsichtlich und unbewusst noch am Laufen. Beim Hochfahren heute morgen, wollte sich der IE installieren - ich habs aber abgebrochen.
Soll ich Ihn fertig installieren lassen?

Du siehst, dass Du es nicht mit nem großen PC-Crack zu tun hast.
Bitte sieh drüber hinweg!

Gruß,
Marco

Ja installier ihn wenigstens zu Ende. Mach dann wieder ein neues Log

Danke.

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Danke!

Bitte nun (im normalen Windows-Modus) dieses Tool von Kaspersky (TDSS-Killer) ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Hinweis: Bitte den Virenscanner abstellen bevor du den TDSS-Killer ausführst, denn v.a. Avira meldet im TDSS-Tool oft einen Fehalalrm!

Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet,
Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.
Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition (meistens Laufwerk C:) nach, da speichert der TDSS-Killer seine Logs.

Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten!

http://saved.im/mtkwmtcxexhp/setting...8_16-25-18.jpg