Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: ZeroAccess Rootkit und AbNow Google Weiterleitung

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 03.03.2012, 08:31   #1
naranja
 
ZeroAccess Rootkit und AbNow Google Weiterleitung - Standard

ZeroAccess Rootkit und AbNow Google Weiterleitung



Hallo Leute,

gestern habe ich mir unliebsamerweise ein paar sehr böse Sachen eingefangen. Plötzlich schlug mein Symantec an und fand im Sekundentakt einen neuen Trojaner, dann habe ich das schnell in die Quarantäne schieben lassen, alles beendet und neu gestartet. Danach kam beim Start immer die Fehlermeldung der Art:

Ordnungszahl 1109 nicht gefunden... Probleme mit WSOCK32.dll..

und Symantec wurde blockiert, das habe ich zwar wieder hinbekommen aber der Plagegeist ist nicht weg.
Habe alles mögliche versucht (Bitdefender Remove Tool, Malwarebytes Anti Malware, abgesichterter Modus, fixmbr und später auch wieder Symantec Scan etc.). Es wurden immer Sachen gefunden und auch entfernt, aber beim Neustart war's dann wieder da. Es scheint mir also als ob nur teilweise Symptome entfernt wurden.

Diese waren:
- Das Blockieren von Symantec und offensichtliche Probleme mit obiger dll
- ca. 5-6 merkwürdige andere Dateien (mit mitunter "kryptischen" Namen) die Infektionen anzeigten
- Googlesuche-Weiterleitung auf abnow.com

Hier einige Auszüge EINES gestern kreierten Reports, die ich mir aufschrieb:

Infizierte Speichermodule:
C:\Windows\System32\elaunidr.dll (Rootkit.0Access)

Infizierte Reg-Schlüssel:
HKCU\SOFTWARE\Microsofr\Windows NT\CurrentVersion\Winlogon|Shell (Backdoor.Agent)

Infizierte Dateien:
C:\Windows\System32\elaunidr.dll (Rootkit.0Access)
C:\Users\J\AppData\Local\d6d22960\X (Rootkit.0Access)
C:\Users\J\AppData\Local\d6d22960\U\000000cb.@ (Trojan.Agent)
C:\Users\J\AppData\Local\d6d22960\U\000000cf.@ (Trojan.Agent)
C:\programdata\symantec\...\apq5c5.tml (Trojan.Agent)
C:\Users\J\AppData\Local\Temp\{E9C1E1AC-...GANZ VIEL KRYPTIK...}.tlb (Rootkit.Zeroaccess)
C:\Users\M\AppData\Local\Temp\{E9C1E1AC-...GANZ VIEL KRYPTIK...}.tlb (Rootkit.Zeroaccess)
C:\Windows\ServiceProfiles\LocalService\AppData\Local\Temp\{E9C1E1AC-...GANZ VIEL KRYPTIK...}.tlb (Rootkit.Zeroaccess)
C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Temp\{E9C1E1AC-...GANZ VIEL KRYPTIK...}.tlb (Rootkit.Zeroaccess)
C:\Windows\Temp\{E9C1E1AC-...GANZ VIEL KRYPTIK...}.tlb (Rootkit.Zeroaccess)

Habe auch gestern schon ne ganze Menge ergooglet und auch hier gesucht aber habe jetzt immer noch einige Fragen:

1. Ich werden den betroffenen PC neu aufsetzen, reicht es nur die C: Partition platt zu machen, da da nur die Plagegeister gefunden oder lieber die ganze Platte? Was kann ich sonst machen.. à la fixmbr etc?

1b. Wie kann ich sicher sein, dass Daten die ich jetzt rette nicht verseucht sind? Ich habe zwar vor ner Woche noch recht viel gesichert, aber nicht alles.

