Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Trojaner BDS/zeroaccess.gen entdeckt

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 28.08.2012, 17:46   #1
Whattodo
 
Trojaner BDS/zeroaccess.gen entdeckt - Standard

Trojaner BDS/zeroaccess.gen entdeckt



Hallo,

auf meinem System (win7/64x) läuft Avira Antivir Free, ich war mit Admin-User angemeldet. Beim surfen tauchte ein Popup auf





In der Datei 'C:\$Recycle.Bin\S-1-5-21-4212146255-517082590-1191923680-1000\$6b769614ea51689c739d7b9148917ff1\n'
wurde ein Virus oder unerwünschtes Programm 'BDS/ZeroAccess.Gen' [backdoor] gefunden.
Ausgeführte Aktion: Zugriff verweigern


In der Datei 'C:\$Recycle.Bin\S-1-5-21-4212146255-517082590-1191923680-1000\$6b769614ea51689c739d7b9148917ff1\n'
wurde ein Virus oder unerwünschtes Programm 'BDS/ZeroAccess.Gen' [backdoor] gefunden.
Ausgeführte Aktion: Übergeben an Scanner


In der Datei 'C:\$Recycle.Bin\S-1-5-18\$6b769614ea51689c739d7b9148917ff1\n'
wurde ein Virus oder unerwünschtes Programm 'BDS/ZeroAccess.Gen' [backdoor] gefunden.
Ausgeführte Aktion: Zugriff verweigern


In der Datei 'C:\$Recycle.Bin\S-1-5-18\$6b769614ea51689c739d7b9148917ff1\n'
wurde ein Virus oder unerwünschtes Programm 'BDS/ZeroAccess.Gen' [backdoor] gefunden.
Ausgeführte Aktion: Übergeben an Scanner

In der Datei 'C:\$Recycle.Bin\S-1-5-21-4212146255-517082590-1191923680-1000\$6b769614ea51689c739d7b9148917ff1\n'
wurde ein Virus oder unerwünschtes Programm 'BDS/ZeroAccess.Gen' [backdoor] gefunden.
Ausgeführte Aktion: Zugriff verweigern

In der Datei 'C:\$Recycle.Bin\S-1-5-18\$6b769614ea51689c739d7b9148917ff1\n'
wurde ein Virus oder unerwünschtes Programm 'BDS/ZeroAccess.Gen' [backdoor] gefunden.
Ausgeführte Aktion: Zugriff verweigern




Im Anschlus wure 2x ein Autorun der BackupPartition unterbunden.

Ich habe Spybot Search&Destroy gestartet und nach einem Update prüfen lassen. Ca. 20 Minuten nach Avira Meldung wurden dann

"Microsoft.WindowsSecurityCenter.AntiVirusOverride
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusOverride

Microsoft.WindowsSecurityCenter.FirewallOverride
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallOverride

Microsoft.WindowsSecurityCenter_disabled
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Start
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Start"

Einträge gelöscht. Ich hab den ernst der Lage nicht erkannt, der Rechner lief dabei ca 1h weiter und war dabei auch ans Internet angebunden.

Im Anschluss habe ich Rkill und danach TDSSKiller laufen lassen, allerdings in einer Version vom 06.07.12. Funde gabs keine. Bei Malwarebyte (aktuelle Version nach Installation) habe ich einen Quickscan gestartet, wobei mir parallel Antivir folgende 2 Meldungen brachte:




Die Datei 'C:\$Recycle.Bin\S-1-5-18\$6b769614ea51689c739d7b9148917ff1\n'
enthielt einen Virus oder unerwünschtes Programm 'BDS/ZeroAccess.Gen' [backdoor].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4f385257.qua' verschoben!

Die Datei 'C:\$Recycle.Bin\S-1-5-21-4212146255-517082590-1191923680-1000\$6b769614ea51689c739d7b9148917ff1\n'
enthielt einen Virus oder unerwünschtes Programm 'BDS/ZeroAccess.Gen' [backdoor].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '57af7df0.qua' verschoben!




Malwarebyte hat auch 7 Funde gelistet, gelöscht und neu gestartet:

Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.08.28.05

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Whattodo :: WHATTODO-PC [Administrator]

28.08.2012 16:43:42
mbam-log-2012-08-28 (16-43-42).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 212714
Laufzeit: 37 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce|225932FD1A84AD56079CAFC6F875EF60 (Trojan.Lameshield) -> Daten: C:\ProgramData\225932FD1A84AD56079CAFC6F875EF60\225932FD1A84AD56079CAFC6F875EF60.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 3
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 4
C:\ProgramData\225932FD1A84AD56079CAFC6F875EF60\225932FD1A84AD56079CAFC6F875EF60.exe (Trojan.Lameshield) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Philipp\AppData\Local\Temp\syuy2.exe (Trojan.Agent.VGENX1) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Philipp\AppData\Local\Temp\~!#5D7D.tmp (Trojan.Lameshield) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Philipp\AppData\Local\Temp\~!#5EB6.tmp (Trojan.Reza) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)




Danach noch einmal ein Komplettlauf:



Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.08.28.05

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Whattodo :: WHATTODO-PC [Administrator]

28.08.2012 16:55:41
mbam-log-2012-08-28 (16-55-41).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 422643
Laufzeit: 17 Minute(n), 29 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Users\Philipp\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\26\7e36c1a-348ae1be (Trojan.Agent.VGENX1) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)



Randnotiz: Firefox lässt sich nicht mehr starten.

