Antivir findet EXP/CVE-2010-4452.CE
 

Vorweg, gutes neues Jahr und ein Hallo an alle!

Hab heute einen Systemvollcheck gemacht und den Fund: EXP/CVE-2010-4452.CE erhalten.

Jetzt will ich auf Nummer sicher gehen und das ganze System mal gründlich durchchecken zu lassen, da ich "Angst" habe, es könnte ein Spyware Trojaner oder sonst was schlimmes dahinter stecken.

Wäre super wenn mir hier ein erfahrener Moderator helfen könnte, da ich keine Ahnung habe was ich außer "in quarantäne verschieben" machen kann.

Vielen Dank schonmal für eure Mühen, im Anhang der Antivir Scanbericht.

Update... HILFE!!!
Es ploppte gerade ne found meldung von antivir auf.
Ich verschob in quarantäne und adobe reader wollte admin rechte was ich ablehnte.
Nun startete plötzlich system check und fand zahlreiche sachen. Jedoch ist hier alles englisch mir kommt es so vor als wäre das evtl vom virus ein fake programm.
Danach kam meldung harddisk problem und auto neustart.
Jetzt fehlen einige desktop icons,(zb. Computer), und unter start fehlen netzwerk uns systemsteuerung icons..
Alles irgendwie verstellt!!

Weiteres neben der uhr ne warnung: stealth intrusion, infection detected in the background. Your computer is now attacked by spyware and rogue software. blabla

Da ploppen grad andauernd neue fehler meldungen auf.. Critical error, windows os cant detect a free hard space. Hard drive error...

Ram memory is extremly low. This problem may cause ram memory reliability

Malware intrussion, sensetive areas of your system were found to be under attack.
Komm garned zum mitschreiben am handy...

Hab inet verbindung gekappt und schreib vom handy...

Was kam ich tun.. Hilfe!!

Update..
Es lief gerade ein win 7 security 2012 - untegistrtred version scan ohne das ich ihn startete.
Founds:31
Antivir kann ich nicht mehr öffnen, hier kommt
alert meldung von diesem win 7 security das ich dieses aktivieren müsse weil avcenter.exe mit trojan-bnk.win32.keylogger.gen infiziert ist

Kenn mich nicht mehr aus!! Hilfe :-(

Bitte nun routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Hallo Cosinus, vielen Dank das du dich meinem Problem annimmst!

Kann mit dem PC leider keine Internetseiten mehr aufrufen.
Nach dem Starten erscheint direkt wieder die Windows 7 Security (die in meinen Augen gefaked ist) und beginnt mit nem Systemscan.
Im Hintergrund am Desktop öffnen sich ca. 25 Fenster mit jeweils ander lautender System32 Fehlermeldung:
"Windows-Delayed Write Failed
Failed to save all the components for the file \\System32\00003132. The file is corrupted or unreadable. This error may be caused by a PC hardware problem.
[Canel] [Try Again] [Continue]

Wenn ich Firefox starten will erscheint ein Fenster:
"Win 7 Security 2012 has blocked a Progrann from accessing the Internet -
Firefox is infected with Trojan-BNK.Win32.Keylogger.gen
blablabla

[Yes] Activate Win 7 Security 2012 (Recommended)
[No] Continue unprotected (Dangerous)

Klicke ich auf no, startet firefox, öffnet aber keine Seiten sondern schreibt nur:
"Firefox allert. Visiting thes site may pose a security threat to your system"

Ein evtl. zweiter Rechner wäre greifbar um evtl per stick Programm übertragen zu können.

Danke!

Dann probier es im abgesicherten Modus mit Netzwerktreibern




Abgesicherter Modus zur Bereinigung

• Windows mit F8-Taste beim Start in den abgesicherten Modus bringen.
• Starte den Rechner in den abgesicherten Modus mit Netzwerktreibern:
  
  

Auch im abgesicherten modus mit netzwerktreibern wird mir das internet verwehrt :-(
Gleiche symptome wie oben!

EDIT:
Konnte nun malwarebytes downloaden. kann aber die mbam-setup-1.60.0.1800.exe nicht ausführen da unten sofort der pop up kommt: potenziell gefährliche software erkannt, klicken sie hier um zu prüfen und aktionen auszuführen.

EDIT 2:
Bin im benutzer account. Brauch antimb evtl admin rechte für installation?
Sorry das ich hier lauter verunsicherte fragen stelle, aber bevor ich was falsch mache und noch mehr kaputt frag ich lieber..

Danke!

Ja wir brauchen für alle Analysetools und alle Programminstallationen Adminrechte.

