Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Nerviges ZeroAccess / TDSS Rootkit (?) entfernen

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 24.07.2015, 13:21   #1
Badabingg
 
Nerviges ZeroAccess / TDSS Rootkit (?) entfernen - Standard

Nerviges ZeroAccess / TDSS Rootkit (?) entfernen



Hallo,

folgendes Problem: Auf meinem Rechner hat sich ein Rootkit eingenistet, welches ich einfach nicht loswerde. Mit hoher Wahrscheinlichkeit sitzt die Quelle nicht auf der Systempartition, da ich mein System per WHS Backup schon mehrfach auf verschiedene Punkte in der Vergangenheit zurückgesetzt habe und das "Symptom" trotzdem immer wieder kommt.

Ich nehme mal an, dass ich von irgendeiner Variante von ZeroAccess / TDSS infiziert wurde (zuerst dachte ich aufgrund der Symptome, ein Update / Treiber hat nur 'ne Macke), da:
- sich verschiedene Systemprogramme (Windows Update, cleanmgr, usw.) nicht ausführen lassen, auch nicht im abgesicherten Modus, teilweise auch windowsfremde Programme wie z. B. Steam
- Antivirusscanner (nutze derzeit Avast / Security Essentials) im Scan "freezen" bzw. ewig an einer Datei festhängen (svchost, wmapi, usw.). Deinstalliert man diese, ist eine Neuinstallation nicht möglich.
- Runterfahren des Rechners ist nicht möglich, idR hängt er endlos in der Abmeldung / beim Herunterfahren
- dazu das gefühlt ewig Laden von Webseiten, was bei dem massiven Anstieg von diversen Trafficcookies nicht wundert

Durch einen Fehler, der mir nach der Deinstallation von Essentials angezeigt wurde, kam ich drauf, dass es VIELLEICHT ZeroAccess / TDSS ist: Error Code: 0x80073b01.

Ich habe alle Schritte und Tools, die in diversen Microsoftthreads empfohlen werden und auf anderen Seiten (z. B. hier) empfohlen werden durch - bis auf die o. g. Trafficcookies und als PUP eingestufte Programme findet da aber kein einziges Tool irgendetwas, nur "Nichtmalware".

HitmanPro hängt (Klassifizierung 98 %), wie auch RogueKiller (Tasks werden gesucht), im normalen Modus meist fest. Wenn TDSSKiller oder Malwarebytes was findet, dann nur "Symptome" (Cookies, verdächtige DLLs), aber nie die Ursache.

Anbei schonmal das log von MBAM, auch wenn sich da meiner Meinung nach nichts draus lesen lässt, ich ratter jetzt nochmal alles im abgesicherten Modus durch + Punkt 2 für neue Themen im Forum.