Wie sollte ich vorgehen? Ist die Gefahr erstmal gebannt?
Was liest der Trojaner aus - der Rechner hing schließlich lange genug am Netz
Muss ich alle Passwörter ändern / Banking sperren? PC wird für all das genutzt.

Sind reine Daten kompromittiert? Externe Laufwerke etc.

Danke für kompetente Hilfe

Geändert von Whattodo (28.08.2012 um 18:03 Uhr) Grund: Infos Vergessen

Alt 30.08.2012, 22:00   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner BDS/zeroaccess.gen entdeckt - Standard

Trojaner BDS/zeroaccess.gen entdeckt



Führ bitte auch ESET aus, danach sehen wir weiter.

Hinweis: ESET zeigt durchaus öfter ein paar Fehlalarme. Deswegen soll auch von ESET immer nur erst das Log gepostet und nichts entfernt werden.

ESET Online Scanner

Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.
  • Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt so öffnen: per Rechtsklick => als Administrator ausführen
  • Dein Anti-Virus-Programm während des Scans deaktivieren.

    Im als Administrator geöffneten Browser diesen Link aufrufen => ESET Online Scanner
    • Firefox-User:
      Bitte esetsmartinstaller_enu.exe downloaden.Das Firefox-Addon auf dem Desktop speichern und dann installieren.
    • IE-User:
      müssen das Installieren eines ActiveX Elements erlauben.
  • Setze den einen Haken bei Yes, i accept the Terms of Use.
  • Drücke den Button.
  • Warte bis die Komponenten herunter geladen wurden.
  • Setze einen Haken bei "Scan archives".
  • Gehe sicher das bei Remove Found Threats kein Hacken gesetzt ist.
  • drücken.
  • Die Signaturen werden herunter geladen.Der Scan beginnt automatisch.
Wenn der Scan beendet wurde
  • Klicke Finish.
  • Browser schließen.
Drücke bitte die + R Taste und kopiere folgenden Text in das Ausführen Fenster.
Code:
ATTFilter
"%PROGRAMFILES%\Eset\Eset Online Scanner\log.txt"
         
Hinweis: Falls du ein 64-Bit-Windows einsetzt, lautet der Pfad so:

Code:
ATTFilter
"%PROGRAMFILES(X86)%\Eset\Eset Online Scanner\log.txt"
         
Poste nun den Inhalt der log.txt.


Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:
ATTFilter
 hier steht das Log
         
__________________

__________________

Alt 31.08.2012, 15:29   #3
Whattodo
 
Trojaner BDS/zeroaccess.gen entdeckt - Standard

Trojaner BDS/zeroaccess.gen entdeckt



Hey,

danke schön für die aufwändige Antwort.

Da ich den Rechner quasi täglich benötige, habe ich mich mittlerweile schon für eine komplette Neuinstallation von Windows entschlossen.

Allerdings hätte ich dazu zwei Fragen:
  • Wie kann ich das Systemlaufwerk auf die gründlichste Art formatieren? Das Laufwerk ist eine SSD - ich habe gelesen, dass manche Viren eine Formatierung überleben und vor allem, dass die Formatierung einer SSD sich stark von der einer Festplatte unterscheidet. Reicht "Clean All" in disk part?
  • Ich habe ein paar Daten von der Festplatte gesichert, heißt Fotos, Thunderbird Profil, Firefox bookmarks... Ist es möglich, dass auch Daten "befallen" sind? Reicht ein check mit Malwarebytes um sicher zu gehen?

Gruß


Edit: Ich hätte meinen alten Post zur besseren Lesbarkeit mit [code] editiert, aber das ist leider im Nachhinein nicht mehr möglich.

Edit 2:
Um meine Frage selbst zu beantworten: SSD-Löschen per HDDErase (hxxp://www.chip.de/downloads/HDDErase-Secure-Erase_45697035.html). Spricht den ATA Secure Erase im Controller an - Jede Zelle wird auf leer gesetzt.
__________________

Geändert von Whattodo (31.08.2012 um 15:54 Uhr)

Alt 31.08.2012, 15:55   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner BDS/zeroaccess.gen entdeckt - Standard

Trojaner BDS/zeroaccess.gen entdeckt



Lies doch einfach mal den Artikel zur Neuinstallation komplett durch, dann erübrigen sich alle Fragen

Ob SSD oder normale Platte ist wurscht, lösche nach Möglichkeit alle Partitionen und erstell sie neu. Da man die SSD als Systemplatte mit Betriebssystem und Programmen idR nur verwendet, reicht eine Partition dicke aus. Als Datengrab werden ja wohl große Festplatten verwendet.