Das schon probiert => http://www.trojaner-board.de/82699-m...tet-nicht.html
Ggf im Zusammenhang mit dem random installer probieren, falls man schon Probleme bei der Installation bzw. beim Download hat => http://malwarebytes.org/mbam-download-exe-random.php

Malwarebyte Logbericht:

Guten Morgen :-)
Hier der ESET Log

Mach bitte ein neues OTL-Log. Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox von OTL - wenn OTL auf deutsch ist wird sie mit http://larusso.trojaner-board.de/Images/otlfix.jpg beschriftet

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Hab den Scan wie von dir beschrieben zweimal so ausgeführt, jedes mal erscheint ein OTL Pop up: "Out of memory"
Klicke dann auf OK, finde jedoch nicht die OTL.TXT datei?!
Wird die mir angezeigt oder wo versteckt sich diese?!
Befinde mich nach wie vor im Abgesicherten Modus mit Netzwerktreibern.

EDIT:
Im Windows-Explorer unter C: finde ich die otl.txt nicht, auch nicht über die Suche.

Dann mach erstmal ein normales neues Log mit OTL

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

OTL.txt
OTL Logfile:
--- --- ---


Extras.txt
OTL Logfile:
--- --- ---

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Bin im abgesicherten modus, virenscanner ist offenbar hier nicht aktiv?!
Oder kann ich anderweitig auf geöffnete programme prüfen?

EDIT:
Da ich keine offenen Programme festgestellt habe, nach deinem Plan ausgeführt. Nach dem Fix, auto Reboot im Abgesicherten Modus mit Netzwerktreibern.

Hier die .txt

Doppelpost, sorry..

Windows neu starten falls noch nicht gemacht.
Probier dann nochmal den CustomScan

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox von OTL - wenn OTL auf deutsch ist wird sie mit http://larusso.trojaner-board.de/Images/otlfix.jpg beschriftet

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Nachdem ich gemäß deiner Anleitung vorgegangen bin kam wieder die "Out of Memory" Meldung die ich nur mit OK beenden konnte.

Bitte nun (im normalen Windows-Modus) dieses Tool von Kaspersky (TDSS-Killer) ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet,
Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.
Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition (meistens Laufwerk C:) nach, da speichert der TDSS-Killer seine Logs.

Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten!

http://saved.im/mtkwmtcxexhp/setting...8_16-25-18.jpg


Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
http://www.trojaner-board.de/images/icons/icon4.gif Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.

Hab combofix wie vnm dir beschrieben ausgeführt.
Nach dem auto neustart öffnet sich nun unendlich die combofixkonsole und schließt sich direkt wieder.
Es öffnet qwasi überlappend von links oben nach rechts unten und im task blinkt das fenster nur kurz auf und ist wieder weg.. ca 10x in dersec.
Neustart brachte keine änderung..

Starte Windows neu, lösch die alte combofix.exe, lade CF neu runter und probier es bitte nochmal.

Habe ich gemacht, nach dem Neustart geht Combofix direkt wieder in den permanent öffnen Modus über :-(

Unter C: combofix.txt finde ich nur folgenden Logbericht:
Mehr steht nicht drin.
Was mich verwundert, Windos defender (bzw. Firewall) hab ich deaktiviert und hier ist sie offenbar aktiv?!

Probier Combofix bitte mal im abgesicherten Modus mit Netzwerktreibern aus

Im abgesicherten Modus fragt er mich nun nach dem Start von Combofix: "ACHTUNG - antivirus: Antivir Desktop antispyware: Antivr Desktop - Die obigen Real Time Scanner sind immer noch aktiv aber combofix wird trotzdem mit dem Suchlauf beginnen. Bitte nehme dies zur Kenntnis, das dies in eigener Verantwortung geschieht."

Wenn ich auf das Antivir Desktop gehe ist hingegen der Guard als "dienst gestoppt" deklariert.

Was kann ich tun, damit Combofix zufrieden ist und ich das system nicht weiter schädige oder ist das nicht weiter tragisch und ich kann fortsetzen?

Dann kannst du CF einfach starten. Das ist ein altbekannter Fehler von AntiVir. Das scheint wenn man es deaktiviert diesen Status dass es deaktiviert nicht richtig an Windows weiterzuleiten.

Combofix im abgesicherten Modus mit Adminrechten gestartet.
Nach Reboot wieder in abgesicherten Modus, jedoch kam keine .txt datei.

Unter C: Combofix finde ich nun folgendes:

Hm, komisch.
Mach erstmal aswMBR

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe Vista und Win7 User aswMBR per Rechtsklick "als Administrator ausführen"
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

Gut, lassen wir CF weg.

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!


Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Wie bekomme ich das Combofix wieder entfernt? Die permanente Fensteröffnung ist nach wie vor gegeben.

Anbei die Logfiles

Malwarebytes:

Super Antispyware

ESET

Downloade dir bitte CF_UNINST.exe und speichere diese auf deinem Desktop.

