| |
| |||||||
Log-Analyse und Auswertung: TR/ATRAPS.Gen2 und TR/Sirefef.AG.35 in C:Windows\Installer\Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML |
 |
12.06.2012, 17:53
| #1 |
| |  TR/ATRAPS.Gen2 und TR/Sirefef.AG.35 in C:Windows\Installer\ Hallo Forum, ich habe gestern die oben genannten Trojaner per Antivir entdeckt. Als Laie habe ich erstmal ganz primitiv versucht, sie durch den Echtzeitscanner zu entfernen (was natürlich nicht geklappt hat)  Hier der Report, den Antivir anzeigt: Code:
ATTFilter
Avira Free Antivirus
Erstellungsdatum der Reportdatei: Montag, 11. Juni 2012 15:17
Es wird nach 3814688 Virenstämmen gesucht.
Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.
Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 7 Professional
Windowsversion : (Service Pack 1) [6.1.7601]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : TINAA
Versionsinformationen:
BUILD.DAT : 12.0.0.1125 41829 Bytes 02.05.2012 16:34:00
AVSCAN.EXE : 12.3.0.15 466896 Bytes 08.05.2012 15:39:44
AVSCAN.DLL : 12.3.0.15 66256 Bytes 08.05.2012 15:39:44
LUKE.DLL : 12.3.0.15 68304 Bytes 08.05.2012 15:39:44
AVSCPLR.DLL : 12.3.0.14 97032 Bytes 08.05.2012 15:39:44
AVREG.DLL : 12.3.0.17 232200 Bytes 10.05.2012 19:46:19
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 18:18:34
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 23:31:49
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 15:30:14
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 15:52:36
VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 07:21:51
VBASE005.VDF : 7.11.29.136 2166272 Bytes 10.05.2012 19:45:59
VBASE006.VDF : 7.11.29.137 2048 Bytes 10.05.2012 19:46:00
VBASE007.VDF : 7.11.29.138 2048 Bytes 10.05.2012 19:46:00
VBASE008.VDF : 7.11.29.139 2048 Bytes 10.05.2012 19:46:00
VBASE009.VDF : 7.11.29.140 2048 Bytes 10.05.2012 19:46:00
VBASE010.VDF : 7.11.29.141 2048 Bytes 10.05.2012 19:46:00
VBASE011.VDF : 7.11.29.142 2048 Bytes 10.05.2012 19:46:00
VBASE012.VDF : 7.11.29.143 2048 Bytes 10.05.2012 19:46:00
VBASE013.VDF : 7.11.29.144 2048 Bytes 10.05.2012 19:46:00
VBASE014.VDF : 7.11.30.3 198144 Bytes 14.05.2012 18:34:12
VBASE015.VDF : 7.11.30.69 186368 Bytes 17.05.2012 10:43:32
VBASE016.VDF : 7.11.30.143 223744 Bytes 21.05.2012 15:48:32
VBASE017.VDF : 7.11.30.207 287744 Bytes 23.05.2012 09:52:58
VBASE018.VDF : 7.11.31.57 188416 Bytes 28.05.2012 16:54:35
VBASE019.VDF : 7.11.31.111 214528 Bytes 30.05.2012 18:36:55
VBASE020.VDF : 7.11.31.151 116736 Bytes 31.05.2012 13:36:07
VBASE021.VDF : 7.11.31.205 134144 Bytes 03.06.2012 17:36:05
VBASE022.VDF : 7.11.32.9 169472 Bytes 05.06.2012 17:41:30
VBASE023.VDF : 7.11.32.85 155648 Bytes 08.06.2012 17:41:31
VBASE024.VDF : 7.11.32.86 2048 Bytes 08.06.2012 17:41:31
VBASE025.VDF : 7.11.32.87 2048 Bytes 08.06.2012 17:41:31
VBASE026.VDF : 7.11.32.88 2048 Bytes 08.06.2012 17:41:31
VBASE027.VDF : 7.11.32.89 2048 Bytes 08.06.2012 17:41:31
VBASE028.VDF : 7.11.32.90 2048 Bytes 08.06.2012 17:41:32
VBASE029.VDF : 7.11.32.91 2048 Bytes 08.06.2012 17:41:32
VBASE030.VDF : 7.11.32.92 2048 Bytes 08.06.2012 17:41:32
VBASE031.VDF : 7.11.32.116 77824 Bytes 10.06.2012 21:56:01
Engineversion : 8.2.10.80
AEVDF.DLL : 8.1.2.8 106867 Bytes 02.06.2012 13:36:22
AESCRIPT.DLL : 8.1.4.24 450939 Bytes 02.06.2012 13:36:21
AESCN.DLL : 8.1.8.2 131444 Bytes 28.01.2012 20:13:38
