Trojaner-Board - Fehlercode 0x80070424 || Vermute ZeroAccess / Max++ / Smiscer Crimeware Rootkit

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Fehlercode 0x80070424 || Vermute ZeroAccess / Max++ / Smiscer Crimeware Rootkit (https://www.trojaner-board.de/110112-fehlercode-0x80070424-vermute-zeroaccess-max-smiscer-crimeware-rootkit.html)

So, nachdem jetzt einiges passiert ist, mal einen kleinen Zwischenbericht.
Das System Startet, braucht unglaublich lange am Anfang. Solange ich nichts mit Internet mache, ist alles toll. Rechner läuft recht zügig, abgesehen davon, dass ich einige Programme nicht starten kann, die gehen nach dem Starten wieder aus, der Prozess verschwindet auch aus dem Taskmanager, und davon, dass sämtliche Windows-Sicherheits-Bordmittel streiken.

Das Kaspersky-Tool, ich hab ihm vorher untersagt, gefundene Bedrohungen zu entfernen, hat sich nach 12 1/2 Stunden beim Scan einer Iso-Datei (ein Image von DigitalTutors hxxp://www.digitaltutors.com/11/training.php?pid=54 das ich von meiner Hochschule selbst von einer Original-DVD erstellt hab) aufgehängt.

Hier das Log, Stand etwa 13 Uhr, das ich noch sichern konnte

Code:

Status: Gefunden  (Ereignisse: 7)        

22.02.2012 02:11:28        Gefunden        Virus HEUR:Backdoor.Win64.Generic        C:\Windows\assembly\GAC_64\Desktop.ini        Hoch        

22.02.2012 02:11:29        Gefunden        Trojanisches Programm Backdoor.Win32.ZAccess.aug        C:\Windows\assembly\GAC_32\Desktop.ini        Hoch        

22.02.2012 02:12:22        Gefunden        Virus HEUR:Backdoor.Win64.Generic        C:\Windows\assembly\temp\U\80000000.@        Hoch        

22.02.2012 09:25:41        Gefunden        Virus HEUR:Backdoor.Win64.Generic        C:\Windows\assembly\temp\U\80000004.@        Hoch        

22.02.2012 09:25:48        Gefunden        Trojanisches Programm Trojan-Downloader.Win32.Agent.uekk        C:\Windows\assembly\temp\U\80000032.@        Hoch        

22.02.2012 09:31:24        Gefunden        Virus HEUR:Backdoor.Win64.Generic        C:\Windows\System32\consrv.dll        Hoch        

22.02.2012 09:36:21        Gefunden        Virus HEUR:Backdoor.Win64.Generic        C:\Windows\system64\consrv.dll        Hoch

Zu diesem Punkt habe ich nur wenig Zusammenhang mit Isos gesehen.

mBam ist durchgelaufen, hier das Log

Code:

protection-log-2012-02-22.txt

2012/02/22 00:29:41 +0100        NUKEBUTTON        ***        MESSAGE        Executing scheduled update:  Daily

2012/02/22 00:29:47 +0100        NUKEBUTTON        ***        MESSAGE        Scheduled update executed successfully:  database updated from version v2012.02.21.01 to version v2012.02.21.05

---

Ein Scanlog wurde NICHT erstellt, habs weder abgebrochen, noch irgendwas geschlossen. Ich dachte, ich würde eines finden, Ordner, Pfade alles abgesucht... nichts... Auf jeden Fall hab ich dann halt noch mal gescannt.

Code:

 Malwarebytes Anti-Malware (Test) 1.60.1.1000

www.malwarebytes.org
 

Datenbank Version: v2012.02.20.05
 

Windows 7 Service Pack 1 x64 NTFS

Internet Explorer 9.0.8112.16421

Kosch :: NUKEBUTTON [Administrator]
 

Schutz: Aktiviert
 

21.02.2012 00:00:24

mbam-log-2012-02-21 (00-00-24).txt
 

Art des Suchlaufs: Quick-Scan

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 205635

Laufzeit: 2 Minute(n), 17 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 0

(Keine bösartigen Objekte gefunden)
 

(Ende)
 

---
 

Malwarebytes Anti-Malware (Test) 1.60.1.1000

www.malwarebytes.org
 

Datenbank Version: v2012.02.21.01
 

Windows 7 Service Pack 1 x64 NTFS

Internet Explorer 9.0.8112.16421

Kosch :: NUKEBUTTON [Administrator]
 

