Heftige Probleme mit Maleware (TR/ATRAPS.Gen)
 

Hi,

hatte in letzter Zeit immer wieder heftige Probleme mit Maleware bzw. Viren :(.

Aktuelles Problem ist der o.g. Trojaner er wurde in C:\Users\XXX\AppData\Local\Temp\ms0cfg32.exe' und 'C:\Users\XXX\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2XIELZEE\yo6Oue4T[1].exe gefunden.

Da das leider nicht die einzigen Funde in den letzten Monaten waren ist meine Frage ob ich mein System neu aufsetzten muss :( und wenn ja ob ich tatsächlich alle Daten löschen soll. Außerdem wie sieht es mit externe Festplatten, USB-Sticks u.ä. aus gibt es eine Möglichkeit festzustellen ob die noch sauber sind?

Bitte einfach posten welche Log's ihr braucht ich werde sie dann zeitnah posten.

Vielen Dank schon mal im Voraus!

Freundliche Grüße

Serious

Was hast du denn schon alles an Logs? Poste einfach alles was vorhanden ist, dann sehen wir weiter.

Hi,

benutze nur Antivir daher habe ich auch momentan nur ein Antivier Log:

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

So schon mal vorab das Log von Malewarebytes der OTL scan folgt später.

Und hier sind die OTL Logs.

OTL:

OTL Extras:

Okey, hoffe das passt soweit und vielen Dank für deine Hilfe schon mal! :)

Du solltest die Funde entfernen.

Ja schon passiert.

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hier das Log von Combofix:

Wieso wurde es nicht umbenannt?

Was meinst du?

Ich meine damit, dass du offensichtlich die Anleitungen nicht liest oder ignorierst :balla:

oh verdammt übersehen ist schon spät -.- soll ichs nochmal neu ausführen?

Ja mach nochmal als cofi. Die alte combofix.exe vorher löschen, dann per Rechtsklick => Ziel speichern unter als cofi aufm Desktop speichern und nach Anleitung ausführen.

Hi,

also hier das aktuelle Log:

Habe jetzt auf meine Partitionen E: und F: jeweils einen Ordner mit Namen: "$RECYCLE.BIN" kann ich den löschen oder soll der bleiben?

Nichts voreilig löschen!! Wenn man nicht weiß was das ist, sollte man es in Ruhe lassen!
Du siehst ihn wahrscheinlich deswegen, weil vorher geschützte Systemdateien nicht angezeigt wurden. Dass die jetzt angezeigt kann u.U. an CF liegen, aber das kann man rückgängig machen => http://www.trojaner-board.de/59624-a...-sichtbar.html (im grunde entgegengesetzt vorgehen zum Unsichtbarmachen aller System- und versteckten Dateien)


Bitte nun Logs mit GMER und mbrcheck erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg

Anleitung zu mbrcheck:
Downloade Dir MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur wenige Sekunden.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Hier die beiden Logs:

GMER:

MBRCheck:

Habe das mit den Ordneroptionen gecheckt, da war alles normal eingestellt. Leider kann ich nicht sagen wann genau die Ordner erschienen sind bzw. mit Ausführung von welchem Tool.

Ich lasse die Ordner einfach da stören ja nicht weiter :).

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Ups sry :o
Evl beim nächsten Windows-Start wird dieses kosmetische Problem gefixt. :schmoll:

Sooo der Vollscan mit SASW hat ne ganze Weile gedauert aber finaly hier sind die Logs:

Sieht ok aus, da wurden nur Cookies gefunden.
Noch Probleme oder weitere Funde in der Zwischenzeit?

Okay, eigentlich alles in Ordnung habe nur jetzt ständig nach dem hochfahren irgendwann eine Warnung "Das Profil konnte nicht gefunden werden!" aber das könnte wohl 1000 Gründe haben, ansonsten alles gut soweit. Ach ja und die Ordner sind natürlich immer noch da :D.

Vielen Dank schon mal echt super Support!!!

Welche von den Tool soll ich behalten habe jetzt zur Zeit Antivir + Microsoft Security Essentials und SASW laufen. Hast du noch ne Tipp wie ich externe Festplatten und USB-Sticks auf Würme u.ä. überprüfen kann?

userprofil kaputt? Wie ist es mit einem anderen Benutzerkonto?

Antir und MSE zusammen nicht verwenden!! Deinstallier eins von beiden. SASW kannst/solltest du auch installieren, Malwarebytes kann bleiben, das verträgt sich mit einem anderen installierten Scanner.



Ansonsten wären wir durch! :abklatsch:

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update



PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

Also habe MSE deinstalliert, alle Updates gemacht. Das Profil-Problem habe ich auch behoben, hatte mit Antivir zu tun aber war mittels einer Neuinstallation leicht zu beheben.

Ich danke dir sehr für deine Hilfe! Denke wir sind dann durch.