|
Plagegeister aller Art und deren Bekämpfung: EXP/CVE-2013-0422, EXP/CVE-2013-0422, JAVA/Lamar.RR.2 (von Antivir gefunden)Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
05.03.2013, 10:33 | #16 |
/// Winkelfunktion /// TB-Süch-Tiger™ | EXP/CVE-2013-0422, EXP/CVE-2013-0422, JAVA/Lamar.RR.2 (von Antivir gefunden) Sieht ok aus. Wir sollten fast durch sein. Mach bitte zur Kontrolle einen Quickscan mit Malwarebytes - denk bitte vorher daran, Malwarebytes über den Updatebutton zu aktualisieren Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt: ESET Online Scanner
__________________ Logfiles bitte immer in CODE-Tags posten |
05.03.2013, 15:35 | #17 |
| EXP/CVE-2013-0422, EXP/CVE-2013-0422, JAVA/Lamar.RR.2 (von Antivir gefunden) So. Ich werd das ESET jetzt noch löschen, darüber hinaus hab ich noch ein paar andere Ordner auf der C Festplatte inkl den Logs die dorthin gespeichert worden sind.
__________________Was soll ich damit tun? Edit: C:\AdwCleaner[S1].txt C:\ComboFix.txt C:\TDSSKiller.2.8.16.0_04.03.2013_20.08.49_log.txt C:\uwldrkob.sys C:\Qoobox (Ordner) C:\JRT Ggf auch das Malwarebytes Programm deinstallieren? Hab mich entschlossen guten Herzens von Antivir auf Avast umzusteigen. Hab mir einige Testberichte durchgelesen. Malewarebytes Anti-Malware Log Code:
ATTFilter Malwarebytes Anti-Malware 1.70.0.1100 www.malwarebytes.org Datenbank Version: v2013.03.05.10 Windows 7 Service Pack 1 x86 NTFS Internet Explorer 8.0.7601.17514 xxx:: xxx-PC [Administrator] 05.03.2013 13:40:50 mbam-log-2013-03-05 (13-40-50).txt Art des Suchlaufs: Quick-Scan Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 202961 Laufzeit: 4 Minute(n), 39 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 0 (Keine bösartigen Objekte gefunden) (Ende) Code:
ATTFilter ESETSmartInstaller@High as downloader log: all ok # version=8 # OnlineScannerApp.exe=1.0.0.1 # OnlineScanner.ocx=1.0.0.6920 # api_version=3.0.2 # EOSSerial=5fa286752453fe4da6aa502559870e42 # engine=13303 # end=stopped # remove_checked=false # archives_checked=true # unwanted_checked=false # unsafe_checked=false # antistealth_checked=true # utc_time=2013-03-05 01:13:48 # local_time=2013-03-05 02:13:48 (+0100, Mitteleuropäische Zeit) # country="Germany" # lang=1033 # osver=6.1.7601 NT Service Pack 1 # compatibility_mode=1799 16775165 100 97 68997 227912518 61776 0 # compatibility_mode=5893 16776574 100 94 121781 114120419 0 0 # scanned=10844 # found=0 # cleaned=0 # scan_time=1315 ESETSmartInstaller@High as downloader log: all ok # version=8 # OnlineScannerApp.exe=1.0.0.1 # OnlineScanner.ocx=1.0.0.6920 # api_version=3.0.2 # EOSSerial=5fa286752453fe4da6aa502559870e42 # engine=13303 # end=finished # remove_checked=false # archives_checked=true # unwanted_checked=false # unsafe_checked=false # antistealth_checked=true # utc_time=2013-03-05 02:27:13 # local_time=2013-03-05 03:27:13 (+0100, Mitteleuropäische Zeit) # country="Germany" # lang=1033 # osver=6.1.7601 NT Service Pack 1 # compatibility_mode=1799 16775165 100 97 8304 227916923 1082 0 # compatibility_mode=5893 16776574 100 94 126186 114124824 0 0 # scanned=230881 # found=0 # cleaned=0 # scan_time=4346 Geändert von DukeYGO (05.03.2013 um 16:08 Uhr) |
05.03.2013, 16:11 | #18 |
/// Winkelfunktion /// TB-Süch-Tiger™ | EXP/CVE-2013-0422, EXP/CVE-2013-0422, JAVA/Lamar.RR.2 (von Antivir gefunden) Sieht soweit ok aus
__________________Wegen Cookies und anderer Dinge im Web: Um die Pest von vornherein zu blocken (also TrackingCookies, Werbebanner etc.) müsstest du dir mal sowas wie MVPS Hosts File anschauen => Blocking Unwanted Parasites with a Hosts File - sinnvollerweise solltest du alle 4 Wochen mal bei MVPS nachsehen, ob er eine neue Hosts Datei herausgebracht hat. Info: Cookies sind keine Schädlinge direkt, aber es besteht die Gefahr der missbräuchlichen Verwendung (eindeutige Wiedererkennung zB für gezielte Werbung o.ä. => HTTP-Cookie ) Ansonsten gibt es noch gute Cookiemanager, Erweiterungen für den Firefox zB wäre da CookieCuller Wenn du aber damit leben kannst, dich bei jeder Browsersession überall neu einzuloggen (zB Facebook, Ebay, GMX, oder auch Trojaner-Board) dann stell den Browser einfach so ein, dass einfach alles beim Beenden des Browser inkl. Cookies gelöscht wird. Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme?