• Starte die CF_UNINST.exe
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Folge den Anweisungen auf dem Desktop.
• Wenn das Tool fertig ist sollte sich ein Fenster mit folgendem Inhalt öffnen: Done

Habe das wie beschrieben ausgeführt.
Anweisungen am Desktop kamen aber keine, nur dieses "Done"

Combofix läuft aber weiter.

Eine möglichkeit es vorübergehend zu stoppen habe ich durch zufall herausgefunden. Wenn ich in die Firefox suche "combofix /unistall" eingebe und dies mit strg+c kopiere, stoppt sofort das fenster öffnen!

Weiters muss ich nach wie vor alle anwendungen (firefox, avira, etc) immer per admin starten da ansonsten ein fenster aufgeht: "Öffnen mit - wählen sie ein programm aus, das sie zum öffnen dieser datei verwenden möchten" wo mir nur der internet explorer angezeigt wird.

Auch ist unter start nach wie vor alles leer. Also keine Netzwerkverbindungen usw...

Das ist seit wann? Seit einem bestimmten Tool hier oder schon seit der Infektion?

Bereits seit beginn.
Es waren auch alle excell dateien und ähnliches weg und nach ausführen eines der tools (glaube das mit der dos oberfläche) kamen sie wieder.

Erstell mal ein neues Bentuzerkonto für Windows und log dich damit ein.
Schau nach ob dort das Startmenü etc. soweit ok ist.

Neues Konto erstellt, Startmenü etc. sieht auf den ersten blick so aus wie es sein soll.
Jedoch auch im neuen Benutzerkonto, permanent öffnen von CF.

Nur um sicher zu gehen, hab bisher alle programme auf das nutzer konto geladen und mit adminrechten ausgeführt bei dem die infizierung aufgetreten ist.
Hab mich jetz erstmalig seither im admin konto eigeloggt und cf erstellte die log datei!
Bei öffnen dieser kommt hinweis: NIRCMD.exe - konnte nicht gefunden werden. Stellen sie sicher dass sie den namen richtig eingegeben aben und wiederholen sie den vorgang.

Combofix log
Combofix Logfile:
--- --- ---

Soll das heißen du hast CF als "Admin" ausgeführt und dich nach dem Neustart immer mit einem anderen User eingeloggt? :balla:

:cool: Ja?!
Also angemeldet im Benutzer, CF mit Adminrecht gestartet, nach Autoneustart wieder im Benutzer angemeldet -> bekanntes Problem :rolleyes:
Dann auf blöd im Admin angemeldet und dort machte dann CF was es wohl soll.

Sollte ich evtl. nochmal nen kompletten CF durchlauf machen oder würde das nichts bringen?!
Was kann ich nun noch machen oder bin ich schon "geheilt"?

Das Problem mit dem nicht öffnen der Datein, ohne "öffnen mit" Fenster bzw. nur mit Admin rechten besteht weiterhin.
In allen anderen Konten hingegen ist es ganz normal und es scheint auch nichts "komisch" zu sein.

Also man geht schon davon aus, dass man nach so einer Prozedur sich mit demselben User einloggen muss wieder vorher! :balla:

Davon bin ich auch ausgegangen und hab mich wieder mit dem account angemeldet auf dem ich cf gestartet habe.
Die admin rechte verstand ich so, das die qwasi nur zum starten von cf benötigt werden und das danach läuft.. :-p
Wieder was gelernt.. :-o

Nochmal vorsichtig gefragt, gibt es noch ein tool oder kniff den ich anwenden kann um die besagten verschwundenen ''start'' programmpunkte wieder zu bekommen?

Ist wohl nicht so einfach möglich, da der Schädling dein Startmenü zerwurbelt hat.

Ok.. :-(
Wie sollte ich verfahren, kann ich bespielsweise dateien vom befallenen account kopieren und auf einen neuen packen ohne irgendwelche schädlinge mit zu nehmen?

Was kann ich von den tools löschen bzw zukünftig verwenden um turnus mäßig abstand zu machen?
Antivir drauf lassen oder einen anderen scanner installieren?

Alles in allen vielen dank für deine hilfe!!

Befallen ist der Acc nicht mehr aber halt eben defekt.
Lohnt sich eh nur wichtige profilrelevante Einstellungen zu übernehmen => Mozilla Firefox, Thunderbird (falls vorhanden, allegmein E-Mails) , ... etc.

Jetzt war ich über ein neu erstellten Account angemeldet und hab den Account eingerichtet, währenddessen kam die Fundmeldung von antivir:

Auch mal lesen was da gemeldet wird. Was ComboFix ist solltest du wissen. Und nein es ist kein Schädling.