|
TR/ATRAPS.GEN - msacm32.drv und mehr Hallo an alle, hier ist mal wieder ein neuer - wie wohl jeden Tag hier im Forum. Vor ein paar Stunden hats mich gebeutelt beim Surfen im Internet. Irgendwo im Hintergrund ist ne Seite aufgepoppt (konnte ich leider nicht mehr sehen was), da wurden bereits die ersten 10-15 Warnmeldungen (Avira Antivir Premium) des Virenscanners angezeigt. Ich konnte die gar nicht schnell genug wegklicken, da waren schon mehr auf als ich wegbekommen hab - also schnell PC aus (damit auch die Internetverbindung unterbrochen wurde). PC wieder hochgefahren, war etwas träge anschließend und es ging ab und an eine Warnmeldung auf mit dem Hinweis das sich in der Datei windows\msacm32.drv (obwohl diese in windows\system32\msacm32.drv liegt) der Trojaner TR/ATRAPS.GEN befinden würde. Virenscans haben nichts gebracht und ab und an ging das Warnfenster auf. Ich gesucht und bei Euch Informationen gefunden - was ein Glück. Habe hijackthis ausgeführt und nach dieser Anleitung http://www.trojaner-board.de/54192-a...tellungen.html den Virenscanner getunt und nach diesem Hinweis http://www.trojaner-board.de/51187-a...i-malware.html nach Malware. Und habe noch einige andere Links zu Rootkids etc. bei Euch gefunden - hab ich alles ausgeführt. Virenscanner hat dann eine Datei gefunden - cmdow.exe im system32 ordner (ist nun erst mal in Quarantäne) - und andere Scanner ein mal eine Sache und die Malware gleich 13 evtl. nicht so schlimm (hab ich auch noch nix gemacht) und etwas unsicher weil die rundll dabei ist. Während des Scannes ist es noch 2 mal zu Warnungen gekommen in ner Tempdatei, die ich gleich weggeklickt habe - seitdem nicht mehr und der PC läuft auch wieder soweit. Ich liste mal nacheinander alles auf und hoffe, das ich Euch damit nicht erschlage. Brauche meinen PC jeden Tag und da wäre Eure Hilfe sehr wichtig für mich. hijackthis Code: Logfile of Trend Micro HijackThis v2.0.2Code: Code: Malwarebytes' Anti-Malware 1.41Code: Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, h**p://www.gmer.netCode: catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.netwar leider nicht genug Platz - Teil2 im nächsten Thread http://www.trojaner-board.de/78924-t...ehr-teil2.html |
TR/ATRAPS.GEN - msacm32.drv und mehr Teil2 Hier noch die anderen Scans ... sophos (der hat noch was gefunden) Code: Area: Windows registryund zu guter letzt gmer Code: GMER 1.0.15.15163 - http://www.gmer.netIch hoffe natürlich das bereits das schlimmste behoben ist, aber bei der Malware und so, da bin ich mir nicht so sicher. Viele Grüße Ernst |
Sorry, hatte gestern Nacht schon keine Nerven mehr und anstatt das ganze auf 2 Posts aufzuteilen, hab ich 2 Themen daraus gemacht. Seit bitte so lieb und fügt dieses als 2. Post unter TR/ATRAPS.GEN - msacm32.drv und mehr Teil1 ein, dann kann man diesen Thread wieder löschen. War wohl gestern Nacht schon leicht verwirrt. Viele Grüße Ernst |
Moin Ernst. Lasse Malwarebytes nocheinmal über den Rechner gucken und lösche alles was gefunden wird! Gleiches gilt für Avira mit aggresiven Einstellungen! Danach lässt du SuperAntiSpyware über das System gucken und ebenfalls alles löschen was gefunden wird! Danach geht es mit Panda weiter: Panda Active Scan Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation Danach noch Kasperksy: AVP-Tool
