da warens nur noch 3: "assembly\GAC_32(64)\Desktop.ini" & "Fehlercode 0x80070424"
 

Hey zusammen,

bin grad richtig abgefuckt.

Der Spaß begann gestern Abend. Ich besuchte die Seite der Zeitung express.de.
Eine in NRW regional bekannte Klatschpresse.

Dort klickte ich auf diverse Beiträge. Irgnwann wurde ein Fenster mit einem Artikel-Verweis unten rechts eingeblendet
powered by plista - Artikel "Energiekonzerne hassen diesen Elektriker", ich klickte darauf, weil interessant und dann gings los.
Verweis zu einer anderen Seite, Datei wollte sich downloaden, ich hab nix geklickt, hat sich dann wohl automatisch gedownloadet?
System: IE10 und W7(aktuell)

Gestern bereits den ersten Scan laufen lassen, bin dabei eingeschlafen und heute Morgen das Ergebnis.:pfui:

------
Timeline:

Heute Morgen

mit AVG (in Quarantäne verschoben)
+ bitsecurity.exe (die hab ich aber bereits aus der Quarantäne gelöscht) --> internetsecurity2013.lnk nicht mehr vorhanden
http://www7.pic-upload.de/01.10.13/qea9g8z2jcbk.jpg

mit Malewarebytes (in Quarantäne verschoben)

http://www7.pic-upload.de/01.10.13/1j8wdle8tvgt.jpg

-----------------------------
mit unlocker 1.9.1 hab ich jeweils den google-folder unter localappdata als auch unter
program files (x86) gelöscht

die waren im "google-ordner" drin
http://www7.pic-upload.de/01.10.13/j4y6w3mlubom.jpg


------------------------------------------
noch keine Lösung bei:
- "Fehlercode 0x80070424" *Firewall will nich mehr hoch/an
- den GAC_32/64.desktop.ini-Teilen (bleiben die jetzt in der Quarantäne ?
Lösch ich sie raus ? muss ich noch Windows repairen ? oder wie wo was?)

- Was ist das für eine memory-explorer-Geschichte ?
http://www7.pic-upload.de/01.10.13/lpbjecmiqb41.jpg
------------------------------------------------------------------------------

Nachträgliche Scans:

1. AVG Komplett-Scan: clean (hab allerdings 4xGAC_32+64 in Quarantäne)
2. TDSS-Killer von Kaspersky :
Scan 1: 4 - rootkit.win32. - versteckte sich in den Ordnern namens Google\install unter localappdata.. programfiles (x84)...die ich mit unlocker doch eigentlich gelöscht habe

http://www7.pic-upload.de/01.10.13/pg5gxeb7b922.jpg


http://www7.pic-upload.de/01.10.13/nc1s33ycy1qt.jpg

Scan 2: clean

3.malewarebytes: clean, außer die PUP's von firefox und vom babylontranslator

-

Über Hilfe und kleine Erklärungen bin ich dankbar. Hoffe, dass die Fülle an Text nich zu erschlagend ist. Sitze seit 8h da dran:Boogie::daumenrunter:

P.S. gibt es rechtl. Möglichkeiten den Verantwortlichen auch zur Verantwortung zu ziehen?

Hallo,

da hast du dir ZeroAccess angelacht.. ;)
Mal schauen, wie die Situation nach den diversen Löschaktionen aussieht..

Naja, so einfach wird das nicht werden. So wie du beschreibst, wurde wohl eine legitime Website gehackt und dort Schadcode eingefügt, welcher den Besuchern dieses Zeugs installiert, wenn sie veraltete verwundbare Plugins laufen haben. Es würde sich wohl niemand dagegen wehren, diese Leute zur Rechenschaft zu ziehen, aber finde sie mal... ;)


Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

vorab: Hallo Ronov, ein Danke dafür, dass du dich meiner annimmst. Mir wurden beide Dateien erst nach dem Scan angezeigt
*fingercross

FRST

Addition

Ok, schauen wir mal.


Schritt 1

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Schritt 2

Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

• WICHTIG: Speichere Combofix auf deinem Desktop.
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es ein Logfile erstellen.
• Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Schritt 3

Starte noch einmal FRST.

• Ändere keine der Voreinstellungen und drücke auf Scan.
• Wenn der Scan abgeschlossen ist, werden ein neues Logfile FRST.txt erstellt und auf dem Desktop gespeichert.
• Poste den Inhalt dieses Logfiles bitte hier in deinen Thread.

