Zeroaccess der üblen Art nach Neuinstallation weg?
 

Hallo,

leider bin ich mir nach einer Neuinstallation immer noch nicht sicher...ZeroAcess der üblen Sorte - OTL Log als Anhang.
Danke.

Hi,

Die Logfiles bitte nicht anhängen (das erschwert mir das Auswerten massiv), sondern deren Inhalt direkt innerhalb von Codetags einfügen: [code]Inhalt Logfile[/code].

Hi,

habe ich probiert - dann kam die Fehlermeldung bitte anhängen.

Ich liefere später noch mehr Infos über das elendige Viech - hat wirklich ein seltsames Verhalten.
Und das elendige Teil lernt...!
Echt finster...

Hi,

Ok, dann packe die Logfiles bitte in ein zip-Archiv (nicht rar) und hänge sie an.

Ok - was mir auffällt ist das keine extras.txt erstellt wurde.

Ich hab ESETSirefefEVCleaner.exe zu anfangs laufen lassen und tatsächlich war nach ein paar läufen das Vieh vermeintlich weg.
Leider war es nicht so.
Sämtliche Server waren befallen...(bzw. sind noch?)

Also du hast deine Festplatte komplett formatiert und danach Windows neu installiert, aber ZeroAccess soll weiterhin drauf gewesen sein?
Was hast du denn für Hinweise, dass das so ist? Gibt es Logs von Scannern, welche das untermauern?

Ja, den MBR hab ich auch neu erstellt...

OTL hat bei den Zeroaccess check

Aber kann auch normal sein...who knws.

Ich spüre einfach das auf dem Rechner was stinkt.

Die zeroaccess Ports sind geblockt und werden gedroppt - meine FW hat aber trotzdem ziemlich viele IPS Alerts und anderen Müll auf dem Monitor:

Die .25 ist der Rechner wo das OTL erstellt wurde - die Ports sind nicht normal:
IPS Top 10 (snort)
Die Teamviewer activity kann gewollt sein - muss ich erst prüfen.

Noch am Rande - grundsätzlich ist die FW völlig Paranoid eingestellt.
Das gilt sowohl für den internen Traffic als auch den WAN -> LAN.

Die SD-Karte im slot war natürlich auch draußen bei jeden Neustart...

IP .200 ist die FW.
Neuinfektion vom LAN kann (fast) ausgeschlossen werden normalerweise. Grundsätzlich ist alles erstmal dropped im Netz.

Hi,

Dann hat da wohl kaum was überlebt..
Wenn schon, dann hättest du dich neu infiziert.

I do. In dieser Sektion Zeroaccess Check ist weit und breit nichts Auffälliges zu sehen.

Gibt es davon ein Log, was der entfernt haben will...?
Oder sonst irgendein Log, wo klare Hinweise darauf zu sehen wären?

Sorry hab noch nicht alle Infos zusammengetragen gehabt - hatte noch einiges zu erledigen.

Ja, ist durchaus unwahrscheinlich - aber nicht ausgeschlossen genau wie eine Neuinfektion - wenn dann weiß ich aber nicht wie ehrlich gesagt.

Auf einer VM hab ich das Teil noch und mal das Tool ausprobiert.
Zu anfangs hat es noch geklappt es auszuführen - ein paar mal neuzustarten und es meldete ein sauberes System.
Später auf einem anderen System (gleiche Bedingungen und Vorgehensweise).

Was auf einem anderen Server geklappt hat - roguekiller64 von tigzy starten und rödeln lassen er hat ein paar registry Einträge gefunden (siehe unten waren fast identisch).
Nach dem ausführen und löschen der Einträge habe ich unter c:\recycle-bin$ die SID Folder gelöscht die leider vorhanden waren (shift+entf).
Anschliessend reboot des Systems - danach liess sich etwas mit dem unten angebenen Tool bewirken (rechte Maustaste admin rechte).
Ohne ausführen von roguekiller und löschen der files hat es auch nichts bewirkt.


Ja von dem Tool gibt es das:

EDIT: Auf einigen Maschinen waren die Veränderungen ganz unterschiedlicher Art.

Zum Teil wurde die hosts verändert, bei einigen wird/wurde der Zugriff auf Systemdateien bzw. andere mit OTL vom "system" verweigert.
Ziemlich strange.

Der Traffic der Teilweise über das Netz versucht zu laufen ist auch seltsam.

Das ist auch nicht Normal - teilweise werden IPS alerts ausgelöst:

Update Update:

http://imageshack.us/a/img855/5990/unbenannt2pa.png

Und:
FYI noch.

vor dem Reinstall habe ich im safe mode mit hijack this die ADS streams anzeigen lassen - auffällig (oder auch nicht ?!) waren hier tausende von file streams aus c:\anwendungsdaten\anwendungsdaten\anwendungsdaten...\anwedungsdaten...usw. (nicht physikalisch wiederholt - nur logisch).

Nach dem entfernen und reboot im normal mode war es zwar besser, aber immer noch kompromittiert.

Hi,

ich hab im Moment absolut keinen Überblick über die Situation.

Wovon sprechen wir hier? Es sind Server? Von was denn? Wieviele sind betroffen?
Besteht hier ein gewerblicher oder kommerzieller Hintergrund (Windows Enterprise Edition)?

Hi,

ja kann ich nachvollziehen - geht ch mir ähnlich deswegen wusste ich mir auch keinen Rat mehr außer hier zu posten.
Erschwerend für dritte kommt noch hinzu das mir solche Erklärungen nicht leicht fallen.

Das ist mein Privat Notebook - die Lizenz ist von meinen Firmen Technet-Account.
Es sind meine Server - Privat Spielwiese (ja zugegeben läuft n Firmen-SQL drauf.
Da ist nix kommerzielles dahinter keine Sorge - so dreist wäre ich auch nicht...

Es betrifft nen Fileserver, das Notebook meiner Freundin, 4 oder 5 VM's mit dem dazugehörigen Host-System.

Hi,

sorry, der Thread ist mir untergegangen.

Und diese sind oder waren wirklich alle von ZeroAccess betroffen??
Hast du eine Ahnung, wie das passiert sein könnte? ZA breitet sich eigentlich nicht von selbst aus...

Ja, die waren/sind definitiv alle betroffen.

Wenn ich das wüsste würde ich nicht hier posten *schmerzverzerrt lachend*

EDIT:

Oder war etwa das System vielleicht infiltriert......?

Zeitgleich? Hast du bei allen eine "Software" aufgespielt oder sowas in der Richtung?
Welche dieser betroffenen Systeme wurden denn schon komplett neu gemacht und scheinen danach immer noch infiziert zu sein, wie du es erwähnt hast?

Welches System meinst du?

Alle.
Naja Windows...aber sind iso's vom TN.

Das ist die Frage woher - ich hab ne Firewall - war nur ein Gedanke. Ich ändere aber meine Passwörter regelmäßig.
18 Zeichen lassen sich nicht mehr merken - und ich tippe die gar nicht mehr ein so Paranoid bin ich mittlerweile...nur KeePass.