Hallo Ihr,

ich bitte um Hilfe. Avira meldete mir o.g. Plagegeist.

Ereignisse siehe Anhang logfiles.zip



Anschließend ließ ich mehrfach Malwarebytes laufen:

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.65.1.1000
www.malwarebytes.org

Datenbank Version: v2012.10.21.05

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 6.0.2900.5512
Thomas :: THOMAS-MOBIL [Administrator]

Schutz: Aktiviert

21.10.2012 20:20:42
mbam-log-2012-10-21 (20-20-42).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 211957
Laufzeit: 16 Minute(n), 52 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 2
HKCR\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32| (Trojan.0Access) -> Bösartig: (C:\RECYCLER\S-1-5-18\$4056f123225d2679315b8f351e9eaa2c\n.) Gut: (fastprox.dll) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCR\CLSID\{FBEB8A05-BEEE-4442-804E-409D6C4515E9}\InProcServer32| (Trojan.0Access) -> Bösartig: (C:\RECYCLER\S-1-5-21-4282130998-2645985860-2439269719-1005\$4056f123225d2679315b8f351e9eaa2c\n.) Gut: (shell32.dll) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 3
C:\RECYCLER\S-1-5-18\$4056f123225d2679315b8f351e9eaa2c\n (Trojan.0Access) -> Löschen bei Neustart.
C:\RECYCLER\S-1-5-21-4282130998-2645985860-2439269719-1005\$4056f123225d2679315b8f351e9eaa2c\n (Trojan.0Access) -> Löschen bei Neustart.
C:\WINDOWS\assembly\GAC\Desktop.ini (Rootkit.0access) -> Löschen bei Neustart.

(Ende)
         

danach

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.65.1.1000
www.malwarebytes.org

Datenbank Version: v2012.10.21.05

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 6.0.2900.5512
Thomas :: THOMAS-MOBIL [Administrator]

Schutz: Aktiviert

21.10.2012 20:47:21
mbam-log-2012-10-21 (20-47-21).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 212025
Laufzeit: 16 Minute(n), 35 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         

Im Anhang sieht man die in Quarantäneergebnisse

OTL.txt Extras.txt und gmer.txt siehe Anhang logfiles.zip


Ich hoffe, als DAU alles einigermaßen richtig dokumentiert zu haben.
Nicht gescannt wurde eine mobile Festplatte, die einige Tage nicht angeschlossen war und ebenso ein USB-Stick.
Das Samsung NC 10 hat Samsung Recovery Solution zur Wiederherstellung des Auslieferungszustandes auf der Platte.
Muss ich das ausführen und ist dann alles sauber?

Vielen Dank im Voraus für Eure Mühe

Thomas

Hallo und Herzlich Willkommen!

Habe leider schlechte Nachricht für Dich, da hast Du Dir ein grausliches Tierchen eingefangen:

Zitat:

win32.ZAccess

Das System sollte sofort vom Internet getrennt und dringend neu installiert werden (alle anderen Optionen sind Unsinn!), da die Bekämpfung diese Art der Infektion ohne div. Nebenwirkungen und hinterlassenen Schaden, die immer wieder [auf verschiedene Weise] Probleme bereiten können, ist nicht möglich!

- einen Backdoor mit Rootkitfunktionalität

diese Malware verwendet Rootkit-Technologie und Backdoor-Routine
*was sind Backdoors und Rootkits*

Verhaltensweise:
"speicherresident"

Tipps & Rat:

➊
Datensicherung:
► NUR Daten sichern, die nicht ausführbaren Dateien enthalten - Dateiendungen - Dies ist eine Liste von Dateiendungen, die Dateien mit ausführbarem Code bezeichnen können.
- Vorsicht mit den schon vorhandenen Dateien auf die extern gespeicherten Daten und auch jetzt mit dem Virus infizierte Dateien eine Datensicherung anzufertigen
- Am besten alles was dir sehr wichtig, separat (extern) sichern - nicht mischen eventuell früher geschicherten Daten, also vor dem Befall!
- Eventuell gecrackte Software nicht sichern und dann auf neu aufgesetztem System wieder drauf installieren!


