TR/ATRAPS.gen und einige Viren + Rootkits
 

Hallo liebe Trojaner-Freunde,

folgendes Problem trat letzte Woche auf: Meine Mutter bemerkte beim Arbeiten am PC nach einiger Zeit die Meldung von Avira Antivir: TR/ATRAPS.Gen gefunden.

Da sie sich nicht so sehr mit PCs auskennt, hat sie die Meldung erstmal bestätigt ("Entfernen"). Nach ca. 5 Minuten kam die gleiche Meldung allerdings nochmals. Immerwieder wurde der Entfernen-Button gedrückt. Nachdem mein Vater ebenfalls am PC arbeitete und die Meldung ignorierte, rief mich meine Mutter am nächsten Tag an, da beim Neustart das gleiche Problem erschien.

Ich gab die Anweisung erstmal den PC nicht mehr anzuschalten und zu warten bis ich mich darum kümmern kann.

Zunächst verschob ich die Datei die Avira gefunden hatte in Quarantäne, allerdings kam auch bei mir später ein Pop-Up mit dem gleichen Inhalt. In der Zwischenzeit installierte ich MBAM und lies zunächst einen Quick-Scan durchführen, der ca. 6 Trojaner/Rootkits fand. Deshalb -> Komplettscan mit MBAM und nachher Avira. Beide fanden unterschiedliche Dinge:

- Avira den TR/Atraps.gen sonst aber nichts
- MBAM die Rootkits und andere Trojaner aber kein ATRAPS.gen, obwohl die Pop-Up Meldung von Avira immernoch kam (folglich war er noch nicht entfernt)

Erste Maßnahme: alles in Quarantäne verschoben + ATRAPS.gen leider gelöscht. Nach einer Weile hörte auch Avira auf zu pop-uppen. ;-)

Wichtig ist zu erwähnen, dass bisher keine Schäden durch Verschlüsselungen etc. entstanden. Die verwendeten Email-Adressen wurden mit neuen Passwörtern gesichert, sodass keine Gefahr mehr besteht.

Dieses Wochenede hab eich etwas mehr Zeit und habe nochmal MBAM-Quickscan ohne Ergebnisse durchgeführt, sowie OTL und GMER checken lassen.

Die LOG-files aller Suchläufe + einige Reports von Avira (konnte nicht alle 40 psten, da alle 5 Min kam) poste ich unten drunter, in der Hoffnung, dass mir jemand helfen kann. GMER kommt später, da er im Mom noch läuft.

Ähnliche Fälle wurden zwar schon behandelt, aber in dieser Kombination wohl noch nicht. Die genaue Infektionsursache ist mir allerdings unbekannt. Lediglich wurden Mails gecheckt. Eventuell ist eine WORD-Datei im Anhang (von einem Bekannten) der Auslöser.


Vielen Dank fürs bis hierher lesen!

OTL-Logdatei schonmal hier:

Und hier die GMER-Logdatei

Leider als Code, da ich nicht weiß, wie man bei Antworten /Editieren den Anhang verändern kann. Sorry!

Kannst du bitte grundsätzlich alle Logs hier direkt mit CODE-Tags posten?
Das ermöglicht u.a. bestimmte Dinge überhaupt erst per Sufu finden zu können
In den Anhang (egal ob komprimiert oder nicht) nur wenn es direkt als CODE nicht passt. Danke

e

Leider sind Codes zu lang, sprich sie passen nicht in eine Antwort. Jetzt weiß ich nicht: als mehrer Nachrichten posten oder wie?

Oder soll ich z.B. Avira-Scanfile erstmal weglassen?

Jedes Log separat in seine eigene CODE-Tags packen
Wenn nötig mehrere Postings erstellen - nur wenn ein zusammenhängendes Log zB schon mehr als drei Postings benötigt, dann macht das Posten als Anhang erst Sinn

AVSCAN-20120803

AVSCAN-20120803-2

AVSCAN-20120803-3

mbam-log-2012-08-03

mbam-log-2012-08-03

mbam-log-2012-08-03 (18-17-53)

mbam-log-2012-08-11 (11-25-17)

OTL- EXTRAS

OTL

GMER steht bereits in einem Post oberhalb!


Vielen Dank...hoffe jetzt könnt ihr helfen ;-)
Habe mich nur an die Anwesungen gehalten, dass man nich gleich mehrere Posts machen soll, da der Thread sonst als beantwortet angesehen wird.

Bitte erstmal routinemäßig einen neuen Vollscan mit malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Die Funde mit Malwarebytes bitte alle entfernen, sodass sie in der Quarantäne von Malwarebytes aufgehoben werden! NICHTS voreilig aus der Quarantäne entfernen!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Der Malwarebytes Komplettscan befindet sich bereits unter den oben geposteten...ist glaube das zweite mit dem Namen "mbam-log-2012-08-03". Wie bereits geschrieben habe ich auch alle Funde in Quarantäne geschoben und nichts gelöscht (-> erster Beitrag).

