Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Befall ZeroAccess/abnow-Umleitung (https://www.trojaner-board.de/111290-befall-zeroaccess-abnow-umleitung.html)

georg2012 11.03.2012 22:58
Befall ZeroAccess/abnow-Umleitung
 
Liebe Experten!
Leider kämpfe ich mit dem Befall durch ZeroAccess, vielleicht aber auch durch weitere Malware. Das machte sich jüngst nach einigen automatischen bzw. manuellen (Windows-)Updates bemerkbar (Zusammenhang?). In jedem Fall lässt sich die McAfee- und die Windows-Firewall nicht mehr aktivieren. Zudem wird bei Eingabe unter Google auf die abnow-Seiten weitergeleitet.
Das Freeware Bitdefender Tool ZeroAccess Removal meldete heute auch einen Fund. Nach Scan und Neustart ließ sich die Firewall aber immer noch nicht aktivieren.

Die in euren Regeln geforderte Überprüfung des Systems habe ich noch nicht durchgeführt, weil ich es vermeiden will, lange mit dem Gerät online zu sein (habe zuvor damit online eingekauft & banking & wichtige berufliche Unterlagen sind noch drauf, Datensicherung ist noch nicht erfolgt). Diese Zeilen schreibe ich an einem anderen Gerät. Was ist an dieser Stelle zu tun bzw. sicheres Verhalten?

Bei dem Gerät handelt es sich um einen Lenovo IdeaPad U350 mit Windows 7, 32 bit. Problem: Kein CD-Laufwerk, externes Laufwerk ist auch nicht vorhanden, müsste also komplett mit USB-Stick arbeiten. UND: Ich bin leider kein PC-Profi, Grundlagen können nicht vorausgesetzt werden, lese mich derzeit völlig neu in die Materie ein.
Wahrscheinlich ist es deshalb wohl das Beste weil vielleicht Schnellste, das System neu zu installieren!? Allerdings habe ich bei Kauf keine System-CD bekommen...! Scheinbar gibt es Windows 7 aber bei chip.de als Free-Download, das dann mit dem Product Key aktiviert wird. Dazu aber ein weiteres Problem: Wie soll ich meinen Stick sauber bekommen, der am infizierten Gerät dran war.

Bin für jeden Tipp sehr dankbar!

Psychotic 12.03.2012 12:42
:hallo:

Mein Name ist Marius und ich werde dir bei deinem Problem helfen.

Eines vorneweg:

Hinweis: Wir können hier nie dafür garantieren, dass wir sämtliche Reste von Schadsoftware gefunden haben. Eine Formatierung ist meist der schnellere und immer der sicherste Weg.

Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass du clean bist.

Eine Bereinigung ist mitunter mit viel Arbeit für dich verbunden.
  • Bitte arbeite alle Schritte der Reihe nach ab.
  • Lese die Anleitungen sorgfältig. Solltest du irgendwo nicht weiterkommen, stoppe an diesem Punkt und beschreibe dein Problem hier!
  • Nur Scans durchführen, zu denen du von einem Helfer aufgefordert wirst.
  • Bitte kein Crossposting ( posten in mehreren Foren) - wenn du die anweisungen mehrere Helfer ausführst, kann das schwere Probleme nach sich ziehen!.
  • Installiere oder Deinstalliere während der Bereinigung keine Software (ausser, du wurdest dazu aufgefordert).
  • Wenn etwas unklar ist: Frage, bevor du etwas "blind" machst!
  • Poste die Logfiles direkt in deinen Thread. Nicht anhängen, außer, ich fordere dich dazu auf. Erschwert mir nämlich das Auswerten.


Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.


Schritt 1: Flash Disinfector

Lade Dir den Flash Disinfector von sUBs und speichere Flash_Disinfector.exe auf Deinem Desktop ab. Gehe nun wie folgt vor (Anleitung):
  1. Trenne den Rechner physikalisch vom Netz.
  2. Deaktiviere den Hintergrundwächter deines AVP.
  3. Schließe jetzt alle externe Datenträgeran Deinen Rechner an.
  4. Starte den Flash Disinfector mit einem Doppelklick und folge ggf. den Anweisungen.
  5. Wenn der Scan zuende ist, kannst du das Programm schließen.
  6. Starte Deinen Rechner neu.
Hinweis: Flash Disinfector desinfiziert all Deine Laufwerke von Autoruninfektionen und erstellt einen versteckten Ordner mit demselben Namen, so dass dein Datenträger in Zukunft vor dieser Infektion geschützt ist. Während dem Scan wird Dein Desktop kurzfristig verschwinden und dann wiederkommen. Das ist normal.