__________________ |
05.03.2013, 16:15 | #19 |
| EXP/CVE-2013-0422, EXP/CVE-2013-0422, JAVA/Lamar.RR.2 (von Antivir gefunden) Danke für die Hilfe, ansonsten liegen keine weiteren Funde oder Auffälligkeiten auf. Die Seite über die Cookies auf englisch versteh ich leider nicht ^^ Hast du sonst noch Tipps? Ich halte mein Java immer aktuell, soll ja eine große Sicherheitslücke sein. Auch hab ich letztens was über den ?Adobe Reader? gelesen, der auch recht unsicher ist..gibts da bessere Alternativen..? Allgemein sind ja so kleinere Programme hin und wieder ein Problem, gibts da was wo man das ganze überwachen kann? Wo ich sehe, was alles auf meinem Pc an kleinen Programmchen rumfliegt? Und...was soll ich mit den oben genannten Programmen und Dateien tun? Deinstallieren in ihrer Komplettheit? |
05.03.2013, 16:27 | #20 |
/// Winkelfunktion /// TB-Süch-Tiger™ | EXP/CVE-2013-0422, EXP/CVE-2013-0422, JAVA/Lamar.RR.2 (von Antivir gefunden) Dann wären wir durch! Die Programme, die hier zum Einsatz kamen, können alle wieder runter. Combofix entfernen (nur relevant wenn es hier benutzt wurde!) : Start/Ausführen (Tastenkombination WIN+R), dort den Befehl combofix /uninstall eintippen und ausführen Mit Hilfe von OTL kannst du auch viele andere Tools entfernen: Starte dazu einfach OTL und klicke auf Bereinigung. Dies wird die meisten Tools entfernen, die wir zur Bereinigung benötigt haben. Sollte etwas bestehen bleiben, bitte mit Rechtsklick --> Löschen entfernen. Malwarebytes zu behalten ist zu empfehlen. Kannst ja 1x im Monat damit einen Vollscan machen, aber immer vorher ans Update denken. Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden. Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern. Microsoftupdate Windows XP:Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Windows Vista/7: Start, Systemsteuerung, Windows-Update PDF-Reader aktualisieren Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast) Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, die sind sehr viel schlanker und flotter als der AdobeReader. Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers: Prüfen => Adobe - Flash Player Downloadlinks findest du hier => Browsers and Plugins - FilePony.de Alle Plugins im Firefox-Browser kannst du auch ganz einfach hier auf Aktualität prüfen => https://www.mozilla.org/de/plugincheck Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind. Java-Update Veraltete Java-Installationen sind ein großes Sicherheitsrisiko, daher solltest Du die alten Versionen deinstallieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software (bzw. Programme und Funktionen) und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.
