Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Avira findet TR/Sirefef.16896 und TR/ATRAPS.Gen und TR/ATRAPS.Gen2 in Windows\Installer und W32/Patched.UA in Windows\System32\service.exe

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 09.11.2012, 01:37   #16
tralali
 
Avira findet TR/Sirefef.16896 und TR/ATRAPS.Gen und TR/ATRAPS.Gen2 in Windows\Installer und W32/Patched.UA in Windows\System32\service.exe - Standard

Avira findet TR/Sirefef.16896 und TR/ATRAPS.Gen und TR/ATRAPS.Gen2 in Windows\Installer und W32/Patched.UA in Windows\System32\service.exe



Code:
ATTFilter
All processes killed
========== OTL ==========
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Public
->Temp folder emptied: 0 bytes
 
User: Véronique
->Temp folder emptied: 902063 bytes
->Temporary Internet Files folder emptied: 265597234 bytes
->Java cache emptied: 2486342 bytes
->FireFox cache emptied: 874269649 bytes
->Flash cache emptied: 50234 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 50092 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 53155605 bytes
RecycleBin emptied: 634502541 bytes
 
Total Files Cleaned = 1,746.00 mb
 
 
OTL by OldTimer - Version 3.2.69.0 log created on 11092012_010553

Files\Folders moved on Reboot...
C:\Users\Véronique\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
File\Folder C:\Users\Véronique\AppData\Local\Mozilla\Firefox\Profiles\j3l5ici3.default\Cache\_CACHE_001_ not found!
File\Folder C:\Users\Véronique\AppData\Local\Mozilla\Firefox\Profiles\j3l5ici3.default\Cache\_CACHE_002_ not found!

PendingFileRenameOperations files...

Registry entries deleted on Reboot...
         
Code:
ATTFilter
Malwarebytes Anti-Malware 1.65.1.1000
www.malwarebytes.org

Datenbank Version: v2012.11.08.11

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Véronique :: VÉRONIQUE-PC [Administrator]

09.11.2012 01:31:10
mbam-log-2012-11-09 (01-31-10).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 206931
Laufzeit: 2 Minute(n), 59 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         

Alt 09.11.2012, 07:17   #17
Psychotic
/// Malwareteam
 
Avira findet TR/Sirefef.16896 und TR/ATRAPS.Gen und TR/ATRAPS.Gen2 in Windows\Installer und W32/Patched.UA in Windows\System32\service.exe - Standard

Avira findet TR/Sirefef.16896 und TR/ATRAPS.Gen und TR/ATRAPS.Gen2 in Windows\Installer und W32/Patched.UA in Windows\System32\service.exe



wie verhält sich der Rechner?
__________________

__________________

Alt 09.11.2012, 10:41   #18
tralali
 
Avira findet TR/Sirefef.16896 und TR/ATRAPS.Gen und TR/ATRAPS.Gen2 in Windows\Installer und W32/Patched.UA in Windows\System32\service.exe - Standard

Avira findet TR/Sirefef.16896 und TR/ATRAPS.Gen und TR/ATRAPS.Gen2 in Windows\Installer und W32/Patched.UA in Windows\System32\service.exe



Alles schick hier! Keine Virenmeldungen mehr, keine Probleme beim Hochfahren... Meinst Du, wir haben es geschafft? Wäre ja super!

Wegen der Festplatte: Kann ich sie anschließen, um sie zu formatieren? Oder hole ich mir den Virus dann wieder auf den Rechner?
__________________

Alt 09.11.2012, 10:46   #19
Psychotic
/// Malwareteam
 
Avira findet TR/Sirefef.16896 und TR/ATRAPS.Gen und TR/ATRAPS.Gen2 in Windows\Installer und W32/Patched.UA in Windows\System32\service.exe - Standard

Avira findet TR/Sirefef.16896 und TR/ATRAPS.Gen und TR/ATRAPS.Gen2 in Windows\Installer und W32/Patched.UA in Windows\System32\service.exe



Das kommt jetzt!


Sieht ganz gut aus - kontrollieren wir alles nochmal!


