| |
| |||||||
Log-Analyse und Auswertung: Multipler Befall mit ZeroAccess, durch drive-byWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
01.03.2012, 17:28
| #1 |
| |  Multipler Befall mit ZeroAccess, durch drive-by Hallo, ich würde mich freuen wenn Ihr mir helfen könntet. Vorgeschichte: 1. Vor über 2Jahren Verdacht auf conficker, entsprechende Registryblocker(?) installiert. 2. Vor ca. 1 Jahr beim surfen einen Rootkit aufgesackt, der von Avira erkannt wurde, danach eher halbherzige Maßnahmen mit TDSS Killer, Anti-Malwarebytes, Hijackthis, und GMER durchgeführt 3. Vor 3 Tagen öffnet sich beim surfen auf einer Website plötzlich die Javakonsole, und verschiedene Aktivitäten wurden durchgeführt, kurz darauf springt Avira an und erkennt TR/Sirefef.BP.1 mit Versuchen diese zu löschen. Anti-Malwarebytes update durchgeführt. Multipler Befall mit ZeroAccess Rootkit und anderen Trojanern. Erstmal nichts gelöscht. Rechner vom Netz genommen. Zu Punkt 2. Es gibt ältere GMER Logs. Mir ist inzwischen klar, das meine Java-Version vermutlich veraltet ist und ich das System komplett neu aufsetzen muss und auch will. Ich möchte gerne mit eurer Hilfe den Rootkit soweit unter Kontrolle halten, das ich meine Daten retten und meine USB Datenträger reinigen kann. Die für diesen Post geforderten Aktionen wurden durchgeführt. Sowohl im genutzten UserLogin Bereich (Adminrechte). Als auch im Administratorbereich. Gmer stürzt im gesicherten Modus - Adminbereich immer ab, wenn das Programm versucht \HarddiskVolume3 zu lesen (haben nur C: und D: Festplatte) Achso ich habe vergessen Antivir auszuschalten beim GMER Scan. Müssen die Festplatten nun beide angehakt oder abgehakt sein beim scan? Gerade beim hochladen dieses Threads bemerkt. WLAN Verbindung aktiviert. Verbindung steht auf "Netzwerkadresse beziehen" mehrere kB Daten werden trotzdem ausgetauscht, trotzdem kann ich schon surfen. Komisch oder? user-dds Code:
ATTFilter
.
DDS (Ver_2011-08-26.01) - NTFSx86
Internet Explorer: 8.0.6001.18702 BrowserJavaVersion: 1.6.0_26
Run by *** at 18:14:23 on 2012-02-29
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.2039.1527 [GMT 1:00]
.
AV: Avira Desktop *Enabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
============== Running Processes ===============
.
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Avira\AntiVir Desktop\avshadow.exe
C:\WINDOWS\system32\svchost -k DcomLaunch
svchost.exe
C:\WINDOWS\System32\svchost.exe -k netsvcs
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
svchost.exe
svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
svchost.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe -k imgsvc
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\Elantech\ETDCtrl.exe
C:\Programme\Elantech\ETDDect.exe
C:\Programme\EeePC\ACPI\AsTray.exe
C:\WINDOWS\system32\igfxext.exe
C:\Programme\EeePC\ACPI\AsAcpiSvr.exe
C:\Programme\EeePC\ACPI\AsEPCMon.exe
C:\Programme\Vimicro\Vimicro USB PC Camera (VC0342)\VMonitor.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\*****online\Realtime\CodesServer.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Plustek\OpticFilm 7600i\QuickScan.exe
C:\Programme\ASUS\EeePC\Super Hybrid Engine\SuperHybridEngine.exe
C:\PROGRA~1\PETROS~2\Realtime\Watchman.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\iPod\bin\iPodService.exe
.