Der Scan beginnt in einem neuen Fenster. Er kann je nach Datenvolumen und Leistungsindex des Computers mehrere Stunden dauern. Nach Abschluss des Scans wirst du über gefundene Objekte informiert. Folge den empfohlenen Maßnahmen! Zuerst wird Kaspersky versuchen die schädliche Datei zu desinfizieren. Ist das nicht möglich wird sie unter Quarantäne gestellt oder gelöscht. Dabei wird immer ein Backup angelegt! Zögere also nicht die Funde löschen zu lassen. In besonderen Fällen wird Kaspersky eine Desinfektions-Routine einleiten die einen Neustart des PCs beinhaltet. Folge auch hier einfach den Anweisungen. Nachdem alle Funde gelöscht wurden klicke auf den "Report"-Button und kopiere den kompletten Bericht. Füge ihn bitte in deinen nächsten Beitrag hier am Forum ein. Dieser Bericht ist für weitere Analysen sehr wichtig und sollte unbedingt gepostet werden! Dateien Online überprüfen lassen: * Lasse dir auch die versteckten Dateien anzeigen! * Rufe die Seite Virustotal auf. * Dort suche über den "Durchsuchen"-Button folgende Datei raus und lade sie durch Druck auf den "Senden der Datei"-Button hoch. Zitat:
* Sollte die Datei bereits analysiert worden sein so lasse sie unbedingt trotzdem nocheinmal analysieren! * Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen. Poste alle logs. |
Hallo und danke erst mal für die Hilfe. Ich fang jetzt noch an, doch den Scan mit AVP-Tool werd ich erst am Wochenende schaffen - muss wohl nochmal 1-2 Tage weg. Zitat:
Zitat:
Zitat:
Und bitte nicht mit dem cCleaner - der verträgt sich absolut nicht mit meinem PC - der hat mir schon alles irgendwie zerschossen. Oder ist die neueste Version endlich sicher. Ansonsten benutz ich was anderes. Zitat:
So, ich fang jetzt gleich an. Bis dann und Danke erst mal. Gruß Ernst |
Zitat:
|
Hab ich bereits gemacht. Avira auch noch mal - findet aber nix mehr. Superantispyware hat noch ein paar Sachen in Quarantäne gestellt. Immer während der Scanvorgänge poppen hier und da mal ein paar Warungen von Avira auf. Da hats mir inzwischen ne PHP-Datei auf der zweiten Festplatte bei Dateien angelegt - hab ich darüber gleich gelöscht. Es läuft gerade der Onlinescan und der hat schon 3 sachen gefunden - soll ich mich dort registrieren, damit er es auch repariert. Und wie ist es nochmal mit ccleaner - der hatte mir wie gesagt mal alles zerhauen - geht auch easycleaner - der macht mir nix kaputt. Den hab ich bisher immer nur für die Registry benutzt. Gruß Ernst EDIT: Muss mich verbessern und bin geschockt - der OnlineScan zeigt bereits 60 infizierte Dateien. Ich kann es mir nicht leisten jetzt meinen PC neu aufzusetzen. Hab ne Menge Arbeit zu tun. |
Poste bitte alle logs! Nur so können wir dir helfen. |
Habs jetzt geschafft und poste alle Logs in 4 Posts, da der Platz sonst nicht reicht. Habe alles entfernen lassen und was nicht ging wie bei Mails (altbackups) oder Sys Volume Info etc. hab ich alles per Hand gelöscht. Wegen dem Platz zeige ich auch nur die Laufwerke an, wo was gefunden wurde. Zuerst mal hijackthis Code: Logfile of Trend Micro HijackThis v2.0.2Code: Malwarebytes' Anti-Malware 1.41 |
... und Post 2 mit den weiteren Logs Nun Avira Code: In 2 Laufwerken waren Funde: |
Post 3 mit weiteren Logs Nun SUPERAntiSpyware Code: SUPERAntiSpyware Scan LogNun Panda Active Scan Code: Panda Active Scan |
Post 4 mit den restlichen Logs Virus Removal Tool Code: Virus Removal ToolCode: C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia\Common\87b7a01419.exeAuch wenn nicht alle wie die alten Mailanhänge was tun konnten - sie waren noch auf dem PC. Wenn meine Software, die ich auf dem PC habe nicht hilft, was muss ich mir dann installieren, was Live überwachen kann und relativ sicher ist. Nur im Nachhinein ist doch etwas gefährlich. Vielen Dank und viele Grüße Ernst |