Schritt 1: MBAM vollständig


Downloade Dir bitte Malwarebytes
  • Installiere das Programm in den vorgegebenen Pfad.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
  • Wenn das Update beendet wurde, aktiviere Vollständigen Scan durchführen und drücke auf Scannen. (Hinweis: Alle Festplatten anhaken!)
  • Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
  • Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
  • Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
  • Nachträglich kannst du den Bericht unter "Log Dateien" finden.



Schritt 2: ESET


ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

__________________
Kein Asylrecht für Trojaner!

Proud Member of UNITE

Hinweis: Ich bin nur werktags erreichbar!
Anfragen über PM werden ignoriert!

Du bist zufrieden mit uns? Dann unterstütze das Trojaner-Board!

Alt 12.11.2012, 10:11   #20
tralali
 
Avira findet TR/Sirefef.16896 und TR/ATRAPS.Gen und TR/ATRAPS.Gen2 in Windows\Installer und W32/Patched.UA in Windows\System32\service.exe - Standard

Avira findet TR/Sirefef.16896 und TR/ATRAPS.Gen und TR/ATRAPS.Gen2 in Windows\Installer und W32/Patched.UA in Windows\System32\service.exe



Während MBAM lief, kam eine Virenmeldung von Avira...

Code:
ATTFilter
Avira Free Antivirus
Erstellungsdatum der Reportdatei: Sonntag, 11. November 2012  21:22

Es wird nach 4476210 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira Free Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows 7 Home Premium
Windowsversion : (Service Pack 1)  [6.1.7601]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : VÉRONIQUE-PC