__________________ Logfiles bitte immer in CODE-Tags posten |
05.03.2013, 16:35 | #21 |
| EXP/CVE-2013-0422, EXP/CVE-2013-0422, JAVA/Lamar.RR.2 (von Antivir gefunden) Ich habe so eben versucht combofix /uninstall einzugeben. Dabei erscheint dann: "combofix" konnte nicht gefunden werden. Stellen sie sicher, dass sie den Namen richtig eingegeben haben und wiederholen sie den Vorgang. Könnte es sein, das es darauf beruht das ich die Combofix.exe einfach über den Papierkorb gelöscht habe? Die Logfiles und die Qoobox / JRT Ordner im Systemlaufwerk kann ich löschen? Geändert von DukeYGO (05.03.2013 um 16:46 Uhr) |
05.03.2013, 16:46 | #22 |
/// Winkelfunktion /// TB-Süch-Tiger™ | EXP/CVE-2013-0422, EXP/CVE-2013-0422, JAVA/Lamar.RR.2 (von Antivir gefunden) Wenn du combofix.exe einfach vom Desktop löscht, kann das auch nichts werden
__________________ Logfiles bitte immer in CODE-Tags posten |
05.03.2013, 16:48 | #23 | |
| EXP/CVE-2013-0422, EXP/CVE-2013-0422, JAVA/Lamar.RR.2 (von Antivir gefunden) Was muss ich dann unternehmen? Öh, eine Frage hab ich noch zusätzlich. Ich versuch grad Antivir zu deinstallieren, aber ich finde gar keinen richtigen Uninstaller dafür. Zitat:
Hey cosinus, hab mir diese MVPS Host File aufgespielt, die hat mein PC extrem verlangsamt und andere Prozesse verlangsamt. Ich habs versucht nach der Anleitung hier hxxp://winhelp2002.mvps.org/uninstall.htm zu deinstallieren, also die alte Hostdatei gelöscht. Das Problem ist jetzt, dass ich die HOST.MVP Datei nicht umbenannt bekomme und auch nicht den Rest dort hinkriege. Ich würde die DNS Sache schon wieder hinbiegen, aber der andere Teil ist ein wenig schwierig, weil ichs nicht hinbekomme. Ich verzweifele ein wenig als Computer Nicht-Experte. Ich habe über eine Systemwiederherstellung nachgedacht. Allerdings weiß ich nich ob das das Problem beheben würde. Habe auch noch zusätzlich versucht den Fix von Microsoft hxxp://support.microsoft.com/kb/972034 durchzuziehen. Aber es scheitert hier: Klicken Sie mit der rechten Maustaste auf eine leere Stelle im Ordner "%WinDir%\System32\Drivers\etc", zeigen Sie auf Neu, klicken Sie auf Textdokument, geben Sie hosts ein, und drücken Sie die Eingabetaste. Wenn ich das tun will kriege ich als Option nur die Möglichkeit als Admin einen neuen Ordner dort zu erstellen. Geändert von DukeYGO (05.03.2013 um 17:04 Uhr) |
06.03.2013, 00:30 | #24 |
/// Winkelfunktion /// TB-Süch-Tiger™ | EXP/CVE-2013-0422, EXP/CVE-2013-0422, JAVA/Lamar.RR.2 (von Antivir gefunden) Das sind zu viele Sachen auf einmal. Gerade als Laie solltest du alles in einfach Schritten runterbrechen. Lad erstmal Combofix.exe neu runter und deinstallier es über den von mir angegebenen Weg.
__________________ Logfiles bitte immer in CODE-Tags posten |
06.03.2013, 06:31 | #25 | |
| EXP/CVE-2013-0422, EXP/CVE-2013-0422, JAVA/Lamar.RR.2 (von Antivir gefunden)Zitat:
Wunderbar. Die Combofix.exe ist gelöscht. Danke. Habe versucht das MVP Hosts Datei Problem selbst zu lösen. Habe ne Textdatei mit Administatorenrechten mit dem Inhalt der Backup Hosts Datei eingespeichert im Ordner C:\Windows\System32\drivers\etc Habe daraufhin die MVP Datei aus den MVPG Hostfiles gelöscht aus dem Ordner und DNS wieder drauf gespielt. Ob das die gewünschte Wirkung hat, vermag ich nicht zu beurteilen. Secunia ist allerdings ein tolles Programm. Danke dafür. Geändert von DukeYGO (06.03.2013 um 06:55 Uhr) |
06.03.2013, 11:41 | #26 |
/// Winkelfunktion /// TB-Süch-Tiger™ | EXP/CVE-2013-0422, EXP/CVE-2013-0422, JAVA/Lamar.RR.2 (von Antivir gefunden) Gut ok. Was ist noch an Fragen offen?
__________________ Logfiles bitte immer in CODE-Tags posten |
06.03.2013, 14:14 | #27 |
| EXP/CVE-2013-0422, EXP/CVE-2013-0422, JAVA/Lamar.RR.2 (von Antivir gefunden) Hier kann dann soweit zu. Falls ich wieder mal was habe, werd ich mich wieder an das Trojaner Board Team wenden. Vielen Danke für die Hilfe. Anmerkung: Ich hatte heute das Problem, dass bei Firefox plötzlich Fiesta Online Werbung aufging. Wordurch kann das verursacht werden? Habe keinen Werbebanner angeklickt. Oder können das diese ominösen Cookies sein? ^^ |
Themen zu EXP/CVE-2013-0422, EXP/CVE-2013-0422, JAVA/Lamar.RR.2 (von Antivir gefunden) |
antivir, avg, ccc.exe, csrss.exe, datei, desktop, explorer.exe, folge, free, home, infizierte, java, lsass.exe, modul, namen, problem, programm, prozesse, recover, registry, services.exe, spoolsv.exe, svchost.exe, taskhost.exe, warnung, windows, winlogon.exe, wuauclt.exe |