Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: ZAccess.f und PMax.gen (+ Sinowal.knf)

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 28.12.2011, 14:45   #1
Riddle
 
ZAccess.f und PMax.gen (+ Sinowal.knf) - Standard

ZAccess.f und PMax.gen (+ Sinowal.knf)



Guten Tag zusammen,

wiedermal ein Virenbefall auf dem Rechner eines Freundes, den ich entfernen soll. Ich sehe zwar schon einige Posts zum Thema, aber da ihr ratet, immer einen eigenen zu erstellen, will ich das auch tun. Aufmerksam wurde mein Bekannter durch eine E-Mail von 1&1 mit dem Hinweis auf Torpig.

PC zeigt einige Auffälligkeiten, die teilweise schon wieder funktionieren: Antivir ausgeschaltet, kein WindowsUpdate möglich, neue Hardware wird nicht erkannt ...

Zuerst habe ich mit TDSS 2 Versuche gestartet. Damit konnte Sinowal.knf entfernt werden; ZAccess.f in serial.sys und PMax.gen in 3700555676:1660972579.exe dagegen auch beim 2. Versuch nicht.

Weiter mit defogger (keine Aufforderung zum Neustart); OTL: nur otl.txt erstellt; Gmer hat sich beim Scan verabschiedet.

Wie geht's jetzt weiter?

Gruß Riddle

Alt 28.12.2011, 15:05   #2
Chris4You
 
ZAccess.f und PMax.gen (+ Sinowal.knf) - Standard

ZAccess.f und PMax.gen (+ Sinowal.knf)



Hi,

das kann heiter werden, interessante Kombination...

Fangen wir mit Hitman mal an....
Hitman
Lade Dir die passende Version von Hitman runter (32/64Bit), laufen lassen und Log posten.
Downloads - SurfRight

Combofix
Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Antivierenlösung komplett auschalten und zwar so, dass sie sich auch nach einem Reboot NICHT einschaltet!

Achtung: In einigen wenigen Fällen kann es vorkommen, das der Rechner nicht mehr booten kann und Neuaufgesetzt werden muß!

Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report (ComboFix.txt) angezeigt, den bitte kopieren und in deinem Thread einfuegen.
Weitere Anleitung unter:http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird

chris
__________________

__________________

Alt 28.12.2011, 15:57   #3
Riddle
 
ZAccess.f und PMax.gen (+ Sinowal.knf) - Standard

ZAccess.f und PMax.gen (+ Sinowal.knf)



Hallo Chris,

schön, dass ich Dir so eine interessante Kombination bieten kann ... Mir wär's anders lieber!

Rückfrage zu Hitman: hat (wenn ich richtig gezählt habe) 15 Trojans gefunden, in unterschiedlich wichtigen (System-)Dateien. Soll ich die gleich entfernen/reparieren lassen? Du wolltest ja eigentlich nur die Log. Programm bietet nur Next und Chancel.
__________________

Alt 28.12.2011, 16:23   #4
Chris4You
 
ZAccess.f und PMax.gen (+ Sinowal.knf) - Standard

ZAccess.f und PMax.gen (+ Sinowal.knf)



Hi,

lass ihn von der Leine...
Das Problem bei den teilen, sie überschreiben dir Systemtreiber... und irgendwann mal den falschen... außerdem hinterlassen sie ein Programm was den gelöschten Rootkit wieder installiert, falls er erwischt wurde...
Daher ist das Ganze ein ziemlich häßliches Spiel (wenn nicht alles auf einmal erwischt wird)...
Direkt danach gleich combofix...

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 28.12.2011, 18:38   #5
Riddle
 
ZAccess.f und PMax.gen (+ Sinowal.knf) - Standard

ZAccess.f und PMax.gen (+ Sinowal.knf)



Sieht leider nicht gut aus. Würde dennoch Neuinstallation gerne vermeiden.

Habe offensichtlich beim 1. Durchlauf von Hitman einen Fehler gemacht, da wie in einer Schleife immer wieder eine Meldung der Datenausführungsverhinderung zu WindowsUpdate kam. Daraufhin hatte ich Hitman abgebrochen. Bei einem 2. Start wurde dann zwar weniger gefunden, Screenshot anbei, dafür klappt die Entfernung nicht.

Combofix ist immerhin durchgelaufen. Hitman zeigt momentan nur noch 2 Einträge und zwar die beiden Search*.exe. Wie weiter?

Miniaturansicht angehängter Grafiken
ZAccess.f und PMax.gen (+ Sinowal.knf)-hitman.jpg  

Alt 28.12.2011, 19:00   #6
Chris4You
 
ZAccess.f und PMax.gen (+ Sinowal.knf) - Standard

ZAccess.f und PMax.gen (+ Sinowal.knf)



Hi,

Hitman lief vor CF, richtig?
CF hat die Sachen gekillt bzw. wiederhergestellt, lass jetzt hitman nochmal laufen!

