| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Exploits EXP/JAVA.Ivinest.Gen und EXP/CVE-2012-1723Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
30.12.2012, 12:34
| #1 |
 |  Exploits EXP/JAVA.Ivinest.Gen und EXP/CVE-2012-1723 Hallo allerseits, erst mal vorweg, ich bin ein ziemlicher Versager am PC, und wir sind gerade im Urlaub in Spanien und haben den Laptop (compaq 615) meiner Freundin mitgenommen. Um den hab ich mich vorher (leider) nicht gekümmert, außer, dass ich am Anfang Antivir, Spybot und THreadfire installiert hatte. Wir sind hier mit WLAN des Hotels im Internet. Gestern habe ich nach einer Warnmeldung von Threadfire Spybot durchlaufen lassen, der hatte nur Adware gefunden, aber nach dem, was ich über google hier fand, nichts Bedrohliches (widgi Toolbar). Heute morgen zeigt Threadfire eine Warnung (etwas mit wermgr.exe, soweit ich mich erinnere). Nachdem ich von meiner Freundin hörte, dass sie Java seit geraumer Zeit nicht aktualiesiert hatte, habe ich versucht, eine aktuelle Version runterzuladen. Das klappte leider nicht, die Anzeige lautete: Download file C:\Users\dresden\AppData\LocalLow\Sun\Java\jre1.7.0_10\java_sp.dll is corrupt. Dann wollte ich Malwarebytes runterladen, es passierte dasselbe. Wie kann ich beide Programme jetzt auf den Laptop bekommen? Eben habe ich Antivir komplett scannen lassen und diese Viren gefunden: EXP/JAVA.Ivinest.Gen EXP/CVE-2012-1723 Nach dem, was ich so finden konnte, scheinen die recht übel zu sein. Wie werden wir sie los? Und da hier im Urlaub? Der Laptop ist ein Compaq 615, den hat sie von ihren Eltern, die ihn nicht brauchten. Es ist ein Gerät ausm Discounter, ich glaube, es war alles vorinstalliert, weiß nicht, ob überhaupt eine DVD dabei war. Können wir den hier neu installieren (wie gesagt, habe wenig Plan von der Materie). Ihr Laptop hängt mit meinem daheim am selben Router und sie hat auch ab und zu SD-Karten von mir in ihren Laptop gesteckt. Inwieweit besteht auch für mich Gefahr? Werde natürlich nach dem Urlaub alles auf meinem Computer ebenfalls scannen. Ich bedanke mich vorab für Unterstützung! Maddin Hier das Ergebnis von Antivir, lasst mich bitte wissen, was ihr noch wissen wollt (und wie ich das beschaffe): Avira Free Antivirus Erstellungsdatum der Reportdatei: Sonntag, 30. Dezember 2012 09:42 Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira Free Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows 7 Home Premium Windowsversion : (Service Pack 1) [6.1.7601] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : ALMUT Versionsinformationen: BUILD.DAT : 13.0.0.2890 48567 Bytes 05.12.2012 17:11:00 AVSCAN.EXE : 13.6.0.402 639264 Bytes 12.12.2012 04:45:42 AVSCANRC.DLL : 13.4.0.360 64800 Bytes 12.12.2012 04:45:42 LUKE.DLL : 13.6.0.400 67360 Bytes 12.12.2012 04:45:51 AVSCPLR.DLL : 13.6.0.402 93984 Bytes 10.12.2012 19:19:22 AVREG.DLL : 13.6.0.406 248096 Bytes 10.12.2012 19:19:21 avlode.dll : 13.6.1.402 428832 Bytes 10.12.2012 19:19:22 avlode.rdf : 13.0.0.26 7958 Bytes 10.12.2012 19:19:22 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 14:50:29 VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 14:50:31 VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 14:50:34 VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 14:50:36 VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 14:50:37 VBASE005.VDF : 7.11.34.116 4034048 Bytes 29.06.2012 14:42:40 VBASE006.VDF : 7.11.41.250 4902400 Bytes 06.09.2012 14:42:40 VBASE007.VDF : 7.11.50.230 3904512 Bytes 22.11.2012 19:41:28 VBASE008.VDF : 7.11.50.231 2048 Bytes 22.11.2012 19:41:29 VBASE009.VDF : 7.11.50.232 