Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: BDS/ZeroAccess.Gen - kehrt stets zurück

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

 
Alt 28.01.2013, 23:24   #1
florianfiele
 
BDS/ZeroAccess.Gen - kehrt stets zurück - Standard

BDS/ZeroAccess.Gen - kehrt stets zurück



Hallo liebe User,

auch mich hat der "BDS/ZeroAccess.Gen" jetzt erwischt. In anderen Threads habe ich mich eingelesen, aber auf eigene Faust noch keine der Tipps unternommen.

Was passiert? Ich bekomme alle paar Stunden (zumindest bei geöffnetem google chrome) eine Antivir Meldung.

Zitat:
Die Datei 'C:\$RECYCLE.BIN\S-1-5-21-3277516210-1328599762-3551408589-1000\$d6fd68f97d7580893303acf0a06ebff7\n'
enthielt einen Virus oder unerwünschtes Programm 'BDS/ZeroAccess.Gen' [backdoor].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '592f7a34.qua' verschoben!
-> Ich klicke auf löschen.

Dazu öffnet sich ein Fenster, das den adobe flash player updaten will. Normalerweise bestätige ich dies, in dieser Situation natürlich nicht. Schließen des Fensters führt dazu, dass sich ein neues öffnet. Und so weiter....Im Taskmanager finde ich jedes Mal 2 neue Prozesse mit eigenartigen Namen. Ich öffne den Dateipfad und lande im Ordner "C:\Users\Florian\AppData\Local\Temp". Die beiden Prozesse schließe ich, und lösche die beiden Dateien sowie den restlichen Inhalt des Temp Ordners. Dann ist Ruhe mit den flash player update Fenstern.
Dann habe ich gestern einen Antivir-Scan gemacht, der einen Virusfund zur Folge hatte. Ein zweiter Scan fand keinen mehr. Kein Problem, kein Virusfund -> alles in Ordnung... hatte ich gehofft, aber heute ging dasselbe Spiel wieder los.


Ich hoffe jemand von euch kann sich die Zeit nehmen mir zu helfen. Auf "Formatieren-Neu installieren-Datensicherung rüber kopieren" bin ich leider überhaupt nicht vorbereitet, sodass ich vor dem damit verbundenen Aufwand und Stress zurückschrecke. Dieser Virus wird mir aber auf jeden Fall eine Lehre sein, regelmäßig Sicherungen zu erstellen.




AntiVir
Code:
ATTFilter
Die Datei 'C:\$RECYCLE.BIN\S-1-5-21-3277516210-1328599762-3551408589-1000\$d6fd68f97d7580893303acf0a06ebff7\n'
enthielt einen Virus oder unerwünschtes Programm 'BDS/ZeroAccess.Gen' [backdoor].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '592f7a34.qua' verschoben!
         

AntiVir Systemscan:
Code:
ATTFilter
Avira Free Antivirus
Erstellungsdatum der Reportdatei: Montag, 28. Januar 2013  00:02


Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira Free Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows 7 Home Premium
Windowsversion : (Service Pack 1)  [6.1.7601]
Boot Modus     : Normal gebootet
Benutzername   : Florian
Computername   : NOTEBOOK