Schutz: Aktiviert
 

21.02.2012 04:07:14

mbam-log-2012-02-21 (04-07-14).txt
 

Art des Suchlaufs: Vollständiger Suchlauf

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 61726

Laufzeit: 11 Minute(n), 44 Sekunde(n) [Abgebrochen]
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 0

(Keine bösartigen Objekte gefunden)
 

(Ende)
 

---
 

Malwarebytes Anti-Malware (Test) 1.60.1.1000

www.malwarebytes.org
 

Datenbank Version: v2012.02.22.02
 

Windows 7 Service Pack 1 x64 NTFS

Internet Explorer 9.0.8112.16421

Kosch :: NUKEBUTTON [Administrator]
 

Schutz: Deaktiviert
 

22.02.2012 13:24:18

mbam-log-2012-02-22 (13-30-14).txt
 

Art des Suchlaufs: Quick-Scan

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 208902

Laufzeit: 3 Minute(n), 1 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 1

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|MozillaAgent (Trojan.Agent.PE5) -> Daten: C:\Windows\Temp\_ex-68.exe -> Keine Aktion durchgeführt.
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 1

C:\RECYCLE.BIN (Trojan.Spyeyes) -> Keine Aktion durchgeführt.
 

Infizierte Dateien: 4

C:\Windows\Temp\_ex-68.exe (Trojan.Agent.PE5) -> Keine Aktion durchgeführt.

C:\Windows\Temp\9F58.tmp (Trojan.FakeAlert.FS) -> Keine Aktion durchgeführt.

C:\Windows\Temp\gmstul\setup.exe (Trojan.Agent.PE5) -> Keine Aktion durchgeführt.

C:\RECYCLE.BIN\79A7F2BCACBC904 (Trojan.Spyeyes) -> Keine Aktion durchgeführt.
 

(Ende)

Beim Scannen von mbam ist der Rechner richtig in die Knie gegangen, der Neustart musste per 4-Sekunden-Power-Off eingeleitet werden. Zwischenzeitig hatte ich auch eine Kaspersky.exe, obwohl dieser Skanner läangst wieder von der Platte verschwunden war.

Danach wie beschrieben Eset drüber laufen lassen

Code:

ESETSmartInstaller@High as downloader log:

all ok

# version=7

# OnlineScannerApp.exe=1.0.0.1

# OnlineScanner.ocx=1.0.0.6583

# api_version=3.0.2

# EOSSerial=19f961a13e638c4fbedbda3b88a2387c

# end=stopped

# remove_checked=false

# archives_checked=true

# unwanted_checked=true

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2012-02-18 04:10:12

# local_time=2012-02-18 05:10:12 (+0100, Mitteleuropäische Zeit)

# country="Germany"

# lang=1033

# osver=6.1.7601 NT Service Pack 1

# compatibility_mode=512 16777215 100 0 0 0 0 0

# compatibility_mode=5893 16776574 66 94 9303747 81211189 0 0

# compatibility_mode=8192 67108863 100 0 3847 3847 0 0

# scanned=405

# found=0

# cleaned=0

# scan_time=72

ESETSmartInstaller@High as downloader log:

all ok

ESETSmartInstaller@High as downloader log:

all ok

esets_scanner_update returned -1 esets_gle=53251

# version=7

# OnlineScannerApp.exe=1.0.0.1

# OnlineScanner.ocx=1.0.0.6583

# api_version=3.0.2

# EOSSerial=19f961a13e638c4fbedbda3b88a2387c

# end=finished

# remove_checked=false

# archives_checked=true

# unwanted_checked=true

# unsafe_checked=true

# antistealth_checked=true

# utc_time=2012-02-18 06:56:02

# local_time=2012-02-18 07:56:02 (+0100, Mitteleuropäische Zeit)

# country="Germany"

# lang=1033

# osver=6.1.7601 NT Service Pack 1

# compatibility_mode=512 16777215 100 0 0 0 0 0

# compatibility_mode=5893 16776574 66 94 9304199 81211641 0 0

# compatibility_mode=8192 67108863 100 0 4299 4299 0 0

# scanned=459855

# found=8

# cleaned=0

# scan_time=9571

C:\Program Files (x86)\Spiele BACKUP\Fable 3\paul.dll        a variant of Win32/Packed.VMProtect.AAA trojan (unable to clean)        00000000000000000000000000000000        I

C:\Users\Kosch\Downloads\HitFilm x 86 x 64.rar        a variant of Win32/HackTool.Patcher.U application (unable to clean)        00000000000000000000000000000000        I