Hallo, ich lese immer wieder, dass dieser Trojaner NICHT ohne das Neuaufsetzen von Windows möglich ist. Ist das richtig? Da ich auch betroffen bin überlege ich, mir mein Acronis Backup draufzuspielen nach der Neuinstallation. Reicht das aus? Oder muss ich noch zusätzlich den Masterboot Sektor "ausmerzen"? |
Also, scheinbar hat mir die ausführliche Info und Anleitung geholfen. Mein System läuft wieder schnell und scheinbar ist auch alles wieder sauber. Keine Warnungen oder sonst was mehr. Man muss halt scheinbar nach diesem System alles ab und an mal manuell suchen lassen oder sich Vollversionen kaufen, die auch live mitlaufen. Habe auch den cCleaner 2-3 Einstellungen geändert und er hat mir mein System einwandfrei gesäubert und aufgeräumt ohne Schaden anzurichten. Anschließend nochmal mit dem Easycleaner drüber und der hat mir dann noch die restlichen Leichen beseitigt. Der Panda-Online-Scan findet auch wirklich jede Menge, was aandere nicht gefunden haben - war schon heftig. |
Ja, dieses "Scheinb a r" ist mir ein bisschen zu unsicher, deswegen frage ich. |
Ich hab mich hier ja erst mal durchs Forum gelesen und da findet man eine Aussage, die mir auch vorher schon klar war: "100% gibt es nicht". Du dürftest bei einem jungfräulichem System keine CD, DVD, Stick mehr reinstecken und dich nie mehr ins Internet begeben. Einmal ins Internet kann bereits reichen und du hast es noch nicht mal bemerkt. Ich hab aufs neuaufsetzen verzichtet, da hätte mir inzwischen zuviel gefehlt. Ich bin zufrieden und hoffe, das keiner mehr was in meinen Logs findet. |
ok. Weiss jemand noch Rat zu meiner 2ten Frage: Da ich auch betroffen bin überlege ich, mir mein Acronis Backup draufzuspielen nach der Neuinstallation. Reicht das aus? Oder muss ich noch zusätzlich den Masterboot Sektor "ausmerzen"? |
Das sieht soweit ganz gut aus. Allerdings sind da Spuren vom Sinowal zu sehen. Einem der übelsten Trojaner überhaupt. Ich würde noch mit ein zwei Scannern scannen um das Restrisiko soweit wie möglich zu verringern. Nimm dazu am besten eine live CD. Antivirus Live-CD Drucke dir diese Anleitung aus da sie dir während du mit der Live-CD arbeitest nicht zur Verfügung steht! 1. Brennen und Starten der LiveCD:
2. Datensicherung:
a) Die Datei darf nicht ausführbar sein. Das heisst sie darf keine der hier aufgeführte Dateiendung haben. 3. Schädlingssuche: Viele Rootkits verändern beim Windows Start ihren Namen. Daher ist es wichtig, dass während der folgenden Prozedur der Rechner nie das normale Windows Betriebssystem startet sondern immer von der LiveCD bootet. Solltest du mal nicht schnell genug die CD ins Laufwerk bekommen oder das BootMenü verpassen so drücke den Reset Knopf am Computer um zu verhindern, dass Windows gestartet wird. G-DATA:
F-Secure:
DrWeb:
Kaspersky:
Alle Log/Bericht Dateien sowie die abgeschriebenen Funde packe bitte per G-Data Rettungssystem wie oben beschrieben auf einen USB-Stick und poste sie uns. Dazu musst du einen anderen PC benutzen da du den infizierten Rechner wie gesagt nur über die Live CD booten darfst bis du von uns andere Anweisungen bekommst. Solltest du keinen anderen PC zur Verfügung haben bietet das DrWeb Live System einen integrierten FireFox an. Du kannst also von der DrWeb-LiveCD booten, FireFox aufrufen, das Trojaner-Board besuchen und uns die Funde posten. |
Reicht es bei Befall ein ("sauberes") Acronis Backup meines Systems draufzuspielen? Oder kann der Trojaner in irgendeinem Speicher trotzdem überleben? |
Die Antwort galt emet. Stillway bitte eröffne bei weiteren Fragen einen eigenen Thread. Sonst wird es zu unübersichtlich. Zwei Fragen beantworte ich dir aber schnell schonmal so: Zitat:
Zitat:
|
| Alle Zeitangaben in WEZ +1. Es ist jetzt 21:35 Uhr. |
Copyright ©2000-2025, Trojaner-Board