Versionsinformationen:
BUILD.DAT      : 12.0.0.1199    40869 Bytes  07.09.2012 22:14:00
AVSCAN.EXE     : 12.3.0.33     468472 Bytes  09.08.2012 07:51:48
AVSCAN.DLL     : 12.3.0.15      66256 Bytes  08.05.2012 20:20:51
LUKE.DLL       : 12.3.0.15      68304 Bytes  08.05.2012 20:20:54
AVSCPLR.DLL    : 12.3.0.14      97032 Bytes  08.05.2012 20:20:55
AVREG.DLL      : 12.3.0.17     232200 Bytes  10.05.2012 22:03:14
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 19:18:34
VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 10:07:39
VBASE002.VDF   : 7.11.19.170 14374912 Bytes  20.12.2011 12:33:04
VBASE003.VDF   : 7.11.21.238  4472832 Bytes  01.02.2012 11:00:06
VBASE004.VDF   : 7.11.26.44   4329472 Bytes  28.03.2012 15:19:19
VBASE005.VDF   : 7.11.34.116  4034048 Bytes  29.06.2012 20:50:13
VBASE006.VDF   : 7.11.41.250  4902400 Bytes  06.09.2012 16:15:42
VBASE007.VDF   : 7.11.45.207  2363904 Bytes  11.10.2012 09:58:21
VBASE008.VDF   : 7.11.45.208     2048 Bytes  11.10.2012 09:58:21
VBASE009.VDF   : 7.11.45.209     2048 Bytes  11.10.2012 09:58:21
VBASE010.VDF   : 7.11.45.210     2048 Bytes  11.10.2012 09:58:21
VBASE011.VDF   : 7.11.45.211     2048 Bytes  11.10.2012 09:58:21
VBASE012.VDF   : 7.11.45.212     2048 Bytes  11.10.2012 09:58:21
VBASE013.VDF   : 7.11.45.213     2048 Bytes  11.10.2012 09:58:21
VBASE014.VDF   : 7.11.46.65    220160 Bytes  16.10.2012 20:40:53
VBASE015.VDF   : 7.11.46.153   173568 Bytes  18.10.2012 20:48:24
VBASE016.VDF   : 7.11.46.223   162304 Bytes  19.10.2012 20:48:16
VBASE017.VDF   : 7.11.47.35    126464 Bytes  22.10.2012 07:50:56
VBASE018.VDF   : 7.11.47.95    175616 Bytes  24.10.2012 09:39:15
VBASE019.VDF   : 7.11.47.177   164352 Bytes  26.10.2012 17:45:16
VBASE020.VDF   : 7.11.47.229   143360 Bytes  28.10.2012 17:45:19
VBASE021.VDF   : 7.11.48.47    138240 Bytes  30.10.2012 22:01:28
VBASE022.VDF   : 7.11.48.135   122880 Bytes  01.11.2012 23:14:15
VBASE023.VDF   : 7.11.48.209   142848 Bytes  05.11.2012 14:23:10
VBASE024.VDF   : 7.11.48.243   119296 Bytes  05.11.2012 14:22:35
VBASE025.VDF   : 7.11.49.47    136704 Bytes  07.11.2012 23:31:25
VBASE026.VDF   : 7.11.49.135   194560 Bytes  09.11.2012 23:31:28
VBASE027.VDF   : 7.11.49.136     2048 Bytes  09.11.2012 23:31:28
VBASE028.VDF   : 7.11.49.137     2048 Bytes  09.11.2012 23:31:28
VBASE029.VDF   : 7.11.49.138     2048 Bytes  09.11.2012 23:31:28
VBASE030.VDF   : 7.11.49.139     2048 Bytes  09.11.2012 23:31:29
VBASE031.VDF   : 7.11.49.172    47616 Bytes  09.11.2012 23:31:29
Engineversion  : 8.2.10.196
AEVDF.DLL      : 8.1.2.10      102772 Bytes  10.07.2012 11:42:58
AESCRIPT.DLL   : 8.1.4.64      463228 Bytes  05.11.2012 14:23:30
AESCN.DLL      : 8.1.9.2       131444 Bytes  26.09.2012 14:29:24
AESBX.DLL      : 8.2.5.12      606578 Bytes  14.06.2012 22:28:17
AERDL.DLL      : 8.2.0.74      643445 Bytes  09.11.2012 23:32:06
AEPACK.DLL     : 8.3.0.38      811382 Bytes  28.09.2012 15:23:44
AEOFFICE.DLL   : 8.1.2.50      201084 Bytes  05.11.2012 14:23:29
AEHEUR.DLL     : 8.1.4.130    5513592 Bytes  09.11.2012 23:32:02
AEHELP.DLL     : 8.1.25.2      258423 Bytes  12.10.2012 09:58:24
AEGEN.DLL      : 8.1.6.8       434548 Bytes  09.11.2012 23:31:32
AEEXP.DLL      : 8.2.0.10      119158 Bytes  05.11.2012 14:23:30
AEEMU.DLL      : 8.1.3.2       393587 Bytes  10.07.2012 11:42:54
AECORE.DLL     : 8.1.29.2      201079 Bytes  09.11.2012 23:31:30
AEBB.DLL       : 8.1.1.4        53619 Bytes  05.11.2012 14:23:11
AVWINLL.DLL    : 12.3.0.15      27344 Bytes  08.05.2012 20:20:49
AVPREF.DLL     : 12.3.0.15      51920 Bytes  08.05.2012 20:20:51
AVREP.DLL      : 12.3.0.15     179208 Bytes  08.05.2012 20:20:55
AVARKT.DLL     : 12.3.0.15     211408 Bytes  08.05.2012 20:20:50
AVEVTLOG.DLL   : 12.3.0.15     169168 Bytes  08.05.2012 20:20:50
SQLITE3.DLL    : 3.7.0.1       398288 Bytes  08.05.2012 20:20:55
AVSMTP.DLL     : 12.3.0.32      63480 Bytes  09.08.2012 07:51:49
NETNT.DLL      : 12.3.0.15      17104 Bytes  08.05.2012 20:20:54
RCIMAGE.DLL    : 12.3.0.31    4444408 Bytes  09.08.2012 07:51:38
RCTEXT.DLL     : 12.3.0.31     100088 Bytes  09.08.2012 07:51:38

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: AVGuardAsyncScan
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_509c4a85\guard_slideup.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: vollständig