C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\MOMG1ZSC\game_nab_su[1].htm        HTML/Iframe.B.Gen virus (unable to clean)        00000000000000000000000000000000        I

C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\WUD7XO84\game_nab_su[1].htm        HTML/Iframe.B.Gen virus (unable to clean)        00000000000000000000000000000000        I

C:\Windows\system64\consrv.dll        Win64/Sirefef.G trojan (unable to clean)        00000000000000000000000000000000        I

C:\Windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\MOMG1ZSC\game_nab_su[1].htm        HTML/Iframe.B.Gen virus (unable to clean)        00000000000000000000000000000000        I

C:\Windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\WUD7XO84\game_nab_su[1].htm        HTML/Iframe.B.Gen virus (unable to clean)        00000000000000000000000000000000        I

${Memory}        a variant of Win32/Sirefef.DN trojan        00000000000000000000000000000000        I

ESETSmartInstaller@High as downloader log:

all ok

# version=7

# OnlineScannerApp.exe=1.0.0.1

# OnlineScanner.ocx=1.0.0.6583

# api_version=3.0.2

# EOSSerial=19f961a13e638c4fbedbda3b88a2387c

# end=stopped

# remove_checked=true

# archives_checked=false

# unwanted_checked=true

# unsafe_checked=true

# antistealth_checked=true

# utc_time=2012-02-21 03:20:15

# local_time=2012-02-21 04:20:15 (+0100, Mitteleuropäische Zeit)

# country="Germany"

# lang=1033

# osver=6.1.7601 NT Service Pack 1

# compatibility_mode=512 16777215 100 0 0 0 0 0

# compatibility_mode=5893 16776574 66 94 9516387 81423829 0 0

# compatibility_mode=8192 67108863 100 0 0 0 0 0

# scanned=38938

# found=0

# cleaned=0

# scan_time=437

ESETSmartInstaller@High as downloader log:

all ok

# version=7

# OnlineScannerApp.exe=1.0.0.1

# OnlineScanner.ocx=1.0.0.6583

# api_version=3.0.2

# EOSSerial=19f961a13e638c4fbedbda3b88a2387c

# end=stopped

# remove_checked=false

# archives_checked=true

# unwanted_checked=true

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2012-02-22 04:24:02

# local_time=2012-02-22 05:24:02 (+0100, Mitteleuropäische Zeit)

# country="Germany"

# lang=1033

# osver=6.1.7601 NT Service Pack 1

# compatibility_mode=512 16777215 100 0 0 0 0 0

# compatibility_mode=5893 16776574 66 94 9642039 81549481 0 0

# compatibility_mode=8192 67108863 100 0 0 0 0 0

# scanned=315128

# found=8

# cleaned=0

# scan_time=8211

C:\Windows\assembly\temp\U\80000032.@        probably a variant of Win32/Olmarik.AVQ trojan (unable to clean)        00000000000000000000000000000000        I

C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\MOMG1ZSC\game_nab_su[1].htm        HTML/Iframe.B.Gen virus (unable to clean)        00000000000000000000000000000000        I

C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\SGP24FYK\fishki_wen9_com[1].htm        HTML/Iframe.B.Gen virus (unable to clean)        00000000000000000000000000000000        I

C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\WUD7XO84\game_nab_su[1].htm        HTML/Iframe.B.Gen virus (unable to clean)        00000000000000000000000000000000        I

C:\Windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\MOMG1ZSC\game_nab_su[1].htm        HTML/Iframe.B.Gen virus (unable to clean)        00000000000000000000000000000000        I

C:\Windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\SGP24FYK\fishki_wen9_com[1].htm        HTML/Iframe.B.Gen virus (unable to clean)        00000000000000000000000000000000        I

C:\Windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\WUD7XO84\game_nab_su[1].htm        HTML/Iframe.B.Gen virus (unable to clean)        00000000000000000000000000000000        I

C:\Windows\Temp\gmstul\setup.exe        a variant of Win32/Kryptik.ABEH trojan (unable to clean)        00000000000000000000000000000000        I

Eset hat sich beim Scan eines Iso-Files, diese Mal ein video2Brain-Image, das ich ebenfalls von einer aus unserer Bib ausgeliehenen DVD selbst gezogen hab, aufgehängt.

Irgendwie macht mich das ein wenig stuzig, warum bleibt der bei Images hängen?