2. Ich habe den PC recht schnell vom Internet genommen aber nicht direkt, da ich das Ausmaß der Verseuchung nicht so erkannt hatte und erst noch nach ein paar Lösungen gesucht habe. Was ist mit meinen Daten? Ich mache OnlineBanking etc auf dem PC aber diesbzgl. speichere ich (also zumindest nicht bewusst) iwelche Daten. E-Mail Passwörter usw waren einige gespeichert, die ändere ich derzeit (von nem anderen Rechner natürlich ;-))

3. Während der Infizierung waren noch zwei weitere Rechner im Netz (mitunter auch dieser hier). Die zeigen aber bisher weder Symptome, noch schlägt das BitDefender Tool, der Antimalware oder Symantec Vollscann irgendwo an. Muss ich mir auch hier bzw. beim Router sorgen machen? W-Lan PW auch ändern? Ich mein, ich kann ja jetzt nich auf gut Glück 3 Rechner neu aufsetzen.

Vielen Dank für eure Hilfe!

Geändert von naranja (03.03.2012 um 09:05 Uhr)

Alt 03.03.2012, 11:43   #2
markusg
/// Malware-holic
 
ZeroAccess Rootkit und AbNow Google Weiterleitung - Standard

ZeroAccess Rootkit und AbNow Google Weiterleitung



hi,
nutzt du den pc für onlinebanking, einkäufe, sonstige zahlungsabwicklungen, oder ähnlich wichtiges, wie berufliches?
__________________

__________________

Alt 03.03.2012, 12:13   #3
naranja
 
ZeroAccess Rootkit und AbNow Google Weiterleitung - Standard

ZeroAccess Rootkit und AbNow Google Weiterleitung



beruflich nicht, aber sonst ja, habe ich gemacht, aber nicht zum Zeitpunkt der Infektion direkt.
__________________

Alt 03.03.2012, 14:22   #4
markusg
/// Malware-holic
 
ZeroAccess Rootkit und AbNow Google Weiterleitung - Standard

ZeroAccess Rootkit und AbNow Google Weiterleitung



hi, bitte rufe dein e bank an, lasse das onlinebanking sperren, notfallnummer:
116 116
begründung:
zero access rootkit.
der pc muss neu aufgesetzt und dann abgesichert werden
1. Datenrettung:2. Formatieren, Windows neuinstallieren:3. PC absichern: http://www.trojaner-board.de/96344-a...-rechners.html
4. alle Passwörter ändern!
5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen.
6. werde ich dann noch was zum absichern von Onlinebanking mit Chip Card Reader + Star Money sagen.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 03.03.2012, 15:07   #5
naranja
 
ZeroAccess Rootkit und AbNow Google Weiterleitung - Standard

ZeroAccess Rootkit und AbNow Google Weiterleitung



Hallo,

vielen Dank für deine schnelle Hilfe. Passwörter usw habe ich eben an einem gaanz anderen PC geändert. ;-) Nur noch einige Fragen habe ich:

1. Wieso AutoRun deaktivieren? Das ist doch nur für eingelegte /angeschlossene Datenträger... Kann sich der Virus dann nicht dorthin hinüberkopieren?

2. Nein, ist ein selbst gebauter PC und das kriege ich ich hin, werde allerdings die Partition erstmal plattmachen. Nach deiner Aussage schließe ich auch daraus, dass ich alle Partitionen platt machen soll? Habe egtl extra nur eine für Windows, damit man bei fehlerhaftem OS nur dieses entfernen kann und nicht die Daten rumschieben muss.

3. inwiefern den pc absichern?

4. Wie kann das online banking eigentlich betroffen sein, wenn ich ganz sicher bin, dass ich weder während noch nach der Infizierung etwas damit unternommen habe?


Alt 03.03.2012, 15:48   #6
markusg
/// Malware-holic
 
ZeroAccess Rootkit und AbNow Google Weiterleitung - Standard

ZeroAccess Rootkit und AbNow Google Weiterleitung



1. Wieso AutoRun deaktivieren? Das ist doch nur für eingelegte /angeschlossene Datenträger... Kann sich der Virus dann nicht dorthin hinüberkopieren?
ne, wenn autorun deaktiviert ist, eben nicht mehr, dass ist ja sinn und zweck der übung, denn dann kannst du deine daten sichern :-)
2. ja, ein neu erstellen aller partitionen wäre das sicherste.
3. inwiefern den pc absichern?
dazu kommen wir dann, wenn du soweit bist.
4. Wie kann das online banking eigentlich betroffen sein, wenn ich ganz sicher bin, dass ich weder während noch nach der Infizierung etwas damit unternommen
habe?
nur weil symantec gestern angeschlagen hatt, heißt es nicht, dass der infektionszeitraum gestern war.
norton hat leider so seine liebe mühe mit diesem rootkit typen.
__________________
--> ZeroAccess Rootkit und AbNow Google Weiterleitung

