Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Multipler Befall mit ZeroAccess, durch drive-by

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 01.03.2012, 17:28   #1
Trommelfell
 
Multipler Befall mit ZeroAccess, durch drive-by - Standard

Multipler Befall mit ZeroAccess, durch drive-by



Hallo, ich würde mich freuen wenn Ihr mir helfen könntet.

Vorgeschichte:

1. Vor über 2Jahren Verdacht auf conficker, entsprechende Registryblocker(?) installiert.
2. Vor ca. 1 Jahr beim surfen einen Rootkit aufgesackt, der von Avira erkannt wurde, danach eher halbherzige Maßnahmen mit TDSS Killer, Anti-Malwarebytes, Hijackthis, und GMER durchgeführt
3. Vor 3 Tagen öffnet sich beim surfen auf einer Website plötzlich die Javakonsole, und verschiedene Aktivitäten wurden durchgeführt, kurz darauf springt Avira an und erkennt TR/Sirefef.BP.1
mit Versuchen diese zu löschen.

Anti-Malwarebytes update durchgeführt. Multipler Befall mit ZeroAccess Rootkit und anderen Trojanern. Erstmal nichts gelöscht. Rechner vom Netz genommen.

Zu Punkt 2. Es gibt ältere GMER Logs.

Mir ist inzwischen klar, das meine Java-Version vermutlich veraltet ist und ich das System komplett neu aufsetzen muss und auch will. Ich möchte gerne mit eurer Hilfe
den Rootkit soweit unter Kontrolle halten, das ich meine Daten retten und meine USB Datenträger reinigen kann.

Die für diesen Post geforderten Aktionen wurden durchgeführt. Sowohl im genutzten UserLogin Bereich (Adminrechte). Als auch im Administratorbereich.

Gmer stürzt im gesicherten Modus - Adminbereich immer ab, wenn das Programm versucht \HarddiskVolume3 zu lesen (haben nur C: und D: Festplatte)

Achso ich habe vergessen Antivir auszuschalten beim GMER Scan. Müssen die Festplatten nun beide angehakt oder abgehakt sein beim scan?

Gerade beim hochladen dieses Threads bemerkt. WLAN Verbindung aktiviert. Verbindung steht auf "Netzwerkadresse beziehen" mehrere kB Daten werden trotzdem ausgetauscht, trotzdem kann ich schon surfen. Komisch oder?


