Habe das obige Trojaner-Problem, d.h. alle Dateien/Programme versteckt, Bildschirm schwarz, nur Internet geht, ständige Popups (System Message - Write Fault Error).
Bisherige Versuche:
1) Habe wie Google vorschlug, versucht, Clonezilla runterzuladen, um erstmal alles zu sichern - habe aber nach Download nicht mal Clonezilla öffnen bzw. starten können.

2) Habe Trojan-Killer (Gridin Soft) gedownloaded und gestartet - Programm fand 10 infizierte Dateien, wollte sie aber nicht ohne Erwerb einer Lizenz löschen

3) Habe mehrere Anti-Malware-Programme auf externe CDs gebrannt, dann PC im abgesicherten Modus gestartet, in diesem konnte ich aber diese Programme nicht öffnen oder "booten" (weiss nicht, wie man das macht - draufklicken brachte jedenfalls nichts), zumal immer ein Programm gesucht wurde und Internet im abgesicherten Modus nicht geht

4) Malwarebytes Anti-Malware Full Scan ausgeführt - fand 8 infizierte Stellen. Hab leider KEINE log-Datei gespeichert und nur auf Entfernen gedrückt. Danach Neustart - aber Problem weiterhin vorhanden.

5) Trojaner-Board-Anweisungen gelesen und nochmal Malwarebytes Anti-Malware Full Scan ausgeführt mit dem Ziel, die Log-Datei zu speichern. Diesmal wurden nur 2 infizierte Dateien gefunden und auf Entfernen gedrückt. Log-Datei gespeichert (siehe unten).

Malwarebytes Anti-Malware (Test) 1.65.1.1000
www.malwarebytes.org

Datenbank Version: v2012.11.07.04

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
lenovo :: LENOVO-PC [Administrator]

Schutz: Aktiviert

07.11.2012 13:39:33
mbam-log-2012-11-07 (14-36-49).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|Q:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 344598
Laufzeit: 56 Minute(n), 55 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyComputer (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowSearch (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Keine Aktion durchgeführt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

WAS KANN/MUSS ICH NUN TUN?? VIELEN DANK FÜR EURE HILFE!!!

hi
öffne malwarebytes, berichte, poste alle weiteren berichte mit funden

Ok,
also unter Logdateien sind 6 Stück (siehe im Folgenden). Ansonsten sind 12 in Quarantäne, kann da aber nichts rauskopieren und hier reinposten. Daher nur die Log-Dateien:

1)
2012/11/07 13:39:02 +0100 LENOVO-PC lenovo MESSAGE Starting protection
2012/11/07 13:39:02 +0100 LENOVO-PC lenovo MESSAGE Protection started successfully
2012/11/07 13:39:02 +0100 LENOVO-PC lenovo MESSAGE Starting IP protection
2012/11/07 13:39:03 +0100 LENOVO-PC lenovo MESSAGE IP Protection started successfully
2012/11/07 13:39:14 +0100 LENOVO-PC lenovo MESSAGE Starting database refresh
2012/11/07 13:39:14 +0100 LENOVO-PC lenovo MESSAGE Stopping IP protection
2012/11/07 13:39:14 +0100 LENOVO-PC lenovo MESSAGE IP Protection stopped successfully
2012/11/07 13:39:16 +0100 LENOVO-PC lenovo MESSAGE Database refreshed successfully
2012/11/07 13:39:16 +0100 LENOVO-PC lenovo MESSAGE Starting IP protection
2012/11/07 13:39:17 +0100 LENOVO-PC lenovo MESSAGE IP Protection started successfully
2012/11/07 15:26:09 +0100 LENOVO-PC lenovo IP-BLOCK 93.174.88.224 (Type: outgoing, Port: 49165, Process: 3ubvbztimcpwhk.exe)
2012/11/07 15:26:09 +0100 LENOVO-PC lenovo IP-BLOCK 217.23.7.44 (Type: outgoing, Port: 49166, Process: 3ubvbztimcpwhk.exe)
2012/11/07 15:26:09 +0100 LENOVO-PC lenovo IP-BLOCK 93.115.241.227 (Type: outgoing, Port: 49167, Process: 3ubvbztimcpwhk.exe)
2012/11/07 15:26:09 +0100 LENOVO-PC lenovo IP-BLOCK 93.174.88.224 (Type: outgoing, Port: 49168, Process: 3ubvbztimcpwhk.exe)
2012/11/07 15:26:09 +0100 LENOVO-PC lenovo IP-BLOCK 31.184.192.85 (Type: outgoing, Port: 49170, Process: 3ubvbztimcpwhk.exe)
2012/11/07 15:29:39 +0100 LENOVO-PC (null) MESSAGE Executing scheduled update: Daily
2012/11/07 15:29:45 +0100 LENOVO-PC (null) MESSAGE Scheduled update executed successfully: database updated from version v2012.11.07.04 to version v2012.11.07.05
2012/11/07 15:29:55 +0100 LENOVO-PC lenovo MESSAGE Starting protection
2012/11/07 15:29:55 +0100 LENOVO-PC lenovo MESSAGE Protection started successfully
2012/11/07 15:29:55 +0100 LENOVO-PC lenovo MESSAGE Starting IP protection
2012/11/07 15:29:56 +0100 LENOVO-PC lenovo MESSAGE IP Protection started successfully
2012/11/07 15:29:56 +0100 LENOVO-PC lenovo MESSAGE Starting database refresh
2012/11/07 15:29:56 +0100 LENOVO-PC lenovo MESSAGE Stopping IP protection
2012/11/07 15:29:56 +0100 LENOVO-PC lenovo MESSAGE IP Protection stopped successfully
2012/11/07 15:29:58 +0100 LENOVO-PC lenovo MESSAGE Database refreshed successfully
2012/11/07 15:29:58 +0100 LENOVO-PC lenovo MESSAGE Starting IP protection
2012/11/07 15:29:59 +0100 LENOVO-PC lenovo MESSAGE IP Protection started successfully

