Hallo zusammen,

ich habe ein Problem. Und zwar habe ich auf meinem USB-Stick den Trojaner TR/ATRAPS.gen gefunden, bzw. Antivir hat ihn gefunden. Habe den Stick überprüft, weil seit einiger Zeit der Autorun geblockt wurde von Antivir. Zuerst habe ich mir nichts dabei gedacht, dann aber doch nachgeforscht...
Jetzt wüsste ich gerne, ob auch mein Computer befallen ist.
Antivir und Spybot - Search&Destroy haben beide nichts gefunden, aber das muss nichts heißen, oder?

Verhaltensauffällig ist mein Computer bislang nicht, außer, dass er heute morgen die Buchstaben "nachgezogen" hat, wenn ich getippt habe...er hatt quasi jeden 5ten oder so weggelassen...das ist jetzt allerdings nicht mehr und war auch zum ersten Mal...

Außerdem habe ich vor einiger Zeit mal den Dropper DR/Autoit.YH.131 gefunden und in Quarantäne gesteckt. Seitdem war nichts mehr...

Hoffe Ihr könnt mir weiterhelfen. Im Anhang findet Ihr die Logfiles. Ganz vielen Dank schonmal!

Randy

Zitat:

Außerdem habe ich vor einiger Zeit mal den Dropper DR/Autoit.YH.131 gefunden und in Quarantäne gesteckt. Seitdem war nichts mehr

Solche Angaben reichen nicht, bitte poste die vollständigen Angaben/Logs der Virenscanner.

Hallo und vielen Dank für die Antwort.
Leider ist der Fund schon zu lange her. Antivir hat dazu kein Protokoll mehr. Lediglich unter "Verwaltung" steht, dass die Datei noch in Quarantäne ist (Datei enthält Erkennungsmuster des Droppers DR/Autoit.yh.131") Oder kann ich die Informationen noch irgendwo finden? Weiß leider nicht wie...sorry!
Viele Grüße
Randy

Steht nichts unter Berichte/Ereignisse? Wann genau war der Fund denn?

Berichte und Ergebnisse gehen nur zurück bis Anfang Juni. Der erste Fund war schon im September letzten Jahres.
Für den neuen Fund von gestern gibt es natürlich Infos: Meinst Du diese?

Avira AntiVir Professional
Erstellungsdatum der Reportdatei: Sonntag, 3. Juli 2011 16:59

Es wird nach 2870890 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : Admin
Computername :