============== Pseudo HJT Report ===============
.
uStart Page = hxxp://eeepc.asus.com/global
uInternet Settings,ProxyOverride = *.local
BHO: SSVHelper Class: {761497bb-d6f0-462c-b6eb-d4daf1d92d43} - c:\programme\java\jre6\bin\ssv.dll
uRun: [CTFMON.EXE] c:\windows\system32\ctfmon.exe
mRun: [IgfxTray] c:\windows\system32\igfxtray.exe
mRun: [HotKeysCmds] c:\windows\system32\hkcmd.exe
mRun: [Persistence] c:\windows\system32\igfxpers.exe
mRun: [ETDWare] c:\programme\elantech\ETDCtrl.exe
mRun: [ETDWareDetect] c:\programme\elantech\ETDDect.exe
mRun: [AsusTray] c:\programme\eeepc\acpi\AsTray.exe
mRun: [AsusACPIServer] c:\programme\eeepc\acpi\AsAcpiSvr.exe
mRun: [AsusEPCMonitor] c:\programme\eeepc\acpi\AsEPCMon.exe
mRun: [VMonitorvmuvc] "c:\programme\vimicro\vimicro usb pc camera (vc0342)\VMonitor.exe" vmuvc
mRun: [RTHDCPL] RTHDCPL.EXE
mRun: [Alcmtr] ALCMTR.EXE
mRun: [CodesServer] c:\programme\*****online\realtime\CodesServer.exe
mRun: [AppleSyncNotifier] c:\programme\gemeinsame dateien\apple\mobile device support\AppleSyncNotifier.exe
mRun: [APSDaemon] "c:\programme\gemeinsame dateien\apple\apple application support\APSDaemon.exe"
mRun: [SunJavaUpdateSched] "c:\programme\java\jre6\bin\jusched.exe"
mRun: [QuickTime Task] "c:\programme\quicktime\QTTask.exe" -atboottime
mRun: [iTunesHelper] "c:\programme\itunes\iTunesHelper.exe"
mRun: [avgnt] "c:\programme\avira\antivir desktop\avgnt.exe" /min
dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE
StartupFolder: c:\dokume~1\alluse~1\startm~1\progra~1\autost~1\quicks~1.lnk - c:\programme\plustek\opticfilm 7600i\QuickScan.exe
StartupFolder: c:\dokume~1\alluse~1\startm~1\progra~1\autost~1\superh~1.lnk - c:\programme\asus\eeepc\super hybrid engine\SuperHybridEngine.exe
IE: add to &BOM - c:\\progra~1\\biet-o~1\\\\AddToBOM.hta
IE: Senden an &Bluetooth-Gerät... - c:\programme\widcomm\bluetooth software\btsendto_ie_ctx.htm
IE: Senden an Bluetooth - c:\programme\widcomm\bluetooth software\btsendto_ie.htm
IE: {CCA281CA-C863-46ef-9331-5C8D4460577F} - c:\programme\widcomm\bluetooth software\btsendto_ie.htm
IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\programme\messenger\msmsgs.exe
IE: {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBC} - c:\programme\java\jre6\bin\ssv.dll
LSP: mswsock.dll
DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} - hxxp://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1240910291921
DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} - hxxp://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1240910276578
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab
TCP: Interfaces\{01CA8A78-4EB4-4A02-BC8E-5359F9E0CFC3} : DhcpNameServer = 193.254.160.1 10.74.83.22
Notify: igfxcui - igfxdev.dll
SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - c:\windows\system32\WPDShServiceObj.dll
.
================= FIREFOX ===================
.
FF - ProfilePath - c:\dokumente und einstellungen\***\anwendungsdaten\mozilla\firefox\profiles\73x339nf.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de
FF - plugin: c:\programme\java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\programme\mozilla firefox\plugins\npdeployJava1.dll
.
---- FIREFOX POLICIES ----
FF - user.js: yahoo.homepage.dontask - true
============= SERVICES / DRIVERS ===============
.
