hallo an die eifrigen mods hier, vielen dank für eure arbeit hier!
kurz meine Erfahrung mit dem TR/ATRAPS.gen2, der auf dem laptop meiner freundin
-HP G61, Win 7 64bit-
in "users\ela\appdata\local\{3d6ba8e4-b928-e18f-0a08-5a9ef1034367}\n" gefunden wurde:

nachdem der fund durch avira in die quarantäne verschoben wurde, kam in den nächsten stunden danach keine weitere meldung von avira darüber. nach einem darauffolgenden scan im abgesicherten modus hat avira 8 java exploits gefunden.

Code: Alles auswählenAufklappen

ATTFilter

Avira Free Antivirus
Erstellungsdatum der Reportdatei: Dienstag, 3. Juli 2012  12:13

Es wird nach 3825035 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira AntiVir Personal - Free Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows 7 Home Premium
Windowsversion : (Service Pack 1)  [6.1.7601]
Boot Modus     : Abgesicherter Modus
Benutzername   : Ela
Computername   : TUTTUGU

Versionsinformationen:
BUILD.DAT      : 12.0.0.1125    41829 Bytes  02.05.2012 16:34:00
AVSCAN.EXE     : 12.3.0.15     466896 Bytes  01.05.2012 22:48:48
AVSCAN.DLL     : 12.3.0.15      66256 Bytes  02.05.2012 00:02:50
LUKE.DLL       : 12.3.0.15      68304 Bytes  01.05.2012 23:31:47
AVSCPLR.DLL    : 12.3.0.14      97032 Bytes  01.05.2012 22:13:36
AVREG.DLL      : 12.3.0.17     232200 Bytes  11.05.2012 06:12:30
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 18:18:34
VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 23:22:12
VBASE002.VDF   : 7.11.19.170 14374912 Bytes  20.12.2011 23:31:36
VBASE003.VDF   : 7.11.21.238  4472832 Bytes  01.02.2012 09:58:50
VBASE004.VDF   : 7.11.26.44   4329472 Bytes  28.03.2012 10:43:53
VBASE005.VDF   : 7.11.34.116  4034048 Bytes  29.06.2012 21:48:22
VBASE006.VDF   : 7.11.34.117     2048 Bytes  29.06.2012 21:48:22
VBASE007.VDF   : 7.11.34.118     2048 Bytes  29.06.2012 21:48:22
VBASE008.VDF   : 7.11.34.119     2048 Bytes  29.06.2012 21:48:22
VBASE009.VDF   : 7.11.34.120     2048 Bytes  29.06.2012 21:48:22
VBASE010.VDF   : 7.11.34.121     2048 Bytes  29.06.2012 21:48:22
VBASE011.VDF   : 7.11.34.122     2048 Bytes  29.06.2012 21:48:23
VBASE012.VDF   : 7.11.34.123     2048 Bytes  29.06.2012 21:48:23
VBASE013.VDF   : 7.11.34.124     2048 Bytes  29.06.2012 21:48:23
VBASE014.VDF   : 7.11.34.125     2048 Bytes  29.06.2012 21:48:23
VBASE015.VDF   : 7.11.34.126     2048 Bytes  29.06.2012 21:48:23
VBASE016.VDF   : 7.11.34.127     2048 Bytes  29.06.2012 21:48:23
VBASE017.VDF   : 7.11.34.128     2048 Bytes  29.06.2012 21:48:23
VBASE018.VDF   : 7.11.34.129     2048 Bytes  29.06.2012 21:48:23
VBASE019.VDF   : 7.11.34.130     2048 Bytes  29.06.2012 21:48:23
VBASE020.VDF   : 7.11.34.131     2048 Bytes  29.06.2012 21:48:23
VBASE021.VDF   : 7.11.34.132     2048 Bytes  29.06.2012 21:48:23
