|
Log-Analyse und Auswertung: EXP/CVE-2010-0840.AH und EXP/2010-0840.ANWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
18.11.2011, 18:15 | #16 |
/// Winkelfunktion /// TB-Süch-Tiger™ | EXP/CVE-2010-0840.AH und EXP/2010-0840.AN Combofix - Scripten 1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. Code:
ATTFilter File:: c:\users\Melli\AppData\Local\Temp\krdpdre.sys Driver:: krdpdre 4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !) 5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet. 6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________ Logfiles bitte immer in CODE-Tags posten |
18.11.2011, 20:14 | #17 |
| EXP/CVE-2010-0840.AH und EXP/2010-0840.AN Und weiter gehts. Log im Anhang.
__________________Was ist das denn überhaupt, was ich mir da eingefangen habe? Wieder so ein Spyeye, oder wie die immer noch heißen, welches auch Passwörter ausspioniert? Geändert von Melli1985 (18.11.2011 um 20:22 Uhr) |
18.11.2011, 21:35 | #18 |
/// Winkelfunktion /// TB-Süch-Tiger™ | EXP/CVE-2010-0840.AH und EXP/2010-0840.AN Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
__________________GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen. Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst. Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM! Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.
Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).
__________________ |
20.11.2011, 12:44 | #20 |
/// Winkelfunktion /// TB-Süch-Tiger™ | EXP/CVE-2010-0840.AH und EXP/2010-0840.AN Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt: ESET Online Scanner
__________________ Logfiles bitte immer in CODE-Tags posten |
20.11.2011, 21:13 | #21 |
| EXP/CVE-2010-0840.AH und EXP/2010-0840.AN Logs befinden sich im Anhang. Den von SUPERAntiSpyware musste ich als Zip-Datei anhängen, da sie sonst zu groß war. Wenn ich das richtig verstanden habe, hatte dann die veraltete Java-Version etwas mit dem Virus zu tun? Und was war das jetzt genau für ein Virus? Wieder so ein Spyeye, oder wie die immer noch heißen, welches auch Passwörter ausspioniert? |
21.11.2011, 10:27 | #22 |
/// Winkelfunktion /// TB-Süch-Tiger™ | EXP/CVE-2010-0840.AH und EXP/2010-0840.AN Sieht ok aus, da wurden nur Cookies gefunden. Noch Probleme oder weitere Funde in der Zwischenzeit?
__________________ Logfiles bitte immer in CODE-Tags posten |
21.11.2011, 19:46 | #23 |
| EXP/CVE-2010-0840.AH und EXP/2010-0840.AN Ok, ich bin am verzweifeln. Da du gefragt hast, ob es in der Zwischenzeit weitere Funde gab, habe ich bei Avira unter Ereignisse geschaut und ich musste feststellen, dass am 19.11. um 18:54 Uhr vom Guard Malware gefunden wurde! Ich habe das gar nicht gemerkt, da Avira sich nicht gemeldet hatte. Da steht folgendes: In der Datei 'C:\Users\Melli\AppData\Local\Temp\_avast4_\unp91690960.tmp' wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan] gefunden. Ausgeführte Aktion: Zugriff erlauben und In der Datei 'C:\Users\Melli\AppData\Local\Temp\_avast4_\unp201565916.tmp' wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan] gefunden. Ausgeführte Aktion: Zugriff erlauben Das war an dem Tag, als ich GMER, OSAM und aswMBR hab durchlaufen lassen. Das war vllt. nach aswMBR. Aber wie gesagt, Avira hat sich nicht bemerkbar gemacht. Normalerweise piept es ja, wenn der Guard etwas findet. Dann habe ich manchmal das Problem, dass, wenn ich schon länger am PC sitze, sich Seiten nur noch laden, wenn ich die Maus bewege. Genauso gestern, nach den ganzen Suchläufen durch Malwarebytes, Eset und SuperAntispyware. Kann vllt. auch nur an meinen PC liegen. Und ich habe seit ein paar Tagen dass Problem, wie soll ich es erklären?, wenn ich den PC einschalte, gehe ich meistens sofort ins Internet. Die ersten 30-60 Sekunden stockt der PC dann für 2-3 Sekunden. Also wenn ich auf einer Seite runterscrolle, dann hängt der PC kurz für 2-3 Sek. und dann läufts wieder. Und das wiederum nur in den 30-60 Sekunden, nachdem ich ins Internet gegangen bin. Danach ist das weg, egal wie lange ich am PC sitze. Aber auch das könnte ja an meinem PC liegen, da er nicht mehr der Neueste ist. Naja, jedenfalls, als ich gesehen habe, dass der Guard etwas gefunden hatte, habe ich Avira vorhin nochmal durchlaufen lassen, hat aber nichts gefunden. Ich füge den Log aber im Anhang bei. Bei den Vollscans von gestern wurde doch nichts gefunden. Du sagtest ja, dass es ok aussieht und nur Cookies gefunden wurden. Muss ich mir weiter Sorgen machen? Muss ich noch was unternehmen? |
