Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: W32/Patched.UA roootkit zero access + TR/ATRAPS.Gen2 TR/Sirefef.

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 24.08.2012, 00:16   #1
Mitec
 
W32/Patched.UA roootkit zero access + TR/ATRAPS.Gen2 TR/Sirefef. - Icon17

W32/Patched.UA roootkit zero access + TR/ATRAPS.Gen2 TR/Sirefef.



Hallo zusammen,

mein Rechner wurde verseucht und das als ITler Nutze das private Notebook zwar nur als Internetknecht, aber sowas ist mir auch noch nicht passiert.

W32/Patched.UA roootkit zero access
TR/ATRAPS.Gen2
TR/Sirefef.

Nachdem ich nicht alle Spuren auf Anhieb beseitigen konnte, bin ich bei der Suche nach den Bazillen auf euer Forum gestossen. Gerade beim Zero Access Rootkit wird ja immer wieder empfohlen eine Neuinstallation durchzuführen. Da ich keine Lust hatte dies durchführen habe ich mich ein wenig damit auseinander gesetzt. Vielleicht hilft es ja den ein oder anderem:

Mein Virenscanner wurde durch das Rootkit deaktiviert.
Zunächst habe ich den Avira installiert und durchsuchen lassen. Erste Dateien wurden bereinigt. Sämtliche Verzeichnisse aus dem Log habe ich geprüft, weitere Dateien daraus gelöscht sowie die dazugehörigen Registry Einträge entfernt. Aktive dazugehörige Prozesse beendet bzw. im abgesicherten Modus die Verzeichnisse entfernt. Dazu habe ich alle temporär Dateien gelöscht.

Autostart deaktiviert und auch hier nicht zuordnenbare Programme entfernt, die Dateien gelöscht + Registrybereinigung durchgeführt.

Zusätzlich die aktiven Prozesse, Autostart und Services bereinigt.

Nach mehrmaligen Scannen, bereinigen und den manuellen Schritten ist dann nur noch das Rootkit geblieben. Die Trojaner waren also schonmal weg bzw. nicht mehr aktiv.

Auf Grund der Foreneintrage habe ich dann noch Malwarebytes installiert und den Avira gegen den Avast ausgetauscht.

Beide haben dann tatsächlich auch noch Überbleibsel gefunden und bereinigt.

Gegen das Rootkit (bei mir war es die %windir%\system32\service.exe, die nach einem Neustart immer wieder alarmiert wurde) hat das
Anti-rootkit utility TDSSKiller von Kaspersky geholfen.

Link: Anti-rootkit utility TDSSKiller

Avast und Malwarebytes zeigen nun keine Dateien mehr an, zur Sicherheit habe ich gerade noch Emsisoft Anti-Malware installiert und lasse es auch noch einmal prüfen.

Auch wenn ich nun nicht jeden Schritt dokumentiert habe (es waren vieeeele!) und nicht jedem mit diesem Beitrag dazu ermuntern möchte, so in das System einzugreifen, vieleicht hilft ja die Kombination aus den Virenscannern, Antimalware Programme sowie dem AntiRootKit dem ein oder anderen doch und erspart die Neuinstallation.

Bei Einwänden oder bekannten Problemen bei meiner Vorgehensweise bin ich natürlich auf eure Erfahrungen gespannt.

Gruß
Michael

Alt 24.08.2012, 02:08   #2
t'john
/// Helfer-Team
 
W32/Patched.UA roootkit zero access + TR/ATRAPS.Gen2 TR/Sirefef. - Standard

W32/Patched.UA roootkit zero access + TR/ATRAPS.Gen2 TR/Sirefef.





CustomScan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop. Falls schon vorhanden, bitte die ältere vorhandene Datei durch die neu heruntergeladene Datei ersetzen, damit du auch wirklich mit einer aktuellen Version von OTL arbeitest.

  • Starte bitte die OTL.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Setze oben mittig den Haken bei Scanne alle Benutzer
  • Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die Textbox von OTL - wenn OTL auf deutsch ist wird sie mit beschriftet

Code:
ATTFilter
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\*.*
%APPDATA%\*AcroIEH*.*
%APPDATA%\*.exe
%APPDATA%\*.tmp
CREATERESTOREPOINT
         
  • Schliesse bitte nun alle Programme. (Wichtig)
  • Klicke nun bitte auf den Quick Scan Button.
  • Klick auf .
  • Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread
__________________

__________________

Alt 06.10.2012, 16:10   #3
t'john
/// Helfer-Team
 
W32/Patched.UA roootkit zero access + TR/ATRAPS.Gen2 TR/Sirefef. - Standard

W32/Patched.UA roootkit zero access + TR/ATRAPS.Gen2 TR/Sirefef.



Fehlende Rückmeldung

Gibt es Probleme beim Abarbeiten obiger Anleitung?

Um Kapazitäten für andere Hilfesuchende freizumachen, lösche ich dieses Thema aus meinen Benachrichtigungen.

