Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Windows Defender: Problem beim Entfernen von Trojan:Win32/Necurs.A und Trojan:WinNT/Necurs.A unter Windows 7 (https://www.trojaner-board.de/150675-windows-defender-problem-beim-entfernen-trojan-win32-necurs-a-trojan-winnt-necurs-a-windows-7-a.html)

deeprybka 11.03.2014 22:41

Sehr gut :daumenhoc

Bitte auch die anderen Scans machen. Eset kann länger dauern.... ;)

EmmaTiger 12.03.2014 06:13

Moin Jürgen

Das hat es :kaffee:

Ich warte mal noch weitere Instruktionen ab, bevor wir mit Schritt 3 (SecurityCheck) weitermachen.

Gruß Jo

Code:

ESETSmartInstaller@High as downloader log:
Can not open internetESETSmartInstaller@High as downloader log:
Can not open internet# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6920
# api_version=3.0.2
# EOSSerial=155b678b61526c4c9e80ee23fc9458a9
# engine=17403
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2014-03-12 03:11:53
# local_time=2014-03-12 04:11:53 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1033
# osver=6.1.7600 NT
# compatibility_mode=5893 16776573 100 94 24502 147032656 0 0
# scanned=176325
# found=7
# cleaned=0
# scan_time=18682
sh=E6CC9113684CEA514F2C083164C2F644B19EEE4A ft=0 fh=0000000000000000 vn="multiple threats" ac=I fn="C:\$Recycle.Bin\S-1-5-21-3956389187-1643806333-1776510576-1000\$R2V6F1D\jar_cache4719067408113836257.tmp"
sh=E6CC9113684CEA514F2C083164C2F644B19EEE4A ft=0 fh=0000000000000000 vn="multiple threats" ac=I fn="C:\Users\Jörg\AppData\Local\Temp\jar_cache4719067408113836257.tmp"
sh=E6CC9113684CEA514F2C083164C2F644B19EEE4A ft=0 fh=0000000000000000 vn="multiple threats" ac=I fn="D:\$RECYCLE.BIN\S-1-5-21-3956389187-1643806333-1776510576-1000\$RM3ZJPV\jar_cache4719067408113836257.tmp"
sh=E6CC9113684CEA514F2C083164C2F644B19EEE4A ft=0 fh=0000000000000000 vn="multiple threats" ac=I fn="D:\2014-03-01 Necurs.A\jar_cache4719067408113836257_tmp.txt"
sh=E6CC9113684CEA514F2C083164C2F644B19EEE4A ft=0 fh=0000000000000000 vn="multiple threats" ac=I fn="D:\2014-03-01 Necurs.A\CUsersJörgAppDataLocalTemp\jar_cache4719067408113836257.tmp"
sh=EC9CC8F0660929918F3DFBD7F2D1BE36A6E47C58 ft=0 fh=0000000000000000 vn="multiple threats" ac=I fn="D:\BACKUP\2014-03-01 Necurs.A.7z"
sh=2E145585AE3794A279CF4C95CFF941931AFD2A9E ft=1 fh=e9adecc6d0beb833 vn="INF/Autorun.gen worm" ac=I fn="D:\BeehovenUnderVista\Sicherung Beethoven\Desktop\Daten Jörg\S-CDB_DEMO-Windows-2.9.8-SL035.exe"


deeprybka 12.03.2014 13:46

Hallo Jo,

weißt Du wofür diese Datei ist? Wenn Du sie nicht kennst oder benötigst, dann lösche sie bitte.
Code:

D:\BeehovenUnderVista\Sicherung Beethoven\Desktop\Daten Jörg\S-CDB_DEMO-Windows-2.9.8-SL035.exe

Schritt 1
Lade dir TFC (TempFileCleaner von Oldtimer) herunter und speichere es auf den Desktop.
  • Öffne die TFC.exe.
    Vista und Win 7 User mit Rechtsklick "als Administrator starten".
  • Schließe alle anderen Programme.
  • Drücke auf den Button Start.
  • Falls du zu einem Neustart aufgefordert wirst, bestätige diesen.