2048 Bytes 22.11.2012 19:41:29 VBASE010.VDF : 7.11.50.233 2048 Bytes 22.11.2012 19:41:29 VBASE011.VDF : 7.11.50.234 2048 Bytes 22.11.2012 19:41:29 VBASE012.VDF : 7.11.50.235 2048 Bytes 22.11.2012 19:41:29 VBASE013.VDF : 7.11.50.236 2048 Bytes 22.11.2012 19:41:29 VBASE014.VDF : 7.11.51.27 133632 Bytes 23.11.2012 07:55:08 VBASE015.VDF : 7.11.51.95 140288 Bytes 26.11.2012 19:57:52 VBASE016.VDF : 7.11.51.221 164352 Bytes 29.11.2012 19:48:37 VBASE017.VDF : 7.11.52.29 158208 Bytes 01.12.2012 12:40:21 VBASE018.VDF : 7.11.52.91 116736 Bytes 03.12.2012 20:24:42 VBASE019.VDF : 7.11.52.151 137728 Bytes 05.12.2012 05:25:13 VBASE020.VDF : 7.11.52.225 157696 Bytes 06.12.2012 18:42:07 VBASE021.VDF : 7.11.53.35 126976 Bytes 08.12.2012 18:20:17 VBASE022.VDF : 7.11.53.55 225792 Bytes 09.12.2012 17:44:47 VBASE023.VDF : 7.11.53.93 157184 Bytes 10.12.2012 19:19:21 VBASE024.VDF : 7.11.53.169 153088 Bytes 12.12.2012 18:42:57 VBASE025.VDF : 7.11.53.237 152064 Bytes 14.12.2012 06:11:25 VBASE026.VDF : 7.11.54.23 149504 Bytes 17.12.2012 13:04:53 VBASE027.VDF : 7.11.54.67 130048 Bytes 18.12.2012 19:27:51 VBASE028.VDF : 7.11.54.153 292352 Bytes 21.12.2012 18:30:46 VBASE029.VDF : 7.11.55.1 300032 Bytes 28.12.2012 18:12:37 VBASE030.VDF : 7.11.55.2 2048 Bytes 28.12.2012 18:12:37 VBASE031.VDF : 7.11.55.36 56320 Bytes 29.12.2012 21:08:02 Engineversion : 8.2.10.224 AEVDF.DLL : 8.1.2.10 102772 Bytes 19.09.2012 14:42:55 AESCRIPT.DLL : 8.1.4.78 467323 Bytes 20.12.2012 17:23:25 AESCN.DLL : 8.1.10.0 131445 Bytes 13.12.2012 18:11:03 AESBX.DLL : 8.2.5.12 606578 Bytes 28.08.2012 16:58:06 AERDL.DLL : 8.2.0.74 643445 Bytes 08.11.2012 05:31:24 AEPACK.DLL : 8.3.1.2 819574 Bytes 20.12.2012 17:23:25 AEOFFICE.DLL : 8.1.2.50 201084 Bytes 05.11.2012 20:14:25 AEHEUR.DLL : 8.1.4.168 5628280 Bytes 20.12.2012 17:23:24 AEHELP.DLL : 8.1.25.2 258423 Bytes 28.10.2012 13:52:34 AEGEN.DLL : 8.1.6.12 434549 Bytes 13.12.2012 18:11:03 AEEXP.DLL : 8.3.0.4 184692 Bytes 20.12.2012 17:23:25 AEEMU.DLL : 8.1.3.2 393587 Bytes 19.09.2012 14:42:55 AECORE.DLL : 8.1.30.0 201079 Bytes 13.12.2012 18:11:02 AEBB.DLL : 8.1.1.4 53619 Bytes 05.11.2012 20:14:22 AVWINLL.DLL : 13.4.0.163 25888 Bytes 19.09.2012 18:09:30 AVPREF.DLL : 13.4.0.360 50464 Bytes 12.12.2012 04:45:42 AVREP.DLL : 13.4.0.360 177952 Bytes 10.12.2012 19:19:21 AVARKT.DLL : 13.6.0.402 260384 Bytes 12.12.2012 04:45:40 AVEVTLOG.DLL : 13.6.0.400 167200 Bytes 12.12.2012 04:45:41 SQLITE3.DLL : 3.7.0.1 397088 Bytes 19.09.2012 18:17:40 AVSMTP.DLL : 13.4.0.163 62240 Bytes 19.09.2012 18:08:54 NETNT.DLL : 13.4.0.360 15648 Bytes 12.12.2012 04:45:51 RCIMAGE.DLL : 13.4.0.360 4780832 Bytes 12.12.2012 04:45:34 RCTEXT.DLL : 13.4.0.360 68384 Bytes 12.12.2012 04:45:35 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Vollständige Systemprüfung Konfigurationsdatei...................: C:\program files\avira\antivir desktop\sysscan.avp Protokollierung.......................: standard Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, E:, Durchsuche aktive Programme...........: ein Laufende Programme erweitert..........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: ein Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: erweitert Beginn des Suchlaufs: Sonntag, 30. Dezember 2012 09:42 Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'E:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf nach versteckten Objekten wird begonnen. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'SearchFilterHost.exe' - '32' Modul(e) wurden durchsucht Durchsuche Prozess 'SearchProtocolHost.exe' - '34' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht Durchsuche Prozess 'vssvc.exe' - '52' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '119' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '98' Modul(e) wurden durchsucht Durchsuche Prozess 'FlashUtil10b.exe' - '39' Modul(e) wurden durchsucht Durchsuche Prozess 'CIDGlobalLight.exe' - '57' Modul(e) wurden durchsucht Durchsuche Prozess 'DNTPService.exe' - '84' Modul(e) wurden durchsucht Durchsuche Prozess 'iexplore.exe' - '151' Modul(e) wurden durchsucht Durchsuche Prozess 'iexplore.exe' - '111' Modul(e) wurden durchsucht Durchsuche Prozess 'UI0Detect.exe' - '31' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht Durchsuche Prozess 'taskeng.exe' - '32' Modul(e) wurden durchsucht Durchsuche Prozess 'FlashPlayerPlugin_11_5_502_135.exe' - '57' Modul(e) wurden durchsucht Durchsuche Prozess 'wmpnetwk.exe' - '110' Modul(e) wurden durchsucht Durchsuche Prozess 'FlashPlayerPlugin_11_5_502_135.exe' - '47' Modul(e) wurden durchsucht Durchsuche Prozess 'plugin-container.exe' - '73' Modul(e) wurden durchsucht Durchsuche Prozess 'hphc_service.exe' - '38' Modul(e) wurden durchsucht Durchsuche Prozess 'firefox.exe' - '126' Modul(e) wurden durchsucht Durchsuche Prozess 'CCC.exe' - '165' Modul(e) wurden durchsucht Durchsuche Prozess 'MOM.exe' - '72' Modul(e) wurden durchsucht Durchsuche Prozess 'hpqToaster.exe' - '52' Modul(e) wurden durchsucht Durchsuche Prozess 'Com4QLBEx.exe' - '31' Modul(e) wurden durchsucht Durchsuche Prozess 'wmiprvse.exe' - '37' Modul(e) wurden durchsucht Durchsuche Prozess 'SearchIndexer.exe' - '57' Modul(e) wurden durchsucht Durchsuche Prozess 'soffice.bin' - '96' Modul(e) wurden durchsucht Durchsuche Prozess 'SynTPHelper.exe' - '25' Modul(e) wurden durchsucht Durchsuche Prozess 'soffice.exe' - '24' Modul(e) wurden durchsucht Durchsuche Prozess 'SSScheduler.exe' - '25' Modul(e) wurden durchsucht Durchsuche Prozess 'hpqwmiex.exe' - '35' Modul(e) wurden durchsucht Durchsuche Prozess 'BTTray.exe' - '63' Modul(e) wurden durchsucht Durchsuche Prozess 'TeaTimer.exe' - '50' Modul(e) wurden durchsucht Durchsuche Prozess 'LightScribeControlPanel.exe' - '39' Modul(e) wurden durchsucht Durchsuche Prozess 'SearchSettings.exe' - '44' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '87' Modul(e) wurden durchsucht Durchsuche Prozess 'Updater.exe' - '42' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '29' Modul(e) wurden durchsucht Durchsuche Prozess 'VolCtrl.exe' - '36' Modul(e) wurden durchsucht Durchsuche Prozess 'sttray.exe' - '49' Modul(e) wurden durchsucht Durchsuche Prozess 'ModemListener.exe' - '31' Modul(e) wurden durchsucht Durchsuche Prozess 'TFTray.exe' - '52' Modul(e) wurden durchsucht Durchsuche Prozess 'ipoint.exe' - '65' Modul(e) wurden durchsucht Durchsuche Prozess 'SynTPEnh.exe' - '51' Modul(e) wurden durchsucht Durchsuche Prozess 'HPWAMain.exe' - '82' Modul(e) wurden durchsucht Durchsuche Prozess 'QLBCTRL.exe' - '59' Modul(e) wurden durchsucht Durchsuche Prozess 'Explorer.EXE' - '172' Modul(e) wurden durchsucht Durchsuche Prozess 'Dwm.exe' - '42' Modul(e) wurden durchsucht Durchsuche Prozess 'taskhost.exe' - '59' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '52' Modul(e) wurden durchsucht Durchsuche Prozess 'AVWEBGRD.EXE' - '62' Modul(e) wurden durchsucht Durchsuche Prozess 'avshadow.exe' - '31' Modul(e) wurden durchsucht Durchsuche Prozess 'SDWinSec.exe' - '49' Modul(e) wurden durchsucht Durchsuche Prozess 'TFService.exe' - '105' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht Durchsuche Prozess 'pdfsvc.exe' - '38' Modul(e) wurden durchsucht Durchsuche Prozess 'LSSrvc.exe' - '28' Modul(e) wurden durchsucht Durchsuche