abnow.com, dauer Bluescreen, was kann ich noch machen Hallo Board! Hab mir wohl einen Trojaner/Virus namens abnow.com eingefangen. Bin echt verzweifelt! Schreibe an dem Rechner gerade meine Dissertation. PC nur noch im Bluescreen. Rechner: Laptop; Acer Aspire Timeline, I3, System: Win7 64bit home premium Hinweis:Kein CD-laufwerk vorhanden wichtigsten Dateien teilweise per Dropbox gesichert Alles ging schnell. beim googeln bin ich immer auf abnow.com gelandet. Erst nur Firefox, dann auch IE. Habe dann den Hinweis auf eine Software gefunden. Endet auf "...Doctor" (grünes Icon in der Taskleiste). Installiert und laufen lassen. Hat in allen drei angezeigten Gebieten etwas gefunden. Das war jeweils mit "leichte Gefahrenstufe" gekennzeichnet. Beim Systemscan habe ich kurz auf Pause gedrückt. 2 Minuten später BlueScreen. seither fährt sich der Rechner hoch. Passwort für Win eingeben. Kurze Ladezeit und wieder Bluescreen. Abgesicherter Modus ebenfalls. Was kann und muss ich tun Leute? Meine Prioritäten: Priorität 1 = Datensicherung (Dissertation, Mails/Outlook, sonstige Dateien) Priorität 2 = System wieder zum laufen bringen. Kann mir jemand von euch Könnern helfen? Was kann ich tun? Muss ich mir sorgen um Passwörter etc. machen (OnlineShopping, -Banking)? Habt vielen vielen Danke für jede Art von Hinweis, Hilfe und und und... Wenn noch Infos notwendig sind, bitte sagen - ich werde mein bestes tun. Danke! Grüße Maggus |
:hallo: Ich habe dein Thema in Arbeit und melde mich so schnell als möglich mit weiteren Anweisungen. Bitte beachte, dass alle meine Antworten zuerst von einem Ausbilder freigegeben werden müssen, bevor ich diese hier posten darf. Dies garantiert, dass Du Hilfe von einem ausgebildeten Helfer bekommst. Ich bedanke mich für deine Geduld :) Gruß, PsYcHoTiC |
Danke für deine schnelle Antwort! Das bringt mich schon mal ein wenig runter. Bin gerade fix und alle. |
:hallo: Mein Name ist Marius und ich werde dir bei deinem Problem helfen. Eines vorneweg: Hinweis: Wir können hier nie dafür garantieren, dass wir sämtliche Reste von Schadsoftware gefunden haben. Eine Formatierung ist meist der schnellere und immer der sicherste Weg. Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass du clean bist. Eine Bereinigung ist mitunter mit viel Arbeit für dich verbunden.
Vista und Win7 User Alle Tools mit Rechtsklick "als Administrator ausführen" starten. Schritt 1: FRST Downloade dir bitte Farbar's Recovery Scan Tool x64 und speichere diese auf einen USB Stick. Schließe den USB Stick an das infizierte System an Du musst das System nun in die System Reparatur Option booten. Über den Boot Manager
Mit Windows CD/DVD
Wähle in den Reparaturoptionen Eingabeaufforderung
|
Danke für die Anleitung. Ich habe versucht diese auszuführen. Der Code der Auswertung folgt unten. Einmal mehr ein großes DANKE vorab. Folgendes kann ich für die Beschreibung ergänzen:
Code: Scan result of Farbar Recovery Scan Tool Version: 27-02-2012 |
Fix mit FRST Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste und schreibe notepad in das Ausführen Fenster. Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument Code: SubSystems: [Windows] ==> ZeroAccess
|
Guten morgen Marius, Danke dir zu deiner Antwort gestern in später Stunde. Nachfolgend der Code nach der Aktion Fixlist.txt Code: Fix result of Farbar Recovery Scan Tool (FRST written by farbar) Version: 27-02-2012 Maggus |
