Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: TR/ATRAPS.Gen2 und TR/Sirefef.AG.35 in C:Windows\Installer\

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 12.06.2012, 17:53   #1
ico0okie
 
TR/ATRAPS.Gen2 und TR/Sirefef.AG.35 in C:Windows\Installer\ - Ausrufezeichen

TR/ATRAPS.Gen2 und TR/Sirefef.AG.35 in C:Windows\Installer\



Hallo Forum,

ich habe gestern die oben genannten Trojaner per Antivir entdeckt. Als Laie habe ich erstmal ganz primitiv versucht, sie durch den Echtzeitscanner zu entfernen (was natürlich nicht geklappt hat)
Hier der Report, den Antivir anzeigt:

Code:
ATTFilter
 

Avira Free Antivirus
Erstellungsdatum der Reportdatei: Montag, 11. Juni 2012  15:17

Es wird nach 3814688 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira AntiVir Personal - Free Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows 7 Professional
Windowsversion : (Service Pack 1)  [6.1.7601]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : TINAA

Versionsinformationen:
BUILD.DAT      : 12.0.0.1125    41829 Bytes  02.05.2012 16:34:00
AVSCAN.EXE     : 12.3.0.15     466896 Bytes  08.05.2012 15:39:44
AVSCAN.DLL     : 12.3.0.15      66256 Bytes  08.05.2012 15:39:44
LUKE.DLL       : 12.3.0.15      68304 Bytes  08.05.2012 15:39:44
AVSCPLR.DLL    : 12.3.0.14      97032 Bytes  08.05.2012 15:39:44
AVREG.DLL      : 12.3.0.17     232200 Bytes  10.05.2012 19:46:19
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 18:18:34
VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 23:31:49
VBASE002.VDF   : 7.11.19.170 14374912 Bytes  20.12.2011 15:30:14
VBASE003.VDF   : 7.11.21.238  4472832 Bytes  01.02.2012 15:52:36
VBASE004.VDF   : 7.11.26.44   4329472 Bytes  28.03.2012 07:21:51
VBASE005.VDF   : 7.11.29.136  2166272 Bytes  10.05.2012 19:45:59
VBASE006.VDF   : 7.11.29.137     2048 Bytes  10.05.2012 19:46:00
VBASE007.VDF   : 7.11.29.138     2048 Bytes  10.05.2012 19:46:00
VBASE008.VDF   : 7.11.29.139     2048 Bytes  10.05.2012 19:46:00
VBASE009.VDF   : 7.11.29.140     2048 Bytes  10.05.2012 19:46:00
VBASE010.VDF   : 7.11.29.141     2048 Bytes  10.05.2012 19:46:00
VBASE011.VDF   : 7.11.29.142     2048 Bytes  10.05.2012 19:46:00
VBASE012.VDF   : 7.11.29.143     2048 Bytes  10.05.2012 19:46:00
VBASE013.VDF   : 7.11.29.144     2048 Bytes  10.05.2012 19:46:00
VBASE014.VDF   : 7.11.30.3     198144 Bytes  14.05.2012 18:34:12
VBASE015.VDF   : 7.11.30.69    186368 Bytes  17.05.2012 10:43:32
VBASE016.VDF   : 7.11.30.143   223744 Bytes  21.05.2012 15:48:32
VBASE017.VDF   : 7.11.30.207   287744 Bytes  23.05.2012 09:52:58
VBASE018.VDF   : 7.11.31.57    188416 Bytes  28.05.2012 16:54:35
VBASE019.VDF   : 7.11.31.111   214528 Bytes  30.05.2012 18:36:55
VBASE020.VDF   : 7.11.31.151   116736 Bytes  31.05.2012 13:36:07
VBASE021.VDF   : 7.11.31.205   134144 Bytes  03.06.2012 17:36:05
VBASE022.VDF   : 7.11.32.9     169472 Bytes  05.06.2012 17:41:30
VBASE023.VDF   : 7.11.32.85    155648 Bytes  08.06.2012 17:41:31
VBASE024.VDF   : 7.11.32.86      2048 Bytes  08.06.2012 17:41:31
VBASE025.VDF   : 7.11.32.87      2048 Bytes  08.06.2012 17:41:31
VBASE026.VDF   : 7.11.32.88      2048 Bytes  08.06.2012 17:41:31
VBASE027.VDF   : 7.11.32.89      2048 Bytes  08.06.2012 17:41:31
VBASE028.VDF   : 7.11.32.90      2048 Bytes  08.06.2012 17:41:32
VBASE029.VDF   : 7.11.32.91      2048 Bytes  08.06.2012 17:41:32
VBASE030.VDF   : 7.11.32.92      2048 Bytes  08.06.2012 17:41:32
VBASE031.VDF   : 7.11.32.116    77824 Bytes  10.06.2012 21:56:01
Engineversion  : 8.2.10.80 
AEVDF.DLL      : 8.1.2.8       106867 Bytes  02.06.2012 13:36:22
AESCRIPT.DLL   : 8.1.4.24      450939 Bytes  02.06.2012 13:36:21
AESCN.DLL      : 8.1.8.2       131444 Bytes  28.01.2012 20:13:38
AESBX.DLL      : 8.2.5.10      606580 Bytes  29.05.2012 16:56:57
AERDL.DLL      : 8.1.9.15      639348 Bytes  14.12.2011 23:31:02
AEPACK.DLL     : 8.2.16.16     807288 Bytes  29.05.2012 16:56:32
AEOFFICE.DLL   : 8.1.2.28      201082 Bytes  02.05.2012 12:48:18
AEHEUR.DLL     : 8.1.4.36     4874615 Bytes  02.06.2012 13:36:20
AEHELP.DLL     : 8.1.21.0      254326 Bytes  10.05.2012 19:46:03
AEGEN.DLL      : 8.1.5.28      422260 Bytes  02.05.2012 12:48:12
AEEXP.DLL      : 8.1.0.44       82293 Bytes  29.05.2012 16:57:00
AEEMU.DLL      : 8.1.3.0       393589 Bytes  14.12.2011 23:30:58
AECORE.DLL     : 8.1.25.10     201080 Bytes  02.06.2012 13:36:10
AEBB.DLL       : 8.1.1.0        53618 Bytes  14.12.2011 23:30:58
AVWINLL.DLL    : 12.3.0.15      27344 Bytes  08.05.2012 15:39:43
AVPREF.DLL     : 12.3.0.15      51920 Bytes  08.05.2012 15:39:44
AVREP.DLL      : 12.3.0.15     179208 Bytes  08.05.2012 15:39:44
AVARKT.DLL     : 12.3.0.15     211408 Bytes  08.05.2012 15:39:43
AVEVTLOG.DLL   : 12.3.0.15     169168 Bytes  08.05.2012 15:39:44
SQLITE3.DLL    : 3.7.0.1       398288 Bytes  08.05.2012 15:39:44
AVSMTP.DLL     : 12.3.0.15      63440 Bytes  08.05.2012 15:39:44
NETNT.DLL      : 12.3.0.15      17104 Bytes  08.05.2012 15:39:44
RCIMAGE.DLL    : 12.3.0.15    4447952 Bytes  08.05.2012 15:39:43
RCTEXT.DLL     : 12.3.0.15      98512 Bytes  08.05.2012 15:39:43