Versionsinformationen:
BUILD.DAT      : 13.0.0.2890    48567 Bytes  05.12.2012 17:11:00
AVSCAN.EXE     : 13.6.0.402    639264 Bytes  13.12.2012 06:30:22
AVSCANRC.DLL   : 13.4.0.360     64800 Bytes  13.12.2012 06:30:23
LUKE.DLL       : 13.6.0.400     67360 Bytes  13.12.2012 06:32:09
AVSCPLR.DLL    : 13.6.0.402     93984 Bytes  13.12.2012 06:32:39
AVREG.DLL      : 13.6.0.406    248096 Bytes  13.12.2012 06:32:35
avlode.dll     : 13.6.1.402    428832 Bytes  13.12.2012 06:32:42
avlode.rdf     : 13.0.0.26       7958 Bytes  13.12.2012 06:32:40
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 13:50:29
VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 13:50:31
VBASE002.VDF   : 7.11.19.170 14374912 Bytes  20.12.2011 13:50:34
VBASE003.VDF   : 7.11.21.238  4472832 Bytes  01.02.2012 13:50:36
VBASE004.VDF   : 7.11.26.44   4329472 Bytes  28.03.2012 13:50:37
VBASE005.VDF   : 7.11.34.116  4034048 Bytes  29.06.2012 13:42:40
VBASE006.VDF   : 7.11.41.250  4902400 Bytes  06.09.2012 13:42:40
VBASE007.VDF   : 7.11.50.230  3904512 Bytes  22.11.2012 12:03:20
VBASE008.VDF   : 7.11.55.142  2214912 Bytes  03.01.2013 11:39:52
VBASE009.VDF   : 7.11.55.143     2048 Bytes  03.01.2013 11:39:52
VBASE010.VDF   : 7.11.55.144     2048 Bytes  03.01.2013 11:39:52
VBASE011.VDF   : 7.11.55.145     2048 Bytes  03.01.2013 11:39:52
VBASE012.VDF   : 7.11.55.146     2048 Bytes  03.01.2013 11:39:52
VBASE013.VDF   : 7.11.55.196   260096 Bytes  04.01.2013 20:38:15
VBASE014.VDF   : 7.11.56.23    206848 Bytes  07.01.2013 00:37:37
VBASE015.VDF   : 7.11.56.83    186880 Bytes  08.01.2013 00:37:40
VBASE016.VDF   : 7.11.56.145   135168 Bytes  09.01.2013 00:37:43
VBASE017.VDF   : 7.11.56.211   139776 Bytes  11.01.2013 19:32:15
VBASE018.VDF   : 7.11.57.11    153088 Bytes  13.01.2013 19:59:59
VBASE019.VDF   : 7.11.57.75    165888 Bytes  15.01.2013 12:09:58
VBASE020.VDF   : 7.11.57.163   190976 Bytes  17.01.2013 17:27:49
VBASE021.VDF   : 7.11.57.219   119808 Bytes  18.01.2013 00:09:34
VBASE022.VDF   : 7.11.58.7     167936 Bytes  21.01.2013 16:34:08
VBASE023.VDF   : 7.11.58.49    140288 Bytes  22.01.2013 18:44:48
VBASE024.VDF   : 7.11.58.119   137728 Bytes  24.01.2013 13:03:09
VBASE025.VDF   : 7.11.58.175   132608 Bytes  25.01.2013 22:41:49
VBASE026.VDF   : 7.11.58.213   116736 Bytes  27.01.2013 14:52:17
VBASE027.VDF   : 7.11.58.214     2048 Bytes  27.01.2013 14:52:17
VBASE028.VDF   : 7.11.58.215     2048 Bytes  27.01.2013 14:52:17
VBASE029.VDF   : 7.11.58.216     2048 Bytes  27.01.2013 14:52:18
VBASE030.VDF   : 7.11.58.217     2048 Bytes  27.01.2013 14:52:18
VBASE031.VDF   : 7.11.58.226    36864 Bytes  27.01.2013 14:52:18
Engineversion  : 8.2.10.238
AEVDF.DLL      : 8.1.2.10      102772 Bytes  19.09.2012 13:42:55
AESCRIPT.DLL   : 8.1.4.84      467322 Bytes  24.01.2013 19:03:25
AESCN.DLL      : 8.1.10.0      131445 Bytes  13.12.2012 18:28:50
AESBX.DLL      : 8.2.5.12      606578 Bytes  28.08.2012 15:58:06
AERDL.DLL      : 8.2.0.88      643444 Bytes  10.01.2013 18:19:03
AEPACK.DLL     : 8.3.1.2       819574 Bytes  20.12.2012 15:56:49
AEOFFICE.DLL   : 8.1.2.50      201084 Bytes  05.11.2012 18:43:16
AEHEUR.DLL     : 8.1.4.182    5706104 Bytes  24.01.2013 19:03:23
AEHELP.DLL     : 8.1.25.2      258423 Bytes  26.10.2012 11:37:57
AEGEN.DLL      : 8.1.6.16      434549 Bytes  24.01.2013 19:03:04
AEEXP.DLL      : 8.3.0.14      188788 Bytes  24.01.2013 19:03:26
AEEMU.DLL      : 8.1.3.2       393587 Bytes  19.09.2012 13:42:55
AECORE.DLL     : 8.1.30.0      201079 Bytes  13.12.2012 18:28:45
AEBB.DLL       : 8.1.1.4        53619 Bytes  05.11.2012 18:43:08
AVWINLL.DLL    : 13.4.0.163     25888 Bytes  19.09.2012 17:09:30
AVPREF.DLL     : 13.4.0.360     50464 Bytes  13.12.2012 06:30:20
AVREP.DLL      : 13.4.0.360    177952 Bytes  13.12.2012 06:32:38
AVARKT.DLL     : 13.6.0.402    260384 Bytes  13.12.2012 06:29:52
AVEVTLOG.DLL   : 13.6.0.400    167200 Bytes  13.12.2012 06:30:07
SQLITE3.DLL    : 3.7.0.1       397088 Bytes  19.09.2012 17:17:40
AVSMTP.DLL     : 13.4.0.163     62240 Bytes  19.09.2012 17:08:54
NETNT.DLL      : 13.4.0.360     15648 Bytes  13.12.2012 06:32:15
RCIMAGE.DLL    : 13.4.0.360   4780832 Bytes  13.12.2012 06:29:26
RCTEXT.DLL     : 13.4.0.360     68384 Bytes  13.12.2012 06:29:26

