Hi ihr,

ich hab mir vor kurzem wohl irgendwo ein Virus eingefangen :/ Dass etwas nicht stimmt, ist mir erstmalig aufgefallen, als Google Chrome bei jeder https-Seite eine Warnung einblendete (siehe zertifikat.png im Anhang).
Da ich eigentlich ein Freund von Neuinstallationen bin, dachte ich, damit wird das Thema wohl vom Tisch sein. Leider kamen noch weitere Symptome hinzu, die mir das Neuinstallieren jetzt fast unmöglich machen.

Zum einen werde ich über abstruse Seiten geleitet, wenn ich auf Ergebnisse der Google-Suche klicke (silverbell.com, weblint.org, businesslistingssearch.biz, ...) und lande dann schließlich bei ebay, oder wieder auf google oder oder oder.

Zum anderen tauchen im Arbeitsplatz keine USB-Sticks mehr auf, wenn ich diese einstecke. Das ist auch der Grund, weshalb ich nicht neuinstallieren kann - ein CD-Laufwerk hab ich nicht :/


CD/DVD-Emus wurden mit DeFogger deaktiviert, OTL und MBAM-Logs sind im Anhang. Ich hoffe ihr könnt mir weiterhelfen :-$

Vielen Lieben Dank
lg

Hallo und Herzlich Willkommen!

Habe leider schlechte Nachricht für Dich:

Zitat:

win32.ZAccess

- handelt es sich um ein schwer behandelbaren Problem
Da würde ich an Deiner Stelle das System gleich neu installieren, da die Bekämpfung diese neue Art der Infektion ohne div. Nebenwirkungen und hinterlassenen Schaden, die immer wieder [auf verschiedene Weise] Probleme bereiten können, ist nicht möglich!
- einen Backdoor mit Rootkitfunktionalität

diese Malware verwendet Rootkit-Technologie und Backdoor-Routine
*was sind Backdoors und Rootkits*

Verhaltensweise:
"speicherresident"

Zitat:

Erklärung:
Speicherresident nennt man Programme oder Programmteile, deren Daten während des Rechnerbetriebs nicht routinemässig auf Datenträger wie die Festplatte geschrieben und bei Bedarf wieder in den Arbeitsspeicher eingelesen werden, sondern die ganze Zeit im Arbeitsspeicher verbleiben.
Dazu gehören im Allgemeinen die für den Rechnerbetrieb zentralen und häufig durchgeführten Teile des Betriebsystems oder beim Programmablauf eines Anwendungsprogrammes ständig wiederkehrende Programmroutinen.
Einerseits verkürzen speicherresidente Programme die Zugriffszeiten, weil die für das Einlesen der Daten vom Datenträger in den Arbeitsspeicher benötigte Zeit entfällt. Andererseits verringern sie die verfügbare Kapazität des Arbeitsspeichers.
Speicherresident sind auch viele Viren, die dafür sorgen, dass das Betriebssytem sie die ganze Zeit im Arbeitsspeicher hält, von wo aus sie andere Programme infizieren können.

Tipps & Rat:

➊
Datensicherung:
[U]ermöglicht es Nutzern, Daten sichern wenn gar nix mehr geht: -> http://www.trojaner-board.de/75619-a...x-live-cd.html
*Was ist KNOPPIX*
Knoppix extrem schnell (das Live-System startet in rund 30 Sekunden) und ist überaus stabil, besonders User die mit Linux keine Erfahrung haben tun sich mit Knoppix um einiges leichter da es äußerst einfach zu bedienen ist, alle Einstellungen werden automatisch erkannt und vorgenommen - Knoppix läuft ohne Probleme mit aktueller Hardware - und hat alle notwendigen Programme zur Datenrettung installiert, weiters ist es nicht so spartanisch aufgebaut wie etwa andere Rettungssysteme - so eignet sich Knoppix ohne weiteres um Linux und viel Linux-Software kennen zu lernen ohne Installation auf Festplatte. Ebenso bringt Knoppix viele Treiber standardmäßig mit.

► NUR Daten sichern, die nicht ausführbaren Dateien enthalten - Dateiendungen - Dies ist eine Liste von Dateiendungen, die Dateien mit ausführbarem Code bezeichnen können.
- Vorsicht mit den schon vorhandenen Dateien auf die extern gespeicherten Daten und auch jetzt mit dem Virus infizierte Dateien eine Datensicherung anzufertigen
- Am besten alles was dir sehr wichtig, separat (extern) sichern - nicht mischen eventuell früher geschicherten Daten, also vor dem Befall!
- Eventuell gecrackte Software nicht sichern und dann auf neu aufgesetztem System wieder drauf installieren!

- Vor zurückspielen - bevor du mit deinem PC direkt ins Netz gehst...:
- die Autoplay-Funktion für alle Laufwerke deaktivieren/ausschalten -> Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten

Die auf eine externe Festplatte gesicherten Daten, gründlich zu scannen von einem suaberen System aus, am besten mit mehreren Scannern-> Kostenlose Online Scanner - Anleitung
Absolut empfehlenswerter Scanner:

Zitat:

Eset Online Scanner (NOD32)
Panda-Aktivscan
Symantec Security Check

Die Online-Scanner sind alle reine On-Demand-Scanner. Sie durchsuchen einzelne Dateien oder Verzeichnisse, wahlweise die gesamte Festplatte, haben keinen Hintergrundwächter oder andere residente Prozesse. Dadurch verbrauchen sie ausser Festplattenspeicher keine Resourcen und man kann beliebig viele gleichzeitig installieren. Die Online-Scanner sind gut geeignet um sich eine zweite Meinung einzuholen.

