Hallo zusammen,

ich wende mich zum ersten mal an euer Forum, nachdem ich schon des öfteren darin gestöbert habe.
Auf dem Laptop meiner Freundin (Acer, Win7, 64bit) wurde beim Scannen mit Avira Free Antivirus ein Trojaner TR/ATRAPS.Gen gefunden (Quelle: C:\ProgramData\Microsoft\Search\Data\Applications\Windows\tmp.edb).
Dieser wurde in die Quarantäne von Avira verschoben wo er sich nun auch noch befindet. Beim erneuten Scannen des kompletten Rechners, jetzt ein paar Tage später, wurde nichts weiteres mehr gefunden.

Seit dem Fund wurde nur ZoneAlarm upgedatet und natürlich Avira. Windows Updates sind auf "automatisch installieren" gesetzt. Seitdem haben wir an dem Rechner außer einmal Emails abrufen nichts mehr gemacht was mit eienem login und der Eingabe von Passwörtern zu tun hatte.

Nun meine Frage:
Ist der gefundene Trojaner bekannt und echt oder nur eine Fehlalarm von Avira? Kann ich in einfach aus der Quarantäne löschen, damit ist das System bei Befall doch nicht wirklich sauber?

Danke im Voraus für jegliche Hilfe.
Gruß Mirko

Hallo und

Ich bin Christoph alias DerJazzer. Ich werde dich durch die Bereinigung begleiten und bin währenddessen dein Ansprechpartner für dieses Thema.

Je nach Art der vorliegenden Infektion kann viel Arbeit und ein großer Zeiteinsatz auf dich (und auf mich) zukommen. Ein Neuaufsetzen ist damit meist als der schnellere, aber immer als der sicherere Weg zu betrachten.

Für den Erfolg der Bereinigung gilt:
Ich kann dir zu keinem Zeitpunkt garantieren, dass der PC nach der Bereinigung auch wirklich frei von Malware ist!

Wenn du das akzeptierst, bitte ich dich, hier so lange mitzuarbeiten, bis ich dir sage, dass der PC aus meiner Sicht malwarefrei ist.

Um die Bereinigung so effektiv und nervenschonend wie möglich zu gestalten, bitte ich dich, folgende Punkte ebenfalls zu beachten:

• Bitte arbeite alle Schritte in der von mir genannten Reihenfolge nacheinander ab.
• Bitte lies dir meine Anleitungen einmal kurz durch, bevor du beginnst. Solltest du Fragen haben, stelle sie bitte hier im Thema.
• Sollten während des Abarbeitens der Anleitungen und des Einsaztes der geforderten Tools Probleme auftauchen, stoppe bitte bei dem betreffenden Schritt und beschreibe dein Problem so genau wie möglich.
• Bitte setze keine Tools auf eigene Faust ein, sondern benutze nur von mir ausdrücklich geforderte Tools. Ebenso bitte ich dich, während der Bereinigung keine neuen Programme ohne meine Aufforderung zu installieren.
• Im Interesse der Höflichkeit (auch im "anonymen" Internet!) appelliere ich an dich, sog. Crossposting (Posten deines Problems in mehreren Foren) auch aus Wertschätzung meiner Arbeit zu unterlassen.

Um mir das Auswerten deiner Logs (Berichte der verwendeten Programme) zu erleichtern, bitte ich dich, diese zwischen Code-Tags zu posten. Dazu drückst du einfach den #-Button im Antwortfenster und fügst dort zwischen den eckigen Klammern dein Log ein. Das sieht dann so aus: [CODE] eingefügtes Log [/CODE]

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Schritt 1

Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop

• Starte die TDSSKiller.exe - Einstellen wie in der Anleitung zu TDSSKiller beschrieben.
• Drücke Start Scan
  
• Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und klicke auf Continue.
  TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern (Meistens C:\)
  Als Beispiel: C:\TDSSKiller.<Version_Datum_Uhrzeit>log.txt

Poste den Inhalt bitte in jedem Fall hier in deinen Thread.


Schritt 2

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
  Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS-Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).



