TR/ATRAPS.Gen2 Befall - Neuaufsetzen des Systems nötig?
 

Hallo zusammen,
ich verfolge das Forum hier schon seit einiger Zeit und bin wirklich erstaunt, wie professionell die meisten Probleme behandelt werden. Oftmals habe ich bisher Probleme mit Viren / Trojanern etc. einigermaßen selbst in den Griff bekommen, aber dieser TR/ATRAPS.Gen2 scheint ja ein ziemlich schwerer Fall zu sein.

Ich bin ziemlicher Laie auf dem Gebiet, habe aber schon des Öfteren gelesen, dass bei einem solchen Befall nur ein Neuaufsetzen des Systems hilft. Ich möchte das so weit wie möglich umgehen, da ich dafür momentan absolut keine Zeit habe. Deswegen wäre ich euch unendlich dankbar, wenn ihr mir in diesem Falle eine alternative Lösung anbieten könnt.

Ich schätze mal, dass ich mir den Trojaner aufgrund dieser Sicherheitslücke bei Adobe / Flash eingefangen habe, weil ich nach einer Aktualisierung vor einigen Monaten verhäuft Probleme mit dem PC hatte (z.B. Umleitungen bei Google, Sperrung von Internetseiten, Abstürze, Hostprozess wird beendet usw.). Avira zeigt mir beim Echtzeit-Scanner permanent diesen Fund an, sodass es gar nicht mehr richtig funktioniert. Auch Malwarebytes führt nur eine Datei als infiziert auf, ich kann sie in Quarantäne stellen, löschen un den PC neustarten, ohne Erfolg.

Ich habe zwar keine größeren Performance-Probleme mit meinem PC, eigentlich läuft alles ganz normal, aber ich möchte diesen Trojaner verständlicherweise doch gerne loswerden, vor allen Dingen, da ich bisher auch Online-Banking über diesen PC gemacht habe.

Ich habe mal ein aktuelles Malwarebytes-Log angefügt, wie gesagt, ich würde mich sehr freuen, wenn mein System auch ohne komplettes Neuaufsetzen zu retten ist.

LG
Jupp

:hallo:

Mein Name ist Marius und ich werde dir bei deinem Problem helfen.

Eines vorneweg:

Hinweis: Wir können hier nie dafür garantieren, dass wir sämtliche Reste von Schadsoftware gefunden haben. Eine Formatierung ist meist der schnellste und immer der sicherste Weg.

Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass dein Rechner clean ist.

Eine Bereinigung ist mitunter mit viel Arbeit für dich verbunden.

1. Bitte arbeite alle Schritte der Reihe nach ab.
2. Lese die Anleitungen sorgfältig. Solltest du irgendwo nicht weiterkommen, stoppe an diesem Punkt und beschreibe dein Problem hier!
3. Nur Scans durchführen, zu denen du von einem Helfer aufgefordert wirst.
4. Bitte kein Crossposting (posten in mehreren Foren) - wenn du die Anweisungen mehrere Helfer ausführst, kann das schwere Probleme nach sich ziehen!.
5. Installiere oder Deinstalliere während der Bereinigung keine Software (ausser, du wurdest dazu aufgefordert).
6. Wenn etwas unklar ist: Frage, bevor du etwas "blind" machst!
   
   ...und ganz wichtig:
   
   
7. Poste die Logfiles mit code-tags (das #-Symbol oben im Antwortfenster) in deinen Thread! Nicht anhängen, außer, ich fordere dich dazu auf. (Erschwert mir nämlich das Auswerten).

Vista und Win7 User
Alle Tools mit Rechtsklick --> "als Administrator ausführen" starten.


Schritt 1: defogger


Downloade Dir bitte defogger von jpshortstuff auf Deinem Desktop.

• Starte das Tool mit Doppelklick.
  Vista und Win7 User mit Rechtsklick "als Administrator starten".
• Klicke nun auf den Disable Button um die Treiber gewisser Emulatoren zu deaktivieren.
• Wenn der Scan beendet wurde ( Finished ), klicke auf OK.
• Defogger fordert gegebenfalls zum Neustart auf. Bestätige dies mit OK.

Sollte Defogger eine Fehlermeldung ausgeben, poste bitte die defogger_disable Log von deinem Desktop.
Klicke den Re-enable Button nicht ohne Anweisung.




Schritt 2: OTL



Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop ( falls noch nicht vorhanden)

• Doppelklick auf die OTL.exe
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

Schritt 2: Scan mit MBAR



Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

• Entpacke das Archiv auf deinem Desktop.
• Im neu erstellten Ordner starte bitte die mbar.exe.
• Folge den Anweisungen auf deinem Bildschirm und erlaube dem Tool, dein System zu scannen.
• Klicke nicht auf den CleanUp Button

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

Hallo Marius!
Erst einmal vielen Dank für die schnelle Hilfe. Ich kann mir zwar vorstellen, dass eine Formatierung der schnellere Weg ist, aber mein System danach wieder in den status quo zurückzuversetzen würde mich dafür unendlich viel mehr Zeit kosten. Deswegen hoffe ich mal, dass es auch so geht.