2)
Malwarebytes Anti-Malware (Test) 1.65.1.1000
www.malwarebytes.org

Datenbank Version: v2012.11.07.04

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
lenovo :: LENOVO-PC [Administrator]

Schutz: Aktiviert

07.11.2012 15:23:09
mbam-log-2012-11-07 (15-23-09).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 35504
Laufzeit: 2 Minute(n), 18 Sekunde(n) [Abgebrochen]

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)


3)
Malwarebytes Anti-Malware (Test) 1.65.1.1000
www.malwarebytes.org

Datenbank Version: v2012.11.07.04

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
lenovo :: LENOVO-PC [Administrator]

Schutz: Aktiviert

07.11.2012 14:38:13
mbam-log-2012-11-07 (14-38-13).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|Q:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 344840
Laufzeit: 38 Minute(n), 51 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyComputer (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowSearch (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

4)
Malwarebytes Anti-Malware (Test) 1.65.1.1000
www.malwarebytes.org

Datenbank Version: v2012.11.07.04

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
lenovo :: LENOVO-PC [Administrator]

Schutz: Aktiviert

07.11.2012 13:39:33
mbam-log-2012-11-07 (13-39-33).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|Q:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 344598
Laufzeit: 56 Minute(n), 55 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyComputer (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowSearch (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

5)
Malwarebytes Anti-Malware 1.65.1.1000
www.malwarebytes.org

Datenbank Version: v2012.11.07.01

Windows 7 Service Pack 1 x64 NTFS (Abgesichertenmodus)
Internet Explorer 9.0.8112.16421
lenovo :: LENOVO-PC [Administrator]

07.11.2012 12:40:26
mbam-log-2012-11-07 (12-40-26).txt

Art des Suchlaufs: Benutzerdefinierter Suchlauf (F:\|)
Aktivierte Suchlaufeinstellungen: Dateisystem | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Heuristiks/Extra | P2P
Durchsuchte Objekte: 2825
Laufzeit: 1 Minute(n), 27 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

6)
Malwarebytes Anti-Malware 1.65.1.1000
www.malwarebytes.org

Datenbank Version: v2012.11.07.01

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
lenovo :: LENOVO-PC [Administrator]

07.11.2012 07:10:22
mbam-log-2012-11-07 (07-10-22).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|Q:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 345710
Laufzeit: 51 Minute(n), 59 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|cokolxunquju (Trojan.Agent) -> Daten: C:\Users\lenovo\cokolxunquju.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyComputer (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowSearch (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 5
C:\Users\lenovo\cokolxunquju.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\$Recycle.Bin\S-1-5-21-4045567339-2068033203-409430256-1001\$ce1a9189b8ba603b4d9366814fc55f91\n (Trojan.0Access) -> Löschen bei Neustart.
C:\$Recycle.Bin\S-1-5-21-4045567339-2068033203-409430256-1001\$ce1a9189b8ba603b4d9366814fc55f91\U\00000001.@ (Trojan.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\$Recycle.Bin\S-1-5-21-4045567339-2068033203-409430256-1001\$ce1a9189b8ba603b4d9366814fc55f91\U\80000000.@ (Trojan.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\$Recycle.Bin\S-1-5-21-4045567339-2068033203-409430256-1001\$ce1a9189b8ba603b4d9366814fc55f91\U\800000cb.@ (Trojan.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

nutzt du den pc für onlinebanking, zum einkaufen, für sonstige zahlungsabwicklungen oder ähnlich wichtigem, wie beruflichem?

ja, genau dafür!! und was heißt das?

gerade gestern erst habe ich sehr viele überweisungen online getätigt, bevor das problem auftauchte...

hi
bank sofort anrufen, notfall nummer da sie zu hatt:
116 116
onlinebanking wegen zero access rootkit sperren lassen.
bitte konto auszüge regelmäßig kontrolieren, ist zwar sowieso immer ratsam, nu aber um so mehr, da evtl. die überweisung manipuliert wurde.
da man diese malware nicht garantiert entfernen kann, somit reste übrig bleiben können, die dir in zukunft probleme machen, zb beim banking ist folgenes zu tun:
der pc muss neu aufgesetzt und dann abgesichert werden
1. Datenrettung:

