Sehr gut

Bitte auch die anderen Scans machen. Eset kann länger dauern....

Moin Jürgen

Das hat es

Ich warte mal noch weitere Instruktionen ab, bevor wir mit Schritt 3 (SecurityCheck) weitermachen.

Gruß Jo

Code: Alles auswählenAufklappen

ATTFilter

ESETSmartInstaller@High as downloader log:
Can not open internetESETSmartInstaller@High as downloader log:
Can not open internet# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6920
# api_version=3.0.2
# EOSSerial=155b678b61526c4c9e80ee23fc9458a9
# engine=17403
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2014-03-12 03:11:53
# local_time=2014-03-12 04:11:53 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1033
# osver=6.1.7600 NT 
# compatibility_mode=5893 16776573 100 94 24502 147032656 0 0
# scanned=176325
# found=7
# cleaned=0
# scan_time=18682
sh=E6CC9113684CEA514F2C083164C2F644B19EEE4A ft=0 fh=0000000000000000 vn="multiple threats" ac=I fn="C:\$Recycle.Bin\S-1-5-21-3956389187-1643806333-1776510576-1000\$R2V6F1D\jar_cache4719067408113836257.tmp"
sh=E6CC9113684CEA514F2C083164C2F644B19EEE4A ft=0 fh=0000000000000000 vn="multiple threats" ac=I fn="C:\Users\Jörg\AppData\Local\Temp\jar_cache4719067408113836257.tmp"
sh=E6CC9113684CEA514F2C083164C2F644B19EEE4A ft=0 fh=0000000000000000 vn="multiple threats" ac=I fn="D:\$RECYCLE.BIN\S-1-5-21-3956389187-1643806333-1776510576-1000\$RM3ZJPV\jar_cache4719067408113836257.tmp"
sh=E6CC9113684CEA514F2C083164C2F644B19EEE4A ft=0 fh=0000000000000000 vn="multiple threats" ac=I fn="D:\2014-03-01 Necurs.A\jar_cache4719067408113836257_tmp.txt"
sh=E6CC9113684CEA514F2C083164C2F644B19EEE4A ft=0 fh=0000000000000000 vn="multiple threats" ac=I fn="D:\2014-03-01 Necurs.A\CUsersJörgAppDataLocalTemp\jar_cache4719067408113836257.tmp"
sh=EC9CC8F0660929918F3DFBD7F2D1BE36A6E47C58 ft=0 fh=0000000000000000 vn="multiple threats" ac=I fn="D:\BACKUP\2014-03-01 Necurs.A.7z"
sh=2E145585AE3794A279CF4C95CFF941931AFD2A9E ft=1 fh=e9adecc6d0beb833 vn="INF/Autorun.gen worm" ac=I fn="D:\BeehovenUnderVista\Sicherung Beethoven\Desktop\Daten Jörg\S-CDB_DEMO-Windows-2.9.8-SL035.exe"
         

Hallo Jo,

weißt Du wofür diese Datei ist? Wenn Du sie nicht kennst oder benötigst, dann lösche sie bitte.

Code: Alles auswählenAufklappen

ATTFilter

D:\BeehovenUnderVista\Sicherung Beethoven\Desktop\Daten Jörg\S-CDB_DEMO-Windows-2.9.8-SL035.exe
         

Schritt 1
Lade dir TFC (TempFileCleaner von Oldtimer) herunter und speichere es auf den Desktop.

• Öffne die TFC.exe.
  Vista und Win 7 User mit Rechtsklick "als Administrator starten".
• Schließe alle anderen Programme.
• Drücke auf den Button Start.
• Falls du zu einem Neustart aufgefordert wirst, bestätige diesen.

Dann bitte wie geplant den Securitycheck durchführen. Anschließend werden wir Dein System auf den neuesten Stand bringen und absichern.

Schritt 2
Downloade Dir bitte SecurityCheck und:

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

Hallo Jürgen,

ich kenne die Datei S-CDB_DEMO-Windows-2.9.8-SL035.exe (ist in einer Sicherung als "Beethoven" noch Vista als OS hatte) und wird seit einigen Jahren nicht mehr benutzt. Das ist eine Demoversion einer Anwendung. Man hat das ja schon mal das bestimmte "Muster" eine potenzielle Gefahr darstellen. Ich schließe das aber aus.

Ich wollte ggf. später (sofern die Zeit dafür da ist) mit Dir noch den Infektionszeitpunkt und die mögliche Ursache anschauen. Ich denke, Datum und Uhrzeit habe ich bereits sicher gefunden. Da ich die Windows Ereignisanzeige schon vor den ersten Clearing Maßnahmen stunden-/tagelang auf den Kopf gestellt habe, ist das Einfallstor des Schädlings gut eingrenzbar.

Wenn ich TFC ausführe wird z.B. "jar_cache4719067408113836257.tmp" gelöscht obwohl diese Datei zeitlich zum engen Kreis der verdächtigen Kandidaten gehört. Von dieser Java-Datei und einer "2SKKKKKKK.exe" habe ich, wie Du im ESET OnlineScanner Log siehst, seinerzeit mal eine Sicherung für weitere Analysen gemacht (z.B. Upload bei virustotal.com).