Naja, das Log ist also die "list of found threats" aus Eset.
Es juckt mich ja diebisch, den Dateien noch einmal gezielt zuleibe zu rücken. Momentan überwiegt aber meine Angst, nochmal so nen Totalausfall zu produzieren, wie mit consrv, das übrigens nebenbei wieder munter vor sich hinwerkelt... :stirn:

Die mbam-Logs habe ich in den Code gepackt, willst du die auch noch gezippt haben?

Kosch

[EDIT] ahhh, ganz vergessen, ich hab mir ne kleine .bat gebastelt, die die Dienste und Prozesse anzeigt. Ich lass die Liste immer dann raus, wenn der Rechner sehr lahmarschig wird. Dachte, das könnte vielleicht auch von Interesse sein, diese Liste reinzupacken. Wenn du die in Zukunft nicht brauchen solltest, dann lass ich die weg.

Code:

22.02.2012 

15:01:07,85 
 

Abbildname                     PID Sitzungsname       Sitz.-Nr. Speichernutzung

========================= ======== ================ =========== ===============

System Idle Process              0 Services                   0            24 K

System                           4 Services                   0           340 K

smss.exe                       272 Services                   0         1.416 K

csrss.exe                      460 Services                   0         6.444 K

wininit.exe                    536 Services                   0         5.648 K

csrss.exe                      560 Console                    1        23.296 K

services.exe                   592 Services                   0         9.680 K

lsass.exe                      620 Services                   0        12.324 K

lsm.exe                        628 Services                   0         6.308 K

winlogon.exe                   728 Console                    1         8.152 K

svchost.exe                    800 Services                   0        10.436 K

nvvsvc.exe                     860 Services                   0         8.176 K

svchost.exe                    904 Services                   0         8.380 K

svchost.exe                    980 Services                   0        18.132 K

svchost.exe                    160 Services                   0       470.988 K

svchost.exe                    284 Services                   0        35.572 K

svchost.exe                   1060 Services                   0        16.544 K

WUDFHost.exe                  1176 Services                   0         9.728 K

WUDFHost.exe                  1312 Services                   0         8.376 K

nvxdsync.exe                  1356 Console                    1        21.024 K

nvvsvc.exe                    1368 Console                    1        13.628 K

svchost.exe                   1504 Services                   0        18.348 K

spoolsv.exe                   1600 Services                   0        12.540 K

svchost.exe                   1652 Services                   0         6.476 K

ShuttleEngine.exe             1728 Services                   0         5.580 K

svchost.exe                   1788 Services                   0         5.900 K

dwm.exe                       2268 Console                    1       160.780 K

explorer.exe                  2332 Console                    1       103.296 K

RAVCpl64.exe                  2468 Console                    1        11.984 K

OscarEditor.exe               2476 Console                    1        28.604 K

RocketDock.exe                2484 Console                    1        13.764 K

nusb3mon.exe                  2648 Console                    1         5.512 K

ShuttleHelper.exe             2660 Console                    1        10.652 K

UltraMon.exe                  2696 Console                    1         1.108 K

_ex-68.exe                    2780 Console                    1        26.496 K

nvtray.exe                    3032 Console                    1        15.928 K

SearchIndexer.exe             2304 Services                   0        32.712 K

svchost.exe                   2820 Services                   0        58.000 K

svchost.exe                   2980 Services                   0        16.756 K

wmpnetwk.exe                  3080 Services                   0         7.472 K

firefox.exe                   3852 Console                    1       394.748 K

GoogleUpdate.exe               248 Services                   0           528 K

mbamservice.exe               3328 Services                   0         7.968 K

daemonu.exe                   3340 Services                   0         7.652 K

plugin-container.exe          1492 Console                    1        13.384 K

svchost.exe                   4048 Services                   0         8.392 K

AIMP3.exe                     3376 Console                    1        28.980 K

audiodg.exe                   2388 Services                   0        20.816 K

PING.EXE                      3324 Services                   0        51.624 K

conhost.exe                   4748 Services                   0         3.332 K

SearchProtocolHost.exe        3708 Services                   0         9.028 K

SearchFilterHost.exe          4652 Services                   0         7.924 K

WmiPrvSE.exe                  2184 Services                   0         7.684 K

cmd.exe                        332 Console                    1         3.456 K

conhost.exe                   1380 Console                    1         6.644 K

tasklist.exe                  1388 Console                    1         6.316 K
 

Abbildname                     PID Dienste                                     

========================= ======== ============================================

