Desinfec't 2012/Kaspersky findet Exploit.Java.CVE-2011-3544.** und Exploit.Java.CVE-2012-0507.**
 

Hallo allerseits,

Ich habe "eigentlich" keine konkreten Probleme (außer dass mir etwa einmal in der Woche die Kiste einfriert weil der ESet Virenscanner über Stunden 100% CPU verbraucht und durch nichts abzulenken ist). Wir sprechen über ein Win7 /Home 64-Bit.

Jedenfalls habe ich dieses Wochenende wieder einmal die aktuelle Desinfec't laufenlassen, und sie hat tatsächlich einiges gefunden.


Der Betriebsmodus war:

• Alle angeschlossenen Laufwerke scannen (dazu später mehr)
• Archive und Mail-Archive untersuchen (oder wie auch immer das genau heißt)
• Nur Kaspersky-Scanner

Zu den Laufwerken und dem Kaspersky-Scanner: CPU und Plattenkapazität stehen in einem Missverhältnis, Kaspersky hat für die ~300GB große Root-Platte etwa 20 Stunden gebraucht und war immer noch nicht fertig, als ich mit dem Rechner wieder arbeiten musste :-/ - und da hatte er wohl mit der 2. internen Festplatte (500GB) und der externen (1TB) noch gar nicht angefangen. Auch wenn's nicht optimal ist, ich lasse jetzt die Desinfec't in einer VirtualBox-VM alles absuchen. Immerhin ist hier ein aktueller ESET in Betrieb. (edit: ich vermute, dass es am defogger liegt, dass ich VirtualBox gerade nicht starten kann? Das wäre extrem hinderlich, normalerweise habe ich für die Arbeit drei VMs laufen...)

So oder so, hier ist das Logfile von Kaspersky/Desinfec't:

Eine OTL.txt und Extras.txt habe ich auch schon, die liegen als Anhang bei.

Und jetzt lasse ich mich überraschen. Die Walkthroughs bei den anderen waren ja faszinierend detailliert, ich bin gespannt und - soweit es der Anlass hergibt - freue mich darauf, dazuzulernen.

Danke und viele Grüße,

Bangalorean (der nicht in Bangalore leb)

... und weil's so schön ist, hier noch das Logfile von Malwarebytes Anti Malware. Die drei "Fundsachen" habe ich löschen lassen, sie befinden sich noch in der Quarantäne.

Bitte erstmal routinemäßig einen Vollscan mit malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Die Funde mit Malwarebytes bitte alle entfernen, sodass sie in der Quarantäne von Malwarebytes aufgehoben werden! NICHTS voreilig aus der Quarantäne entfernen!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Hallo Arne,

zuallererst: Vielen, vielen Dank dass Du Dich mit der Sache beschäftigst, ich muss zugeben, ich hatte schon gar nicht mehr daran geglaubt und konsequenterweise wohl ein paar Dummheiten gemacht:

Ich habe inzwischen den defogger wieder abgestellt und die verdächtigen Files von Hand entfernt (genau genommen habe ich den kompletten Java-Class-Cache gelöscht). Ich bitte vielmals um Entschuldigung.

Weniger dumm finde ich: Die externe Platte läuft gerade nebenan am Laptop durch die vier Virenscanner der Desinfec't 2012 (bisher befundlos, nur Kaspersky stürzt mit Speichermangel ab - der Laptop ist etwas älter...).

Ich fange also noch einmal ganz von vorne an:

• externe Festplatte zurück an den Desktop
• Microsoft's Patches von dieser Woche installieren, oder?
• defogger an.
• Malwarebytes laufen lassen. Dabei bleibt mein "resident" Virenscanner von Eset an (oder?)
• Eset online scanner laden und installieren, danach Netzwerkverbindung trennen, danach "resident" Virenscanner abschalten (oder?)
• Eset online scanner laufen lassen
• "resident" Scanner wieder einschalten
• Netzwerkverbindung wieder herstellen
• Logfiles von Malwarebytes und Eset online hier posten.

Ich persönlich bin nach wie vor über den Laptop im Forum erreichbar, falls eines der "oder?"s oben falsch gewesen sein sollte. Der Malwarebytes-Scan wird sowieso ein wenig dauern, vermute ich. Sobald das alles durch ist, melde ich mich hier mit den Logfiles wieder.
Nochmal herzlichen Dank !!!

Guten morgen, Arne, Guten morgen allerseits!

Ohne große Worte, auf geht's:
Ich habe zwei "alte" Malwarebytes-Logfiles: Hier ist das von Montag, die drei Registry-Keys habe ich bei Malwarebytes in die Quarantäne gesteckt, und da sind sie auch noch. Es war ein Quick-Scan mit eingeschaltetem defogger (d.h. abgeschalteten Dateisystem-Treibern)
Ein vollständiger Scan lief gerade, als ich Deinen Post fand. Dabei war die USB-Festplatte nicht angeschlossen und der defogger war aus. Außerdem hatte ich vergessen, Malwarebytes zu aktualisieren.

Ich habe den Scan dann abgebrochen. Hier ist das Logfile zum abgebrochenen Scan:


Das hier sind die Malwarebytes-Scan-Ergebnisse für die internen Festplatten mit einem Scan nach Deinen Anweisungen (defogger an).