Und in reinen Datendateien sind mit ziemlicher keine Schädlinge, denn ein Schädling muss ausführbar sein.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Antwort

Themen zu Trojaner BDS/zeroaccess.gen entdeckt
80-100, administrator, anschluss, antivir, autorun, avira, avira meldung, backdoor, bds/zeroaccess.gen, dateien, explorer, gelöscht, installation, internet, microsoft, namen, neu, popup, programm, recycle.bin, scan, security, software, surfen, system, temp, trojan.agent.vgenx, trojaner, virus, ändern



Ähnliche Themen: Trojaner BDS/zeroaccess.gen entdeckt


  1. Habe Trojaner: Trojan.Zeroaccess.C, Trojan.Zeroaccess.B,Trojan.Gen.2
    Log-Analyse und Auswertung - 10.11.2013 (3)
  2. Trojan.Zeroaccess.C / Trojan.Zeroaccess!inf4
    Plagegeister aller Art und deren Bekämpfung - 29.06.2013 (6)
  3. Trojaner BDS/ZeroAccess.Gen in Datei C:\Recycle.Bin\... von Avira Antivir erkannt und kommt immer wieder
    Log-Analyse und Auswertung - 01.06.2013 (21)
  4. BDS/ZeroAccess - Trojaner gelöscht, nicht sicher ob System jetzt sauber ist
    Plagegeister aller Art und deren Bekämpfung - 31.03.2013 (4)
  5. Trojaner bds zeroaccess.gen eingefangen
    Log-Analyse und Auswertung - 07.02.2013 (19)
  6. habe mir tr/agent.kl.25088 , tr/atraps.gen und bos/zeroAccess.gen und tr/psw.fareit.587 eingefangen (trojaner ? )
    Plagegeister aller Art und deren Bekämpfung - 03.02.2013 (15)
  7. ZeroAccess Trojaner
    Log-Analyse und Auswertung - 17.01.2013 (2)
  8. Trojaner von Avira und weiteren Anti-Maleware Programmen entdeckt! ( BDS/ZeroAccess.Gen)
    Plagegeister aller Art und deren Bekämpfung - 03.11.2012 (5)
  9. Trojaner ZeroAccess.hi in Desktop.ini nicht löschbar von McAfee Internet Security
    Log-Analyse und Auswertung - 02.11.2012 (9)
  10. ZeroAccess Trojaner in der Desktop.ini gefunden
    Plagegeister aller Art und deren Bekämpfung - 17.10.2012 (11)
  11. Facebook-Trojaner: ZeroAccess (C:\\Windows\assembly\GAC_64\Desktop.ini)
    Log-Analyse und Auswertung - 05.10.2012 (6)
  12. Zeroaccess Trojaner in c:\windows\sassembly\GAC\Desktop.ini
    Plagegeister aller Art und deren Bekämpfung - 12.09.2012 (11)
  13. Trojaner ZeroAccess + FakeAlert
    Plagegeister aller Art und deren Bekämpfung - 06.09.2012 (28)
  14. Trojaner Generic-FRAX!EF3DA767ACD3 Trojan entdeckt bei Versuch unbekannten Trojaner zu entfernen
    Plagegeister aller Art und deren Bekämpfung - 04.08.2012 (3)
  15. Trojaner Generic-FRAX!EF3DA767ACD3 Trojan entdeckt bei Versuch unbekannten Trojaner zu entfernen
    Mülltonne - 04.08.2012 (1)
  16. BKA-Trojaner zeroaccess!inf Run.dll error
    Log-Analyse und Auswertung - 15.03.2012 (3)
  17. Trojaner entdeckt / gelöscht, am Folgetag neuen entdeckt (Trojan.Downloader, Trojan.Vundo)
    Plagegeister aller Art und deren Bekämpfung - 30.07.2010 (6)

Zum Thema Trojaner BDS/zeroaccess.gen entdeckt - Hallo, auf meinem System (win7/64x) läuft Avira Antivir Free, ich war mit Admin-User angemeldet. Beim surfen tauchte ein Popup auf In der Datei 'C:\$Recycle.Bin\S-1-5-21-4212146255-517082590-1191923680-1000\$6b769614ea51689c739d7b9148917ff1\n' wurde ein Virus oder unerwünschtes Programm - Trojaner BDS/zeroaccess.gen entdeckt...
Archiv
Du betrachtest: Trojaner BDS/zeroaccess.gen entdeckt auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.