hallo,

laut unserem inet-provider wurde von unserer ip kontakt zu einem botnetz aufgenommen - sprich: wir haben uns wohl einen trojaner eingefangen. laut provider ist dafür der "zeroaccess" verantwortlich.

eine bereinigung steht für mich zwar nicht zur debatte, denn der kompromitierte computer wird sicherheitshalber neu installiert, aber ich habe ein anderes problem damit.

wir sind hier ein mehrpersonenhaushalt mit mehreren pcs, notebooks und smartphones. doch wie finde ich den betroffenen rechner? leider logt unser dsl-router nur die ip, mit der auf den router zugegriffen wird, aber nicht worauf zugegriffen werden soll.

- da dieses rootkit wohl bevorzugt zur bitcoin berechnung verwendet wird, möchte ich die smartphones zwar nicht völlig ausschliessen, aber zunächst zurückstellen.
- ein fremdzugriff über unser wlan, kommt auch eher weniger in betracht, da nur registrierte mac-adressen darauf zugriff haben.
- ein entsprechendes "removal-tool", dass ich lediglich zu identifizierung nutzen möchte, scheint es nur von bitdefender (hxxp://www.bitdefender.de/news/rootkit-zeroaccess-entfernen:-bitdefender-stellt-kostenloses-removal-tool-bereit-2223.html) unter "malwarecity" (hxxp://www.hotforsecurity.com/downloads?app=downloads&showfile=34) zu geben - oder wie man dort sieht, eben auch nicht mehr ("no download found!")
- hier habe ich zwar einiges zu diesem schädling gefunden, aber nichts zur erkennung (oder ich sehe mittlerweile den wald vor lauter bäumen nicht mehr)
- hauptinfektionswege sind wohl java- oder adobe reader-lücken. deswegen kann ich auch keine rückschlüsse auf einen potentiellen benutzer schliessen.

gibt es eine möglichkeit, dass betroffene system herauszufinden?

unseren virenschutz, der üblicherweise durch "zeroaccess" unbrauchbar gemacht wird, sieht nirgendwo ungewöhnlich aus. das symbol ist überall in der taskleiste, ist aktuell und scannt (zumindest angeblich). nur wird nichts gefunden - nirgends.

jetzt scannt "gmer" (empfehlung des providers) die systeme im full-scan, scheint aber auch nichts zu finden...

für jede idee wäre ich äusserst dankbar!


gruss,
greg67

Hi,

scanne die Systeme mit FRST und poste die Logs hier, dann kann ich dir sagen, wo ZA drauf ist.


Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

grüss dich aharonov,

zunächst vielen dank und im anhang die beiden auswertungen.

äh, aber willst du dir das wirklich antun und die logs auswerten? ich hätte lieber eine hilfe zur selbsthilfe. nicht das ich deine mühen nicht zu schätzen wüsste, aber wie bereits erwähnt, geht es um einen "mehrpersonenhaushalt" - und ob das noch zumutbar ist? ;-)

das bedeutet:

- 3 pcs
- 3 notebooks
- 1 fileserver
- 2 multimedia-pcs
- ggf. 4 smartphones

;-)

gruss,
greg67

Auf diesem Rechner ist kein ZeroAccess und er sieht auch sonst gut aus.

Das mit der Selbsthilfe ist da so eine Sache.. Von ZeroAccess gibt es eben verschiedene Varianten. Ich kann gerne bei jedem Rechner (Smartphones kann man aussen vor lassen) drüberschauen, ob es Anzeichen für ZeroAccess oder sonstige Malware gibt - das ist überhaupt kein Problem.
Wenn du trotzdem auf eigene Faust vorgehen möchtest, dann kann ich MBAR empfehlen (aber bei dem sind nicht alle gefundenen Einträge auch wirklich gefährlich!).

hm ... unter berücksichtigung, dass im schlimmsten fall die kripo vor der tür steht und ich auf dem gebiet eher ein laie bin, greif ich doch lieber auf das angebot eines profis zurück.

wenn wir durch sind schau ich mal, ob ich dein ergebnis mit dem mbar verifizieren kann. dann kann ich beim nächstenmal auf entsprechende erfahrungen zurückgreifen (wird sicherlich nur eine frage der zeit sein).

