ATRAPS.Gen2 und services.exe modified systemfile

[schlode]

Hallo liebe Botfrei Helfer,

nach dem die Bereinigung beim letzten Mal so wunderbar geklappt hat, melde ich mich jetzt bei euch wieder mit Problemen auf einem anderen Rechner.

AVIRA meldet dort ständig neue viren, die es aber nicht entfernen kann. Die sehen immer sehr ähnlich aus. Die aktuellen Funde lauten:

80000064.@ TR/ATRAPS.Gen2
80000032.@ TR/ATRAPS.Gen2
000000cb.@ TR/Sirefef.abx
00000008.@ TR/Cutwall.jhg
00000004.@ TR/ZAccess.H
services.exe HEUR/Modified.SystemFile

Dabei befinden sich die ersten 5 in einem Unterordner von C:\Windows\Installer\... und verändern bei jedem weiteren Fund öftermal den Dateinamen, wie auch die Beschreibung.

Die services.exe Datei befindet sich in C:\Windows\system32

Ich habe einen OTL Scan durchgeführt mit folgenden Logdateien:
Extras.Txt OTL.Txt

Ich hoffe ihr könnt mir auch diesmal wieder weiterhelfen.

Schönen Gruß
Schlode

Moin.

hab auch noch zwei Malwarebytes Scans durchgeführt. Nach dem ersten wurden Fehler gefunden und ich hab den Computer neu gestartet, bevor ich den zweiten Scan durchgeführt habe:
mbam-log-2012-09-12 (19-47-55).txt
mbam-log-2012-09-12 (21-45-33).txt

Vielleicht hilft das ja auch noch ein wenig weiter.

Der ANTIVIR findet auf jeden Fall immer noch wunderbar weitere Trojaner. Diesmal siehts so aus:

80000064.@ TR/ATRAPS.Gen2
80000000.@ TR/Sirefef.W.16896
000000cb.@ TR/Sirefef.abx
00000008.@ TR/Cutwall.jhg
00000004.@ TR/ZAccess.H
services.exe HEUR/Modified.SystemFile

Gruß
Schlode

[Petra]

Hallo Schlode,

zunächst bitte anklicken und lesen: Worauf muss ich während der Bereinigung achten?

Besonders wichtig ist, dass Du die Punkte in der vorgegebenen Reihenfolge abarbeitest.
Berichte mir, wenn etwas nicht funktioniert, damit ich die Anleitung ggfs. ändern kann!


Leider habe ich schlechte Nachrichten für Dich. Du hast es mit einer ernstzunehmenden ZeroAccess-Infektion zu tun. Diese Infektion versteckt sich über einen Rootkit und einen manipulierten Treiber, den ein Antivirus-Programm nicht löschen kann. Die meisten Tools können nur die Dateien "drumherum" löschen. Diese Infektionsart setzt Anti-Virus-Programme außer Kraft und erlaubt dem Angreifer die volle Kontrolle über Dein System zu übernehmen. Es werden Systemdateien so manipuliert, dass auch nach Entfernung des Rootkits die Infektion erneut aktiviert wird, sobald die entsprechende Systemdatei genutzt wird, wenn sie nicht durch die Original-Datei ersetzt wird. Dazu muss man aber erstmal herausfinden, welche Systemdatei das ist, was nicht einfach ist.

Eine Bereinigung ist zwar möglich, aber sehr schwierig und langwierig. Ich würde auf jeden Fall eine Neuinstallation Deines Systems empfehlen und alle Deine Passwort-Daten schnellstmöglich von einem weiteren, virenfreien System aus ändern!

Eine ausführliche Anleitung zum Neuaufsetzen von Windows 7 findest Du hier. Dort wird auch erklärt, wie Du am besten bzgl. der Sicherung Deiner Daten vorgehst.

Sebastian Lienau hat im Avira-Forum in einem prima Beitrag mal etwas ausführlicher erklärt, wie es trotz aktuellem Antivirus-Programm und Vorsicht zu solchen Infektionen kommen kann => hier klicken.



Dann noch ein Wort zu Filesharing: Aus Deinen Logfiles ist zu ersehen, dass Du hie und da P2P-Programme, also Filesharing nutzt. Ich habe in diesem Blogeintrag mal die die Gefahren von Filesharing aufgezeigt. Da die nicht ohne sind, empfehle ich Dir, den Artikel mal in Ruhe durchzulesen.

[schlode]

Hallo Petra,

das ist ja eine ernüchternde Diagnose. Trotzdem vielen Dank für deine Mühe.

Ich werde dann wohl eine Neuinstallation vornehmen.

Vielen Dank auch für die vielen Links mit interessanten Informationen.

Schönen Gruß
Schlode

[Petra]

Hallo schlode,

ja, ist immer blöd, aber Du wirst Dich nach der Neuinstallation über einen flotten und vor allem garantiert sauberen Rechner freuen. Befreit von sämtlichen Altlasten wird der Computer wieder viel flüssiger laufen und Du wirst Dich fragen, warum Du das nicht schon längst mal gemacht hast. Nach der Neuinstallation nicht vergessen, alle Windows Updates inkl. der Service Packs aufzuspielen. Ansonsten bleibt mir nur noch, Dir weiterhin viel Spaß beim "Computern" zu wünschen und Dir noch einige Tipps zur Absicherung zu posten


Lesenswerte Blogeinträge zum Thema Absicherung

In jedem Fall ist es auch nach einer Infektion und anschließender Neuinstallation ratsam, alle Passwörter zu ändern.

Nach Neuinstallation am besten ganz auf Toolbars, Downloader-, Filesharing- und gecrackte Programme verzichten.
Windows, Browser und Java immer topaktuell halten.
Das ist die halbe Miete der Absicherung.

Wie mache ich mein Windows sicher?
Wie kann ich mein System in Zukunft von Malware frei halten?
Vorsicht bei Streaming-Diensten: Malware-Zwischenfälle auf movie2k.to und kinox.to!
Wie kann ich prüfen, ob meine Software aktuell ist?
Datensicherung
Browser- und Plugincheck
DNS manipuliert?