user-dds
Code:
ATTFilter
.
DDS (Ver_2011-08-26.01) - NTFSx86 
Internet Explorer: 8.0.6001.18702  BrowserJavaVersion: 1.6.0_26
Run by *** at 18:14:23 on 2012-02-29
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.2039.1527 [GMT 1:00]
.
AV: Avira Desktop *Enabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
============== Running Processes ===============
.
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Avira\AntiVir Desktop\avshadow.exe
C:\WINDOWS\system32\svchost -k DcomLaunch
svchost.exe
C:\WINDOWS\System32\svchost.exe -k netsvcs
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
svchost.exe
svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
svchost.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe -k imgsvc
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\Elantech\ETDCtrl.exe
C:\Programme\Elantech\ETDDect.exe
C:\Programme\EeePC\ACPI\AsTray.exe
C:\WINDOWS\system32\igfxext.exe
C:\Programme\EeePC\ACPI\AsAcpiSvr.exe
C:\Programme\EeePC\ACPI\AsEPCMon.exe
C:\Programme\Vimicro\Vimicro USB PC Camera (VC0342)\VMonitor.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\*****online\Realtime\CodesServer.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Plustek\OpticFilm 7600i\QuickScan.exe
C:\Programme\ASUS\EeePC\Super Hybrid Engine\SuperHybridEngine.exe
C:\PROGRA~1\PETROS~2\Realtime\Watchman.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\iPod\bin\iPodService.exe
.
============== Pseudo HJT Report ===============
.
uStart Page = hxxp://eeepc.asus.com/global
uInternet Settings,ProxyOverride = *.local
BHO: SSVHelper Class: {761497bb-d6f0-462c-b6eb-d4daf1d92d43} - c:\programme\java\jre6\bin\ssv.dll
uRun: [CTFMON.EXE] c:\windows\system32\ctfmon.exe
mRun: [IgfxTray] c:\windows\system32\igfxtray.exe
mRun: [HotKeysCmds] c:\windows\system32\hkcmd.exe
mRun: [Persistence] c:\windows\system32\igfxpers.exe
mRun: [ETDWare] c:\programme\elantech\ETDCtrl.exe
mRun: [ETDWareDetect] c:\programme\elantech\ETDDect.exe
mRun: [AsusTray] c:\programme\eeepc\acpi\AsTray.exe
mRun: [AsusACPIServer] c:\programme\eeepc\acpi\AsAcpiSvr.exe
mRun: [AsusEPCMonitor] c:\programme\eeepc\acpi\AsEPCMon.exe
mRun: [VMonitorvmuvc] "c:\programme\vimicro\vimicro usb pc camera (vc0342)\VMonitor.exe" vmuvc
mRun: [RTHDCPL] RTHDCPL.EXE
mRun: [Alcmtr] ALCMTR.EXE
mRun: [CodesServer] c:\programme\*****online\realtime\CodesServer.exe
mRun: [AppleSyncNotifier] c:\programme\gemeinsame dateien\apple\mobile device support\AppleSyncNotifier.exe
mRun: [APSDaemon] "c:\programme\gemeinsame dateien\apple\apple application support\APSDaemon.exe"
mRun: [SunJavaUpdateSched] "c:\programme\java\jre6\bin\jusched.exe"
mRun: [QuickTime Task] "c:\programme\quicktime\QTTask.exe" -atboottime
mRun: [iTunesHelper] "c:\programme\itunes\iTunesHelper.exe"
mRun: [avgnt] "c:\programme\avira\antivir desktop\avgnt.exe" /min
dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE
StartupFolder: c:\dokume~1\alluse~1\startm~1\progra~1\autost~1\quicks~1.lnk - c:\programme\plustek\opticfilm 7600i\QuickScan.exe
StartupFolder: c:\dokume~1\alluse~1\startm~1\progra~1\autost~1\superh~1.lnk - c:\programme\asus\eeepc\super hybrid engine\SuperHybridEngine.exe
IE: add to &BOM - c:\\progra~1\\biet-o~1\\\\AddToBOM.hta
IE: Senden an &Bluetooth-Gerät... - c:\programme\widcomm\bluetooth software\btsendto_ie_ctx.htm
IE: Senden an Bluetooth - c:\programme\widcomm\bluetooth software\btsendto_ie.htm
IE: {CCA281CA-C863-46ef-9331-5C8D4460577F} - c:\programme\widcomm\bluetooth software\btsendto_ie.htm
IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\programme\messenger\msmsgs.exe
IE: {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBC} - c:\programme\java\jre6\bin\ssv.dll
LSP: mswsock.dll
DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} - hxxp://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1240910291921
DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} - hxxp://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1240910276578
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab
TCP: Interfaces\{01CA8A78-4EB4-4A02-BC8E-5359F9E0CFC3} : DhcpNameServer = 193.254.160.1 10.74.83.22
Notify: igfxcui - igfxdev.dll
SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - c:\windows\system32\WPDShServiceObj.dll
.
================= FIREFOX ===================
.
FF - ProfilePath - c:\dokumente und einstellungen\***\anwendungsdaten\mozilla\firefox\profiles\73x339nf.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de
FF - plugin: c:\programme\java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\programme\mozilla firefox\plugins\npdeployJava1.dll
.
---- FIREFOX POLICIES ----
FF - user.js: yahoo.homepage.dontask - true
============= SERVICES / DRIVERS ===============
.
R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [2011-12-27 36000]
R2 AntiVirSchedulerService;Avira Planer;c:\programme\avira\antivir desktop\sched.exe [2011-12-27 86224]
R2 AntiVirService;Avira Echtzeit Scanner;c:\programme\avira\antivir desktop\avguard.exe [2011-12-27 110032]
R2 avgntflt;avgntflt;c:\windows\system32\drivers\avgntflt.sys [2009-4-28 74640]
S2 aaaaanonficker;aaaaanonficker;c:\windows\system32\svchost.exe -k netsvcs [2008-8-11 14336]
S2 AGV;Pdlndoem;c:\windows\system32\svchost.exe -k netsvcs [2008-8-11 14336]
S2 avfilter;Psasrv;c:\windows\system32\svchost.exe -k netsvcs [2008-8-11 14336]
S2 avgarcln;Bc_ngn;c:\windows\system32\svchost.exe -k netsvcs [2008-8-11 14336]
S2 avgascln;Konfig;c:\windows\system32\svchost.exe -k netsvcs [2008-8-11 14336]
S2 avgclean;Bc_ip_f;c:\windows\system32\svchost.exe -k netsvcs [2008-8-11 14336]
S2 ccpwdsvc;Sfrem01;c:\windows\system32\svchost.exe -k netsvcs [2008-8-11 14336]
S2 CTMMOUNT;MA8032U;c:\windows\system32\svchost.exe -k netsvcs [2008-8-11 14336]
S2 fsssvc;Wltwo51b;c:\windows\system32\svchost.exe -k netsvcs [2008-8-11 14336]
S2 gpzgush;Config Image;c:\windows\system32\svchost.exe -k netsvcs [2008-8-11 14336]
S2 ikfileflt;Service;c:\windows\system32\svchost.exe -k netsvcs [2008-8-11 14336]
S2 kl1;F700iat;c:\windows\system32\svchost.exe -k netsvcs [2008-8-11 14336]
S2 LMIRfsDriver;TMBMServer;c:\windows\system32\svchost.exe -k netsvcs [2008-8-11 14336]
S2 LRMINIPORT;GTWModem;c:\windows\system32\svchost.exe -k netsvcs [2008-8-11 14336]
S2 mctaskmanager;WNCPKT;c:\windows\system32\svchost.exe -k netsvcs [2008-8-11 14336]
S2 mfeavfk;Avg7rsw;c:\windows\system32\svchost.exe -k netsvcs [2008-8-11 14336]
S2 ofcservice;WINFLASH;c:\windows\system32\svchost.exe -k netsvcs [2008-8-11 14336]
S2 pavatscheduler;Mqdmmdfl;c:\windows\system32\svchost.exe -k netsvcs [2008-8-11 14336]
S2 RAPIProtocol;Adobeactivefilemonitor5.0;c:\windows\system32\svchost.exe -k netsvcs [2008-8-11 14336]
S2 symantecantibotfilter;Giveio;c:\windows\system32\svchost.exe -k netsvcs [2008-8-11 14336]
S2 symantecantibotshim;Crystaloutputfileserver;c:\windows\system32\svchost.exe -k netsvcs [2008-8-11 14336]
S2 veteboot;Bhmonitorservice;c:\windows\system32\svchost.exe -k netsvcs [2008-8-11 14336]
S3 C6U12Scanner;1200 USB Still Image Device Service;c:\windows\system32\drivers\usbscan.sys [2009-7-21 15104]
S3 Netaapl;Apple Mobile Device Ethernet Service;c:\windows\system32\drivers\netaapl.sys [2011-6-12 18432]
S3 RT80x86;Ralink 802.11n Wireless Driver;c:\windows\system32\drivers\rt2860.sys [2008-8-13 625024]
S3 VMUVC;Vimicro Camera Service VMUVC;c:\windows\system32\drivers\VMUVC.sys [2010-5-12 251904]
S3 vvftUVC;Vimicro Camera Filter Service VMUVC;c:\windows\system32\drivers\vvftUVC.sys [2010-5-12 398720]
.
=============== Created Last 30 ================
.
2012-02-27 12:16:11	0	--sha-w-	c:\windows\system32\dds_log_trash.cmd
2012-02-27 12:13:51	--------	d-sh--w-	c:\dokumente und einstellungen\***\lokale einstellungen\anwendungsdaten\71121435
2012-02-20 13:08:51	626688	----a-w-	c:\programme\mozilla firefox\msvcr80.dll
2012-02-20 13:08:51	548864	----a-w-	c:\programme\mozilla firefox\msvcp80.dll
2012-02-20 13:08:51	479232	----a-w-	c:\programme\mozilla firefox\msvcm80.dll
2012-02-20 13:08:51	45016	----a-w-	c:\programme\mozilla firefox\mozutils.dll
2012-02-17 20:56:41	--------	dc-h--w-	c:\windows\ie8
2012-02-14 20:55:56	3072	-c----w-	c:\windows\system32\dllcache\iacenc.dll
2012-02-14 20:55:56	3072	------w-	c:\windows\system32\iacenc.dll
2012-02-12 11:52:51	--------	d-----w-	c:\programme\Google SketchUp 8
.
==================== Find3M  ====================
.
2012-01-12 17:20:28	1860096	----a-w-	c:\windows\system32\win32k.sys
2011-12-17 19:43:23	916992	----a-w-	c:\windows\system32\wininet.dll
2011-12-17 19:43:23	43520	----a-w-	c:\windows\system32\licmgr10.dll
2011-12-17 19:43:23	1469440	----a-w-	c:\windows\system32\inetcpl.cpl
2011-12-16 12:22:58	385024	----a-w-	c:\windows\system32\html.iec
2011-12-10 14:24:06	20464	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-02-11 13:50:54	4935680	------w-	c:\programme\SF Universal Launcher.exe
2008-05-07 14:34:00	15523560	----a-w-	c:\programme\U1 Setup.exe
.
============= FINISH: 18:15:28,73 ===============
         