Beginn des Suchlaufs: Sonntag, 11. November 2012  21:22

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbam.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FlashPlayerPlugin_11_4_402_287.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FlashPlayerPlugin_11_4_402_287.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wlcomm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wlmail.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EasySpeedUpManager.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.bin' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AdobeARM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DL10XP.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AudibleDownloadHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lxczbmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LXCZbmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dmhkcore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SSCKbdHk.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WCScheduler.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CVHSVC.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sftlist.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sftvsa.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Rezip.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\Qoobox\Quarantine\C\Windows\Installer\{13c7701a-ec23-d71d-cb2d-80c6fc572304}\U\80000000.@.vir'
C:\Qoobox\Quarantine\C\Windows\Installer\{13c7701a-ec23-d71d-cb2d-80c6fc572304}\U\80000000.@.vir
  [FUND]      Ist das Trojanische Pferd TR/ATRAPS.Gen
Beginne mit der Suche in 'C:\Qoobox\Quarantine\C\Windows\Installer\{13c7701a-ec23-d71d-cb2d-80c6fc572304}\U\800000cb.@.vir'
C:\Qoobox\Quarantine\C\Windows\Installer\{13c7701a-ec23-d71d-cb2d-80c6fc572304}\U\800000cb.@.vir
  [FUND]      Ist das Trojanische Pferd TR/Agent.KL.25088
Beginne mit der Suche in 'C:\Qoobox\Quarantine\C\Windows\System32\services.exe.vir'
C:\Qoobox\Quarantine\C\Windows\System32\services.exe.vir
  [FUND]      Enthält Code des Windows-Virus W32/Patched.UA

Beginne mit der Desinfektion:
C:\Qoobox\Quarantine\C\Windows\System32\services.exe.vir
  [FUND]      Enthält Code des Windows-Virus W32/Patched.UA
  [HINWEIS]   Die Datei wurde repariert.
C:\Qoobox\Quarantine\C\Windows\Installer\{13c7701a-ec23-d71d-cb2d-80c6fc572304}\U\800000cb.@.vir
  [FUND]      Ist das Trojanische Pferd TR/Agent.KL.25088
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '55b2aae8.qua' verschoben!
C:\Qoobox\Quarantine\C\Windows\Installer\{13c7701a-ec23-d71d-cb2d-80c6fc572304}\U\80000000.@.vir
  [FUND]      Ist das Trojanische Pferd TR/ATRAPS.Gen
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d25854f.qua' verschoben!


Ende des Suchlaufs: Sonntag, 11. November 2012  21:24
Benötigte Zeit: 00:02 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

      0 Verzeichnisse wurden überprüft
     33 Dateien wurden geprüft
      3 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      1 Viren bzw. unerwünschte Programme wurden repariert
      2 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
     30 Dateien ohne Befall
      0 Archive wurden durchsucht
      0 Warnungen
      3 Hinweise


Die Suchergebnisse werden an den Guard übermittelt.
         
Code:
ATTFilter
Malwarebytes Anti-Malware 1.65.1.1000
www.malwarebytes.org

Datenbank Version: v2012.11.11.06

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Véronique :: VÉRONIQUE-PC [Administrator]

11.11.2012 21:07:24
mbam-log-2012-11-11 (21-07-24).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|Q:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 394775
Laufzeit: 1 Stunde(n), 34 Minute(n), 21 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         
Code:
ATTFilter
C:\Qoobox\Quarantine\C\Windows\Installer\{13c7701a-ec23-d71d-cb2d-80c6fc572304}\U\00000001.@.vir	Win64/Conedex.H trojan
F:\VÉRONIQUE-PC\Backup Set 2012-07-09 145547\Backup Files 2012-07-09 223125\Backup files 23.zip	a variant of Java/Exploit.CVE-2012-1723.C trojan
F:\VÉRONIQUE-PC\Backup Set 2012-08-27 112332\Backup Files 2012-08-27 112332\Backup files 31.zip	a variant of Java/Exploit.CVE-2012-1723.C trojan
F:\VÉRONIQUE-PC\Backup Set 2012-10-23 160900\Backup Files 2012-10-23 160900\Backup files 29.zip	a variant of Java/Exploit.CVE-2012-1723.C trojan
         


