Hallo,

auf meinem System (win7/64x) läuft Avira Antivir Free, ich war mit Admin-User angemeldet. Beim surfen tauchte ein Popup auf





In der Datei 'C:\$Recycle.Bin\S-1-5-21-4212146255-517082590-1191923680-1000\$6b769614ea51689c739d7b9148917ff1\n'
wurde ein Virus oder unerwünschtes Programm 'BDS/ZeroAccess.Gen' [backdoor] gefunden.
Ausgeführte Aktion: Zugriff verweigern


In der Datei 'C:\$Recycle.Bin\S-1-5-21-4212146255-517082590-1191923680-1000\$6b769614ea51689c739d7b9148917ff1\n'
wurde ein Virus oder unerwünschtes Programm 'BDS/ZeroAccess.Gen' [backdoor] gefunden.
Ausgeführte Aktion: Übergeben an Scanner


In der Datei 'C:\$Recycle.Bin\S-1-5-18\$6b769614ea51689c739d7b9148917ff1\n'
wurde ein Virus oder unerwünschtes Programm 'BDS/ZeroAccess.Gen' [backdoor] gefunden.
Ausgeführte Aktion: Zugriff verweigern


In der Datei 'C:\$Recycle.Bin\S-1-5-18\$6b769614ea51689c739d7b9148917ff1\n'
wurde ein Virus oder unerwünschtes Programm 'BDS/ZeroAccess.Gen' [backdoor] gefunden.
Ausgeführte Aktion: Übergeben an Scanner

In der Datei 'C:\$Recycle.Bin\S-1-5-21-4212146255-517082590-1191923680-1000\$6b769614ea51689c739d7b9148917ff1\n'
wurde ein Virus oder unerwünschtes Programm 'BDS/ZeroAccess.Gen' [backdoor] gefunden.
Ausgeführte Aktion: Zugriff verweigern

In der Datei 'C:\$Recycle.Bin\S-1-5-18\$6b769614ea51689c739d7b9148917ff1\n'
wurde ein Virus oder unerwünschtes Programm 'BDS/ZeroAccess.Gen' [backdoor] gefunden.
Ausgeführte Aktion: Zugriff verweigern




Im Anschlus wure 2x ein Autorun der BackupPartition unterbunden.

Ich habe Spybot Search&Destroy gestartet und nach einem Update prüfen lassen. Ca. 20 Minuten nach Avira Meldung wurden dann

"Microsoft.WindowsSecurityCenter.AntiVirusOverride
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusOverride

Microsoft.WindowsSecurityCenter.FirewallOverride
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallOverride

Microsoft.WindowsSecurityCenter_disabled
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Start
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Start"

Einträge gelöscht. Ich hab den ernst der Lage nicht erkannt, der Rechner lief dabei ca 1h weiter und war dabei auch ans Internet angebunden.

Im Anschluss habe ich Rkill und danach TDSSKiller laufen lassen, allerdings in einer Version vom 06.07.12. Funde gabs keine. Bei Malwarebyte (aktuelle Version nach Installation) habe ich einen Quickscan gestartet, wobei mir parallel Antivir folgende 2 Meldungen brachte:




Die Datei 'C:\$Recycle.Bin\S-1-5-18\$6b769614ea51689c739d7b9148917ff1\n'
enthielt einen Virus oder unerwünschtes Programm 'BDS/ZeroAccess.Gen' [backdoor].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4f385257.qua' verschoben!

Die Datei 'C:\$Recycle.Bin\S-1-5-21-4212146255-517082590-1191923680-1000\$6b769614ea51689c739d7b9148917ff1\n'
enthielt einen Virus oder unerwünschtes Programm 'BDS/ZeroAccess.Gen' [backdoor].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '57af7df0.qua' verschoben!




Malwarebyte hat auch 7 Funde gelistet, gelöscht und neu gestartet:

Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.08.28.05

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Whattodo :: WHATTODO-PC [Administrator]

28.08.2012 16:43:42
mbam-log-2012-08-28 (16-43-42).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 212714
Laufzeit: 37 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce|225932FD1A84AD56079CAFC6F875EF60 (Trojan.Lameshield) -> Daten: C:\ProgramData\225932FD1A84AD56079CAFC6F875EF60\225932FD1A84AD56079CAFC6F875EF60.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 3
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 4
C:\ProgramData\225932FD1A84AD56079CAFC6F875EF60\225932FD1A84AD56079CAFC6F875EF60.exe (Trojan.Lameshield) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Philipp\AppData\Local\Temp\syuy2.exe (Trojan.Agent.VGENX1) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Philipp\AppData\Local\Temp\~!#5D7D.tmp (Trojan.Lameshield) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Philipp\AppData\Local\Temp\~!#5EB6.tmp (Trojan.Reza) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)




Danach noch einmal ein Komplettlauf:



Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.08.28.05

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Whattodo :: WHATTODO-PC [Administrator]

28.08.2012 16:55:41
mbam-log-2012-08-28 (16-55-41).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 422643
Laufzeit: 17 Minute(n), 29 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Users\Philipp\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\26\7e36c1a-348ae1be (Trojan.Agent.VGENX1) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)



Randnotiz: Firefox lässt sich nicht mehr starten.

