| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Trojaner BDS/zeroaccess.gen entdecktWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
28.08.2012, 16:46
| #1 |
| |  Trojaner BDS/zeroaccess.gen entdeckt Hallo, auf meinem System (win7/64x) läuft Avira Antivir Free, ich war mit Admin-User angemeldet. Beim surfen tauchte ein Popup auf In der Datei 'C:\$Recycle.Bin\S-1-5-21-4212146255-517082590-1191923680-1000\$6b769614ea51689c739d7b9148917ff1\n' wurde ein Virus oder unerwünschtes Programm 'BDS/ZeroAccess.Gen' [backdoor] gefunden. Ausgeführte Aktion: Zugriff verweigern In der Datei 'C:\$Recycle.Bin\S-1-5-21-4212146255-517082590-1191923680-1000\$6b769614ea51689c739d7b9148917ff1\n' wurde ein Virus oder unerwünschtes Programm 'BDS/ZeroAccess.Gen' [backdoor] gefunden. Ausgeführte Aktion: Übergeben an Scanner In der Datei 'C:\$Recycle.Bin\S-1-5-18\$6b769614ea51689c739d7b9148917ff1\n' wurde ein Virus oder unerwünschtes Programm 'BDS/ZeroAccess.Gen' [backdoor] gefunden. Ausgeführte Aktion: Zugriff verweigern In der Datei 'C:\$Recycle.Bin\S-1-5-18\$6b769614ea51689c739d7b9148917ff1\n' wurde ein Virus oder unerwünschtes Programm 'BDS/ZeroAccess.Gen' [backdoor] gefunden. Ausgeführte Aktion: Übergeben an Scanner In der Datei 'C:\$Recycle.Bin\S-1-5-21-4212146255-517082590-1191923680-1000\$6b769614ea51689c739d7b9148917ff1\n' wurde ein Virus oder unerwünschtes Programm 'BDS/ZeroAccess.Gen' [backdoor] gefunden. Ausgeführte Aktion: Zugriff verweigern In der Datei 'C:\$Recycle.Bin\S-1-5-18\$6b769614ea51689c739d7b9148917ff1\n' wurde ein Virus oder unerwünschtes Programm 'BDS/ZeroAccess.Gen' [backdoor] gefunden. Ausgeführte Aktion: Zugriff verweigern Im Anschlus wure 2x ein Autorun der BackupPartition unterbunden. Ich habe Spybot Search&Destroy gestartet und nach einem Update prüfen lassen. Ca. 20 Minuten nach Avira Meldung wurden dann "Microsoft.WindowsSecurityCenter.AntiVirusOverride HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusOverride Microsoft.WindowsSecurityCenter.FirewallOverride HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallOverride Microsoft.WindowsSecurityCenter_disabled HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Start HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Start" Einträge gelöscht. Ich hab den ernst der Lage nicht erkannt, der Rechner lief dabei ca 1h weiter und war dabei auch ans Internet angebunden. Im Anschluss habe ich Rkill und danach TDSSKiller laufen lassen, allerdings in einer Version vom 06.07.12. Funde gabs keine. Bei Malwarebyte (aktuelle Version nach Installation) habe ich einen Quickscan gestartet, wobei mir parallel Antivir folgende 2 Meldungen brachte: Die Datei 'C:\$Recycle.Bin\S-1-5-18\$6b769614ea51689c739d7b9148917ff1\n' enthielt einen Virus oder unerwünschtes Programm 'BDS/ZeroAccess.Gen' [backdoor]. Durchgeführte Aktion(en): Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4f385257.qua' verschoben! Die Datei 'C:\$Recycle.Bin\S-1-5-21-4212146255-517082590-1191923680-1000\$6b769614ea51689c739d7b9148917ff1\n' enthielt einen Virus oder unerwünschtes Programm 'BDS/ZeroAccess.Gen' [backdoor]. Durchgeführte Aktion(en): Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '57af7df0.qua' verschoben! Malwarebyte hat auch 7 Funde gelistet, gelöscht und neu gestartet: Malwarebytes Anti-Malware 1.62.0.1300 www.malwarebytes.org Datenbank Version: v2012.08.28.05 Windows 7 Service Pack 1 x64 NTFS Internet Explorer 9.0.8112.16421 Whattodo :: WHATTODO-PC [Administrator] 28.08.2012 16:43:42 mbam-log-2012-08-28 (16-43-42).txt Art des Suchlaufs: Quick-Scan Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 212714 Laufzeit: 37 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 1 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce|225932FD1A84AD56079CAFC6F875EF60 (Trojan.Lameshield) -> Daten: C:\ProgramData\225932FD1A84AD56079CAFC6F875EF60\225932FD1A84AD56079CAFC6F875EF60.exe -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Dateiobjekte der Registrierung: 3 HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt. HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt. HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt. Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 4 C:\ProgramData\225932FD1A84AD56079CAFC6F875EF60\225932FD1A84AD56079CAFC6F875EF60.exe (Trojan.Lameshield) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\Philipp\AppData\Local\Temp\syuy2.exe (Trojan.Agent.VGENX1) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\Philipp\AppData\Local\Temp\~!#5D7D.tmp (Trojan.Lameshield) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\Philipp\AppData\Local\Temp\~!#5EB6.tmp (Trojan.Reza) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) Danach noch einmal ein Komplettlauf: Malwarebytes Anti-Malware 1.62.0.1300 www.malwarebytes.org Datenbank Version: v2012.08.28.05 Windows 7 Service Pack 1 x64 NTFS Internet Explorer 9.0.8112.16421 Whattodo :: WHATTODO-PC [Administrator] 28.08.2012 16:55:41 mbam-log-2012-08-28 (16-55-41).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|) Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 422643 Laufzeit: 17 Minute(n), 29 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 1 C:\Users\Philipp\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\26\7e36c1a-348ae1be (Trojan.Agent.VGENX1) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) Randnotiz: Firefox lässt sich nicht mehr starten. Wie sollte ich vorgehen? Ist die Gefahr erstmal gebannt? Was liest der Trojaner aus - der Rechner hing schließlich lange genug am Netz  Muss ich alle Passwörter ändern / Banking sperren? PC wird für all das genutzt. Sind reine Daten kompromittiert? Externe Laufwerke etc. Danke für kompetente Hilfe  Geändert von Whattodo (28.08.2012 um 17:03 Uhr) Grund: Infos Vergessen |
| Themen zu Trojaner BDS/zeroaccess.gen entdeckt |
| 80-100, administrator, anschluss, antivir, autorun, avira, avira meldung, backdoor, bds/zeroaccess.gen, dateien, explorer, gelöscht, installation, internet, microsoft, namen, neu, popup, programm, recycle.bin, scan, security, software, surfen, system, temp, trojan.agent.vgenx, trojaner, virus, ändern |
Baum-Darstellung