| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: abnow.com bzw. ZeroAccess trotz Entfernung vermutlich noch auf PCWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
03.04.2012, 17:12
| #1 |
| |  abnow.com bzw. ZeroAccess trotz Entfernung vermutlich noch auf PC Hallo zusammen, letzte Woche hat mein PC, den ich ausschließlich beruflich nutze (kein Online-Banking, o. ä.) Bekanntschaft mit dem ominösen abnow-Virus/Trojaner gemacht. Mein McAffee hatte ihn nicht entdeckt. Ich habe diesen Virus/Trojaner dann durch Malware Bytes entfernen lassen. Unser EDV-Spezialist im Hause hat dann noch zusätzlich Kaspersky von CD gebootet und den Rechner durchforstet (ist wohl fündig geworden). Er hat dann McAffee durch Sphos ausgetauscht und mitgeteilt, dass ich nun virenfrei sei. Ich habe dann eingeworfen, dass eine komplette Neuinstallation wohl besser sei, doch er war davon überzeugt, dass ich das Ding los bin. Ich bin aber skeptisch, denn ich habe weiterhin das Problem, dass sich, wie kurz nach Einschleichen des Virus, Windows Firewall, etc. nicht aktivieren lassen. Ich vermute also, dass der Virus bzw. Trojaner weiterhin versteckt aktiv ist und bitte Euch daher um Eure Hilfe. Im Folgenden poste ich meine Log-Files: Code:
ATTFilter .
DDS (Ver_2011-08-26.01) - NTFSx86
Internet Explorer: 8.0.6001.19190 BrowserJavaVersion: 1.6.0_21
Run by Hans Mustermann at 17:22:53 on 2012-04-03
.
============== Running Processes ===============
.
C:\Windows\system32\wininit.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\SLsvc.exe
C:\Program Files\Sophos\Sophos Anti-Virus\SavService.exe
C:\Windows\System32\spoolsv.exe
C:\Program Files\Sophos\Sophos Anti-Virus\SAVAdminService.exe
C:\Program Files\Sophos\AutoUpdate\ALsvc.exe
C:\Program Files\Sophos\Sophos Anti-Virus\Web Intelligence\swi_service.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\WUDFHost.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
C:\Windows\System32\igfxtray.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\SmarThru Office\BackUpSvr.exe
C:\Program Files\SmarThru Office\LegacyLauncher.exe
C:\Program Files\Sophos\AutoUpdate\ALMon.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Windows\system32\igfxsrvc.exe
C:\Windows\System32\mobsync.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Mozilla Firefox\plugin-container.exe
C:\Program Files\Common Files\Java\Java Update\jucheck.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\system32\DllHost.exe
C:\Windows\system32\DllHost.exe
C:\Users\Hans Mustermann\Downloads\dds.com
C:\Windows\system32\svchost.exe -k DcomLaunch
C:\Windows\system32\svchost.exe -k rpcss
C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted
C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted
C:\Windows\system32\svchost.exe -k netsvcs
C:\Windows\system32\svchost.exe -k GPSvcGroup
C:\Windows\system32\svchost.exe -k LocalService
C:\Windows\system32\svchost.exe -k NetworkService
C:\Windows\System32\svchost.exe -k LocalServiceNoNetwork
C:\Windows\system32\svchost.exe -k imgsvc
C:\Windows\System32\svchost.exe -k WerSvcGroup
C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation
.
============== Pseudo HJT Report ===============
.
BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\program files\common files\adobe\acrobat\activex\AcroIEHelperShim.dll
BHO: Spybot-S&D IE Protection: {53707962-6f74-2d53-2644-206d7942484f} - c:\program files\spybot - search & destroy\SDHelper.dll
BHO: Asz.Citavi.IEPicker.IEPickerButton: {609d670f-b735-4da7-ac6d-f3bd358e325e} - c:\windows\system32\mscoree.dll
BHO: Groove GFS Browser Helper: {72853161-30c5-4d22-b7f9-0bbc1d38a37e} - c:\program files\microsoft office\office12\GrooveShellExtensions.dll
BHO: Office Document Cache Handler: {b4f3a835-0e21-4959-ba22-42b3008e02ff} - c:\progra~1\micros~1\office14\URLREDIR.DLL
BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\program files\java\jre6\bin\jp2ssv.dll
uRun: [SpybotSD TeaTimer] c:\program files\spybot - search & destroy\TeaTimer.exe
mRun: [RtHDVCpl] c:\program files\realtek\audio\hda\RtHDVCpl.exe
