Hilf mir bitte schnell auf die Sprünge: TN?

Technet meinte ich sorry.

ZeroAccess sollte das nicht überleben können, wenn man eine saubere Neuinstallation macht (und nicht nur einfach drüberinstalliert), da ist was faul.

Ich schlage vor, das jetzt systematisch anzugehen:
Kannst du einen der Rechner nochmals komplett formatieren, das Windows neu installieren und sonst noch gar nichts drauf tun und den Rechner auch nichts ins Netz hängen?

Hatte ich doch...
Die VM's hatte ich doch auch gelöscht. und Neu installiert.

Ich bin kein N00b ...

Ich hab mich unklar ausgedrückt: Ich möchte so eine Kiste anschauen, nachdem sie komplett neu gemacht wurde. Und sonst nichts drauf ist und auch noch nicht im Netz hängt.

ok.
hmm macht sich schwierig dann oder?
Höchsten ne Hyper-V VM?

Wieso?

Kann auch sein ich steh auf der Leitung :).

Ich kann dir die Festplatte schicken bzw. das Image.
Naja wie ich soll ich dir das Zeigen außer IRL wenn das ding nicht im Netz hängen soll.
Bzw. Hyper-V - ist schon am Installieren die VM.

Ich geb dir die Tools, du bringst sie per USB-Stick auf den Rechner, machst dort die Scans, bringst die Logfiles per USB-Stick wieder raus und postest sie hier.
Tönt das nach einer Idee? ;)

Doch klingt nach ner Idee.
Hmm...ich komm mir vor wie n Russisches Testlabor mittlerweile...

Wobei ich aber externe Quellen auch schon probiert habe...

Ok, dann starte auf dem frisch gemachten System so:


Schritt 1

Lade dir Gmer herunter (auf den Button Download EXE drücken) und speichere das Programm auf den Desktop.

• Deaktiviere alle Antivirenprogramme und Malware/Spyware Scanner.
• Trenne alle bestehenden Verbindungen zu einem Netzwerk/Internet (WLAN nicht vergessen).
• Schliesse bitte alle anderen Programme.
• Starte gmer.exe (die Datei hat einen zufälligen Dateinamen).
  Vista und Win7 User mit Rechtsklick "als Administrator starten".
• Sollte sich ein Fenster mit folgender Warnung öffnen

  WARNING !!!
  GMER has found system modification, which might have been caused by ROOTKIT activity.
  Do you want to fully scan your system ?

  dann klicke unbedingt auf No.
• Entferne rechts den Haken bei:
  • IAT/EAT
  • Show all
• Setze rechts den Haken bei deiner Systempartition (normalerweise C:\).
• Starte den Scan mit einem Klick auf Scan.
• Mache gar nichts am Computer, während der Scan läuft!
• Wenn der Scan fertig ist, klicke auf Save und speichere das Logfile unter Gmer.txt auf deinen Desktop.
• Schliesse dann GMER und führe unmittelbar einen Neustart des Computers durch.
• Füge bitte den Inhalt des Logfiles hier in deine Thread ein.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor du ins Netz gehst.



Schritt 2

Lade dir bitte OTL (von Oldtimer) herunter und speichere es auf deinen Desktop.

• Doppelklick auf die OTL.exe.
• Unter Extra Registry, wähle bitte Use SafeList.
• Setze den Haken bei Scan all Users.
• Klicke nun auf Run Scan.
• Wenn der Scan beendet ist, werden 2 Logfiles (OTL.txt und Extras.txt) erstellt.
• Poste den Inhalt dieser Logfiles hier in den Thread.

Bitte poste in deiner nächsten Antwort:

• Log von Gmer
• Logs von OTL

ok ich lass die Netzwerkverbindungen weg. Und nehme auch keine RDP Verbindung sondern das Konsolenfenster.
VM dürfte nicht lange dauern.

http://img42.imageshack.us/img42/2511/62718172.png

Ok, melde dich dann einfach wieder, sobald alle Logs da sind.
Dann sehen wir, ob das komplett neu gemachte System (ohne etwas drauf) bereits infiziert ist oder nicht..

Du glaubst ich bin bescheuert oder?

Wieso?
Ich glaube nicht, dass ZA eine Neuinstallation überlebt.
Und ich glaube dir, dass du sauber neuaufgesetzt hast.
Und ich glaube dir, dass danach wirklich noch eine Infektion vorlag und nicht nur Paranoia im Spiel ist.
Und ich glaube dir, dass die Windows ISO, von welcher du installierst, ein sauberes Original ist und nicht irgendein verseuchter Crack.

Also ist das zusammengefasst ein sehr merkwürdiger Fall und man sollte doch schrittweise vorgehen und schauen, wann genau (und ob überhaupt) die Seuche wieder zurückkommt, oder nicht?