Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   TR/ATRAPS.gen nach Neuinstallation von Windows 7 (https://www.trojaner-board.de/79027-tr-atraps-gen-neuinstallation-windows-7-a.html)

DerFriese 01.11.2009 18:45
TR/ATRAPS.gen nach Neuinstallation von Windows 7
 
Moin moin!

Habe heute meine Platte formatiert und Windows 7 installiert. Antivir installiert, erster Scan und schon ein Fund :-(

Zitat:
C:\Program Files\MSI\Live Update 4\FlashUty\AMI\EFIWIN\AEFUWIN.exe
[FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen2
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b33c548.qua' verschoben!
Ich habe unter anderem dieses Forum durchsucht und mit google nachgeschaut und habe unter anderem erfahren, dass man so etwas chwer loswird - stimmt das? Ich mache Online-Banking und hab auch schon das ein oder andere Mal meine Kraditkartennummer im Netz eingegeben (aber nicht als Cookie gespeichert).

Was muss ich nun als nächstes machen? braucht ihr dieses Hijack Log?

Gruß, der Friese


P.S. Der Grund für die Neuinstallation war ein Bluescreen mitten im Surfen! Ich hab den PC nicht mehr zum laufen gebracht, auch nicht im abgesicherten Modus!

P.P.S. Ich habe nach der Neuinstallation auf einen Stick von meiner Freundin zugegriffen, den ich aber im nachhinein noch gescannt habe: kein Fund! Sonst nur Treiber runtergeladen.

DerFriese 01.11.2009 18:59
Hier das Log-File von Hijackthis

Zitat:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:31:43, on 01.11.2009
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Hercules\WiFi Station\WiFiStation.exe
C:\Program Files\MSI\DualCoreCenter\DualCoreCenter.exe
C:\Windows\system32\taskhost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\system32\NOTEPAD.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [DelReg] C:\Program Files\MSI\DualCoreCenter\DelReg.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
O4 - Global Startup: DualCoreCenter.lnk = C:\Program Files\MSI\DualCoreCenter\StartUpDualCoreCenter.exe
O4 - Global Startup: WiFi Station.lnk = C:\Program Files\Hercules\WiFi Station\WiFiStation.exe
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O13 - Gopher Prefix:
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe

--
End of file - 3493 bytes

Acid303 01.11.2009 19:45
Hallo Friese

Ich gehe da mal ganz stark von einem Fehlalarm seitens Antivir aus.

Zitat:
C:\Program Files\MSI\Live Update 4\FlashUty\AMI\EFIWIN\AEFUWIN.exe
Hast du ein MSI Mainboard? Das ist ein Tool zum updaten, wahrscheinlich für´s BIOS. Also eine Infektion nach einer frischen Install halte ich doch schon für sehr unwahrscheinlich.

Gruß

Acid

DerFriese 01.11.2009 19:57
Ja, hab ich.
Ich hatte auch schon so etwas im Verdacht. Allerdings habe ich wie schon erwähnt, vorher arge Probleme: langsames Inet, regelmäßige Firefox Abstütze und Schwierigkeiten beim Online-Banking.

Ich habe vor der Formatierung den Ordner "Benutzer" auch auf DVD gesichert und jetzt nachträglich gescannt: 2 Funde, auch TRs.

Hab da schon etwas Schiss. Wie kann ich denn 100% sicher gehen, dass das nichts erstes ist?

Damar911 01.11.2009 21:02
Hi,

also direkt weiterhelfen kann ich nicht aber ich habe genau den selben Trojaner (in der selben Datei..) und der User hier: TR/ATRAPS.Gen2 bei heutiger Systemprüfung gefunden - Viren und andere Sicherheitsrisiken - Avira Support Forum hat es wohl auch.. ich schätze mal stark, dass es ein Fehler seitens AV ist zumal ich mir auch unmöglich einen Trojaner eingefangen haben kann.. Aber ganz sicher bin ich mir natürlich auch nicht.

Acid303 01.11.2009 21:18
Hallo Friese

Avira hat letzt mal wieder ein Engine update gemacht weswegen es verstärkt zu Fehlalarmen kommen kann. Wir sind das gewohnt. ;) Wenn du sicher gehen willst dann mache folgendes:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

* Doppelklick auf die OTL.exe
* Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
* Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
* Unter Extra Registry, wähle bitte Use SafeList
* Klicke nun auf Run Scan links oben
* Wenn der Scan beendet wurde werden 2 Logfiles erstellt
* Poste die Logfiles hier in den Thread.

http://filepony.de/download-otl/

http://www.trojaner-board.de/51187-a...i-malware.html

Alle logs bitte hier posten.

Gruß

Acid


Alle Zeitangaben in WEZ +1. Es ist jetzt 01:34 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131