mRun: [IgfxTray] c:\windows\system32\igfxtray.exe
mRun: [HotKeysCmds] c:\windows\system32\hkcmd.exe
mRun: [Persistence] c:\windows\system32\igfxpers.exe
mRun: [SunJavaUpdateSched] "c:\program files\common files\java\java update\jusched.exe"
mRun: [QuickTime Task] "c:\program files\quicktime\QTTask.exe" -atboottime
mRun: [STO Backup Service] c:\program files\smarthru office\BackUpSvr.exe
mRun: [STO Launcher Service] c:\program files\smarthru office\LegacyLauncher.exe /run
mRun: [Sophos AutoUpdate Monitor] c:\program files\sophos\autoupdate\almon.exe
mRun: [GrooveMonitor] "c:\program files\microsoft office\office12\GrooveMonitor.exe"
mPolicies-explorer: BindDirectlyToPropertySetStorage = 0 (0x0)
mPolicies-system: EnableUIADesktopToggle = 0 (0x0)
IE: &Citavi Picker... - file://c:\program files\internet explorer\plugins\citavi picker\ShowContextMenu.html
IE: Als HTML speichern - c:\program files\smarthru office\WebCapture.dll1.htm
IE: An OneNote s&enden - c:\progra~1\micros~1\office14\ONBttnIE.dll/105
IE: Auswahl erfassen - c:\program files\smarthru office\WebCapture.dll2.htm
IE: Free YouTube Download - c:\users\hans mustermann\appdata\roaming\dvdvideosoftiehelpers\freeyoutubedownload.htm
IE: Markierten Text speichern - c:\program files\smarthru office\WebCapture.dll.htm
IE: Nach Microsoft E&xcel exportieren - c:\progra~1\micros~1\office14\EXCEL.EXE/3000
IE: Nach Microsoft E&xel exportieren - c:\progra~1\micros~1\office12\EXCEL.EXE/3000
IE: Web Capture - c:\program files\smarthru office\WebCapture.dll
IE: {2670000A-7350-4f3c-8081-5663EE0C6C49} - {48E73304-E1D6-4330-914C-F5F514E3486C} - c:\progra~1\micros~1\office12\ONBttnIE.dll
IE: {619D670F-B735-4da7-AC6D-F3BD358E325E} - {609D670F-B735-4da7-AC6D-F3BD358E325E} - c:\windows\system32\mscoree.dll
IE: {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - {FFFDC614-B694-4AE6-AB38-5D6374584B52} - c:\program files\microsoft office\office14\ONBttnIELinkedNotes.dll
IE: {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - {53707962-6F74-2D53-2644-206D7942484F} - c:\program files\spybot - search & destroy\SDHelper.dll
LSP: mswsock.dll
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab
TCP: Interfaces\{01BC2343-2B24-4585-B9E3-8ED7773BDD8D} : NameServer = 131.220.16.220,131.220.14.203
Handler: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - c:\program files\microsoft office\office12\GrooveSystemServices.dll
Notify: igfxcui - igfxdev.dll
AppInit_DLLs: c:\progra~1\sophos\sophos~1\SOPHOS~1.DLL
SEH: Groove GFS Stub Execution Hook: {b5a7f190-dda6-4420-b3ba-52453494e6cd} - c:\program files\microsoft office\office12\GrooveShellExtensions.dll
.
================= FIREFOX ===================
.
FF - ProfilePath - c:\users\Hans Mustermann\appdata\roaming\mozilla\firefox\profiles\z6ncdzd3.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de
FF - component: c:\programdata\swiss academic software\citavi picker\firefox\components\CitaviPickerNative.dll
FF - plugin: c:\progra~1\micros~1\office14\NPAUTHZ.DLL
FF - plugin: c:\progra~1\micros~1\office14\NPSPWRAP.DLL
FF - plugin: c:\program files\adobe\reader 9.0\reader\air\nppdf32.dll
FF - plugin: c:\program files\java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\program files\mozilla firefox\plugins\npdeployJava1.dll
.
============= SERVICES / DRIVERS ===============
.
R? clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86
R? osppsvc;Office Software Protection Platform
R? SBSDWSCService;SBSD Security Center Service
R? sdcfilter;sdcfilter
R? SophosBootDriver;SophosBootDriver
R? swi_update;Sophos Web Intelligence Update
R? WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0
R? WSDPrintDevice;WSD-Druckuntersttzung durch UMB
S? FontCache;Windows-Dienst fr Schriftartencache
S? SAVAdminService;Sophos Anti-Virus Statusreporter
S? SAVOnAccess;SAVOnAccess
S? SAVService;Sophos Anti-Virus
S? SKMScan;SKMScan
S? Sophos AutoUpdate Service;Sophos AutoUpdate Service
S? swi_service;Sophos Web Intelligence Service
.
=============== Created Last 30 ================
.
