unbekannte trojaner /rootkit Infektion

MangoMan

Ich weiß, dass gdata, das seit Donnerstag erkennt. Es hat es aber vorher (Mittwoch) nicht erkannt, d.h. die Signatur muss recht neu sein. Inzwischen hat mir der GData Support auch eine Antwort geschrieben, und zwar soll ich nun nocheinmal eine BootCD erstelllen und damit einen Scan durchlaufen lassen. Das passiert auch gerade, ich poste das Ergebnis sobald der Scan durch ist.

Tja schade, dass die Removal tools gegen diese Version von zero access nicht helfen...


Inzwischen (scan ist noch nicht fertig) hat gdata trojan.generic.1093307 in C:\windows\regs.exe gefunden.

Achja, zum neu aufsetzen: Nach meiner Kenntniss schreibt sich zero access in den mbr, und selbst wenn ich alles formatiere, wie kann ich sichergehen, dass auch an dieser Stelle alles sauber ist?

So Scan ist durchgelaufen! Ich kann bestätigen, dass es sich um Sirefef (Zero Access) handelt. Desweiteren bin ich mir sicher, dass dieser von meinem System entfernt wurde. Ich habe jedoch auf dem infizierten PC auch keine empfindlichen Daten, da dieser ausschließlich zum Musik hören und TV schauen genutzt wird, daher rate ich anderen wie "Markusg" geschrieben hat, zu einem komplett neuaufsetzen, falls man ganz sicher gehen möchte.

Ich habe eine GData Boot CD erstellt, damit den PC gebooted und ein Update durchführen lassen (wer kein bezahltes GData hat, der kann sich einen 30-Tage Testaccount erstellen und damit updaten lassen.). Danach habe ich den gesamten PC gescannt.

Auszug aus dem log:

Danach habe ich mit der Reperaturkonsole der Windows CD nocheinmal den master boot record mit fixmbr und fixboot überschrieben und windows gestartet.

Soweit zeigt der PC ein normales Verhalten. Allerdings werde ich zur Sicherheit den PC nocheinmal über Nacht komplett scannen lassen, für den Fall, dass nicht alles gelöscht wurde und der PC neuinfiziert ist.

Derzeit lasse ich nocheinmal OTL und GMER scannen.

MfG