Schritt 3

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Bitte poste in deiner nächsten Antwort

• TDSSKiller-Log
• AswMBR.txt
• FRST-Log

EDIT: Die Datei wird gerne mal fälschlicherweise als Malware erkannt, könnte also ein Fehlalrm sein.

Bitte melde die Datei doch mal bei Avira und lasse sie dort auswerten.

Alternativ/Zusätzlich kannst du auch Folgendes machen:

Bitte lasse die Datei aus der Code-Box bei Virustotal überprüfen.

• Klicke auf Choose File
• Kopiere nun folgendes in die Suchleiste
  
  Code: Alles auswählenAufklappen

  ATTFilter

  C:\ProgramData\Microsoft\Search\Data\Applications\Windows\tmp.edb
           

• und klicke auf Öffnen.
• Klicke auf Scan It!.
• Warte bitte bis die Datei vollständig hochgeladen wurde. Solltest Du folgende Meldung bekommen
  
  Zitat:

  This file was already analysed by VirusTotal...

  klicke auf Reanalyse.
• Warte bis dir das Analysedatum angezeigt wird und der Scan abgeschlossen ist.
• Kopiere den Link aus deiner Adresszeile und poste ihn hier.

Hallo DerJazzer!

Danke das du so schnell hilfst.

Erste FRage: Beim Download von TDSSKiller öffnet sich zuerst ein Zip Opener der installiert weden möchte. Soll das so?

Mach bitte erstmal das, was unter EDIT unten in meiner Antwort steht (also bitte die Datei bei Virustotal hochladen).

Bei Virustotal bekomme ich nach dem einfügen von "C:\ProgramData\Microsoft\Search\Data\Applications\Windows\tmp.edb" und klicken auf "Öffnen" eine Fehlermeldung.

"Sie verfügen nicht über die Berechtigung, diese Datei zu öffnen. Wenden Sie sich an den Besitzer dieser Datei oder einen Administrator, um diese Berechtigung zu erhalten".

Zu Avira habe ich schon hochgeladen.

Ok, Admin-Problem bei Virustotal gelöst.

Jetzt erscheint "nur noch" die Fehlermeldung:
"tmp.edb Die Datei wird verwendet. Geben Sie einen anderen Namen ein, oder schließen Sie die Datei in dem anderem Programm". Wo soll ich die schließen?

Stell mal die Windows-Suche temporär aus:

Beende unter "Dienste" die den Dienst "Windows-Search". Dadurch sollte die Datei gelöscht werden. Starte dann mal neu. Windows Search wird dann wieder gestartet und die Datei neu erstellt. Lasse sie dann nochmal von Avira scannen.

Habe Windos-Search beendet und Rechner neu gestartet. Datei in Avira-Quarantäne und direkt auf C:\ nochmal gescannt:

- in der Quarantäne wurde der Fund bestätigt
- nach Scannen der Datei direkt unter C:\ mittel rechte Maus-Klick -> ausgewählte Datei mit Avira überprüfen KEIN Fund!

Wie gesagt, die Datei wird nach dem Reboot neu erstellt, und das von Avira erkannte "bosärtige" Teilstück hat sich verflüchtigt
Ist nen häufiger Fehlalarm, nicht nur von Avira.

Noch Fragen/Probleme/Auffälligkeiten?

Ansonsten kannst du dich ja nochmal melden, was der Avira-Support so über deine Datei sagt

Ok. Das heißt ich kann dann die Datei getrost bei Avira aus der Quarantäne löschen?


Edit:
Und die Windows-Search kann ich adann auch wieder einschalten?

Lass sie doch einfach in der Quarantäne, bis der Bericht von Avira kommt. Da stört sie doch niemanden.

Windows-Search sollte nach dem Reboot automatisch wieder eingeschaltet sein. Schau das bitte mal unter "Dienste" nach.

Hallo DerJAzzer,

ich hatte leider nicht mehr geantwortet wie's mit der Antwort von Avira ausgegangen ist. War alles I.O. Danke nochmal, und wenn du das Thema noch offen hattest kannst es jetzt getrost schließen.

Gruß Mirko