... und weil er die USB-Festplatte aus irgendwelchen Gründen nicht mitgenommen hatte, ist hier ein separates Scan-Log für die USB-Platte (defogger immer noch an, vollständiger Scan):

Last but not least, das Log vom ESet-Online-Scanner. Ich habe den Online-Scanner mehrfach abgebrochen und neu gestartet, weil ich mir nicht sicher war, ob er ohne Netzverbindung klarkommt und der Scanner für eine der ersten Dateien fast 10 Minuten bei niedrigem CPU-Verbrauch gebraucht hat, bis das nächste Lebenszeichen kam.

... und jetzt bin ich gespannt, wie es weiter geht. Vielen Dank für Dein Engagement!

Viele Grüße!

Mach bitte ein neues OTL-Log. Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox von OTL - wenn OTL auf deutsch ist wird sie mit http://larusso.trojaner-board.de/Images/otlfix.jpg beschriftet

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Na dann los: Der defogger war nach wie vor an, allerdings hatte ich die Anwendung für den Scan beendet, ebenso wie den Browser. Den Virenscanner hatte ich nur abgeschaltet.

Hier ist die OTL.txt. Eine "Extras.txt" wurde scheinbar nicht angelegt.

OTL Logfile:
--- --- ---

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

OK, weiter geht's. Hier ist das Logfile nach dem OTL-Fix, nach Neustart:

Vielen, vielen Dank!

Ich vermute, jetzt kommt noch irgendein Scan-Lauf, um so gut es geht sicherzustellen, dass alles geklappt hat. Stimmt's?

Bangalorean

Ja so ungefähr ;)
Wir müssen auch noch auf Rootkits prüfen und zB den MBR abklopfen :)

Bitte nun (im normalen Windows-Modus) dieses Tool von Kaspersky (TDSS-Killer) ausführen und das Log posten Anleitung und Downloadlink hier => http://www.trojaner-board.de/82358-t...entfernen.html

Hinweis: Bitte den Virenscanner abstellen bevor du den TDSS-Killer ausführst, denn v.a. Avira meldet im TDSS-Tool oft einen Fehalalrm!

Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet,
Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.
Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition (meistens Laufwerk C:) nach, da speichert der TDSS-Killer seine Logs.

Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten!

http://saved.im/mtkwmtcxexhp/setting...8_16-25-18.jpg

Hallo Arne,

meinst Du mit "normaler Modus" das Gegenteil vom Admin Modus?
d.h. die Benutzerkontensteuerung fragt, ob ich TDSS als Admin ausführen will.
Ja oder nein?

Danke!
Josef

Hier ist das Log vom TDSSKiller.

Hier sind die Hinweise, die ich wenigstens ungefähr zuordnen kann:

• IDVistaService und InputDirector gehören wohl zu InputDirector hxxp://www.inputdirector.com/ - das Programm ist absichtlich installiert, ob es sich einen Virus o.ä. eingefangen hat, kann ich nicht beurteilen.
• Sony SCSI Helper Service könnte zu dem fest eingebauten Speicherkarten-Leser gehören (der liest auch Sony MemorySticks), zu meinem Sony PRS 505 eBook-Reader oder zur PSP. Sonst kann ich mich nicht erinnern, Sony-Geräte angeschlossen zu haben (Kamera, Handy usw. sind andere Marken)

Die anderen vier Fundsachen haben sich bei mir nicht vorgestellt.

Ich bin gespannt, wie es weitergeht.

Viele Grüße,

Bangalorean

Nein der normale Modus ist der normale Startmodus und wenn du wo willst das Gegenteil vom Abgesicherten Modus :)

Hast du schon richtig gemacht ;)

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.

Danke für den Hinweis zum "normalen" Modus :-) - ich habe dann gemerkt, dass ich TDSSkiller gar nicht starten kann, ohne admin zu sein... Naja, es war ja schon spät gestern.

Hier ist also das Logfile zu ComboFix:

Da sind etliche Einträge dabei, die mich beunruhigen. Bin ich froh, dass ich einen erfahrenen und hilfsbereiten TB-Such-Tiger zur Seite stehen habe ,-)

Bis bald,

Bangalorean

Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM!

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
  Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS-Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).



Noch ein Hinweis: Sollte aswMBR abstürzen und es kommt eine Meldung wie "aswMBR.exe funktioniert nicht mehr, dann mach Folgendes:
Starte aswMBR neu, wähle unten links im Drop-Down-Menü (unten links im Fenster von aswMBR) bei "AV scan" (none) aus und klick nochmal auf den Scan-Button.

So, die nächste Logfile-Sammlung ist fertig. Das hat alles in allem länger gedauert als erwartet.

Erst einmal Gmer. Ich bin mir nicht sicher, ob Gmer sauber beendet wurde, hier sind die Logfile-Schnippsel, die ich bekommen habe:

--- --- ---


Dann geht's weiter mit OSAM:


--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru
[/code]

Und last but not least, ASWMBR:

und jetzt bin ich, wieder einmal, gespannt.

Viele Grüße,
Bangalorean

Wegen desinfec't spricht dich evtl nochmal W_Dackel an :)

Sieht ok aus. Wir sollten fast durch sein. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Endspurt.

Hier ist das Log zu MalWareBytes (ich könnte schwören, dass ich das schon gepostet habe... hmmm... ich werde alt... hoffentlich :-))
Also... ich hoffe, ich habe die richtige Log-Datei erwischt.

Hier ist das SuperAntiSpyware Log. Frage: Soll ich die "Fundstücke" in die Quarantäne stecken? Und wem kann ich Screenshots zukommen lassen, es gibt eine neue Software-Version und die Beschreibung passt nicht mehr richtig.

Na dann los... herzlichen Dank wieder einmal und eine gute Nacht allerseits...

Viele Grüße,

Josef