Vista. Defender + Internet geht nicht mehr. Zaccess und Java Lamar gefunden.
 

Hallo TrojanerBoard,

ich habe seit Sonntag Abend Probleme mit meinem Compi. Opera und IE gehen nicht mehr, nach dem Start kommt nichts mehr. Vista zeigt dann auch ein rotes Kreuz bei der Internetverbindung.

Das Kabel zum Router habe ich abgezogen.

Malwarebyte und Avira haben Schädlinge gefunden, außerdem kann ich Windows Defender nicht starten. Fehlermeldung:
Windows cannot access the device, path or file. You may not have the appropriate permissions to access the item.

Und jetzt brauche ich einen Profi, der mir hilft.

Vielen Dank schon mal im voraus.

Hi,

ja das ist ZeroAccess...


Schritt 1

Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

• WICHTIG: Speichere Combofix auf deinem Desktop.
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es ein Logfile erstellen.
• Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Schritt 2

Starte noch einmal FRST.

• Ändere keine der Voreinstellungen und drücke auf Scan.
• Wenn der Scan abgeschlossen ist, werden ein neues Logfile FRST.txt erstellt und auf dem Desktop gespeichert.
• Poste den Inhalt dieses Logfiles bitte hier in deinen Thread.

Hallo und Danke für deine Hilfe.

So, beide Programme ausgeführt und hier nun die Logs.



FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---

Hi,

wie läuft der Rechner jetzt?


Schritt 1

Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument


Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

• Starte nun FRST erneut und klicke den Entfernen Button.
• Das Tool erstellt eine Fixlog.txt.
• Poste mir deren Inhalt.

Schritt 2


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Schritt 3

Starte noch einmal FRST.

• Ändere keine der Voreinstellungen und drücke auf Scan.
• Wenn der Scan abgeschlossen ist, werden ein neues Logfile FRST.txt erstellt und auf dem Desktop gespeichert.
• Poste den Inhalt dieses Logfiles bitte hier in deinen Thread.

OK, Defender und Internet gehen wieder, ich hab an beiden Programmen nichts geändert.

Eset hat neue Plagegeister gefunden und ich konnte vom schadhaften Computer nicht auf meinen Thread bei euch antworten. Ich bekam immer die Meldung, daß das Sicherheitstoken abgelaufen ist. Auch das Einloggen musste ich mehrmals wiederholen.

Ich antworte also weiterhin vom nicht infizierten Rechner.

Hier nun die Logs.


FRST Logfile:
--- --- ---

Hallo,

die Funde von ESET sind alle irrelevant (da inaktiv).

Kannst du mir das bitte genauer beschreiben? Wo und wann genau kommt was für eine Fehlermeldung (im Wortlaut)?

Hallo,

mit dem Internet Explorer funkioniert alles bestens. Einloggen, Nachrichten posten (diese hier), funkioniert einwandfrei. Er zeigt auch rechts oben die richtige Zeit an, wann mein letzter Besuch war. Keine Probleme soweit.

Ich werde jetzt das Selbe nochmal mit Opera probieren und dir berichten, denn da hat es nicht funkioniert.

Bis gleich.

Jetzt das Anmelden beim Trojaner Board mit Opera

1. Anmelden OK
Willkommen Samsodong
Ihr letzter Besuch, heute 17:32
so weit alles Ok

2. Klick auf Meine Themen
Ihre Suchanfrage erzielte keine Treffer. Bitte versuchen Sie es mit anderen Suchbegriffen.
Willkommen Samsodong
Ihr letzter Besuch, heute 16:39

3. Klick auf Trojaner Board Symbol links oben
Willkommen Samsodong
Ihr letzter Besuch, heute 17:32

4. Klick auf Loganalyse
und ich bin wieder ausgeloggt, weder Name noch Zeit wird angezeigt

Wenn ich meinen Thread manuell suche, zeigt er mir bei Antworten nur 3 an und als letzter Besuch 11:36

Ich bekomme ein altes Bild unserer Kommunikation angezeigt, vielleicht befinde ich mich ja in einem Zeitloch?

Ich bekomme sogar eine Yahoo Startseite von Sonntag, 6.10. als die Probleme anfingen. Vielleicht sollte ich Opera neu installieren?

Diesen Text habe ich wieder mit dem Explorer gesendet.

Hallo,

wenn es mit dem Internet Explorer problemlos funktioniert, dann ist es eher kein generelles Problem.. :)

Genau, mach das mal. Läuft es danach besser?

Hallo,

ich hab Opera neu installiert und es scheint jetzt wieder alles in Ordnung mit beiden Browsern.

Antivir und Malwarebyte habe ich auch laufen lassen und sie finden die Sachen in den Quarantäne Ordnern. Ich hoffe daß dies OK ist.

Was mache ich eigentlich mit den Ordnern?
Und soll ich noch andere Programme laufen lassen?

Hallo,

diese Funde sind allesamt nicht mehr relevant.
Wir räumen jetzt noch alles auf.


Schritt 1

Lade dir TFC (TempFileCleaner von Oldtimer) herunter und speichere es auf den Desktop.

• Öffne die TFC.exe.
  Vista und Win 7 User mit Rechtsklick "als Administrator starten".
• Schließe alle anderen Programme.
• Drücke auf den Button Start.
• Falls du zu einem Neustart aufgefordert wirst, bestätige diesen.

