TR/Dropper.gen , JAVA/Agent.10515 und JAVA/Stutter.I.1 halten sich hartnäckig im System
 

Moin Moin und Hallo an alle!

Seit ca. 1,5 Wochen halten sich o.g. Programme und diverse Subschädlinge in meinem System fest. Malwarbytes und Spybot stellen jeweils 0 Infizierungen fest, während Antivir immer so zwischen 11 + 15 ausspuckt.

Nach einem Suchlauf und gefundenen Schadprogrammen starte ich einen weiteren und scheinbar ist das System dann clean.

Starte ich jedoch den Rechner erneut, beginnt der Spass wieder von vorn.

Gelegentlich zeigt der Teatimer von Spybot übrigens an, dass ein "Firewall Authorization ..." hinzugefügt werden möchte. (In der Regel zu Anno 1404 oder uTorrent)

Ich würde mich riesig freuen, wenn mir jemand von euch bei der Entseuchung behilflich sein könnte! :-)

Anbei nun mein brandneuer Antivir-Log


An dieser Stelle schon einmal ein hünenhaftes :dankeschoen: für eure Mühe!!!

btw: Natürlich habe ich mir bereits andere Threads zu dem Thema durchgelesen und prompt die "ip6fw.sys" aus ...Windows/system32/drivers/ gelöscht (in den Papierkorb verschoben).

Poste bitte trotzdem ALLE Logs von malwarebytes!

Schon da! Ist auch recht übersichtlich. Morgen werde ich mal einen Log von einem Durchlauf im abgesicherten Modus posten (falls überhaupt erforderlich).

Grüße!

So, heute vormittag habe ich im abgesicherten Modus MBAM und AV laufen lassen (in dieser Reihenfolge). Mit folgendem interessanten Ergebnis:


Ich bin doch ein wenig verunsichert, warum jetzt plötzlich ganz andere Typen von Schadprogrammen sich bei mir eingenistet haben...

Beste Grüße!

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

Voila!

OTL:

Extras:

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hier ist das gute Stück! (Was auch immer das steht) :wtf:

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

OK:


Wurde aber, wie beschrieben, ge-skip-t.

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Geschafft!

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.


3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Nr. 2

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur wenige Sekunden.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

GMER


OSAM

und MBR

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Das wäre ja mehr als großartig! :crazy:

Ich werde auch nochmal Antivir forschen lassen.
Und morgen im Laufe des Tages werde ich mit allem fertig sein und die Logs hochladen.


Bereits jetzt ein riesiges Dankeschön für deine kostbare Zeit und deine Mühe mit mir! Danke, danke, danke!!!

Ich hätte dann jetzt AV

und SUPER

MBAM folgt in ca. 1 Std.

Schaut gut aus,oder? :)

Jo keine Funde. Die versteckten Objekte, die AntiVir da meint zu sehen, kann man ignorieren.
Rechner wieder ok?

Hi Arne!

Ja, mein Rechner benimmt sich jetzt wieder! :daumenhoc
So bin ich dem "Neuaufsetzen" gerade noch mal von der Schippe gesprungen!

Hab vielen Dank für deine Mühe und Zeit!!!

Ich würde auch gern meinen Beitrag leisten und anderen helfen, werde mich jedoch mangels Fachwissen auf eine kleine Spende und Werbung für euch beschränken müssen! :crazy:

Noch einmal: DANKE!


Gruß, Benjamin

Dann wären wir durch! :abklatsch:

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update



PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink:

Mozilla und andere Browser => http://filepony.de/?q=Flash+Player
Internet Explorer => http://fpdownload.adobe.com/get/flas..._player_ax.exe


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

Au Backe!

Ich hab das alles gemacht, danach einen Antivir Komplett-Suchlauf gestartet (läuft noch in diesem Moment und braucht noch ca. 2 Std.) und er zeigt bereits jetzt einen Fund an (JAVA/Seneka.B) an!!!