Dann bitte wie geplant den Securitycheck durchführen. Anschließend werden wir Dein System auf den neuesten Stand bringen und absichern. ;)

Schritt 2
Downloade Dir bitte SecurityCheck und:

  • Speichere es auf dem Desktop.
  • Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
  • Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.
Poste den Inhalt bitte hier.

EmmaTiger 12.03.2014 21:23

Hallo Jürgen,

ich kenne die Datei S-CDB_DEMO-Windows-2.9.8-SL035.exe (ist in einer Sicherung als "Beethoven" noch Vista als OS hatte) und wird seit einigen Jahren nicht mehr benutzt. Das ist eine Demoversion einer Anwendung. Man hat das ja schon mal das bestimmte "Muster" eine potenzielle Gefahr darstellen. Ich schließe das aber aus.

Ich wollte ggf. später (sofern die Zeit dafür da ist) mit Dir noch den Infektionszeitpunkt und die mögliche Ursache anschauen. Ich denke, Datum und Uhrzeit habe ich bereits sicher gefunden. Da ich die Windows Ereignisanzeige schon vor den ersten Clearing Maßnahmen stunden-/tagelang auf den Kopf gestellt habe, ist das Einfallstor des Schädlings gut eingrenzbar.

Wenn ich TFC ausführe wird z.B. "jar_cache4719067408113836257.tmp" gelöscht obwohl diese Datei zeitlich zum engen Kreis der verdächtigen Kandidaten gehört. Von dieser Java-Datei und einer "2SKKKKKKK.exe" habe ich, wie Du im ESET OnlineScanner Log siehst, seinerzeit mal eine Sicherung für weitere Analysen gemacht (z.B. Upload bei virustotal.com).

Treffer, beim Versuch diese Datei nochmal anzusehen, meldet G Data gerade einen :pfui:

Virus: Java:Malware-gen [Trj] (Engine-B)
Datei: jar_cache4719067408113836257.tmp
Verzeichnis: C:\Users\Jörg\AppData\Local\Temp
Prozess: Explorer.EXE

Habe die Datei zunächst in Quaratäne verschoben. Gleich mehr (muss mal vom sauberen Computer auf Beethoven wechseln) ...

Hier das G Data Log:

Code:

Die Datei wurde in die Quarantäne verschoben.

Datei: C:\Users\Jörg\AppData\Local\Temp\jar_cache4719067408113836257.tmp
Virus: Java:Malware-gen [Trj] (Engine-B)

Und hier der schäbige schädliche Rest:

Code:

