| |
| |||||||
Log-Analyse und Auswertung: Trojaner TR/ATRAPS.Gen2 und TR/ATRAPS.Gen und W32/Patched.UAWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
28.06.2012, 08:05
| #1 |
 |  Trojaner TR/ATRAPS.Gen2 und TR/ATRAPS.Gen und W32/Patched.UA Hallo, ich hoffe Ihr könnt mir helfen. Mein Antivir sowie den gestern Abend runtergeladenen Malwarebytes haben folgende Trojaner gefunden die sich nicht löschen lassen. W32/Patched.UA TR/ATRAPS.Gen und TR/ATRAPS.Gen2 TR/Small.FI Ich habe das Gefühl es kommen immer mehr dazu.  Code:
ATTFilter Avira Free Antivirus
Erstellungsdatum der Reportdatei: Donnerstag, 28. Juni 2012 06:42
Es wird nach 3874206 Virenstämmen gesucht.
Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.
Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 7 Professional
Windowsversion : (Service Pack 1) [6.1.7601]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Versionsinformationen:
BUILD.DAT : 12.0.0.1125 41829 Bytes 02.05.2012 16:34:00
AVSCAN.EXE : 12.3.0.15 466896 Bytes 10.05.2012 06:01:59
AVSCAN.DLL : 12.3.0.15 66256 Bytes 10.05.2012 06:01:59
LUKE.DLL : 12.3.0.15 68304 Bytes 10.05.2012 06:01:59
AVSCPLR.DLL : 12.3.0.14 97032 Bytes 10.05.2012 06:01:59
AVREG.DLL : 12.3.0.17 232200 Bytes 11.05.2012 06:01:07
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 18:18:34
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 23:31:49
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 21:51:04
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 17:57:37
VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 06:52:49
VBASE005.VDF : 7.11.29.136 2166272 Bytes 10.05.2012 06:01:04
VBASE006.VDF : 7.11.29.137 2048 Bytes 10.05.2012 06:01:04
VBASE007.VDF : 7.11.29.138 2048 Bytes 10.05.2012 06:01:04
VBASE008.VDF : 7.11.29.139 2048 Bytes 10.05.2012 06:01:04
VBASE009.VDF : 7.11.29.140 2048 Bytes 10.05.2012 06:01:04
VBASE010.VDF : 7.11.29.141 2048 Bytes 10.05.2012 06:01:04
VBASE011.VDF : 7.11.29.142 2048 Bytes 10.05.2012 06:01:04
VBASE012.VDF : 7.11.29.143 2048 Bytes 10.05.2012 06:01:04
VBASE013.VDF : 7.11.29.144 2048 Bytes 10.05.2012 06:01:04
VBASE014.VDF : 7.11.30.3 198144 Bytes 14.05.2012 18:34:10
VBASE015.VDF : 7.11.30.69 186368 Bytes 17.05.2012 16:21:28
VBASE016.VDF : 7.11.30.143 223744 Bytes 21.05.2012 14:49:34
VBASE017.VDF : 7.11.30.207 287744 Bytes 23.05.2012 14:49:41
VBASE018.VDF : 7.11.31.57 188416 Bytes 28.05.2012 04:57:49
VBASE019.VDF : 7.11.31.111 214528 Bytes 30.05.2012 19:58:49
VBASE020.VDF : 7.11.31.151 116736 Bytes 31.05.2012 19:59:02
VBASE021.VDF : 7.11.31.205 134144 Bytes 03.06.2012 17:38:28
VBASE022.VDF : 7.11.32.9 169472 Bytes 05.06.2012 06:43:56
VBASE023.VDF : 7.11.32.85 155648 Bytes 08.06.2012 19:17:36
VBASE024.VDF : 7.11.32.133 127488 Bytes 11.06.2012 19:44:04
VBASE025.VDF : 7.11.32.171 182784 Bytes 12.06.2012 19:44:04
VBASE026.VDF : 7.11.32.251 119296 Bytes 14.06.2012 12:43:07
VBASE027.VDF : 7.11.33.83 159232 Bytes 18.06.2012 15:11:46
VBASE028.VDF : 7.11.33.195 200192 Bytes 22.06.2012 17:26:43
VBASE029.VDF : 7.11.33.196 2048 Bytes 22.06.2012 17:26:43
VBASE030.VDF : 7.11.33.197 2048 Bytes 22.06.2012 17:26:43
VBASE031.VDF : 7.11.34.48 177152 Bytes 27.06.2012 12:40:31
Engineversion : 8.2.10.96
AEVDF.DLL : 8.1.2.8 106867 Bytes 03.06.2012 09:24:26
AESCRIPT.DLL : 8.1.4.28 455035 Bytes 21.06.2012 17:31:25
AESCN.DLL : 8.1.8.2 131444 Bytes 29.01.2012 11:08:02
AESBX.DLL : 8.2.5.12 606578 Bytes 15.06.2012 12:43:31
AERDL.DLL : 8.1.9.15 639348 Bytes 14.12.2011 23:31:02
AEPACK.DLL : 8.2.16.22 807288 Bytes 21.06.2012 17:31:18
AEOFFICE.DLL : 8.1.2.38 201083 Bytes 21.06.2012 17:31:02
AEHEUR.DLL : 8.1.4.52 4923767 Bytes 21.06.2012 17:31:00
AEHELP.DLL : 8.1.21.0 254326 Bytes 11.05.2012 06:01:05