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: AVGuardAsyncScan
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_4fd5ee75\guard_slideup.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: vollständig

Beginn des Suchlaufs: Montag, 11. Juni 2012  15:17

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchFilterHost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchProtocolHost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TrustedInstaller.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sppsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.bin' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxsrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxpers.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WUDFHost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'OSPPSVC.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeamViewer_Service.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'conhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\Windows\Installer\{b6b258f4-aa74-1187-c6d1-984b69e601e4}\U\80000000.@'
C:\Windows\Installer\{b6b258f4-aa74-1187-c6d1-984b69e601e4}\U\80000000.@
  [FUND]      Ist das Trojanische Pferd TR/Sirefef.AG.35
Beginne mit der Suche in 'C:\Windows\Installer\{b6b258f4-aa74-1187-c6d1-984b69e601e4}\U\800000cb.@'
C:\Windows\Installer\{b6b258f4-aa74-1187-c6d1-984b69e601e4}\U\800000cb.@
  [FUND]      Ist das Trojanische Pferd TR/ATRAPS.Gen2

Beginne mit der Desinfektion:
C:\Windows\Installer\{b6b258f4-aa74-1187-c6d1-984b69e601e4}\U\800000cb.@
  [FUND]      Ist das Trojanische Pferd TR/ATRAPS.Gen2
  [HINWEIS]   Die Datei wurde gelöscht.
C:\Windows\Installer\{b6b258f4-aa74-1187-c6d1-984b69e601e4}\U\80000000.@
  [FUND]      Ist das Trojanische Pferd TR/Sirefef.AG.35
  [HINWEIS]   Die Datei wurde gelöscht.


