Trojaner-Board - Ebay Umleitung, Logs ergaben u.a. Exploit.Drop.COD und andere

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Ebay Umleitung, Logs ergaben u.a. Exploit.Drop.COD und andere (https://www.trojaner-board.de/120636-ebay-umleitung-logs-ergaben-u-a-exploit-drop-cod-andere.html)

Ebay Umleitung, Logs ergaben u.a. Exploit.Drop.COD und andere

Hallöle werte Fachleute :-),

wir erhoffen hier, als eigentliche PC Laien, ein wenig Hilfe.

Zur Sachlage:

Vorgestern wollte mein Mann sich an seinem PC auf Ebay einloggen.
Er besuchte die originale Ebay - Seite und loggte sich ein. Er wurde dann sofort auf eine andere Seite umgeleitet, die ihn nach persönlichen Daten fragte, wie z.B. Kartennummer. Angeblich wäre da ein Sicherheitsproblem..... das das keine Ebay - Seite ist, ist offensichtllich.

An meinem Rechner kann er sich ohne weiteres normal einloggen.

Nun, er holte sich dann Malewarebytes auf den PC und lies es durchlaufen. Funde wurden entfernt und die Seite zeigte sich im Original... aber nur bis zum nächsten hochfahren des PC.
Er hat nun mehrfach MWB drüber laufen lassen aber immer dasselbe Problem.

Wir haben dann nach ebay Pishing etc gegoogelt aber nichts gefunden.
Macht er das an seinem Rechner, wird er interessanterweise beim anklicken einer Seite mit dem Wort EBAY wieder auf diese ominöse Seite weiter geleitet.

Wir sind mit unserem begrenzenten PC Wissen nun am Ende und erhoffen uns Hilfe von euch Profis.
Als Virenprogramm hat er Antivier als freien Download.

Lieben Dank für eure Zeit!

Hier die Logs von MWB

Zitat:

Trojan.AVKiller.Gen
RiskWare.Tool.CK
Trojan.FakeAlert
Trojan.Downloader
Exploit.Drop.COD

Malwarebytes Anti-Malware (Test) 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.07.26.12

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 8.0.7601.17514
Admin :: ADMIN-PC [Administrator]

Schutz: Aktiviert

26.07.2012 18:33:50
mbam-log-2012-07-26 (18-33-50).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|F:\|G:\|H:\|I:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 327238
Laufzeit: 29 Minute(n), 6 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|mscj.exe (Trojan.Downloader) -> Daten: C:\Users\Admin\AppData\Roaming\MSA\mscj.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|mscj (Trojan.FakeAlert) -> Daten: c:\users\admin\appdata\roaming\msa\mscj.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 3
C:\Program Files (x86)\MegaDev\MD-Trainers\MT-X\MT-eXperience.exe (Trojan.AVKiller.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Admin\Downloads\Datenstick\keymaker\Keymaker.exe (Trojan.Downloader) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Admin\Downloads\Datenstick\keymaker\KeyMakerWinAmp55.exe (RiskWare.Tool.CK) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Malwarebytes Anti-Malware (Test) 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.07.26.12

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 8.0.7601.17514
Admin :: ADMIN-PC [Administrator]

Schutz: Aktiviert

27.07.2012 11:39:46
mbam-log-2012-07-27 (11-39-46).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 196678
Laufzeit: 2 Minute(n), 35 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

Malwarebytes Anti-Malware (Test) 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.07.27.08

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 8.0.7601.17514
Admin :: ADMIN-PC [Administrator]

Schutz: Aktiviert

27.07.2012 17:46:03
mbam-log-2012-07-27 (17-46-03).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|F:\|G:\|H:\|I:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 330913
Laufzeit: 47 Minute(n), 49 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|renovator (Exploit.Drop.COD) -> Daten: C:\Users\Admin\AppData\Roaming\TeamViewer\{398FAE31-685E-4E7F-93A7-78A7A13F6837}\renovator.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Users\Admin\AppData\Roaming\TeamViewer\{398FAE31-685E-4E7F-93A7-78A7A13F6837}\renovator.exe (Exploit.Drop.COD) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

2012/07/28 10:05:30 +0200 ADMIN-PC Admin MESSAGE Starting protection
2012/07/28 10:05:32 +0200 ADMIN-PC Admin MESSAGE Protection started successfully
2012/07/28 10:05:35 +0200 ADMIN-PC Admin MESSAGE Starting IP protection
2012/07/28 10:05:36 +0200 ADMIN-PC Admin MESSAGE IP Protection started successfully
2012/07/28 11:16:47 +0200 ADMIN-PC Admin DETECTION C:\Users\Admin\AppData\Roaming\Identities\{300E9D87-666D-4B4A-9AA9-F1F6772981E4}\LicenseValidator.exe Exploit.Drop.COD QUARANTINE

:hallo:

ESET Online Scanner

Vorbereitung

Schließe evtl. vorhandene externe Festplatten und/oder sonstigen Wechselmedien (z. B. evtl. vorhandene USB-Sticks) an den Rechner an.
Bitte während des Online-Scans Anti-Virus-Programm und Firewall deaktivieren.
Vista/Win7-User: Bitte den Browser unbedingt als Administrator starten.

