Trojaner Backdoor.Win32.ZAccess.ob
 

Liebe Gemeinde,

ein Freund hat einige Dateien verloren. Ich wollte ihm eine Datenrettung machen. Eine in Frage kommende Software verlangt eine Serial-Nr. Bei der Suche bin ich auf eine Webseite gestossen. Diese Dummheit werde ich nie mehr tun. Leider zu spät, und zwar eine von dort runtergeladene Datei macht meinen PC (WinXP) lahm. :heulen:


Symptome:

1. Der Computer gibt Vollgas. 80% der Resourcen sind hin, u.a. sog. SentinelKeysServer;

2. Netzverbindung defekt;

3. Kapersky 6.0 identifiziert zwar die Datei C:\WINDOWS\2223822396 als Trojaner, sog. "Backdoor.Win32.ZAcceess.ob". Diese Datei ist 0KB gross und lässt sich auch löschen. Aber nach dem Neustart ist sie wieder da;

4. Im Register wird ein Eintrag erzeugt: HKLM\System\CurrentControlSet\Services\3cd68c84
:"ImagePath" = "\systemroot\2223822396:3274273659.exe"
:"Start"=3
:"Typ"=1
Nachdem ich ihn manuell gelöscht habe, sitzt er nach Neustart wieder drin fest.

5. Jeder Neustart ist wesentlich langsamer geworden.

Könnt Ihr mir helfen, irgengwie hinzukriegen?

Die LogFiles siehe Anhang.

Besten Dank im voraus.

jan

Du kannst in dem Falle den Rechner besser wieder neu aufsetzen, da dieses Rootkit den Rechner ganz schoen verbiegt und eine menge an Malware nachlaedt. Selbst Combofix schafft nicht alles in den Orginalzustand zurueckzusetzen, es bleiben mehrere "Nebeninfektionen" uebrig, Es setzt auch nicht die Zugriffssteuerung, die die Malware ebenfalls ordentlich verbiegt nicht zurueck.