Bitte poste in deiner nächsten Antwort:

• Log von Adwcleaner
• Log von Combofix
• Log von FRST

adw

1. adwcleaner *mein Rechner wurde allerdings nicht neu gestartet, adwcleaner ist sogar 2 mal hängen geblieben.

AdwCleaner Logfile:
--- --- ---


CFix

FRST
FRST Logfile:

FRST Logfile:

FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---

--- --- ---

Das sieht schon ziemlich gut aus. Macht der Rechner noch Probleme?

Lade die RemoteAccess.reg herunter und speichere sie auf den Desktop. Führe dann die Datei aus und bestätige das Hinzufügen zur Registrierungsdatenbank.



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

also die Firewall läuft und steht wie ne 1.

Habe aber eine Frage zu dem "remoteaccess.reg".

Wieso muss ich das in meine registry einbauen ? wenns doch original auch nicht dort ist?

Weil die Malware diesen Registry-Schlüssel gelöscht hat. Original war der schon dort.

Die Firewall ist übrigens aus dem gleichen Grund nicht mehr hochgekommen. Diese Infektion löscht eine ganze Reihe von Diensten. Combofix hat all diese repariert mit Ausnahme des obigen, deshalb das manuelle Hinzufügen.

okidoki,

hab tdss-killer, adwcleaner nochmal laufen lassen, absolut nix
außerwegen Firefox die user.jsons *dürfte normal sein oder ?(waren 2, datei und reg)

eset läuft seit geraumer Zeit. K.d.sein, dass das sehr lange dauert?
Bin nach e30 mins bei rund 15%.

PS. die GAC_32 & 64 verbleiben wohl nun in Quarantäne oder hat die Cfix auch gefixed? :)

Ja, das ist normal. Dieser Scan kann sehr lange dauern.

Das Zeugs in Quarantäne stört niemanden mehr.. Dort ist es inaktiv.

Ich versteh nicht ganz, was du meinst..

so 1.5h :)
Ich meinte: Der adw-cleaner zeigt mir als "löschbar" noch

unter der Rubrik "Ordner" "roaming\mozilla\firefox\profiles\zk27amfr.default\jetpack"

und unter "Firefox" "#### roaming\....................\zk27amfr.default\prefs.js ####"

an, aber das ist doch normal oder? hab den ff grad offen :)


eset
Und schauts gut aus ?!? Ist das Zeug jetzt komplett runter und mein LT ist frei von jeglicher Schad-Software ?
Kannst du mir sagen was das mit dem "memory" hinter dem iexplorer war?

Hi,

die Sachen vom AdwCleaner sind ok.

Das kann dir prinzipiell niemand garantieren. Für absolute Sicherheit müsstest du alles einstampfen und neu machen.
Aber ich sehe nichts mehr und die Tools sehen auch nichts mehr.

Dort hat die Malware eigenen Code in einen Prozess des iexplore.exe injiziert. Die iexplore.exe selbst ist ok.


Update jetzt unbedingt noch die Software, denn durch die alten Versionen konnte sich das Ding überhaupt erst installieren..


Schritt 1

Dein Java ist nicht mehr aktuell. Ältere Versionen enthalten Sicherheitslücken, die von Malware zur Infizierung per Drive-by Download missbraucht werden können.

Die aktuelle Version ist Java 7 Update 40.

• Gehe zu

  Start --> Systemsteuerung --> Programme und Funktionen (bei Vista / Win 7)
  Start --> Systemsteuerung --> Software (bei Win XP)

  und deinstalliere alle älteren Java-Versionen.

In wenigen Fällen wird Java wirklich benötigt. Auch werden immer wieder neue, noch nicht geschlossene Sicherheitslücken ausgenutzt.
Überleg dir also, ob du eine Java-Installation wirklich brauchst.
Falls du Java weiterhin verwenden möchtest, dann:

• Lade dir die neueste Java-Version herunter.
• Schliesse alle laufenden Programme, speziell den Browser.
• Starte die heruntergeladene jxpiinstall.exe und folge den Anweisungen.
• Entferne während der Installation den Haken bei "Installieren Sie die Ask-Toolbar ...".