R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [2011-12-27 36000]
R2 AntiVirSchedulerService;Avira Planer;c:\programme\avira\antivir desktop\sched.exe [2011-12-27 86224]
R2 AntiVirService;Avira Echtzeit Scanner;c:\programme\avira\antivir desktop\avguard.exe [2011-12-27 110032]
R2 avgntflt;avgntflt;c:\windows\system32\drivers\avgntflt.sys [2009-4-28 74640]
S2 aaaaanonficker;aaaaanonficker;c:\windows\system32\svchost.exe -k netsvcs [2008-8-11 14336]
S2 AGV;Pdlndoem;c:\windows\system32\svchost.exe -k netsvcs [2008-8-11 14336]
S2 avfilter;Psasrv;c:\windows\system32\svchost.exe -k netsvcs [2008-8-11 14336]
S2 avgarcln;Bc_ngn;c:\windows\system32\svchost.exe -k netsvcs [2008-8-11 14336]
S2 avgascln;Konfig;c:\windows\system32\svchost.exe -k netsvcs [2008-8-11 14336]
S2 avgclean;Bc_ip_f;c:\windows\system32\svchost.exe -k netsvcs [2008-8-11 14336]
S2 ccpwdsvc;Sfrem01;c:\windows\system32\svchost.exe -k netsvcs [2008-8-11 14336]
S2 CTMMOUNT;MA8032U;c:\windows\system32\svchost.exe -k netsvcs [2008-8-11 14336]
S2 fsssvc;Wltwo51b;c:\windows\system32\svchost.exe -k netsvcs [2008-8-11 14336]
S2 gpzgush;Config Image;c:\windows\system32\svchost.exe -k netsvcs [2008-8-11 14336]
S2 ikfileflt;Service;c:\windows\system32\svchost.exe -k netsvcs [2008-8-11 14336]
S2 kl1;F700iat;c:\windows\system32\svchost.exe -k netsvcs [2008-8-11 14336]
S2 LMIRfsDriver;TMBMServer;c:\windows\system32\svchost.exe -k netsvcs [2008-8-11 14336]
S2 LRMINIPORT;GTWModem;c:\windows\system32\svchost.exe -k netsvcs [2008-8-11 14336]
S2 mctaskmanager;WNCPKT;c:\windows\system32\svchost.exe -k netsvcs [2008-8-11 14336]
S2 mfeavfk;Avg7rsw;c:\windows\system32\svchost.exe -k netsvcs [2008-8-11 14336]
S2 ofcservice;WINFLASH;c:\windows\system32\svchost.exe -k netsvcs [2008-8-11 14336]
S2 pavatscheduler;Mqdmmdfl;c:\windows\system32\svchost.exe -k netsvcs [2008-8-11 14336]
S2 RAPIProtocol;Adobeactivefilemonitor5.0;c:\windows\system32\svchost.exe -k netsvcs [2008-8-11 14336]
S2 symantecantibotfilter;Giveio;c:\windows\system32\svchost.exe -k netsvcs [2008-8-11 14336]
S2 symantecantibotshim;Crystaloutputfileserver;c:\windows\system32\svchost.exe -k netsvcs [2008-8-11 14336]
S2 veteboot;Bhmonitorservice;c:\windows\system32\svchost.exe -k netsvcs [2008-8-11 14336]
S3 C6U12Scanner;1200 USB Still Image Device Service;c:\windows\system32\drivers\usbscan.sys [2009-7-21 15104]
S3 Netaapl;Apple Mobile Device Ethernet Service;c:\windows\system32\drivers\netaapl.sys [2011-6-12 18432]
S3 RT80x86;Ralink 802.11n Wireless Driver;c:\windows\system32\drivers\rt2860.sys [2008-8-13 625024]
S3 VMUVC;Vimicro Camera Service VMUVC;c:\windows\system32\drivers\VMUVC.sys [2010-5-12 251904]
S3 vvftUVC;Vimicro Camera Filter Service VMUVC;c:\windows\system32\drivers\vvftUVC.sys [2010-5-12 398720]
.
=============== Created Last 30 ================
.
2012-02-27 12:16:11 0 --sha-w- c:\windows\system32\dds_log_trash.cmd
2012-02-27 12:13:51 -------- d-sh--w- c:\dokumente und einstellungen\***\lokale einstellungen\anwendungsdaten\71121435
2012-02-20 13:08:51 626688 ----a-w- c:\programme\mozilla firefox\msvcr80.dll
2012-02-20 13:08:51 548864 ----a-w- c:\programme\mozilla firefox\msvcp80.dll
2012-02-20 13:08:51 479232 ----a-w- c:\programme\mozilla firefox\msvcm80.dll
2012-02-20 13:08:51 45016 ----a-w- c:\programme\mozilla firefox\mozutils.dll
2012-02-17 20:56:41 -------- dc-h--w- c:\windows\ie8
2012-02-14 20:55:56 3072 -c----w- c:\windows\system32\dllcache\iacenc.dll
2012-02-14 20:55:56 3072 ------w- c:\windows\system32\iacenc.dll
2012-02-12 11:52:51 -------- d-----w- c:\programme\Google SketchUp 8
.