System Idle Process              0 Nicht zutreffend                            

System                           4 Nicht zutreffend                            

smss.exe                       272 Nicht zutreffend                            

csrss.exe                      460 Nicht zutreffend                            

wininit.exe                    536 Nicht zutreffend                            

csrss.exe                      560 Nicht zutreffend                            

services.exe                   592 Nicht zutreffend                            

lsass.exe                      620 SamSs                                       

lsm.exe                        628 Nicht zutreffend                            

winlogon.exe                   728 Nicht zutreffend                            

svchost.exe                    800 DcomLaunch, PlugPlay, Power                 

nvvsvc.exe                     860 nvsvc                                       

svchost.exe                    904 RpcEptMapper, RpcSs                         

svchost.exe                    980 AudioSrv, Dhcp, eventlog,                   

                                   HomeGroupProvider, lmhosts                  

svchost.exe                    160 AudioEndpointBuilder, CscService, hidserv,  

                                   Netman, PcaSvc, SysMain, TrkWks, UxSms,     

                                   wudfsvc                                     

svchost.exe                    284 AeLookupSvc, BITS, CertPropSvc, dkeysync,   

                                   gpsvc, LanmanServer, MMCSS, ProfSvc, SENS,  

                                   SessionEnv, ShellHWDetection, Themes,       

                                   Winmgmt, wuauserv                           

svchost.exe                   1060 EventSystem, fdPHost, netprofm, nsi,        

                                   WdiServiceHost, WinHttpAutoProxySvc         

WUDFHost.exe                  1176 Nicht zutreffend                            

WUDFHost.exe                  1312 Nicht zutreffend                            

nvxdsync.exe                  1356 Nicht zutreffend                            

nvvsvc.exe                    1368 Nicht zutreffend                            

svchost.exe                   1504 CryptSvc, Dnscache, LanmanWorkstation,      

                                   NlaSvc, TermService                         

spoolsv.exe                   1600 Spooler                                     

svchost.exe                   1652 DPS                                         

ShuttleEngine.exe             1728 ShuttleEngine                               

svchost.exe                   1788 stisvc                                      

dwm.exe                       2268 Nicht zutreffend                            

explorer.exe                  2332 Nicht zutreffend                            

RAVCpl64.exe                  2468 Nicht zutreffend                            

OscarEditor.exe               2476 Nicht zutreffend                            

RocketDock.exe                2484 Nicht zutreffend                            

nusb3mon.exe                  2648 Nicht zutreffend                            

ShuttleHelper.exe             2660 Nicht zutreffend                            

UltraMon.exe                  2696 Nicht zutreffend                            

_ex-68.exe                    2780 Nicht zutreffend                            

nvtray.exe                    3032 Nicht zutreffend                            

SearchIndexer.exe             2304 WSearch                                     

svchost.exe                   2820 FDResPub, FontCache, SSDPSRV, upnphost,     

                                   wcncsvc                                     

svchost.exe                   2980 p2pimsvc, p2psvc, PNRPsvc                   

wmpnetwk.exe                  3080 WMPNetworkSvc                               

firefox.exe                   3852 Nicht zutreffend                            

GoogleUpdate.exe               248 Nicht zutreffend                            

mbamservice.exe               3328 MBAMService                                 

daemonu.exe                   3340 nvUpdatusService                            

plugin-container.exe          1492 Nicht zutreffend                            

svchost.exe                   4048 RapiMgr, WcesComm                           

AIMP3.exe                     3376 Nicht zutreffend                            

audiodg.exe                   2388 Nicht zutreffend                            

PING.EXE                      3324 Nicht zutreffend                            

conhost.exe                   4748 Nicht zutreffend                            

SearchProtocolHost.exe        3708 Nicht zutreffend                            

SearchFilterHost.exe          4652 Nicht zutreffend                            

WmiPrvSE.exe                  2184 Nicht zutreffend                            

cmd.exe                        332 Nicht zutreffend                            

conhost.exe                   1380 Nicht zutreffend                            

tasklist.exe                  4284 Nicht zutreffend                            

-----

Zitat:

C:\RECYCLE.BIN (Trojan.Spyeyes)

SpyEyes ist garnicht gut :pfui:
Ist ein fieser Keylogger. Machst du OnlineBanking mit dieser Kiste? Du solltest umgehend alle Passwörter von einem sauberen System (zB Live-CD) ändern! Mit alle Passwörter werden sämtliche gemeint, die man in der Onlinewelt so nutzt. Amazon, Ebay, Mailaccounts etc. pp.

Zitat:

-> Keine Aktion durchgeführt.

Hast du die Funde mit MBAM nicht entfernt?