Bekommst du immer noch bluescreens? |
Hallo Marius! hab die Kiste heruntergefahren und neu gestartet. Ergebnis: Bluescreen wenige Sekunden nach dem Login. Danach gestartet im abgesicherten Modus. Ergebnis: Bluescreen nach ca.45-60 Sekunden. Das "Hilfe und Support von Microsoft" Fenster war vollständig geladen. Erneut hochgefahren (regulär) und bei Login n i c h t angemeldet, sondern Button zum ordnungsgemäßen herunterfahren genutzt. Beim runterfahren wieder Bluescreen. "Fehlersuche" oder Eingrenzung meinerseits... Habe noch einmal die ersten Schritte von frst64.exe ausgeführt und folgendes gesehen! Nach der Auswahl der Sprache kommt ein Fenster, dass es mir ermöglicht einen Benutzer auszuwählen und ein Passwort anzugeben. In diesem Feld steht einmal "HomeGroupUsers$" und einmal der Name, dem ich dem Gerät einmal verpasst habe. >>> Der Scan und Fix sind jeweils über den vergebenen Computernamen gelaufen. Das Passwort meines regulären Windows Login hatte ich hier jeweils angegeben. Korrekt? Schließt sich die Frage an, ob ich Scan und ggf. Fix über "HomeGroupUsers$" laufen lassen soll/muss? Und, ob hier oder generell eine Passwortangabe erfoderlich ist? Ein weiteres Mal herzlichen Dank Marius und dem Trojaner-Board-Team! :daumenhoc Maggus |
Fix mit FRST Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste und schreibe notepad in das Ausführen Fenster. Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument Code: HKU\wilogs\...\Winlogon: [Shell] C:\Users\wilogs\AppData\Local\f1be3786\X
|
Hallo Marius! Unten das Log. für den erneuten Fix von dir. Erster Start nach dem erneuten frst64.exe-Fix, Windows im abgesicherten Modus: läuft! Es wird das Fenster angezeigt: "Win wird nach unerwartetem Herunterfahren wieder ausgeführt. ... kan online nach Lösung Suchen ..." Ich habe "später suchen" angeklickt, da keine Internetverbindung zustandekam. Neustart ausgewählt... Starten von Windows regulär: läuft!!! :party: WLAN habe ich deaktiviert. Festplatte arbeitet kräftig und dauerhaft. Programme lassen sich öffnen (z.B. Outlook) Damit wäre schon mal viel geschaft. Erneut ein großes Danke!!! Wie ist es vernünftig weiter zu machen? Erst sichern mit der Gefahr den Trojaner/Virus mit zu ziehen? Oder erst den Schädling bekämpfen - vor allem wie. Auch hier bin ich wieder auf deine Hiilfe angewiesen. Ich hoffe du kannst mich weiter unterstützen. Grüße Maggus Code: Fix result of Farbar Recovery Scan Tool (FRST written by farbar) Version: 27-02-2012 |
Hallo maggus2012, du hast dir eine sehr hartnäckige Variante des ZeroAccess-Rootkits eingefangen. Arbeite weiter mit, um den Rechner vollständig sauber zu bekommen. Combofix Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!Downloade dir bitte Combofix von einem dieser Downloadspiegel Link 1 Link 2 WICHTIG - Speichere Combofix auf deinem Desktop
Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort. Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten starte den Rechner einfach neu. Dies sollte das Problem beheben. |
Hallo Marius! Nächster Schritt geschaft. Nachfolgend die log von ComboFix. Warte auf deine nächsten Instruktionen. Erneut Danke und Gruß Maggus2012 Code: ComboFix 12-02-29.01 - wilogs 29.02.2012 14:31:50.1.4 - x64 |
Schritt 1: MBAM Downloade Dir bitte Malwarebytes
Schritt 2: aswMBR Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.