Antwort

Themen zu ZeroAccess Rootkit und AbNow Google Weiterleitung
abnow, abnow google weiterleitung, antimalware, aufsetzen, bitdefender, blockiert, browser hijacker, defender, ebanking, fehlermeldung, frage, google, internet, malwarebytes, neu aufsetzen, neustart, plagegeister, probleme, rootkit, rootkit.0access, rootkit.zeroaccess, router, sekunden, trojaner, w-lan, weiterleitung, zero rootkit, ändern




Ähnliche Themen: ZeroAccess Rootkit und AbNow Google Weiterleitung


  1. ZeroAccess rootkit - mistviech
    Plagegeister aller Art und deren Bekämpfung - 14.08.2013 (21)
  2. ZeroAccess - E Wind64 [Rootkit]
    Plagegeister aller Art und deren Bekämpfung - 07.08.2012 (0)
  3. Rootkit.Zeroaccess
    Plagegeister aller Art und deren Bekämpfung - 22.06.2012 (35)
  4. abnow.com bzw. ZeroAccess trotz Entfernung vermutlich noch auf PC
    Plagegeister aller Art und deren Bekämpfung - 05.04.2012 (2)
  5. abnow-Weiterleitung und Gema Trojaner -> Katastrophe
    Plagegeister aller Art und deren Bekämpfung - 02.04.2012 (11)
  6. Auf Windows Vista: GEMA-Virus will 50 Euro + abnow.com - Weiterleitung bei google
    Log-Analyse und Auswertung - 28.03.2012 (3)
  7. Befall ZeroAccess/abnow-Umleitung
    Log-Analyse und Auswertung - 19.03.2012 (12)
  8. abnow - Weiterleitung von google.. Virus?
    Plagegeister aller Art und deren Bekämpfung - 17.03.2012 (53)
  9. Google- "abnow"- Weiterleitung
    Plagegeister aller Art und deren Bekämpfung - 16.03.2012 (12)
  10. "abnow" Weiterleitung bei Google
    Log-Analyse und Auswertung - 15.03.2012 (13)
  11. abnow.com-Weiterleitung verhindert Internetzugang
    Plagegeister aller Art und deren Bekämpfung - 13.03.2012 (20)
  12. Weiterleitung zu abnow.com
    Plagegeister aller Art und deren Bekämpfung - 12.03.2012 (1)
  13. Abnow.com-Weiterleitung von Google und Yahoo-Links - Massiver Virenfund auf Avira
    Log-Analyse und Auswertung - 08.03.2012 (20)
  14. (2x) Weiterleitung nach abnow.com -PC noch sicher ??
    Mülltonne - 05.03.2012 (5)
  15. Abnow.com Weiterleitung von Suchanfragen
    Plagegeister aller Art und deren Bekämpfung - 01.03.2012 (1)
  16. Abnow Rootkit (zum Teil wohl entfernt)
    Plagegeister aller Art und deren Bekämpfung - 25.02.2012 (9)
  17. Rootkit ZeroAccess ???
    Plagegeister aller Art und deren Bekämpfung - 14.10.2011 (8)

Zum Thema ZeroAccess Rootkit und AbNow Google Weiterleitung - Hallo Leute, gestern habe ich mir unliebsamerweise ein paar sehr böse Sachen eingefangen. Plötzlich schlug mein Symantec an und fand im Sekundentakt einen neuen Trojaner, dann habe ich das schnell - ZeroAccess Rootkit und AbNow Google Weiterleitung...
Archiv
Du betrachtest: ZeroAccess Rootkit und AbNow Google Weiterleitung auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.