Zitat:

22.02.2012 09:31:24 Gefunden Virus HEUR:Backdoor.Win64.Generic C:\Windows\System32\consrv.dll

"deine" consrv ist immer noch oder schon wieder da!

Zitat:

C:\Program Files (x86)\Spiele BACKUP\Fable 3\paul.dll
C:\Users\Kosch\Downloads\HitFilm x 86 x 64.rar

Was ist das denn?! Sieht nach :pfui: aus!

HitFilm, is n Plugin für AfterEffekts und Sony Vegas. Jaja, du hast ja recht... wenn man mal über den Tellerrand schaut, auch wenn die aktuelle Infektion sicherlich nichts damit zu tun hat, (das Ding hab ich am 18.02. gedownloadet, als die Infektion schon in Vollem Gange war und ich hoffte, halt noch mit den Plugins schnell ein paar schöne Partikeleffekte über die Videos zu ballern. :pfeiff:

Fable hatte ich in der Tat geknackt. Wie du siehst, ist die "Spiele BACKUP" noch von der alten Installation wegen Savegames usw. über, auf dem aktuellen System hab ichs nicht mehr genutzt. Dieses Paul-Ding war mir bekannt und wurde auch immer schön geblockt. Sowohl "Spiele Backup" als auch HitFilm hab ich glaub ich vorgestern gelöscht, nachdem sie das erste mal in einem Log aufgetaucht waren. :daumenrunter:

@consrv:
Jepp, is mir sofort aufgefallen, hat er auch gleich wieder fleißig installiert!
Ich hatte Onlinebanking gemacht, als ich aber diese Redirect-Sache hatte, habe ich sowohl PayPal, als auch meine Bank nicht mehr benutzt und beiden von einem Sicheren System, bzw. per Telefon bescheid gegeben.

Passwörter habe ich letztendlich nur noch emails benutzt, dort habe ich in der signatur stehen, dass auf KEINEN Fall anhänge von emails, bzw. Links darin geöffnet werden dürfen, wenn ich nicht telefonisch dazu auffordere.

Ich werde diese PWs aber ändern. Spyeye ist übrigens erst ganz aktuell drauf gekommen, bei den verkümmerten Resten der Logs, die ich noch habe, sehe ich das erst seit heute.

Rätst du mir, jetzt die Fehler zu korrigieren, also mit mbam die infizierten Files zu löschen, bzw. zu "heilen"?

Kosch

Zitat:

C:\Users\Kosch\Downloads\HitFilm x 86 x 64.rar

Da das Teil offensichtlich ein Crack ist, gibt es jetzt nurnoch Hilfe zur Neuinstallation - die ist eh dringend nötig wegen SpyEyes und zudem noch ZeroAccess.

Klar, ist nachvollziehbar. Jedefalls danke ich dir sehr für die Mühe und die Anstrengungen.

Wegen der Neuinstallation hab ich mir überlegt, dass ich nach Abschluss der Projekte sämtliche Files von Relevanz mit der, schon weiter oben beschriebenen Methode mittels Parted Magic sichere und dann das System plätte, also auch formatiere. Problematisch ist allerdings, dass ich 4,5TB an Festplatten und etwa 4TB an Daten habe. Zwar kann ich mit der LiveCD stückchenweiße die Partitionen säubern, aber welches Restrisiko würde bleiben, wenn ich zur Installation nur eine einzige Platte anstöpsle, vorausgesetzt, ich schaffe es, sämtliche Platten einmal "durch zu formatieren"?

Ich meine, wie groß ist die Chance, dass ich da was MBR-resistentes hab?

Kosch

Zitat:

Ich meine, wie groß ist die Chance, dass ich da was MBR-resistentes hab?

Wenn spielt der Bootcode nur im MBR der physikalischen Platte, von der auch gebootet wird, eine Rolle. Den machst du ja auch blank am besten.