Beim Öffnen der Datei "C:\Users\Jörg\AppData\Local\Temp\jar_cache4719067408113836257.tmp->Bfudghw3q.class" wurde der Virus "Java:Malware-gen [Trj] (Engine-B)" entdeckt. Zugriff verweigert.
Beim Öffnen der Datei "C:\Users\Jörg\AppData\Local\Temp\jar_cache4719067408113836257.tmp->C_ADFERss.class" wurde der Virus "Java:Nuclear-D [Kit] (Engine-B)" entdeckt. Zugriff verweigert.
Beim Öffnen der Datei "C:\Users\Jörg\AppData\Local\Temp\jar_cache4719067408113836257.tmp->D_A_sdwfeqefdwefwfef.class" wurde der Virus "Java:Nuclear-A [Kit] (Engine-B)" entdeckt. Zugriff verweigert.
Beim Öffnen der Datei "C:\Users\Jörg\AppData\Local\Temp\jar_cache4719067408113836257.tmp->E_Dfbegr4refd.class" wurde der Virus "Java:CVE-2013-1493-FQ [Expl] (Engine-B)" entdeckt. Zugriff verweigert.
Beim Öffnen der Datei "C:\Users\Jörg\AppData\Local\Temp\jar_cache4719067408113836257.tmp->G_sadswg3wqfew.class" wurde der Virus "Java:Downloader-PF [Trj] (Engine-B)" entdeckt. Zugriff verweigert.
Beim Öffnen der Datei "C:\Users\Jörg\AppData\Local\Temp\jar_cache4719067408113836257.tmp->XTTP.class" wurde der Virus "Java:CVE-2012-1723-BVU [Expl] (Engine-B)" entdeckt. Zugriff verweigert.
Beim Öffnen der Datei "C:\Users\Jörg\AppData\Local\Temp\jar_cache4719067408113836257.tmp->Ydsfsdfdsfdsf.class" wurde der Virus "Java:Agent-HKT [Trj] (Engine-B)" entdeckt. Zugriff verweigert.
Beim Öffnen der Datei "C:\Users\Jörg\AppData\Local\Temp\jar_cache4719067408113836257.tmp->zdfs55.class" wurde der Virus "Java:Malware-gen [Trj] (Engine-B)" entdeckt. Zugriff verweigert.
Beim Öffnen der Datei "C:\Users\Jörg\AppData\Local\Temp\jar_cache4719067408113836257.tmp" wurde der Virus "Other:Malware-gen [Trj] (Engine-B)" entdeckt. Zugriff verweigert.
Beim Öffnen der Datei "C:\Users\Jörg\AppData\Local\Temp\jar_cache4719067408113836257.tmp" wurde der Virus "Java:Malware-gen [Trj] (2x), Java:Nuclear-D [Kit], Java:Nuclear-A [Kit], Java:CVE-2013-1493-FQ [Expl], Java:Downloader-PF [Trj], Java:CVE-2012-1723-BVU [Expl], Java:Agent-HKT [Trj], Other:Malware-gen [Trj] (Engine-B)" entdeckt. Zugriff verweigert.

:stirn: Entschuldige bitte Jürgen. Ich hoffe, ich habe mich mit meiner Neugier bei Dir nicht disqualifiziert. :confused:

Und ich habe wieder was gelernt!

Jetzt doch schnell TFC ausführen oder erst nochmal was anderes?

deeprybka 12.03.2014 22:45

Hi Jo,
also die Infektion stammt vermutlich vom Black Hole Exploit Kit - auf verseuchten Seiten holt man sich da schnell was. Gerade Deine veraltete Java-Version ist anfällig. Zeit was dagegen zu tun. ;)
Bitte TFC und Securitycheck ausführen, damit wir schnell zur Absicherung des PCs übergehen können. :)

EmmaTiger 12.03.2014 23:21

So, TFC ist durch. Nun noch SecurityCheck.

checkup.txt

Code:

