|
Log-Analyse und Auswertung: Trojan.Zeroaccess!inf4Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
17.10.2012, 19:28 | #1 |
| Trojan.Zeroaccess!inf4 Hallo zusammen, ich habe mir im Internet den Trojaner "Trojan.Zeroaccess!inf4" eingefangen. Norton hat ihn dann auf meinem PC entdeckt und ich habe ihn, bevor ich dieses Forum gefunden habe, mit dem "Norton Power Eraser" entfernt. Er war in der Datei "windows\system32\services.exe". Jetzt hätte ich 2 Fragen: Muss ich meinen PC noch Formatieren? Und zur Zeit der "Infektion" hatte ich einen externen Datenträger angeschlossen, ist dieser jetzt auch Infiziert? Habe im Anhang die beiden Dateien Extras.txt und OTL.rar. Könnte mir bitte jemand helfen? Mit freundlichen Grüßen Blackfire |
18.10.2012, 05:59 | #2 |
/// Helfer-Team | Trojan.Zeroaccess!inf4 Hallo und Herzlich Willkommen!
__________________bitte kein .*rar! ** Kannst auch, die einzelnen Ergebnisse in Textdatei speichern und hier anhängen (auf "Erweitert" klicken) ** oder >> Textdateien >> in eine ZIP-Datei packen und diese hier anhängen. auf "Erweitert" klicken... gruß kira
__________________ |
18.10.2012, 15:26 | #3 |
| Trojan.Zeroaccess!inf4 Hier dann noch die Datei OTL als .Zip File.
__________________ |
19.10.2012, 03:49 | #4 | ||||
/// Helfer-Team | Trojan.Zeroaccess!inf4 Habe leider schlechte Nachricht für Dich, da hast Du Dir ein grausliches Tierchen eingefangen: Zitat:
- einen Backdoor mit Rootkitfunktionalität diese Malware verwendet Rootkit-Technologie und Backdoor-Routine *was sind Backdoors und Rootkits* Verhaltensweise: "speicherresident" Tipps & Rat: wenn Du deine Daten sichern möchtest: - für eine reibungslose Abwicklung im Bereich Datensicherung, führe das folgende script mit OTL und das Tool TDSSKiller von Kaspersky aus: 1. Zitat:
Code:
ATTFilter :OTL O4 - HKLM..\Run: [] File not found O32 - HKLM CDRom: AutoRun - 1 O33 - MountPoints2\{82a74e0f-5f6e-11df-b774-001f16fc4498}\Shell - "" = AutoRun O33 - MountPoints2\{82a74e0f-5f6e-11df-b774-001f16fc4498}\Shell\AutoRun\command - "" = J:\LaunchU3.exe -a [2011.11.17 08:41:18 | 000,002,048 | -HS- | M] () -- C:\Windows\Installer\{81c9d8a4-b4e3-a5a1-36b0-ed1b6574ba4a}\@ [2011.11.17 08:41:18 | 000,000,000 | -HSD | M] -- C:\Windows\Installer\{81c9d8a4-b4e3-a5a1-36b0-ed1b6574ba4a}\L [2011.11.17 08:41:18 | 000,000,000 | -HSD | M] -- C:\Windows\Installer\{81c9d8a4-b4e3-a5a1-36b0-ed1b6574ba4a}\U [2009.07.14 06:55:00 | 000,000,227 | RHS- | M] () -- C:\Windows\assembly\Desktop.ini [2012.10.15 17:17:24 | 000,004,608 | -HS- | M] () -- C:\Windows\assembly\GAC_32\Desktop.ini [2012.10.15 17:17:24 | 000,006,144 | -HS- | M] () -- C:\Windows\assembly\GAC_64\Desktop.ini [2010.01.11 14:10:59 | 000,000,000 | -HSD | M] -- C:\Users\pc\AppData\Roaming\.# @Alternate Data Stream - 116 bytes -> C:\ProgramData\TEMP:1D32EC29 :Files ipconfig /flushdns /c :Commands [purity] [emptytemp]
Zitat:
TDSSKiller von Kaspersky
3. Lade Dir Malwarebytes Anti-Malware Lade Dir Malwarebytes Anti-Malware → von hier herunter
4. Datensicherung: ► NUR Daten sichern, die nicht ausführbaren Dateien enthalten - Dateiendungen - Dies ist eine Liste von Dateiendungen, die Dateien mit ausführbarem Code bezeichnen können. - Vorsicht mit den schon vorhandenen Dateien auf die extern gespeicherten Daten und auch jetzt mit dem Virus infizierte Dateien eine Datensicherung anzufertigen - Am besten alles was dir sehr wichtig, separat (extern) sichern - nicht mischen eventuell früher geschicherten Daten, also vor dem Befall! - Eventuell gecrackte Software nicht sichern und dann auf neu aufgesetztem System wieder drauf installieren! 5. -> Anleitung: Neuaufsetzen des Systems + Absicherung -> Anleitung zum Neuaufsetzen - Windows XP, Vista und Win7 6. - Vor zurückspielen - bevor du mit deinem PC direkt ins Netz gehst...: - die Autoplay-Funktion für alle Laufwerke deaktivieren/ausschalten -> Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten Die auf eine externe Festplatte gesicherten Daten, gründlich zu scannen von einem suaberen System aus, am besten mit mehreren Scannern-> Kostenlose Online Scanner - Anleitung Absolut empfehlenswerter Scanner: Zitat:
7. Ich würde Dir vorsichtshalber raten, dein Passwort zu ändern z.B. Login-, Mail- oder Website-Passwörter Tipps: Die sichere Passwort-Wahl - (sollte man eigentlich regelmäßigen Abständen ca. alle 3-5 Monate ändern) auch noch hier unter: Sicheres Kennwort (Password) gruß kira
__________________ Warnung!: Vorsicht beim Rechnungen per Email mit ZIP-Datei als Anhang! Kann mit einen Verschlüsselungs-Trojaner infiziert sein! Anhang nicht öffnen, in unserem Forum erst nachfragen! Sichere regelmäßig deine Daten, auf CD/DVD, USB-Sticks oder externe Festplatten, am besten 2x an verschiedenen Orten! Bitte diese Warnung weitergeben, wo Du nur kannst! |
19.10.2012, 15:11 | #5 |
| Trojan.Zeroaccess!inf4 Hallo Kira, danke schonmal für die schnelle Hilfe, ich werde mich gleich morgen ans Werk machen. Habe nur eines nicht ganz verstanden bei 4.. Ich hatte zur Zeit der infektion eine externe Festplatte am PC, hatte sie aber gerade nicht in Betrieb und habe sie auch nach der Virenerkennung abgezogen. Kann diese jetzt auch befallen sein, oder nur wenn ich seit ich den Virus habe Daten dort hin verschoben habe? |
20.10.2012, 01:53 | #6 |
/// Helfer-Team | Trojan.Zeroaccess!inf4 am besten nachdem Du dein System neu installiert hast, online prüfen lassen - siehe unter Punkt 4.