Malwarebytes Antimalware (MAM)
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html
Falls der Download nicht klappt, bitte hierüber eine generische Version runterladen:
http://filepony.de/download-chameleon/
Danach bitte update der Signaturdateien (Reiter "Update" -> Suche nach Aktualisierungen")
Fullscan und alles bereinigen lassen! Log posten.

chris
__________________
--> ZAccess.f und PMax.gen (+ Sinowal.knf)

Alt 28.12.2011, 19:12   #7
Riddle
 
ZAccess.f und PMax.gen (+ Sinowal.knf) - Standard

ZAccess.f und PMax.gen (+ Sinowal.knf)



Zitat:
Hitman lief vor CF, richtig?
CF hat die Sachen gekillt bzw. wiederhergestellt, lass jetzt hitman nochmal laufen!
Hitman lief 1 x vor und 1 x nach CF. Beim Scan danach waren immer noch die beiden Search*.exe, s. Anhang im vorgehenden Post. Das Entfernen gelingt Hitman nicht. Mache jetzt mit mbam weiter.

Alt 28.12.2011, 19:17   #8
Chris4You
 
ZAccess.f und PMax.gen (+ Sinowal.knf) - Standard

ZAccess.f und PMax.gen (+ Sinowal.knf)



Hi,

d.h. searchindexer und searchprotokolhost.exe?
Mal sehen ob MAM sie schaft, sonst probieren wir es mit OTL... wenn das allerdings die Droper sind, die den Rootkit wiederherstellen, dann haben wir bereits schon verloren...

Lass die Dateien bei Virustotal.com prüfen wähernd MAM läuft:

Dateien Online überprüfen lassen:
  • Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
Code:
ATTFilter
searchindexer.exe
searchprotokolhost.exe
         
  • Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist (kann bis zu 2 Minuten dauern.)
  • Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 28.12.2011, 19:53   #9
Riddle
 
ZAccess.f und PMax.gen (+ Sinowal.knf) - Standard

ZAccess.f und PMax.gen (+ Sinowal.knf)



Hier schon mal die Ergebnisse von Virustotal. Mbam scant noch.

Alt 28.12.2011, 20:13   #10
Chris4You
 
ZAccess.f und PMax.gen (+ Sinowal.knf) - Standard

ZAccess.f und PMax.gen (+ Sinowal.knf)



Hi,

oha, was die an Libs/Funktion anziehen... die sollte MAM eigentlich finden, ob er sie eleminieren kann ist die andere Sache...

Für den Notfall hier ein CF-Script, was die Entfernung fehlschlägt...

Combofix scripten
Den folgenden Text in den Editor (Start -> Zubehör -> Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop ablegen.
Gib an "Alle Dateien" - Speichern:
Code:
ATTFilter
KILLALL::

RootKit::
C:\windows\system32\searchindexer.exe
C:\windows\system32\searchprotocolhost.exe

ClearJavaCache::
         
Löscht den Javacache
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer!)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.




6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 28.12.2011, 21:39   #11
Riddle
 
ZAccess.f und PMax.gen (+ Sinowal.knf) - Standard

ZAccess.f und PMax.gen (+ Sinowal.knf)



Mbam.log angehängt. Alle Funde scheinen sich in der Systemwiederherstellung zu befinden. Die beiden Search*Dateien waren allerdings, soweit ich sehe, nicht dabei. Daher habe ich CF mit dem Script gestartet. Allerdings kam CF nicht über die ersten 3 Infozeilen nicht hinaus, der Rechner scheint zu stehen. Und jetzt?

Alt 28.12.2011, 21:47   #12
Chris4You
 
ZAccess.f und PMax.gen (+ Sinowal.knf) - Standard

ZAccess.f und PMax.gen (+ Sinowal.knf)



Hi,

Rechner per hand neu booten, wenn sich auch auf der Festplatte nichts mehr tut... hartnäckig...

Cureit aber am Besten gleich von der CD...
Dr. Web-Live-CD
Lade Dir das Abbild (Dr.Web CureIt! —) runter (jeweils die neuste Version, z. Z. http://download.geo.drweb.com/pub/dr...livecd-600.iso) und brenne es auf CD/DVD. Stelle dann im BIOS die Bootreihenfolge um (zuerst von CD booten), boote dann von der erstellten CD und starte Dr. Web Live CD (default). Lass dann alle Festplatten untersuchen...
Bei Funden bitte Name und Pfad notieren, bevor du sie von Dr. Web beseitigen lässt...
Weiter Anweisungen: Dr.Web CureIt! —
Am Besten heute noch, dann kannst Du ihn über Nacht laufen lassen...
chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 28.12.2011, 22:28   #13
Riddle
 
ZAccess.f und PMax.gen (+ Sinowal.knf) - Standard

ZAccess.f und PMax.gen (+ Sinowal.knf)



Hi Chris,

mache mich gleich ans Werk. Bericht gibt's dann morgen. Möchte mich an dieser Stelle schon einmal für Deine Hilfe bedanken.