user-GMER

Code:
ATTFilter
GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2012-03-01 08:16:38
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 ST9160310AS rev.0303
Running: 0w2fmuxo.exe; Driver: C:\DOKUME~1\***\LOKALE~1\Temp\pgtdqpoc.sys


---- System - GMER 1.0.15 ----

SSDT                                                                                                                                  BA6B51F4                                                                                                         ZwClose
SSDT                                                                                                                                  BA6B51FE                                                                                                         ZwCreateSection
SSDT                                                                                                                                  BA6B51A4                                                                                                         ZwCreateThread
SSDT                                                                                                                                  BA6B51EF                                                                                                         ZwDuplicateObject
SSDT                                                                                                                                  BA6B5190                                                                                                         ZwOpenProcess
SSDT                                                                                                                                  BA6B5195                                                                                                         ZwOpenThread
SSDT                                                                                                                                  BA6B5217                                                                                                         ZwQueryValueKey
SSDT                                                                                                                                  BA6B5208                                                                                                         ZwRequestWaitReplyPort
SSDT                                                                                                                                  BA6B5203                                                                                                         ZwSetContextThread
SSDT                                                                                                                                  BA6B520D                                                                                                         ZwSetSecurityObject
SSDT                                                                                                                                  BA6B5212                                                                                                         ZwSystemDebugControl
SSDT                                                                                                                                  BA6B519F                                                                                                         ZwTerminateProcess