Versionsinformationen:
BUILD.DAT : 10.2.0.1045 41553 Bytes 22.06.2011 15:07:00
AVSCAN.EXE : 10.3.0.7 484008 Bytes 28.06.2011 08:46:19
AVSCAN.DLL : 10.0.5.0 57192 Bytes 28.06.2011 08:46:19
LUKE.DLL : 10.3.0.5 45416 Bytes 28.06.2011 08:46:19
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:56:35
AVSCPLR.DLL : 10.3.0.7 119656 Bytes 28.06.2011 08:46:19
AVREG.DLL : 10.3.0.7 90472 Bytes 28.06.2011 08:46:19
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 08:05:36
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 09:45:42
VBASE002.VDF : 7.11.3.0 1950720 Bytes 09.02.2011 15:42:56
VBASE003.VDF : 7.11.5.225 1980416 Bytes 07.04.2011 11:33:27
VBASE004.VDF : 7.11.8.178 2354176 Bytes 31.05.2011 11:32:20
VBASE005.VDF : 7.11.8.179 2048 Bytes 31.05.2011 11:32:20
VBASE006.VDF : 7.11.8.180 2048 Bytes 31.05.2011 11:32:20
VBASE007.VDF : 7.11.8.181 2048 Bytes 31.05.2011 11:32:20
VBASE008.VDF : 7.11.8.182 2048 Bytes 31.05.2011 11:32:20
VBASE009.VDF : 7.11.8.183 2048 Bytes 31.05.2011 11:32:20
VBASE010.VDF : 7.11.8.184 2048 Bytes 31.05.2011 11:32:20
VBASE011.VDF : 7.11.8.185 2048 Bytes 31.05.2011 11:32:20
VBASE012.VDF : 7.11.8.186 2048 Bytes 31.05.2011 11:32:20
VBASE013.VDF : 7.11.8.222 121856 Bytes 02.06.2011 13:07:08
VBASE014.VDF : 7.11.9.7 134656 Bytes 04.06.2011 11:57:57
VBASE015.VDF : 7.11.9.42 136192 Bytes 06.06.2011 14:41:35
VBASE016.VDF : 7.11.9.72 117248 Bytes 07.06.2011 13:42:08
VBASE017.VDF : 7.11.9.107 130560 Bytes 09.06.2011 20:36:06
VBASE018.VDF : 7.11.9.143 132096 Bytes 10.06.2011 15:46:19
VBASE019.VDF : 7.11.9.172 141824 Bytes 14.06.2011 08:29:28
VBASE020.VDF : 7.11.9.214 144896 Bytes 15.06.2011 15:32:04
VBASE021.VDF : 7.11.9.244 196608 Bytes 16.06.2011 16:33:02
VBASE022.VDF : 7.11.10.28 152576 Bytes 20.06.2011 14:32:44
VBASE023.VDF : 7.11.10.53 210432 Bytes 21.06.2011 17:31:18
VBASE024.VDF : 7.11.10.88 132096 Bytes 24.06.2011 08:32:21
VBASE025.VDF : 7.11.10.112 138752 Bytes 27.06.2011 11:33:07
VBASE026.VDF : 7.11.10.148 162304 Bytes 29.06.2011 12:30:57
VBASE027.VDF : 7.11.10.158 168448 Bytes 29.06.2011 18:50:29
VBASE028.VDF : 7.11.10.188 175616 Bytes 01.07.2011 14:54:25
VBASE029.VDF : 7.11.10.189 2048 Bytes 01.07.2011 14:54:25
VBASE030.VDF : 7.11.10.190 2048 Bytes 01.07.2011 14:54:25
VBASE031.VDF : 7.11.10.199 35840 Bytes 02.07.2011 10:59:44
Engineversion : 8.2.5.34
AEVDF.DLL : 8.1.2.1 106868 Bytes 21.09.2010 16:43:05
AESCRIPT.DLL : 8.1.3.69 1614203 Bytes 01.07.2011 06:41:17
AESCN.DLL : 8.1.7.2 127349 Bytes 22.11.2010 11:38:53
AESBX.DLL : 8.2.1.34 323957 Bytes 02.06.2011 13:07:09
AERDL.DLL : 8.1.9.12 639348 Bytes 01.07.2011 06:41:17
AEPACK.DLL : 8.2.6.9 557429 Bytes 16.06.2011 07:34:30
AEOFFICE.DLL : 8.1.1.25 205178 Bytes 02.06.2011 13:07:09
AEHEUR.DLL : 8.1.2.136 3584376 Bytes 01.07.2011 06:41:16
AEHELP.DLL : 8.1.17.2 246135 Bytes 20.05.2011 07:41:44
AEGEN.DLL : 8.1.5.6 401780 Bytes 20.05.2011 07:41:44
AEEMU.DLL : 8.1.3.0 393589 Bytes 22.11.2010 11:38:53
AECORE.DLL : 8.1.21.1 196983 Bytes 24.05.2011 15:17:10
AEBB.DLL : 8.1.1.0 53618 Bytes 21.09.2010 16:43:04
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 10:55:51
AVPREF.DLL : 10.0.3.2 44904 Bytes 28.06.2011 08:46:19
AVREP.DLL : 10.0.0.10 174120 Bytes 17.05.2011 10:55:30
AVARKT.DLL : 10.0.26.1 255336 Bytes 28.06.2011 08:46:18
AVEVTLOG.DLL : 10.0.0.9 203112 Bytes 28.06.2011 08:46:19
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 12:01:41
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 14:39:29
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 13:42:56
RCIMAGE.DLL : 10.0.0.33 2858344 Bytes 28.06.2011 08:46:18
RCTEXT.DLL : 10.0.63.0 98664 Bytes 28.06.2011 08:46:18

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: ShlExt
Konfigurationsdatei...................: e:\temp\07936896.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: H:,
Durchsuche aktive Programme...........: aus
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Intelligente Dateiauswahl
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Sonntag, 3. Juli 2011 16:59

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'H:\'
H:\ice\fire\update.exe
[FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen

Beginne mit der Desinfektion:
H:\ice\fire\update.exe
[FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '44ad233b.qua' verschoben!