Gruß Riddle

PS: Möchte nicht dumm sterben, was ist damit gemeint?
Zitat:
oha, was die an Libs/Funktion anziehen...

Alt 29.12.2011, 06:32   #14
Chris4You
 
ZAccess.f und PMax.gen (+ Sinowal.knf) - Standard

ZAccess.f und PMax.gen (+ Sinowal.knf)



Hi,

beide Dateieen gehören zu Windows und werden durch dieses geschützt, sind also nicht einfach austauschbar/löschbar...

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 29.12.2011, 14:46   #15
Riddle
 
ZAccess.f und PMax.gen (+ Sinowal.knf) - Standard

ZAccess.f und PMax.gen (+ Sinowal.knf)



Hallo Chris,

melde mich zurück ... Dr. Web hatte Etliches gefunden (Trojan.Starter.1695 und BackDoor.Maxplus.24) und offensichtlich entfernt. Ein 2. Durchlauf heute zeigt keine Funde mehr. Licht am Ende des Tunnels???
Was muss ich jetzt noch prüfen?

Gruß Riddle

Antwort

Themen zu ZAccess.f und PMax.gen (+ Sinowal.knf)
bootkit, pmax.gen, rootkit, sinowal.knf, wird nicht erkannt, zaccess.f



Ähnliche Themen: ZAccess.f und PMax.gen (+ Sinowal.knf)


  1. Trojan.Zaccess
    Plagegeister aller Art und deren Bekämpfung - 02.09.2013 (13)
  2. TR/Spy.ZAccess.A
    Plagegeister aller Art und deren Bekämpfung - 31.01.2013 (7)
  3. TR/Spy.ZAccess.A bei Suchlauf gefunden
    Mülltonne - 31.01.2013 (1)
  4. tr/zaccess.h auf Laptop
    Log-Analyse und Auswertung - 12.10.2012 (29)
  5. Exploit.Script.Generic, Exploit.JS.Pdfka.gfa, Backdoor.Win32.ZAccess.ypw, Backdoor.Win32.ZAccess.yqi, Trojan.Win32.Miner.dw und weitere
    Log-Analyse und Auswertung - 02.10.2012 (7)
  6. BDS/Zaccess.T
    Plagegeister aller Art und deren Bekämpfung - 26.07.2012 (17)
  7. Trojan.Zaccess
    Log-Analyse und Auswertung - 22.07.2012 (1)
  8. BDS/ZAccess.Q
    Plagegeister aller Art und deren Bekämpfung - 27.03.2012 (25)
  9. BDS/ZAccess.Q BDS/ZAccess.L - Rootkit?
    Plagegeister aller Art und deren Bekämpfung - 19.03.2012 (12)
  10. Antivir hat TR/ATRAPS.Gen2, BDS/ZAccess.Q', BDS/ZAccess.L gefunden. Wie entfernen?
    Plagegeister aller Art und deren Bekämpfung - 14.03.2012 (45)
  11. Antivir hat TR/ATRAPS.Gen2, BDS/ZAccess.Q', BDS/ZAccess.L gefunden --> SYSTEM NEU AUFSETZEN?
    Plagegeister aller Art und deren Bekämpfung - 12.03.2012 (7)
  12. Malware BDS/ZAccess.Q entfernen
    Log-Analyse und Auswertung - 06.03.2012 (13)
  13. erst Virus.Win32.ZAccess.aml dann Virus.Win32.ZAccess.c
    Plagegeister aller Art und deren Bekämpfung - 06.03.2012 (13)
  14. (2x) BDS\ZAccess.L
    Mülltonne - 01.03.2012 (1)
  15. Wie entferne ich BDS/Sinowal.knfal oder generell Sinowal?
    Plagegeister aller Art und deren Bekämpfung - 31.12.2011 (17)
  16. patchload.a , win32.PMax.gen und win32.ZAccess.e
    Plagegeister aller Art und deren Bekämpfung - 06.11.2011 (10)
  17. RKIT/MBR.Sinowal.J ...Boo/Sinowal.C ...W32/Stanit
    Plagegeister aller Art und deren Bekämpfung - 25.02.2011 (15)

Zum Thema ZAccess.f und PMax.gen (+ Sinowal.knf) - Guten Tag zusammen, wiedermal ein Virenbefall auf dem Rechner eines Freundes, den ich entfernen soll. Ich sehe zwar schon einige Posts zum Thema, aber da ihr ratet, immer einen eigenen - ZAccess.f und PMax.gen (+ Sinowal.knf)...
Archiv
Du betrachtest: ZAccess.f und PMax.gen (+ Sinowal.knf) auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.