Schritt 2

Dein Java ist nicht mehr aktuell. Ältere Versionen enthalten Sicherheitslücken, die von Malware zur Infizierung per Drive-by Download missbraucht werden können.

Die aktuelle Version ist Java 7 Update 40.

• Gehe zu

  Start --> Systemsteuerung --> Programme und Funktionen (bei Vista / Win 7)
  Start --> Systemsteuerung --> Software (bei Win XP)

  und deinstalliere alle älteren Java-Versionen.

In wenigen Fällen wird Java wirklich benötigt. Auch werden immer wieder neue, noch nicht geschlossene Sicherheitslücken ausgenutzt.
Überleg dir also, ob du eine Java-Installation wirklich brauchst.
Falls du Java weiterhin verwenden möchtest, dann:

• Lade dir die neueste Java-Version herunter.
• Schliesse alle laufenden Programme, speziell den Browser.
• Starte die heruntergeladene jxpiinstall.exe und folge den Anweisungen.
• Entferne während der Installation den Haken bei "Installieren Sie die Ask-Toolbar ...".

Schritt 3

Die Version deines Adobe PDF Readers ist veraltet, wir müssen ihn updaten:

• Deinstalliere bitte deine aktuelle Version von Adobe Reader über

  Start --> Systemsteuerung --> Software (bei Windows XP)
  Start --> Systemsteuerung --> Programme und Funktionen (bei Vista / Windows 7)

• Besuche diese Seite von Adobe.
• Entferne gegebenenfalls den Haken bei McAfee Security Scan bzw. Google Chrome.
• Drücke auf Jetzt herunterladen und installiere die neuste Version.

Überprüfe dann mit diesem Plugin-Check (mit dem Firefox hier), ob nun alle deine verwendeten Versionen aktuell sind und update sie anderenfalls.



Cleanup

Zum Schluss werden wir jetzt noch unsere Tools (inklusive der Quarantäne-Ordner) wegräumen, die verseuchten Systemwiederherstellungspunkte löschen und alle Einstellungen wieder herrichten. Auch diese Schritte sind noch wichtig und sollten in der angegebenen Reihenfolge ausgeführt werden.

1. Starte defogger und drücke den Button Re-enable.
2. Deaktiviere jetzt temporär das Antivirenprogramm, benenne bei der auf dem Desktop vorhandenen Combofix.exe das "Combofix" im Dateinamen um in Uninstall und führe sie mit Doppelklick aus.
3. Bei MBAM würd ich dir unbedingt empfehlen, es zu behalten und wöchentlich einen Quick-Scan durchzuführen. Wenn du es nicht weiter verwenden möchtest, kannst du es jetzt normal über die Systemsteuerung deinstallieren.
4. Auch den ESET Online Scanner kannst du behalten, um ab und zu (monatlich) für eine Zweitmeinung dein System damit zu scannen. Falls du ESET deinstallieren möchtest, dann kannst du das ebenfalls über die Systemsteuerung tun.
5. Downloade dir bitte auf jeden Fall DelFix auf deinen Desktop.
   • Schliesse alle offenen Programme.
   • Starte die delfix.exe mit einem Doppelklick.
   • Setze vor jede Funktion ein Häkchen.
   • Klicke auf Start.
   • DelFix entfernt u.a. alle von uns verwendeten Programme und löscht sich anschliessend selbst.
6. Wenn jetzt noch etwas übriggeblieben ist, dann kannst du es einfach manuell löschen.

>> OK <<
Wir sind durch, deine Logs sehen für mich im Moment sauber aus. :daumenhoc

Ich habe dir nachfolgend ein paar Hinweise und Tipps zusammengestellt, die dazu beitragen sollen, dass du in Zukunft unsere Hilfe nicht mehr brauchen wirst.

Bitte gib mir danach noch eine kurze Rückmeldung, wenn auch von deiner Seite keine Probleme oder Fragen mehr offen sind, damit ich dieses Thema als erledigt betrachten kann.




Epilog: Tipps, Dos & Don'ts





Wenn du möchtest, kannst du das Forum mit einer kleinen Spende unterstützen.
Es bleibt mir nur noch, dir unbeschwertes und sicheres Surfen zu wünschen und dass wir uns hier so bald nicht wiedersehen. ;)

Hallo,

so, alles wieder aufgeräumt. Alles funkioniert wieder so wie es soll. Avira und Mbam finden auch nichts mehr.:applaus:

Spende ist auch überwiesen.

Dann bleibt mir jetzt nur noch dir nochmal zu danken und recht zu geben, daß wir unser nächstes Treffen ohne Viren, Trojaner und Co. machen sollten.

Alles Gute und :dankeschoen:

Danke für die Rückmeldung.
Und im Namen des Teams vielen Dank für die Spende!


Freut mich, dass wir helfen konnten. :abklatsch:

Falls du dem Forum noch Verbesserungsvorschläge, Kritik oder ein Lob mitgeben möchtest, kannst du das hier tun.

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Ich bekomme somit keine Benachrichtigung mehr über neue Antworten.
Solltest du das Thema erneut brauchen, schicke mir bitte eine PM und wir machen hier weiter.

Jeder andere bitte diese Anleitung lesen und einen eigenen Thread erstellen.