Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   TR/ATRAPS.Gen2 von Avira gefunden (https://www.trojaner-board.de/119095-tr-atraps-gen2-avira-gefunden.html)

AsusG50 10.07.2012 16:31
TR/ATRAPS.Gen2 von Avira gefunden
 
Hallo,

Avira hat heute den TR/ATRAPS.Gen2[trojan] gemeldet.

Habe versucht es mit Malware Bytes zu löschen.

Nach Neustart zwar keine Meldung mehr von Avira, aber das Rootkit ist noch auf dem Laptop.

Ich bitte um Hilfe und würde gerne wissen ob man den überhaupt wegbekommt oder nur noch Neuinstallation von Win7 hilft.

Code:
Malwarebytes Anti-Malware (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.07.10.09

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
christian :: ASUSG50V [Administrator]

Schutz: Deaktiviert

10.07.2012 15:07:16
mbam-log-2012-07-10 (16-46-31).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 271747
Laufzeit: 1 Stunde(n), 38 Minute(n), 51 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Users\christian\AppData\Local\{2e4c3fa1-191e-e745-a49d-f65efa36cd15}\U\800000cb.@ (Rootkit.0Access) -> Keine Aktion durchgeführt.

(Ende)

markusg 11.07.2012 00:45
wenn du onlinebanking machst, bank bitte anrufen, banking sperren lassen.
der pc muss neu aufgesetzt und dann abgesichert werden
1. Datenrettung:2. Formatieren, Windows neu instalieren:3. PC absichern: http://www.trojaner-board.de/96344-a...-rechners.html
ich werde außerdem noch weitere punkte dazu posten.
4. alle Passwörter ändern!
5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen.
6. werde ich dann noch was zum absichern von Onlinebanking mit Chip Card Reader + Star Money sagen.

AsusG50 11.07.2012 20:49
Hallo,

nein ich mach kein online banking.

Neuaufsetzen hab ich auch überlegt gehabt, aber bei der Menge an Treibern und Programmen die ich draufhabe ...

Hab mich dann selber ans Werk gemacht und ich denke ich bin den ZeroAcces los.

Besonders geholfen hat mir HitManPro:
hxxp://hitmanpro.wordpress.com/2012/06/25/zeroaccess-from-rootkit-to-nasty-infection/

Erkennt ZeroAccess und seine Teile und löscht sie.

sowie dieses Video:
hxxp://www.youtube.com/watch?v=NryukMsUfqc


Aber der Reihe nach:

1. Versucht mit Malware Bytes zu entfernen, Teile entfernt aber noch auf Laptop

2. Laufzeitprozess aus Taskmanager mit CCleaner deaktiviert und gelöscht (sicher überschrieben) Name: kryptisch und bei Beschreibung Stand "Quartermasters". Fiel sofort auf.

3. Selbe kryptische .exe Datei aus Benutzer Ordner gelöscht -> Sicher überschrieben

4. HitManPro online drüber laufen lassen, ZeroAccess erkannt und Reste gelöscht

5. Ordner des Rootkit/Virus nach youtube Video in Windows/Installer gefunden und gelöscht sowie Prefetch Datei aus Prefetch Ordner gelöscht.

6. Altes Avira Antivir komplett deinstalliert

7. ComboFix drüber laufen lassen. Hat noch ein paar Dateien gelöscht.

8. Neues Antivir drauf gespielt -> nun stimmte die Anordnung der Symbole auf dem Desktop auch wieder, die zuvor verändert wurde

9. Spybot Search and Destroy laufen lassen

10. McAfee Stinger mit sämtlichen Signaturen des ZeroAccess drüber laufen lassen. Über 1,3 Mio. Dateien durchsucht mit über 4500 Signaturen -> kein Fund.


Kann ich vielleicht trotzdem ein Log File online stellen dass du mal drüber schaust ? OTL oder welches auch immer ?

Update: Hab den ESET Online Scanner drüber laufen lassen. Keine Spur mehr vom ZeroAccess.

Hat zwar noch 2 Win32/OpenCandy gefunden, aber ich denke die sind harmlos.

Code:
ESETSmartInstaller@High as CAB hook log:
OnlineScanner64.ocx - registred OK
OnlineScanner.ocx - registred OK
# version=7
# iexplore.exe=9.00.8112.16421 (WIN7_IE9_RTM.110308-0330)
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=
# end=finished
# remove_checked=false
# archives_checked=false
# unwanted_checked=true
# unsafe_checked=true
# antistealth_checked=true
# utc_time=2012-07-12 12:57:19
# local_time=2012-07-12 02:57:19 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1031
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=512 16777215 100 0 74307854 74307854 0 0
# compatibility_mode=1792 16777215 100 0 126773 126773 0 0
# compatibility_mode=5893 16776574 100 94 128548 93719193 0 0
# compatibility_mode=8192 67108863 100 0 44091 44091 0 0
# scanned=275742
# found=2
# cleaned=0
# scan_time=8496
C:\Users\christian\Downloads\CrystalDiskInfo4_0_2a-en.exe        Win32/OpenCandy Anwendung (Säubern nicht möglich)        00000000000000000000000000000000        I
C:\Users\christian\Downloads\CrystalDiskMark3_0_1b-en.exe        Win32/OpenCandy Anwendung (Säubern nicht möglich)        00000000000000000000000000000000        I
Update: Hab den ESET Online Scanner drüber laufen lassen. Keine Spur mehr vom ZeroAccess.

Hat zwar noch 2 Win32/OpenCandy gefunden, aber ich denke die sind harmlos.

Code:
ESETSmartInstaller@High as CAB hook log:
OnlineScanner64.ocx - registred OK
OnlineScanner.ocx - registred OK
# version=7
# iexplore.exe=9.00.8112.16421 (WIN7_IE9_RTM.110308-0330)
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=
# end=finished
# remove_checked=false
# archives_checked=false
# unwanted_checked=true
# unsafe_checked=true
# antistealth_checked=true
# utc_time=2012-07-12 12:57:19
# local_time=2012-07-12 02:57:19 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1031
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=512 16777215 100 0 74307854 74307854 0 0
# compatibility_mode=1792 16777215 100 0 126773 126773 0 0
# compatibility_mode=5893 16776574 100 94 128548 93719193 0 0
# compatibility_mode=8192 67108863 100 0 44091 44091 0 0
# scanned=275742
# found=2
# cleaned=0
# scan_time=8496
C:\Users\christian\Downloads\CrystalDiskInfo4_0_2a-en.exe        Win32/OpenCandy Anwendung (Säubern nicht möglich)        00000000000000000000000000000000        I
C:\Users\christian\Downloads\CrystalDiskMark3_0_1b-en.exe        Win32/OpenCandy Anwendung (Säubern nicht möglich)        00000000000000000000000000000000        I

markusg 13.07.2012 14:20
die angreifer haben 100 %igen zugang auf das system und können endern, was sie wollen, da es malware gibt, die von keinem scanner erkannt wird, ist bei rootkits das neu aufsetzen nötig.
der pc muss neu aufgesetzt und dann abgesichert werden
1. Datenrettung:2. Formatieren, Windows neu instalieren:3. PC absichern: http://www.trojaner-board.de/96344-a...-rechners.html
ich werde außerdem noch weitere punkte dazu posten.
4. alle Passwörter ändern!
5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen.
6. werde ich dann noch was zum absichern von Onlinebanking mit Chip Card Reader + Star Money sagen.


Alle Zeitangaben in WEZ +1. Es ist jetzt 15:48 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131