Funktioniert denn noch der abgesicherte Modus, abgesehen davon dass er ~5 Minuten zum Hochfahren braucht? Wenn nicht, seh ich schwarz für den Rechner.

hxxp://www.securelist.com/en/blog/493/MAX_sets_its_sights_on_x64_platforms

Das hier hab ich noch gefunden. Als ich heute Morgen versucht habe, noch einmal Sophos (ist ne seltsame Endpoint-Lizenz von unserer Hochschule) drüber laufen lassen habe, hat dieser

"C:\Windows\System32\consrv.dll" ERFOLGREICH gelöscht. Ich sehe gerade, dass in dem Artikel auch was davon steht:

Zitat:

What makes an infected x64 system difficult to treat is the malware’s autorun key: if the file is deleted without repairing the registry key, the BSOD will appear when the system attempts to boot.

Wenn ich das also richtig sehe, müsste die Registery gefixt werden. Just in dem Moment, als mein Scanner nämlich die Datei entfernt hat, haben sich erst das Programm und kurze Zeit später das System vollständig erhängt und waren nicht mehr zum booten zu bewegen.

Siehst du irgend eine Möglichkeit die Registery zu fixen?

Ich mach mal weiter mit der Sicherung... Sollte man sich heute nicht mehr lesen, bedanke ich mich erst einmalfür die Anstrengungen und wünsche einen schönen Abend.

Kosch

[EDIT]Posts haben sich wohl überschnitten... Ne, abgesicherter Modus auch Fehlanzeige.[/Edit]

Über OTLPE hat man einen RegistryEditor, der auch die Registry des nicht mehr bootenden Windows laden kann. Frag mich jetzt aber nicht welche Schlüssel man genau da editieren muss. Vllt ist es nur das:

Zitat:

Autorun on x64 systems is provided by the registry key “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems”. The body of the dropper is placed in the system32 folder under the name consrv.dll.

oder auch nicht...

Ich werds jetzt mal ganz stumpf ausprobieren. Löschen würde ich jetzt. Oder?

[EDIT]Hab den Schlüssel verglichen, wie er sein soll und wie er ist...Er ist wie er sein soll... also keine Lösung dafür.

hxxp://forum.avast.com/index.php?topic=81720.30

Mehr Infos über die beteiligten Files... Das siehst irgendwie so gar nicht gut aus...

Der ZeroAccess ist leider ziemlich schwierig zu entfernen, geht nicht immer.
Hast du die consrv.dll zufällig noch?

Ich schaue gerade meine ganzen Verzeichnise durch, die datei an sich ist nicht mehr da. Ich versuche gerade sämtliche Quarantäne Ordner der einzelnen Virenscanner zu finden, ich denke aber ehr, dass das nichts wird.

Hab noch ein vorheriges Post editiert, hier aber noch mal der Vollständigkeit halber:

Der Schlüssel, wie er ist, deckt sich mit den angaben, wie er sein soll.

Kosch

Ich glaube dein System ist ein Totalschaden. Wenn ich mich richtig erinnere war es auch ziemlich gut zugemüllt und von einem Windows.old Ordner schrubst du auch => Windows.old=kein Format C bei der angeblichen Neuinstallation von Windows

Vom Formatieren hab ich meines Wissens ja auch nicht gesprochen. Aber gut, ich denke auch, dass da nur noch wenig zu wollen ist. Einen Gedanken hatte ich noch. Kann es sein, dass der Registery-Recoverer auf die Registery von dem emmulierten Betriebssystem zugreift? weil dann ist es ja klar, warum alles richtig ist...

Das eine will ich noch versuchen, dann gebich mich geschlagen... hab ja auch jetzt langsam genug von deiner Zeit verschwendet... wie kann ich mit diesem MiTec Recovery-Tool auf meine alte Registery zugreifen? Irgendwie schein ichwas falsch zu machen...

Ich werd verrückt... ich hab tatsächlich die Registery vomemmulierten System gecheckt... in meiner version ist es wie auf dem Link beschrieben...es steht consrv drin...

Ich kanns jetzt auslesen, aber wie editieren?

BÄÄÄÄM!

