Zeroaccess der üblen Art nach Neuinstallation weg?
 

Hallo,

leider bin ich mir nach einer Neuinstallation immer noch nicht sicher...ZeroAcess der üblen Sorte - OTL Log als Anhang.
Danke.

Hi,

Die Logfiles bitte nicht anhängen (das erschwert mir das Auswerten massiv), sondern deren Inhalt direkt innerhalb von Codetags einfügen: [code]Inhalt Logfile[/code].

Hi,

habe ich probiert - dann kam die Fehlermeldung bitte anhängen.

Ich liefere später noch mehr Infos über das elendige Viech - hat wirklich ein seltsames Verhalten.
Und das elendige Teil lernt...!
Echt finster...

Hi,

Ok, dann packe die Logfiles bitte in ein zip-Archiv (nicht rar) und hänge sie an.

Ok - was mir auffällt ist das keine extras.txt erstellt wurde.

Ich hab ESETSirefefEVCleaner.exe zu anfangs laufen lassen und tatsächlich war nach ein paar läufen das Vieh vermeintlich weg.
Leider war es nicht so.
Sämtliche Server waren befallen...(bzw. sind noch?)

Also du hast deine Festplatte komplett formatiert und danach Windows neu installiert, aber ZeroAccess soll weiterhin drauf gewesen sein?
Was hast du denn für Hinweise, dass das so ist? Gibt es Logs von Scannern, welche das untermauern?

Ja, den MBR hab ich auch neu erstellt...

OTL hat bei den Zeroaccess check

Aber kann auch normal sein...who knws.

Ich spüre einfach das auf dem Rechner was stinkt.

Die zeroaccess Ports sind geblockt und werden gedroppt - meine FW hat aber trotzdem ziemlich viele IPS Alerts und anderen Müll auf dem Monitor:

Die .25 ist der Rechner wo das OTL erstellt wurde - die Ports sind nicht normal:
IPS Top 10 (snort)
Die Teamviewer activity kann gewollt sein - muss ich erst prüfen.

Noch am Rande - grundsätzlich ist die FW völlig Paranoid eingestellt.
Das gilt sowohl für den internen Traffic als auch den WAN -> LAN.

Die SD-Karte im slot war natürlich auch draußen bei jeden Neustart...

IP .200 ist die FW.
Neuinfektion vom LAN kann (fast) ausgeschlossen werden normalerweise. Grundsätzlich ist alles erstmal dropped im Netz.

Hi,

Dann hat da wohl kaum was überlebt..
Wenn schon, dann hättest du dich neu infiziert.

I do. In dieser Sektion Zeroaccess Check ist weit und breit nichts Auffälliges zu sehen.

Gibt es davon ein Log, was der entfernt haben will...?
Oder sonst irgendein Log, wo klare Hinweise darauf zu sehen wären?

Sorry hab noch nicht alle Infos zusammengetragen gehabt - hatte noch einiges zu erledigen.

Ja, ist durchaus unwahrscheinlich - aber nicht ausgeschlossen genau wie eine Neuinfektion - wenn dann weiß ich aber nicht wie ehrlich gesagt.

Auf einer VM hab ich das Teil noch und mal das Tool ausprobiert.
Zu anfangs hat es noch geklappt es auszuführen - ein paar mal neuzustarten und es meldete ein sauberes System.
Später auf einem anderen System (gleiche Bedingungen und Vorgehensweise).

Was auf einem anderen Server geklappt hat - roguekiller64 von tigzy starten und rödeln lassen er hat ein paar registry Einträge gefunden (siehe unten waren fast identisch).
Nach dem ausführen und löschen der Einträge habe ich unter c:\recycle-bin$ die SID Folder gelöscht die leider vorhanden waren (shift+entf).
Anschliessend reboot des Systems - danach liess sich etwas mit dem unten angebenen Tool bewirken (rechte Maustaste admin rechte).
Ohne ausführen von roguekiller und löschen der files hat es auch nichts bewirkt.


Ja von dem Tool gibt es das:

EDIT: Auf einigen Maschinen waren die Veränderungen ganz unterschiedlicher Art.

Zum Teil wurde die hosts verändert, bei einigen wird/wurde der Zugriff auf Systemdateien bzw. andere mit OTL vom "system" verweigert.
Ziemlich strange.

Der Traffic der Teilweise über das Netz versucht zu laufen ist auch seltsam.