AEGEN.DLL : 8.1.5.30 422261 Bytes 15.06.2012 12:43:09
AEEXP.DLL : 8.1.0.54 82293 Bytes 21.06.2012 17:31:26
AEEMU.DLL : 8.1.3.0 393589 Bytes 14.12.2011 23:30:58
AECORE.DLL : 8.1.25.10 201080 Bytes 31.05.2012 19:59:08
AEBB.DLL : 8.1.1.0 53618 Bytes 14.12.2011 23:30:58
AVWINLL.DLL : 12.3.0.15 27344 Bytes 10.05.2012 06:01:59
AVPREF.DLL : 12.3.0.15 51920 Bytes 10.05.2012 06:01:59
AVREP.DLL : 12.3.0.15 179208 Bytes 10.05.2012 06:01:59
AVARKT.DLL : 12.3.0.15 211408 Bytes 10.05.2012 06:01:59
AVEVTLOG.DLL : 12.3.0.15 169168 Bytes 10.05.2012 06:01:59
SQLITE3.DLL : 3.7.0.1 398288 Bytes 10.05.2012 06:01:59
AVSMTP.DLL : 12.3.0.15 63440 Bytes 10.05.2012 06:01:59
NETNT.DLL : 12.3.0.15 17104 Bytes 10.05.2012 06:01:59
RCIMAGE.DLL : 12.3.0.15 4447952 Bytes 10.05.2012 06:01:59
RCTEXT.DLL : 12.3.0.15 98512 Bytes 10.05.2012 06:01:59
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\program files (x86)\avira\antivir desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert
Beginn des Suchlaufs: Donnerstag, 28. Juni 2012 06:42
Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf nach versteckten Objekten wird begonnen.
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '79' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '77' Modul(e) wurden durchsucht
Durchsuche Prozess 'VCService.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'BTPlayerCtrl.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'tgbike.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'distnoted.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamgui.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'BCHelper.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '77' Modul(e) wurden durchsucht
Durchsuche Prozess 'FUFAXSTM.exe' - '90' Modul(e) wurden durchsucht
Durchsuche Prozess 'FUFAXRCV.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'APSDaemon.exe' - '77' Modul(e) wurden durchsucht
Durchsuche Prozess 'ISBMgr.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'IAStorIcon.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'mediasrv.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'iCloudServices.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'BookmarkDAV_client.exe' - '102' Modul(e) wurden durchsucht
Durchsuche Prozess 'ubd.exe' - '101' Modul(e) wurden durchsucht
Durchsuche Prozess 'ApplePhotoStreams.exe' - '94' Modul(e) wurden durchsucht
Durchsuche Prozess 'vpnconf.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'listener.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'UNS.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamservice.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'LMS.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'IAStorDataMgrSvc.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'PhotoshopElementsFileAgent.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'DllHost.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'DllHost.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'VESMgrSub.exe' - '77' Modul(e) wurden durchsucht
Durchsuche Prozess 'obexsrv.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'VESMgrSub.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'VESMgr.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'TgbStarter.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'c2c_service.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'devmonsrv.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'SeaPort.EXE' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'eEBSVC.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '41' Modul(e) wurden durchsucht
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1448' Dateien ).
