ZeroAccess Rootkit und AbNow Google Weiterleitung

naranja

Hallo Leute,

gestern habe ich mir unliebsamerweise ein paar sehr böse Sachen eingefangen. Plötzlich schlug mein Symantec an und fand im Sekundentakt einen neuen Trojaner, dann habe ich das schnell in die Quarantäne schieben lassen, alles beendet und neu gestartet. Danach kam beim Start immer die Fehlermeldung der Art:

Ordnungszahl 1109 nicht gefunden... Probleme mit WSOCK32.dll..

und Symantec wurde blockiert, das habe ich zwar wieder hinbekommen aber der Plagegeist ist nicht weg.
Habe alles mögliche versucht (Bitdefender Remove Tool, Malwarebytes Anti Malware, abgesichterter Modus, fixmbr und später auch wieder Symantec Scan etc.). Es wurden immer Sachen gefunden und auch entfernt, aber beim Neustart war's dann wieder da. Es scheint mir also als ob nur teilweise Symptome entfernt wurden.

Diese waren:
- Das Blockieren von Symantec und offensichtliche Probleme mit obiger dll
- ca. 5-6 merkwürdige andere Dateien (mit mitunter "kryptischen" Namen) die Infektionen anzeigten
- Googlesuche-Weiterleitung auf abnow.com

Hier einige Auszüge EINES gestern kreierten Reports, die ich mir aufschrieb:

Infizierte Speichermodule:
C:\Windows\System32\elaunidr.dll (Rootkit.0Access)

Infizierte Reg-Schlüssel:
HKCU\SOFTWARE\Microsofr\Windows NT\CurrentVersion\Winlogon|Shell (Backdoor.Agent)

Infizierte Dateien:
C:\Windows\System32\elaunidr.dll (Rootkit.0Access)
C:\Users\J\AppData\Local\d6d22960\X (Rootkit.0Access)
C:\Users\J\AppData\Local\d6d22960\U\000000cb.@ (Trojan.Agent)
C:\Users\J\AppData\Local\d6d22960\U\000000cf.@ (Trojan.Agent)
C:\programdata\symantec\...\apq5c5.tml (Trojan.Agent)
C:\Users\J\AppData\Local\Temp\{E9C1E1AC-...GANZ VIEL KRYPTIK...}.tlb (Rootkit.Zeroaccess)
C:\Users\M\AppData\Local\Temp\{E9C1E1AC-...GANZ VIEL KRYPTIK...}.tlb (Rootkit.Zeroaccess)
C:\Windows\ServiceProfiles\LocalService\AppData\Local\Temp\{E9C1E1AC-...GANZ VIEL KRYPTIK...}.tlb (Rootkit.Zeroaccess)
C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Temp\{E9C1E1AC-...GANZ VIEL KRYPTIK...}.tlb (Rootkit.Zeroaccess)
C:\Windows\Temp\{E9C1E1AC-...GANZ VIEL KRYPTIK...}.tlb (Rootkit.Zeroaccess)

Habe auch gestern schon ne ganze Menge ergooglet und auch hier gesucht aber habe jetzt immer noch einige Fragen:

1. Ich werden den betroffenen PC neu aufsetzen, reicht es nur die C: Partition platt zu machen, da da nur die Plagegeister gefunden oder lieber die ganze Platte? Was kann ich sonst machen.. à la fixmbr etc?

1b. Wie kann ich sicher sein, dass Daten die ich jetzt rette nicht verseucht sind? Ich habe zwar vor ner Woche noch recht viel gesichert, aber nicht alles.

2. Ich habe den PC recht schnell vom Internet genommen aber nicht direkt, da ich das Ausmaß der Verseuchung nicht so erkannt hatte und erst noch nach ein paar Lösungen gesucht habe. Was ist mit meinen Daten? Ich mache OnlineBanking etc auf dem PC aber diesbzgl. speichere ich (also zumindest nicht bewusst) iwelche Daten. E-Mail Passwörter usw waren einige gespeichert, die ändere ich derzeit (von nem anderen Rechner natürlich ;-))

3. Während der Infizierung waren noch zwei weitere Rechner im Netz (mitunter auch dieser hier). Die zeigen aber bisher weder Symptome, noch schlägt das BitDefender Tool, der Antimalware oder Symantec Vollscann irgendwo an. Muss ich mir auch hier bzw. beim Router sorgen machen? W-Lan PW auch ändern? Ich mein, ich kann ja jetzt nich auf gut Glück 3 Rechner neu aufsetzen.

Vielen Dank für eure Hilfe!