AAAAlso... ... Tatsächlich lag es genau daran... ich hab die Registery vom emmulierten System gelesen und dementsprechend natürlich ein sauberes System gehabt. Nachdem ich dann per Start->run "regedit" ausgeführt, die alte System-Registery (über Load Hive) in die aktuelle geladen, diese dann an !2! Stellen editiert habe(link zum genauen Reg-Schlüssel weiter unten) konnte das System wieder ganz normal hochfahren!!!

@Arne:
Ich danke dir tausende von Malen!!! Ich kann endlich wieder auf mein System zugreifen und mein Projekt abschließen! Vielen Herzlichen Dank für deine Hilfe und deine Bemühungen!

@Virus:
Natürlich ist damit das Virus, nicht wirklich gebannt, lediglich der Dropper des Rootkit ist jetzt von der Platte und ich habe wieder weitgehenden Zugriff auf mein System. Ich versuche jetzt noch einen Virenscanner zu installieren und hoffe darauf, dass das System nicht abstürzt und auch NICHT die Fähigkeit verliert, danach wieder hoch zu fahren. Zugriff auf BitDefender und Windows Firewall hab ich immer noch nicht, aber das Teilziel ist jetzt für mich erst einmal erreicht.

@Threadbeobachter:
Das System ist immer noch böse im Eimer, "meine Lösung" ist also keinesfalls eine wirkliche Lösung, die eigentliche Arbeit fängt jetzt erst an!

@Cosinus, die 2te:
Wenn du magst, dann könnten wir jetzt Stück für Stück an einer Lösung arbeiten, generell, sollte da keine Motivation zu bestehen, wird auf jeden Fall eine Neuinstallation, diesmal eine vollständige folgen.
Auf jeden Fall noch mal danke, sau geil, dass du trotz meines Umgangstones, dich der Sache angenommen hast.

Kosch

Anhang:

Code: Alles auswählenAufklappen

ATTFilter

Der Schlüssel: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems
Dabei ist zu beachten, dass beim Editieren CurrentControlSet zu ControlSet001 und ControlSet002 werden kann!
(Link beschreibt die Veränderung des Schlüssels) hxxp://www.bleepingcomputer.com/forums/topic400730.html/page__st__15__p__2271737#entry2271737
(Link beschreibt die Vorgehensweise des consrv.dll) hxxp://threatpost.com/en_us/blogs/zeroaccess-rootkit-latest-line-x64-malware-appear-052411
(Link beschreibt die Vorgehensweise der kompletten Infizierung und das Verhalten auf x64-Systemen; was mich letztendlich auch auf die Lösung brachte.) hxxp://www.securelist.com/en/blog/493/MAX_sets_its_sights_on_x64_platforms
(Link beschreibt den Drober) hxxp://anubis.iseclab.org/?action=result&task_id=19f31026086ee2fe499dc12254f693871&format=html
(Link beschreibt von Sophos den Virus/das Rootkit) hxxp://www.sophos.com/en-us/threat-center/threat-analyses/viruses-and-spyware/Troj~ZAccess-F/detailed-analysis.aspx (so wurde das Virus bei mir auch erkannt)
         

Wie jetzt? War der Eintrag zur consrv.dll doch noch in der Registry zu sehen?
Und jetzt läuft das System im normalen Modus wieder?
Naja, du hast vorher vom LIve-System die Registry geöffnet und nicht vom installierten nicht mehr startenden Windows
Dann ist da klar warum du den Eintrag nicht siehst


Bitte nun routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code: Alles auswählenAufklappen

ATTFilter

 hier steht das Log
         

Wenn es dir nichts ausmacht, würde ich mich jetzt die nächsten 2 Tage primär um meine Video-Projekte kümmern. Das heißt, ich würde täglich 4-5 mal hier reinschauen, täglich aktuelle Logs und deine Anweisungen befolgen.

Hab jetzt natürlich bissl schlechtes Gewissen, weil ich gestern so nen Terz gemacht hab und jetzt wieder nen Gang zurück schalte.

Momentan läuft im Hintergrund Kaspersky Virus Removal Tool wobei ich ihm natürlich gesagt habe, dass NICHTS desinfiziert oder verändert werden darf (derzeitiger Stand: 9h17m, 7 Bedrohungen bei rund 1,2kk gescannten Objekten, 39% abgeschlossen).

Ich werde, im Anschluss dann auch mbam und eset noch mal durchlaufen lassen und sämtliche Logs posten, wenns recht ist.