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\'
C:\Program Files\WinRAR\rarnew.dat
[WARNUNG] Das Archiv ist unbekannt oder defekt
C:\Windows\Installer\{6793b06c-5bcd-98d6-7adb-eb943470493a}\U\00000001.@
[FUND] Ist das Trojanische Pferd TR/Small.FI
C:\Windows\Installer\{6793b06c-5bcd-98d6-7adb-eb943470493a}\U\80000000.@
[FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen
C:\Windows\Installer\{6793b06c-5bcd-98d6-7adb-eb943470493a}\U\800000cb.@
[FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen2
C:\Windows\System32\services.exe
[FUND] Enthält Erkennungsmuster des Windows-Virus W32/Patched.UA
Beginne mit der Desinfektion:
C:\Windows\System32\services.exe
[FUND] Enthält Erkennungsmuster des Windows-Virus W32/Patched.UA
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 56055659.qua erstellt ( QUARANTÄNE )
C:\Windows\Installer\{6793b06c-5bcd-98d6-7adb-eb943470493a}\U\800000cb.@
[FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen2
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ed47a29.qua' verschoben!
C:\Windows\Installer\{6793b06c-5bcd-98d6-7adb-eb943470493a}\U\80000000.@
[FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '1c8b20c1.qua' verschoben!
C:\Windows\Installer\{6793b06c-5bcd-98d6-7adb-eb943470493a}\U\00000001.@
[FUND] Ist das Trojanische Pferd TR/Small.FI
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '7abc6f03.qua' verschoben!
Ende des Suchlaufs: Donnerstag, 28. Juni 2012 08:12
Benötigte Zeit: 1:25:08 Stunde(n)
Der Suchlauf wurde vollständig durchgeführt.
32338 Verzeichnisse wurden überprüft
643640 Dateien wurden geprüft
4 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
4 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
643636 Dateien ohne Befall
4667 Archive wurden durchsucht
1 Warnungen
4 Hinweise
758621 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden
Code:
ATTFilter Malwarebytes Anti-Malware (Test) 1.61.0.1400 www.malwarebytes.org Datenbank Version: v2012.06.27.10 Windows 7 Service Pack 1 x64 NTFS Internet Explorer 9.0.8112.16421 Claudia :: CLAUDIA-VAIO [Administrator] Schutz: Aktiviert 27.06.2012 22:57:57 mbam-log-2012-06-27 (22-57-57).txt Art des Suchlaufs: Vollständiger Suchlauf Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 387600 Laufzeit: 1 Stunde(n), 25 Minute(n), 57 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 1 C:\Users\Claudia\AppData\Local\TempDIR\BetterInstaller.exe (PUP.BundleInstaller.Somoto) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) Was kann ich tun? Habe eben noch einen ESET Online Scan gemacht, hier das Ergebnis: Code:
ATTFilter C:\Program Files (x86)\WinMaximizer\WinMaximizer.exe a variant of Win32/SlowPCfighter application
C:\Windows\Installer\{6793b06c-5bcd-98d6-7adb-eb943470493a}\U\00000001.@ Win64/Sirefef.AI trojan
C:\Windows\Installer\{6793b06c-5bcd-98d6-7adb-eb943470493a}\U\80000000.@ Win64/Sirefef.AE trojan
Geändert von Elenan (28.06.2012 um 08:57 Uhr) |
| Themen zu Trojaner TR/ATRAPS.Gen2 und TR/ATRAPS.Gen und W32/Patched.UA |
| abend, anhang, antivir, dateien, dateisystem, dllhost.exe, folge, folgende, gefunde, gestern, heuristiks/extra, heuristiks/shuriken, hoffe, log, löschen, malwarebytes, nicht löschen, nt.dll, pup.bundleinstaller.somoto, rojaner gefunden, tr/atraps.gen, tr/atraps.gen2, troja, trojaner, trojaner gefunden, trojaner tr/atraps.gen, trojaner tr/atraps.gen2, verweise, w32/patched.ua |
Baum-Darstellung