==================== Find3M ====================
.
2012-01-12 17:20:28 1860096 ----a-w- c:\windows\system32\win32k.sys
2011-12-17 19:43:23 916992 ----a-w- c:\windows\system32\wininet.dll
2011-12-17 19:43:23 43520 ----a-w- c:\windows\system32\licmgr10.dll
2011-12-17 19:43:23 1469440 ----a-w- c:\windows\system32\inetcpl.cpl
2011-12-16 12:22:58 385024 ----a-w- c:\windows\system32\html.iec
2011-12-10 14:24:06 20464 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-02-11 13:50:54 4935680 ------w- c:\programme\SF Universal Launcher.exe
2008-05-07 14:34:00 15523560 ----a-w- c:\programme\U1 Setup.exe
.
============= FINISH: 18:15:28,73 ===============
Code:
ATTFilter
GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2012-03-01 08:16:38
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 ST9160310AS rev.0303
Running: 0w2fmuxo.exe; Driver: C:\DOKUME~1\***\LOKALE~1\Temp\pgtdqpoc.sys
---- System - GMER 1.0.15 ----
SSDT BA6B51F4 ZwClose
SSDT BA6B51FE ZwCreateSection
SSDT BA6B51A4 ZwCreateThread
SSDT BA6B51EF ZwDuplicateObject
SSDT BA6B5190 ZwOpenProcess
SSDT BA6B5195 ZwOpenThread
SSDT BA6B5217 ZwQueryValueKey
SSDT BA6B5208 ZwRequestWaitReplyPort
SSDT BA6B5203 ZwSetContextThread
SSDT BA6B520D ZwSetSecurityObject
SSDT BA6B5212 ZwSystemDebugControl
SSDT BA6B519F ZwTerminateProcess
INT 0x06 \??\C:\WINDOWS\system32\drivers\Haspnt.sys (HASP Kernel Device Driver for Windows NT/Aladdin Knowledge Systems) A94EC16D
INT 0x0E \??\C:\WINDOWS\system32\drivers\Haspnt.sys (HASP Kernel Device Driver for Windows NT/Aladdin Knowledge Systems) A94EBFC2
---- Kernel code sections - GMER 1.0.15 ----
.text ipsec.sys A8F00300 166 Bytes [90, 90, 90, 90, 90, 90, 90, ...]
.text ipsec.sys A8F003A7 144 Bytes JMP A8F020E3 \SystemRoot\system32\DRIVERS\ipsec.sys (IPSec Driver/Microsoft Corporation)
.text ipsec.sys A8F00438 30 Bytes [41, 02, 00, 00, 8B, 48, 60, ...]
.text ipsec.sys A8F00457 52 Bytes [A8, FF, 15, 04, F9, F0, A8, ...]
.text ipsec.sys A8F0048C 65 Bytes [8B, 45, F8, 8B, 38, 8B, 45, ...]
.text ...
.INIT C:\WINDOWS\system32\DRIVERS\ipsec.sys entry point in ".INIT" section [0xA8F0E678]
? C:\WINDOWS\system32\DRIVERS\ipsec.sys suspicious PE modification
.text C:\WINDOWS\system32\drivers\hardlock.sys section is writeable [0xA83CB400, 0x87EE2, 0xE8000020]
.protectÿÿÿÿhardlockentry point in ".protectÿÿÿÿhardlockentry point in ".protectÿÿÿÿhardlockentry point in ".p" section [0xA846F620] C:\WINDOWS\system32\drivers\hardlock.sys entry point in ".protectÿÿÿÿhardlockentry point in ".protectÿÿÿÿhardlockentry point in ".p" section [0xA846F620]
.protectÿÿÿÿhardlockunknown last code section [0xA846F400, 0x5126, 0xE0000020] C:\WINDOWS\system32\drivers\hardlock.sys unknown last code section [0xA846F400, 0x5126, 0xE0000020]
? C:\DOKUME~1\***\LOKALE~1\Temp\mbr.sys Das System kann die angegebene Datei nicht finden. !