VBASE022.VDF   : 7.11.34.133     2048 Bytes  29.06.2012 21:48:23
VBASE023.VDF   : 7.11.34.134     2048 Bytes  29.06.2012 21:48:23
VBASE024.VDF   : 7.11.34.135     2048 Bytes  29.06.2012 21:48:23
VBASE025.VDF   : 7.11.34.136     2048 Bytes  29.06.2012 21:48:23
VBASE026.VDF   : 7.11.34.137     2048 Bytes  29.06.2012 21:48:23
VBASE027.VDF   : 7.11.34.138     2048 Bytes  29.06.2012 21:48:23
VBASE028.VDF   : 7.11.34.139     2048 Bytes  29.06.2012 21:48:23
VBASE029.VDF   : 7.11.34.140     2048 Bytes  29.06.2012 21:48:23
VBASE030.VDF   : 7.11.34.141     2048 Bytes  29.06.2012 21:48:23
VBASE031.VDF   : 7.11.34.186   143872 Bytes  02.07.2012 13:45:37
Engineversion  : 8.2.10.102
AEVDF.DLL      : 8.1.2.8       106867 Bytes  02.06.2012 20:48:47
AESCRIPT.DLL   : 8.1.4.28      455035 Bytes  22.06.2012 09:14:32
AESCN.DLL      : 8.1.8.2       131444 Bytes  16.02.2012 16:11:36
AESBX.DLL      : 8.2.5.12      606578 Bytes  15.06.2012 07:47:47
AERDL.DLL      : 8.1.9.15      639348 Bytes  20.01.2012 23:21:32
AEPACK.DLL     : 8.2.16.22     807288 Bytes  22.06.2012 09:14:32
AEOFFICE.DLL   : 8.1.2.40      201082 Bytes  29.06.2012 21:48:28
AEHEUR.DLL     : 8.1.4.58     4993399 Bytes  29.06.2012 21:48:28
AEHELP.DLL     : 8.1.23.2      258422 Bytes  29.06.2012 21:48:24
AEGEN.DLL      : 8.1.5.30      422261 Bytes  15.06.2012 07:47:42
AEEXP.DLL      : 8.1.0.58       82292 Bytes  29.06.2012 21:48:28
AEEMU.DLL      : 8.1.3.0       393589 Bytes  20.01.2012 23:21:29
AECORE.DLL     : 8.1.25.10     201080 Bytes  31.05.2012 18:06:18
AEBB.DLL       : 8.1.1.0        53618 Bytes  20.01.2012 23:21:28
AVWINLL.DLL    : 12.3.0.15      27344 Bytes  01.05.2012 22:59:21
AVPREF.DLL     : 12.3.0.15      51920 Bytes  01.05.2012 22:44:31
AVREP.DLL      : 12.3.0.15     179208 Bytes  01.05.2012 22:13:35
AVARKT.DLL     : 12.3.0.15     211408 Bytes  01.05.2012 22:21:32
AVEVTLOG.DLL   : 12.3.0.15     169168 Bytes  01.05.2012 22:28:49
SQLITE3.DLL    : 3.7.0.1       398288 Bytes  16.04.2012 21:11:02
AVSMTP.DLL     : 12.3.0.15      63440 Bytes  01.05.2012 22:51:35
NETNT.DLL      : 12.3.0.15      17104 Bytes  01.05.2012 23:33:29
RCIMAGE.DLL    : 12.3.0.15    4447952 Bytes  02.05.2012 00:03:51
RCTEXT.DLL     : 12.3.0.15      98512 Bytes  02.05.2012 00:03:51

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\Program Files (x86)\Avira\AntiVir Desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, F:, 
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: ein
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Dienstag, 3. Juli 2012  12:13

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'F:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf nach versteckten Objekten wird begonnen.
Der Treiber konnte nicht initialisiert werden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '106' Modul(e) wurden durchsucht