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Lokale Laufwerke
Konfigurationsdatei...................: C:\program files\avira\antivir desktop\alldrives.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:, F:, 
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Intelligente Dateiauswahl
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Montag, 28. Januar 2013  00:02

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '101' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '114' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '96' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmplayer.exe' - '119' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.exe' - '180' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '84' Modul(e) wurden durchsucht
Durchsuche Prozess 'VAIOUpdt.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskhost.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'WUDFHost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'YahooAUService.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'xaudio.exe' - '17' Modul(e) wurden durchsucht
Durchsuche Prozess 'VcmIAlzMgr.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '87' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '92' Modul(e) wurden durchsucht
Durchsuche Prozess 'RtkAudioService.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'atieclxx.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'UMVPFSrv.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '162' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '100' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'atiesrxx.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
C:\Users\Florian\Local Settings\Temp\msqkfmu.com
  [FUND]      Enthält Erkennungsmuster des Wurmes WORM/Gamarue.I.626

Die Registry wurde durchsucht ( '2763' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <Lokaler Datenträger>

Beginne mit der Desinfektion:
Der Registrierungseintrag <HKEY_USERS\S-1-5-21-3277516210-1328599762-3551408589-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\2500> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\load> wurde erfolgreich entfernt.
C:\Users\Florian\Local Settings\Temp\msqkfmu.com
  [FUND]      Enthält Erkennungsmuster des Wurmes WORM/Gamarue.I.626
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '56d350f0.qua' verschoben!
  [HINWEIS]   Der Registrierungseintrag <HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\load> wurde erfolgreich repariert.


Ende des Suchlaufs: Montag, 28. Januar 2013  05:25
Benötigte Zeit:  5:21:54 Stunde(n)

Der Suchlauf wurde abgebrochen!

  22531 Verzeichnisse wurden überprüft
 1318563 Dateien wurden geprüft
      1 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      1 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 1318562 Dateien ohne Befall
   7163 Archive wurden durchsucht
      0 Warnungen
      1 Hinweise
         
Was ist sonst noch erforderlich? AntiVir Scan läuft gerade. Dies war der Scan von gestern.