---- Devices - GMER 1.0.15 ----
AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
---- Modules - GMER 1.0.15 ----
Module (noname) (*** hidden *** ) BA2E8000-BA2F7000 (61440 bytes)
---- Threads - GMER 1.0.15 ----
Thread System [4:380] 89F89540
Thread System [4:384] 89F89540
---- Registry - GMER 1.0.15 ----
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost@netsvcs aaaaanonficker?6to4?AppMgmt?AudioSrv?Browser?CryptSvc?DMServer?DHCP?ERSvc?EventSystem?FastUserSwitchingCompatibility?HidServ?Ias?Iprip?Irmon?LanmanServer?LanmanWorkstation?Messenger?Netman?Nla?Ntmssvc?NWCWorkstation?Nwsapagent?Rasauto?maxbackserviceint?Dfs?aexnsclient?ROOTUSB?EU3_USB?U81xbus?zebrceb?tomcatcws3?imap4d32?ctljystk?mcp?lvsrvlauncher?emclisrv?s3savagenb?USB11LDR?interactivelogon?noipducservice?USBCamera?JGOGO?dwmrcs?ftpqueue?https-admserv61?USB_NDIS_51?tosrfnds?issimon?dptrackerd?se58obex?pcx1nd5?veteboot?ofcservice?VirtualCam?X4HSX32?RivaTuner32?ipodsrv?vmauthdservice?rt73?LUsbFilt?ageresoftmodem?s125mdfl?wampmysqld?rt2500usb?Intels51?tbhsd?openldap-slapd?ziptoa?A88xXBar?isdrv120?cwcwdm?3combootp?orbmediaservice?monfilt?tsircsrv?c-dillasrv?vxsvc?iaimfp3?ibmsmbus?spbbcdrv?prosync1?kodakccs?amfilter?sbp2port?sbhooksvc?hprfdev?mail2ec?MegaSR?avgarcln?pdlnatdl?SRVLOC?TMBUS?de_serv?elockservice?roxwatch9?vpcnets2?tangoservice?dashsvc?ROB_A?agnwifi?sfhlp02?dklogger?RIOXDRV?w550mdm?svv?Wpsnuio?amoagent
---- Files - GMER 1.0.15 ----
File C:\WINDOWS\system32\fsaa.dll 5120 bytes executable
File C:\WINDOWS\system32\SRTSP.dll 5120 bytes executable
File C:\WINDOWS\system32\vnxservice.dll 5120 bytes executable
File C:\WINDOWS\system32\proxyhostservice.dll 5120 bytes executable
File C:\WINDOWS\system32\alim1541.dll 5120 bytes executable
File C:\WINDOWS\system32\lmimaint.dll 5120 bytes executable
File C:\WINDOWS\system32\LMIRfsClientNP.dll 5120 bytes executable
File C:\WINDOWS\system32\symantecantibotfilter.dll 5120 bytes executable
File C:\WINDOWS\system32\sysaudio.dll 5120 bytes executable
File C:\WINDOWS\$NtUninstallKB39640$\1897010229 0 bytes
File C:\WINDOWS\$NtUninstallKB39640$\1897010229\@ 2048 bytes
File C:\WINDOWS\$NtUninstallKB39640$\1897010229\L 0 bytes
File C:\WINDOWS\$NtUninstallKB39640$\1897010229\L\ytadpswn 75264 bytes
File C:\WINDOWS\$NtUninstallKB39640$\1897010229\loader.tlb 2632 bytes
File C:\WINDOWS\$NtUninstallKB39640$\1897010229\U 0 bytes
File C:\WINDOWS\$NtUninstallKB39640$\1897010229\U\@00000001 45968 bytes
File C:\WINDOWS\$NtUninstallKB39640$\1897010229\U\@000000c0 2560 bytes
File C:\WINDOWS\$NtUninstallKB39640$\1897010229\U\@000000cb 3072 bytes
File C:\WINDOWS\$NtUninstallKB39640$\1897010229\U\@000000cf 1536 bytes
File C:\WINDOWS\$NtUninstallKB39640$\1897010229\U\@80000000 73216 bytes
File C:\WINDOWS\$NtUninstallKB39640$\1897010229\U\@800000c0 43520 bytes
File C:\WINDOWS\$NtUninstallKB39640$\1897010229\U\@800000cb 25600 bytes
File C:\WINDOWS\$NtUninstallKB39640$\1897010229\U\@800000cf 31232 bytes
File C:\WINDOWS\$NtUninstallKB39640$\274459751 0 bytes
---- EOF - GMER 1.0.15 ----
Vielen Dank schonmal |
|
01.03.2012, 18:30
| #2 |
| /// Malware-holic   | Multipler Befall mit ZeroAccess, durch drive-by hi
__________________Tipparchiv - Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten - WinTotal.de autorun aus, dann sticks rein, malwarebytes updaten und komplett scan. danach machen wir uns ans daten sichern
__________________ |
|