➋
-> Anleitung: Neuaufsetzen des Systems + Absicherung
-> Anleitung zum Neuaufsetzen - Windows XP, Vista und Win7

➌
- Vor zurückspielen - bevor du mit deinem PC direkt ins Netz gehst...:
- die Autoplay-Funktion für alle Laufwerke deaktivieren/ausschalten -> Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten

Die auf eine externe Festplatte gesicherten Daten, gründlich zu scannen von einem suaberen System aus, am besten mit mehreren Scannern-> Kostenlose Online Scanner - Anleitung
Absolut empfehlenswerter Scanner:

Zitat:

Eset Online Scanner (NOD32)
Panda-Aktivscan
Symantec Security Check

Die Online-Scanner sind alle reine On-Demand-Scanner. Sie durchsuchen einzelne Dateien oder Verzeichnisse, wahlweise die gesamte Festplatte, haben keinen Hintergrundwächter oder andere residente Prozesse. Dadurch verbrauchen sie ausser Festplattenspeicher keine Resourcen und man kann beliebig viele gleichzeitig installieren. Die Online-Scanner sind gut geeignet um sich eine zweite Meinung einzuholen.

➍
Ich würde Dir vorsichtshalber raten, dein Passwort zu ändern
z.B. Login-, Mail- oder Website-Passwörter
Tipps:
Die sichere Passwort-Wahl - (sollte man eigentlich regelmäßigen Abständen ca. alle 3-5 Monate ändern)
auch noch hier unter: Sicheres Kennwort (Password)

gruß
kira

Hallo Kira,

vielen Dank für die schnelle Antwort. Die Passwörter habe ich schon geändert.
Zwei Fragen bleiben trotzdem noch:
1) Reicht die Recocery Lösung von SAMSUNG oder muss ich mir Windows-XP als CD kaufen?
Im ersten Fall kann ich ja die Platte nicht formatieren, da sonst ja keine Wiederherstellung möglich ist.
2) Ich habe noch einen Aldi PC, der aber nicht über Netzwerk verbunden ist, allenfalls findet ein Datenaustausch über USB-Stick statt. Dort hat Avira bisher nichts gefunden.
Reicht dort eine Prüfung mit malewarebytes, um sicher zu gehen, dass sich dort nichts eingenistet hat?

Für den ALDI-PC gibt es eine Wiederherstellungs-CD

Viele Grüße

Thomas

Zitat:

1) Reicht die Recocery Lösung von SAMSUNG
....kann ich ja die Platte nicht formatieren, da sonst ja keine Wiederherstellung möglich ist.

ja, dein System wird in "seinen ursprünglichen Zustand zurückversetzt"
- um den Laptop, in seinen ursprünglichen Betriebszustand zurückzuversetzen: mit dem vorinstallierten Programm:
Start->Alle Programme-> Samsung-> Samsung Recovery Solution. Mit diesem Programm wird der ursprüngliche Zustand wieder hergestellt, genau aus dem Handbuch der Herstellers entnehmen kannst
-> http://support-us.samsung.com/cyber/...e=&session_id=

Zitat:

2) Ich habe noch einen Aldi PC, der aber nicht über Netzwerk verbunden ist, allenfalls findet ein Datenaustausch über USB-Stick statt. Dort hat Avira bisher nichts gefunden.
Reicht dort eine Prüfung mit malewarebytes, um sicher zu gehen, dass sich dort nichts eingenistet hat?

ja, außerdem USB-Stick anschließen und einen Vollscan machen mit:

Zitat:

Eset Online Scanner (NOD32)
Panda-Aktivscan
Symantec Security Check

-> Kostenlose Online Scanner - Anleitung)
Achtung!:
beim Anschließen (USB-Stick), die Hochstell-Taste [Shift-Taste] gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird. (So verhindest Du die Ausführung der AUTORUN-Funktion) - Man kann die AUTORUN-Funktion aber auch generell abschalten.►Anleitung

Hi Kira,

vielen Dank für Deine Mühe und die Tipps. Genau so werde ich das machen.
Ich finde es toll, dass es selbstlose Helfer wie Euch gibt.

Viele Grüße

Thomas