Prozess 'DeviceManager.exe' - '23' Modul(e) wurden durchsucht Durchsuche Prozess 'btwdins.exe' - '31' Modul(e) wurden durchsucht Durchsuche Prozess 'ApplicationUpdater.exe' - '57' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '71' Modul(e) wurden durchsucht Durchsuche Prozess 'agrsmsvc.exe' - '23' Modul(e) wurden durchsucht Durchsuche Prozess 'aestsrv.exe' - '22' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '70' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '43' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '84' Modul(e) wurden durchsucht Durchsuche Prozess 'conhost.exe' - '22' Modul(e) wurden durchsucht Durchsuche Prozess 'WLANExt.exe' - '37' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '93' Modul(e) wurden durchsucht Durchsuche Prozess 'atieclxx.exe' - '36' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '71' Modul(e) wurden durchsucht Durchsuche Prozess 'STacSV.exe' - '40' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '164' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '99' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '79' Modul(e) wurden durchsucht Durchsuche Prozess 'atiesrxx.exe' - '32' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '44' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '58' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '38' Modul(e) wurden durchsucht Durchsuche Prozess 'lsm.exe' - '29' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '66' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '41' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '16' Modul(e) wurden durchsucht Durchsuche Prozess 'wininit.exe' - '31' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '18' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: Die Registry wurde durchsucht ( '1989' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' [0] Archivtyp: Runtime Packed --> C:\Users\dresden\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\30\542a325e-4f6e33b2 [1] Archivtyp: ZIP --> C2.class [FUND] Enthält Erkennungsmuster des Exploits EXP/JAVA.Ivinest.Gen [WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden --> C3.class [FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2012-1723 [WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden C:\Users\dresden\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\30\542a325e-4f6e33b2 [FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2012-1723 Beginne mit der Suche in 'E:\' <HP_TOOLS> Beginne mit der Desinfektion: C:\Users\dresden\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\30\542a325e-4f6e33b2 [FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2012-1723 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '56d0b148.qua' verschoben! Ende des Suchlaufs: Sonntag, 30. Dezember 2012 11:51 Benötigte Zeit: 2:08:29 Stunde(n) Der Suchlauf wurde vollständig durchgeführt. 31516 Verzeichnisse wurden überprüft 703816 Dateien wurden geprüft 3 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 1 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 703813 Dateien ohne Befall 6487 Archive wurden durchsucht 2 Warnungen 1 Hinweise 717447 Objekte wurden beim Rootkitscan durchsucht 0 Versteckte Objekte wurden gefunden |
| Themen zu Exploits EXP/JAVA.Ivinest.Gen und EXP/CVE-2012-1723 |
| adware, avg, ccc.exe, computer, download, exp/cve-2012-1723, exp/java.ivinest.gen, file, home, hängt, iexplore.exe, infizierte, laptop hängt, modul, mom.exe, programme, prozesse, registry, router, scan, sd-karten, services.exe, sttray.exe, svchost.exe, taskhost.exe, viren, warnung, windows, winlogon.exe, wlan |
Baum-Darstellung