Zitat:

dass ich 4,5TB an Festplatten und etwa 4TB an Daten habe

In welcher Aufteilung? Ich seh zwar die Partitionen (Laufwerksbuchstaben) im OTL-Log (da komm ich rechnerisch auf ca. 3500 GB :wtf: ) aber das sagt mir noch nicht wie viele physikalische Platten in welcher Partitionskonfig das ist

So als erste Idee hätte ich das hier, wie klingt das? :D

alles auf den Datenplatten und/oder -partitionen säubern, alles ausführbare Zeug und ggf. anderen unnötigen Müll löschen
sollte die Systemplatte auch mit Daten gefüllt sein, diese Daten auf die Datenplatten/-partitionen mit Linux kopieren
ist alles an Daten auf den Datenplatten, Rechner runterfahren und die Datenplatten abklemmen (Strom- und SATA-Kabel ziehen), nur die Platte wo Windows drauf ist und wieder rauf soll dran lassen
Rechner wieder hochfahren und die Platte mit Windows plätten (MBR killen mit dd) - dadurch werden der Bootloader und die Partitionstabelle gelöscht, Platte ist danach logisch betrachtet "blank"
Windows neu installieren, Platte nach Geschmack in Partitionen neu einteilen
Windows absichern, Rechner runterfahren
Datenplatten wieder anklemmen, Windows hochfahren

Verbaut sind:

C: (System) [465GB]: Die Daten, die hier von Belang waren/sind, wurden/werden gesichert, sind in etwa noch 150-200GB

D: (Temp) [372GB]: ca. 85GB noch frei, da wandert ein großer Teil von den gesicherten daten von C: (System) drauf.

E: (PROJECTS) [465GB]: Durch die gestrige Säuberung mit der Live-CD nur noch 88GB Daten, die müssen noch wo hin gesichert werden.

F: (BACKUPS) [149GB]: Noch etwa 7,25GB frei, eventuell kann ich da noch 6-16GB zusätzlich frei bekommen, weil ich denke, dass meine Süße auch ohne ihr vollständiges MP3-Player-Backup auskommen kann. :pfeiff:

G: (Storage) [1397GB] ca. 21GB frei, da ist nichts zu wollen. Diese Platte wandert am Ende des Semesters wie sie ist aus dem Rechner in eine angemessene Verpackung. Diese Platte beinhaltet sämtliche Studienarbeiten und auch viele Raws. Ein Problem könnte hierbei noch werden, dass dort auch einige Scripte, Programmroutinen und Java/Flash-Programme, sowie ganze Websites drauf sind -Eben alles, was ich in 5 Semestern gebastelt habe. Könnte das behalten dieser Files ein Problem darstellen? :eek::eek::eek:

Eine neue 1,5TB-Platte wird in etwa 2 Monaten folgen, momentan is finanziell leider nichts früher machbar.

Meine Idee war, erst die Projecs-Platte komplett mit Live-CD leer zu schaufeln, zu formatieren, wenn möglich auch Low-Level, dann diese Platte komplett voll zu machen, die Systemplatte vollständig zu leeren, diese dann zu formatieren, dann die beiden kleineren usw.

Die Reihenfolge is bei den kleinen Platten ja recht egal. Schwierig wird es aber bei der 1,34TB-Platte. Ich denke, ich sollte diese wenigstens einmal komplett durchputzen und leerfegen.

Ich habe externe Platten mit 17,4GB, 39GB und 34GB frei.

Alles in Allem zusammen gerechnet, komme ich etwa auf 1000GB freien Platz, +-100GB... fehlen aber immer noch etwa 350GB...

Zitat:

... (MBR killen mit dd)...

MasterBootRecord mit dd? Kannst du mir das näher erklären? Ich bin davon ausgegangen, dass ich die Platten mit der Live-CD auch bearbeiten kann, oder brauche ich da ein spezielles Programm unter Windows, bzw. in dem Fall ja unter Linux?

Ansonsten hatte ich es in etwa so vor, wie du vorschlägst. Erst wenn das Windows komplett abgesichert ist, will ichs wagen, die anderen Platten dran zu hängen.

Kosch

Und natürlich hast du recht, es sind 3,5 nich 4,5...^^

Komando zurück... ich hab genug platz. Auf der einen externen Platte von meinem engel sind nicht 17Gig, sondern 400 frei. die Platte war voll mit alten Serien... Ok, Platzproblem gelöst. Wenn du mir das mit dem MBR plattmachen noch erklären kannst, bin ich wunschlos glücklich und schulde dir ein großes Bier oder Vergleichbares.

Update:

Diese Anleitung ( hxxp://remove-malware.com/malware/rootkits/rootkit-zero-access-max-notes/ ) mit dieser hier ( hxxp://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird ) haben mich ein klein wenig weiter gebracht.

War traue ich dem System keinen Meter über den Weg, Windowsbordmittel und auch regulärer Virenscanner laufen aber wieder. Als ich auf dieses Board hier wollte kam aber ein Redirect auf eine Marketplace-Seite, mbams-Schutzfunktion hat das aber netterweiße unterbunden. ^^

Bin bald mit meinen Videos durch, dann kanns ans neu aufsetzen gehen. :applaus:

Einfach Interesse halber lass ich jetzt noch mal mbam komplett drüber, danach poste ich quasi als Abschluss das mbam-log und das (vorher)ComboFix, (nachher)ComboFix).

