|
Trojaner BDS/zeroaccess.gen entdeckt Hallo, auf meinem System (win7/64x) läuft Avira Antivir Free, ich war mit Admin-User angemeldet. Beim surfen tauchte ein Popup auf In der Datei 'C:\$Recycle.Bin\S-1-5-21-4212146255-517082590-1191923680-1000\$6b769614ea51689c739d7b9148917ff1\n' wurde ein Virus oder unerwünschtes Programm 'BDS/ZeroAccess.Gen' [backdoor] gefunden. Ausgeführte Aktion: Zugriff verweigern In der Datei 'C:\$Recycle.Bin\S-1-5-21-4212146255-517082590-1191923680-1000\$6b769614ea51689c739d7b9148917ff1\n' wurde ein Virus oder unerwünschtes Programm 'BDS/ZeroAccess.Gen' [backdoor] gefunden. Ausgeführte Aktion: Übergeben an Scanner In der Datei 'C:\$Recycle.Bin\S-1-5-18\$6b769614ea51689c739d7b9148917ff1\n' wurde ein Virus oder unerwünschtes Programm 'BDS/ZeroAccess.Gen' [backdoor] gefunden. Ausgeführte Aktion: Zugriff verweigern In der Datei 'C:\$Recycle.Bin\S-1-5-18\$6b769614ea51689c739d7b9148917ff1\n' wurde ein Virus oder unerwünschtes Programm 'BDS/ZeroAccess.Gen' [backdoor] gefunden. Ausgeführte Aktion: Übergeben an Scanner In der Datei 'C:\$Recycle.Bin\S-1-5-21-4212146255-517082590-1191923680-1000\$6b769614ea51689c739d7b9148917ff1\n' wurde ein Virus oder unerwünschtes Programm 'BDS/ZeroAccess.Gen' [backdoor] gefunden. Ausgeführte Aktion: Zugriff verweigern In der Datei 'C:\$Recycle.Bin\S-1-5-18\$6b769614ea51689c739d7b9148917ff1\n' wurde ein Virus oder unerwünschtes Programm 'BDS/ZeroAccess.Gen' [backdoor] gefunden. Ausgeführte Aktion: Zugriff verweigern Im Anschlus wure 2x ein Autorun der BackupPartition unterbunden. Ich habe Spybot Search&Destroy gestartet und nach einem Update prüfen lassen. Ca. 20 Minuten nach Avira Meldung wurden dann "Microsoft.WindowsSecurityCenter.AntiVirusOverride HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusOverride Microsoft.WindowsSecurityCenter.FirewallOverride HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallOverride Microsoft.WindowsSecurityCenter_disabled HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Start HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Start" Einträge gelöscht. Ich hab den ernst der Lage nicht erkannt, der Rechner lief dabei ca 1h weiter und war dabei auch ans Internet angebunden. Im Anschluss habe ich Rkill und danach TDSSKiller laufen lassen, allerdings in einer Version vom 06.07.12. Funde gabs keine. Bei Malwarebyte (aktuelle Version nach Installation) habe ich einen Quickscan gestartet, wobei mir parallel Antivir folgende 2 Meldungen brachte: Die Datei 'C:\$Recycle.Bin\S-1-5-18\$6b769614ea51689c739d7b9148917ff1\n' enthielt einen Virus oder unerwünschtes Programm 'BDS/ZeroAccess.Gen' [backdoor]. Durchgeführte Aktion(en): Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4f385257.qua' verschoben! Die Datei 'C:\$Recycle.Bin\S-1-5-21-4212146255-517082590-1191923680-1000\$6b769614ea51689c739d7b9148917ff1\n' enthielt einen Virus oder unerwünschtes Programm 'BDS/ZeroAccess.Gen' [backdoor]. Durchgeführte Aktion(en): Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '57af7df0.qua' verschoben! Malwarebyte hat auch 7 Funde gelistet, gelöscht und neu gestartet: Malwarebytes Anti-Malware 1.62.0.1300 www.malwarebytes.org Datenbank Version: v2012.08.28.05 Windows 7 Service Pack 1 x64 NTFS Internet Explorer 9.0.8112.16421 Whattodo :: WHATTODO-PC [Administrator] 28.08.2012 16:43:42 mbam-log-2012-08-28 (16-43-42).txt Art des Suchlaufs: Quick-Scan Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 212714 Laufzeit: 37 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 1 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce|225932FD1A84AD56079CAFC6F875EF60 (Trojan.Lameshield) -> Daten: C:\ProgramData\225932FD1A84AD56079CAFC6F875EF60\225932FD1A84AD56079CAFC6F875EF60.exe -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Dateiobjekte der Registrierung: 3 HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt. HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt. HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt. Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 4 C:\ProgramData\225932FD1A84AD56079CAFC6F875EF60\225932FD1A84AD56079CAFC6F875EF60.exe (Trojan.Lameshield) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\Philipp\AppData\Local\Temp\syuy2.exe (Trojan.Agent.VGENX1) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\Philipp\AppData\Local\Temp\~!#5D7D.tmp (Trojan.Lameshield) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\Philipp\AppData\Local\Temp\~!#5EB6.tmp (Trojan.Reza) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) Danach noch einmal ein Komplettlauf: Malwarebytes Anti-Malware 1.62.0.1300 www.malwarebytes.org Datenbank Version: v2012.08.28.05 Windows 7 Service Pack 1 x64 NTFS Internet Explorer 9.0.8112.16421 Whattodo :: WHATTODO-PC [Administrator] 28.08.2012 16:55:41 mbam-log-2012-08-28 (16-55-41).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|) Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 422643 Laufzeit: 17 Minute(n), 29 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 1 C:\Users\Philipp\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\26\7e36c1a-348ae1be (Trojan.Agent.VGENX1) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) Randnotiz: Firefox lässt sich nicht mehr starten. Wie sollte ich vorgehen? Ist die Gefahr erstmal gebannt? Was liest der Trojaner aus - der Rechner hing schließlich lange genug am Netz :( Muss ich alle Passwörter ändern / Banking sperren? PC wird für all das genutzt. Sind reine Daten kompromittiert? Externe Laufwerke etc. Danke für kompetente Hilfe :heulen: |
Führ bitte auch ESET aus, danach sehen wir weiter. Hinweis: ESET zeigt durchaus öfter ein paar Fehlalarme. Deswegen soll auch von ESET immer nur erst das Log gepostet und nichts entfernt werden. ESET Online Scanner Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.
Code: "%PROGRAMFILES%\Eset\Eset Online Scanner\log.txt"Code: "%PROGRAMFILES(X86)%\Eset\Eset Online Scanner\log.txt"Bitte alles nach Möglichkeit hier in CODE-Tags posten. Wird so gemacht: [code] hier steht das Log [/code] Und das ganze sieht dann so aus: Code: hier steht das Log |
Hey, danke schön für die aufwändige Antwort. Da ich den Rechner quasi täglich benötige, habe ich mich mittlerweile schon für eine komplette Neuinstallation von Windows entschlossen. :kloppen: Allerdings hätte ich dazu zwei Fragen:
Gruß Edit: Ich hätte meinen alten Post zur besseren Lesbarkeit mit [code] editiert, aber das ist leider im Nachhinein nicht mehr möglich. Edit 2: Um meine Frage selbst zu beantworten: SSD-Löschen per HDDErase (hxxp://www.chip.de/downloads/HDDErase-Secure-Erase_45697035.html). Spricht den ATA Secure Erase im Controller an - Jede Zelle wird auf leer gesetzt. |
Lies doch einfach mal den Artikel zur Neuinstallation komplett durch, dann erübrigen sich alle Fragen Ob SSD oder normale Platte ist wurscht, lösche nach Möglichkeit alle Partitionen und erstell sie neu. Da man die SSD als Systemplatte mit Betriebssystem und Programmen idR nur verwendet, reicht eine Partition dicke aus. Als Datengrab werden ja wohl große Festplatten verwendet. Und in reinen Datendateien sind mit ziemlicher keine Schädlinge, denn ein Schädling muss ausführbar sein. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 01:43 Uhr. |
Copyright ©2000-2025, Trojaner-Board