Hallo,

ich habe mir gestern den Trojaner "TR/ATRAPS.Gen2" eingefangen,

Avira Free findet seit dem alle 5-10 min die infizierte Datei kann sie aber weder löschen noch in Quarantäne verschieben.
Manchmal findet er auch "TR/ATRAPS.Gen"

Das Problem scheint ja sehr aktuell zu sein, ich wollte aber trotzdem mein Problem seperat posten, da ich nicht weiss, ob sich der Trojaner immer gleich behandeln lässt.

Malewarebytes spuckt das hier beim Schnelltest aus:

Malwarebytes Anti-Malware (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.06.23.03

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Ben :: BEN-PC [Administrator]

Schutz: Aktiviert

23.06.2012 13:43:03
mbam-log-2012-06-23 (13-43-03).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 222412
Laufzeit: 2 Minute(n), 9 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Windows\Installer\{648dbb3c-5fe5-a883-d538-3f2367e220bf}\U\00000008.@ (Trojan.Dropper.BCMiner) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Von wegen erfolgreich gelöscht, nach dem erforderlichen neustart und einem weiteren scan, findet er die selbe Datei wieder.

Ich habe jetzt "Defrogger" geladen udn Disable gedrückt - war erfolgreich

Im moment läuft der OTL - Quickscan

im Anhang ist die OTL.exe, die er mir ausgespuckt hat.

Bitte helft mir,
Danke im Vorraus
Affegiraffe

Hallo nochmals,

hier habe ich noch das logfile von aswMBR und von tdsskiller.

Inzwischen hat Avira auch eine Datei namens W32/Patched.UA entdeckt.
Diese befindet sich in C:/Windows/System32/services.exe
wurde aber scheinbar erfolgreich in die Quarantäne verschoben, da tdsskiller keine befallenen Dateien meldet. (Logfile im Anhang, da zu lang und auch noch gezipped, da sonst zu groß)


Hier das Logfile von aswMBR

Code: Alles auswählenAufklappen

ATTFilter

aswMBR version 0.9.9.1665 Copyright(c) 2011 AVAST Software
Run date: 2012-06-23 13:59:42
-----------------------------
13:59:42.730    OS Version: Windows x64 6.1.7601 Service Pack 1
13:59:42.730    Number of processors: 4 586 0xF0B
13:59:42.731    ComputerName: BEN-PC  UserName: Ben
13:59:43.583    Initialize success
14:00:40.127    AVAST engine defs: 12062300
14:01:51.780    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1
14:01:51.782    Disk 0 Vendor: Intel___ 1.0. Size: 1220956MB BusType: 8
14:01:51.801    Disk 0 MBR read successfully
14:01:51.803    Disk 0 MBR scan
14:01:51.808    Disk 0 Windows 7 default MBR code
14:01:51.813    Disk 0 Partition 1 80 (A) 07    HPFS/NTFS NTFS          100 MB offset 2048
14:01:51.826    Disk 0 Partition 2 00     07    HPFS/NTFS NTFS       149900 MB offset 206848
14:01:51.840    Disk 0 Partition 3 00     07    HPFS/NTFS NTFS      1070954 MB offset 307202048
14:01:51.858    Disk 0 scanning C:\Windows\system32\drivers
14:02:00.050    Service scanning
14:02:17.328    Modules scanning
14:02:17.338    Disk 0 trace - called modules:
14:02:17.351    ntoskrnl.exe CLASSPNP.SYS disk.sys iaStorV.sys hal.dll 
14:02:17.586    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa80055e7060]
14:02:17.591    3 CLASSPNP.SYS[fffff88001bbf43f] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-1[0xfffffa8004f7e050]
14:02:19.480    AVAST engine scan C:\Windows
14:02:20.657    AVAST engine scan C:\Windows\system32
14:05:08.859    AVAST engine scan C:\Windows\system32\drivers
14:05:19.058    AVAST engine scan C:\Users\Ben
14:16:36.149    AVAST engine scan C:\ProgramData
14:18:56.576    Scan finished successfully
14:29:32.577    Disk 0 MBR has been saved successfully to "C:\Users\Ben\Desktop\MBR.dat"
14:29:32.620    The log file has been saved successfully to "C:\Users\Ben\Desktop\aswMBR.txt"
         

Ich bin sehr beunruhigt, obwohl ich nichts Auffälliges beim Arbeiten entdecke...
Trotzdem hätte ich die ungebetenen Gäste gerne schnellst möglich rausgeschmissen .

Danke,
Affegiraffe

Hallo,

Ich hoffe es war keine dumme Idee, aber ich hab die befallenen Daten
(welche alle samt in C: windows installer ...) waren händisch gelöscht.

Hier der mbam log davor:

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.06.23.03

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Ben :: BEN-PC [Administrator]

Schutz: Aktiviert

23.06.2012 16:03:55
mbam-log-2012-06-23 (16-03-55).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 222556
Laufzeit: 1 Minute(n), 57 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 3
C:\Users\Ben\Desktop\SoftonicDownloader_fuer_windows-installer-clean-up.exe (PUP.ToolbarDownloader) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Ben\Downloads\SoftonicDownloader_fuer_windows-installer-clean-up.exe (PUP.ToolbarDownloader) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Windows\Installer\{648dbb3c-5fe5-a883-d538-3f2367e220bf}\U\00000008.@ (Trojan.Dropper.BCMiner) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         

Hier der mbam log danach:

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.06.23.03

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Ben :: BEN-PC [Administrator]

Schutz: Aktiviert

23.06.2012 16:11:48
mbam-log-2012-06-23 (16-11-48).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 222099
Laufzeit: 2 Minute(n), 20 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         

Auf den ersten blick scheint alles perfekt zu funktionieren, und Avira ist auch ruhig, nur die Firewalls kann ich nicht wieder aktivieren.
Also ist irgendwas immernoch kaputt