Kosch

MBR killen mit Linux leicht gemacht:

einfache Methode: Ubuntu besorgen, Rechner davon booten, Laufwerksverwaltung (palimpsest => Laufwerksverwaltung) öffnen. Systemplatte auswählen, formatieren => keine Partitionierung (sinngemäß)

oder per Terminal:

Code:

sudo dd if=/dev/zero of=/dev/sdx bs=512 count=1

Das blaue x musst passend ersetzt werden. Sollte nur deine Systemplatte angeklemmt sein, wird es sehr wahrscheinlich die Platte als Gerätedatei /dev/sda haben.
Der o.g. genannte Befehl überschreibt die ersten 512 Bytes (und damit den MBR) mit Nullen (die Nullen bekommt er aus der Spezialdatei /dev/zero )

So, Rechner is neu gemacht! :taenzer:

Ich wollte mich noch mal ganz artig für den Suport bedanken. Bei der Gelegenheit hab ich dann auch gleich Windows 7 SP1 drauf gemacht. Ich wusste nicht, dass meine Studentenlizens schon ein paar Monate abgelaufen war.

Als ich dann die neue mit neuem Schlüssel runtergeladen hab, kam nur die Nachricht, dass ich bitte alle Kopien der alten Version vernichten soll.

Ich hab als Reaktion auf dieses Disaster angefangen über eine Lightversion von Acronis Image Backups zu machen, diese auf eine Fesplatte ohne Buchstaben, also nicht eingebunden ins System gelegt und schalte die in Notfällen bootbar über eine Start-CD zu. :zunge:

Zwar hab ich gerade gegenwärtig noch ein Problem mit einem Treiber für meine Maus, die Firma is was Treiber-support angeht die Hölle, aber sonst ist alles schick und viel von dem Mist, den ich einst drauf hatte, hab ich jetzt gleich von Anfang an weggelassen.

Das formatieren der Platten und auch das MBR-Überschreiben hat proma geklappt. Solange mBam noch in dre vollversion läuft werde ich das nutzen, überlege mir aber, das auch fest zu kaufen. Dazu noch eine Frage in nem anderen Thread (http://www.trojaner-board.de/110616-...tml#post782489).

Thx alot cosinus!

Kosch

PS. Weil ich so begeistert von der Hilfe war hab ich mein Paypal, das ich ja jetzt wieder benutzen kann, ein wenig zu euren Gunsten belastet. ^^

Zitat:

Ich wusste nicht, dass meine Studentenlizens schon ein paar Monate abgelaufen war.

Für Windows? :wtf:
Vom MSDNAA Programm her kenn ich das nicht nicht, eine derartige Lizenz ist nach meinem Wissenstand unbegrenzt gültig :confused:
Ich hab auch noch ein paar MSDNAA Lizenzen aus meinem damaligen Azubi-Dasein noch, da hat mir die Schule einen MSDNAA Account gegeben :)

Ja, war auch ein wenig schockiert. Ich hab das Ding vor etwa 2 Jahren runtergeladen, alles schick. Intalliert, immer wieder installiert, dann sogar mal per Telefon aktiviert.

Als ich das jetzt installieren wollte, hat er Serial und alles ganz normal angenommen. Beim ersen updaten über Windowsupdate kam die Meldung, dass ich eventuell betrogen worden sei und mir doch bitte eine Originalkopie zulegen solle. Hab natürlich erstmal Bauklötze gestaunt, weil ich ja auch davon ausging, dass die nicht zeitlich begrenzt sind. Als Fehlermeldung kam: 3 verbleibende Aktivierungen, Version abgelaufen.

Auch bei meiner jetzigen Version stand, bei der Email mit dem Schlüssel, dass ich ein erweitertes Nutzungsrecht von 2 Jahren hätte. Vielleicht ist das eine Sonderbestimmung, weil wir alle MSNDAA Lizenzen über ELMS abwickeln.

Mich hatte auch gewundert, wenn man den Leistungsindex angezeit hatte, war das dieses Logo von Originalsoftware und ich konnte den Produktkey eingegeben.

Whatever, jetzt ist wieder alles fein, die Projekte sind in trockenen Tüchern, der rechner werkelt wieder wie ein Weltmeister :D

Kosch