INT 0x06                                                                                                                              \??\C:\WINDOWS\system32\drivers\Haspnt.sys (HASP Kernel Device Driver for Windows NT/Aladdin Knowledge Systems)  A94EC16D
INT 0x0E                                                                                                                              \??\C:\WINDOWS\system32\drivers\Haspnt.sys (HASP Kernel Device Driver for Windows NT/Aladdin Knowledge Systems)  A94EBFC2

---- Kernel code sections - GMER 1.0.15 ----

.text                                                                                                                                 ipsec.sys                                                                                                        A8F00300 166 Bytes  [90, 90, 90, 90, 90, 90, 90, ...]
.text                                                                                                                                 ipsec.sys                                                                                                        A8F003A7 144 Bytes  JMP A8F020E3 \SystemRoot\system32\DRIVERS\ipsec.sys (IPSec Driver/Microsoft Corporation)
.text                                                                                                                                 ipsec.sys                                                                                                        A8F00438 30 Bytes  [41, 02, 00, 00, 8B, 48, 60, ...]
.text                                                                                                                                 ipsec.sys                                                                                                        A8F00457 52 Bytes  [A8, FF, 15, 04, F9, F0, A8, ...]
.text                                                                                                                                 ipsec.sys                                                                                                        A8F0048C 65 Bytes  [8B, 45, F8, 8B, 38, 8B, 45, ...]
.text                                                                                                                                 ...                                                                                                              
.INIT                                                                                                                                 C:\WINDOWS\system32\DRIVERS\ipsec.sys                                                                            entry point in ".INIT" section [0xA8F0E678]
?                                                                                                                                     C:\WINDOWS\system32\DRIVERS\ipsec.sys                                                                            suspicious PE modification
.text                                                                                                                                 C:\WINDOWS\system32\drivers\hardlock.sys                                                                         section is writeable [0xA83CB400, 0x87EE2, 0xE8000020]
.protectÿÿÿÿhardlockentry point in ".protectÿÿÿÿhardlockentry point in ".protectÿÿÿÿhardlockentry point in ".p" section [0xA846F620]  C:\WINDOWS\system32\drivers\hardlock.sys                                                                         entry point in ".protectÿÿÿÿhardlockentry point in ".protectÿÿÿÿhardlockentry point in ".p" section [0xA846F620]
.protectÿÿÿÿhardlockunknown last code section [0xA846F400, 0x5126, 0xE0000020]                                                        C:\WINDOWS\system32\drivers\hardlock.sys                                                                         unknown last code section [0xA846F400, 0x5126, 0xE0000020]
?                                                                                                                                     C:\DOKUME~1\***\LOKALE~1\Temp\mbr.sys                                                                          Das System kann die angegebene Datei nicht finden. !

---- Devices - GMER 1.0.15 ----

AttachedDevice                                                                                                                        \FileSystem\Fastfat \Fat                                                                                         fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- Modules - GMER 1.0.15 ----

Module                                                                                                                                (noname) (*** hidden *** )                                                                                       BA2E8000-BA2F7000 (61440 bytes)                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  

---- Threads - GMER 1.0.15 ----

Thread                                                                                                                                System [4:380]                                                                                                   89F89540
Thread                                                                                                                                System [4:384]                                                                                                   89F89540

---- Registry - GMER 1.0.15 ----

Reg                                                                                                                                   HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost@netsvcs                                                aaaaanonficker?6to4?AppMgmt?AudioSrv?Browser?CryptSvc?DMServer?DHCP?ERSvc?EventSystem?FastUserSwitchingCompatibility?HidServ?Ias?Iprip?Irmon?LanmanServer?LanmanWorkstation?Messenger?Netman?Nla?Ntmssvc?NWCWorkstation?Nwsapagent?Rasauto?maxbackserviceint?Dfs?aexnsclient?ROOTUSB?EU3_USB?U81xbus?zebrceb?tomcatcws3?imap4d32?ctljystk?mcp?lvsrvlauncher?emclisrv?s3savagenb?USB11LDR?interactivelogon?noipducservice?USBCamera?JGOGO?dwmrcs?ftpqueue?https-admserv61?USB_NDIS_51?tosrfnds?issimon?dptrackerd?se58obex?pcx1nd5?veteboot?ofcservice?VirtualCam?X4HSX32?RivaTuner32?ipodsrv?vmauthdservice?rt73?LUsbFilt?ageresoftmodem?s125mdfl?wampmysqld?rt2500usb?Intels51?tbhsd?openldap-slapd?ziptoa?A88xXBar?isdrv120?cwcwdm?3combootp?orbmediaservice?monfilt?tsircsrv?c-dillasrv?vxsvc?iaimfp3?ibmsmbus?spbbcdrv?prosync1?kodakccs?amfilter?sbp2port?sbhooksvc?hprfdev?mail2ec?MegaSR?avgarcln?pdlnatdl?SRVLOC?TMBUS?de_serv?elockservice?roxwatch9?vpcnets2?tangoservice?dashsvc?ROB_A?agnwifi?sfhlp02?dklogger?RIOXDRV?w550mdm?svv?Wpsnuio?amoagent