Ende des Suchlaufs: Montag, 11. Juni 2012  15:17
Benötigte Zeit: 00:00 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

      0 Verzeichnisse wurden überprüft
     53 Dateien wurden geprüft
      2 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      2 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
     51 Dateien ohne Befall
      0 Archive wurden durchsucht
      0 Warnungen
      2 Hinweise


Die Suchergebnisse werden an den Guard übermittelt.
         
Ich bin dann auf dieses Forum gestoßen und habe gelesen, man solle die Trojaner mit Malwarebytes entfernen. Ich habe also das Programm heruntergeladen, aktualisiert und nach der Anleitung einen Suchlauf gemacht.
Wie erwartet wurden wieder die beiden (und ein Paar andere ???) gefunden, die ich dann ausgewählt und entfernt habe (ich bin mir nicht sicher, ob ich hier evtl. einen Fehler gemacht habe). Nachdem ich den PC neu gestartet habe und einen neuen Suchlauf durchgeführt habe, waren die Trojaner aber wieder da (wenn auch nicht alle).
Hier erstmal der erste Report:

Code:
ATTFilter
 Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.06.11.04

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 8.0.7601.17514
Tina :: TINAA [Administrator]

11.06.2012 15:00:51
mbam-log-2012-06-11 (15-00-51).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 191238
Laufzeit: 6 Minute(n), 26 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 1
HKCR\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32| (Trojan.Zaccess) -> Bösartig: (C:\Users\Tina\AppData\Local\{b6b258f4-aa74-1187-c6d1-984b69e601e4}\n.) Gut: (%SystemRoot%\system32\shdocvw.dll) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 5
C:\Users\Tina\AppData\Local\Temp\msimg32.dll (Rootkit.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Windows\Installer\{b6b258f4-aa74-1187-c6d1-984b69e601e4}\n (Rootkit.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Windows\Installer\{b6b258f4-aa74-1187-c6d1-984b69e601e4}\U\00000001.@ (Trojan.Small) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Windows\Installer\{b6b258f4-aa74-1187-c6d1-984b69e601e4}\U\80000000.@ (Trojan.Sirefef) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Windows\Installer\{b6b258f4-aa74-1187-c6d1-984b69e601e4}\U\800000cb.@ (Rootkit.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         
Der zweite Suchlauf (nach Neustart) ergab folgendes:

Code:
ATTFilter
 Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.06.11.04

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 8.0.7601.17514
Tina :: TINAA [Administrator]

11.06.2012 15:34:19
mbam-log-2012-06-11 (15-34-19).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 191132
Laufzeit: 5 Minute(n), 31 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 3
C:\Windows\Installer\{b6b258f4-aa74-1187-c6d1-984b69e601e4}\U\00000001.@ (Trojan.Small) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Windows\Installer\{b6b258f4-aa74-1187-c6d1-984b69e601e4}\U\80000000.@ (Trojan.Sirefef) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Windows\Installer\{b6b258f4-aa74-1187-c6d1-984b69e601e4}\U\800000cb.@ (Rootkit.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         

Mir ging dann die Zeit aus, weil ich zur Uni musste. Als ich heute wieder anschaltete, zeigte der Antivir Guard gleich wieder die Trojaner an, sie sind also nach wie vor irgendwo auf dem PC.
Gerade eben habe ich einen weiteren Suchlauf mit Malwarebytes gestartet, damit ihr auf dem neusten Stand seid.
Wie erwatet mit dem gleichen Ergebnis...

