Hallo Hilfsgemeinde,

bevor ich doch neu aufsetze, möchte ich versuchen mit Eurer Hilfe obige Malware von Rechner zu entfernen.

Gefunden in:

C:\WINDOWS\Installer\{3428a829-16db-8782-36c9-4a3b8e978d7f}\u\80000000.@

Datei wurde in Quarantäne verschoben (immer 2 mal)

Erstmalig wurde die Malware bei einem Besuch über Google auf einer Seite mit Sprüchen zur Goldenen Hochzeit gefunden.
Zunächst wurde Avira und die Windows Firewall geprüft. Zugriff auf FW war nicht möglich, da Dienst nicht aktiv. Rechner vom Netz genommen.
FW mit Hilfe Anleitung von Microsoft wieder aktiviert.
Kompletten Scan sowohl im normal als auch im absicherten Modus durchgeführt, auch Spybot und AdAware durchlaufen lassen.

Über Google dieses Board gefunden und die OTL Logs und speziellen Tipps gelesen.

Auffällig ist, das die Malware erst bei Anbindung an das INet von Avira gefunden wird.

Versucht die Datei über DOS zu löschen. Im Directory u ein Del *.* durchgeführt und anschließend wurde auch nicht mehr angezeigt, aber nach reboot wieder da.

Die von Euch gewünschten Programme auf den Desktop geladen und ausgeführt.

Meinen Namen in Logs editiert, dabei selbst die Logs gelesen.

Demnach befindet sich der Fehler in C:\WINDOWS\System32\svchost.exe und C:\WINDOWS\Explorer.EXE

Dort habe ich aber nichts Verdächtiges gefunden.

Logs sind angehängt.

Danke für Eure Hilfe.

JuJuK

Habe leider schlechte Nachricht für Dich, da hast Du Dir ein grausliches Tierchen eingefangen:

Zitat:

win32.ZAccess

Das System sollte sofort vom Internet getrennt und dringend neu installiert werden (alle anderen Optionen sind Unsinn!), da die Bekämpfung diese Art der Infektion ohne div. Nebenwirkungen und hinterlassenen Schaden, die immer wieder [auf verschiedene Weise] Probleme bereiten können, ist nicht möglich!

- einen Backdoor mit Rootkitfunktionalität

diese Malware verwendet Rootkit-Technologie und Backdoor-Routine
*was sind Backdoors und Rootkits*

Verhaltensweise:
"speicherresident"

Tipps & Rat:

➊
Datensicherung:
► NUR Daten sichern, die nicht ausführbaren Dateien enthalten - Dateiendungen - Dies ist eine Liste von Dateiendungen, die Dateien mit ausführbarem Code bezeichnen können.
- Vorsicht mit den schon vorhandenen Dateien auf die extern gespeicherten Daten und auch jetzt mit dem Virus infizierte Dateien eine Datensicherung anzufertigen
- Am besten alles was dir sehr wichtig, separat (extern) sichern - nicht mischen eventuell früher geschicherten Daten, also vor dem Befall!
- Eventuell gecrackte Software nicht sichern und dann auf neu aufgesetztem System wieder drauf installieren!


➋
-> Anleitung: Neuaufsetzen des Systems + Absicherung
-> Anleitung zum Neuaufsetzen - Windows XP, Vista und Win7

➌
- Vor zurückspielen - bevor du mit deinem PC direkt ins Netz gehst...:
- die Autoplay-Funktion für alle Laufwerke deaktivieren/ausschalten -> Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten

Die auf eine externe Festplatte gesicherten Daten, gründlich zu scannen von einem suaberen System aus, am besten mit mehreren Scannern-> Kostenlose Online Scanner - Anleitung
Absolut empfehlenswerter Scanner:

Zitat:

Eset Online Scanner (NOD32)
Panda-Aktivscan
Symantec Security Check

Die Online-Scanner sind alle reine On-Demand-Scanner. Sie durchsuchen einzelne Dateien oder Verzeichnisse, wahlweise die gesamte Festplatte, haben keinen Hintergrundwächter oder andere residente Prozesse. Dadurch verbrauchen sie ausser Festplattenspeicher keine Resourcen und man kann beliebig viele gleichzeitig installieren. Die Online-Scanner sind gut geeignet um sich eine zweite Meinung einzuholen.