---- Files - GMER 1.0.15 ----

File                                                                                                                                  C:\WINDOWS\system32\fsaa.dll                                                                                     5120 bytes executable
File                                                                                                                                  C:\WINDOWS\system32\SRTSP.dll                                                                                    5120 bytes executable
File                                                                                                                                  C:\WINDOWS\system32\vnxservice.dll                                                                               5120 bytes executable
File                                                                                                                                  C:\WINDOWS\system32\proxyhostservice.dll                                                                         5120 bytes executable
File                                                                                                                                  C:\WINDOWS\system32\alim1541.dll                                                                                 5120 bytes executable
File                                                                                                                                  C:\WINDOWS\system32\lmimaint.dll                                                                                 5120 bytes executable
File                                                                                                                                  C:\WINDOWS\system32\LMIRfsClientNP.dll                                                                           5120 bytes executable
File                                                                                                                                  C:\WINDOWS\system32\symantecantibotfilter.dll                                                                    5120 bytes executable
File                                                                                                                                  C:\WINDOWS\system32\sysaudio.dll                                                                                 5120 bytes executable
File                                                                                                                                  C:\WINDOWS\$NtUninstallKB39640$\1897010229                                                                       0 bytes
File                                                                                                                                  C:\WINDOWS\$NtUninstallKB39640$\1897010229\@                                                                     2048 bytes
File                                                                                                                                  C:\WINDOWS\$NtUninstallKB39640$\1897010229\L                                                                     0 bytes
File                                                                                                                                  C:\WINDOWS\$NtUninstallKB39640$\1897010229\L\ytadpswn                                                            75264 bytes
File                                                                                                                                  C:\WINDOWS\$NtUninstallKB39640$\1897010229\loader.tlb                                                            2632 bytes
File                                                                                                                                  C:\WINDOWS\$NtUninstallKB39640$\1897010229\U                                                                     0 bytes
File                                                                                                                                  C:\WINDOWS\$NtUninstallKB39640$\1897010229\U\@00000001                                                           45968 bytes
File                                                                                                                                  C:\WINDOWS\$NtUninstallKB39640$\1897010229\U\@000000c0                                                           2560 bytes
File                                                                                                                                  C:\WINDOWS\$NtUninstallKB39640$\1897010229\U\@000000cb                                                           3072 bytes
File                                                                                                                                  C:\WINDOWS\$NtUninstallKB39640$\1897010229\U\@000000cf                                                           1536 bytes
File                                                                                                                                  C:\WINDOWS\$NtUninstallKB39640$\1897010229\U\@80000000                                                           73216 bytes
File                                                                                                                                  C:\WINDOWS\$NtUninstallKB39640$\1897010229\U\@800000c0                                                           43520 bytes
File                                                                                                                                  C:\WINDOWS\$NtUninstallKB39640$\1897010229\U\@800000cb                                                           25600 bytes
File                                                                                                                                  C:\WINDOWS\$NtUninstallKB39640$\1897010229\U\@800000cf                                                           31232 bytes
File                                                                                                                                  C:\WINDOWS\$NtUninstallKB39640$\274459751                                                                        0 bytes

---- EOF - GMER 1.0.15 ----
         

Vielen Dank schonmal

Alt 01.03.2012, 18:30   #2
markusg
/// Malware-holic
 
Multipler Befall mit ZeroAccess, durch drive-by - Standard

Multipler Befall mit ZeroAccess, durch drive-by



hi
Tipparchiv - Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten - WinTotal.de
autorun aus, dann sticks rein, malwarebytes updaten und komplett scan.
danach machen wir uns ans daten sichern
__________________

__________________

Alt 02.03.2012, 15:27   #3
Trommelfell
 
Multipler Befall mit ZeroAccess, durch drive-by - Standard

Multipler Befall mit ZeroAccess, durch drive-by



Hallo,
habe Autorun deaktiviert. MBAM läuft seit 5h, dauert auch noch ein bißchen. Sollen die Dateien dann in Quarantäne oder gelöscht werden? Aktuell 1219 Funde. Es ging mir eher um meine USB Festplatten, die aber auch schon seit mind. Einer Woche nicht mehr dran hingen. Vielen Dank für deine Hilfe.
__________________

Alt 03.03.2012, 19:21   #4
Trommelfell
 
Multipler Befall mit ZeroAccess, durch drive-by - Standard

Multipler Befall mit ZeroAccess, durch drive-by



1219 Objekte gefunden und mit mbam entfernt. Nach erneutem full Scan 5 infzierte Objekte. ZeroAccess bzw. 0Access. Würde gerne den Sumpf erstmal austrocknen bevor ich mit der Datensicherung beginne. Was folgt als nächstes? Brauchst du die mbam logs? TDSS oder OTL Laden?

