Hallo,

Avira hat heute den TR/ATRAPS.Gen2[trojan] gemeldet.

Habe versucht es mit Malware Bytes zu löschen.

Nach Neustart zwar keine Meldung mehr von Avira, aber das Rootkit ist noch auf dem Laptop.

Ich bitte um Hilfe und würde gerne wissen ob man den überhaupt wegbekommt oder nur noch Neuinstallation von Win7 hilft.

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.07.10.09

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
christian :: ASUSG50V [Administrator]

Schutz: Deaktiviert

10.07.2012 15:07:16
mbam-log-2012-07-10 (16-46-31).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 271747
Laufzeit: 1 Stunde(n), 38 Minute(n), 51 Sekunde(n) 

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Users\christian\AppData\Local\{2e4c3fa1-191e-e745-a49d-f65efa36cd15}\U\800000cb.@ (Rootkit.0Access) -> Keine Aktion durchgeführt.

(Ende)
         

wenn du onlinebanking machst, bank bitte anrufen, banking sperren lassen.
der pc muss neu aufgesetzt und dann abgesichert werden
1. Datenrettung:

• deaktiviere Autorun: http://www.trojaner-board.de/83238-a...sschalten.html
• dann sichere Daten auf nen externen datenträger: http://www.trojaner-board.de/82533-d...ted-magic.html
  Bilder, Dokumente, Musik Videos (persönliches) http://www.trojaner-board.de/71715-k...iendungen.html

2. Formatieren, Windows neu instalieren:

• nutzt du eine Windows CD: http://www.trojaner-board.de/51262-a...sicherung.html
• recovery cd oder recovery partition.
• falls dies ein fertig pc ist, nenne hersteller + typ.
• Keine Windows 7 DVD? http://www.trojaner-board.de/100776-...-download.html

3. PC absichern: http://www.trojaner-board.de/96344-a...-rechners.html
ich werde außerdem noch weitere punkte dazu posten.
4. alle Passwörter ändern!
5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen.
6. werde ich dann noch was zum absichern von Onlinebanking mit Chip Card Reader + Star Money sagen.

Hallo,

nein ich mach kein online banking.

Neuaufsetzen hab ich auch überlegt gehabt, aber bei der Menge an Treibern und Programmen die ich draufhabe ...

Hab mich dann selber ans Werk gemacht und ich denke ich bin den ZeroAcces los.

Besonders geholfen hat mir HitManPro:
hxxp://hitmanpro.wordpress.com/2012/06/25/zeroaccess-from-rootkit-to-nasty-infection/

Erkennt ZeroAccess und seine Teile und löscht sie.

sowie dieses Video:
hxxp://www.youtube.com/watch?v=NryukMsUfqc


Aber der Reihe nach:

1. Versucht mit Malware Bytes zu entfernen, Teile entfernt aber noch auf Laptop

2. Laufzeitprozess aus Taskmanager mit CCleaner deaktiviert und gelöscht (sicher überschrieben) Name: kryptisch und bei Beschreibung Stand "Quartermasters". Fiel sofort auf.

3. Selbe kryptische .exe Datei aus Benutzer Ordner gelöscht -> Sicher überschrieben

4. HitManPro online drüber laufen lassen, ZeroAccess erkannt und Reste gelöscht

5. Ordner des Rootkit/Virus nach youtube Video in Windows/Installer gefunden und gelöscht sowie Prefetch Datei aus Prefetch Ordner gelöscht.

6. Altes Avira Antivir komplett deinstalliert

7. ComboFix drüber laufen lassen. Hat noch ein paar Dateien gelöscht.

8. Neues Antivir drauf gespielt -> nun stimmte die Anordnung der Symbole auf dem Desktop auch wieder, die zuvor verändert wurde

9. Spybot Search and Destroy laufen lassen

10. McAfee Stinger mit sämtlichen Signaturen des ZeroAccess drüber laufen lassen. Über 1,3 Mio. Dateien durchsucht mit über 4500 Signaturen -> kein Fund.


Kann ich vielleicht trotzdem ein Log File online stellen dass du mal drüber schaust ? OTL oder welches auch immer ?

Update: Hab den ESET Online Scanner drüber laufen lassen. Keine Spur mehr vom ZeroAccess.