➋
-> Anleitung: Neuaufsetzen des Systems + Absicherung
-> Anleitung zum Neuaufsetzen - Windows XP, Vista und Win7

➌
Ich würde Dir vorsichtshalber raten, dein Passwort zu ändern
z.B. Login-, Mail- oder Website-Passwörter
Tipps:
Die sichere Passwort-Wahl - (sollte man eigentlich regelmäßigen Abständen ca. alle 3-5 Monate ändern)
auch noch hier unter: Sicheres Kennwort (Password)

Hi Kira,

vielen Dank für deine Antwort..dann hab ich jetzt wenigstens Gewisseheit darf ich fragen an was du das festgemacht hast? (ich würde mich als durchaus fortgeschrittener Anwender bezeichnen..also keine Rücksicht auf Fachchargon den ich nich verstehen könnte ;D)

Ich meld mich wieder, wenn ich neuinstalliert hab..hoffentlich dann ohne win32.ZAccess

Gruß

Zitat:

Zitat von mike-larry

darf ich fragen an was du das festgemacht hast?

nun einige Beispiele:

Code: Alles auswählenAufklappen

ATTFilter

Infizierte Dateien: 1
C:\Windows\Installer\{593f0ea7-65ec-3009-42cd-87c76f5f17bf}\U\00000008.@ (Trojan.Dropper.BCMiner) -> Keine Aktion durchgeführt.
         

Code: Alles auswählenAufklappen

ATTFilter

O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000001 - mmswsock.dll File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000002 - mmswsock.dll File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000003 - mmswsock.dll File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000004 - mmswsock.dll File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000005 - mmswsock.dll File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000006 - mmswsock.dll File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000007 - mmswsock.dll File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000008 - mmswsock.dll File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000009 - mmswsock.dll File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000010 - mmswsock.dll File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000011 - mmswsock.dll File not found
O10 - NameSpace_Catalog5\Catalog_Entries\000000000008 [] - C:\Program Files (x86)\Bonjour\mdnsNSP.dll (Apple Inc.)
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\Program Files (x86)\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\Program Files (x86)\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - C:\Program Files (x86)\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000004 - C:\Program Files (x86)\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000005 - C:\Program Files (x86)\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000006 - C:\Program Files (x86)\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000007 - C:\Program Files (x86)\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000008 - C:\Program Files (x86)\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000009 - C:\Program Files (x86)\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000010 - C:\Program Files (x86)\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000011 - C:\Program Files (x86)\Bonjour\mdnsNSP.dll File not found
         

Code: Alles auswählenAufklappen

ATTFilter

[2012.07.05 14:50:36 | 000,232,960 | ---- | C] () -- C:\Windows\Installer\{593f0ea7-65ec-3009-42cd-87c76f5f17bf}\U\00000008.@
[2012.07.05 01:04:45 | 000,094,208 | ---- | C] () -- C:\Windows\Installer\{593f0ea7-65ec-3009-42cd-87c76f5f17bf}\U\80000032.@
[2012.07.05 01:04:45 | 000,080,896 | ---- | C] () -- C:\Windows\Installer\{593f0ea7-65ec-3009-42cd-87c76f5f17bf}\U\80000064.@
[2012.07.05 01:04:45 | 000,000,804 | ---- | C] () -- C:\Windows\Installer\{593f0ea7-65ec-3009-42cd-87c76f5f17bf}\L\00000004.@
[2012.07.05 01:04:44 | 000,016,896 | ---- | C] () -- C:\Windows\Installer\{593f0ea7-65ec-3009-42cd-87c76f5f17bf}\U\80000000.@
[2012.07.05 01:04:43 | 000,002,048 | ---- | C] () -- C:\Windows\Installer\{593f0ea7-65ec-3009-42cd-87c76f5f17bf}\U\00000004.@
[2012.07.05 01:04:43 | 000,001,632 | ---- | C] () -- C:\Windows\Installer\{593f0ea7-65ec-3009-42cd-87c76f5f17bf}\U\000000cb.@
         

Zitat:

Zitat von mike-larry

(ich würde mich als durchaus fortgeschrittener Anwender bezeichnen..

das würd ich nur ganz leise sagen, denn:

Zitat:

64bit- Ultimate Edition (Version = 6.1.7600) - Type = NTWorkstation

nemlich eben erfahrene User wissen: das Betriebsystem und alle installierten Programme regelmäßig aktualisieren müssen! Du bist eben ohne das Servicepack 1 noch immer unterwegs! Am 22. Februar 2011 veröffentlicht Microsoft das Service Pack 1 für Windows 7

Zitat:

Zitat von mike-larry

Ich meld mich wieder, wenn ich neuinstalliert hab..

das würd ich Dir nur wärmsten empfehlen!

nur so mal nebenbei erwähnt:
besteht den Verdacht, dass es sich hier bei einem Produkt um illegale Software handelt, zwar MS Office gecrakt?:

Zitat:

C:\Windows\tasks\AutoKMS.job

Einen durch Keygen [Key Generator/Keymaker] verseuchten PC und eventuell gespeicherte externe Daten auf SB Sticks, ext.Platte etc,, sollte formatiert und neu aufgesetzt werden, weil ja durch gecrackte oder mit Viren verseuchte Software wie auch immer, ein Angreifer erfolgreich in dein System eingedrungen ist:-> *Technische Kompromittierung*
Denn die angebotenen Programme und Dateien enthalten jede erdenkliche Art von Malware/Schadprogramm wie z.B. Backdoors, Rootkits etc, die dann den PC unter Kontrolle nehmen und die Administratorrolle übernehmen können