Hallo zusammen,

wie ich sehe häufen sich die Fälle wegen einer Umleitung von Google. Nun hat es auch mich, bzw. meinen PC erwischt. Manchmal leitet er mich einfach auf eine andere Webseite um (browserunabhängig, habe Mozilla, IE8 und Opera probiert) oder er zeigt erst gar keine Webseite an, bzw. lädt diese nicht.

Ich habe Malwarebytes und Spybot durchlaufen lassen (ohne Befund) und hänge jetzt noch ein Protokoll von OTL und Malwarebytes an.

Es wäre super wenn jemand die Zeit fände mir zu helfen, bzw. mich beim weiteren Vorgehen zu beraten.

Vielen Dank im Voraus
Kinskiinger

Zitat:

Art des Suchlaufs: Quick-Scan

Hallo und

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Hallo Cosinus,

hab das leider übersehen und nur einen Quick-Scan gemacht und konnte später nicht mehr editieren. Im Anhang findet sich der Post. Vielen Dank schonmal, dass du dich der Sache annimmst.

Ältere Logs habe ich leider nicht, da ich das Programm nicht kannte.

lg
Kinskiinger

Führe auch bitte ESET aus, danach sehen wir weiter.


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

n.

Hallo Cosinus,

der Scanner hat tatsächlich etwas entdeckt. Der Post folgt...


ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6528
# api_version=3.0.2
# EOSSerial=3389bd01dcfee444adf3c55c4bfa8841
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-07-21 10:35:36
# local_time=2011-07-21 12:35:36 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1797 16775165 100 94 61590 47773029 79830 0
# compatibility_mode=5893 16776574 100 94 2553008 62871016 0 0
# compatibility_mode=8192 67108863 100 0 505 505 0 0
# scanned=156152
# found=1
# cleaned=0
# scan_time=3369
C:\Windows\system64\consrv.dll Win64/Agent.AC trojan (unable to clean) 00000000000000000000000000000000 I

Oje, das scheint das 64-Bit Rootkit ZeroAccess zu sein. Der kam hier bisher 2-3x vor in jüngster Zeit und mir ist noch keine klare Methode bekannt, den zu entfernen, ohne dass dein installiertes Windows darunter leidet.

Vgl. http://www.trojaner-board.de/101484-...-gesperrt.html

Hört sich bitter an...vor allem da ich nur eine OEM Version von Win7 gekauft habe und diese vorinstalliert war.

Schlägst du eine Sicherung relevanter Daten vor? Habe ein wenig Angst dass die gesicherten Daten dann auch infiziert werden können

Jetzt wo du es sagts, geht es mir ähnlich wie im Fall des Users "csrss.exe Virus? Firewall deaktiviert und gesperrt". Meine Firewall lässt sich nicht mehr verändern....oh my gosh

Noch eine Frage: Kannst du irgendwie abschätzen wie schwer dieses Rootkit meinen PC ansonsten schädigt?

Zitat:

Hört sich bitter an...vor allem da ich nur eine OEM Version von Win7 gekauft habe und diese vorinstalliert war.

Was hat das mit OEM zu tun? Was hindert dich das in irgendeiner Weise an einer Neuinstallation? OEM ist ein lizenz- und kein technikrelevantes Thema...

Zitat:

Schlägst du eine Sicherung relevanter Daten vor? Habe ein wenig Angst dass die gesicherten Daten dann auch infiziert werden können

Sicher die Daten über ein Live-System wie zB Ubuntu. Folge dem zweiten Link in meiner Signatur. Nur persönliche Dateien und keine Programme, Spiele oder Setups sichern.

ODER Du versuchst es so wie ich es in dem anderen Strang probiert hatte, da hat sich der andere TO aber nicht weitergemeldet. Sprich, die Datei in Ubuntu umbenennen, dann sofort von der Windows-DVD oder der Rescuedisk starten und den MBR-Fixen. Ob das das neue Rootkit besiegt weiß ich nämlich noch nicht.

Zitat:

Zitat von cosinus

Was hat das mit OEM zu tun? Was hindert dich das in irgendeiner Weise an einer Neuinstallation? OEM ist ein lizenz- und kein technikrelevantes Thema...