Los geht's

Lade und starte Eset Smartinstaller
Haken setzen bei YES, I accept the Terms of Use.
Klick auf Start.
Haken setzen bei Remove found threads und Scan archives.
Klick auf Start.
Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Finish drücken.
Browser schließen.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (manchmal auch C:\Programme\Eset\log.txt) suchen und mit Deinem Editor öffnen.
Logfile hier posten.
Deinstallation: Systemsteuerung => Software => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Hallo T`John,

ganz lieben Dank für deine erste Hilfestellung!!

Es wurde alles nach Anweisung gemacht und hier der Logfile. Ich hoffe, das es soweit richtig ausgeführt wurde und es weiter gehen kann.
DANKE!

Zitat:

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=718d6af429dc604e9b3c7e491d765387
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-07-29 11:40:46
# local_time=2012-07-29 01:40:46 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=768 16777215 100 0 64692941 64692941 0 0
# compatibility_mode=1792 16777215 100 0 5870592 5870592 0 0
# compatibility_mode=5893 16776573 100 94 89223 95189151 0 0
# compatibility_mode=8192 67108863 100 0 149 149 0 0
# scanned=143350
# found=23
# cleaned=23
# scan_time=2745
C:\Users\Admin\AppData\Local\Temp\jar_cache3114655258758538264.tmp Java/Exploit.Agent.NBT trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\Users\Admin\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\0\237a7000-3aa4aa0d multiple threats (deleted - quarantined) 00000000000000000000000000000000 C
C:\Users\Admin\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\1\46c07041-598ebe18 Java/Exploit.CVE-2012-0507.F trojan (deleted - quarantined) 00000000000000000000000000000000 C
C:\Users\Admin\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\10\607ec54a-1f8c94c2 a variant of Java/Exploit.Blacole.AN trojan (deleted - quarantined) 00000000000000000000000000000000 C
C:\Users\Admin\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\11\2b995bcb-123ea575 a variant of Java/TrojanDownloader.Agent.NDR trojan (deleted - quarantined) 00000000000000000000000000000000 C
C:\Users\Admin\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\12\1e6eb60c-58e938ad Java/Exploit.Blacole.AN trojan (deleted - quarantined) 00000000000000000000000000000000 C
C:\Users\Admin\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\17\62262051-3f35944a multiple threats (deleted - quarantined) 00000000000000000000000000000000 C
C:\Users\Admin\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\23\2e6b3257-68af31bc Java/Exploit.Agent.NAU trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\Users\Admin\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\25\79cee599-69139198 a variant of Java/Exploit.Blacole.AN trojan (deleted - quarantined) 00000000000000000000000000000000 C
C:\Users\Admin\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\26\540626da-40ed1724 multiple threats (deleted - quarantined) 00000000000000000000000000000000 C
C:\Users\Admin\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\32\54873160-26043a9e multiple threats (deleted - quarantined) 00000000000000000000000000000000 C
C:\Users\Admin\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\35\1d0bc563-41fc6487 Java/Exploit.CVE-2011-3544.BG trojan (deleted - quarantined) 00000000000000000000000000000000 C
C:\Users\Admin\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\39\1ccbaee7-6597a749 Java/Exploit.CVE-2012-1723.T trojan (deleted - quarantined) 00000000000000000000000000000000 C
C:\Users\Admin\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\4\2af7bb44-7802114f a variant of Java/TrojanDownloader.Agent.NDR trojan (deleted - quarantined) 00000000000000000000000000000000 C
C:\Users\Admin\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\40\751e7328-26e9c7da a variant of Java/Exploit.Blacole.AN trojan (deleted - quarantined) 00000000000000000000000000000000 C
C:\Users\Admin\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\42\4bfe36a-2f549bc3 Java/Exploit.CVE-2012-1723.P trojan (deleted - quarantined) 00000000000000000000000000000000 C
C:\Users\Admin\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\5\6bceb785-41d26b75 multiple threats (deleted - quarantined) 00000000000000000000000000000000 C
C:\Users\Admin\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\56\52bd31b8-725e90b6 Java/Exploit.Agent.NCJ trojan (deleted - quarantined) 00000000000000000000000000000000 C
C:\Users\Admin\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\60\126b26bc-201911f8 Java/Exploit.CVE-2012-0507.CF trojan (deleted - quarantined) 00000000000000000000000000000000 C
C:\Users\Admin\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\63\2cd92ebf-16620063 multiple threats (deleted - quarantined) 00000000000000000000000000000000 C
C:\Users\Admin\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\7\4db119c7-136001f0 a variant of Java/Exploit.Agent.NAY trojan (deleted - quarantined) 00000000000000000000000000000000 C
C:\Users\Admin\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\9\aeb1209-6897d57e a variant of Java/Exploit.CVE-2012-0507.B trojan (deleted - quarantined) 00000000000000000000000000000000 C
C:\Users\Admin\Downloads\mtxl1571_fullsetup.rar probably a variant of Win32/Agent.CKQSQTE trojan (deleted - quarantined) 00000000000000000000000000000000 C

