Trojan.gen/ Rootkit Zeroaccess
 

Liebe Leute,

bin neu hier, weil meinen PC ein Trojaner befallen hat und ich diesen nicht loswerde. Dieser Trojaner nannte sich "patched_c.LXT". Mit Hilfe von "Spyware Doctor" konnte ich mein System wieder so hinbekommen, dass ich wieder mit dem PC arbeiten kann, ohne dass sich lästige Verzögerungen ergeben.

Leider aber werde ich den Trojaner an sich nicht los, im Abstand von ca. 2 min. kommt immer wieder die Meldung, dass etwas böses gefunden wurde, und zwar mit den in der Übersicht genannten Bezeichnungen.

Hier mal ein Logfile, erstellt mit Hilfe von Malwarebytes, welches gleich beim Booten etwas entdeckt hat:

2012/08/19 13:30:55 +0200 BROICH-PC Broich MESSAGE Starting protection
2012/08/19 13:30:59 +0200 BROICH-PC Broich MESSAGE Protection started successfully
2012/08/19 13:31:02 +0200 BROICH-PC Broich MESSAGE Starting IP protection
2012/08/19 13:31:02 +0200 BROICH-PC Broich ERROR IP protection failed: FwpmEngineOpen0 failed with error code 1753
2012/08/19 13:31:18 +0200 BROICH-PC Broich MESSAGE Starting database refresh
2012/08/19 13:31:21 +0200 BROICH-PC Broich MESSAGE Database refreshed successfully
2012/08/19 13:31:30 +0200 BROICH-PC Broich MESSAGE Starting IP protection
2012/08/19 13:31:30 +0200 BROICH-PC Broich ERROR IP protection failed: FwpmEngineOpen0 failed with error code 1753
2012/08/19 13:31:46 +0200 BROICH-PC Broich DETECTION C:\Windows\Installer\{bedffdc6-9fa6-8328-f83d-033fca63164e}\U\80000032.@ Rootkit.0Access QUARANTINE
2012/08/19 13:34:53 +0200 BROICH-PC Broich DETECTION C:\Windows\Installer\{bedffdc6-9fa6-8328-f83d-033fca63164e}\U\80000032.@ Rootkit.0Access DENY
2012/08/19 13:35:44 +0200 BROICH-PC Broich DETECTION C:\Windows\Installer\{bedffdc6-9fa6-8328-f83d-033fca63164e}\U\80000032.@ Rootkit.0Access DENY
2012/08/19 13:35:54 +0200 BROICH-PC Broich DETECTION C:\Windows\Installer\{bedffdc6-9fa6-8328-f83d-033fca63164e}\U\80000032.@ Rootkit.0Access ALLOW
2012/08/19 21:22:47 +0200 BROICH-PC Broich MESSAGE Executing scheduled update: Daily
2012/08/19 21:22:54 +0200 BROICH-PC Broich MESSAGE Scheduled update executed successfully: database updated from version v2012.08.19.03 to version v2012.08.19.06
2012/08/19 21:23:03 +0200 BROICH-PC Broich MESSAGE Starting protection
2012/08/19 21:23:07 +0200 BROICH-PC Broich MESSAGE Protection started successfully
2012/08/19 21:23:10 +0200 BROICH-PC Broich MESSAGE Starting IP protection
2012/08/19 21:23:10 +0200 BROICH-PC Broich ERROR IP protection failed: FwpmEngineOpen0 failed with error code 1753
2012/08/19 21:23:10 +0200 BROICH-PC Broich MESSAGE Starting database refresh
2012/08/19 21:23:13 +0200 BROICH-PC Broich MESSAGE Database refreshed successfully
2012/08/19 21:24:05 +0200 BROICH-PC Broich DETECTION C:\Windows\Installer\{bedffdc6-9fa6-8328-f83d-033fca63164e}\U\80000032.@ Rootkit.0Access QUARANTINE
2012/08/19 21:24:05 +0200 BROICH-PC Broich DETECTION C:\Windows\Installer\{bedffdc6-9fa6-8328-f83d-033fca63164e}\U\80000032.@ Rootkit.0Access DENY
2012/08/19 21:24:26 +0200 BROICH-PC Broich DETECTION c:\windows\installer\{bedffdc6-9fa6-8328-f83d-033fca63164e}\u\80000032.@ Rootkit.0Access DENY
2012/08/19 21:25:36 +0200 BROICH-PC Broich DETECTION C:\Windows\Installer\{bedffdc6-9fa6-8328-f83d-033fca63164e}\U\80000032.@ Rootkit.0Access DENY
2012/08/19 21:26:09 +0200 BROICH-PC Broich DETECTION C:\Windows\Installer\{bedffdc6-9fa6-8328-f83d-033fca63164e}\U\80000032.@ Rootkit.0Access DENY
2012/08/19 21:26:14 +0200 BROICH-PC Broich DETECTION C:\Windows\Installer\{bedffdc6-9fa6-8328-f83d-033fca63164e}\U\80000032.@ Rootkit.0Access DENY
2012/08/19 21:27:28 +0200 BROICH-PC Broich DETECTION C:\Windows\Installer\{bedffdc6-9fa6-8328-f83d-033fca63164e}\U\80000032.@ Rootkit.0Access DENY
2012/08/19 21:27:36 +0200 BROICH-PC Broich DETECTION C:\Windows\Installer\{bedffdc6-9fa6-8328-f83d-033fca63164e}\U\80000032.@ Rootkit.0Access DENY
2012/08/19 21:28:40 +0200 BROICH-PC Broich DETECTION C:\Windows\Installer\{bedffdc6-9fa6-8328-f83d-033fca63164e}\U\80000032.@ Rootkit.0Access DENY
2012/08/19 21:29:48 +0200 BROICH-PC Broich DETECTION C:\Windows\Installer\{bedffdc6-9fa6-8328-f83d-033fca63164e}\U\80000032.@ Rootkit.0Access DENY
2012/08/19 21:31:08 +0200 BROICH-PC Broich DETECTION C:\Windows\Installer\{bedffdc6-9fa6-8328-f83d-033fca63164e}\U\80000032.@ Rootkit.0Access DENY
2012/08/19 21:32:18 +0200 BROICH-PC Broich DETECTION C:\Windows\Installer\{bedffdc6-9fa6-8328-f83d-033fca63164e}\U\80000032.@ Rootkit.0Access DENY
2012/08/19 21:33:28 +0200 BROICH-PC Broich DETECTION C:\Windows\Installer\{bedffdc6-9fa6-8328-f83d-033fca63164e}\U\80000032.@ Rootkit.0Access DENY
2012/08/19 21:33:37 +0200 BROICH-PC Broich DETECTION C:\Windows\Installer\{bedffdc6-9fa6-8328-f83d-033fca63164e}\U\80000032.@ Rootkit.0Access DENY
2012/08/19 21:33:39 +0200 BROICH-PC Broich DETECTION C:\Windows\Installer\{bedffdc6-9fa6-8328-f83d-033fca63164e}\U\80000032.@ Rootkit.0Access DENY
2012/08/19 21:33:45 +0200 BROICH-PC Broich DETECTION C:\Windows\Installer\{bedffdc6-9fa6-8328-f83d-033fca63164e}\U\80000032.@ Rootkit.0Access DENY
2012/08/19 21:34:30 +0200 BROICH-PC Broich DETECTION C:\Windows\Installer\{bedffdc6-9fa6-8328-f83d-033fca63164e}\U\80000032.@ Rootkit.0Access DENY
2012/08/19 21:35:40 +0200 BROICH-PC Broich DETECTION C:\Windows\Installer\{bedffdc6-9fa6-8328-f83d-033fca63164e}\U\80000032.@ Rootkit.0Access DENY
2012/08/19 21:36:03 +0200 BROICH-PC Broich DETECTION C:\Windows\Installer\{bedffdc6-9fa6-8328-f83d-033fca63164e}\U\80000032.@ Rootkit.0Access DENY
2012/08/19 21:36:43 +0200 BROICH-PC Broich DETECTION C:\Windows\Installer\{bedffdc6-9fa6-8328-f83d-033fca63164e}\U\80000032.@ Rootkit.0Access DENY
2012/08/19 21:37:48 +0200 BROICH-PC Broich DETECTION C:\Windows\Installer\{bedffdc6-9fa6-8328-f83d-033fca63164e}\U\80000032.@ Rootkit.0Access DENY
2012/08/19 21:38:53 +0200 BROICH-PC Broich DETECTION C:\Windows\Installer\{bedffdc6-9fa6-8328-f83d-033fca63164e}\U\80000032.@ Rootkit.0Access DENY
2012/08/19 21:39:41 +0200 BROICH-PC Broich DETECTION C:\Windows\Installer\{bedffdc6-9fa6-8328-f83d-033fca63164e}\U\80000032.@ Rootkit.0Access DENY