AESBX.DLL : 8.2.5.10 606580 Bytes 29.05.2012 16:56:57
AERDL.DLL : 8.1.9.15 639348 Bytes 14.12.2011 23:31:02
AEPACK.DLL : 8.2.16.16 807288 Bytes 29.05.2012 16:56:32
AEOFFICE.DLL : 8.1.2.28 201082 Bytes 02.05.2012 12:48:18
AEHEUR.DLL : 8.1.4.36 4874615 Bytes 02.06.2012 13:36:20
AEHELP.DLL : 8.1.21.0 254326 Bytes 10.05.2012 19:46:03
AEGEN.DLL : 8.1.5.28 422260 Bytes 02.05.2012 12:48:12
AEEXP.DLL : 8.1.0.44 82293 Bytes 29.05.2012 16:57:00
AEEMU.DLL : 8.1.3.0 393589 Bytes 14.12.2011 23:30:58
AECORE.DLL : 8.1.25.10 201080 Bytes 02.06.2012 13:36:10
AEBB.DLL : 8.1.1.0 53618 Bytes 14.12.2011 23:30:58
AVWINLL.DLL : 12.3.0.15 27344 Bytes 08.05.2012 15:39:43
AVPREF.DLL : 12.3.0.15 51920 Bytes 08.05.2012 15:39:44
AVREP.DLL : 12.3.0.15 179208 Bytes 08.05.2012 15:39:44
AVARKT.DLL : 12.3.0.15 211408 Bytes 08.05.2012 15:39:43
AVEVTLOG.DLL : 12.3.0.15 169168 Bytes 08.05.2012 15:39:44
SQLITE3.DLL : 3.7.0.1 398288 Bytes 08.05.2012 15:39:44
AVSMTP.DLL : 12.3.0.15 63440 Bytes 08.05.2012 15:39:44
NETNT.DLL : 12.3.0.15 17104 Bytes 08.05.2012 15:39:44
RCIMAGE.DLL : 12.3.0.15 4447952 Bytes 08.05.2012 15:39:43
RCTEXT.DLL : 12.3.0.15 98512 Bytes 08.05.2012 15:39:43
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: AVGuardAsyncScan
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_4fd5ee75\guard_slideup.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: vollständig
Beginn des Suchlaufs: Montag, 11. Juni 2012 15:17
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchFilterHost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchProtocolHost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TrustedInstaller.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sppsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.bin' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxsrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxpers.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WUDFHost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'OSPPSVC.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeamViewer_Service.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'conhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\Windows\Installer\{b6b258f4-aa74-1187-c6d1-984b69e601e4}\U\80000000.@'
C:\Windows\Installer\{b6b258f4-aa74-1187-c6d1-984b69e601e4}\U\80000000.@
[FUND] Ist das Trojanische Pferd TR/Sirefef.AG.35
Beginne mit der Suche in 'C:\Windows\Installer\{b6b258f4-aa74-1187-c6d1-984b69e601e4}\U\800000cb.@'
C:\Windows\Installer\{b6b258f4-aa74-1187-c6d1-984b69e601e4}\U\800000cb.@
[FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen2
Beginne mit der Desinfektion:
C:\Windows\Installer\{b6b258f4-aa74-1187-c6d1-984b69e601e4}\U\800000cb.@
[FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen2
[HINWEIS] Die Datei wurde gelöscht.
C:\Windows\Installer\{b6b258f4-aa74-1187-c6d1-984b69e601e4}\U\80000000.@
[FUND] Ist das Trojanische Pferd TR/Sirefef.AG.35
[HINWEIS] Die Datei wurde gelöscht.
Ende des Suchlaufs: Montag, 11. Juni 2012 15:17
Benötigte Zeit: 00:00 Minute(n)
Der Suchlauf wurde vollständig durchgeführt.
0 Verzeichnisse wurden überprüft
53 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
2 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
51 Dateien ohne Befall
0 Archive wurden durchsucht
0 Warnungen
2 Hinweise
Die Suchergebnisse werden an den Guard übermittelt.