Code:
ATTFilter
 Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.06.12.05

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 8.0.7601.17514
Tina :: TINAA [Administrator]

12.06.2012 17:42:59
mbam-log-2012-06-12 (17-42-59).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 302748
Laufzeit: 1 Stunde(n), 2 Minute(n), 41 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 3
C:\Windows\Installer\{b6b258f4-aa74-1187-c6d1-984b69e601e4}\U\00000001.@ (Trojan.Small) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Windows\Installer\{b6b258f4-aa74-1187-c6d1-984b69e601e4}\U\80000000.@ (Trojan.Sirefef) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Windows\Installer\{b6b258f4-aa74-1187-c6d1-984b69e601e4}\U\800000cb.@ (Rootkit.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         
edit: Da steht zwar erfolgreich gelöscht, wenn ich neu gestartet habe, sind sie aber wieder da :-(

Symptome:
- der PC ist ziemlich langsam
- Neustart dauert ewig!!
- Beim Neustart sind die Desktop-Symbole sehr groß
- Programme schließen sich ab und zu, ohne dass ich etwas gemacht hätte
- Adobe Reader und Adobe Flash Player: Es öffnen sich unvermittelt diese Fenster, wo ich als Administrator zustimmen muss, dass Änderungen an der Festplatte durchgeführt werden. Wenn ich die schließe oder auf "nein" klicke, öffnen sie sich automatisch wieder und wieder. Die kann ich dann weder im Task Manager noch irgendwo anders schließen.

Noch etwas: Neulich hatte ich einen sehr garstigen Virus, der ebenfalls durch "Adobe" bzw. als Adobe getarnt rein kam. Damals noch blauäugig ließ ich Adobe die Änderungen vornehmen, sofort öffneten sich an die 100 Fenster auf dem Desktop. Ich konnte nichts tun bis der PC abstürzte und neu startete. Wieder hochgefahren (wenn man das so nennen kann) lud ein gefakter Desktop: Andere Symbole als meine, ein offensichtlich gefaktes Antivir zeigte mir sehr viele (immer unterschiedlich) Virenmeldungen. Wenn ich versuchte dieses Antivir zu beenden (egal wie) wurde ein automatischer Neustart eingeleitet und der Spaß ging von vorn los. Nur durch einen guten Freund konnte ich ein Paar wichtige Daten retten, danach mussten wir den PC komplett formatieren! Kann das noch einen Einfluss haben??


Ich hoffe mein Bericht ist ausführlich genug und ihr könnt mir weiterhelfen!
Danke schonmal im Voraus!




Tina

Alt 13.06.2012, 20:59   #2
kira
/// Helfer-Team
 
TR/ATRAPS.Gen2 und TR/Sirefef.AG.35 in C:Windows\Installer\ - Standard

TR/ATRAPS.Gen2 und TR/Sirefef.AG.35 in C:Windows\Installer\



Hallo und Herzlich Willkommen!

Habe leider schlechte Nachricht für Dich:
Zitat:
win32.ZAccess
- handelt es sich um ein schwer behandelbaren Problem
Da würde ich an Deiner Stelle das System gleich neu installieren, da die Bekämpfung diese neue Art der Infektion ohne div. Nebenwirkungen und hinterlassenen Schaden, die immer wieder [auf verschiedene Weise] Probleme bereiten können, ist nicht möglich!
- einen Backdoor mit Rootkitfunktionalität

diese Malware verwendet Rootkit-Technologie und Backdoor-Routine
*was sind Backdoors und Rootkits*

Verhaltensweise:
"speicherresident"

Zitat:
Erklärung:
Speicherresident nennt man Programme oder Programmteile, deren Daten während des Rechnerbetriebs nicht routinemässig auf Datenträger wie die Festplatte geschrieben und bei Bedarf wieder in den Arbeitsspeicher eingelesen werden, sondern die ganze Zeit im Arbeitsspeicher verbleiben.
Dazu gehören im Allgemeinen die für den Rechnerbetrieb zentralen und häufig durchgeführten Teile des Betriebsystems oder beim Programmablauf eines Anwendungsprogrammes ständig wiederkehrende Programmroutinen.
Einerseits verkürzen speicherresidente Programme die Zugriffszeiten, weil die für das Einlesen der Daten vom Datenträger in den Arbeitsspeicher benötigte Zeit entfällt. Andererseits verringern sie die verfügbare Kapazität des Arbeitsspeichers.
Speicherresident sind auch viele Viren, die dafür sorgen, dass das Betriebssytem sie die ganze Zeit im Arbeitsspeicher hält, von wo aus sie andere Programme infizieren können.
Tipps & Hilfe:
-> Anleitung: Neuaufsetzen des Systems + Absicherung
-> Neuaufsetzen (Windows XP, Vista und Windows 7) - Anleitungen

gruß
kira
__________________

__________________

Alt 14.06.2012, 00:09   #3
ico0okie
 
TR/ATRAPS.Gen2 und TR/Sirefef.AG.35 in C:Windows\Installer\ - Standard

TR/ATRAPS.Gen2 und TR/Sirefef.AG.35 in C:Windows\Installer\



Oh mist.... Danke für die Antwort. Zum Glück funktioniert sonst alles, so kann ich zumindest alle wichtigen Daten retten.
Weißt du zufällig, wo man sich sowas einfangen kann?
Dann werde ich einfach Windows neu drauf machen. Dann ist auch sicher alles weg?

