Mediyes Trojaner

Hallo HaPe,
entschuldige, dass dir bisher nicht geholfen wurde. Aber unser Virenteam war (ist noch) aus Gründen von Krankheit und beruflicher Abwesenheit unterbesetzt. Aber ich denke, du wirst bald kompetente Hilfe bekommen. Du musst dich halt noch gedulden!

Hallo hape,

dann schauen wir uns Dein System mal näher an

===== Punkt 1 =====

Lanmanworkstation-Check

Um zu testen, ob Dein Computer von dem Virus befallen ist, der die Dienste Arbeitsstationsdienst und DNS-Client auf schädliche Dateien umleitet, führe bitte folgenden Schnelltest durch:

Lade die LanmanCheck.exe herunter und speichere sie auf Deinem Desktop.
Führe die Datei aus und lasse Dir die Infos anzeigen, indem Du die Frage mit "Ja" antwortest.
Es öffnet sich eine Messagebox, die darüber informiert, ob der Rechner infiziert ist oder nicht und was ggfs. zu tun ist.
Markiere in beiden Fällen den Inhalt der Messagebox und kopiere den Text hier in den Thread.

===== Punkt 2 =====

Suchlauf mit Farbar Recovery Scan Tool im Normal-Modus

Lade Farbar Recovery Scan Tool herunter und speichere das Programm auf dem Desktop.
User mit 64-Bit-Systemen laden bitte diese x64-Version herunter.

• Starte die FRST.exe respketive die FRST64.exe per Doppelklick -
  Vista- und Win7-Benutzer starten per Rechtsklick als Administrator.
• Hake an:
  Registry
  Services
  Drivers
  Processes
  KnownDLLs
  Internet
  Addition.txt
  
• Akzeptiere den Disclaimer mit Yes und klicke Scan

Das Tool erstellt zwei Berichte namens FRST.txt sowie Addition.txt im gleichen Pfad, in welchem sich die FRST.exe befindet.

Lade bitte das/die Log/s bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste den/die Downloadlink/s hier im Forum.

Hinweis: FRST wird aktuell häufig aktualisiert, daher bitte bei einem Hinweis auf eine neue Version die alte löschen und die aktuellste FRST.exe benutzen.

Hallo hape,

===== Punkt 1 =====

zunächst fällt mir ins Auge, dass Du mehr als ein Antivirus-Programm mit Hintergrundwächter laufen hast (Avast und Avira). Das ist gefährlich, da sich die Programme in die Quere kommen können und dadurch Viren erst recht auf dem Rechner landen können. Entscheide Dich für eine Variante und deinstalliere die andere über Systemsteuerung => Programme und Funktionen.

Zitat

Einleuchtende Erklärung eines Kollegen: "Man stelle sich einen Torwart vor, der das Tor hüten soll (Anti-Virus-Programm), der Ball kommt angeflogen (Virus), der Torhüter konzentriert sich auf den Ball und fängt ihn. Jetzt stelle Dir zwei Torhüter im Tor vor ...., die knallen aneinander und der Ball kann ungehindert ins Tor wandern."

Berichte, für welches Antivirus-Programm Du Dich entschieden hast.

===== Punkt 2 =====

Desweiteren sehe ich einige aktive Kaspersky-Treiber.
Was von Kaspersky ist/war installiert?
Geht leider aus der Uninstall-Liste nicht hervor.

===== Punkt 3 =====

ZeroAccess:
C:\Windows\Installer\{8d395435-4aa8-42eb-6df1-08160aa4e8a0}


ZeroAccess:
C:\Users\Administrator\AppData\Local\{8d395435-4aa8-42eb-6df1-08160aa4e8a0}
C:\Users\Administrator\AppData\Local\{8d395435-4aa8-42eb-6df1-08160aa4e8a0}\@

In den Logfiles gibt es leider Hinweise auf die recht üble Zero-Access-Infektion. Dazu hier zunächst mal mein Standard-Textbaustein:

Leider habe ich schlechte Nachrichten für Dich. Du hast es mit einer ernstzunehmenden ZeroAccess-Infektion zu tun. Diese Infektion versteckt sich über einen Rootkit und einen manipulierten Treiber, den ein Antivirus-Programm nicht löschen kann. Die meisten Tools können nur die Dateien "drumherum" löschen. Diese Infektionsart setzt Anti-Virus-Programme außer Kraft und erlaubt dem Angreifer die volle Kontrolle über Dein System zu übernehmen. Es werden Systemdateien so manipuliert, dass auch nach Entfernung des Rootkits die Infektion erneut aktiviert wird, sobald die entsprechende Systemdatei genutzt wird, wenn sie nicht durch die Original-Datei ersetzt wird. Dazu muss man aber erstmal herausfinden, welche Systemdatei das ist, was nicht einfach ist.