Untersuchung der Systemdateien wird begonnen:
Signiert -> 'C:\Windows\system32\svchost.exe'
Signiert -> 'C:\Windows\system32\winlogon.exe'
Signiert -> 'C:\Windows\explorer.exe'
Signiert -> 'C:\Windows\system32\smss.exe'
Signiert -> 'C:\Windows\system32\wininet.DLL'
Signiert -> 'C:\Windows\system32\wsock32.DLL'
Signiert -> 'C:\Windows\system32\ws2_32.DLL'
Signiert -> 'C:\Windows\system32\services.exe'
Signiert -> 'C:\Windows\system32\lsass.exe'
Signiert -> 'C:\Windows\system32\csrss.exe'
Signiert -> 'C:\Windows\system32\drivers\kbdclass.sys'
Signiert -> 'C:\Windows\system32\spoolsv.exe'
Signiert -> 'C:\Windows\system32\alg.exe'
Signiert -> 'C:\Windows\system32\wuauclt.exe'
Signiert -> 'C:\Windows\system32\advapi32.DLL'
Signiert -> 'C:\Windows\system32\user32.DLL'
Signiert -> 'C:\Windows\system32\gdi32.DLL'
Signiert -> 'C:\Windows\system32\kernel32.DLL'
Signiert -> 'C:\Windows\system32\ntdll.DLL'
Signiert -> 'C:\Windows\system32\ntoskrnl.exe'
Signiert -> 'C:\Windows\system32\ctfmon.exe'
Die Systemdateien wurden durchsucht ('21' Dateien)

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
C:\Program Files (x86)\IDroo\uninst.exe
  [WARNUNG]   Unerwartetes Dateiende erreicht
Die Registry wurde durchsucht ( '2868' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\HP\Bin\EndProcess.exe
  [FUND]      Enthält Erkennungsmuster der Anwendung APPL/KillApp.A
C:\Program Files (x86)\Applian Technologies\Replay Media Catcher 4\Ionic.Utils.Zip.dll
  [WARNUNG]   Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt  (multiple 

volume)
C:\Program Files (x86)\IDroo\uninst.exe
  [WARNUNG]   Unerwartetes Dateiende erreicht
C:\Users\Ela\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\41\8dd7ce9-71a55bc3
  [0] Archivtyp: ZIP
  --> gnmsnwnl/ckdwnysftjdljrhyhbgchj.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2012-0507.A.61
  --> gnmsnwnl/dgnuhlkmtvtkwdbqtead.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2012-0507.A.63
  --> gnmsnwnl/dvjuefggmywrdbqeegwwnkaj.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2012-0507.A.67
  --> gnmsnwnl/sqvbtwqsnu.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2012-0507.A.62
  --> gnmsnwnl/thrsyrejgjjbypwm.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2012-0507.A.68
  --> gnmsnwnl/uvrbgufjjrkbbd.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2012-0507.A.70
  --> gnmsnwnl/wrwjwysvubupqtykjg.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2012-0507.A.66
C:\Users\Ela\Downloads\avira_free_antivirus_de.exe
  [WARNUNG]   Die Datei ist kennwortgeschützt
C:\Users\Ela\Downloads\R1iQdIw320111113190657.zip
  [WARNUNG]   Die Datei ist kennwortgeschützt
Beginne mit der Suche in 'D:\' <RECOVERY>
Beginne mit der Suche in 'F:\' <Medien>

Beginne mit der Desinfektion:
C:\Users\Ela\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\41\8dd7ce9-71a55bc3
  [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2012-0507.A.66
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '56324f14.qua' 

verschoben!
C:\HP\Bin\EndProcess.exe
  [FUND]      Enthält Erkennungsmuster der Anwendung APPL/KillApp.A
  [WARNUNG]   Die Datei wurde ignoriert.


Ende des Suchlaufs: Dienstag, 3. Juli 2012  14:05
Benötigte Zeit:  1:42:50 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  45210 Verzeichnisse wurden überprüft
 1307192 Dateien wurden geprüft
      8 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      1 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 1307184 Dateien ohne Befall
   6980 Archive wurden durchsucht
      6 Warnungen
      1 Hinweise
         

was mich aber sehr stutzig machte war der folgende mir und google völlig unbekannte prozess, der nach einem (normalen) neustart aus "users/ela/appdata/local" gestartet war und entstehungsdatum zeitgleich mit dem virusfund am 03.07.12 um 09:47:

name: datfc86.tmp.exe*32
beschreibung: centrifugalbeats.exe
copyright: (c)RunCore
dateiversion: 3.1.0.11387

runcore googlete ich als SSD-Platten-Hersteller, aber es gibt keine ssd im laptop. der prozess war - meine ich - vor befall auch nie dagewesen.

wir haben uns dazu entschieden, das system komplett neu mit einer win 7 dvd aufzusetzen. jetzt habe ich noch drei fragen dazu, über deren beantwortung ich mich sehr freue:

1) wenn ich zu rettende daten über das kompromittierte windows auf dvd brenne, kann sich der schädling theoretisch auf den dvds festsetzen? wir sind bereits auf nummer sicher gegangen und haben sowieso per PartedMagic gesichert.

