|
Hartnäckiger TR/ATRAPS.Gen und anderer Befall Hallo! Ich habe mir wohl gestern beim surfen gleich einen ganzen Packen an Viren zugezogen und mich jetzt nach diversen mehr oder weniger erfolglosen Rettungsversuchen doch dazu entschieden hier ein Thema zu erstellen. Folgendes hat sich bisher getan: Dass ich mir was böses eingehandelt hatte war mir gestern relativ schnell klar, da sich auf einmal spontan Firefox Fenster mit Werbung öffneten, alle Weiterleitungen von google in einem Fehler endeten und auf einmal ein Systemproxy aktiviert war. Also hab ich zunächst mit Antivir und Spybot alles durchgescannt und damit scheinbar schon diverses Ungeziefer erwischt doch als ich dann neustarten wollte kam die böse Überraschung und mein PC fuhr immer wieder kurz vor dem Anmeldedialog runter. Zu meiner Verwunderung konnte ich das allerdings relativ schnell mit der Vista boot dvd bzw. der Reparatur option beheben. Sofort lies ich nochmals einen Scan laufen der dann auch ohne Fund blieb und ich war schon guter Hoffnung dass es sich damit erledigt haben könnte aber zum glück hatte ich es trotzdem weiterhin vermieden mich bei sensiblen Diensten anzumelden. Heute morgen tauchten dann auf einmal in regelmäßigen Abständen Antivir Guard Warnungen auf welche meldeten, dass die datei C:/Windows/temp/<zufälligerordner>/<zufälligername>.exe eine Signatur des Trojaners TR/ATRAPS.Gen enthält doch sobald ich mir den pfad anschauen wollte löschten sich die dateien immer wieder von selbst. Als temporäre Maßnahme habe ich jetzt erstmal die Zugriffsrechte auf diesen "temp" ordner für alle benutzergruppen überschrieben und seitdem habe ich auch keine Meldung mehr bekommen. Während meiner weiteren Recherche habe ich dann auch noch einen Malwarebytes scan gemacht der wiederum ~8 Probleme entdeckt und behoben hat sowie mit dem CCleaner alle daten und die registry bereinigt. Desweiteren ist es warscheinlich noch erwähnenstwert, dass ich auch den folgenden Guide befolgt habe um jenen sshnas21.dll virus zu entfernen: hxxp://www.administrator.de/Sshnas21.dll_konnt_nicht_gefunden_werden_(Achtung_Trojaner).html Im Anhang befinden sich die geforderten logs sowie die beiden MBAM logs der Scans die ich zuvor schon gemacht hatte. Code: Logfile of Trend Micro HijackThis v2.0.2 |
Zitat:
|
Sind die beiden folgenden Pfade die jenigen in denen ich die Logs finden sollte? C:\ProgramData\Avira\AntiVir Desktop\LOGFILES C:\ProgramData\Spybot - Search & Destroy\Logs Falls ja bin ich ziemlich aufgeschmissen, denn darin befinden sich lediglich noch 2 bzw. 3 logs von gestern die allesamt ohne Funde oder einmal nur mit einem false positive verlaufen sind. Antivir zeigt mir unter "Berichte" zwar noch die ganzen vorherigen Suchläufe an und wie viele Funde es gab etc. aber die zugehörgen Logs scheinen verschwunden. |
Zitat:
|
Das hatte ich mal vor längerer Zeit eingerichtet nachdem ich in einer c't Ausgabe gelesen hab wie Photoshop CS4 wohl heimlich immer wieder adobe server kontaktieren kann. |
Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!! Code: :OTLDas Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. |
Alles klar und danke schonmal ;) Hier der Log: Code: All processes killed |
Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
http://saved.im/mtm0nzyzmzd5/cofi.jpg
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! |
Hm... als ich Combofix gestartet habe hat sich kurz nachdem der Ladebalken das ende erreichte mein PC einfach abgeschaltet. Ich denke ich habe auch die vorherigen Schritte korrekt ausgeführt: CCleaner hat alles aufgeräumt, in der Registry stand nur noch der alte AntiVir fehler den ich ja ignorieren kann und (Hintergrund)programme hatte ich auch soweit wie möglich auch beendet. |
Probiers nochmal aus. |
So jetzt hab ich es noch ein paar mal mit dem gleichen Ergebnis ausprobiert bis ich per Spybot Antivir komplett aus dem systemstart genommen hab und HijackThis mir auch versichert hat, dass Explorer.exe der einzige von meinem Konto aus laufende Prozess ist. Dadurch ist der PC jetzt allerdings an der selben Stelle komplett Eingefroren anstatt sich auszuschalten. Ein letztes mal hab ich es nun jetzt noch einmal probiert und es scheint wieder alles beim alten zu sein. |
Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen. Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst. Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
|
Ok hier die logs: GMER: Code: GMER 1.0.15.15530 - hxxp://www.gmer.netCode: Report of OSAM: Autorun Manager v5.0.11926.0Code: MBRCheck, version 1.2.3 |
Hast Du noch andere Betriebssysteme außer Vista installiert? Wenn nicht: Schau mal hier => Vista Notfall/Recovery-CD 32-Bit - Dr. Windows Lad das iso runter, brenn es zB mit ImgBurn per Imagebrennfunktion auf eine CD und starte damit den Rechner (von dieser CD booten). Falls Du eine normale Vista-Installations-DVD hast, brauchst Du das o.g. Image nicht sondern kannst einfach von der Vista-DVD booten. Klick auf Computerreparaturoptionen, weiter, Eingabeaufforderung - die Konsole öffnet sich. Da bitte bootrec.exe /fixboot eintippen (mit enter bestätigen), dann bootrec.exe /fixmbr eintippen (mit enter bestätigen) - Rechner neustarten, CD vorher rausnehmen. Danach ein neues Log mit GMER machen. |
Hat alles soweit gut geklappt und ich habe auch keine anderen Systeme installiert. Neuer GMER log: Code: GMER 1.0.15.15530 - hxxp://www.gmer.net |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 22:34 Uhr. |
Copyright ©2000-2025, Trojaner-Board