Alt 13.11.2012, 07:37   #21
Psychotic
/// Malwareteam
 
Avira findet TR/Sirefef.16896 und TR/ATRAPS.Gen und TR/ATRAPS.Gen2 in Windows\Installer und W32/Patched.UA in Windows\System32\service.exe - Standard

Avira findet TR/Sirefef.16896 und TR/ATRAPS.Gen und TR/ATRAPS.Gen2 in Windows\Installer und W32/Patched.UA in Windows\System32\service.exe



Die infizierten Backups sind nicht zu retten - lösche sie ungeöffnet und erstelle nach Abschluß der Bereinigung einen neuen.


Ansonsten sind wir durch!




Schritt 1: Java update


Dein Java ist nicht mehr aktuell. Ältere Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.
  • Downloade dir bitte die neueste Java-Version von hier
  • Speichere die jxpiinstall.exe
  • Schließe alle laufenden Programme, speziell deinen Browser.
  • Starte die jxpiinstall.exe. Diese wird den Installer für die neueste Java Version herunterladen.
  • Wenn die Installation beendet wurde, gehe zu Start --> Systemsteuerung --> Programme und Funktionen (bzw. Software unter Windows XP) und deinstalliere alle älteren Java Versionen.
  • Starte deinen Rechner neu, sobald alle älteren Versionen deinstalliert wurden.

Nach dem Neustart:
  • Öffne erneut die Systemsteuerung --> Programme und Funktionen und klicke auf das Java Symbol.
  • Im Reiter Allgemein, klicke unter Temporäre Internetdateien auf Einstellungen.
  • Klicke auf Dateien löschen ....
  • Gehe sicher, dass überall ein Haken gesetzt ist und klicke OK.
  • Klicke erneut OK.




Schritt 2: Adobe Reader update


Dein Adobe Reader ist veraltet. Da einige Schädlinge die Schwachstellen in veralteten Versionen nutzen, werden wir sie aktualisieren.

  • Lade dir den aktuellen Adobe Reader von hier herunter. Wichtig: Entferne den Haken für optionale Software (z.B. Google Chrome), der auf der Seite angezeigt wird, bevor du auf "Jetzt herunterladen" klickst.
  • Starte die Installation und folge den Anweisungen auf dem Bildschirm.
  • Drücke die Windows- und die R-Taste, gib im folgenden Fenster appwiz.cpl ein und klicke auf OK.
  • Suche und entferne alle älteren Reader-Versionen.




Schritt 3: Mozilla Thunderbird update


Dein Thunderbird-Mailclient ist veraltet. Gehe wie folgt vor, um ihn zu aktualisieren:
  • Lade dir den aktuellen Thunderbird von hier herunter.
  • Starte das Setup und folge den Anweisungen auf dem Bildschirm.
  • Drücke die Windows- und die R-Taste, gib im folgenden Fenster appwiz.cpl ein und klicke auf OK.
  • Entferne alle älteren Thunderbird-Versionen.
  • Melde dich umgehend, falls Schwierigkeiten auftreten.




Defogger re-enable

Starte bitte den Defogger und klicke den re-enable Button




ComboFix

Bitte vor der folgenden Aktion wieder temporär Antivirus-Programm, evtl. vorhandenes Skript-Blocking und Anti-Malware Programme deaktivieren.

Windows-Taste + R drücke. Kopiere nun folgende Zeile in die Kommandozeile und klicke OK.
Code:
ATTFilter
Combofix /Uninstall
         


Damit wird Combofix komplett entfernt und der Cache der Systemwiederherstellung geleert, damit auch aus dieser die Schädlinge verschwinden.

Nun die eben deaktivierten Programme wieder aktivieren.




Hier noch ein paar Tipps zur Absicherung deines Systems.

