| Badabingg | 24.07.2015 13:21 |
Nerviges ZeroAccess / TDSS Rootkit (?) entfernen
Liste der Anhänge anzeigen (Anzahl: 1) Hallo,
folgendes Problem: Auf meinem Rechner hat sich ein Rootkit eingenistet, welches ich einfach nicht loswerde. Mit hoher Wahrscheinlichkeit sitzt die Quelle nicht auf der Systempartition, da ich mein System per WHS Backup schon mehrfach auf verschiedene Punkte in der Vergangenheit zurückgesetzt habe und das "Symptom" trotzdem immer wieder kommt.
Ich nehme mal an, dass ich von irgendeiner Variante von ZeroAccess / TDSS infiziert wurde (zuerst dachte ich aufgrund der Symptome, ein Update / Treiber hat nur 'ne Macke), da:
- sich verschiedene Systemprogramme (Windows Update, cleanmgr, usw.) nicht ausführen lassen, auch nicht im abgesicherten Modus, teilweise auch windowsfremde Programme wie z. B. Steam
- Antivirusscanner (nutze derzeit Avast / Security Essentials) im Scan "freezen" bzw. ewig an einer Datei festhängen (svchost, wmapi, usw.). Deinstalliert man diese, ist eine Neuinstallation nicht möglich.
- Runterfahren des Rechners ist nicht möglich, idR hängt er endlos in der Abmeldung / beim Herunterfahren
- dazu das gefühlt ewig Laden von Webseiten, was bei dem massiven Anstieg von diversen Trafficcookies nicht wundert :lach:
Durch einen Fehler, der mir nach der Deinstallation von Essentials angezeigt wurde, kam ich drauf, dass es VIELLEICHT ZeroAccess / TDSS ist: Error Code: 0x80073b01.
Ich habe alle Schritte und Tools, die in diversen Microsoftthreads empfohlen werden und auf anderen Seiten (z. B. hier) empfohlen werden durch - bis auf die o. g. Trafficcookies und als PUP eingestufte Programme findet da aber kein einziges Tool irgendetwas, nur "Nichtmalware".
HitmanPro hängt (Klassifizierung 98 %), wie auch RogueKiller (Tasks werden gesucht), im normalen Modus meist fest. Wenn TDSSKiller oder Malwarebytes was findet, dann nur "Symptome" (Cookies, verdächtige DLLs), aber nie die Ursache.
Anbei schonmal das log von MBAM, auch wenn sich da meiner Meinung nach nichts draus lesen lässt, ich ratter jetzt nochmal alles im abgesicherten Modus durch + Punkt 2 für neue Themen im Forum. Code:
Malwarebytes Anti-Malware
www.malwarebytes.org
Suchlaufdatum: 24.07.2015
Suchlaufzeit: 14:01
Protokolldatei: mbam-log.txt
Administrator: Ja
Version: 2.1.8.1057
Malware-Datenbank: v2015.07.24.05
Rootkit-Datenbank: v2015.07.22.01
Lizenz: Testversion
Malware-Schutz: Aktiviert
Schutz vor bösartigen Websites: Aktiviert
Selbstschutz: Deaktiviert
Betriebssystem: Windows 7 Service Pack 1
CPU: x64
Dateisystem: NTFS
Benutzer: Midgaardslang
Suchlauftyp: Bedrohungssuchlauf
Ergebnis: Abgeschlossen
Durchsuchte Objekte: 375724
Abgelaufene Zeit: 13 Min., 49 Sek.
Speicher: Aktiviert
Start: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Deaktiviert
Heuristik: Aktiviert
PUP: Aktiviert
PUM: Aktiviert
Prozesse: 0
(keine bösartigen Elemente erkannt)
Module: 0
(keine bösartigen Elemente erkannt)
Registrierungsschlüssel: 5
PUP.Optional.IEBho.A, HKLM\SOFTWARE\WOW6432NODE\CLASSES\CLSID\{C32F5BF7-6918-4F78-A97A-53CDF7D07C8C}, , [f0a593523e4cb086bceed4b3b84af20e],
PUP.Optional.IEBho.A, HKLM\SOFTWARE\CLASSES\WOW6432NODE\CLSID\{C32F5BF7-6918-4F78-A97A-53CDF7D07C8C}, , [f0a593523e4cb086bceed4b3b84af20e],
PUP.Optional.IEBho.A, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\BROWSER HELPER OBJECTS\{C32F5BF7-6918-4F78-A97A-53CDF7D07C8C}, , [f0a593523e4cb086bceed4b3b84af20e],
PUP.Optional.IEBho.A, HKU\S-1-5-21-354265627-1135104063-2868451592-1000\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXT\SETTINGS\{C32F5BF7-6918-4F78-A97A-53CDF7D07C8C}, , [f0a593523e4cb086bceed4b3b84af20e],