Results of screen317's Security Check version 0.99.80 
 Windows 7  x86 (UAC is enabled) 
 Out of date service pack!!
``````````````Antivirus/Firewall Check:``````````````
G Data InternetSecurity 2011 
 Antivirus up to date! 
`````````Anti-malware/Other Utilities Check:`````````
 Malwarebytes Anti-Malware Version 1.75.0.1300 
 Java(TM) 6 Update 20 
 Java version out of Date!
````````Process Check: objlist.exe by Laurent```````` 
 Malwarebytes Anti-Malware mbamservice.exe 
 Malwarebytes Anti-Malware mbamgui.exe 
 Malwarebytes' Anti-Malware mbamscheduler.exe 
 G Data InternetSecurity Firewall GDFwSvc.exe
 G Data InternetSecurity Firewall GDFirewallTray.exe
`````````````````System Health check`````````````````
 Total Fragmentation on Drive C: 
````````````````````End of Log``````````````````````


deeprybka 13.03.2014 16:22

Hi Jo,
wie Du am Securitycheck siehst, sind wir noch nicht fertig und machen uns daher jetzt an die Absicherung des Systems.

Schritt 1
Windows 7 Service Pack 1 installieren.
Hier findest Du nähere Informationen dazu.

Meiner Meinung nach, ist das Runterladen und direkte Installieren des Service Pack empfehlenswert. Hier kannst Du Dir den SP1 für Windows herunterladen.
Falls es Probleme gibt, dann installiere Dir bitte dieses Tool.
Sollte die Installation erfolgreich gewesen sein, stelle anschließend sicher, dass die Windows Update-Funktion aktiviert ist. Eine Anleitung dazu findest Du hier. Installiere damit alle verfügbaren Updates.

Sind diese Punkte erledigt folgt

Schritt 2
Sicherheitsrelevante Software aktualisieren.
Besuche bitte die Update Seiten von Java und Flashplayer.
Achte bitte bei der Installation strikt darauf, dass keinerlei "Toolbars" & Co. mitgeladen werden. Dies erreichst Du durch Entfernen der Haken bei den optionalen "Angeboten". ;)

Schritt 3
Jetzt bitte ein frisches FRST-Log. :)

EmmaTiger 13.03.2014 22:15

Nabend Jürgen,

soll ich bei der Service Pack 1 Installation MBAM bzw. andere der installierten Malware-Tools (ggf. auch G Data) temporär deaktivieren?

Gruß Jo

deeprybka 14.03.2014 01:38

Hallo Jo,
es kann nicht schaden, wenn Du zu Beginn der Installation den Echtzeitschutz der Scanner temporär deaktivierst. Jedoch werden nach einem Neustart diese Schutzmodule erneut gestartet. Da würde ich sie dann aktiviert lassen. Meiner Erfahrung nach gibt es während der Updatevorgänge keine Probleme... :)

deeprybka 14.03.2014 13:23

Zitat:

Zitat von deeprybka (Beitrag 1267461)
Schritt 3
Jetzt bitte ein frisches FRST-Log. :)

Bitte setze auch den Haken bei Addition.txt... ;)

EmmaTiger 16.03.2014 22:55

Hallo Jürgen,

hurra, nach gefühlten 2.735 Updates auf einem zickigen Windows 7 ist jetzt auch SP1 installiert. ;)

Der Rest kommt auch noch :pfeiff:

Gruß Jo

deeprybka 16.03.2014 22:56

;)

Das freut mich....

EmmaTiger 17.03.2014 21:18

Nabend Jürgen,

die restlichen Windows 7 Updates (Empfohlene und Wichtige) sind nun alle installiert. :abklatsch:

Wie gehe ich in Schritt 2 vor:

- Java:
Code:

C:\Users\Jörg>java -version
java version "1.6.0_20"
Java(TM) SE Runtime Environment (build 1.6.0_20-b02)
Java HotSpot(TM) Client VM (build 16.3-b01, mixed mode, sharing)

Soll ich Java 6 deinstallieren und dann Java 7 installieren oder wie mach' ich es richtig?

- Flash: Habe z.Zt. 11.5 installiert. Soll ich den Flash Player über Adobe einfach drüber installieren oder soll ich deinstallieren bevor ich die aktuelle Version 12.0.0.77 installiere?

Gruß Jo

deeprybka 17.03.2014 21:34

Zitat:

Zitat von EmmaTiger (Beitrag 1269793)
Soll ich Java 6 deinstallieren und dann Java 7 installieren oder wie mach' ich es richtig?

- Flash: Habe z.Zt. 11.5 installiert. Soll ich den Flash Player über Adobe einfach drüber installieren oder soll ich deinstallieren bevor ich die aktuelle Version 12.0.0.77 installiere?
Gruß Jo

:daumenhoc

Hi Jo, deinstalliere zuerst die alten Versionen. Installiere Dir dann von den angegeben Links die neuesten Versionen und paß bitte auf, dass keine "optionalen Angebote" mitinstalliert werden... :)

Dann noch FRST-Scan wie beschrieben....

EmmaTiger 18.03.2014 22:52

Hallo Jürgen,

habe die alten Versionen von Java und Flash Player deinstalliert und die aktuellen Versionen installiert, ohne die :crazy: optionalen Angebote (Toolbars etc.)

Die beiden FRST Logs sind zu groß (zu viele Zeichen). Ich erhalte beim Versuch, den Inhalt der Logs über die Code-Tags einzufügen, folgende Meldung:

"Logs bitte als Archiv an den Beitrag anhängen!"

Ist das ok oder mache ich mit FRST noch was falsch? :confused:

Danke und Gruß
Jo


Alle Zeitangaben in WEZ +1. Es ist jetzt 20:08 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19