Alt 03.03.2012, 19:36   #5
markusg
/// Malware-holic
 
Multipler Befall mit ZeroAccess, durch drive-by - Standard

Multipler Befall mit ZeroAccess, durch drive-by



und wo sind die logs...?
hänge sie hier als datei(n) an
formatiere die sticks doch einfach dann wirds wohl schneller gehen.

__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 04.03.2012, 10:13   #6
Trommelfell
 
Multipler Befall mit ZeroAccess, durch drive-by - Standard

Multipler Befall mit ZeroAccess, durch drive-by



3 MBAM Logs angehängt. Da eines davon die Maximalgröße überschreitet hab ich gleich alle zusammengezippt.
Angehängte Dateien
Dateityp: zip mbamlogs.zip (13,7 KB, 47x aufgerufen)

Alt 04.03.2012, 16:21   #7
markusg
/// Malware-holic
 
Multipler Befall mit ZeroAccess, durch drive-by - Standard

Multipler Befall mit ZeroAccess, durch drive-by



das sind alles funde auf c:
also sticks sind io.
aber wie gesagt, formatiere die sticks doch einfach dann kannst du sicher sein.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 06.03.2012, 21:20   #8
Trommelfell
 
Multipler Befall mit ZeroAccess, durch drive-by - Standard

Multipler Befall mit ZeroAccess, durch drive-by



Hi, ich musste mich erstmal wieder bißchen in mein Linux einfuchsen, denke das könnte gerade gut helfen und da waren ein paar updates zu machen.

Ich habe die Sticks mit Yast unter Linux formatiert, allerdings finden sich dort Partitionen, die wohl auf das U3 System zurückzuführen und für mich derzeit nicht zu löschen sind. Der Stick von Sandisk ist selbst mit dem firmeneigenen Tool unter Windows nicht von dieser /dev/sdr1 "Partition" zu reinigen. Was mich ein bißchen wundert und ich wollte es doch besonders gut machen.

Ich tausche derzeit nur Daten mit den Sticks und gehe über das Linuxsystem ins Netz, der infizierte Rechner hat sowieso Probleme eine W-Lan Verbindung aufzubauen.

Wie schlägst du vor die Daten vom Rechner zu retten? Ich möchte vemeiden, meine USB FEstplatten zu kontaminieren. Und ich würde das Rootkit erstmal soweit wie möglich stilllegen wollen.

Alt 06.03.2012, 21:23   #9
markusg
/// Malware-holic
 
Multipler Befall mit ZeroAccess, durch drive-by - Standard

Multipler Befall mit ZeroAccess, durch drive-by



die u3 partitionen kann man belassen
und das win system muss ja eh neu gemacht werden
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 13.03.2012, 10:12   #10
Trommelfell
 
Multipler Befall mit ZeroAccess, durch drive-by - Standard

Multipler Befall mit ZeroAccess, durch drive-by



So ich habe die Daten mit einem Ubuntu Live Stick nun endlich auf eine externe Festplatte geschoben. Auf der Festplatte des Eeepc waren 4 Partitionen, eine Windowsp., eine Datenpartition, eine versteckte Partition (vermutlich Eeepc Recovery, 7GB) und Partition mit unbekanntem Dateisystem ca. 38MB groß.

Wie gehe ich am besten vor? Recovery benutzen? die versteckte Partition erstmal checken? Die 4. überbügeln?

Danke für Hinweise Markus.

Alt 13.03.2012, 10:25   #11
markusg
/// Malware-holic
 
Multipler Befall mit ZeroAccess, durch drive-by - Standard

Multipler Befall mit ZeroAccess, durch drive-by



ist die 38 mb partition versteckt?
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 13.03.2012, 10:52   #12
Trommelfell
 
Multipler Befall mit ZeroAccess, durch drive-by - Standard

Multipler Befall mit ZeroAccess, durch drive-by



Nein, die ist nicht als versteckt gekennzeichnet nur als "Partitionierung unbekannt oder nicht nicht lesbar". Sie sieht eigentlich so aus, als obs ein Rest von der Partitionierung der Windows und Datenplatte ist, wobei 38MB da ziemlich viel ist.

Alt 13.03.2012, 12:31   #13
markusg
/// Malware-holic
 
Multipler Befall mit ZeroAccess, durch drive-by - Standard

Multipler Befall mit ZeroAccess, durch drive-by



die vierte kannst ja auf jeden fall mal löschen bzw formatieren.
wie man die recovery nutzt weist du?
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 13.03.2012, 14:07   #14
Trommelfell
 
Multipler Befall mit ZeroAccess, durch drive-by - Standard

Multipler Befall mit ZeroAccess, durch drive-by



Nicht genau. Beim booten F9 Taste drücken und dann mal schauen was passiert. Ich weiß noch nicht genau, wie ich das mit den Partitionen mache. Windows Services Packs bräuchte ich auch noch?