Eine Bereinigung ist zwar möglich, aber sehr schwierig und langwierig. Ich würde auf jeden Fall eine Neuinstallation Deines Systems empfehlen und alle Deine Passwort-Daten schnellstmöglich von einem weiteren, virenfreien System aus ändern!

Eine ausführliche Anleitung zum Neuaufsetzen von Windows 7 findest Du hier. Dort wird auch erklärt, wie Du am besten bzgl. der Sicherung Deiner Daten vorgehst.

Sebastian Lienau hat im Avira-Forum in einem prima Beitrag mal etwas ausführlicher erklärt, wie es trotz aktuellem Antivirus-Programm und Vorsicht zu solchen Infektionen kommen kann => hier klicken.

Zitat von _Petra_

Eine ausführliche Anleitung zum Neuaufsetzen von Windows 7 findest Du hier

Hallo Petra, kontrolliere bitte den Link. Er scheint nicht zu funktionieren!

Hallo Günther,

die Links waren ok, aber das Forum hier akzeptiert offensichtliche keine Gänsefüßchen um die Links - war mir auch schon bei der Farbwahl aufgefallen. Ist jetzt korrigiert und danke für den Hinweis

OT:
Naja, du wirst dich, so wie wir, an unser neues Forum schon bald gewöhnen!

Hallo Hape,

Zitat

ich kann das garnicht nachvollziehen, dass der Trojaner "ZeroAccess" sich auf meinem PC befindet. Zumal ich bis dato keine "großen" Schwierigkeiten einerseits mit irgendwelchen Programmen habe, andererseit mein System weder einfriert, abstürzt oder verlangsamt arbeitet.

genau das ist ja das Tückische an dieser Infektion. Der User merkt so gut wie gar nichts davon. Eine richtig gute Malware arbeitet genau so => brav im Hintergrund, damit der User so gut wie gar nichts davon bemerkt.

Ok, dann beginnen wir die Bereinigung wie folgt:

Arbeite zunächst bitte die Punkte 1 und 2 meiner letzten Anleitung ab und fahre danach wie folgt fort:

===== Punkt 4 =====

Malware mit Combofix beseitigen

Lade Combofix von BleepingComputer.com und speichere das Programm auf den Desktop, nicht woanders hin, das ist wichtig!
Beachte die ausführliche Original-Anleitung.

Zurzeit ist Combofix auf folgenden Windows-Versionen lauffähig:

• Windows XP (nur 32-bit)
• Windows Vista (32-bit/64-bit)
• Windows 7 (32-bit/64-bit)

Vorbereitung und wichtige Hinweise

• Bitte während des Scans mit Combofix Antiviren- sowie Antispy-Programme, die Firewall und evtl. vorhandenes Skript-Blocking (Norton) deaktivieren.
• Liste der zu deaktivierenden Programme.
  Bei Unklarheiten bitte fragen.

• ComboFix wird Deine Einstellungen in Bezug auf den Bildschirmschoner zurücksetzen.
• Diese Einstellungen kannst Du nach Beendigung unserer Bereinigung wieder ändern.
• Mache nichts anderes, wenn es Dir nicht gelungen ist, Combofix laufen zu lassen.
• Teile uns das mit und warte auf unsere Anweisungen.

• Starte die Combofix.exe mit Rechtsklick => Als Administrator ausführen und folge den Anweisungen.
• Während des Laufs von Combofix nichts anderes am Computer machen!
• Akzeptiere die Bedingungen (Disclaimer) mit "Ja".

• Sollte Combofix eine aktuellere Version anbieten, Downlaod erlauben.
• Klicke "Ja", um mit dem Suchlauf nach Malware fortzufahren.
• Es erscheint eine blaue Eingabeaufforderung, Combofix wird für den Suchlauf vorbereitet.
• Bitte nicht in dieses Combofix-Fenster klicken.
• Das könnte Dein System einfrieren oder hängen bleiben lassen.
• Es wird ein Backup Deiner Registry erstellt.
• Nun werden die einzelnen Stufen des Programms abgearbeitet, das kann eine Weile dauern.