übrigens sind die von dir angesprochenen "unzähligen varianten" auch der grund dafür, dass ich eine Neuinstallation einer bereinigung vorziehe. ne neue version von dem mist und schon funktionieren die "removal-tools" nicht mehr zuverlässig... ;-)

die logs sind wieder im anhang (sorry, beim letztenmal hatte ich vergessen, sie als code zu posten und jetzt sind es zuviele und ich kann sie nur anhängen).

eventuell zu erwähnende besonderheiten:

- der eine media-pc wird teilweise auch als spielkonsole verwendet
- der zweite media-pc ist eigentlich noch nicht im einsatz, aber in dem entsprechenden zeitraum hatte ich daran rumgebastelt, er hat statt avg windowsdefender drauf
- der server hat keinen virenschutz, da er als reiner fileserver dient, es laufen zwei tools drauf, eines zur überwachung, eines um mich von unterwegs per handy darauf zu verbinden (nagut zeitweise ist er im heimnetzwerk auch mal minecraft- oder terraria-server)
- die spiele sind alle frei von hacks, cracks und no-cd-cheats (den dingern trau ich zurecht nicht über'n weg)

jetzt fehlen noch drei rechner, der von meiner frau und die meiner beiden jungs. die kann ich erst morgen prüfen und die logs posten.

nochmal meinen herzlichsten dank für deine mühen!


gruss,
greg67

Das sieht immer noch gut aus bis hierhin. Warten wir noch auf die verbleibenden Logs, ob sich deine Frau oder die Jungs was eingefangen haben..

so, hier noch die fehlenden computer...

- der pc meiner frau sollte sauber sein
- die rechner meiner jungs sehen recht "komplex" aus
- und wenn ich schon sehe, allein welche "toolbars & co" mein jüngster hat, habe ich meinen favoriten ;-)

aber das ist nur eine vermutung und hat nix mit gewissheit zu tun.


gruss,
greg67

Hallo,

der Rechner NB-Jus hat jede Menge Mist drauf, aber das ist nur Adware und keine gefährlich Malware. Wenn du möchtest, kann ich dir dort beim Aufräumen helfen. Auch haben manche Rechner alte Java-Versionen drauf und nicht aktuelle Adobe Flashplayer oder (uralte) Adobe PDF Reader Plugins.

Aber von ZeroAccess ist nichts zu sehen.
Du kannst die Rechner noch mit MBAR gegenchecken. Wenn irgendwo Funde auftauchen, kannst du das Log posten (denn dieser Scan findet auch harmlose Dinge):


Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

• Starte bitte die mbar.exe.
• Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
• Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
• Klicke auf den CleanUp Button und erlaube den Neustart.
• Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
• Nach dem Neustart starte die mbar.exe erneut.
• Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

passiert ... und es scheint als hätten wir den "schuldigen"! ;-)

beim start von mbar wird zunächst ein fenster angezeigt: "registry value appinit_dlls has been found, wich may be caused by rootkit activity". er schlägt eine entfernung vor, die offensichtlich fehlschlägt, da dass fenster sich in einer endloschleife öffnet. wenn wir den punkt überspringen setzt er fort.

zusammengefasst:

- im ersten durchlauf hat mbar 15 schädlinge gefunden. von adware bis zum trojaner.
- während des suchlaufs hat sich dann auch avg gemeldet, aber nur 6x.
- nach dem neustart inkl. bereinigung mbar erneut gestartet
- erneut die meldung mit der möglichen rootkit-aktivität, die sich weiterhin nicht entfernen lies
- im zweiten durchlauf hat mbar nichts mehr gefunden
- dennoch hat avg zwei dinge gemeldet

hier die logs:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes Anti-Rootkit BETA 1.06.1.1005
www.malwarebytes.org

Database version: v2013.08.23.03

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 10.0.9200.16660
Justin :: M-W7-JUSTIN [administrator]

23.08.2013 16:40:05
mbar-log-2013-08-23 (16-40-05).txt

Scan type: Quick scan
Scan options enabled: Anti-Rootkit | Drivers | MBR | Physical Sectors | Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUM | P2P
Scan options disabled: PUP
Objects scanned: 250456
Time elapsed: 27 minute(s), 35 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 1
HKCU\SOFTWARE\teeveewatchSA (Adware.HotBar.TVW) -> Delete on reboot.