Der derzeitige Plan ist, mit gparted C: zu löschen und mit der 4. Partition zusammenzuführen. Ich weiß aber nicht genau, wie das Windows Recovery reagiert und ob da nochmal formatiert wird. Bin mir auch mit der Datenplatte unsicher, gleich mit formatieren oder lassen? Sollte eigentlich ein Bootpasswort vergeben werden?

Alt 13.03.2012, 14:11   #15
markusg
/// Malware-holic
 
Multipler Befall mit ZeroAccess, durch drive-by - Standard

Multipler Befall mit ZeroAccess, durch drive-by



die partitionen kannst du alle formatieren, also c und daten.
naja, zusammenführen musst du sie nciht, die paar mb.
bootpasswort, musst du wissen ob du eines willst.
ja, entweder f9 f10 f11 oder alt+f10
da solltest du auf werkszustand gehen können und danach den pc absichern.
als antimalware programm würde ich emsisoft empfehlen.
diese haben für mich den besten schutz kostet aber etwas.
http://www.trojaner-board.de/103809-...i-malware.html
testversion:
Meine Antivirus-Empfehlung: Emsisoft Anti-Malware
insbesondere wenn du onlinebanking, einkäufe, sonstige zahlungsabwicklungen oder ähnlich wichtiges, wie zb berufliches machst, also sensible daten zu schützen sind, solltest du in sicherheitssoftware investieren.
vor dem aktivieren der lizenz die 30 tage testzeitraum ausnutzen.

kostenlos, aber eben nicht ganz so gut wäre avast zu empfehlen.
http://www.trojaner-board.de/110895-...antivirus.html
sag mir welches du nutzt, dann gebe ich konfigurationshinweise.
bitte dein bisheriges av deinstalieren
die folgende anleitung ist umfangreich, dass ist mir klar, sie sollte aber umgesetzt werden, da nur dann dein pc sicher ist. stelle so viele fragen wie nötig, ich arbeite gern alles mit dir durch!

http://www.trojaner-board.de/96344-a...-rechners.html
Starte bitte mit der Passage, Windows Vista und Windows 7
Bitte beginne damit, Windows Updates zu instalieren.
Am besten geht dies, wenn du über Start, Suchen gehst, und dort Windows Updates eingibst.
Prüfe unter "Einstellungen ändern" dass folgendes ausgewählt ist:
- Updates automatisch Instalieren,
- Täglich
- Uhrzeit wählen
- Bitte den gesammten rest anhaken, außer:
- detailierte benachichtungen anzeigen, wenn neue Microsoft software verfügbar ist.
Klicke jetzt die Schaltfläche "OK"
Klicke jetzt "nach Updates suchen".
Bitte instaliere zunächst wichtige Updates.
Es wird nötig sein, den PC zwischendurch neu zu starten. falls dies der Fall ist, musst du erneut über Start, Suchen, Windows Update aufrufen, auf Updates suchen klicken und die nächsten instalieren.
Mache das selbe bitte mit den optionalen Updates.
Bitte übernimm den rest so, wie es im Abschnitt windows 7 / Vista zu lesen ist.
aus dem Abschnitt xp, bitte den punkt "datenausführungsverhinderung, dep" übernehmen.
als browser rate ich dir zu chrome:
Installation von Google Chrome für mehrere Nutzerkonten - Google Chrome-Hilfe
anleitung lesen bitte
falls du nen andern nutzen willst, sags mir dann muss ich teile der nun folgenden anleitung


Sandboxie
Die devinition einer Sandbox ist hier nachzulesen:
Sandbox
Kurz gesagt, man kann Programme fast 100 %ig isuliert vom System ausführen.

Der Vorteil liegt klar auf der Hand, wenn über den Browser Schadcode eingeschläust wird, kann dieser nicht nach außen dringen.
Download Link:
http://www.trojaner-board.de/71542-a...sandboxie.html
ausführliche anleitung als pdf, auch abarbeiten:
Sandbox Einstellungen |

bitte folgende zusatz konfiguration machen:
sandboxie control öffnen, menü sandbox anklicken, defauldbox wählen.
dort klicke auf sandbox einstellungen.
beschrenkungen, bei programm start und internet zugriff schreibe:
chrome.exe
dann gehe auf anwendungen, webbrowser, chrome.
dort aktiviere alles außer gesammten profil ordner freigeben.
Wie du evtl. schon gesehen hast, kannst du einige Funktionen nicht nutzen.
Dies ist nur in der Vollversion nötig, zu deren Kauf ich dir rate.
Du kannst zb unter "Erzwungene Programmstarts" festlegen, dass alle Browser in der Sandbox starten.
Ansonsten musst du immer auf "Sandboxed webbrowser" klicken bzw Rechtsklick, in Sandboxie starten.
Eine lebenslange Lizenz kostet 30 €, und ist auf allen deinen PC's nutzbar.