02.03.2012, 15:27
| #3 |
| | Multipler Befall mit ZeroAccess, durch drive-by Hallo,
__________________habe Autorun deaktiviert. MBAM läuft seit 5h, dauert auch noch ein bißchen. Sollen die Dateien dann in Quarantäne oder gelöscht werden? Aktuell 1219 Funde. Es ging mir eher um meine USB Festplatten, die aber auch schon seit mind. Einer Woche nicht mehr dran hingen. Vielen Dank für deine Hilfe. |
|
03.03.2012, 19:21
| #4 |
| | Multipler Befall mit ZeroAccess, durch drive-by 1219 Objekte gefunden und mit mbam entfernt. Nach erneutem full Scan 5 infzierte Objekte. ZeroAccess bzw. 0Access. Würde gerne den Sumpf erstmal austrocknen bevor ich mit der Datensicherung beginne. Was folgt als nächstes? Brauchst du die mbam logs? TDSS oder OTL Laden? |
|
03.03.2012, 19:36
| #5 |
| /// Malware-holic | Multipler Befall mit ZeroAccess, durch drive-by und wo sind die logs...? hänge sie hier als datei(n) an formatiere die sticks doch einfach dann wirds wohl schneller gehen.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
04.03.2012, 10:13
| #6 |
| | Multipler Befall mit ZeroAccess, durch drive-by 3 MBAM Logs angehängt. Da eines davon die Maximalgröße überschreitet hab ich gleich alle zusammengezippt. |
|
04.03.2012, 16:21
| #7 |
| /// Malware-holic | Multipler Befall mit ZeroAccess, durch drive-by das sind alles funde auf c: also sticks sind io. aber wie gesagt, formatiere die sticks doch einfach dann kannst du sicher sein.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
06.03.2012, 21:20
| #8 |
| | Multipler Befall mit ZeroAccess, durch drive-by Hi, ich musste mich erstmal wieder bißchen in mein Linux einfuchsen, denke das könnte gerade gut helfen und da waren ein paar updates zu machen. Ich habe die Sticks mit Yast unter Linux formatiert, allerdings finden sich dort Partitionen, die wohl auf das U3 System zurückzuführen und für mich derzeit nicht zu löschen sind. Der Stick von Sandisk ist selbst mit dem firmeneigenen Tool unter Windows nicht von dieser /dev/sdr1 "Partition" zu reinigen. Was mich ein bißchen wundert und ich wollte es doch besonders gut machen. Ich tausche derzeit nur Daten mit den Sticks und gehe über das Linuxsystem ins Netz, der infizierte Rechner hat sowieso Probleme eine W-Lan Verbindung aufzubauen. Wie schlägst du vor die Daten vom Rechner zu retten? Ich möchte vemeiden, meine USB FEstplatten zu kontaminieren. Und ich würde das Rootkit erstmal soweit wie möglich stilllegen wollen. |
|
06.03.2012, 21:23
| #9 |
| /// Malware-holic | Multipler Befall mit ZeroAccess, durch drive-by die u3 partitionen kann man belassen und das win system muss ja eh neu gemacht werden
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
13.03.2012, 10:12
| #10 |
| | Multipler Befall mit ZeroAccess, durch drive-by So ich habe die Daten mit einem Ubuntu Live Stick nun endlich auf eine externe Festplatte geschoben. Auf der Festplatte des Eeepc waren 4 Partitionen, eine Windowsp., eine Datenpartition, eine versteckte Partition (vermutlich Eeepc Recovery, 7GB) und Partition mit unbekanntem Dateisystem ca. 38MB groß. Wie gehe ich am besten vor? Recovery benutzen? die versteckte Partition erstmal checken? Die 4. überbügeln? Danke für Hinweise Markus. |
|
13.03.2012, 10:25
| #11 |
| /// Malware-holic | Multipler Befall mit ZeroAccess, durch drive-by ist die 38 mb partition versteckt?