• Wenn ComboFix fertig ist, wird es ein Log erstellen (bitte warten, das dauert einen Moment).
• Unbedingt warten, bis sich das Combofix-Fenster geschlossen hat und das Logfile im Editor erscheint.
• Bitte lade die Log-Dateien C:\ComboFix.txt und C:\Qoobox\Add-Remove Programs.txt bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlink hier im Forum.
  
• Mache nichts anderes, wenn es Dir nicht gelungen ist, Combofix laufen zu lassen.
  Berichte stattdessen möglichst genau, an welchem Punkt es gehakt hat.

• Hinweis: Combofix macht aus verschiedenen Gründen den Internet Explorer zum Standard-Browser und erstellt ein IE-Icon auf dem Desktop.
• Das IE-Desktop-Icon kannst Du nach der Bereinigung wieder löschen und Deinen bevorzugten Browser wieder als Standard-Browser einstellen.

Hinweis für Mitleser: Combofix nicht auf eigene Faust einsetzen. Wenn keine entsprechende Infektion vorliegt, kann das den Rechner lahmlegen und/oder nachhaltig schädigen!

Hallo Hape,

===== Punkt 1 =====

Combofix mit Skript laufen lassen

• Denke daran, während des Laufs von Combofix Dein Antiviren-Programm und die Firewall temporär abzustellen.
  Danach wieder anstellen nicht vergessen!
• Wichtig: Bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein.
  Dies kann dazu führen, dass ComboFix sich aufhängt.

SecCenter::
AV: Avira Desktop *Disabled/Updated* {4D041356-F94D-285F-8768-AAE50FA36859}
SP: Avira Desktop *Disabled/Updated* {F665F2B2-DF77-27D1-BDD8-9197742422E4}


Driver::
AntiVirSchedulerService


NetSvc::
Update-Service-Installer-Service
Update-Service


Folder::
c:\users\Administrator\AppData\Roaming\Avira
c:\programdata\Avira
c:\1-sicherheit\Avira
C:\Windows\Installer\{8d395435-4aa8-42eb-6df1-08160aa4e8a0}
C:\Users\Administrator\AppData\Local\{8d395435-4aa8-42eb-6df1-08160aa4e8a0}


File::
c:\windows\system32\drivers\avnetflt.sys
c:\windows\system32\drivers\avkmgr.sys
c:\windows\system32\drivers\avgntflt.sys
c:\windows\system32\drivers\avipbb.sys


RegLock::
[HKEY_USERS\.Default\Software\AVM\ComCenter 1.0]
[HKEY_USERS\.Default\Software\Tracker Software\PDF-XChange 3.0 ABBYY]
[HKEY_USERS\S-1-5-21-2655259174-1680946237-2728930477-500\Software\GNU\ffdshow_audio_raw]
[HKEY_USERS\S-1-5-21-2655259174-1680946237-2728930477-500\Software\Microsoft\Internet Explorer\Approved Extensions]
[HKEY_USERS\S-1-5-21-2655259174-1680946237-2728930477-500\Software\Microsoft\Internet Explorer\ApprovedExtensionsMigration]
[HKEY_USERS\S-1-5-21-2655259174-1680946237-2728930477-500\Software\Microsoft\Internet Explorer\User Preferences]
[HKEY_USERS\S-1-5-21-2655259174-1680946237-2728930477-500\Software\Microsoft\Office\11.0\Word\Options\OutlookEditor]
[HKEY_USERS\S-1-5-21-2655259174-1680946237-2728930477-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts]
[HKEY_USERS\S-1-5-21-2655259174-1680946237-2728930477-500\Software\Microsoft\Windows\CurrentVersion\Ext\Settings]
[HKEY_LOCAL_MACHINE\SOFTWARE\Business Objects\Suite 11.5]
[HKEY_LOCAL_MACHINE\SOFTWARE\CDDB\Control]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes]
[HKEY_LOCAL_MACHINE\SOFTWARE\LightScribe\Update]
[HKEY_LOCAL_MACHINE\SOFTWARE\MAGIX]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Advanced INF Setup\IE.HKCUZoneInfo\RegBackup]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Advanced INF Setup\IE40.UserAgent\RegBackup]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MediaPlayer]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\AutorunsDisabled]
[HKEY_LOCAL_MACHINE\SOFTWARE\Roxio\EMC13\Common SDK\Album\Content\Content ClipArt]
[HKEY_LOCAL_MACHINE\SOFTWARE\ScanSoft]
[HKEY_LOCAL_MACHINE\SOFTWARE\Waves Audio\MaxxAudio]


ClearJavaCache::

• Lade die auf file-upload.net hochgeladene Datei CFScript.txt herunter und speichere sie auf Deinem Desktop.
  Downloadlink: http://www.file-upload.net/download-8664247/CFScript.txt.html
  

  .
  [Blockierte Grafik: http://i94.photobucket.com/albums/l84/SillyGerman/BleepingComputer/CFScript_ani.gif]
  .