2) kann der schädling sich in einem wlan ausbreiten?

3) da wir auf die crapware keinen wert legen könnten wir ja die recovery partition löschen, aber in den meisten leitfäden zum neu-aufsetzen steht, dass die recovery partition besser nicht gelöscht wird. was sollte ich am besten tun?

kannst du mir die datei mal hochladen zur analyse bitte:
Trojaner-Board Upload Channel
danke

hi markus,

es tut mir leid, habe das system schon neu aufgesetzt

ich hätte dir die datei aber auch so nicht hochladen können, da folgendes:
nachdem avira tr/atraps.gen2 in quarantäne verschob, existierte der ordner "users\ela\appdata\local\{3d6ba8e4-b928-e18f-0a08-5a9ef1034367}\n" nicht mehr. nach mehreren neustarts war der prozess aber da. aus dem task manager heraus versuchte ich die datei mit "dateipfad anzeigen..." zu lokalisieren, da zeigte er mir aber bloss den "appdata/local"-ordner mit sonst üblichen inhalt an. die verdächtige .exe war da aber nicht drin, soweit ich weiss!

ich bin mir sicher, dass eine verbindung zu atraps.gen2 besteht, weil unter "eigenschaften" vom prozess (im task manager aufgerufen) datum & uhrzeit mit dem des virusfund übereinstimmt.

hoffe wenigstens damit ein bisschen geholfen zu haben...
viele grüße

ps: habe mich entschieden, die recovery part. auch zu plätten.

dann sichere das system mal ab:
als antimalware programm würde ich emsisoft empfehlen.
diese haben für mich den besten schutz kostet aber etwas.
http://www.trojaner-board.de/103809-...i-malware.html
testversion:
Meine Antivirus-Empfehlung: Emsisoft Anti-Malware
insbesondere wenn du onlinebanking, einkäufe, sonstige zahlungsabwicklungen oder ähnlich wichtiges, wie zb berufliches machst, also sensible daten zu schützen sind, solltest du in sicherheitssoftware investieren.
vor dem aktivieren der lizenz die 30 tage testzeitraum ausnutzen.

kostenlos, aber eben nicht ganz so gut wäre avast zu empfehlen.
http://www.trojaner-board.de/110895-...antivirus.html

sag mir welches du nutzt, dann gebe ich konfigurationshinweise.
bitte dein bisheriges av deinstalieren
die folgende anleitung ist umfangreich, dass ist mir klar, sie sollte aber umgesetzt werden, da nur dann dein pc sicher ist. stelle so viele fragen wie nötig, ich arbeite gern alles mit dir durch!

http://www.trojaner-board.de/96344-a...-rechners.html
Starte bitte mit der Passage, Windows Vista und Windows 7
Bitte beginne damit, Windows Updates zu instalieren.
Am besten geht dies, wenn du über Start, Suchen gehst, und dort Windows Updates eingibst.
Prüfe unter "Einstellungen ändern" dass folgendes ausgewählt ist:
- Updates automatisch Instalieren,
- Täglich
- Uhrzeit wählen
- Bitte den gesammten rest anhaken, außer:
- detailierte benachichtungen anzeigen, wenn neue Microsoft software verfügbar ist.
Klicke jetzt die Schaltfläche "OK"
Klicke jetzt "nach Updates suchen".
Bitte instaliere zunächst wichtige Updates.
Es wird nötig sein, den PC zwischendurch neu zu starten. falls dies der Fall ist, musst du erneut über Start, Suchen, Windows Update aufrufen, auf Updates suchen klicken und die nächsten instalieren.
Mache das selbe bitte mit den optionalen Updates.
Bitte übernimm den rest so, wie es im Abschnitt windows 7 / Vista zu lesen ist.
aus dem Abschnitt xp, bitte den punkt "datenausführungsverhinderung, dep" übernehmen.
als browser rate ich dir zu chrome:
Installation von Google Chrome für mehrere Nutzerkonten - Google Chrome-Hilfe
anleitung lesen bitte
falls du nen andern nutzen willst, sags mir dann muss ich teile der nun folgenden anleitung