Weiter mit:
Maßnahmen für ALLE Windows-Versionen
alles komplett durcharbeiten
anmerkung zu file hippo.
in den settings zusätzlich auswählen:
Run updateChecker
when Windows starts

Backup Programm:
in meiner Anleitung ist bereits ein Backup Programm verlinkt, als Alternative bietet sich auch das Windows eigene Backup Programm an:
Windows 7 Systemabbild erstellen (Backup)
Dies ist aber leider nur für Windows 7 Nutzer vernünftig nutzbar.
Alle Anderen sollten sich aber auf jeden fall auch ein Backup Programm instalieren, denn dies kann unter Umständen sehr wichtig sein, zum Beispiel, wenn die Festplatte einmal kaputt ist.

Zum Schluss, die allgemeinen sicherheitstipps beachten, wenn es dich betrifft, den Tipp zum Onlinebanking beachten und alle Passwörter ändern
bitte auch lesen, wie mache ich programme für alle sichtbar:
Programme für alle Konten nutzbar machen - PCtipp.ch - Praxis & Hilfe
surfe jetzt also nur noch im standard nutzer konto und dort in der sandbox.
wenn du die kostenlose version nutzt, dann mit klick auf sandboxed web browser, wenn du die bezahlversion hast, kannst du erzwungene programm starts festlegen, dann wird Sandboxie immer gestartet wenn du nen browser aufrufst.
wenn du mit der maus über den browser fährst sollte der eingerahmt sein, dann bist du im sandboxed web browser
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Antwort

Themen zu Multipler Befall mit ZeroAccess, durch drive-by
antivir, daten retten, desktop, device driver, eeepc, einstellungen, festplatte, fileserver, hijack, hijackthis, java-version, javakonsole, lanmanworkstation, maßnahme, mozilla, neu aufsetzen, programm, rootkit, senden, sketchup, software, super, svchost, system, tr/sirefef.bp.1, windows, windows xp, wlan verbindung



Ähnliche Themen: Multipler Befall mit ZeroAccess, durch drive-by


  1. nach Befall durch BKA Virus Entfernung durch Fachhandel Jetzt startet Windows sicherheitsdienst nicht mehr
    Log-Analyse und Auswertung - 05.06.2014 (14)
  2. zeroaccess durch recovery cd beseitigen?
    Log-Analyse und Auswertung - 06.01.2014 (11)
  3. PC-Befall durch SoftwareUpdater.Ui.exe
    Log-Analyse und Auswertung - 04.10.2013 (9)
  4. Befall durch TR/Boigy.J und TR/Bublik.I.12
    Plagegeister aller Art und deren Bekämpfung - 09.07.2013 (3)
  5. Nach ZeroAccess-Befall Test des Zweitgerätes
    Log-Analyse und Auswertung - 10.02.2013 (9)
  6. Trojaner-Befall durch Bundespolizeitrojaner 1.13
    Log-Analyse und Auswertung - 03.12.2012 (3)
  7. GVU-Trojaner Befall, 4 Funde durch MBM
    Plagegeister aller Art und deren Bekämpfung - 19.11.2012 (18)
  8. multipler Befall: ATRAPS.Gen2, Sirefef.16896, BDS/ZeroAccess
    Log-Analyse und Auswertung - 29.08.2012 (13)
  9. Konten bei Banking per Starmoney nach rootkit / ZeroAccess-Befall sperren?
    Plagegeister aller Art und deren Bekämpfung - 10.08.2012 (10)
  10. Befall ZeroAccess/abnow-Umleitung
    Log-Analyse und Auswertung - 19.03.2012 (12)
  11. ZeroAccess Befall
    Plagegeister aller Art und deren Bekämpfung - 28.02.2012 (19)
  12. Multipler Befall von Trojanern
    Log-Analyse und Auswertung - 28.03.2011 (18)
  13. Securitiy Tool durch Drive by installation eingefangen
    Plagegeister aller Art und deren Bekämpfung - 01.12.2010 (13)
  14. Befall durch TR/Meredrop.A.4984
    Plagegeister aller Art und deren Bekämpfung - 29.01.2010 (1)
  15. Befall durch TR/Crypt.ULPM.Gen
    Plagegeister aller Art und deren Bekämpfung - 01.04.2009 (8)
  16. Befall durch TR/Hijack.AE
    Plagegeister aller Art und deren Bekämpfung - 28.11.2008 (12)
  17. Befall durch Trojaner, was tun?
    Log-Analyse und Auswertung - 08.08.2008 (5)

Zum Thema Multipler Befall mit ZeroAccess, durch drive-by - Hallo, ich würde mich freuen wenn Ihr mir helfen könntet. Vorgeschichte: 1. Vor über 2Jahren Verdacht auf conficker, entsprechende Registryblocker(?) installiert. 2. Vor ca. 1 Jahr beim surfen einen Rootkit - Multipler Befall mit ZeroAccess, durch drive-by...
Archiv
Du betrachtest: Multipler Befall mit ZeroAccess, durch drive-by auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.