Trojaner-Board - Tr/atraps.gen2

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Tr/atraps.gen2 (https://www.trojaner-board.de/117816-tr-atraps-gen2.html)

Hallo,

ich habe mir gestern den Trojaner "TR/ATRAPS.Gen2" eingefangen,

Avira Free findet seit dem alle 5-10 min die infizierte Datei kann sie aber weder löschen noch in Quarantäne verschieben.
Manchmal findet er auch "TR/ATRAPS.Gen"

Das Problem scheint ja sehr aktuell zu sein, ich wollte aber trotzdem mein Problem seperat posten, da ich nicht weiss, ob sich der Trojaner immer gleich behandeln lässt.

Malewarebytes spuckt das hier beim Schnelltest aus:

Malwarebytes Anti-Malware (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.06.23.03

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Ben :: BEN-PC [Administrator]

Schutz: Aktiviert

23.06.2012 13:43:03
mbam-log-2012-06-23 (13-43-03).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 222412
Laufzeit: 2 Minute(n), 9 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Windows\Installer\{648dbb3c-5fe5-a883-d538-3f2367e220bf}\U\00000008.@ (Trojan.Dropper.BCMiner) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Von wegen erfolgreich gelöscht, nach dem erforderlichen neustart und einem weiteren scan, findet er die selbe Datei wieder.

Ich habe jetzt "Defrogger" geladen udn Disable gedrückt - war erfolgreich

Im moment läuft der OTL - Quickscan

im Anhang ist die OTL.exe, die er mir ausgespuckt hat.

Bitte helft mir,
Danke im Vorraus
Affegiraffe

Hallo nochmals,

hier habe ich noch das logfile von aswMBR und von tdsskiller.

Inzwischen hat Avira auch eine Datei namens W32/Patched.UA entdeckt.
Diese befindet sich in C:/Windows/System32/services.exe
wurde aber scheinbar erfolgreich in die Quarantäne verschoben, da tdsskiller keine befallenen Dateien meldet. (Logfile im Anhang, da zu lang und auch noch gezipped, da sonst zu groß)

Hier das Logfile von aswMBR

Code:

aswMBR version 0.9.9.1665 Copyright(c) 2011 AVAST Software

Run date: 2012-06-23 13:59:42

-----------------------------

13:59:42.730    OS Version: Windows x64 6.1.7601 Service Pack 1

13:59:42.730    Number of processors: 4 586 0xF0B

13:59:42.731    ComputerName: BEN-PC  UserName: Ben

13:59:43.583    Initialize success

14:00:40.127    AVAST engine defs: 12062300

14:01:51.780    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1

14:01:51.782    Disk 0 Vendor: Intel___ 1.0. Size: 1220956MB BusType: 8

14:01:51.801    Disk 0 MBR read successfully

14:01:51.803    Disk 0 MBR scan

14:01:51.808    Disk 0 Windows 7 default MBR code

14:01:51.813    Disk 0 Partition 1 80 (A) 07    HPFS/NTFS NTFS          100 MB offset 2048

14:01:51.826    Disk 0 Partition 2 00     07    HPFS/NTFS NTFS       149900 MB offset 206848

14:01:51.840    Disk 0 Partition 3 00     07    HPFS/NTFS NTFS      1070954 MB offset 307202048

14:01:51.858    Disk 0 scanning C:\Windows\system32\drivers

14:02:00.050    Service scanning

14:02:17.328    Modules scanning

14:02:17.338    Disk 0 trace - called modules:

14:02:17.351    ntoskrnl.exe CLASSPNP.SYS disk.sys iaStorV.sys hal.dll 

14:02:17.586    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa80055e7060]

14:02:17.591    3 CLASSPNP.SYS[fffff88001bbf43f] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-1[0xfffffa8004f7e050]

14:02:19.480    AVAST engine scan C:\Windows

14:02:20.657    AVAST engine scan C:\Windows\system32

14:05:08.859    AVAST engine scan C:\Windows\system32\drivers

14:05:19.058    AVAST engine scan C:\Users\Ben

14:16:36.149    AVAST engine scan C:\ProgramData

14:18:56.576    Scan finished successfully

14:29:32.577    Disk 0 MBR has been saved successfully to "C:\Users\Ben\Desktop\MBR.dat"

14:29:32.620    The log file has been saved successfully to "C:\Users\Ben\Desktop\aswMBR.txt"

Ich bin sehr beunruhigt, obwohl ich nichts Auffälliges beim Arbeiten entdecke...
Trotzdem hätte ich die ungebetenen Gäste gerne schnellst möglich rausgeschmissen ;).

Danke,
Affegiraffe

Hallo,

Ich hoffe es war keine dumme Idee, aber ich hab die befallenen Daten
(welche alle samt in C: windows installer ...) waren händisch gelöscht.

Hier der mbam log davor:

Code:

Malwarebytes Anti-Malware (Test) 1.61.0.1400

www.malwarebytes.org
 

Datenbank Version: v2012.06.23.03
 

Windows 7 Service Pack 1 x64 NTFS

Internet Explorer 9.0.8112.16421

Ben :: BEN-PC [Administrator]
 

Schutz: Aktiviert
 

23.06.2012 16:03:55

mbam-log-2012-06-23 (16-03-55).txt
 

Art des Suchlaufs: Quick-Scan

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 222556

Laufzeit: 1 Minute(n), 57 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 3

C:\Users\Ben\Desktop\SoftonicDownloader_fuer_windows-installer-clean-up.exe (PUP.ToolbarDownloader) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\Users\Ben\Downloads\SoftonicDownloader_fuer_windows-installer-clean-up.exe (PUP.ToolbarDownloader) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\Windows\Installer\{648dbb3c-5fe5-a883-d538-3f2367e220bf}\U\00000008.@ (Trojan.Dropper.BCMiner) -> Erfolgreich gelöscht und in Quarantäne gestellt.
 

(Ende)

Hier der mbam log danach:

Code:

Malwarebytes Anti-Malware (Test) 1.61.0.1400

www.malwarebytes.org
 

Datenbank Version: v2012.06.23.03
 

Windows 7 Service Pack 1 x64 NTFS

Internet Explorer 9.0.8112.16421

Ben :: BEN-PC [Administrator]
 

Schutz: Aktiviert
 

23.06.2012 16:11:48

mbam-log-2012-06-23 (16-11-48).txt
 

Art des Suchlaufs: Quick-Scan

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 222099

Laufzeit: 2 Minute(n), 20 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 0

(Keine bösartigen Objekte gefunden)
 

(Ende)

Auf den ersten blick scheint alles perfekt zu funktionieren, und Avira ist auch ruhig, nur die Firewalls kann ich nicht wieder aktivieren.
Also ist irgendwas immernoch kaputt