Wie erwartet wurden wieder die beiden (und ein Paar andere ???) gefunden, die ich dann ausgewählt und entfernt habe (ich bin mir nicht sicher, ob ich hier evtl. einen Fehler gemacht habe). Nachdem ich den PC neu gestartet habe und einen neuen Suchlauf durchgeführt habe, waren die Trojaner aber wieder da (wenn auch nicht alle). Hier erstmal der erste Report: Code:
ATTFilter Malwarebytes Anti-Malware 1.61.0.1400 www.malwarebytes.org Datenbank Version: v2012.06.11.04 Windows 7 Service Pack 1 x86 NTFS Internet Explorer 8.0.7601.17514 Tina :: TINAA [Administrator] 11.06.2012 15:00:51 mbam-log-2012-06-11 (15-00-51).txt Art des Suchlaufs: Quick-Scan Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 191238 Laufzeit: 6 Minute(n), 26 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 1 HKCR\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32| (Trojan.Zaccess) -> Bösartig: (C:\Users\Tina\AppData\Local\{b6b258f4-aa74-1187-c6d1-984b69e601e4}\n.) Gut: (%SystemRoot%\system32\shdocvw.dll) -> Erfolgreich ersetzt und in Quarantäne gestellt. Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 5 C:\Users\Tina\AppData\Local\Temp\msimg32.dll (Rootkit.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Windows\Installer\{b6b258f4-aa74-1187-c6d1-984b69e601e4}\n (Rootkit.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Windows\Installer\{b6b258f4-aa74-1187-c6d1-984b69e601e4}\U\00000001.@ (Trojan.Small) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Windows\Installer\{b6b258f4-aa74-1187-c6d1-984b69e601e4}\U\80000000.@ (Trojan.Sirefef) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Windows\Installer\{b6b258f4-aa74-1187-c6d1-984b69e601e4}\U\800000cb.@ (Rootkit.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) Code:
ATTFilter Malwarebytes Anti-Malware 1.61.0.1400 www.malwarebytes.org Datenbank Version: v2012.06.11.04 Windows 7 Service Pack 1 x86 NTFS Internet Explorer 8.0.7601.17514 Tina :: TINAA [Administrator] 11.06.2012 15:34:19 mbam-log-2012-06-11 (15-34-19).txt Art des Suchlaufs: Quick-Scan Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 191132 Laufzeit: 5 Minute(n), 31 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 3 C:\Windows\Installer\{b6b258f4-aa74-1187-c6d1-984b69e601e4}\U\00000001.@ (Trojan.Small) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Windows\Installer\{b6b258f4-aa74-1187-c6d1-984b69e601e4}\U\80000000.@ (Trojan.Sirefef) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Windows\Installer\{b6b258f4-aa74-1187-c6d1-984b69e601e4}\U\800000cb.@ (Rootkit.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) Mir ging dann die Zeit aus, weil ich zur Uni musste. Als ich heute wieder anschaltete, zeigte der Antivir Guard gleich wieder die Trojaner an, sie sind also nach wie vor irgendwo auf dem PC. Gerade eben habe ich einen weiteren Suchlauf mit Malwarebytes gestartet, damit ihr auf dem neusten Stand seid. Wie erwatet mit dem gleichen Ergebnis...  Code:
ATTFilter Malwarebytes Anti-Malware 1.61.0.1400 www.malwarebytes.org Datenbank Version: v2012.06.12.05 Windows 7 Service Pack 1 x86 NTFS Internet Explorer 8.0.7601.17514 Tina :: TINAA [Administrator] 12.06.2012 17:42:59 mbam-log-2012-06-12 (17-42-59).txt Art des Suchlaufs: Vollständiger Suchlauf Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 302748 Laufzeit: 1 Stunde(n), 2 Minute(n), 41 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 3 C:\Windows\Installer\{b6b258f4-aa74-1187-c6d1-984b69e601e4}\U\00000001.@ (Trojan.Small) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Windows\Installer\{b6b258f4-aa74-1187-c6d1-984b69e601e4}\U\80000000.@ (Trojan.Sirefef) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Windows\Installer\{b6b258f4-aa74-1187-c6d1-984b69e601e4}\U\800000cb.@ (Rootkit.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) Symptome: - der PC ist ziemlich langsam - Neustart dauert ewig!! - Beim Neustart sind die Desktop-Symbole sehr groß - Programme schließen sich ab und zu, ohne dass ich etwas gemacht hätte - Adobe Reader und Adobe Flash Player: Es öffnen sich unvermittelt diese Fenster, wo ich als Administrator zustimmen muss, dass Änderungen an der Festplatte durchgeführt werden. Wenn ich die schließe oder auf "nein" klicke, öffnen sie sich automatisch wieder und wieder. Die kann ich dann weder im Task Manager noch irgendwo anders schließen. Noch etwas: Neulich hatte ich einen sehr garstigen Virus, der ebenfalls durch "Adobe" bzw. als Adobe getarnt rein kam. Damals noch blauäugig ließ ich Adobe die Änderungen vornehmen, sofort öffneten sich an die 100 Fenster auf dem Desktop. Ich konnte nichts tun bis der PC abstürzte und neu startete. Wieder hochgefahren (wenn man das so nennen kann) lud ein gefakter Desktop: Andere Symbole als meine, ein offensichtlich gefaktes Antivir zeigte mir sehr viele (immer unterschiedlich) Virenmeldungen. Wenn ich versuchte dieses Antivir zu beenden (egal wie) wurde ein automatischer Neustart eingeleitet und der Spaß ging von vorn los. Nur durch einen guten Freund konnte ich ein Paar wichtige Daten retten, danach mussten wir den PC komplett formatieren! Kann das noch einen Einfluss haben?? Ich hoffe mein Bericht ist ausführlich genug und ihr könnt mir weiterhelfen! Danke schonmal im Voraus!  Tina |
|
13.06.2012, 20:59
| #2 | ||
| /// Helfer-Team    |  TR/ATRAPS.Gen2 und TR/Sirefef.AG.35 in C:Windows\Installer\ Hallo und Herzlich Willkommen!