Java aktualisieren

Dein Java ist nicht mehr aktuell. Älter Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.

Downloade dir bitte die neueste Java-Version von hier
Speichere die jxpiinstall.exe
Schließe alle laufenden Programme. Speziell deinen Browser.
Starte die jxpiinstall.exe. Diese wird den Installer für die neueste Java Version ( Java 7 Update 5 ) herunter laden.
Wenn die Installation beendet wurde
Start --> Systemsteuerung --> Programme und deinstalliere alle älteren Java Versionen.
Starte deinen Rechner neu sobald alle älteren Versionen deinstalliert wurden.

Nach dem Neustart

Öffne erneut die Systemsteuerung --> Programme und klicke auf das Java Symbol.
Im Reiter Allgemein, klicke unter Temporäre Internetdateien auf Einstellungen.
Klicke auf Dateien löschen....
Gehe sicher das überall ein Hacken gesetzt ist und klicke OK.
Klicke erneut OK.

Dann so einstellen: http://www.trojaner-board.de/105213-...tellungen.html

Hallo t'john,

vielen Dank für deine Hilfe. Es klappt wieder alles wunderbar.
Ich scheine irgendwo ein Java-update verpasst zu haben, da ich normalerweise diese immer laufen lasse.
Kleine Ursache, große Wirkung.

Tolle Hilfe

MfG

Deep-secret

Sehr gut! :daumenhoc

damit bist Du sauber und entlassen! :)

Tool-Bereinigung mit OTL

Wir werden nun die CleanUp!-Funktion von OTL nutzen, um die meisten Programme, die wir zur Bereinigung installiert haben, wieder von Deinem System zu löschen.

Bitte lade Dir (falls noch nicht vorhanden) OTL von OldTimer herunter.
Speichere es auf Deinem Desktop.
Doppelklick auf OTL.exe um das Programm auszuführen.
Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
Klicke auf den Button "Bereinigung"
OTL fragt eventuell nach einem Neustart.
Sollte es dies tun, so lasse dies bitte zu.

Anmerkung: Nach dem Neustart werden OTL und andere Helferprogramme, die Du im Laufe der Bereinigung heruntergeladen hast, nicht mehr vorhanden sein. Sie wurden entfernt. Es ist daher Ok, wenn diese Programme nicht mehr vorhanden sind. Sollten noch welche übrig geblieben sein, lösche sie manuell.

Zurücksetzen der Sicherheitszonen

Lasse die Sicherheitszonen wieder zurücksetzen, da diese manipuliert wurden um den Browser für weitere Angriffe zu öffnen.
Gehe dabei so vor: http://www.trojaner-board.de/111805-...ecksetzen.html

Aufräumen mit CCleaner

Lasse mit CCleaner (Download) (Anleitung) Fehler in der

Registry beheben (mehrmals, solange bis keine Fehler mehr gefunden werden) und
temporäre Dateien löschen.

Lektuere zum abarbeiten:
http://www.trojaner-board.de/90880-d...tallation.html
http://www.trojaner-board.de/105213-...tellungen.html
PluginCheck
http://www.trojaner-board.de/96344-a...-rechners.html
Secunia Online Software Inspector
http://www.trojaner-board.de/71715-k...iendungen.html
http://www.trojaner-board.de/83238-a...sschalten.html

Danke t'john,
die letzten Schritte habe ich auch erledigt. Es hat alles geklappt.
Du hast das wirklich toll erklärt.

MfG

Deep-secret