Registry Values Detected: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|teeveewatchSA (Adware.Shopper) -> Data: "C:\Users\Justin\AppData\Local\teeveewatchSA\bin\1.0.10.0\teeveewatchSA.exe" -> Delete on reboot.

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 4
c:\Users\Justin\AppData\Local\TeeveeWatchSA (Adware.HotBar.TVW) -> Delete on reboot.
c:\Users\Justin\AppData\Local\TeeveeWatchSA\bin (Adware.HotBar.TVW) -> Delete on reboot.
c:\Users\Justin\AppData\Local\TeeveeWatchSA\bin\1.0.10.0 (Adware.HotBar.TVW) -> Delete on reboot.
c:\Users\Justin\AppData\Local\TeeveeWatchSA\data (Adware.HotBar.TVW) -> Delete on reboot.

Files Detected: 9
c:\Users\Justin\AppData\Local\TeeveeWatchSA\bin\1.0.10.0\teeveewatchSA.exe (Adware.Shopper) -> Delete on reboot.
c:\Users\Justin\AppData\Roaming\File Scout\filescout.exe (Trojan.PUP.Optional.FileScout.A) -> Delete on reboot.
c:\Users\Justin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\CKIP26NO\mein-gutscheincode[1].exe (Adware.Packed.Ranver) -> Delete on reboot.
c:\Users\Justin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\XW6NKMF3\7zipSetup[1].exe (Adware.AdBundle) -> Delete on reboot.
c:\Users\Justin\AppData\Local\TeeveeWatchSA\bin\1.0.10.0\copyright.txt (Adware.HotBar.TVW) -> Delete on reboot.
c:\Users\Justin\AppData\Local\TeeveeWatchSA\data\teeveewatchSA.dat (Adware.HotBar.TVW) -> Delete on reboot.
c:\Users\Justin\AppData\Local\TeeveeWatchSA\data\TeeveeWatchSAau.dat (Adware.HotBar.TVW) -> Delete on reboot.
c:\Users\Justin\AppData\Local\TeeveeWatchSA\data\TeeveeWatchSA_hpk.dat (Adware.HotBar.TVW) -> Delete on reboot.
c:\Users\Justin\AppData\Local\TeeveeWatchSA\data\TeeveeWatchSA_kyf.dat (Adware.HotBar.TVW) -> Delete on reboot.

Physical Sectors Detected: 0
(No malicious items detected)

(end)
         

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes Anti-Rootkit BETA 1.06.1.1005
www.malwarebytes.org

Database version: v2013.08.23.03

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 10.0.9200.16660
Justin :: M-W7-JUSTIN [administrator]

23.08.2013 17:23:55
mbar-log-2013-08-23 (17-23-55).txt

Scan type: Quick scan
Scan options enabled: Anti-Rootkit | Drivers | MBR | Physical Sectors | Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUM | P2P
Scan options disabled: PUP
Objects scanned: 250271
Time elapsed: 27 minute(s), 19 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

Physical Sectors Detected: 0
(No malicious items detected)

(end)
         

fazit: er darf heute abend eine Neuinstallation durchführen, damit er sich zukünftig überlegt, ob er weiterhin jeden mist drauflässt! ;-)

möchtest du noch irgendetwas testen, bevor wir die Neuinstallation durchführen? wenn es auch zu nix mehr zu gebrauchen ist, dann wenigstens als "schulungsobjekt".

schön wäre natürlich noch die gewissheit dafür zu haben. aber eine derartige wahrscheinlichkeit reicht mir erstmal...

vielen dank!


gruss,
greg67

Hallo,

die Funde von MBAR sind total harmlos, das ist alles nur Adware (das PUP in Trojan.PUP.Optional.FileScout.A steht für "potentially unwanted program"). Auch die Meldung wegen der appinit_dlls ist nichts Aussergewöhnliches. Was hat AVG denn genau gefunden?
Es ist sicher keine schlechte Idee, diesem zugemüllten Rechner einen sauberen Neustart zu gönnen, aber die Ursache für die Warnung eures Providers ist bis jetzt nicht gefunden!

also ...

