ZeroAccess auf Computer scheinbar bereinigt, trotzdem kommen weiter Virus-Meldungen
 

Hallo,

ich habe kürzlich einen Brief der Telekom bekommen, dass verdächtige Aktivitäten von meinem Internetzugang entdeckt wurden. Folgendes wurde mir auf Nachfrage vom Abuse-Team mitgeteilt:

Über Ihren Internetzugang wurde ein "Sinkhole" kontaktiert. Das ist ein
Server, der als Falle für durch Schadsoftware befallene Rechner dient,
indem er einen Command&Control-Server eines Botnets simuliert. Ein
Command&Control-Server ist ein Bestandteil eines Botnets, der zwischen
dem eigentlichen Verbrecher und seinen "Bots" vermittelt.

Nachdem ich mich belesen hatte, was man tun könne, habe ich mir HitmanPro runtergeladen um das Problem, namentlich ZeroAccess anzugehen. Es wurden 2 infizierte Dateien und mehrere verdächtige Cookies entdeckt und gelöscht. Danach hörte auch Avira auf mit Virenmeldungen anzuzeigen.

Allerdings wurde zum Zeitpunkt der Infektion mit ZeroAccess ein Ordner namens "Google" auf einer der Festplatten erstellt, welcher mehrere Unterordner hat, 0 Bytes besitzt und nicht gelöscht werden kann. HitmanPro hat irgendwas an dem Ordner geändert, da es so im Datum angezeigt wird, aber es sieht alles aus wie vorher und ist nicht löschbar.

Jetzt, 1 Woche später hat mir Avira erneut eine Verdächtige Datei angezeigt und (was nicht zusammenhängen muss) sämtliche von mir gesendete E-Mails aus dem Thunderbird wurden übers Wochenende gelöscht. Langsam weiß ich nicht mehr weiter, da ich von Computern eigentlich nicht viel Ahnung hab. Auch weiß ich nicht, wo der Virus herkam, ich war zu dem Zeitpunkt mit Firefox online und habe mir eine Seite angesehen. Es war etwas absolut harmloses und nichts, wo man Viren erwarten würde, auch habe ich nichts angeklickt etc. Aber beim Schließen von Firefox hing der Browser plötzlich und mir wurde von Avira die Virenwarnung bezüglich des "Google"-Ordners angezeigt.

Ich würd mich sehr über eure Hilfe freuen. Das Betriebssystem ist Windwos XP Home Edition, Service Pack 3.

Liebe Grüße

eine Reisende

Hallo,

mach bitte einen FRST-Scan:


Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Hi aharonov,

vielen Dank für deine schnelle Antwort. Hab ich mir direkt runtergeladen und durchlaufen lassen. Hab sogar schon selber direkt was gesehen >.<
Bei der einen Google Update Datei steht sogar ZeroAcces hinten dran ... das ist garantiert dieser gemeine Ordner, der sich nicht löschen lässt.

Hier erstmal die FRST.exe

FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---


Hier die Addition.txt
Wie kann man denn so einen Virus bekommen? Ich bin wirklich immer sehr vorsichtig, verwende sogar einen Pop-up-Blocker und klicke nie etwas verdächtiges an etc.

Hi,

Wohl durch deine veraltete Java-Installation (Java(TM) 6 Update 29). => Drive-by-Download ? Wikipedia


Schritt 1

Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

• WICHTIG: Speichere Combofix auf deinem Desktop
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Combofix wird überprüfen, ob die Microsoft Windows Wiederherstellungskonsole installiert ist.
  Ist diese nicht installiert, erlaube Combofix diese herunter zu laden und zu installieren. Folge dazu einfach den Anweisungen und aktzeptiere die Endbenutzer-Lizenz.
  Bei heutiger Malware ist dies sehr empfehlenswert, da diese uns eine Möglichkeit bietet, dein System zu reparieren, falls etwas schief geht.
  Bestätige die Information, dass die Wiederherstellungskonsole installiert wurde mit Ja.
  Hinweis: Ist diese bereits installiert, wird Combofix mit der Malwareentfernung fortfahren.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es eine Logfile erstellen.
• Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Schritt 2

Starte noch einmal FRST.

• Ändere keine der Voreinstellungen und drücke auf Scan.
• Wenn der Scan abgeschlossen ist, werden ein neues Logfile FRST.txt erstellt und auf dem Desktop gespeichert.
• Poste den Inhalt dieses Logfiles bitte hier in deinen Thread.

So, war jetzt echt nicht einfach Avira zu deaktivieren, sodass Combofix nicht mehr schimpft.