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
13.03.2012, 10:52
| #12 |
| | Multipler Befall mit ZeroAccess, durch drive-by Nein, die ist nicht als versteckt gekennzeichnet nur als "Partitionierung unbekannt oder nicht nicht lesbar". Sie sieht eigentlich so aus, als obs ein Rest von der Partitionierung der Windows und Datenplatte ist, wobei 38MB da ziemlich viel ist. |
|
13.03.2012, 12:31
| #13 |
| /// Malware-holic | Multipler Befall mit ZeroAccess, durch drive-by die vierte kannst ja auf jeden fall mal löschen bzw formatieren. wie man die recovery nutzt weist du?
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
13.03.2012, 14:07
| #14 |
| | Multipler Befall mit ZeroAccess, durch drive-by Nicht genau. Beim booten F9 Taste drücken und dann mal schauen was passiert. Ich weiß noch nicht genau, wie ich das mit den Partitionen mache. Windows Services Packs bräuchte ich auch noch? Der derzeitige Plan ist, mit gparted C: zu löschen und mit der 4. Partition zusammenzuführen. Ich weiß aber nicht genau, wie das Windows Recovery reagiert und ob da nochmal formatiert wird. Bin mir auch mit der Datenplatte unsicher, gleich mit formatieren oder lassen? Sollte eigentlich ein Bootpasswort vergeben werden? |
|
13.03.2012, 14:11
| #15 |
| /// Malware-holic | Multipler Befall mit ZeroAccess, durch drive-by die partitionen kannst du alle formatieren, also c und daten. naja, zusammenführen musst du sie nciht, die paar mb. bootpasswort, musst du wissen ob du eines willst. ja, entweder f9 f10 f11 oder alt+f10 da solltest du auf werkszustand gehen können und danach den pc absichern. als antimalware programm würde ich emsisoft empfehlen. diese haben für mich den besten schutz kostet aber etwas. http://www.trojaner-board.de/103809-...i-malware.html testversion: Meine Antivirus-Empfehlung: Emsisoft Anti-Malware insbesondere wenn du onlinebanking, einkäufe, sonstige zahlungsabwicklungen oder ähnlich wichtiges, wie zb berufliches machst, also sensible daten zu schützen sind, solltest du in sicherheitssoftware investieren. vor dem aktivieren der lizenz die 30 tage testzeitraum ausnutzen. kostenlos, aber eben nicht ganz so gut wäre avast zu empfehlen. http://www.trojaner-board.de/110895-...antivirus.html sag mir welches du nutzt, dann gebe ich konfigurationshinweise. bitte dein bisheriges av deinstalieren die folgende anleitung ist umfangreich, dass ist mir klar, sie sollte aber umgesetzt werden, da nur dann dein pc sicher ist. stelle so viele fragen wie nötig, ich arbeite gern alles mit dir durch! http://www.trojaner-board.de/96344-a...-rechners.html Starte bitte mit der Passage, Windows Vista und Windows 7 Bitte beginne damit, Windows Updates zu instalieren. Am besten geht dies, wenn du über Start, Suchen gehst, und dort Windows Updates eingibst. Prüfe unter "Einstellungen ändern" dass folgendes ausgewählt ist: - Updates automatisch Instalieren, - Täglich - Uhrzeit wählen - Bitte den gesammten rest anhaken, außer: - detailierte benachichtungen anzeigen, wenn neue Microsoft software verfügbar ist. Klicke jetzt die Schaltfläche "OK" Klicke jetzt "nach Updates suchen". Bitte instaliere zunächst wichtige Updates. Es wird nötig sein, den PC zwischendurch neu zu starten. falls dies der Fall ist, musst du erneut über Start, Suchen, Windows Update aufrufen, auf Updates suchen klicken und die nächsten instalieren. Mache das selbe