Schritt 3: DDS Downloade dir bitte dds ( von sUBs ) von einem der folgenden Downloadspiegel und speichere die Datei auf deinem Desktop. dds.com dds.scr dds.pif
Schritt 4: Farbar´s Service Scanner Downloade dir bitte Farbar's Service Scanner
|
Hallo Marius! anbei sende ich dir die Log-Files. Vor den Logfiles ggf. noch Anmerkungen. MBAM Nach dem Quick Scan kam direkt das Logfile. "markieren" und anzeigen "aller Ergebnise" konnte ich nirgends auswählen. Hängt vermutlich damit zusammen, dass keine Treffer vorhanden waren. Code: Malwarebytes Anti-Malware (Test) 1.60.1.1000 aswMBR Code: aswMBR version 0.9.9.1649 Copyright(c) 2011 AVAST Software DDS.txt Code: . DDS-Attach.txt Code: . Farbar´s Service Scanner Code: Farbar Service Scanner Version: 22-02-2012 |
--------------------------------------------- |
Hallo Marius, ist dabei, hab ich nachträglich hinzugefügt. Danke Gruß |
CF-Script Hinweis für Mitleser: Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden. Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen! Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von einem der folgenden Download-Spiegel neu herunter: BleepingComputer.com - ForoSpyware.comund speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)! Drücke die Windows + R Taste --> Notepad (hinein schreiben) --> OK Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument. Code: ROOTKIT:: Wichtig:
|
Hallo Marius, wahnsinn was Ihr hier durchzieht! Sensationell. Hier also das Log von der erneuten Anwendung von Combofix zusammen mit CFScript.txt. Code: ComboFix 12-03-01.01 - wilogs 01.03.2012 18:33:12.2.4 - x64 |
Schritt 1: CF-Script Hinweis für Mitleser: Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden. Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen! Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von einem der folgenden Download-Spiegel neu herunter: BleepingComputer.com - ForoSpyware.comund speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)! Drücke die Windows + R Taste --> Notepad (hinein schreiben) --> OK Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument. Code: DDS:: Wichtig:
Schritt 2: aswMBR Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.
Schritt 3: MBAM Downloade Dir bitte Malwarebytes
Schritt 4: ESET ESET Online Scanner
|
Guten Morgen Marius! Deine Aufgabenliste habe ich wieder abgearbeitet. Nachfolgend die Logs Hinweis: Nach dem Scanen mit ESET und nachdem ich ESET lt. Anleitung geschlossen habe, kam ein Fenster zum Vorschein. Windows-Meldung. Programm (ESET) nicht richtig installiert. Noch einmal installieren und scannen? CF-Script Code: ComboFix 12-03-01.02 - wilogs 02.03.2012 7:04.3.4 - x64 aswMBR Code: aswMBR version 0.9.9.1649 Copyright(c) 2011 AVAST Software MBAM Code: Malwarebytes Anti-Malware (Test) 1.60.1.1000 ESET Code: C:\FRST\Quarantine\msftpsvc.dll Win64/Sirefef.W trojan |
Fix mit FRST Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste und schreibe notepad in das Ausführen Fenster. Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument Code: C:\Windows\system32\a016mgmt.dll
|
Hallo Marius! Nachfolgend das Fixlog zu FRST64.exe Code: Fix result of Farbar Recovery Scan Tool (FRST written by farbar) Version: 27-02-2012 Gruß Maggus |
Hallo maggus, fein! Dann machen wir mal weiter! Schritt 1: aswMBR Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.
Schritt 2: MBAM Downloade Dir bitte Malwarebytes
Schritt 3: ESET Drücke die Windows- und die R-Taste gleichzeitig. Schreibe folgendes in die Textbox: Code: "C:\Program Files\ESET\ESET Online Scanner\OnlineScannerApp.exe" Gruß |
Hallo Marius! So, nachfolgend die nächsten Logfiles. Dir einen schönen Sonntag Abend bzw. einen guten Start in die neue Woche. Gruß Maggus aswMBR Code: aswMBR version 0.9.9.1649 Copyright(c) 2011 AVAST Software MBAM Code: Malwarebytes Anti-Malware (Test) 1.60.1.1000 ESET Code: C:\FRST\Quarantine\91490a2-43cd760a Java/Exploit.Agent.NAO trojan |
Mach noch folgendes: Java update Dein Java ist nicht mehr aktuell. Älter Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.