ESET werde ich ausführen sobald ich wieder bei meinen Eltern bin, vorraussichtlich am Freitag.

Dazu noch eine Frage: wie siehts denn aus mit Internet, eigentlich sollte ich doch mit dem infizierten Rechner nicht ins Internet gehen oder? Funktioniert der Download dann überhaupt auf einem anderen Rechner, der eine andre Sigantur bekommt? (Soll heißen: ich kann das Programm evtl. per USB-Stick drauf spieln. Ist dann der USB-Stick gefährdet?)

Vielen Dank bis hierher erstmal!

Könnt ihr vorab mit den vorhandenen Logs was anfangen bzw. eine Auskunft geben "wie schlimm" es den Rechner getroffen hat?

Du solltest aber einen neuen Vollscan mit Malwarebytes machen
Der andere Vollscan ist ja auch schon fast zwei Wochen her und ich will deswegen einen aktuelleren Stand sehen


Übertreibe es erstmal nicht, mach keine kritischen Sachen bis wir hier durch sind
Installiere auch bitte keine Programme ohne Absprache und auch sonst nichts auf eigene Faust
Zum Zwecke der Analyse und Bereingung muss der Rechner ins Internet wenn es mögilch ist

Du hast hier Rootkitbefall, fast alle neuen Fälle handeln gerade von diesem ZoeroAccess (ATRAPS, Sirefef, ...)
Natürlich ist eine Neuinstallation sicherer, aber das wilst du nicht oder doch?

Nein, eine Neuinstallation wäre nicht so schön. Eine andere Lösung ohne "Neu-aufsetzen" wäre ideal.

Ich werd mal versuchen das ESET zu starten.

Zum Vollscan: Ich hab meinen Eltern gesagt, dass sie nicht mehr an den PC sollen. Folglich dürften seitdem keine Änderungen mehr am PC vorgenommen worden sein (Inet-Stecker ist rausgezogen, seit Virenbefall nur 2 PC-Starts, davon jedes mal Virescan).

Ich hab als einziges beim letzten Mal ZoneAlarm installiert, um etwas sicherer ins Internet geöangen zu können (manuell Zugriff steuern). Ich hoffe das war nicht gar zu schlimm.

Kurz: Seit einer Woche war der PC nicht mehr an. Ich mach am Freitag nochmal Komplett-Scan und ESET.

Ich hoffe damit könnt ihr dann etwas mehr anfangen.

Dankeschön, dass das so gut bei euch klappt ;-) Bin das erste Mal beim TB und bin von eurem Engagement positiv überrascht... Also weiterso & bis spätestens Freitag!

Liebe Grüße cmd_marv

ZoneAlarm ist ziemlicher Unsinn und neben TuneUp und anderem Schlagenöl so ziemlich das unsinnigste was man seinem Windows-System antun kann.

Denk nicht nur an ESET, ich wollte auch einen neuen Vollscan mit Malwarebytes sehen

Nunja... gut ZoneAlarm war der einzig mir bekannte und kostenlose (daher schnell zu haben) Firewall. Mh anscheinend keine so gute Wahl?!

-> abseits vom Thema: gibts andre Empfehlungen bezüglich Firewall und WinXP?

Ich werd auch einen neuen Malwarebytes Scan machen, obwohl sich seitdem ersten nichts verändert haben sollte.

Mehr als die Windows-Firewall benötigt man nicht!

Letzte Logfiles
 

Hallo cosinus,

jetzt hab ich alle Logfiles zusammen, die ch auch gleich im Anschluss poste.

MBAM Komplettscan von heute (keine Funde):

und der ESET-Bericht:

Ich hoffe du kannst mir jetzt irgndwas sagen, mit dem ich etwas anfangen kann. Wenn ich als Laie mir das so ansehe siehts so aus als wären die Kits/Trojaner weg....

Ich hänge als Anhang mal noch ein Bild von den Funden in Quarantäne an.


Vielen Dank schon im Voraus und ein schönes Wochenende!

LG cmd_marv

PS: Ich bin die nächste Zeit nicht so oft online, da im Urlaub. Trotzdem würde mich eine schnelle Antwort freuen, um gleich anschließend reagieren zu können.

Ich mach ab Mitte nächster Woche auch eine Auszeit. Bis spätestens Dienstag kann ich wohl noch posten

adwCleaner - Toolbars und ungewollte Start-/Suchseiten aufspüren

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Search.
• Nach Ende des Suchlaufs öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[R1].txt.