bitte mit den optionalen Updates. Bitte übernimm den rest so, wie es im Abschnitt windows 7 / Vista zu lesen ist. aus dem Abschnitt xp, bitte den punkt "datenausführungsverhinderung, dep" übernehmen. als browser rate ich dir zu chrome: Installation von Google Chrome für mehrere Nutzerkonten - Google Chrome-Hilfe anleitung lesen bitte falls du nen andern nutzen willst, sags mir dann muss ich teile der nun folgenden anleitung Sandboxie Die devinition einer Sandbox ist hier nachzulesen: Sandbox Kurz gesagt, man kann Programme fast 100 %ig isuliert vom System ausführen. Der Vorteil liegt klar auf der Hand, wenn über den Browser Schadcode eingeschläust wird, kann dieser nicht nach außen dringen. Download Link: http://www.trojaner-board.de/71542-a...sandboxie.html ausführliche anleitung als pdf, auch abarbeiten: Sandbox Einstellungen | bitte folgende zusatz konfiguration machen: sandboxie control öffnen, menü sandbox anklicken, defauldbox wählen. dort klicke auf sandbox einstellungen. beschrenkungen, bei programm start und internet zugriff schreibe: chrome.exe dann gehe auf anwendungen, webbrowser, chrome. dort aktiviere alles außer gesammten profil ordner freigeben. Wie du evtl. schon gesehen hast, kannst du einige Funktionen nicht nutzen. Dies ist nur in der Vollversion nötig, zu deren Kauf ich dir rate. Du kannst zb unter "Erzwungene Programmstarts" festlegen, dass alle Browser in der Sandbox starten. Ansonsten musst du immer auf "Sandboxed webbrowser" klicken bzw Rechtsklick, in Sandboxie starten. Eine lebenslange Lizenz kostet 30 €, und ist auf allen deinen PC's nutzbar. Weiter mit: Maßnahmen für ALLE Windows-Versionen alles komplett durcharbeiten anmerkung zu file hippo. in den settings zusätzlich auswählen: Run updateChecker when Windows starts Backup Programm: in meiner Anleitung ist bereits ein Backup Programm verlinkt, als Alternative bietet sich auch das Windows eigene Backup Programm an: Windows 7 Systemabbild erstellen (Backup) Dies ist aber leider nur für Windows 7 Nutzer vernünftig nutzbar. Alle Anderen sollten sich aber auf jeden fall auch ein Backup Programm instalieren, denn dies kann unter Umständen sehr wichtig sein, zum Beispiel, wenn die Festplatte einmal kaputt ist. Zum Schluss, die allgemeinen sicherheitstipps beachten, wenn es dich betrifft, den Tipp zum Onlinebanking beachten und alle Passwörter ändern bitte auch lesen, wie mache ich programme für alle sichtbar: Programme für alle Konten nutzbar machen - PCtipp.ch - Praxis & Hilfe surfe jetzt also nur noch im standard nutzer konto und dort in der sandbox. wenn du die kostenlose version nutzt, dann mit klick auf sandboxed web browser, wenn du die bezahlversion hast, kannst du erzwungene programm starts festlegen, dann wird Sandboxie immer gestartet wenn du nen browser aufrufst. wenn du mit der maus über den browser fährst sollte der eingerahmt sein, dann bist du im sandboxed web browser
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
| Themen zu Multipler Befall mit ZeroAccess, durch drive-by |
| antivir, daten retten, desktop, device driver, eeepc, einstellungen, festplatte, fileserver, hijack, hijackthis, java-version, javakonsole, lanmanworkstation, maßnahme, mozilla, neu aufsetzen, programm, rootkit, senden, sketchup, software, super, svchost, system, tr/sirefef.bp.1, windows, windows xp, wlan verbindung |
Linear-Darstellung