Treffer, beim Versuch diese Datei nochmal anzusehen, meldet G Data gerade einen

Virus: Java:Malware-gen [Trj] (Engine-B)
Datei: jar_cache4719067408113836257.tmp
Verzeichnis: C:\Users\Jörg\AppData\Local\Temp
Prozess: Explorer.EXE

Habe die Datei zunächst in Quaratäne verschoben. Gleich mehr (muss mal vom sauberen Computer auf Beethoven wechseln) ...

Hier das G Data Log:

Code: Alles auswählenAufklappen

ATTFilter

Die Datei wurde in die Quarantäne verschoben.

Datei: C:\Users\Jörg\AppData\Local\Temp\jar_cache4719067408113836257.tmp
Virus: Java:Malware-gen [Trj] (Engine-B)
         

Und hier der schäbige schädliche Rest:

Code: Alles auswählenAufklappen

ATTFilter

Beim Öffnen der Datei "C:\Users\Jörg\AppData\Local\Temp\jar_cache4719067408113836257.tmp->Bfudghw3q.class" wurde der Virus "Java:Malware-gen [Trj] (Engine-B)" entdeckt. Zugriff verweigert.
Beim Öffnen der Datei "C:\Users\Jörg\AppData\Local\Temp\jar_cache4719067408113836257.tmp->C_ADFERss.class" wurde der Virus "Java:Nuclear-D [Kit] (Engine-B)" entdeckt. Zugriff verweigert.
Beim Öffnen der Datei "C:\Users\Jörg\AppData\Local\Temp\jar_cache4719067408113836257.tmp->D_A_sdwfeqefdwefwfef.class" wurde der Virus "Java:Nuclear-A [Kit] (Engine-B)" entdeckt. Zugriff verweigert.
Beim Öffnen der Datei "C:\Users\Jörg\AppData\Local\Temp\jar_cache4719067408113836257.tmp->E_Dfbegr4refd.class" wurde der Virus "Java:CVE-2013-1493-FQ [Expl] (Engine-B)" entdeckt. Zugriff verweigert.
Beim Öffnen der Datei "C:\Users\Jörg\AppData\Local\Temp\jar_cache4719067408113836257.tmp->G_sadswg3wqfew.class" wurde der Virus "Java:Downloader-PF [Trj] (Engine-B)" entdeckt. Zugriff verweigert.
Beim Öffnen der Datei "C:\Users\Jörg\AppData\Local\Temp\jar_cache4719067408113836257.tmp->XTTP.class" wurde der Virus "Java:CVE-2012-1723-BVU [Expl] (Engine-B)" entdeckt. Zugriff verweigert.
Beim Öffnen der Datei "C:\Users\Jörg\AppData\Local\Temp\jar_cache4719067408113836257.tmp->Ydsfsdfdsfdsf.class" wurde der Virus "Java:Agent-HKT [Trj] (Engine-B)" entdeckt. Zugriff verweigert.
Beim Öffnen der Datei "C:\Users\Jörg\AppData\Local\Temp\jar_cache4719067408113836257.tmp->zdfs55.class" wurde der Virus "Java:Malware-gen [Trj] (Engine-B)" entdeckt. Zugriff verweigert.
Beim Öffnen der Datei "C:\Users\Jörg\AppData\Local\Temp\jar_cache4719067408113836257.tmp" wurde der Virus "Other:Malware-gen [Trj] (Engine-B)" entdeckt. Zugriff verweigert.
Beim Öffnen der Datei "C:\Users\Jörg\AppData\Local\Temp\jar_cache4719067408113836257.tmp" wurde der Virus "Java:Malware-gen [Trj] (2x), Java:Nuclear-D [Kit], Java:Nuclear-A [Kit], Java:CVE-2013-1493-FQ [Expl], Java:Downloader-PF [Trj], Java:CVE-2012-1723-BVU [Expl], Java:Agent-HKT [Trj], Other:Malware-gen [Trj] (Engine-B)" entdeckt. Zugriff verweigert.
         

Entschuldige bitte Jürgen. Ich hoffe, ich habe mich mit meiner Neugier bei Dir nicht disqualifiziert.

Und ich habe wieder was gelernt!

Jetzt doch schnell TFC ausführen oder erst nochmal was anderes?

Hi Jo,
also die Infektion stammt vermutlich vom Black Hole Exploit Kit - auf verseuchten Seiten holt man sich da schnell was. Gerade Deine veraltete Java-Version ist anfällig. Zeit was dagegen zu tun.
Bitte TFC und Securitycheck ausführen, damit wir schnell zur Absicherung des PCs übergehen können.