PUP.Optional.IEBho.A, HKU\S-1-5-21-354265627-1135104063-2868451592-1000\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXT\STATS\{C32F5BF7-6918-4F78-A97A-53CDF7D07C8C}, , [f0a593523e4cb086bceed4b3b84af20e],
Registrierungswerte: 0
(keine bösartigen Elemente erkannt)
Registrierungsdaten: 1
PUM.Hijack.StartMenu, HKU\S-1-5-21-354265627-1135104063-2868451592-1000\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\ADVANCED|Start_ShowMyComputer, 0, Gut: (1), Schlecht: (0),,[d2c30adb3b4fa0963fd58ea93dc8fa06]
Ordner: 16
PUP.Optional.FaceMoods.A, C:\Users\Midgaardslang\AppData\LocalLow\facemoods.com, , [4b4a6c791476f0462f401fbeff0340c0],
PUP.Optional.FaceMoods.A, C:\Users\Midgaardslang\AppData\LocalLow\facemoods.com\facemoods, , [4b4a6c791476f0462f401fbeff0340c0],
PUP.Optional.FaceMoods.A, C:\Users\Midgaardslang\AppData\LocalLow\facemoods.com\facemoods\Microsoft, , [4b4a6c791476f0462f401fbeff0340c0],
PUP.Optional.FaceMoods.A, C:\Users\Midgaardslang\AppData\LocalLow\facemoods.com\facemoods\Microsoft\Internet Explorer, , [4b4a6c791476f0462f401fbeff0340c0],
PUP.Optional.FaceMoods.A, C:\Users\Midgaardslang\AppData\LocalLow\facemoods.com\facemoods\Microsoft\Internet Explorer\UserData, , [4b4a6c791476f0462f401fbeff0340c0],
PUP.Optional.FaceMoods.A, C:\Users\Midgaardslang\AppData\LocalLow\facemoods.com\facemoods\Microsoft\Windows, , [4b4a6c791476f0462f401fbeff0340c0],
PUP.Optional.FaceMoods.A, C:\Users\Midgaardslang\AppData\LocalLow\facemoods.com\facemoods\Microsoft\Windows\IECompatCache, , [4b4a6c791476f0462f401fbeff0340c0],
PUP.Optional.FaceMoods.A, C:\Users\Midgaardslang\AppData\LocalLow\facemoods.com\facemoods\Microsoft\Windows\iecompatuaCache, , [4b4a6c791476f0462f401fbeff0340c0],
PUP.Optional.FaceMoods.A, C:\Users\Midgaardslang\AppData\LocalLow\facemoods.com\facemoods\Microsoft\Windows\IEDownloadHistory, , [4b4a6c791476f0462f401fbeff0340c0],
PUP.Optional.FaceMoods.A, C:\Users\Midgaardslang\AppData\LocalLow\facemoods.com\facemoods\Microsoft\Windows\IETldCache, , [4b4a6c791476f0462f401fbeff0340c0],
PUP.Optional.FaceMoods.A, C:\Users\Midgaardslang\AppData\LocalLow\facemoods.com\facemoods\Microsoft\Windows\PrivacIE, , [4b4a6c791476f0462f401fbeff0340c0],
PUP.Optional.SupTab.A, C:\Users\Midgaardslang\AppData\Roaming\SupTab, , [5144d5101c6e3ff711741cd0ac5623dd],
PUP.Optional.SweetPage.ShrtCln, C:\Users\Midgaardslang\AppData\Roaming\sweet-page, , [5d385e87d5b5013579eccb268f738e72],
PUP.Optional.SweetPage.ShrtCln, C:\Users\Midgaardslang\AppData\Roaming\sweet-page\images, , [5d385e87d5b5013579eccb268f738e72],
PUP.Optional.SweetPage.ShrtCln, C:\Users\Midgaardslang\AppData\Roaming\sweet-page\log, , [5d385e87d5b5013579eccb268f738e72],
PUP.Optional.IEBho.A, C:\Users\Midgaardslang\AppData\LocalLow\IE-BHO, , [64319c49b5d561d5e43a1ce18280e818],
Dateien: 5
PUP.Optional.IEBho.A, C:\Users\Midgaardslang\AppData\LocalLow\IE-BHO\bho.dll, , [f0a593523e4cb086bceed4b3b84af20e],
PUP.Optional.Skytech.A, C:\Users\Midgaardslang\AppData\Roaming\sweet-page\UninstallManager.exe, , [1e77bc29a1e955e1f11163c9c23f5da3],
PUP.Optional.FaceMoods.A, C:\Users\Midgaardslang\AppData\LocalLow\facemoods.com\facemoods\Microsoft\Windows\IECompatCache\container.dat, , [4b4a6c791476f0462f401fbeff0340c0],
PUP.Optional.SweetPage.ShrtCln, C:\Users\Midgaardslang\AppData\Roaming\sweet-page\log\UninstallManager_2014-04-28[02-16-08-199].log, , [5d385e87d5b5013579eccb268f738e72],
PUP.Optional.IEBho.A, C:\Users\Midgaardslang\AppData\LocalLow\IE-BHO\ie.ini, , [64319c49b5d561d5e43a1ce18280e818],
Physische Sektoren: 0
(keine bösartigen Elemente erkannt)
(end)
|
So funktioniert es:
FRST 32-Bit | FRST 64-Bit