21.11.2011, 20:58 | #24 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | EXP/CVE-2010-0840.AH und EXP/2010-0840.ANZitat:
__________________ Logfiles bitte immer in CODE-Tags posten |
21.11.2011, 21:13 | #25 |
| EXP/CVE-2010-0840.AH und EXP/2010-0840.AN Ich habe mir die Meldung von Anfang bis Ende durchgelesen! Ich habe das avast4 auch gesehen und weiß auch noch, dass bei aswMBR gefragt wurde, ob man mit der aktuellen Virendefinition von AVAST! das System scannen will. Wenn ich mich mit sowas aber auskennen würde, hätte ich nicht nachgefragt!! Darf ich deiner Antowrt also entnehmen, dass alles okay ist? |
21.11.2011, 21:18 | #26 |
/// Winkelfunktion /// TB-Süch-Tiger™ | EXP/CVE-2010-0840.AH und EXP/2010-0840.AN Ja, ist ein Fehalarm. Zum anderen Problem mit den 2-3 Sekunden das hier mal beachten => http://www.trojaner-board.de/71631-p...tml#post425616 Ansonsten wieder alles ok?
__________________ Logfiles bitte immer in CODE-Tags posten |
21.11.2011, 21:24 | #27 |
| EXP/CVE-2010-0840.AH und EXP/2010-0840.AN Ok, dann bin ich beruhigt. Abgesehen davon, dass ich nach längerer Sitzung mal die Maus zum laden bewegen muss, ist alles okay. Aber wenn ich das richtig in Erinnerung habe, war das auch nur dann, wenn ich mit den Programmen gescannt habe. Ich werde das einfach mal weiter beobachten. |
21.11.2011, 21:27 | #28 |
/// Winkelfunktion /// TB-Süch-Tiger™ | EXP/CVE-2010-0840.AH und EXP/2010-0840.AN Dann wären wir durch! Die Programme, die hier zum Einsatz kamen, können alle wieder runter. CF kann über Start, Ausführen mit combofix /uninstall entfernt werden. Melde dich falls es da Fehlermeldungen zu gibt. Malwarebytes zu behalten ist kein Fehler. Kannst ja 1x im Monat damit scannen, aber immer vorher ans Update denken. Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden. Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern. Microsoftupdate Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Windows Vista/7: Anleitung Windows-Update PDF-Reader aktualisieren Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast) Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, die sind sehr viel schlanker und flotter als der AdobeReader. Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink: Mozilla und andere Browser => http://filepony.de/?q=Flash+Player Internet Explorer => http://fpdownload.adobe.com/get/flas..._player_ax.exe Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind. Java-Update Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.
__________________ Logfiles bitte immer in CODE-Tags posten |
21.11.2011, 21:36 | #29 |
| EXP/CVE-2010-0840.AH und EXP/2010-0840.AN Ich danke dir für deine große Hilfe! Ich werde das andere morgen in Angriff nehmen, da habe ich mehr Zeit. Zwei Fragen noch: 1) Kann ich die Ordner _OTL und Qoobox auch löschen? 2) Gestern habe ich bzgl. SuperAntiSpyware etwas vergessen: nach dem Scan konnte ich auf "Remove" oder auf "Cancel" klicken, habe das Programm aber einfach nur geschlossen. War das richtig so oder ist es notwendig, dass ich die Cookies entferne? Nochmals danke! |
21.11.2011, 22:13 | #30 | ||
/// Winkelfunktion /// TB-Süch-Tiger™ | EXP/CVE-2010-0840.AH und EXP/2010-0840.ANZitat:
Zitat:
__________________ Logfiles bitte immer in CODE-Tags posten |
Themen zu EXP/CVE-2010-0840.AH und EXP/2010-0840.AN |
administrator, anfang, aufrufe, avira, chip.de, fehler, firefox, frage, fritz box, internet, kabel, kein log, log, malwarebytes, meldung, neue, neues, nicht geladen, problem, programme, quarantäne, seite, seiten, update, updates, viren, windows, windows updates |