__________________ --> Trojan.Zeroaccess!inf4 |
20.10.2012, 12:27 | #7 |
| Trojan.Zeroaccess!inf4 Hallo, hier der OTL-Code und die Dateien von Malewarebytes und dem TDSS Killer. Code:
ATTFilter All processes killed ========== OTL ========== Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully! Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{82a74e0f-5f6e-11df-b774-001f16fc4498}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{82a74e0f-5f6e-11df-b774-001f16fc4498}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{82a74e0f-5f6e-11df-b774-001f16fc4498}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{82a74e0f-5f6e-11df-b774-001f16fc4498}\ not found. File J:\LaunchU3.exe -a not found. C:\Windows\Installer\{81c9d8a4-b4e3-a5a1-36b0-ed1b6574ba4a}\@ moved successfully. C:\Windows\Installer\{81c9d8a4-b4e3-a5a1-36b0-ed1b6574ba4a}\L folder moved successfully. C:\Windows\Installer\{81c9d8a4-b4e3-a5a1-36b0-ed1b6574ba4a}\U folder moved successfully. C:\Windows\assembly\Desktop.ini moved successfully. C:\Windows\assembly\GAC_32\Desktop.ini moved successfully. C:\Windows\assembly\GAC_64\Desktop.ini moved successfully. C:\Users\pc\AppData\Roaming\.# folder moved successfully. ADS C:\ProgramData\TEMP:1D32EC29 deleted successfully. ========== FILES ========== < ipconfig /flushdns /c > Windows-IP-Konfiguration Der DNS-Aufl”sungscache wurde geleert. C:\Users\pc\Desktop\cmd.bat deleted successfully. C:\Users\pc\Desktop\cmd.txt deleted successfully. ========== COMMANDS ========== [EMPTYTEMP] User: All Users User: Default ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: pc ->Temp folder emptied: 36305408 bytes ->Temporary Internet Files folder emptied: 38573296 bytes ->FireFox cache emptied: 137266925 bytes ->Flash cache emptied: 54990 bytes User: Public %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 670032 bytes %systemroot%\System32 (64bit) .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 435794131 bytes %systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 81636 bytes RecycleBin emptied: 68041 bytes Total Files Cleaned = 619,00 mb OTL by OldTimer - Version 3.2.69.0 log created on 10202012_115211 Files\Folders moved on Reboot... C:\Users\pc\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully. PendingFileRenameOperations files... Registry entries deleted on Reboot... |
21.10.2012, 07:32 | #8 | ||
/// Helfer-Team | Trojan.Zeroaccess!inf4 Mit die Schritte 4. bis 7. bitte dann weiter Nachdem Du dein System neu installiert hast: ► Schaue bitte nach, ob für Windows neue Update gibt?!:-> - Microsoft Update hält Ihren Computer auf dem neuesten Stand! -> Installiere jedes Update das Dir angeboten wird, wiederhole den Vorgang so oft, bis nicht mehr gibt Lesestoff Nr.1: Gib Kriminellen Handlungen keine Chance! Zitat:
** Der gesunde Menschenverstand, Windows und Internet-Software sicher konfigurieren ist der beste Weg zur Sicherheit im Webverkehr ist !! Zitat:
► Kann sich auf Dauer eine Menge Datenmüll ansammeln, sich Fehlermeldungen häufen, der PC ist wahrscheinlich nicht mehr so schnell, wie früher:
Wenn Du uns unterstützen möchtest→ Spendekonto gruß kira
__________________ Warnung!: Vorsicht beim Rechnungen per Email mit ZIP-Datei als Anhang! Kann mit einen Verschlüsselungs-Trojaner infiziert sein! Anhang nicht öffnen, in unserem Forum erst nachfragen! Sichere regelmäßig deine Daten, auf CD/DVD, USB-Sticks oder externe Festplatten, am besten 2x an verschiedenen Orten! Bitte diese Warnung weitergeben, wo Du nur kannst! |
Themen zu Trojan.Zeroaccess!inf4 |
anhang, datei, dateien, daten, datenträger, entdeck, entdeckt, eraser, externer datenträger, formatieren, formatieren?, forum, frage, fragen, geschlossen, hallo zusammen, infektion, infiziert, internet, norton, norton power eraser, power, services.exe, system, system32, trojan.zeroaccess!inf4, trojaner, windows, zusammen |