|
TR/SmallFI, TR/ATRAPS.Gen und TR/ATRAPS.Gen von Avira gefunden - was nun? Liebe Helfer, ich bekam heute durch AVIRA den Sicherheitshinweis, dass "Viren oder unerwünschte Programme" gefunden wurden. Ich habe darauf hin diese Dateien in Quarantäne verschoben und einen Suchlauf gestartet. Das Protokoll sieht aus wie folgt: Zitat:
Trotz des Verschiebens in die Quarantäne zeigt mir AVIRA immer wieder erneut die gleichen Funde in regelmäßigen Meldungen. Ich habe dazu gegoogelt und verschiedene Foreneinträge gefunden, aber nur die Hälfte davon verstanden. Deshalb möchte ich auf eure Hilfe zurück greifen. Zunächst habe ich die Anti-Malware, die hier angegeben ist, heruntergeladen und damit einen Scan durchgeführt. Dieser hat keine Funde ergeben. Aber ist mein Computer jetzt sicher? Hier das Logfile: Zitat:
Gruffalo |
Hi, Rootkit.... Combofix Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Achtung: In einigen wenigen Fällen kann es vorkommen, das der Rechner nicht mehr booten kann und Neuaufgesetzt werden muß! Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report (ComboFix.txt) angezeigt, den bitte kopieren und in deinem Thread einfuegen. Das Log solltest Du unter C:\ComboFix.txt finden... Danach MAM updaten und FULLSCAN, Log posten... chris Ps.: Bin morgen den ganzen Tag unterwegs... |
Vielen Dank Chris für deine schnelle Hilfe. Ich habe Combofix heruntergeladen und ausgeführt, doch seit 30 min zeigt es mir nur ein Fenster an in dem steht: Zitat:
Gruffalo |
Hi, tut sich auf der Festplatte noch was? Wenn nein, Rechner in den abgesicherten Modus neu booten (F8 beim Booten drücken) und nochmal probieren... Falls er wieder hängenbleibt, Hitman Lade Dir die passende Version von Hitman runter (32/64Bit), laufen lassen und Log posten. ACHTUNG: Firewall muss für Hitman geöffnet sein (Zugriff unbedingt erlauben!) Downloads - SurfRight Zur Beseitigung kann eine 30-Tage kostenlose Lizenz angefordert werden... Sonst scannen wir über CD von aussen... chris Ps.: Nach dem Start von CF nichts mehr am Rechner machen (keine Maus bewegen etc....) |
Hallo Chris, CF hat sich wieder aufgehängt, also habe ich Hitman heruntergeladen und auf dem Rechner laufen lassen. Das Log ist ziemlich unübersichtlich - tut mir leid. ABer das hat er gefunden: (wenn du mit der Suchfunktion "Trojaner" eingibst, findest du es schnell): Zitat:
1000 Dank, Gruffalo |
Hi, bitte das Log als Anhang posten, es ist nicht vollständig! In dem geposteten Teil ist auf jeden Fall nicht das drin, was er hätte finden sollen... chris |
Hallo Chris, ich hatte das Log von Hitman vorsichtshalber markiert und kopiert und dann auch in word abgespeichert. Das Log von Hitman konnte ich dann tatsächlich nicht mehr in den Dateien finden. Also hier der Anhang in word. Am Montag hatte ich noch einmal nach HITMAN AVIRA drüber laufen lassen und es meldete wieder die 3 Funde - den Suchdurchlauf brach ich dann ab, weil es schon fast Mitternacht war. Code: Gestern startete ich einen neuen Suchdurchlauf mit AVIRA und es fand nichts mehr. Code: Danke! Gruffalo |