Solltest Du weitermachen wollen, schreibe mir eine PN oder eröffne ein neues Thema.
http://www.trojaner-board.de/69886-a...-beachten.html


Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner sauber ist.
__________________
__________________

Antwort

Themen zu W32/Patched.UA roootkit zero access + TR/ATRAPS.Gen2 TR/Sirefef.
antimalware, avast, avira, dateien, emsisoft, forum, gelöscht, kaspersky, log, malwarebytes, neustart, notebook, probleme, programme, prozesse, rechner, registry, rootkit, scan, service.exe, sicherheit, suche, system, system32, temporär, tr/atraps.gen, trojaner




Ähnliche Themen: W32/Patched.UA roootkit zero access + TR/ATRAPS.Gen2 TR/Sirefef.


  1. TR/ATRAPS.Gen - TR/ATRAPS.Gen2 - W32/Patched.UA - BDS/ZeroAccess.Gen
    Log-Analyse und Auswertung - 20.09.2013 (5)
  2. Trojaner ATRAPS.Gen2, ATRAPS.Gen und Sirefef.A.12
    Plagegeister aller Art und deren Bekämpfung - 15.08.2013 (10)
  3. W32/Patched.UC, TR/ATRAPS.Gen2 und TR/Sirefef.77312
    Plagegeister aller Art und deren Bekämpfung - 05.07.2013 (14)
  4. Trojaner TR/Sirefef.BC.57, TR/Sirefef.AG.9, TR/ATRAPS.Gen2, TR/Necurs.A.71 und SpyHunter 4 auf Rechner
    Log-Analyse und Auswertung - 07.05.2013 (7)
  5. Avira findet TR/Sirefef.16896 und TR/ATRAPS.Gen und TR/ATRAPS.Gen2 in Windows\Installer und W32/Patched.UA in Windows\System32\service.exe
    Plagegeister aller Art und deren Bekämpfung - 14.11.2012 (23)
  6. W32/Patched.UA, TR/ATRAPS.Gen und TR/ATRAPS.Gen2 in System 32
    Log-Analyse und Auswertung - 09.11.2012 (7)
  7. Avira meldet TR/ZAccess.H , TR/Sirefef.A.37 , TR/ATRAPS.Gen und TR/ATRAPS.Gen2
    Plagegeister aller Art und deren Bekämpfung - 17.10.2012 (2)
  8. Trojaner Befall TR/ATRAPS.GEN ,TR/ATRAPS.GEN2 , TR/Cutwail.jhg , TR/ZAccess.H , TR/Sirefef.A.37
    Plagegeister aller Art und deren Bekämpfung - 08.10.2012 (17)
  9. TR/ATRAPS.Gen2, TR/Sirefef.16896 (in C:\Windows\Installer\...) und W32/Patched.UA (C:\Windows\System32\services.exe)
    Plagegeister aller Art und deren Bekämpfung - 04.09.2012 (5)
  10. Avira Antivirus Premium 2012: Funde von TR/ATRAPS.GEN TR/ATRAPS.GEN2 TR/Sirefef.P.666 BDS/ZAccess.T
    Log-Analyse und Auswertung - 25.07.2012 (3)
  11. Trojaner Atraps.Gen, Atraps.Gen2 und Sirefef.AB.20 - gelöscht, aber auch sicher?
    Log-Analyse und Auswertung - 14.07.2012 (23)
  12. TR/ATRAPS.GEN, TR/ATRAPS.Gen2 6 seit ein paar Minuten auch noch ein Sirefef.P.528
    Plagegeister aller Art und deren Bekämpfung - 13.07.2012 (1)
  13. Antivir findet 4 Trojaner: TR/ATRAPS.Gen, TR/ATRAPS.Gen2, Sirefef.P.342, Dldr.Phdet.E.41
    Log-Analyse und Auswertung - 11.07.2012 (1)
  14. Trojaner TR/ATRAPS.Gen2 und TR/ATRAPS.Gen und W32/Patched.UA
    Log-Analyse und Auswertung - 11.07.2012 (28)
  15. Zero Access Trojaner ATraps/Gen2 - woher?
    Plagegeister aller Art und deren Bekämpfung - 10.07.2012 (1)
  16. W32/Patched.UA, TR/ATRAPS.GEN und GEN2
    Plagegeister aller Art und deren Bekämpfung - 29.06.2012 (1)
  17. Und noch einer: Trojaner TR/ATRAPS.Gen2 und TR/ATRAPS.Gen und W32/Patched.UA HILFE!!!
    Log-Analyse und Auswertung - 28.06.2012 (7)

Zum Thema W32/Patched.UA roootkit zero access + TR/ATRAPS.Gen2 TR/Sirefef. - Hallo zusammen, mein Rechner wurde verseucht und das als ITler Nutze das private Notebook zwar nur als Internetknecht, aber sowas ist mir auch noch nicht passiert. W32/Patched.UA roootkit zero access - W32/Patched.UA roootkit zero access + TR/ATRAPS.Gen2 TR/Sirefef....
Archiv
Du betrachtest: W32/Patched.UA roootkit zero access + TR/ATRAPS.Gen2 TR/Sirefef. auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.