Hier die Logs:
Combofix

FRST

FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---

Gut. Wie läuft der Rechner? Kommen noch die Virusmeldungen?


Schritt 1

Downloade Dir bitte Malwarebytes Anti-Malware

• Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
• Starte Malwarebytes' Anti-Malware (MBAM).
• Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
• Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
• Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Schritt 2


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Guten Morgen.

Der Rechner läuft wie immer, Virusmeldungen kamen bisher auch keine. Muss aber nichts heißen, der hatte ja auch letzte Woche nur einmal was angezeigt und dann bis gestern nichts mehr =(

Seit dem Download von Malwarebytes hängt allerdings alles. Erst nach einem Neustart lassen sich jetzt die Aktualisierungen laden und auch da wird mir mittlerweile nur noch ein weißes Bild gezeigt.

Laut Task-Manager läuft der Computer mit voller Auslastung.

Ist das normal? Liegt das einfach nur an einem wahnsinnig langsamen Rechner, oder könnte etwas anderes schief laufen?

*Update* Nach insgesamt ner guten Stunde zeigt er plötzlich wieder etwas an. Liegt anscheinend echt nur am extrem langsamen PC. Sorry

So, habs jetzt geschafft Malwarebytes durchlaufen zu lassen.
Es wurde wirklich nichts gefunden.
Kann es sein, dass der Computer schon schwere Schäden genommen hat und sich der Virus jetzt sehr gut tarnen kann? Als ich eben diese Antwort das erste mal versuche zu posten und kurz noch Thunderbird öffnen wollte ist mir alles für 15 Minuten eingefroren.

Ich lass jetzt noch Eset drüber laufen, mal gucken, ob der was findet.

So, Eset ist durch und hat auch tatsächlich was gefunden.

Hallo,

der Fund von ESET ist irrelevant - nur noch was in einem alten Systemwiederherstellungspunkt.
Lass und noch was checken:


Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument


Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

• Starte nun FRST erneut und klicke den Entfernen Button.
• Das Tool erstellt eine Fixlog.txt.
• Poste mir deren Inhalt.

Starte noch einmal FRST.

• Ändere keine der Voreinstellungen und drücke auf Scan.
• Wenn der Scan abgeschlossen ist, werden ein neues Logfile FRST.txt erstellt und auf dem Desktop gespeichert.
• Poste den Inhalt dieses Logfiles bitte hier in deinen Thread.

Erledigt. Ich hoffe es ist nichts Ernstes oder so, hab momentan ein ganz schlechtes Gefühl.


FRST Logfile:
--- --- ---

In den Logs ist nichts mehr von Malware zu sehen..
Aber dass der Rechner sehr langsam läuft, kann man auch an der Scanzeit von MBAM erkennen. 33 Minuten für einen Quickscan sind sehr lang. Der dauert normalerweise kaum länger als 10 Minuten..

Seit wann ist die Kiste denn so lahm? Seit dem Malwarebefall oder schon zuvor?

Schon immer. Ich hab hier glaub ich keine 2 Gb Arbeitsspeicher und auch nur 600 Hz oder so, wenn ich mich beim hochfahren nicht verguckt habe. Wenn mehr als zwei Programme laufen wird es schon kritisch.

Allerdings war der Rechner heute nach dem Download von Malwarebytes besonders langsam, ich denke, dass ich dieses dann nachher wieder entfernen werde.

Aber ich bin sehr froh, dass die Malware jetzt runter ist.

Vielen vielen lieben Dank für deine Hilfe, es ist echt super, dass es Foren wie dieses und Menschen wie dich gibt. =)
Ich würd auch gern mehr Ahnung von Computern haben um ... naja zuerst mir selbst eben, aber dann auch anderen helfen zu können. Nur ich weiß einfach nicht, wo man da ansetzen kann.

Auf jeden Fall danke ich dir!

Also irgendwas stimmt noch nicht.

Eben gleiches Spiel wie heute Morgen: wenn ich versuche Thunderbird zu starten hängt sich der Rechner auf. Der Bildschirm samt Uhr friert ein. Ich kann zwar noch die Maus bewegen, aber wenn ich damit über den Monitor wandere zeigt dieser keine Reaktion. Nach 10 - 15 Minuten startet das Thunderbird dann. Das Problem hatte ich noch nie!

Kann es sein, dass sich da noch was direkt im Programm eingenistet hat, was nicht erkannt wurde? Am Montag wurden z. B. alle meine bisher gesendeten Mails gelöscht, was für mich leider eine ziemliche Katastrophe ist.

Für weitere Hilfe wäre ich sehr dankbar.