➍
Ich würde Dir vorsichtshalber raten, dein Passwort zu ändern
z.B. Login-, Mail- oder Website-Passwörter
Tipps:
Die sichere Passwort-Wahl - (sollte man eigentlich regelmäßigen Abständen ca. alle 3-5 Monate ändern)
auch noch hier unter: Sicheres Kennwort (Password)

gruß
kira

Hallo Kira,
danke für die ausführliche Anleitung.

Das neu Aufsetzen versuche ich mir zunächst noch einmal zu sparen. Ich habe versucht mit drei verschiedenen Rescue CDs dem Fehler Herr zu werden.

Ich bin der Meinung, dass die Kaspersky Rescue CD die entsprechende Datei gefunden und eliminiert hat.

Bevor ich wieder ans Netz gegangen bin habe ich noch TuneUp 2012 über das System laufen lassen, der auch einen Registryeintrag zu dieser jetzt nicht mehr existierenden Datei gefunden und gelöscht hat.

Das mit dem Passwort ist ein gut gemeinter Rat der von vielen Mitlesern auch unbedingt befolgt werden sollte.

Nochmal vielen Dank.

Gruß
JuJuK

Zitat:

Zitat von jujuk

Das neu Aufsetzen versuche ich mir zunächst noch einmal zu sparen.

was ist daran so schlimm?
Davon kannst du nur profitieren, denn:
- wird die Festplatte 100%ig frei von Viren oder sonstiger Malware
- Surfen im Web ohne ständig dieses mulmige Gefühl im Bauch zu spüren, das dein Computer jemand "ausspioniert"
- Ausmisten schadet nie!
- Du kannst danach gleich von einem sauberen Windows, ohne Viren ein Image erstellen.
PC neu aufsetzen kann nur ein paar Stunden dauern und die Festplatte 100%ig frei von Viren oder sonstiger Malware.
Ich bin fest davon überzeugt, das ist die schnellste und sauberste Lösung was gibt

Zitat:

Zitat von jujuk

Ich habe versucht mit drei verschiedenen Rescue CDs dem Fehler Herr zu werden.
Ich bin der Meinung, dass die Kaspersky Rescue CD die entsprechende Datei gefunden und eliminiert hat.
TuneUp 2012 über das System laufen lassen

Bist du dir da ganz sicher, dass dies völlig ausreichend sind?!

um Nummer sicher zu gehen:

1.
Lade Dir Malwarebytes Anti-Malware Lade Dir Malwarebytes Anti-Malware → von hier herunter

• Installieren und per Doppelklick starten.
• Deutsch einstellen und gleich mal die Datenbanken zu aktualisieren - online updaten
• "Komplett Scan durchführen" wählen (überall Haken setzen)
• wenn der Scanvorgang beendet ist, klicke auf "Zeige Resultate"
• Alle Funde - falls MBAM meldet in C:\System Volume Information - den Haken bitte entfernen - markieren und auf "Löschen" - "Ausgewähltes entfernen") klicken.
• Poste das Ergebnis hier in den Thread - den Bericht findest Du unter "Scan-Berichte"

eine bebilderte Anleitung findest Du hier: Anleitung

2.
Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles in Code-Tags hier in den Thread.

3.
Um festzustellen, ob veraltete oder schädliche Software unter Programme installiert sind, ich würde gerne noch all deine installierten Programme sehen:

• Download den CCleaner herunter
  
• Software-Lizenzvereinbarung lesen, falls irgendeine Toolbar angeboten wird, bitte abwählen!-> starten -> Falls nötig, auf "Deutsch" einstellen.
• starten-> klick auf `Extras` (um auf deinem System installierte Software zu anzeigen)-> dann auf `Als Textdatei speichern...`
• ein Textdatei wird automatisch erstellt, poste auch dieses Logfile (also die Liste alle installierten Programme...eine Textdatei)

Zitat:

Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du (also am Anfang des Logfiles):[code]
hier kommt dein Logfile rein - z.B OTL-Logfile o. sonstiges
→ dahinter - also am Ende der Logdatei: [/code]