Code:
ATTFilter
 Malwarebytes Anti-Malware 
www.malwarebytes.org
Suchlaufdatum: 24.07.2015
Suchlaufzeit: 14:01
Protokolldatei: mbam-log.txt
Administrator: Ja
Version: 2.1.8.1057
Malware-Datenbank: v2015.07.24.05
Rootkit-Datenbank: v2015.07.22.01
Lizenz: Testversion
Malware-Schutz: Aktiviert
Schutz vor bösartigen Websites: Aktiviert
Selbstschutz: Deaktiviert
Betriebssystem: Windows 7 Service Pack 1
CPU: x64
Dateisystem: NTFS
Benutzer: Midgaardslang
Suchlauftyp: Bedrohungssuchlauf
Ergebnis: Abgeschlossen
Durchsuchte Objekte: 375724
Abgelaufene Zeit: 13 Min., 49 Sek.
Speicher: Aktiviert
Start: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Deaktiviert
Heuristik: Aktiviert
PUP: Aktiviert
PUM: Aktiviert
Prozesse: 0
(keine bösartigen Elemente erkannt)
Module: 0
(keine bösartigen Elemente erkannt)
Registrierungsschlüssel: 5
PUP.Optional.IEBho.A, HKLM\SOFTWARE\WOW6432NODE\CLASSES\CLSID\{C32F5BF7-6918-4F78-A97A-53CDF7D07C8C}, , [f0a593523e4cb086bceed4b3b84af20e], 
PUP.Optional.IEBho.A, HKLM\SOFTWARE\CLASSES\WOW6432NODE\CLSID\{C32F5BF7-6918-4F78-A97A-53CDF7D07C8C}, , [f0a593523e4cb086bceed4b3b84af20e], 
PUP.Optional.IEBho.A, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\BROWSER HELPER OBJECTS\{C32F5BF7-6918-4F78-A97A-53CDF7D07C8C}, , [f0a593523e4cb086bceed4b3b84af20e], 
PUP.Optional.IEBho.A, HKU\S-1-5-21-354265627-1135104063-2868451592-1000\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXT\SETTINGS\{C32F5BF7-6918-4F78-A97A-53CDF7D07C8C}, , [f0a593523e4cb086bceed4b3b84af20e], 
PUP.Optional.IEBho.A, HKU\S-1-5-21-354265627-1135104063-2868451592-1000\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXT\STATS\{C32F5BF7-6918-4F78-A97A-53CDF7D07C8C}, , [f0a593523e4cb086bceed4b3b84af20e], 
Registrierungswerte: 0
(keine bösartigen Elemente erkannt)
Registrierungsdaten: 1
PUM.Hijack.StartMenu, HKU\S-1-5-21-354265627-1135104063-2868451592-1000\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\ADVANCED|Start_ShowMyComputer, 0, Gut: (1), Schlecht: (0),,[d2c30adb3b4fa0963fd58ea93dc8fa06]
Ordner: 16
PUP.Optional.FaceMoods.A, C:\Users\Midgaardslang\AppData\LocalLow\facemoods.com, , [4b4a6c791476f0462f401fbeff0340c0], 
PUP.Optional.FaceMoods.A, C:\Users\Midgaardslang\AppData\LocalLow\facemoods.com\facemoods, , [4b4a6c791476f0462f401fbeff0340c0], 
PUP.Optional.FaceMoods.A, C:\Users\Midgaardslang\AppData\LocalLow\facemoods.com\facemoods\Microsoft, , [4b4a6c791476f0462f401fbeff0340c0], 
PUP.Optional.FaceMoods.A, C:\Users\Midgaardslang\AppData\LocalLow\facemoods.com\facemoods\Microsoft\Internet Explorer, , [4b4a6c791476f0462f401fbeff0340c0], 
PUP.Optional.FaceMoods.A, C:\Users\Midgaardslang\AppData\LocalLow\facemoods.com\facemoods\Microsoft\Internet Explorer\UserData, , [4b4a6c791476f0462f401fbeff0340c0], 
PUP.Optional.FaceMoods.A, C:\Users\Midgaardslang\AppData\LocalLow\facemoods.com\facemoods\Microsoft\Windows, , [4b4a6c791476f0462f401fbeff0340c0], 
PUP.Optional.FaceMoods.A, C:\Users\Midgaardslang\AppData\LocalLow\facemoods.com\facemoods\Microsoft\Windows\IECompatCache, , [4b4a6c791476f0462f401fbeff0340c0], 
PUP.Optional.FaceMoods.A, C:\Users\Midgaardslang\AppData\LocalLow\facemoods.com\facemoods\Microsoft\Windows\iecompatuaCache, , [4b4a6c791476f0462f401fbeff0340c0], 
PUP.Optional.FaceMoods.A, C:\Users\Midgaardslang\AppData\LocalLow\facemoods.com\facemoods\Microsoft\Windows\IEDownloadHistory, , [4b4a6c791476f0462f401fbeff0340c0], 
PUP.Optional.FaceMoods.A, C:\Users\Midgaardslang\AppData\LocalLow\facemoods.com\facemoods\Microsoft\Windows\IETldCache, , [4b4a6c791476f0462f401fbeff0340c0], 
PUP.Optional.FaceMoods.A, C:\Users\Midgaardslang\AppData\LocalLow\facemoods.com\facemoods\Microsoft\Windows\PrivacIE, , [4b4a6c791476f0462f401fbeff0340c0], 
PUP.Optional.SupTab.A, C:\Users\Midgaardslang\AppData\Roaming\SupTab, , [5144d5101c6e3ff711741cd0ac5623dd], 
PUP.Optional.SweetPage.ShrtCln, C:\Users\Midgaardslang\AppData\Roaming\sweet-page, , [5d385e87d5b5013579eccb268f738e72], 
PUP.Optional.SweetPage.ShrtCln, C:\Users\Midgaardslang\AppData\Roaming\sweet-page\images, , [5d385e87d5b5013579eccb268f738e72], 
PUP.Optional.SweetPage.ShrtCln, C:\Users\Midgaardslang\AppData\Roaming\sweet-page\log, , [5d385e87d5b5013579eccb268f738e72], 
PUP.Optional.IEBho.A, C:\Users\Midgaardslang\AppData\LocalLow\IE-BHO, , [64319c49b5d561d5e43a1ce18280e818], 
Dateien: 5
PUP.Optional.IEBho.A, C:\Users\Midgaardslang\AppData\LocalLow\IE-BHO\bho.dll, , [f0a593523e4cb086bceed4b3b84af20e], 
PUP.Optional.Skytech.A, C:\Users\Midgaardslang\AppData\Roaming\sweet-page\UninstallManager.exe, , [1e77bc29a1e955e1f11163c9c23f5da3], 
PUP.Optional.FaceMoods.A, C:\Users\Midgaardslang\AppData\LocalLow\facemoods.com\facemoods\Microsoft\Windows\IECompatCache\container.dat, , [4b4a6c791476f0462f401fbeff0340c0], 
PUP.Optional.SweetPage.ShrtCln, C:\Users\Midgaardslang\AppData\Roaming\sweet-page\log\UninstallManager_2014-04-28[02-16-08-199].log, , [5d385e87d5b5013579eccb268f738e72], 
PUP.Optional.IEBho.A, C:\Users\Midgaardslang\AppData\LocalLow\IE-BHO\ie.ini, , [64319c49b5d561d5e43a1ce18280e818], 
Physische Sektoren: 0
(keine bösartigen Elemente erkannt)