Das müsste ein recht neuer Schad-Code sein. In der AV-Datenbank ist darüber noch nichts gelistet!!!!

Nicht hysterisch werden ;)
Poste bitte den genauen Fundort am besten das Log von AntiVir. Es kann sich auch um einen Fehalarm handeln oder es ist eine isolierte Datei gefunden worden (im Q-Ordner von CF oder OTL)

Ich hoffe, es gibt keinen Grund zum :eek:en! ;-)

Das sind wenn es keine Fehlalarme sind nur Funde im Javacache. Leere mal mit dem CCleaner den Cache oder lösch es manuell.

Ich hab den Cache nu manuell (über den Explorer) gelöscht.
Schätze mal, dass Seneka allein auch nicht so hartnäckig ist. Wäre der Dropper.Xpack mit dabei gewesen, hätte ich mir schon ziemliche Sorgen gemacht...

Ok. Noch Probleme offen?

Das ist eine gute Frage,
hier mein Log von heut Morgen:

Und auch hier wieder hielt sich das Ding im Cache (der Windows-eigene Temp Ordner) auf...

Ist das schlimm?

Leere mal den Javacache manuell oder über den CCleaner

Ok, hab ich. Allerdings auch bereits am gestrigen Tag.

Ich starte einfach nochmal den Rechner neu und jage Antivir drüber.
Irgendwie muss das Mistding doch weg zu bekommen sein

Ich bin mir nicht sicher, ob das tatsächlich ein Schädling ist. Werte so eine von AntiVir bemängelte Datei doch mal bei Virustotal.com aus.

Das mach ich doch glatt!
AV wird ja wohl in der nächsten halben Std. das erste Ergebnis ausspucken ;-)

Heute Morgen hat AV wieder 4 Treffer gelandet.

Ich poste vorerst die Ergebnisse durch Virustotal und danach den eingentlichen AV Log:

Desweiteren war noch HTML/Gerico.ffd auf dem System, dies lässt sich jedoch bei VirusTotal nicht hochladen...

Hier der AVLog


Das ist mal ne üble Menge an Text :-/

Hm...
Deinstallier Java nochmal komplett bitte und beobachte.

Es ist wirklich wie verhext. Ich hab das Verhalten von meinem PC über einen längeren Zeitraum beobachtet.

Java wurde mittels javara entfernt und übrig gebliebene Dateien manuell entfernt. Nach einer Neuinstallation ist auch alles in Ordnung.

Aber irgendwann taucht plötzlich der Unterordner 6.0 auf (C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\) in dem sich die neuen Antivir-Funde tummeln.

AntivirLog:

Virustotal:


Gibt es für meinen PC noch Hoffnung?

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.

• Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
• Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
• Lege eine leere CD in Deinen Brenner.
• ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
• Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
• Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD

• Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
• Mache einen Doppelklick auf das OTLPE Icon.
• Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
• Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
• Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
• OTLpe sollte nun starten.
• Drücke Run Scan, um den Scan zu starten.
• Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
• Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
• Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt.

&

Mach einen OTL-Fix über OTLPE, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

So, bin aus dem Urlaub zurück, nun kann ich mich wieder um die Kiste kümmern ;-)

Hier der OTL-Log nach dem Fix:

Wurde übrigens über das OTL-OS gemacht...

Beobachte mal das Verhalten von AntiVir...

Bis jetzt ist es großartig! :-D

Dann sollten wir es jetzt geschafft haben ;)

Ich werde noch die nächsten paar Neustarts in den kommenden paar Tagen abwarten und das Ergebnis kundtun! :-)

Hm, das ist wirklich eigenartig... Mag es sein, dass diese Exploits nich zwingend schädlich sind?

Muss nicht. Hast du irgendwas ausgeführt was mit Java in Verbindung steht? Websites, die Java erfordern geöffnet oder irgendwas in der Richtung??