Macht der Rechner noch Probleme? |
Hallo Marius, Die Schädlinge sind als soweit runter vom Rechner, oder? Frage zu Java - Systemsteuerung: Java habe ich geladen und installiert. In der Systemsteuerung ist das geladene das älteste (V6 Update 31). Denn es ist eine V7 Update 1 enthalten (Install im Nov. 2011) Welche soll ich denn da lassen. Frage zu Java-Update: Nach dem java Update, aber vor Neustart des Rechners wollte der Firefox eine Aktualisierung durchführen (Plugin). Hab ich gemacht, da es in direktem Zusammenhang mit der Java Installation vorher war. In den Plugins des Firefox ist jetzt eine "Java Plattform SE 6 U31" sichtbar. Korrekt? Zum Rechner an sich... Rechner läuft stabil. Während der ganzen Scans kam 2-3x ein Fenster mit einer Servermeldung. Die letzten 3 Tage aber nicht mehr. Zwei Masterfragen
|
Zitat:
Zitat:
Zitat:
Prima - die Logfiles sind sauber! :daumenhoc Lass uns nun noch ein wenig aufräumen! Defogger re-enable Starte bitte den Defogger und klicke den re-enable Button ComboFix Bitte vor der folgenden Aktion wieder temporär Antivirus-Programm, evtl. vorhandenes Skript-Blocking und Anti-Malware Programme deaktivieren. Windows-Taste + R drücke. Kopiere nun folgende Zeile in die Kommandozeile und klicke OK. Code: Combofix /Uninstall Damit wird Combofix komplett entfernt und der Cache der Systemwiederherstellung geleert, damit auch aus dieser die Schädlinge verschwinden. Nun die eben deaktivierten Programme wieder aktivieren. Was sonst noch an Dateien und Ordnern während der Bereinigung erstellt wurde, kannst du ohne weiteres löschen. Hier noch ein paar Tipps zur Absicherung deines Systems. Aktualität Ich kann garnicht zu oft erwähnen, wie wichtig es ist, dass dein System Up to Date ist.
Andere Browser tendieren zu etwas mehr Sicherheit als der IE, da diese keine Active X Elemente verwenden. Diese können von Spyware zur Infektion deines Systems missbraucht werden.
Bereinige regelmäßig deine Temp Files. Ich empfehle hierzu TFC Halte dich fern von jedlichen Registry Cleanern. Diese Schaden deinem System mehr als sie helfen. Hier ein paar ( englishe ) Links Miekemoes Blogspot ( MVP ) Bill Castner ( MVP ) Don'ts
Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, damit ich diesen Thread aus meinen Abos löschen kann. |
Hallo marius! Jetzt stehe ich gerade auf dem Schlauch! Hatten wir da ein Programm? Finde ich nicht in deinen Beiträgen. Zitat:
|
Hallo maggus, da hast du natürlich Recht - mein Fehler! :D Vergiss das mit defogger, der kam bei dir aufgrund des Bedrohungsbilds nicht zum Einsatz. Weiter in der Liste! Gruß |
Hallo Marius, noch was. Erfindet ComboFix nicht mit dem Befehl: Zitat:
Danke, Gruß Markus |
Zitat:
Wenn woanders: Benenne es einfach in uninstall.exe um und führe es aus - Effekt ist derselbe! |
AH! Ok. Passt. Hatte Combofix in einen anderen Ordner auf dem Desktop verschoben. http://www.trojaner-board.de/images/smilies/stirn.gif Danke. Dann denke ich, soweit läuft alles. Secunia habe ich mir gezogen und auch die Firefox-Plugins. Bei zukünftigen Updates von java, Adobe Flash/Reader etc. werde ich das automatische Update bzw. Erinnerung nicht nutzen, sondern das Update immer von deren Webseite laden. Richte mir neben dem Admin noch einen 2. User auf dem Rechner ein mit dem ich mein "Tagesgeschäft" erledige, der aber keine Admin-Rechte hat. Sollte auch einiges einschränken. Mailwarebytes ist installiert. Virenkiller sehe ich mich noch ein wenig um. Ich werden den Rechner die nächsten zwei Tage ordentlich nutzen, Daten sichern und weiter absichern. Sollte nichts mehr nachkommen, gebe ich dir dann in zwei Tagen bescheid, damit du das hier als "erledigt" markieren kannst. Ich danke dir Marius und allen im Hintergrund des Trojaner-Boards für die grandiose Unterstützung! Einfach Klasse! http://www.trojaner-board.de/images/...daumenhoch.gif Grüße Maggus2012 |