Hat zwar noch 2 Win32/OpenCandy gefunden, aber ich denke die sind harmlos.

Code: Alles auswählenAufklappen

ATTFilter

ESETSmartInstaller@High as CAB hook log:
OnlineScanner64.ocx - registred OK
OnlineScanner.ocx - registred OK
# version=7
# iexplore.exe=9.00.8112.16421 (WIN7_IE9_RTM.110308-0330)
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=
# end=finished
# remove_checked=false
# archives_checked=false
# unwanted_checked=true
# unsafe_checked=true
# antistealth_checked=true
# utc_time=2012-07-12 12:57:19
# local_time=2012-07-12 02:57:19 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1031
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=512 16777215 100 0 74307854 74307854 0 0
# compatibility_mode=1792 16777215 100 0 126773 126773 0 0
# compatibility_mode=5893 16776574 100 94 128548 93719193 0 0
# compatibility_mode=8192 67108863 100 0 44091 44091 0 0
# scanned=275742
# found=2
# cleaned=0
# scan_time=8496
C:\Users\christian\Downloads\CrystalDiskInfo4_0_2a-en.exe	Win32/OpenCandy Anwendung (Säubern nicht möglich)	00000000000000000000000000000000	I
C:\Users\christian\Downloads\CrystalDiskMark3_0_1b-en.exe	Win32/OpenCandy Anwendung (Säubern nicht möglich)	00000000000000000000000000000000	I
         

Update: Hab den ESET Online Scanner drüber laufen lassen. Keine Spur mehr vom ZeroAccess.

Hat zwar noch 2 Win32/OpenCandy gefunden, aber ich denke die sind harmlos.

Code: Alles auswählenAufklappen

ATTFilter

ESETSmartInstaller@High as CAB hook log:
OnlineScanner64.ocx - registred OK
OnlineScanner.ocx - registred OK
# version=7
# iexplore.exe=9.00.8112.16421 (WIN7_IE9_RTM.110308-0330)
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=
# end=finished
# remove_checked=false
# archives_checked=false
# unwanted_checked=true
# unsafe_checked=true
# antistealth_checked=true
# utc_time=2012-07-12 12:57:19
# local_time=2012-07-12 02:57:19 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1031
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=512 16777215 100 0 74307854 74307854 0 0
# compatibility_mode=1792 16777215 100 0 126773 126773 0 0
# compatibility_mode=5893 16776574 100 94 128548 93719193 0 0
# compatibility_mode=8192 67108863 100 0 44091 44091 0 0
# scanned=275742
# found=2
# cleaned=0
# scan_time=8496
C:\Users\christian\Downloads\CrystalDiskInfo4_0_2a-en.exe	Win32/OpenCandy Anwendung (Säubern nicht möglich)	00000000000000000000000000000000	I
C:\Users\christian\Downloads\CrystalDiskMark3_0_1b-en.exe	Win32/OpenCandy Anwendung (Säubern nicht möglich)	00000000000000000000000000000000	I
         

die angreifer haben 100 %igen zugang auf das system und können endern, was sie wollen, da es malware gibt, die von keinem scanner erkannt wird, ist bei rootkits das neu aufsetzen nötig.
der pc muss neu aufgesetzt und dann abgesichert werden
1. Datenrettung:

• deaktiviere Autorun: http://www.trojaner-board.de/83238-a...sschalten.html
• dann sichere Daten auf nen externen datenträger: http://www.trojaner-board.de/82533-d...ted-magic.html
  Bilder, Dokumente, Musik Videos (persönliches) http://www.trojaner-board.de/71715-k...iendungen.html

2. Formatieren, Windows neu instalieren:

• nutzt du eine Windows CD: http://www.trojaner-board.de/51262-a...sicherung.html
• recovery cd oder recovery partition.
• falls dies ein fertig pc ist, nenne hersteller + typ.
• Keine Windows 7 DVD? http://www.trojaner-board.de/100776-...-download.html

3. PC absichern: http://www.trojaner-board.de/96344-a...-rechners.html
ich werde außerdem noch weitere punkte dazu posten.
4. alle Passwörter ändern!
5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen.
6. werde ich dann noch was zum absichern von Onlinebanking mit Chip Card Reader + Star Money sagen.