Ich habe den Eindruck, dass sich etwas in die Boot- Dateien von Windows eingeschlichen hat. Vielleicht könnt Ihr mit Hilfe dieses Logfiles schon etwas sagen.

Ansonsten würde ich morgen Abend noch mal einen kompletten Scan machen lassen und das Logfile dann noch mal posten.

Danke Euch für jedengut gemeinten Rat.

Grüße aus Köln,

Martin

Nutzt es etwas, Windows 7 mal im abgesicherten Modus zu starten und dann hier den Scanner drüber laufen zu lassen?

Hätte ich vielleicht noch erwähnen sollen: Ich benutze Windows 7 64 bit.

Aber da sich bisher keiner gerührt hat, wird das wohl nichts mehr werden.

Habe alle Daten gesichert und werde wohl Windows neu aufspielen.

Martin

Mache ich irgendwas falsch oder warum bekomme ich keinerlei Reaktion. Schade.

:hallo:

1. Schritt

Bitte einen Vollscan mit Malwarebytes Anti-Malware machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Malwarebytes Anti-Malware
- Anwendbar auf Windows 2000, XP, Vista und 7.
- Installiere das Programm in den vorgegebenen Pfad.
- Aktualisiere die Datenbank!
- Aktiviere "Komplett Scan durchführen" => Scan.
- Wähle alle verfügbaren Laufwerke (ausser CD/DVD) aus und starte den Scan.
- Funde bitte löschen lassen oder in Quarantäne.
- Wenn der Scan beendet ist, klicke auf "Zeige Resultate".

Danke T'John,

mittlerweile hat sich das Thema erledigt, da ich die Nase voll hatte und Windows vollständig neu aufgespielt habe (incl. Formatierung der Festplatte).

Alles läuft wieder super schnell und stabil.

Danke Dir trotzdem.

Gruß,
Martin

Bei einem Rootkit die beste Entscheidung! :)


Lektuere zum abarbeiten:
http://www.trojaner-board.de/90880-d...tallation.html
http://www.trojaner-board.de/105213-...tellungen.html
PluginCheck
http://www.trojaner-board.de/96344-a...-rechners.html
Secunia Online Software Inspector
http://www.trojaner-board.de/71715-k...iendungen.html
http://www.trojaner-board.de/83238-a...sschalten.html
PC wird immer langsamer - was tun?