2012-04-03 15:00:17 -------- d-----w- C:\TDSSKiller_Quarantine
2012-03-29 13:11:09 -------- d-----w- c:\users\hans mustermann\appdata\local\Sophos
2012-03-29 13:03:03 33696 ----a-w- c:\windows\system32\drivers\sdcfilter.sys
2012-03-29 13:03:03 131824 ----a-w- c:\windows\system32\sdccoinstaller.dll
2012-03-29 13:01:35 30744 ----a-w- c:\windows\system32\SophosBootTasks.exe
2012-03-29 13:01:24 -------- d-----w- c:\programdata\Sophos
2012-03-29 13:01:24 -------- d-----w- c:\program files\Sophos
2012-03-29 13:00:40 22536 ----a-w- c:\windows\system32\drivers\SophosBootDriver.sys
2012-03-29 13:00:39 31736 ----a-w- c:\windows\system32\drivers\skmscan.sys
2012-03-29 13:00:39 123680 ----a-w- c:\windows\system32\drivers\savonaccess.sys
2012-03-29 13:00:36 -------- d-----w- C:\savw_100_sa
2012-03-27 13:16:27 -------- d-----w- c:\programdata\Spybot - Search & Destroy
2012-03-27 13:16:27 -------- d-----w- c:\program files\Spybot - Search & Destroy
2012-03-26 12:27:45 -------- d-----w- c:\programdata\Kaspersky Lab
2012-03-26 11:56:04 -------- d-----w- c:\users\hans mustermann\appdata\roaming\Malwarebytes
2012-03-26 11:55:54 -------- d-----w- c:\programdata\Malwarebytes
2012-03-26 11:19:02 -------- d-----w- C:\QUARANTINE
2012-03-26 11:07:11 -------- d-----w- c:\windows\Plagiarism Detector
2012-03-26 10:02:39 -------- d-sh--w- c:\windows\system32\%APPDATA%
2012-03-26 09:59:14 0 --sha-w- c:\windows\system32\dds_log_ad13.cmd
2012-03-26 09:58:22 -------- d-sh--w- c:\users\hans mustermann\appdata\local\98a4ebd3
2012-03-26 09:54:01 -------- d-----w- c:\users\hans mustermann\appdata\roaming\PlagiarismFinder
2012-03-26 09:54:01 -------- d-----w- c:\programdata\PlagiarismFinder
2012-03-26 09:53:58 870615 ----a-w- c:\windows\PlagiarismFinder 2.1 Uninstaller.exe
2012-03-26 09:53:57 -------- d-----w- c:\program files\PlagiarismFinder 2.1
2012-03-26 08:49:52 592824 ----a-w- c:\program files\mozilla firefox\gkmedias.dll
2012-03-26 08:49:52 44472 ----a-w- c:\program files\mozilla firefox\mozglue.dll
2012-03-26 08:04:19 6582328 ----a-w- c:\programdata\microsoft\windows defender\definition updates\{ebce6957-d20d-4f22-80ca-6a8d90456de5}\mpengine.dll
2012-03-19 08:58:25 2044416 ----a-w- c:\windows\system32\win32k.sys
2012-03-19 08:58:23 683008 ----a-w- c:\windows\system32\d2d1.dll
2012-03-19 08:58:23 219648 ----a-w- c:\windows\system32\d3d10_1core.dll
2012-03-19 08:58:23 160768 ----a-w- c:\windows\system32\d3d10_1.dll
2012-03-19 08:58:23 1172480 ----a-w- c:\windows\system32\d3d10warp.dll
2012-03-19 08:58:23 1068544 ----a-w- c:\windows\system32\DWrite.dll
2012-03-19 08:57:45 613376 ----a-w- c:\windows\system32\rdpencom.dll
2012-03-19 08:57:45 180736 ----a-w- c:\windows\system32\drivers\rdpwd.sys
2012-03-19 08:57:34 2409784 ----a-w- c:\program files\windows mail\OESpamFilter.dat
.
==================== Find3M ====================
.
2012-03-26 09:59:40 414368 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2012-02-23 07:18:36 237072 ------w- c:\windows\system32\MpSigStub.exe
.
============= FINISH: 17:23:36,60 ===============
Beste Grüße PaulPanzer |
|
04.04.2012, 13:59
| #2 | |
| /// Winkelfunktion /// TB-Süch-Tiger™   |  abnow.com bzw. ZeroAccess trotz Entfernung vermutlich noch auf PCZitat:
 Alles von Malwarebytes (und evtl. anderen Scannern) muss hier gepostet werden. Bitte alles nach Möglichkeit hier in CODE-Tags posten. Wird so gemacht: [code] hier steht das Log [/code] Und das ganze sieht dann so aus: Code:
ATTFilter hier steht das Log
__________________ |
|
05.04.2012, 14:41
| #3 |
| | abnow.com bzw. ZeroAccess trotz Entfernung vermutlich noch auf PC Hallo Cosinus,
__________________vielen Dank für Deine schnelle Antwort. Ich bin leider erst am Dienstag wieder im Büro und kann auch erst dann die Malwarebytes-Logs posten. Frohe Ostern |
|
| Themen zu abnow.com bzw. ZeroAccess trotz Entfernung vermutlich noch auf PC |
| adobe, defender, document, e-banking, entfernen, explorer, firefox, firewall, free, helper, hook, kaspersky, link, malware, malware bytes, microsoft, mozilla, pdf, plug-in, problem, realtek, security, software, sophos, svchost.exe, system, system32, windows, windows firewall |
Linear-Darstellung