Das ist auch nicht Normal - teilweise werden IPS alerts ausgelöst:

Update Update:

http://imageshack.us/a/img855/5990/unbenannt2pa.png

Und:
FYI noch.

vor dem Reinstall habe ich im safe mode mit hijack this die ADS streams anzeigen lassen - auffällig (oder auch nicht ?!) waren hier tausende von file streams aus c:\anwendungsdaten\anwendungsdaten\anwendungsdaten...\anwedungsdaten...usw. (nicht physikalisch wiederholt - nur logisch).

Nach dem entfernen und reboot im normal mode war es zwar besser, aber immer noch kompromittiert.

Hi,

ich hab im Moment absolut keinen Überblick über die Situation.

Wovon sprechen wir hier? Es sind Server? Von was denn? Wieviele sind betroffen?
Besteht hier ein gewerblicher oder kommerzieller Hintergrund (Windows Enterprise Edition)?

Hi,

ja kann ich nachvollziehen - geht ch mir ähnlich deswegen wusste ich mir auch keinen Rat mehr außer hier zu posten.
Erschwerend für dritte kommt noch hinzu das mir solche Erklärungen nicht leicht fallen.

Das ist mein Privat Notebook - die Lizenz ist von meinen Firmen Technet-Account.
Es sind meine Server - Privat Spielwiese (ja zugegeben läuft n Firmen-SQL drauf.
Da ist nix kommerzielles dahinter keine Sorge - so dreist wäre ich auch nicht...

Es betrifft nen Fileserver, das Notebook meiner Freundin, 4 oder 5 VM's mit dem dazugehörigen Host-System.

Hi,

sorry, der Thread ist mir untergegangen.

Und diese sind oder waren wirklich alle von ZeroAccess betroffen??
Hast du eine Ahnung, wie das passiert sein könnte? ZA breitet sich eigentlich nicht von selbst aus...

Ja, die waren/sind definitiv alle betroffen.

Wenn ich das wüsste würde ich nicht hier posten *schmerzverzerrt lachend*

EDIT:

Oder war etwa das System vielleicht infiltriert......?

Zeitgleich? Hast du bei allen eine "Software" aufgespielt oder sowas in der Richtung?
Welche dieser betroffenen Systeme wurden denn schon komplett neu gemacht und scheinen danach immer noch infiziert zu sein, wie du es erwähnt hast?

Welches System meinst du?

Alle.
Naja Windows...aber sind iso's vom TN.

Das ist die Frage woher - ich hab ne Firewall - war nur ein Gedanke. Ich ändere aber meine Passwörter regelmäßig.
18 Zeichen lassen sich nicht mehr merken - und ich tippe die gar nicht mehr ein so Paranoid bin ich mittlerweile...nur KeePass.

Hilf mir bitte schnell auf die Sprünge: TN?

Technet meinte ich sorry.

ZeroAccess sollte das nicht überleben können, wenn man eine saubere Neuinstallation macht (und nicht nur einfach drüberinstalliert), da ist was faul.

Ich schlage vor, das jetzt systematisch anzugehen:
Kannst du einen der Rechner nochmals komplett formatieren, das Windows neu installieren und sonst noch gar nichts drauf tun und den Rechner auch nichts ins Netz hängen?

Hatte ich doch...
Die VM's hatte ich doch auch gelöscht. und Neu installiert.

Ich bin kein N00b ...

Ich hab mich unklar ausgedrückt: Ich möchte so eine Kiste anschauen, nachdem sie komplett neu gemacht wurde. Und sonst nichts drauf ist und auch noch nicht im Netz hängt.

ok.
hmm macht sich schwierig dann oder?
Höchsten ne Hyper-V VM?

Wieso?

Kann auch sein ich steh auf der Leitung :).

Ich kann dir die Festplatte schicken bzw. das Image.
Naja wie ich soll ich dir das Zeigen außer IRL wenn das ding nicht im Netz hängen soll.
Bzw. Hyper-V - ist schon am Installieren die VM.

Ich geb dir die Tools, du bringst sie per USB-Stick auf den Rechner, machst dort die Scans, bringst die Logfiles per USB-Stick wieder raus und postest sie hier.
Tönt das nach einer Idee? ;)

Doch klingt nach ner Idee.
Hmm...ich komm mir vor wie n Russisches Testlabor mittlerweile...