• In Bezug auf obiges Bild, ziehe CFScript.txt in die ComboFix.exe
• Wenn ComboFix fertig ist, wird es ein Log erstellen, C:\ComboFix.txt.
  Unbedingt warten, bis sich das Combofix-Fenster geschlossen hat und das Logfile im Editor erscheint.
  Lade bitte das/die Log/s bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste den/die Downloadlink/s hier im Forum.

Hinweis für Mitleser: Obiges Combofix-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

Hallo Hape,

Du hast Combofix noch zweimal laufen lassen, warum?

Lade mir bitte auch diese beiden Logfiles hoch.

Fahre dann bitte wie folgt fort:

===== Punkt 1 =====

Scan mit SystemLook

Hiermit prüfe ich, ob für diese Infektion übliche Einträge noch vorhanden sind. Das Tool ändert nichts, wirft mir nur die nötigen Infos aus.

Lade SystemLook von jpshortstuff von einer der folgenden Quellen herunter und speichere das Tool auf dem Desktop (falls noch nicht vorhanden).

Downloadquelle #1 - Downloadquelle #2
User mit 64Bit-Windows-Versionen benutzen diese Version => http://jpshortstuff.247fixes.com/SystemLook_x64.exe

• Doppelklick auf die SystemLook.exe, um das Tool zu starten.
  Vista- und Windows 7-User unbedingt mit Rechtsklick und als Administrator starten.
• Kopiere den Inhalt der folgenden Codebox in das Textfeld des Tools:
  
  Code

  :dir
  c:\users\Administrator\AppData\Local\Temp316e638547b628261497901cd40425d8

• Klicke nun auf den Button Look, um den Scan zu starten.
• Wenn der Suchlauf beendet ist, wird sich Dein Editor mit den Ergebnissen öffnen, diese hier in den Thread posten.
• Die Ergebnisse werden auf dem Desktop als SystemLook.txt gespeichert.

===== Punkt 2 =====

Datei-Überprüfung

Folgende Datei/en (siehe Codebox) bei VirusTotal online überprüfen lassen. Dafür musst Du jede Datei einzeln über den Button "Durchsuchen" und "Send file" nach VirusTotal hochladen und prüfen lassen. Sollte die Datei bereits einmal geprüft sein, bitte auf Reanalyze klicken.

Solltest Du die Datei/en auf Deinem Computer nicht finden, überprüfe, ob folgende Einstellungen richtig gesetzt sind.

Beim Firefox mit installiertem NoScript bitte VirusTotal erlauben. Wenn VirusTotal die Datei empfangen hat, wird sie diese mit mehreren Anti-Virus-Scannern prüfen und die Ergebnisse anzeigen. Sollte VirusTotal melden, dass die Datei bereits überpüft wurde, lasse sie trotzdem über den Button "Reanalyse" erneut prüfen.

Wenn das Ergebnis vorliegt, kopiere mir den Ergebnis-Link (aus der Adresszeile des Browsers) hier in den Thread.

[COLOR="Green"]Auch wenn sich herausstellt, dass die Datei/en infiziert ist/sind, bitte nicht ohne Absprache löschen![/COLOR]

c:\windows\system32\RtNicProp32.dll
c:\windows\system32\drivers\Rt86win7.sys

Hallo Hape,

diese beiden Logs möchte ich noch habe:

ComboFix2.txt 2014-02-27 20:08
ComboFix3.txt 2014-02-27 15:19

Das welches Du mir jetzt eben hochgeladen hast, ist jenes, welches ich schon habe.

===== Punkt 1 =====

Bitte lasse Systemlook erneut wie folgt laufen:

:contents
c:\users\Administrator\AppData\Local\Temp316e638547b628261497901cd40425d8\background.html
c:\users\Administrator\AppData\Local\Temp316e638547b628261497901cd40425d8\background.js

Hallo Hape,

kann es sein, dass Du beim Scan mit Systemlook den Befehl nicht mitkopiert hast?
Probiere es bitte erneut: Kopiere den grünen Text ins Systemlook-Fenster:

:contents
c:\users\Administrator\AppData\Local\Temp316e638547b628261497901cd40425d8\background.html
c:\users\Administrator\AppData\Local\Temp316e638547b628261497901cd40425d8\background.js