Zero Acess ( Sirefef )

[DaCo.HaNjo]

Hallo !
Ich hab mir heut anscheinend dieses Rootkit Zero Acess eingefangen...
Und jetz weiß ich nicht mehr weiter wie ich den los werden kann
Dieses Tool von Bit Defender kann ich auch nicht benutzen da ich 64 Bit version von Windows 7 habe.
Weiß jemand was dieses Rootkit genau anrichtet und wie man es wieder los wird ?

Hoffe ihr könnt mir helfen

Mfg

 

[purzelbär]

Auf die Schnelle fällt mir als Anti Root Scanner das ein: http://www.malwarebytes.org/products/mbar/ ist zwar noch Beta dürfte aber stabil laufen. Ansonsten: wenn du ein Systembackup/image hättest, dieses einspielen.
Was das Rootkit anrichtet, kannst du zum Beispiel hier nachlesen: http://www.pc-magazin.de/news/gratis-tool-entfernt-rootkit-zeroaccess-1199982.html
Auch interessant was du dazu im Trojaner Board lesen kannst: http://www.trojaner-board.de/thema/rootkit.zeroaccess.html ganz ehrlich: wenn du kein sauberes Systembackup hast, ziehe in Erwägung deine Daten zu retten und dein System neu aufzusetzen mit Zero Acess Rootkit ist nicht zu spaßen.

 

[DaCo.HaNjo]

So hab jetzt MalewareBytes durchlaufen lassen dann neu gestartet und nochmal durchlaufen lassen .
Jetzt findet er nix mehr bin mir jetz aber noch nicht sicher ob ich noch neu aufsetzen soll ?!?

 

[green-e]

Solltest du. Und im Anschluss daran erstellst du dir ein sauberes Backup. Dann installierst du alle Programme und erstellst erneut ein Backup. Ab da in regelmäßigen Intervallen immer Backups erstellen. Und im Fall eines Befalls einfach schnell das saubere Backup wieder einspielen. Spart Arbeit, Zeit, Fragen und beseitigt darüber hinaus auch verbleibende Zweifel.

 

[purzelbär]

green-e, dem ist fast nichts mehr hinzuzufügen, ich würde das Gleiche empfehlen
@DaCo.HaNjo
Ein paar Software Tipps:
Für die Backups könntest du das nehmen: http://www.chip.de/downloads/Paragon-Backup-Recovery-2012-Free_32533759.html(Mit einer der ersten Schritte nach erfolgter Installation sollte sein eine Boot/Rettungs-CD zu brennen und diese zu beschriften damit du die gleich findest wenn ein Systembackup zurückgespielt werden muss/soll)
Zusätzlich zu deinem Virenschutz Programm(was verwendest du eigentlich?)kannst du Malwarebytes Free(nicht die 15 tägige Trial der Pro aktivieren!)installieren und das als 2. OnDemand Scanner lassen. Vorteil auch bei Malwarebytes: Wenn du an ein Fake Antivirus geraten solltest das dann ja ein Arbeiten unter Windows nicht mehr möglich macht und die normalen Virenschutz Programme blockt(die sind dann sozusagen unbrauchbar), kannst du mit Malwarebytes im Abgesicherten Modus dein System scannen.
Für die Aktualisierung deiner installierten Programme könntest du das nehmen: http://www.filehippo.com/de/updatechecker/

 

[DaCo.HaNjo]

ok dann installier ich mal neu .
Hab noch gelesen das man den MBR noch überschreiben sollte ? muss ich das auch noch machen wenn ich eh schon neu aufsetze?

 

[green-e]

Wenn du neu aufsetzt, dann wird doch automatisch formatiert.

 

[empaty]

Wenn du neu aufsetzt, dann wird doch automatisch formatiert.

Formatiert ja aber nicht das MBR neu beschrieben ,Anleitungen dazu findet man unter Google wie das geht.

@ DaCo.HaNjo entweder: bootrec.exe/FixMbr

oder: bootrec.exe/FixBoot

Das ganz unter der Eingabekonsole von Windows ausführen,via Windows CD/DVD ,je nachdem welches BS du da auch drauf hast von Windows ,kann es auch unterschiedlich sein von den Befehlen her ,deswegen Google dazu mal bemühen am besten.

Wenn du weißt wie es geht ist es auch ok .

Edit: Wenn man eine Festplatte formatiert werden Daten nur gelöscht, aber nicht überschrieben und man kann sie wiederherstellen ganz leicht,beim beschreiben vom MBR werden Daten mit Zufallszahlen überschrieben und sind dauerhaft verloren.

 

[Tigerass 2.0]

Hatte ich auch mal (absichtlich), ist nicht zu empfehlen den PC Nur zu Scannen (Obwohl ich eigentlich immer für sowas bin).
Bei x64 modifiziert der Glaube ich garnicht den Bootsektor sondern überschreibt nur einen Treiber und Fertigt ne zweite Kopie in einem Für dich nicht sichtbaren und zugreifbaren Ordner an, damit auch noch alles Funktioniert.

Wenn du Irgendein Linux auf CD/USB hast kannst du ja mal danach suchen. Die Dateien waren bei mir glaub im Papierkorb, also C:\Recycle{User-id} oder so in einem Ordner. Aber dass kann ja schon wieder anderst sein, bei mir hatte es da auch keine Adminrechte Gmer schafft es vll. die Speicherposition zu betimmen.

Da Sirefef andere Malware nachläd und (sehr gute) Rootkitkomponenten enthält, hab selbst ich mich nichtmehr ganz so sicher gefühlt Und Sirefef ist eine TOP Malware, die sich keine Fehler leistet, steht in der Liste der Topmalware gleich hinter TDL4 auf Platz zwei bei mir.

LG Tigerass