• deaktiviere Autorun: http://www.trojaner-board.de/83238-a...sschalten.html
• dann sichere Daten auf nen externen datenträger: http://www.trojaner-board.de/82533-d...ted-magic.html
  Bilder, Dokumente, Musik Videos (persönliches) http://www.trojaner-board.de/71715-k...iendungen.html

2. Formatieren, Windows neu instalieren:

• nutzt du eine Windows CD: http://www.trojaner-board.de/51262-a...sicherung.html
• recovery cd oder recovery partition.
• falls dies ein fertig pc ist, nenne hersteller + typ.
• Keine Windows 7 DVD? http://www.trojaner-board.de/100776-...-download.html

3. PC absichern: http://www.trojaner-board.de/96344-a...-rechners.html
ich werde außerdem noch weitere punkte dazu posten.
4. alle Passwörter ändern!
5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen.
6. werde ich dann noch was zum absichern von Onlinebanking mit Chip Card Reader + Star Money sagen.

hallo markus,

erstmal vielen Dank für deinen langen post. Ich werde mich jetzt an deine Links ranmachen und hoffe, dass ich als Laie nicht gleich an den ersten Instruktionen scheitern werde, da alles immer insidermäßig und kryptisch ausgedrückt ist.... ok, I'll try now und melde mich gleich wieder...

wenns probleme gibt, durchatmen und nicht verrückt machen lassen, frage hier, und wir werden sicher ne lösung finden

na, ich bin aber schon am verzweifeln... online banking ist gesperrt, aber allein schon beim systemsteuerung aufmachen scheiterts. ich habe doch nur noch den Internet-Explorer, den ich aufmachen kann. Alles andere ist doch unsichtbar. wie soll ich also den autorun deaktivieren, wenn ich nicht mehr über den windows-button in die systemsteuerung komme?

p.s. oder gibt es ein nicht allzu teures programm, was ich nur downloaden muss und einen klick drauf machen muss, damit das problem behoben wird... ich habe nämlich das leise gefühl, das wir das über fernanleitung, die sich leider nicht 1:1 übertragen bzw. ausführen laesst, mit mir als laien, der keinen schritt allein weiss, möglicherweise nie hinkriegen :-(((( ?

hi
du sollst ja sowieso das linux system im idial fall von einem zweiten pc aus erstellen und das infizierte gerät dann von der cd die du erstellt hast, booten,
das linux system ist ein eigenständiges betriebssystem, da ist dann alles sichtbar
wenn das nicht möglich ist, nutzt du unhide:
lade unhide:
http://filepony.de/download-unhide/
doppelklicken, dateien werden sichtbar
dann solltest du erst mal wieder alles sehen

ich bin über die suchfunktion in sowas wie systemeinstellungen gekommen (geräteinstallation oder so), da gibt es sowas wie ob treibersoftware und realistische symbole automatisch installiert werden sollen, das könnte ich ausschalten, aber ich weiss nicht, ob es was mit dem deaktivieren von autorun zu tun hat. ich habe übrigens windows 7 home premium....

ne, wo das zu finden ist, steht ja in dem artikel
lies bite außerdem meinen letzten post

...von einem 2. pc und linux stand doch nichts da - ich kann leider wirklich nur 1:1 machen, was du mir als experte sagst und weiss leider keine schritte gedanklich voraus oder automatisch.
daher versuch ich es jetzt mal mit dem link für unhide. (ich hab zwar einen 2. laptop, weiss aber nicht, was ein linux-bs ist, und wo ich das herkriege und das booten von cd aus, habe ich gestern schon 8 stunden mit antimalware-programmen versucht und das ging nicht. es ging nur booten im abgesicherten modus und wenn ich dann die cds aufgerufen habe, ging gar nichts auf).

also, versuche ich jetzt mit unhide.... bis gleich....

wo du linux herbekommst steht unter dem geposteten link
http://www.trojaner-board.de/82533-d...ted-magic.html
den ich auf seite 1 gepostet hab.

hallo markus,
nach stundenlangen bemühungen habe ich nun das system von der xubuntu-cd gebootet (einige der instruktionen/screenshots des notfall-live-systems waren anders als auf meinem pc, daher musste ich ewig rumprobieren, um doch noch zu der xubuntu-cd zu kommen. das hash-tab konnte ich aber nicht nutzen zum auszählen, weil nirgendwo stand, wie ich das programm nach dem runterladen nutzen kann. mit doppelklick tat sich nichts, da sieht man nur die unterdateien.)

jetzt hab ich den lila bildschirm mit den Icons: persönliches, dateisystem, trash, lenovo, 701 GB filesystem, 210 MB files. Aber was muss/soll ich jetzt damit anfangen. Das steht leider nicht in den Instruktionen - da sind nur die Icons erklärt. ansonsten fehlt mir auch noch die info, was ich mit deinem link zu kritischen dateiendungen machen soll. da stehen die dateiendungen und deren eigenschaften erklärt, aber nicht, was ich jetzt konkret machen soll :-(((. Ich hoffe, du kannst mir ab dieser stelle weiterhelfen, damit ich nicht an diesem zwischenschritt nach so viel gemeinsamer arbeit aufgeben muss.... viele nächtliche grüße sandita