Hier zunächst einmal die beiden Logs von OTL:
OTL Logfile:
--- --- ---


OTL Logfile:
--- --- ---


Malwarebytes lasse ich jetzt laufen und poste die Ergebnisse dann später.

Du solltest doch ausdrücklich nicht auf cleanup klicken!

Lasse MBAR noch einmal laufen und poste mir die logdatei.
Erstelle außerdem ein neues OTL-Log.

Sorry, aber das "Delete on reboot" steht bei mir auch nach dem zweiten Lauf. Habe gerade noch gar nichts weiter angeklickt, nur das Logfile geöffnet. Bin mir auch ziemlich sicher, dass ich beim ersten Mal nicht auf Cleanup geklickt habe:

Ah, okay!

Dann lass MBAR die Funde jetzt entfernen, starte neu und poste mir die erstellte Logdatei! :)

OK, jetzt hört Avira schon einmal auf mit dem Gezicke und das Logfile sieht meiner Meinung nach auch etwas besser aus...
Was mir nur gerade aufgefallen ist, auf meiner zweiten Partition (D:, wo ich auch Malwarebytes gespeichert habe) wurden jetzt mehrere Ordner angelegt, die vorher nicht dort waren ("RECYCLE.BIN", "msdownld.tmp", "MSOCache", "System Volume Information"). Teilweise habe ich auf diese Ordner keinen Zugriff. Ist das normal?
Hier noch das aktuelle Logfile:

Genau!

Entferne auch diesen Fund.
Sobald MBAR nichts mehr entdeckt, erstelle und poste ein neues OTL-Log!

Malwarebytes findet jetzt keine Trojaner mehr, hier meine aktuellen OTL-Logs:
Kann ich denn jetzt davon ausgehen, dass das Problem behoben ist? Müssen diese Systemordner auf meiner zweiten Partition bestehen bleiben?
Und könntest du mir vielleicht noch sagen, was jetzt eigentlich genau passiert ist und wie ich so etwas in Zukunft verhindern kann?

Die Systemordner müssen da bleiben und sind normalerweise versteckt, das klären wir nachher!

Sieht ganz gut aus - kontrollieren wir alles nochmal! :)


Schritt 1: MBAM vollständig


Downloade Dir bitte Malwarebytes

• Installiere das Programm in den vorgegebenen Pfad.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
• Wenn das Update beendet wurde, aktiviere Vollständigen Scan durchführen und drücke auf Scannen. (Hinweis: Alle Festplatten anhaken!)
• Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
• Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Schritt 2: ESET



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Malwarebytes:
ESET läuft gerade noch und wird auch wohl ne ganze Weile dauern... ich lass es heute Nacht mal durchlaufen.

Trojaner bei Malwarebytes? :wtf:

Hm...entweder ein false positive oder ZeroAccess hat die Dateien verändert...

Virustotal



Bitte lasse die Datei aus der Code-Box bei Virustotal überprüfen.

• Klicke auf Durchsuchen
• Kopiere nun folgendes in die Suchleiste.
  Code:

  ---

  C:\ProgramData\Malwarebytes\Malwarebytes' Anti-Malware\services.exe_kernel.mbam

  ---

• und klicke auf Öffnen.
• Klicke auf Send File.

Warte bitte bis die Datei vollständig hochgeladen wurde. Solltest Du folgende Meldung bekommen. klicke auf Reanalyse. Warte bis unter Current status: Finished steht. Kopiere den Link aus deiner Adresszeile und poste ihn hier. Wiederhole die selben Schritte mit folgenden Dateien.

https://www.virustotal.com/de/file/03e4d4e5f4337c44f3cb2c2cb943e0984679a51f05760e90c9c3b46a47aed659/analysis/1367222187/

https://www.virustotal.com/de/file/03e4d4e5f4337c44f3cb2c2cb943e0984679a51f05760e90c9c3b46a47aed659/analysis/1367222273/

https://www.virustotal.com/de/file/03e4d4e5f4337c44f3cb2c2cb943e0984679a51f05760e90c9c3b46a47aed659/analysis/1367222367/

https://www.virustotal.com/de/file/03e4d4e5f4337c44f3cb2c2cb943e0984679a51f05760e90c9c3b46a47aed659/analysis/1367222442/

Nicht zu fassen, dieses rootkit fängt an, mir gehörig auf die Nerven zu gehen... :pfui:


Schritt 1: Fix mit OTL

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
  ( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)
  Kopiere nun den Inhalt hier in Deinen Thread

Schritt 2: adwcleaner


Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Schritt 3: Neues OTL-Log

• Doppelklick auf die OTL.exe
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

Wenn ich den Befehl bei otl eingebe und auf "fix " klicke, führt das zu einem systemcrash mit bluescreen :-(