Aktualität

Ich kann garnicht zu oft erwähnen, wie wichtig es ist, dass dein System Up to Date ist.
  • Bitte überprüfe ob dein System Windows Updates automatisch herunter lädt
  • Windows Updates
    • Windows XP: Start --> Systemsteuerung --> Doppelklick auf Automatische Updates
    • Windows Vista / 7: Start --> Systemsteuerung --> System und Sicherheit --> Automatische Updates aktivieren oder deaktivieren
  • Gehe sicher das die automatischen Updates aktiviert sind.
  • Software Updates
    Installierte Software kann ebenfalls Sicherheitslücken haben, welche Malware nutzen kann, um dein System zu infizieren.
    Um deine Installierte Software up to date zu halten, empfehle ich dir Secunia Online Software.
Antviren-Software
  • Gehe sicher immer eine Antiviren-Software installiert zu haben und dass diese auch up to date ist. Auch der beste Virenscanner ist sinnlos, wenn er nicht aktuell ist!
    Eine Auswahl kostenloser Antivirenprogramme:
Zusätzlicher Schutz
  • MalwareBytes Anti Malware
    Dies ist eines der besten Anti-Malware Tools auf dem Markt. Es ist ein On- Demond Scan Tool welches viele aktuelle Malware erkennt und auch entfernt.
    Update das Tool und lass es einmal in der Woche laufen. Die Kaufversion biete zudem noch einen Hintergrundwächter.
    Ein Tutorial zur Verwendung findest Du hier.
Sicheres Browsen
  • SpywareBlaster
    Eine kurze Einführung findest du Hier
  • WOT (Web of trust)
    Dieses AddOn warnt Dich bevor Du eine als schädlich gemeldete Seite besuchst.
Alternative Browser
Andere Browser tendieren zu etwas mehr Sicherheit als der IE, da diese keine Active X Elemente verwenden. Diese können von Spyware zur Infektion deines Systems missbraucht werden.
  • Opera
  • Mozilla Firefox.
    • Hinweis: Für diesen Browser habe ich hier ein paar nützliche Add Ons
    • NoScript
      Dieses AddOn blockt JavaScript, Java and Flash und andere Plugins. Sie werden nur dann ausgeführt wenn Du es bestätigst.
    • AdblockPlus
      Dieses AddOn blockt die meisten Werbung von selbst. Ein Rechtsklick auf den Banner, um diesen zu AdBlockPlus hinzuzufügen, reicht und dieser wird nicht mehr geladen.
      Es spart ausserdem Downloadkapazität.
Performance
Bereinige regelmäßig deine Temp Files. Ich empfehle hierzu TFC
Halte dich fern von jedlichen Registry Cleanern.
Diese Schaden deinem System mehr als sie helfen. Hier ein paar ( englishe ) Links
Miekemoes Blogspot ( MVP )
Bill Castner ( MVP )

Don'ts
  • Klicke nicht auf alles nur weil es Dich dazu auffordert und schön bunt ist.
  • verwende keine peer to peer oder Filesharing Software (Emule, uTorrent,..)
  • Lass die Finger von Cracks, Keygens, Serials oder anderer illegaler Software.
  • Sei mißtrauisch in sozialen Netzwerken (z.B. MeinVZ, Facebook, etc) - auch, wenn Nachrichten/Einträge scheinbar von einem deiner Freunde stammen, bedeutet das noch lange nicht, dass sie unschädlich sind (Malware kann seinen Rechner verseucht haben).
  • Öffne keine Anhänge von Dir nicht bekannten Emails. Achte vor allem auf die Dateiendung wie zb deinFoto.jpg.exe
Nun bleibt mir nur noch dir viel Spass beim sicheren Surfen zu wünschen.

Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, damit ich diesen Thread aus meinen Abos löschen kann.
__________________
--> Avira findet TR/Sirefef.16896 und TR/ATRAPS.Gen und TR/ATRAPS.Gen2 in Windows\Installer und W32/Patched.UA in Windows\System32\service.exe

Alt 13.11.2012, 17:35   #22
tralali
 
Avira findet TR/Sirefef.16896 und TR/ATRAPS.Gen und TR/ATRAPS.Gen2 in Windows\Installer und W32/Patched.UA in Windows\System32\service.exe - Standard

Avira findet TR/Sirefef.16896 und TR/ATRAPS.Gen und TR/ATRAPS.Gen2 in Windows\Installer und W32/Patched.UA in Windows\System32\service.exe



Lieber Marius,

ich habe all Deine Anweisungen und Ratschläge befolgt, nun bin ich gerade dabei, eine neue Sicherungskopie auf die formatierte externe Festplatte zu speichern.