Sandboxie
Die devinition einer Sandbox ist hier nachzulesen:
Sandbox
Kurz gesagt, man kann Programme fast 100 %ig isuliert vom System ausführen.

Der Vorteil liegt klar auf der Hand, wenn über den Browser Schadcode eingeschläust wird, kann dieser nicht nach außen dringen.
Download Link:
Sandboxie Download - Sandboxie 3.72

anleitung:
http://www.trojaner-board.de/71542-a...sandboxie.html
ausführliche anleitung als pdf, auch abarbeiten:
Sandbox Einstellungen |

bitte folgende zusatz konfiguration machen:
sandboxie control öffnen, menü sandbox anklicken, defauldbox wählen.
dort klicke auf sandbox einstellungen.
beschrenkungen, bei programm start und internet zugriff schreibe:
chrome.exe
dann gehe auf anwendungen, webbrowser, chrome.
dort aktiviere alles außer gesammten profil ordner freigeben.
Wie du evtl. schon gesehen hast, kannst du einige Funktionen nicht nutzen.
Dies ist nur in der Vollversion nötig, zu deren Kauf ich dir rate.
Du kannst zb unter "Erzwungene Programmstarts" festlegen, dass alle Browser in der Sandbox starten.
Ansonsten musst du immer auf "Sandboxed webbrowser" klicken bzw Rechtsklick, in Sandboxie starten.
Eine lebenslange Lizenz kostet 30 €, und ist auf allen deinen PC's nutzbar.

Weiter mit:
Maßnahmen für ALLE Windows-Versionen
alles komplett durcharbeiten
anmerkung zu file hippo.
in den settings zusätzlich auswählen:
hide beta updates.
Run updateChecker when Windows starts

Backup Programm:
in meiner Anleitung ist bereits ein Backup Programm verlinkt, als Alternative bietet sich auch das Windows eigene Backup Programm an:
http://www.trojaner-board.de/82962-w...en-backup.html
Dies ist aber leider nur für Windows 7 Nutzer vernünftig nutzbar.
Alle Anderen sollten sich aber auf jeden fall auch ein Backup Programm instalieren, denn dies kann unter Umständen sehr wichtig sein, zum Beispiel, wenn die Festplatte einmal kaputt ist.

Zum Schluss, die allgemeinen sicherheitstipps beachten, wenn es dich betrifft, den Tipp zum Onlinebanking beachten und alle Passwörter ändern
bitte auch lesen, wie mache ich programme für alle sichtbar:
Programme für alle Konten nutzbar machen - PCtipp.ch - Praxis & Hilfe
surfe jetzt also nur noch im standard nutzer konto und dort in der sandbox.
wenn du die kostenlose version nutzt, dann mit klick auf sandboxed web browser, wenn du die bezahlversion hast, kannst du erzwungene programm starts festlegen, dann wird Sandboxie immer gestartet wenn du nen browser aufrufst.
wenn du mit der maus über den browser fährst sollte der eingerahmt sein, dann bist du im sandboxed web browser

hi markus,
danke für deinen / eure anleitung. die verlinkung zum skript zur konfiguration von diensten und den hinweis auf paragon backup finde ich besonders gut. in deiner verlinkten anleitung zu absicherung sieht es aber so aus, als wenn "Dienste konfigurieren" nur für XP gilt, weil die überschrift "Maßnahmen für ALLE Windows-Versionen" erst danach kommt, ist das denn richtig so?

ansonsten kann das thema von meiner seite aus geschlossen werden
viele grüße

ja gilt nur für xp