Okay, hab halt keine CD dazu bekommen. Win 7 war vorinstalliert ohne DVD dabei oder Recovery oder ähnliches. Hab leider keine Ahnung wie das funktioniert. Oder ich muss mir eine DVD-VErsion besorgen. Wenn ich WIN7 neu installieren würde könnte ich aber andere relevanten Dateien (Bilder/Unizeugs...mehrere GB groß) nicht wirklich auf einer externen sichern, ohne Gefahr zu laufen, dass diese auch infiziert sind? Oder geht das mit Ubuntu?
Sorry für die vielen Fragen, bin nicht so firm in Computerzeugs.

Zitat:

Win 7 war vorinstalliert ohne DVD dabei oder Recovery oder ähnliches.

Handbuch nicht gelesen!
Recovery-Medien musst dir bei fast allen Rechnern heute selber brennen!

Hallo Cosinus,

habe mich jetzt dazu entschlossen Windows 7 neu aufzusetzen. Kannst du mir bitte eine kurze Anleitung geben, damit ich alles richtig mache; das wäre sehr nett.

Ein paar Fragen hätte ich dazu:

Reicht es eine Recovery-Cd zu erstellen, wenn ich die C-Partition, die ja verseucht ist, formatieren will. Mit der Recovery-CD kann ich doch Win7 nicht neu installieren, oder verstehe ich das falsch.

Kann ich die anderen Partitionen, die ja (eventuell) frei von Befall sind, dann belassen oder muss ich jede Partition formatieren?

Ist abzusehen, ob man diesen RootKit 64 Trojaner in den nächsten Wochen irgendwie erwischen und "killen" kann.

Sorry für die vielen Fragen, bin einigermaßen schockiert von dem Mist und hab den Rechner erst 4 Wochen und schon son Chaos.

Eine Step-by-Step Anleitung wäre deluxe, wobei mir klar ist, dass du wenig Zeit hast...

Vielen Dank im Voraus für deine Mühe
Kinskiinger

Zitat:

Mit der Recovery-CD kann ich doch Win7 nicht neu installieren, oder verstehe ich das falsch.

Damit wird das Gerät recovert also in den Auslieferungszustand versetzt. Ist zwar nicht optimal IMHO weil der Hersteller viel Schrott mit installiert, deswegen wäre eine "echte" Windows-DVD besser für die Neuinstallation.

Zitat:

Kann ich die anderen Partitionen, die ja (eventuell) frei von Befall sind, dann belassen oder muss ich jede Partition formatieren?

Beim Recovern wird wie gesagt das Gerät in den Auslieferungszustand versetzt. Handbuch wieder nicht gelesen? Sollte alles drinstehen.

Hallo,

hab mir jetzt eine ISO Datei von WIN 7 gezogen, auf DVD gebrannt, d.h. ich müsste jetzt eine lauffähige Installations-DVD haben und muss kein Recovery machen.
Denkst du ich kann die anderen Partiitonen belassen oder sollte ich alles formatieren? Wenn ich das richtig verstehe, hat sich der Rootkit Trojaner in einer Windows Datei auf meiner C-Partition festgesetzt. Wenn ich meine Daten (auf den anderen Partitionen) auf einer externen Festplatte speichere, könnte der Trojaner dann mitkopiert werden?

Und ja ich habe das Handbuch nicht gelesen, da kein Handbuch dabei war

lg
Kinskiinger

Zitat:

hab mir jetzt eine ISO Datei von WIN 7 gezogen, auf DVD gebrannt

Achja richtig, man kann sich ja die Win7-ISOs runterladen, daran hab ich eben nicht gedacht Windows 7 Direkt Download Links

Zitat:

da kein Handbuch dabei war

Das ist kaum vorstellbar, zu jedem Neugerät wird ein Handbuch geleifert

Ich wollte nochmal anfragen, ob du dich dazu äußern kannst...

Denkst du ich kann die anderen Partiitonen belassen oder sollte ich alles formatieren? Wenn ich das richtig verstehe, hat sich der Rootkit Trojaner in einer Windows Datei auf meiner C-Partition festgesetzt. Wenn ich meine Daten (auf den anderen Partitionen) auf einer externen Festplatte speichere, könnte der Trojaner dann mitkopiert werden?

lg und danke