Vielen herzlichen Dank für alles! Ich bin wirklich froh, Euch gefunden zu haben - als Laie steht man solchen Problemen ja echt hilflos und ohnmächtig gegenüber... Dass Du mir dieses Gefühl der Ohnmacht seit Deiner ersten Antwort genommen hast, dafür bin ich besonders dankbar!

Spende ist bereits überwiesen...

Viele Grüße, Véronique

Alt 14.11.2012, 08:45   #23
Psychotic
/// Malwareteam
 
Avira findet TR/Sirefef.16896 und TR/ATRAPS.Gen und TR/ATRAPS.Gen2 in Windows\Installer und W32/Patched.UA in Windows\System32\service.exe - Standard

Avira findet TR/Sirefef.16896 und TR/ATRAPS.Gen und TR/ATRAPS.Gen2 in Windows\Installer und W32/Patched.UA in Windows\System32\service.exe



Hi Véronique,

schön, dass wir helfen konnten! Hab ich gern gemacht...

Spenden sind wichtig, denn sie halten den Laden hier am Laufen!
Vielen Dank und alles Gute für die Zukunft!
__________________
Kein Asylrecht für Trojaner!

Proud Member of UNITE

Hinweis: Ich bin nur werktags erreichbar!
Anfragen über PM werden ignoriert!

Du bist zufrieden mit uns? Dann unterstütze das Trojaner-Board!

Alt 14.11.2012, 08:50   #24
Psychotic
/// Malwareteam
 
Avira findet TR/Sirefef.16896 und TR/ATRAPS.Gen und TR/ATRAPS.Gen2 in Windows\Installer und W32/Patched.UA in Windows\System32\service.exe - Standard

Avira findet TR/Sirefef.16896 und TR/ATRAPS.Gen und TR/ATRAPS.Gen2 in Windows\Installer und W32/Patched.UA in Windows\System32\service.exe



Schön, dass wir helfen konnten!


Dieses Thema scheint erledigt und wurde aus meinen Abos gelöscht.
Solltest du das Thema erneut brauchen, schicke mir bitte eine PM.

Jeder andere bitte hier klicken und ein eigenes Thema erstellen!
__________________
Kein Asylrecht für Trojaner!

Proud Member of UNITE

Hinweis: Ich bin nur werktags erreichbar!
Anfragen über PM werden ignoriert!

Du bist zufrieden mit uns? Dann unterstütze das Trojaner-Board!

Antwort

Themen zu Avira findet TR/Sirefef.16896 und TR/ATRAPS.Gen und TR/ATRAPS.Gen2 in Windows\Installer und W32/Patched.UA in Windows\System32\service.exe
0x8007042, antivir, autorun, avira, avira searchfree toolbar, bho, bingbar, bonjour, desktop, error, failed, firefox, flash player, frage, home, installation, logfile, microsoft office starter 2010, mozilla, phishing, plug-in, realtek, registry, rundll, security, siteadvisor, software, symantec, system, windows




Ähnliche Themen: Avira findet TR/Sirefef.16896 und TR/ATRAPS.Gen und TR/ATRAPS.Gen2 in Windows\Installer und W32/Patched.UA in Windows\System32\service.exe