Hi, leider hört das gepostet Log wieder mittendrin auf... Normalerweise killt Hitmann das Teil, ev. hat Avira überreste gefunden, lass uns mal nachsehen.. (Es wäre gut ComboFix zum Laufen zu bekommen. Das ist ein Rootkit, der einen normalen, notwendigen Treiber von Windows "übernimmt", d. h. der muß gefunden und ausgetauscht werden (das macht ComboFix automatisch)...) TDSS-Killer Download und Anweisung unter: Wie werden Schadprogramme der Familie Rootkit.Win32.TDSS bekämpft? Entpacke alle Dateien in einem eigenen Verzeichnis (z. B: C:\TDSS)! Aufruf über den Explorer duch Doppelklick auf die TDSSKiller.exe. Stelle den Killer wir folgt ein: http://saved.im/mtkwmtcxexhp/setting...8_16-25-18.jpg Dann den Scan starten durch (Start Scan). Wenn der Scan fertig ist bitte "Report" anwählen (eventuelle Funde erstmal mit Skip übergehen). Es öffnet sich ein Fenster, den Text abkopieren und hier posten... OTL Lade Dir OTL von Oldtimer herunter (http://filepony.de/download-otl/) und speichere es auf Deinem Desktop
Dr. Web ist auch ganz gut, braucht aber viiiiiieeeel Zeit... chris |
Hallo Chris, danke, dass du dir so viel Zeit nimmst. Ich habe den TDSS-Killer drüber laufen lassen und das ist das Protokoll: Code: 17:09:04.0799 4184 TDSS rootkit removing tool 2.7.40.0 Jun 15 2012 15:13:31Von Avira bekomme ich jetzt oft die Information, dass die Autorunfunktion blockiert wurde, obwohl ich da nichts anders eingestellt habe. Du schriebst, ich soll ComboFix im abgesicherten Modus starten - das habe ich versucht, jedoch kann ich nicht den Modus aufrufen über die F8 Taste. Es startet sofort Windows ohne auf meine Eingabe zu reagieren. Wenn ich ComboFix im normalen Modus starte, hängt es sich immer wieder auf. Die OTL und Extra-Dateien habe ich als Anhang gespeichert. Danke! Gruffalo |
Hi, zähes Biest, Teile sind noch da! Fix für OTL:
Code:
Dann doch Cureit, am Besten über Nacht laufen lassen... Cureit Folge der Anleitung: http://www.trojaner-board.de/59299-a...eb-cureit.html Nach Beendigung des Scans findes Du das Log unter %USERPROFILE%\DoctorWeb\CureIt.log. Bevor du irgendwelche Aktionen unternimmst, kopiere bitte den Inhalt des Logs und poste ihn. Die Log Datei ist sehr groß, ca. über 5MB Text. Benutzt einfach die Suche nach "infiziert" und kopiert betreffende Teile heraus, bevor Du sie postet. chris |
Hi Chris, das hat OTL als Ergebnis angezeigt. Code: All processes killedDanke Gruffalo Hallo Chris, hier ist das Log von CureIt: Code: C:\ProgramData\Avira\AntiVir Desktop\INFECTED\1cd533b2.qua gepackt von XOREXECode: >C:\Program Files (x86)\Avira\AntiVir Desktop\avwin.chm/images/cc_event_type_infected.png - OKCode: C:\SWTOOLS\APPS\CSBED\CSBE\ACTIVATION_104\_desktop.ini infiziert mit Win32.HLLW.Gavir.ini - Desinfektion vom Benutzer abgelehntCode: C:\Users\Claudia\Desktop\OTL.exe infiziert mit Trojan.Siggen4.4395 - Desinfektion vom Benutzer abgelehntCode: C:\ProgramData\Avira\AntiVir Desktop\INFECTED\1cd533b2.qua gepackt von XOREXECode: C:\Users\All Users\Avira\AntiVir Desktop\INFECTED\1cd533b2.qua gepackt von XOREXE |
Hi, Cureit hat die Quarantäne von Avira "aufgeräumt"... aber nichts neues gefunden, sollte ok sein.. chris |
Hallo Chris, das beruhigt mich ungemein. Vielen herzlichen Dank für deine Hilfe! Das ist wirklich super! Gruffalo |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 05:37 Uhr. |
Copyright ©2000-2024, Trojaner-Board