Liebe Grüße
Tina
__________________

Alt 14.06.2012, 06:41   #4
kira
/// Helfer-Team
 
TR/ATRAPS.Gen2 und TR/Sirefef.AG.35 in C:Windows\Installer\ - Standard

TR/ATRAPS.Gen2 und TR/Sirefef.AG.35 in C:Windows\Installer\



Zitat:
Zitat von ico0okie Beitrag anzeigen
Weißt du zufällig, wo man sich sowas einfangen kann?
z.B so:-> Infektionen auch ohne Mausklick

Zitat:
Zitat von ico0okie Beitrag anzeigen
Dann werde ich einfach Windows neu drauf machen. Dann ist auch sicher alles weg?
ja, sollte auf jeden Fall weg sein

Datensicherung:
► NUR Daten sichern, die nicht ausführbaren Dateien enthalten - Dateiendungen - Dies ist eine Liste von Dateiendungen, die Dateien mit ausführbarem Code bezeichnen können.
- Bevor du mit deinem PC direkt ins Netz gehst:
- Alle Passwörter, die auf dem kompromittierten System verwendet wurden (also z.B. Login-, Mail- oder Website-Passwörter, aber auch die PIN für das Online-Banking) sofort ändern (► am besten von einem anderen, nicht-infizierten Rechner aus! )
Die sichere Passwort-Wahl - (sollte man eigentlich regelmäßigen Abständen ca. alle 3-5 Monate ändern)
auch noch hier unter: Sicheres Kennwort (Password)
- Vor zurückspielen:
Die auf eine externe Festplatte gesicherten Daten, gründlich zu scannen von einem suaberen System aus, am besten mit mehreren Scannern-> Kostenlose Online Scanner - Anleitung
Absolut empfehlenswerter Scanner:
Zitat:
Eset Online Scanner (NOD32)
Panda-Aktivscan
Symantec Security Check
Ich würde Dir vorsichtshalber raten, dein Passwort zu ändern (man sollte alle 3-4 Monate machen)
z.B. Login-, Mail- oder Website-Passwörter
Tipps:
Die sichere Passwort-Wahl - (sollte man eigentlich regelmäßigen Abständen ca. alle 3-5 Monate ändern)
auch noch hier unter: Sicheres Kennwort (Password)

gruß
kira
__________________

Warnung!:
Vorsicht beim Rechnungen per Email mit ZIP-Datei als Anhang! Kann mit einen Verschlüsselungs-Trojaner infiziert sein!
Anhang nicht öffnen, in unserem Forum erst nachfragen!

Sichere regelmäßig deine Daten, auf CD/DVD, USB-Sticks oder externe Festplatten, am besten 2x an verschiedenen Orten!
Bitte diese Warnung weitergeben, wo Du nur kannst!

Geändert von kira (14.06.2012 um 06:47 Uhr)

Antwort

Themen zu TR/ATRAPS.Gen2 und TR/Sirefef.AG.35 in C:Windows\Installer\
.dll, 80000000.@, 800000cb.@, administrator, adobe, adobe flash player, antivir, antivir guard, atraps sirefef trojaner adobe, automatischer neustart, dateisystem, desktop, echtzeitscanner, entfernen, fehler, festplatte, flash player, heuristiks/extra, heuristiks/shuriken, modul, msimg32.dll, neu, neustart, nicht sicher, nt.dll, programm, prozesse, scan, schließen, schließen sich, services.exe, sich automatisch, svchost.exe, taskhost.exe, temp, trojaner, unterschiedlich, wichtige daten, windows, winlogon.exe, wmp