  1. TR/ATRAPS.Gen2 in C:\windows\installer\...\80000032.@ Avira Fund auf Vista PC
    Log-Analyse und Auswertung - 27.07.2013 (23)
  2. Avira: TR/ATRAPS.Gen und TR/ATRAPS.Gen2 in C:\Windows\Installer...
    Plagegeister aller Art und deren Bekämpfung - 26.10.2012 (9)
  3. tr/sirefef.16896 und tr/atraps.gen2; wie bekomme ich die weg?
    Plagegeister aller Art und deren Bekämpfung - 26.09.2012 (17)
  4. TR/ATRAPS.Gen2 und TR/Sirefef.W.16896 in C:\$Recycle.Bin\S-1-5-18\......
    Plagegeister aller Art und deren Bekämpfung - 19.09.2012 (3)
  5. TR/ATRAPS.Gen2, TR/Sirefef.16896 (in C:\Windows\Installer\...) und W32/Patched.UA (C:\Windows\System32\services.exe)
    Plagegeister aller Art und deren Bekämpfung - 04.09.2012 (5)
  6. Avira findet TR/ATRAPS.GEN in C:\WINDOWS\Installer\
    Plagegeister aller Art und deren Bekämpfung - 31.08.2012 (3)
  7. Trojaner geangelt TR/ATRAPS.Gen2 TR/Sirefef.16896
    Plagegeister aller Art und deren Bekämpfung - 30.08.2012 (38)
  8. W32/Patched.UA in "C:\Windows\System32\services.exe" + TR/Small.FI, TR/ATRAPS.Gen und TR/ATRAPS.GEN2
    Plagegeister aller Art und deren Bekämpfung - 26.08.2012 (2)
  9. TR/Winwebsec.AJ.14;BDS/ZAccess.W;EXP/JAVA.Teqwari.gen;TR/Agent.2049;TR/ATRAPS.gen2 und TR/sirefef.16896 von AVIRA gefunden
    Log-Analyse und Auswertung - 21.08.2012 (12)
  10. Avira: 800000cb.@ TR/ATRAPS.Gen und TR/ATRAPS.Gen2 in C:\Windows\Installer\.. und weitere Pfaden
    Plagegeister aller Art und deren Bekämpfung - 16.08.2012 (25)
  11. Avira: Wiederholte Warnung zu TR/ATRAPS.Gen2 und TR/Sirefef.16896
    Log-Analyse und Auswertung - 15.08.2012 (1)
  12. TR/ATRAPS.GEN, TR/ATRAPS.GEN2 in C:\Windows\Installer\{...} und JAVA/Dldr.Lamar.CI
    Mülltonne - 09.07.2012 (2)
  13. TR/Small.FI, TR/ATRAPS.Gen, TR/ATRAPS.GEN2 und W32/Patched.UA in "C:\Windows\System32\services.exe"
    Plagegeister aller Art und deren Bekämpfung - 04.07.2012 (15)
  14. Avira findet ständig TR/ATRAPS.Gen2 TR/Sirefef.AG.35
    Plagegeister aller Art und deren Bekämpfung - 27.06.2012 (14)
  15. TR/ATRAPS.Gen2 und TR/Sirefef.AG.35 in C:Windows\Installer\
    Log-Analyse und Auswertung - 14.06.2012 (3)
  16. (2x) TR/ATRAPS.Gen2 und Sirefef.AG.35 werden ständig von Avira erkannt (Installer-Virus)
    Mülltonne - 05.06.2012 (1)
  17. Avira: findet TR/ATRAPS.Gen2 in C:\WINDOWS\system32\odb.dll
    Plagegeister aller Art und deren Bekämpfung - 14.04.2011 (1)

Zum Thema Avira findet TR/Sirefef.16896 und TR/ATRAPS.Gen und TR/ATRAPS.Gen2 in Windows\Installer und W32/Patched.UA in Windows\System32\service.exe - Code: Alles auswählen Aufklappen ATTFilter All processes killed ========== OTL ========== ========== COMMANDS ========== [EMPTYTEMP] User: All Users User: Default ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: - Avira findet TR/Sirefef.16896 und TR/ATRAPS.Gen und TR/ATRAPS.Gen2 in Windows\Installer und W32/Patched.UA in Windows\System32\service.exe...
Archiv
Du betrachtest: Avira findet TR/Sirefef.16896 und TR/ATRAPS.Gen und TR/ATRAPS.Gen2 in Windows\Installer und W32/Patched.UA in Windows\System32\service.exe auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.