Schritt 2

Dein Flashplayer im Internet Explorer ist veraltet. Installiere folgendermassen die aktuelle Version:

• Besuche mit dem Internet Explorer diese Seite von Adobe.
• Entferne gegebenenfalls den Haken bei McAfee Security Scan bzw. Google Chrome.
• Drücke auf Jetzt herunterladen und installiere die neuste Version.

Überprüfe dann mit diesem Plugin-Check (mit dem Firefox hier), ob nun alle deine verwendeten Versionen aktuell sind und update sie anderenfalls.



Cleanup

Zum Schluss werden wir jetzt noch unsere Tools (inklusive der Quarantäne-Ordner) wegräumen, die verseuchten Systemwiederherstellungspunkte löschen und alle Einstellungen wieder herrichten. Auch diese Schritte sind noch wichtig und sollten in der angegebenen Reihenfolge ausgeführt werden.

1. Deaktiviere jetzt temporär das Antivirenprogramm, benenne bei der auf dem Desktop vorhandenen Combofix.exe das "Combofix" im Dateinamen um in Uninstall und führe sie mit Doppelklick aus.
2. Bei MBAM würd ich dir unbedingt empfehlen, es zu behalten und wöchentlich einen Quick-Scan durchzuführen. Wenn du es nicht weiter verwenden möchtest, kannst du es jetzt normal über die Systemsteuerung deinstallieren.
3. Auch den ESET Online Scanner kannst du behalten, um ab und zu (monatlich) für eine Zweitmeinung dein System damit zu scannen. Falls du ESET deinstallieren möchtest, dann kannst du das ebenfalls über die Systemsteuerung tun.
4. Downloade dir bitte auf jeden Fall DelFix auf deinen Desktop.
   • Schliesse alle offenen Programme.
   • Starte die delfix.exe mit einem Doppelklick.
   • Setze vor jede Funktion ein Häkchen.
   • Klicke auf Start.
   • DelFix entfernt u.a. alle von uns verwendeten Programme und löscht sich anschliessend selbst.
5. Wenn jetzt noch etwas übriggeblieben ist, dann kannst du es einfach manuell löschen.

>> OK <<
Wir sind durch, deine Logs sehen für mich im Moment sauber aus. :daumenhoc

Ich habe dir nachfolgend ein paar Hinweise und Tipps zusammengestellt, die dazu beitragen sollen, dass du in Zukunft unsere Hilfe nicht mehr brauchen wirst.

Bitte gib mir danach noch eine kurze Rückmeldung, wenn auch von deiner Seite keine Probleme oder Fragen mehr offen sind, damit ich dieses Thema als erledigt betrachten kann.




Epilog: Tipps, Dos & Don'ts





Wenn du möchtest, kannst du das Forum mit einer kleinen Spende unterstützen.
Es bleibt mir nur noch, dir unbeschwertes und sicheres Surfen zu wünschen und dass wir uns hier so bald nicht wiedersehen. ;)

Hallo Honev,
so an sich schien alles i.O. zu sein, es lief alles bis zum Laden eurer Software, die die von euch benutzten Programm deinstalliert.

Der Windows Defender ist deaktiviert, hatte ich vorhin aktiviert und aktualisiert.
Als ich nach dem Neustart nachschaute, stand er auf "deaktiviert".
Fehlercode beim Versuch der Aktivierung: Fehlercode 080070005 - Zugriff verweigert

Vorhin war der Defender noch aktiviert.

Auch als Admin kommt der Fehlercode.

---
Und mir ist aufgefallen, dass ich jedes mal, wenn ich jetzt etwas deinstallieren will, extra diesen Popup-Dialog in kauf nehmen muss.
Wenn ich das in den Benutzkonten ausschalte, kann ich aber den AVG temporär nicht mehr ausschalten, weil mir dann die Rechte fehlen.
Das war vorhin auch anders.

push


*edit

ok.


Downloade dir bitte Farbar Service Scanner

• Starte das Tool mit Doppelklick auf die FSS.exe
• Gehe sicher, dass folgende Optionen angehakt sind.
  • Internet Services
  • Windows Firewall
  • System Restore
  • Security Center/Action Center
  • Windows Update
  • Windows Defender
  • Other Services
• Klicke auf Scan.
• Wenn das Tool fertig ist, wird es eine FSS.txt in dem Verzeichnis erstellen, wo das Tool gelaufen ist.

Poste bitte den Inhalt hier.

Hallo Leo,

Runde 2 :D

Hier ist der gewünschte Log