- wenn ich jetzt einen vollscan mit avg durchlaufen lasse, findet er

- trojaner: downloader.generic_c_ems [gesichert]
c:\windows\system32\macromedia\flash\flashplayer\flashplayerupdateservice.exe

- trojaner: downloader.generic_c_ems [in virenquarantäne verschoben]
c:\windows\system32\flashplayerupdateservice.exe

- adware: generics.aafe [in virenquarantäne verschoben]
c:\program files\browsertosave\sprotector.dll

einer mehr als vorhin beim mbar-scan...

und nun?


gruss,
greg67

Du kannst ja auch die restlichen Rechner noch mit MBAR checken und bei Funden das Log posten.
Hat denn auch nie einer der installierten Antivirenscanner auf einem der Computer angeschlagen und etwas entfernt?

hallo aharonov

doch schon. mir wurde mal etwas bei nem download angezeigt und gleich in quarantäne verschoben. beim meinem älteren sohn auch hin und wieder mal. laut historie meines jüngsten wurde bei ihm schon in der vergagenheit immer wieder mal etwas in quarantäne geschoben. es sah aber immer so aus, als wenn alles erfolgreich verhindert wurde.

der aktuelle stand ist jedenfalls, mein sohn hat sein notebook bereits neu installiert. er wollte doch irgendwann mal wieder mit seinen kumpels zocken. ;-)

ich werde jetzt die anderen kisten nochmal mit mbar checken und wenn da nichts ungewöhnliches angezeigt wird, gehe ich davon aus, dass jetzt wieder alles ok ist. und frage auch nochmal beim provider nach, ob sie noch irgendwelche aktivitäten feststellen können.

mir sind jedoch noch zwei dinge aufgefallen:

1. hatte ich bereits erwähnt, dass auf meinen fileserver zwei tools laufen, um mich unterwegs per handy mit unserem heimnetzwerk zu verbinden. wir haben einen normalen dsl-anschluss mit 24stündiger zwangstrennung. eines der tools teilt mir folglich zuverlässig mit, wann sich die vom provider zugeteilte ip ändert und wie sie lautet. entsprechend erhalte ich mindestens eine mail pro tag. nur ausgerechnet an diesem tag, als der provider diese aktivität verzeichnete erhielt ich keine. und es fing ungefähr 30min nach der vorgesehenen zwangstrennung an. alle anderen mails sind vollständig vorhanden - nur von diesem tag nicht. deswegen sieht es für mich danach aus, als hätte sie garnicht stattgefunden.

2. es ist jetzt schon einige wochen her, da kam mein sohn nicht mehr per wlan ins netz. nachdem ich alles überprüft hatte, stellte ich fest, dass die eingetragene mac-adresse im router nicht mit seiner übereinstimmte. ich konnte mir das nicht erklären und hab sie korrigiert. jetzt nach der Neuinstallation dasselbe spiel und mir ist sofort die mac-adresse eingefallen. ich weiss dass programme virtuelle netzwerkkarten installieren (virtualbox, hamachi usw.) die natürlich eine virtuelle mac-adresse verwenden. aber welche software ändert eine mac-adresse der wlan-karte und vor allem wozu?

gut, beides müssen nichts mit dem rootkit zu tun haben, ich wüsste auch nicht was (es sei denn, es handelte sich um hackeraktivitäten aus der nachbarschaft - aber das wäre wohl zuweit hergeholt), aber das waren die einzig ungewöhnlichen vorfälle in den letzten wochen.

wie auch immer...

sollte ich noch etwas feststellen würde ich mich gerne nochmal melden, sei es bezüglich hilfe oder um dich/euch auf dem laufenden zu halten.

ansonsten bedanke ich mich recht herzlich für eure hilfe und ganz besonders für deine unterstützung!

ich wünsch dir was!


gruss,
greg67

Hallo,

und ist noch irgendwo ein Fund aufgetaucht mit MBAR?

Zitat:

und frage auch nochmal beim provider nach, ob sie noch irgendwelche aktivitäten feststellen können.

Das würd ich machen, ja.

Bei den Punkten 1. und 2. seh ich keinen Zusammenhang zu einer weltweiten Massenware-Malware wie es ZeroAccess ist.

Hi,

ich hab schon länger keine Antwort mehr von dir erhalten. Brauchst du weiterhin noch Hilfe?

Wenn ich in den nächsten 24 Stunden nichts von dir höre, gehe ich davon aus, dass sich das Thema erledigt hat und lösche es aus meinen Abos.