TR/ATRAPS.Gen + TR/Rootkit.Gen8
 

Hallo,
mein Avira ANtivir meldet seit ein paar Tagen den Fund: TR/ATRAPS.Gen. Nach dem Löschen (entfernen bzw. in Quarantäne verschieben) habe ich kurz darauf denselben Fund wieder. Beim Systemscan gerade zeigte mir Avira auch diesen an: TR/Rootkit.Gen8

Hab mich im Internet und in diesem Forum informiert, es scheint als sei der Schädling nicht ganz ungefährlich (Online-banking etc.). :wtf:

Deshalb bitte ich Euch um Eure Hilfe, den Schädling wieder loszuwerden. Danke!

Hier der Report vom Systemscan von Avira

Hi,

Combofix
Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.

Achtung: In einigen wenigen Fällen kann es vorkommen, das der Rechner nicht mehr booten kann und Neuaufgesetzt werden muß!

Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report (ComboFix.txt) angezeigt, den bitte kopieren und in deinem Thread einfuegen. Das Log solltest Du unter C:\ComboFix.txt finden...

Folge der Anleitung: http://www.trojaner-board.de/59299-a...eb-cureit.html
Nach Beendigung des Scans findes Du das Log unter %USERPROFILE%\DoctorWeb\CureIt.log.
Bevor du irgendwelche Aktionen unternimmst, kopiere bitte den Inhalt des Logs und poste ihn.
Die Log Datei ist sehr groß, ca. über 5MB Text. Benutzt einfach die Suche nach "infiziert" und kopiert betreffende Teile heraus, bevor Du sie postet.

chris

Danke für die schnelle Antwort. Muss es denn gleich combofix sein? Du hast ja geschrieben, dass es in manchen Fällen zu Probleme kommen kann und der PC neu aufgesetzt werden muss. Was ist mit Hijackthis, OTL oder anderen Programm, die ich heute schon gelesen habe? Können wir auch damit anfangen?

Hi,

Rootkits verstecken sich vor "normalen" Zugriffen, sind daher nur sehr schwer zu finden bzw. patchen auch vorhandene Treiber.

Es besteht tatsächlich ein gewisses Restrisiko bei CF, allerdings ein sehr kleines (bisher ist es einmal vorgekommen)....

Da bei einem Rootkit (und je nachdem was sonst noch auf der Kiste ist), nicht klar ist was verändert wurde, solltest Du auf jeden Fall Deine Daten sichern (ggf. muß der Rechner Neuaufgesetzt werden)...

Aber wir können ja mal OTL bemühen...

OTL
Lade Dir OTL von Oldtimer herunter (http://filepony.de/download-otl/) und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe

• Vista/Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen

• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output

• Unter Extra Registry, wähle bitte Use SafeList

• Klicke nun auf Run Scan links oben

• Wenn der Scan beendet wurde werden 2 Logfiles erstellt (OTL.TXT und EXTRAS.TXT)

• Poste die Logfiles hier in den Thread

chris

Ok, probieren wir es lieber erstmal mit OTL ;)

Nach dem ersten Scan mit Avira vorhin hab ich die beiden Funde entfernt (oder in Quarantäne geschoben?). Jedenfalls hat mein PC neugestartet und Avira hat den nächsten Scan durchgeführt. Diesmal ohne Befund. Ist mein PC schon sauber?

Hier mal der Report vom Scan nach dem Neustart:

Hi,

lt. Avira ja, bitte OTL-Log posten...

chris

Hier OTL

Extras.Txt
OTL Logfile:
--- --- ---

[/CODE]



OTL.Txt
OTL Logfile:
--- --- ---

[/CODE]

Wie siehts aus?

Bin ich nun sauber? :confused:

Hi,

Spuren sind vorhanden...

• Doppelklick auf die OTL.exe, um das Programm auszuführen.

• Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.

• Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"

http://oldtimer.geekstogo.com/OTL/OTL_Main_Tutorial.gif

• Den roten Run Fixes! Button anklicken.

• Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.

• Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:

• %systemroot%\_OTL

OSAM
Prüft Programme/Treiber die gestartet werden online.
Folge den Anweisungen hier http://www.trojaner-board.de/84180-a...n-manager.html zur Erstellung eines Logs und poste das hier in Deinem Thread.

MBR-Check
Lade Dir http://ad13.geekstogo.com/MBRCheck.exe und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.

• Vista und Win7 User mit Rechtsklick "als Administrator starten"

• Das Tool braucht nur eine Sekunde.

• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste bitte den Inhalt des .txt Dokumentes

Bitte wie bereits beschrieben Cureit laufen lassen (über Nacht, da er sehr lange läuft)...

chris

Hi, war eine Weile nicht am PC, nun gehts aber weiter.

Hier schonmal die OTL Datei nach Ausführen Deiner Anweisung

Das OSAM Logfile

Hier MBRCheck

Hi,

sieht beides sauber aus, wobei das mit den doppelten Scrollbars beim OSAM-Log doch recht aufwendig war...

Was treibt der Rechner?

chris

Aktuell läuft der CureIt Scanner (lief zwar über Nacht und auch bisher am Tage, aber es kamen Abfragefenster (verschieben, löschen..), die ich erst beantworten musste, damit es weitergeht. Derzeit scheint 60% gescannt zu sein.

Bis jetzt hat der Scanner angezeigt, dass Avira AntiVir infiziert ist. Und auch bei OTL hat er was gefunden.

Ansonsten lief der PC die letzten Tage wie gewohnt.

Hi,

die betroffenen Dateien bei virustotal.com hochladen und scannen lassen...
Falls was erkannt wurde, das komplette Ergebniss posten...

Chris

Hier mal das Ergebnis von CureIt

BERICHTSLISTE

Und jetzt soll ich alle infizierten Dateiien bei virustotal hochladen?

Hi,

Rootkit&Siggen...

Hmm, ich wäre wieder bei combofix angekommen...

Panda-TLD4-Killer
Den Killler auf das Desktop runterladen:
TDSS-Killer
Starte den Killer, den anschließenden Neustart erlauben!
Falls die Sicherheitslösung mosert, bitte ausschalten oder yorkyt.exe als Ausnahme zulassen!
Nach dem Reboot sollte der Killer von alleine starten (Please wait... Running...),
nicht unterbrechen, nichts am Rechner machen (Laufzeit ca. 5 Minuten).
Wird etwas gefunden, (Detected and requested some bad files) zuerst das Log posten (liegt da wo die Exe liegt, also auf dem Desktop), ->poste den Inhalt der yorkyt.exe.log.
Falls Freigabe erteilt Ja auswählen, der Rechner wird neu gestartet und die erkannten (verseuchten) Treiber ausgetauscht, die TLD-Files gelöscht (yorkyt startet wieder automatisch, nicht unterbrechen!).
Poste nach der Bereinigung noch mal das Log...

Hitman
Lade Dir die passende Version von Hitman runter (32/64Bit), laufen lassen und Log posten, Lizenz über den entsprechenden Reiter (30Tage).
ACHTUNG: Firewall muss für Hitman geöffnet sein (Zugriff unbedingt erlauben!)
Downloads - SurfRight
Das Log als XLM exportieren und posten...

chris

Habe den tdsskiller runtergeladen und gestartet.Dann den Neustart zugelassen. Doch danach fuhr der PC nicht mehr hoch. Hab ihm 40 Minuten gegeben und dann den Pc per Knopfdruck ausgemacht, in der Hoffnung, dass es beim nächsten Versuch klappt. Jetzt fährt er aber wieder nicht hoch (seit 20 Minuten).... Was nun??

Ich habs jetzt mehrmals probiert, der PC fährt einfach nicht mehr hoch. Was soll ich tun ?

PC fährt einfach nicht mehr hoch. Was nun?

Bin mit dem letzten gespeicherten Einstellung hochgefahren. Hier das Log. Soll ich nun beim Programm Killer JA drücken?

Hab jetzt einfach JA gedrückt. Hier das Log nach dem Abschluss des Killers:

Was nun? Bin ich fertig und sauber? :)

Ach ja, hier das Log vom Hitman.

Hi,

wir sollten durch sein, wie verhält sich der Rechner?
Hitman hat noch was ausgegraben:
Sollte aber soweit dann auch alles "gelöst" sein...

chris

Hi,

noch einen kleinen Nachtrag an der Stelle:
Folgendes OTL-Script abfahren:

Fix für OTL:

• Doppelklick auf die OTL.exe, um das Programm auszuführen.

• Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.

• Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"

http://oldtimer.geekstogo.com/OTL/OTL_Main_Tutorial.gif

• Den roten Run Fixes! Button anklicken.

• Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.

• Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:

• %systemroot%\_OTL

Das Verzeichnis C:\_OTL kanns Du dann löschen (Reste der Infektion)...

chris

Ich hab auch deine letzte Anweisung ausgeführt. Vom Schädling ist nichts mehr zu sehen. Der PC läuft auch wieder einwandfrei. Vielen Dank für Deine Hilfe. D A N K E