Ähnliche Themen: TR/ATRAPS.Gen2 und TR/Sirefef.AG.35 in C:Windows\Installer\


  1. TR/ATRAPS.Gen2 in C:\windows\installer\...\80000032.@ Avira Fund auf Vista PC
    Log-Analyse und Auswertung - 27.07.2013 (23)
  2. TR/ATRAPS.Gen2 gefunden in Windows\installer
    Plagegeister aller Art und deren Bekämpfung - 15.06.2013 (53)
  3. Trojaner TR/Sirefef.BC.57, TR/Sirefef.AG.9, TR/ATRAPS.Gen2, TR/Necurs.A.71 und SpyHunter 4 auf Rechner
    Log-Analyse und Auswertung - 07.05.2013 (7)
  4. Avira findet TR/Sirefef.16896 und TR/ATRAPS.Gen und TR/ATRAPS.Gen2 in Windows\Installer und W32/Patched.UA in Windows\System32\service.exe
    Plagegeister aller Art und deren Bekämpfung - 14.11.2012 (23)
  5. Avira: TR/ATRAPS.Gen und TR/ATRAPS.Gen2 in C:\Windows\Installer...
    Plagegeister aller Art und deren Bekämpfung - 26.10.2012 (9)
  6. TR/ATRAPS.Gen2, TR/Sirefef.16896 (in C:\Windows\Installer\...) und W32/Patched.UA (C:\Windows\System32\services.exe)
    Plagegeister aller Art und deren Bekämpfung - 04.09.2012 (5)
  7. Avira: 800000cb.@ TR/ATRAPS.Gen und TR/ATRAPS.Gen2 in C:\Windows\Installer\.. und weitere Pfaden
    Plagegeister aller Art und deren Bekämpfung - 16.08.2012 (25)
  8. TR/ATRAPS.Gen2 in C:\Windows\Installer\{bd**65e7}\U\80000064.@
    Plagegeister aller Art und deren Bekämpfung - 13.08.2012 (18)
  9. TR/ATRAPS.Gen2 in C:\Windows\Installer\{f6f92717-f7b0-1b2a-ac00-1327096c2974}\U\800000cb.@
    Plagegeister aller Art und deren Bekämpfung - 13.08.2012 (23)
  10. Trojaner TR/ATRAPS.Gen2 in c:\windows\installer...
    Plagegeister aller Art und deren Bekämpfung - 06.08.2012 (1)
  11. Virusbefall (Trojan.Generic, Trojan.Sirefef, Win64.Sirefef, Win32.Atraps) bei windows installer & Co
    Plagegeister aller Art und deren Bekämpfung - 23.07.2012 (19)
  12. TR/ATRAPS.GEN, TR/ATRAPS.GEN2 in C:\Windows\Installer\{...}
    Plagegeister aller Art und deren Bekämpfung - 13.07.2012 (5)
  13. TR/ATRAPS.Gen und TR/ATRAPS.Gen2 in C:\WINDOWS\Installer\...
    Plagegeister aller Art und deren Bekämpfung - 11.07.2012 (1)
  14. TR/ATRAPS GEN2 in Windows Installer und Lokale Einstellungen
    Log-Analyse und Auswertung - 11.07.2012 (1)
  15. TR/ATRAPS.GEN, TR/ATRAPS.GEN2 in C:\Windows\Installer\{...} und JAVA/Dldr.Lamar.CI
    Mülltonne - 09.07.2012 (2)
  16. TR/ATRAPS.GEN2 in C:/Windows/Installer/xxx/800000.32@ gefunden
    Plagegeister aller Art und deren Bekämpfung - 14.06.2012 (14)
  17. (2x) TR/ATRAPS.Gen2 und Sirefef.AG.35 werden ständig von Avira erkannt (Installer-Virus)
    Mülltonne - 05.06.2012 (1)

Zum Thema TR/ATRAPS.Gen2 und TR/Sirefef.AG.35 in C:Windows\Installer\ - Hallo Forum, ich habe gestern die oben genannten Trojaner per Antivir entdeckt. Als Laie habe ich erstmal ganz primitiv versucht, sie durch den Echtzeitscanner zu entfernen (was natürlich nicht geklappt - TR/ATRAPS.Gen2 und TR/Sirefef.AG.35 in C:Windows\Installer\...
Archiv
Du betrachtest: TR/ATRAPS.Gen2 und TR/Sirefef.AG.35 in C:Windows\Installer\ auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.