Schön, dass wir helfen konnten! :abklatsch: |
Hallo Marius! Danke die ganze Hilfe hier. Der Rechner läuft stabil! Aber... Eine Sache funktioniert gerade nicht. Ob das mit dem Trojaner/Wurm und ganzen Scans zum fixen zusammenhängt, kann nicht sagen. Da wirst du deutlich mehr Erfahrung haben. Worum es geht! Ich kann nur noch eingeschränkt WindowsUpdates durchführen. Das Update für den Windows Defender (KB915597, Definition 1.121.966.0) ist davon betroffen. Es wird von Windows als wichtiges Updaten angesehen. Das Update wurde gestern von Microsoft veröffentlicht. Es wird der Fehler 8007007E ausgegeben. Dazu steht noch "Unbekannter Fehler bei Windows Update". Bei Klick auf "Hilfe zu diesem Fehler" erscheint der Fehlercode nicht in der Liste. Zur gleichen Zeit wurde ein weiteres, optionales Update vorgeschlagen. Das konnte installiert werden. Danke für deine Einschätzung. Gruß Markus |
Hallo maggus2012, setze bitte einmal per Microsoft FixIt die Windows Updates zurück und versuche es (nach einem Neustart des Rechners) erneut. Lade dir die Datei herunter und speichere sie auf dem Desktop. Starte die .msi-Datei und folge den Anweisungen auf dem Bildschirm. Wenn du danch gefragt wirst, wähle den Standard-Modus. Berichte! |
Hallo Marius! Fixit ist schnell durchgelaufen. Hat keine Minute gedauert. Es wurde keine Meldungen etc. ausgegeben. Neustart ohne Probleme. Danach versucht das Update zu installieren. Identische Fehlermeldung/Fehlercode wie geschildert. Bei "Fix it" habe ich die Option "weitreichende Optionen" NICHT ausgewählt. Gerade gesehen: Bei der versuchten Installation des Update konnte der Systemwiederherstellungszeitpunkt erstellt werden. Die eigentliche Installation wird nach ca. 30 Sekunden mit der Fehlermeldung abgebrochen. Gruß Maggus |
Hallo maggus2012, irgendwo in den Windows Updates ist der Wurm drin! Versuche mal folgenden Link: Öffnen der Windows Update-Problembehandlung Berichte! |
Hallo Marius, danke für den weiteren Hinweis. Habe ich wie beschrieben ausgeführt. Einmal auf direktem Weg und einmal unter "Erweitert" als "Administrator". Danach kommt ein Fenster das die "Onlinesuche geklappt hat" und bei Klick auf "weiter" kommt dann "Das Problem konnte von der Problembehandlung nicht identifiziert werden". Habe dennoch versucht das Update erneut zu laden (was gelingt) und zu installieren (was mit bekanntem Fehlercode nicht klappt). Hast du noch eine Idee? Frage: Sofern sich das mit den Updates nur auf den Defender beschränkt... (was noch nicht eindeutig ist)... dann schalte ich den halt ab und greife auf andere, "identische" Lösungen zurück. Denkbar? Gruß Maggus |
Das beschränkt sich derzeit auf den Defender...aber lösen lassen müsste es sich! Versuche folgendes:
|
Hallo Marius, Danke für den Lösungsvorschlag. Ausgeführt wie beschrieben. Beim Start vom Desktop als Admin Öffnet sich kurz ein Fenster (sehr klein). Es ist einen Fortschritsbalken in blau zu sehen. In einem Dateipfad ist am Ende etwas von dll zu lesen. nach 1 Sekunde ist das Fenster weg und es passiert nichts mehr. Es kommen keine Anweisungen. Habe danach den Rechner heruntergefahren und versucht das Update zu installieren. Es kommt wieder der Fehler wie gehabt. Gruß Maggus |
Ich verweise dich an unser Forum für Windows-Fragen. Erstelle dort ein Thema - beachte allerdings, dass auch dort Hinweise bei der Eröffnung eines neuen Themas zu beachten sind! ;) |
Hallo Marius! Ich danke dir für deine Mühen. :daumenhoc Schließe die Diskussion hier gerne als erledigt. Herzlichen Gruß Maggus2012 |
Dieses Thema scheint erledigt und wurde aus meinen Abos gelöscht. Solltest du das Thema erneut brauchen, schicke mir bitte eine PM. Jeder andere bitte hier klicken und ein eigenes Thema erstellen! |
Alle Zeitangaben in WEZ +1. Es ist jetzt 17:21 Uhr. |
Copyright ©2000-2024, Trojaner-Board