__________________ Habe leider schlechte Nachricht für Dich: Zitat:
Da würde ich an Deiner Stelle das System gleich neu installieren, da die Bekämpfung diese neue Art der Infektion ohne div. Nebenwirkungen und hinterlassenen Schaden, die immer wieder [auf verschiedene Weise] Probleme bereiten können, ist nicht möglich! - einen Backdoor mit Rootkitfunktionalität  diese Malware verwendet Rootkit-Technologie und Backdoor-Routine *was sind Backdoors und Rootkits* Verhaltensweise: "speicherresident" Zitat:
-> Anleitung: Neuaufsetzen des Systems + Absicherung -> Neuaufsetzen (Windows XP, Vista und Windows 7) - Anleitungen gruß kira
__________________ |
|
14.06.2012, 00:09
| #3 |
| | TR/ATRAPS.Gen2 und TR/Sirefef.AG.35 in C:Windows\Installer\ Oh mist.... Danke für die Antwort. Zum Glück funktioniert sonst alles, so kann ich zumindest alle wichtigen Daten retten.
__________________Weißt du zufällig, wo man sich sowas einfangen kann? Dann werde ich einfach Windows neu drauf machen. Dann ist auch sicher alles weg? Liebe Grüße Tina |
|
14.06.2012, 06:41
| #4 | |||
| /// Helfer-Team | TR/ATRAPS.Gen2 und TR/Sirefef.AG.35 in C:Windows\Installer\Zitat:
Zitat:
Datensicherung: ► NUR Daten sichern, die nicht ausführbaren Dateien enthalten - Dateiendungen - Dies ist eine Liste von Dateiendungen, die Dateien mit ausführbarem Code bezeichnen können. - Bevor du mit deinem PC direkt ins Netz gehst: - Alle Passwörter, die auf dem kompromittierten System verwendet wurden (also z.B. Login-, Mail- oder Website-Passwörter, aber auch die PIN für das Online-Banking) sofort ändern (► am besten von einem anderen, nicht-infizierten Rechner aus! ) Die sichere Passwort-Wahl - (sollte man eigentlich regelmäßigen Abständen ca. alle 3-5 Monate ändern) auch noch hier unter: Sicheres Kennwort (Password) - Vor zurückspielen: Die auf eine externe Festplatte gesicherten Daten, gründlich zu scannen von einem suaberen System aus, am besten mit mehreren Scannern-> Kostenlose Online Scanner - Anleitung Absolut empfehlenswerter Scanner: Zitat:
z.B. Login-, Mail- oder Website-Passwörter Tipps: Die sichere Passwort-Wahl - (sollte man eigentlich regelmäßigen Abständen ca. alle 3-5 Monate ändern) auch noch hier unter: Sicheres Kennwort (Password) gruß kira
__________________ Warnung!: Vorsicht beim Rechnungen per Email mit ZIP-Datei als Anhang! Kann mit einen Verschlüsselungs-Trojaner infiziert sein! Anhang nicht öffnen, in unserem Forum erst nachfragen! Sichere regelmäßig deine Daten, auf CD/DVD, USB-Sticks oder externe Festplatten, am besten 2x an verschiedenen Orten! Bitte diese Warnung weitergeben, wo Du nur kannst! Geändert von kira (14.06.2012 um 06:47 Uhr) |
|
| Themen zu TR/ATRAPS.Gen2 und TR/Sirefef.AG.35 in C:Windows\Installer\ |
| .dll, 80000000.@, 800000cb.@, administrator, adobe, adobe flash player, antivir, antivir guard, atraps sirefef trojaner adobe, automatischer neustart, dateisystem, desktop, echtzeitscanner, entfernen, fehler, festplatte, flash player, heuristiks/extra, heuristiks/shuriken, modul, msimg32.dll, neu, neustart, nicht sicher, nt.dll, programm, prozesse, scan, schließen, schließen sich, services.exe, sich automatisch, svchost.exe, taskhost.exe, temp, trojaner, unterschiedlich, wichtige daten, windows, winlogon.exe, wmp |