(end)
         

Alt 24.07.2015, 13:33   #2
schrauber
/// the machine
/// TB-Ausbilder
 

Nerviges ZeroAccess / TDSS Rootkit (?) entfernen - Standard

Nerviges ZeroAccess / TDSS Rootkit (?) entfernen



Hi,

Logs bitte immer in den Thread posten. Zur Not aufteilen und mehrere Posts nutzen.
Ich kann auf Arbeit keine Anhänge öffnen, danke.

So funktioniert es:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert mir massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu gross für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:
  • Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
  • Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
  • Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
  • Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.



Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST Download FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)
  • Starte jetzt FRST.
  • Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
  • Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
  • Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

__________________

__________________

Antwort

Themen zu Nerviges ZeroAccess / TDSS Rootkit (?) entfernen
entfernen, infiziert, installmanager.exe, malwarebytes, microsoft, pum.hijack.startmenu, pup.optional.facemoods.a, pup.optional.iebho.a, pup.optional.skytech.a, pup.optional.suptab.a, pup.optional.sweetpage.shrtcln, roguekiller, security, sweet-page, sweet-page entfernen, sweetpage, sweetpage entfernen, webseiten, windows update




Ähnliche Themen: Nerviges ZeroAccess / TDSS Rootkit (?) entfernen


  1. ZeroAccess rootkit - mistviech
    Plagegeister aller Art und deren Bekämpfung - 14.08.2013 (21)
  2. Rootkit, Bootkit, Rootkit.win32.tdss.ld4 - ich weiss nicht weiter..
    Log-Analyse und Auswertung - 18.03.2013 (1)
  3. Trojan.gen/ Rootkit Zeroaccess
    Plagegeister aller Art und deren Bekämpfung - 24.08.2012 (4)
  4. ZeroAccess - E Wind64 [Rootkit]
    Plagegeister aller Art und deren Bekämpfung - 07.08.2012 (0)
  5. Rootkit.Zeroaccess
    Plagegeister aller Art und deren Bekämpfung - 22.06.2012 (35)
  6. mediashifting - rootkit.zeroaccess
    Plagegeister aller Art und deren Bekämpfung - 17.02.2012 (14)
  7. rootkit tdss.d lässt sich nicht entfernen
    Log-Analyse und Auswertung - 27.10.2011 (60)
  8. Rootkit ZeroAccess ???
    Plagegeister aller Art und deren Bekämpfung - 14.10.2011 (8)
  9. AW: TDSSKiller: Google Umleitungen, TDSS, TDL3, Alureon rootkit entfernen
    Mülltonne - 05.10.2011 (0)
  10. Starforce? Rootkit Rootkit.TDSS! Bluescreens und Mbr laufend beschädigt!
    Plagegeister aller Art und deren Bekämpfung - 02.03.2011 (9)
  11. Rootkit.Win32.TDSS.mbr - Wie entfernen?
    Plagegeister aller Art und deren Bekämpfung - 01.11.2010 (13)
  12. Rootkit.Win32.TDSS.d lässt sich nicht entfernen!
    Plagegeister aller Art und deren Bekämpfung - 12.05.2010 (15)
  13. TDSS-Rootkit entfernen - wie?
    Plagegeister aller Art und deren Bekämpfung - 07.03.2010 (9)
  14. TDSSKiller: Google Umleitungen, TDSS, TDL3, Alureon rootkit entfernen
    Anleitungen, FAQs & Links - 19.01.2010 (2)
  15. Anleitung Rootkit.TDSS entfernen
    Anleitungen, FAQs & Links - 19.01.2010 (0)
  16. Rootkit TDSS entfernen
    Plagegeister aller Art und deren Bekämpfung - 29.09.2009 (54)
  17. Rootkit RKIT/TDss.G.22 Backdoorprogramm BDS/TDSS.adb und Trojaner TR/Proxy.GHY
    Log-Analyse und Auswertung - 21.12.2008 (28)

Zum Thema Nerviges ZeroAccess / TDSS Rootkit (?) entfernen - Hallo, folgendes Problem: Auf meinem Rechner hat sich ein Rootkit eingenistet, welches ich einfach nicht loswerde. Mit hoher Wahrscheinlichkeit sitzt die Quelle nicht auf der Systempartition, da ich mein System - Nerviges ZeroAccess / TDSS Rootkit (?) entfernen...
Archiv
Du betrachtest: Nerviges ZeroAccess / TDSS Rootkit (?) entfernen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.