So, TFC ist durch. Nun noch SecurityCheck.

checkup.txt

Code: Alles auswählenAufklappen

ATTFilter

 Results of screen317's Security Check version 0.99.80  
 Windows 7  x86 (UAC is enabled)  
 Out of date service pack!! 
``````````````Antivirus/Firewall Check:`````````````` 
G Data InternetSecurity 2011   
 Antivirus up to date!   
`````````Anti-malware/Other Utilities Check:````````` 
 Malwarebytes Anti-Malware Version 1.75.0.1300  
 Java(TM) 6 Update 20  
 Java version out of Date! 
````````Process Check: objlist.exe by Laurent````````  
 Malwarebytes Anti-Malware mbamservice.exe  
 Malwarebytes Anti-Malware mbamgui.exe  
 Malwarebytes' Anti-Malware mbamscheduler.exe   
 G Data InternetSecurity Firewall GDFwSvc.exe 
 G Data InternetSecurity Firewall GDFirewallTray.exe 
`````````````````System Health check````````````````` 
 Total Fragmentation on Drive C:  
````````````````````End of Log``````````````````````
         

Hi Jo,
wie Du am Securitycheck siehst, sind wir noch nicht fertig und machen uns daher jetzt an die Absicherung des Systems.

Schritt 1
Windows 7 Service Pack 1 installieren.
Hier findest Du nähere Informationen dazu.

Meiner Meinung nach, ist das Runterladen und direkte Installieren des Service Pack empfehlenswert. Hier kannst Du Dir den SP1 für Windows herunterladen.
Falls es Probleme gibt, dann installiere Dir bitte dieses Tool.
Sollte die Installation erfolgreich gewesen sein, stelle anschließend sicher, dass die Windows Update-Funktion aktiviert ist. Eine Anleitung dazu findest Du hier. Installiere damit alle verfügbaren Updates.

Sind diese Punkte erledigt folgt

Schritt 2
Sicherheitsrelevante Software aktualisieren.
Besuche bitte die Update Seiten von Java und Flashplayer.
Achte bitte bei der Installation strikt darauf, dass keinerlei "Toolbars" & Co. mitgeladen werden. Dies erreichst Du durch Entfernen der Haken bei den optionalen "Angeboten".

Schritt 3
Jetzt bitte ein frisches FRST-Log.

Nabend Jürgen,

soll ich bei der Service Pack 1 Installation MBAM bzw. andere der installierten Malware-Tools (ggf. auch G Data) temporär deaktivieren?

Gruß Jo

Hallo Jo,
es kann nicht schaden, wenn Du zu Beginn der Installation den Echtzeitschutz der Scanner temporär deaktivierst. Jedoch werden nach einem Neustart diese Schutzmodule erneut gestartet. Da würde ich sie dann aktiviert lassen. Meiner Erfahrung nach gibt es während der Updatevorgänge keine Probleme...

Zitat:

Zitat von deeprybka

Schritt 3
Jetzt bitte ein frisches FRST-Log.

Bitte setze auch den Haken bei Addition.txt...

Hallo Jürgen,

hurra, nach gefühlten 2.735 Updates auf einem zickigen Windows 7 ist jetzt auch SP1 installiert.

Der Rest kommt auch noch

Gruß Jo

Das freut mich....

Nabend Jürgen,

die restlichen Windows 7 Updates (Empfohlene und Wichtige) sind nun alle installiert.

Wie gehe ich in Schritt 2 vor:

- Java:

Code: Alles auswählenAufklappen

ATTFilter

C:\Users\Jörg>java -version
java version "1.6.0_20"
Java(TM) SE Runtime Environment (build 1.6.0_20-b02)
Java HotSpot(TM) Client VM (build 16.3-b01, mixed mode, sharing)
         

Soll ich Java 6 deinstallieren und dann Java 7 installieren oder wie mach' ich es richtig?

- Flash: Habe z.Zt. 11.5 installiert. Soll ich den Flash Player über Adobe einfach drüber installieren oder soll ich deinstallieren bevor ich die aktuelle Version 12.0.0.77 installiere?

Gruß Jo

Zitat:

Zitat von EmmaTiger

Soll ich Java 6 deinstallieren und dann Java 7 installieren oder wie mach' ich es richtig?

- Flash: Habe z.Zt. 11.5 installiert. Soll ich den Flash Player über Adobe einfach drüber installieren oder soll ich deinstallieren bevor ich die aktuelle Version 12.0.0.77 installiere?
Gruß Jo

Hi Jo, deinstalliere zuerst die alten Versionen. Installiere Dir dann von den angegeben Links die neuesten Versionen und paß bitte auf, dass keine "optionalen Angebote" mitinstalliert werden...

Dann noch FRST-Scan wie beschrieben....

Hallo Jürgen,

habe die alten Versionen von Java und Flash Player deinstalliert und die aktuellen Versionen installiert, ohne die optionalen Angebote (Toolbars etc.)

Die beiden FRST Logs sind zu groß (zu viele Zeichen). Ich erhalte beim Versuch, den Inhalt der Logs über die Code-Tags einzufügen, folgende Meldung:

"Logs bitte als Archiv an den Beitrag anhängen!"

Ist das ok oder mache ich mit FRST noch was falsch?

Danke und Gruß
Jo