Wobei ich aber externe Quellen auch schon probiert habe...

Ok, dann starte auf dem frisch gemachten System so:


Schritt 1

Lade dir Gmer herunter (auf den Button Download EXE drücken) und speichere das Programm auf den Desktop.

• Deaktiviere alle Antivirenprogramme und Malware/Spyware Scanner.
• Trenne alle bestehenden Verbindungen zu einem Netzwerk/Internet (WLAN nicht vergessen).
• Schliesse bitte alle anderen Programme.
• Starte gmer.exe (die Datei hat einen zufälligen Dateinamen).
  Vista und Win7 User mit Rechtsklick "als Administrator starten".
• Sollte sich ein Fenster mit folgender Warnung öffnen

  WARNING !!!
  GMER has found system modification, which might have been caused by ROOTKIT activity.
  Do you want to fully scan your system ?

  dann klicke unbedingt auf No.
• Entferne rechts den Haken bei:
  • IAT/EAT
  • Show all
• Setze rechts den Haken bei deiner Systempartition (normalerweise C:\).
• Starte den Scan mit einem Klick auf Scan.
• Mache gar nichts am Computer, während der Scan läuft!
• Wenn der Scan fertig ist, klicke auf Save und speichere das Logfile unter Gmer.txt auf deinen Desktop.
• Schliesse dann GMER und führe unmittelbar einen Neustart des Computers durch.
• Füge bitte den Inhalt des Logfiles hier in deine Thread ein.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor du ins Netz gehst.



Schritt 2

Lade dir bitte OTL (von Oldtimer) herunter und speichere es auf deinen Desktop.

• Doppelklick auf die OTL.exe.
• Unter Extra Registry, wähle bitte Use SafeList.
• Setze den Haken bei Scan all Users.
• Klicke nun auf Run Scan.
• Wenn der Scan beendet ist, werden 2 Logfiles (OTL.txt und Extras.txt) erstellt.
• Poste den Inhalt dieser Logfiles hier in den Thread.

Bitte poste in deiner nächsten Antwort:

• Log von Gmer
• Logs von OTL

ok ich lass die Netzwerkverbindungen weg. Und nehme auch keine RDP Verbindung sondern das Konsolenfenster.
VM dürfte nicht lange dauern.

http://img42.imageshack.us/img42/2511/62718172.png

Ok, melde dich dann einfach wieder, sobald alle Logs da sind.
Dann sehen wir, ob das komplett neu gemachte System (ohne etwas drauf) bereits infiziert ist oder nicht..

Du glaubst ich bin bescheuert oder?

Wieso?
Ich glaube nicht, dass ZA eine Neuinstallation überlebt.
Und ich glaube dir, dass du sauber neuaufgesetzt hast.
Und ich glaube dir, dass danach wirklich noch eine Infektion vorlag und nicht nur Paranoia im Spiel ist.
Und ich glaube dir, dass die Windows ISO, von welcher du installierst, ein sauberes Original ist und nicht irgendein verseuchter Crack.

Also ist das zusammengefasst ein sehr merkwürdiger Fall und man sollte doch schrittweise vorgehen und schauen, wann genau (und ob überhaupt) die Seuche wieder zurückkommt, oder nicht?

ok klingt nach nem Deal.

Gut.
Dann holen wir jetzt als erstes die Bestätigung, dass der Start sauber ist und haben dann eine "Baseline", um später dagegen vergleichen zu können.

(Bin heute aber nicht mehr so lange da. Morgen dann wieder.)

Sorry keine Zeit gehabt bis jetzt - viel zu tun zzt.
Ich melde mich.

In Ordnung, gar kein Problem.

Hi,

ich hab schon länger keine Antwort mehr von dir erhalten. Brauchst du weiterhin noch Hilfe?

Wenn ich in den nächsten 24 Stunden nichts von dir höre, gehe ich davon aus, dass sich das Thema erledigt hat und lösche es aus meinen Abos.

Fehlende Rückmeldung
Dieses Thema wurde aus meinen Abos gelöscht. Somit bekomme ich keine Benachrichtigung mehr über neue Antworten.
Schreib mir eine PM, falls du das Thema doch wieder fortsetzen möchtest. Dann machen wir hier weiter.

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass dein Rechner schon sauber ist.

Jeder andere bitte diese Anleitung lesen und einen eigenen Thread erstellen.