Macht es Sinn wie in anderen hier (erfolgreich) gelösten Fällen eine Bereinigung durchzuführen? Ich hoffe es



Edit: Der BDS/ZeroAccess.Gen scheint schon länger drauf zu sein (oder wieder neu). Zwischenzeitlich hatte ich keine Probleme, aber Antivir zeigt mir einen Fund vom 13.01. an. Danach 2 Wochen keine weiteren.

 

Themen zu BDS/ZeroAccess.Gen - kehrt stets zurück
adobe, adobe flash player, antivir, avg, backdoor, bds/zeroaccess.gen, desktop, flash player, google, home, modul, ordner, problem, programm, prozesse, recycle.bin, registry, schließen, services.exe, software, svchost.exe, taskhost.exe, taskmanager, temp, windows, winlogon.exe, worm/gamarue.i.626




Ähnliche Themen: BDS/ZeroAccess.Gen - kehrt stets zurück


  1. Win7 - System verursacht stets 25% CPU-Auslastung
    Alles rund um Windows - 01.02.2015 (12)
  2. Proxyserverproblem - Haken Interneteinstellungen kehrt immer wieder zurück - Virus?
    Plagegeister aller Art und deren Bekämpfung - 02.10.2014 (5)
  3. Ordner kehrt immer wieder zurück: C:\ProgramData\boost_interprocess?
    Plagegeister aller Art und deren Bekämpfung - 28.02.2014 (22)
  4. Mittem im spiel kehrt windows auf den destop zurück
    Plagegeister aller Art und deren Bekämpfung - 20.01.2014 (16)
  5. Auch Microsoft kehrt RC4 den Rücken - fast
    Nachrichten - 14.11.2013 (0)
  6. iOS-Privacy-App kehrt als Web-App zurück
    Nachrichten - 30.08.2012 (0)
  7. google leitet stets auf rocketnews & groupon weiter
    Plagegeister aller Art und deren Bekämpfung - 22.05.2012 (3)
  8. System kehrt immerwieder auf Desktop zurück, Google Links rufen unerwünschte Seiten auf
    Plagegeister aller Art und deren Bekämpfung - 10.08.2011 (13)
  9. win32/cycbot auf Windows 7 kehrt immer wieder zurück..
    Plagegeister aller Art und deren Bekämpfung - 29.01.2011 (33)
  10. Leistung gesunken,Spiele stocken,CPU Auslastung stets hoch
    Log-Analyse und Auswertung - 25.08.2010 (0)
  11. TR/PSW.Zbot kehrt immer wieder
    Log-Analyse und Auswertung - 11.06.2010 (32)
  12. Googel verlinkt mich stets auf falsche Seiten
    Plagegeister aller Art und deren Bekämpfung - 09.12.2008 (17)
  13. Prozessor stets auf 50%
    Log-Analyse und Auswertung - 28.09.2008 (6)
  14. IEXPLORE.EXE kehrt immer wieder zurück
    Log-Analyse und Auswertung - 09.06.2008 (6)
  15. Browser kehrt immer auf Google-Startseite zurück...Hilfe
    Log-Analyse und Auswertung - 03.06.2008 (1)
  16. Adware und/oder Spyware kehrt immer wieder zurück
    Log-Analyse und Auswertung - 29.06.2006 (13)
  17. IE öffnet stets mehrere Werbe-Fenster..
    Plagegeister aller Art und deren Bekämpfung - 01.05.2005 (16)

Zum Thema BDS/ZeroAccess.Gen - kehrt stets zurück - Hallo liebe User, auch mich hat der "BDS/ZeroAccess.Gen" jetzt erwischt. In anderen Threads habe ich mich eingelesen, aber auf eigene Faust noch keine der Tipps unternommen. Was passiert? Ich bekomme - BDS/ZeroAccess.Gen - kehrt stets zurück...
Archiv
Du betrachtest: BDS/ZeroAccess.Gen - kehrt stets zurück auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.