Schritt 2: FRST


Downloade dir bitte Farbar's Recovery Scan Tool und speichere diese auf einen USB Stick. Schließe den USB Stick an das infizierte System an Du musst das System nun in die System Reparatur Option booten. Über den Boot Manager
  • Starte den Rechner neu auf.
  • Während dem Hochfahren drücke mehrmals die F8 Taste
  • Wähle nun Computer reparieren.
  • Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".
Mit Windows CD/DVD
  • Lege die Windows CD in dein Laufwerk.
  • Starte den Rechner neu auf und starte von der CD
  • Wähle die Spracheinstellungen und klicke "Weiter".
  • Klicke auf Computerreparaturoptionen !!
  • Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".
Wähle in den Reparaturoptionen Eingabeaufforderung
  • Gib nun bitte notepad ein und drücke Enter.
  • Im öffnenden Textdokument --> Datei --> Speichern unter und wähle Computer Hier wird dir der Laufwerksbuchstabe deines USB Sticks angezeigt.
  • Schließe Notepad wieder
  • Gib nun bitte folgenden Befehl ein. e:\frst.exe Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks. Gegebenfalls anpassen.
  • Akzeptiere den Disclaimer mit Yes und klicke Scan
Das Tool erstellt eine FRST.txt auf deinem USB Stick. Poste den Inhalt bitte hier.

georg2012 12.03.2012 18:11
Hallo Marius,
zunächst vielen Dank für die ausführliche Erklärung!
Dazu gleich kleine Fragen:
- Wäre es sinnvoll, die Platte zu formatieren und Windows einfach neu aufzuspielen? Oder ist das für mich als Nicht-Profi zu kompliziert? Wäre vielleicht auch schneller, wenn ich dich richtig verstehe?

- zu Schritt 1: "Schließe jetzt alle externe Datenträger an Deinen Rechner an. "
Wahrscheinlich sind nur die Datenträger gemeint, die infiziert sein dürften!?

Sorry, ich werde wohl immer einige Fragen stellen müssen, die PC-Profis eher lustig vorkommen dürften.

Beste Grüße
Georg

Psychotic 12.03.2012 18:18
Keine Panik, wir sind ja schließlich hier, um zu helfen! :)

Es ist grundsätzlich gesehen immer der sauberste Weg, ein befallenes System zu formatieren - nur dann kann es eine Garantie geben, dass auch der letzte Rest entfernt wurde.

Eine Anleitung, wie man ein System mit seinen Grundfunktionen neu installiert, kann ich dir geben. Bei der Infektion, die ich bei dir vermute, können wir aber durchaus helfen - gesetzt den Fall, dass sich der Schädling keine zusätzlichen Freunde "eingeladen" hat.

Zur Frage mit Flash Disinfector: Ja, hier sind die Speichermedien gemeint, die an potentiell unsichere System angeschlossen waren und beschreibbar sind. (Eine gepresste CD beispielsweise ist harmlos).

georg2012 12.03.2012 18:20
...ach so, da ich ja mit dem infizierten Gerät nicht ans Netz gehe noch dies: Sollte mein eingesetzter Stick theoretisch infiziert sein, wäre es dann dennoch möglich, Flash Disinfector und Farbars erst darauf zu speichern und dann damit an den Labtop zu gehen? Oder werden die beiden Programme eventuell von der Malware verändert?
Grüße

Psychotic 12.03.2012 19:20
Du führst den Flash Disinfector am sauberen System aus. Dein Stick wird durch das Tool geimpft, so dass er nicht mehr infiziert werden kann.

Dann kanns auch schon losgehen! ;)

georg2012 12.03.2012 20:38
Leider eine erste Hürde - ich habe den Echtzeit-Scan von McAfee deaktiviert (richtig?) und Flash Disinfector von einem zweiten sauberen Stick auf den Desktop des infizierten Geräts gezogen, der höchst wahrscheinlich infizierte Stick ist auch angeschlossen, Klick auf Flash Disinfector aktiviert Benutzerkontensteuerung, der erlaube ich Änderungen, dann kommt die Eieruhr - und sonst nichts weiter...
Sorry...

Psychotic 12.03.2012 20:45
Führe den Flash Disinfector am sauberen System aus - starte ihn per Rechtsklick-->Als Administrator ausführen.

Psychotic 14.03.2012 07:24
Hallo, benötigst Du noch weiterhin Hilfe ? Sollte ich innerhalb der nächsten 24 Stunden keine Antwort von dir erhalten, werde ich dein Thema aus meinen Abos nehmen und bekomme dadurch keine Nachricht über neue Antworten. Das Verschwinden der Symptome bedeutet nicht, dass dein System schon sauber ist

georg2012 14.03.2012 08:04
Hallo!
leider, das dauert meinerseits. Ich musste jetzt erst einen wirklich sauberen Stick und ein wirklich sauberes System finden, dann melde ich mich sofort.
Danke für die Geduld -

Psychotic 14.03.2012 08:08
Du musst nicht zwingend nach einem sauberen System suchen - nimm einfach ein anderes als das befallene, desinfiziere von dort aus den Stick und lade FRST darauf! ;)

Psychotic 16.03.2012 08:14
Hallo, benötigst Du noch weiterhin Hilfe ? Sollte ich innerhalb der nächsten 24 Stunden keine Antwort von dir erhalten, werde ich dein Thema aus meinen Abos nehmen und bekomme dadurch keine Nachricht über neue Antworten. Das Verschwinden der Symptome bedeutet nicht, dass dein System schon sauber ist

Psychotic 19.03.2012 08:00
Fehlende Rückmeldung
Dieses Thema wurde aus den Abos gelöscht. Somit bekomm ich keine Benachrichtigung über neue Antworten.
PM an mich falls Du denoch weiter machen willst.

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner schon sauber ist.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen


Alle Zeitangaben in WEZ +1. Es ist jetzt 04:30 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19