Wie sollte ich vorgehen? Ist die Gefahr erstmal gebannt?
Was liest der Trojaner aus - der Rechner hing schließlich lange genug am Netz
Muss ich alle Passwörter ändern / Banking sperren? PC wird für all das genutzt.

Sind reine Daten kompromittiert? Externe Laufwerke etc.

Danke für kompetente Hilfe

Führ bitte auch ESET aus, danach sehen wir weiter.

Hinweis: ESET zeigt durchaus öfter ein paar Fehlalarme. Deswegen soll auch von ESET immer nur erst das Log gepostet und nichts entfernt werden.

ESET Online Scanner

Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.

• Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt so öffnen: per Rechtsklick => als Administrator ausführen
• Dein Anti-Virus-Programm während des Scans deaktivieren.
  
  Im als Administrator geöffneten Browser diesen Link aufrufen => ESET Online Scanner
  • Firefox-User:
    Bitte esetsmartinstaller_enu.exe downloaden.Das Firefox-Addon auf dem Desktop speichern und dann installieren.
  • IE-User:
    müssen das Installieren eines ActiveX Elements erlauben.
• Setze den einen Haken bei Yes, i accept the Terms of Use.
• Drücke den Button.
• Warte bis die Komponenten herunter geladen wurden.
• Setze einen Haken bei "Scan archives".
• Gehe sicher das bei Remove Found Threats kein Hacken gesetzt ist.
• drücken.
• Die Signaturen werden herunter geladen.Der Scan beginnt automatisch.

Wenn der Scan beendet wurde

• Klicke Finish.
• Browser schließen.

Drücke bitte die + R Taste und kopiere folgenden Text in das Ausführen Fenster.

Code: Alles auswählenAufklappen

ATTFilter

"%PROGRAMFILES%\Eset\Eset Online Scanner\log.txt"
         

Hinweis: Falls du ein 64-Bit-Windows einsetzt, lautet der Pfad so:

Code: Alles auswählenAufklappen

ATTFilter

"%PROGRAMFILES(X86)%\Eset\Eset Online Scanner\log.txt"
         

Poste nun den Inhalt der log.txt.


Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code: Alles auswählenAufklappen

ATTFilter

 hier steht das Log
         

Hey,

danke schön für die aufwändige Antwort.

Da ich den Rechner quasi täglich benötige, habe ich mich mittlerweile schon für eine komplette Neuinstallation von Windows entschlossen.

Allerdings hätte ich dazu zwei Fragen:

• Wie kann ich das Systemlaufwerk auf die gründlichste Art formatieren? Das Laufwerk ist eine SSD - ich habe gelesen, dass manche Viren eine Formatierung überleben und vor allem, dass die Formatierung einer SSD sich stark von der einer Festplatte unterscheidet. Reicht "Clean All" in disk part?
  
• Ich habe ein paar Daten von der Festplatte gesichert, heißt Fotos, Thunderbird Profil, Firefox bookmarks... Ist es möglich, dass auch Daten "befallen" sind? Reicht ein check mit Malwarebytes um sicher zu gehen?

Gruß


Edit: Ich hätte meinen alten Post zur besseren Lesbarkeit mit [code] editiert, aber das ist leider im Nachhinein nicht mehr möglich.

Edit 2:
Um meine Frage selbst zu beantworten: SSD-Löschen per HDDErase (hxxp://www.chip.de/downloads/HDDErase-Secure-Erase_45697035.html). Spricht den ATA Secure Erase im Controller an - Jede Zelle wird auf leer gesetzt.

Lies doch einfach mal den Artikel zur Neuinstallation komplett durch, dann erübrigen sich alle Fragen

Ob SSD oder normale Platte ist wurscht, lösche nach Möglichkeit alle Partitionen und erstell sie neu. Da man die SSD als Systemplatte mit Betriebssystem und Programmen idR nur verwendet, reicht eine Partition dicke aus. Als Datengrab werden ja wohl große Festplatten verwendet.

Und in reinen Datendateien sind mit ziemlicher keine Schädlinge, denn ein Schädling muss ausführbar sein.