Ende des Suchlaufs: Sonntag, 3. Juli 2011 17:14
Benötigte Zeit: 13:42 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

332 Verzeichnisse wurden überprüft
71521 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
71520 Dateien ohne Befall
417 Archive wurden durchsucht
0 Warnungen
1 Hinweise


Viele Grüße
Randy

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Hi, also ich hab einen Vollscan durchgeführt und er hat nichts gefunden folgendes ausgespuckt:

Malwarebytes' Anti-Malware 1.51.0.1200
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: 7017

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

04.07.2011 15:40:34
mbam-log-2011-07-04 (15-40-34).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|)
Durchsuchte Objekte: 379948
Laufzeit: 2 Stunde(n), 4 Minute(n), 38 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Heißt das jetzt der Computer ist sauber?
Viele Grüße
Andre

Ist recht unauffällig. Steck den Stick mal an und führe den FlashDisinfector aus:

Lade Dir den Flash Disinfector von sUBs und speichere Flash_Disinfector.exe auf Deinem Desktop ab.
Gehe nun wie folgt vor (Anleitung):

1. Trenne den Rechner physikalisch vom Netz.
2. Deaktiviere den Hintergrundwächter deines AVP.
3. Schließe jetzt alle externe Datenträgeran Deinen Rechner an.
4. Starte den Flash Disinfector mit einem Doppelklick und folge ggf. den Anweisungen.
5. Wenn der Scan zuende ist, kannst du das Programm schließen.
6. Starte Deinen Rechner neu.

Hinweis:
Flash Disinfector desinfiziert all Deine Laufwerke von Autoruninfektionen und erstellt einen versteckten Ordner mit demselben Namen, so dass dein Datenträger in Zukunft vor dieser Infektion geschützt ist.
Während dem Scan wird Dein Desktop kurzfristig verschwinden und dann wiederkommen. Das ist normal.

Super, vielen Dank!
Werd das mal noch machen...oder ich entsorge den Stick komplett, mal sehen

Kann man denn aufgrund der Logfiles, die ich zuerst geschickt habe etwas erkennen oder sind die auch unauffällig?
Danke nochmal und viele Grüße!

Wieso denn entsorgen?? Man schmeißt einen Stick doch deswegen nicht weg!

Deaktivier lieber komplett die automatische Wiedergabe auf allen Laufwerken.
Man sollte die automatische Wiedergabe grundsätzlich deaktivieren, denn das ist ein unnötiges Sicherheitsrisiko und btw zumindest für mich sehr nervend.
Stell dir vor, du steckst einen fremden USB-Stick an. Du weißt nicht, dass er infiziert ist, rechnest damit auch nicht. Der Schädling auf dem infizierten USB-Stick sorgt dafür, dass der Schädling automatisch nach dem Einstecken startet, ohne dein Zutun, und schon haste den Salat - helfen würde hier mit viel Glück vllt noch der Virenscanner - sofern er den Schädling kennt - besser aber eingeschränkte Rechte (dann kann nichts am System verändert werden), am besten ist aber, dass garnichts erst automatisch startet.

Für Windows XP: Um den zu deaktivieren hab ich mal die noautoplay.reg hochgeladen. Lad das mal auf dem Desktop herunter, führ die Datei aus und bestätige mit ja. Nach einem Neustart des Rechners ist die automatische Wiedergabe (von Datenträgern) auf allen Laufwerken deaktiviert, d.h. keine CD, kein Stick oder sonstwas startet nach dem Einstecken mehr automatisch.

Für Windows Vista und 7: In der Systemsteuerung kann man für alle Datenträger die automatische Wiedergabe deaktivieren.

Hey,
danke, das klingt sinnvoll. Ne, werd den Stick wohl nicht entsorgen, kann er ja auch nichts dafür, dass er infiziert wurde...
Also vielen Dank nochmal.
Beste Grüße!