|
Plagegeister aller Art und deren Bekämpfung: TR/ATRAPS.Gen2 & TR/Sirefef.AG.35Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
03.06.2012, 13:45 | #1 |
| TR/ATRAPS.Gen2 & TR/Sirefef.AG.35 Liebe Forummitglieder, ich habe oben genannten Trojaner auf meinem PC. Meine Kenntnisse bzgl. PC etc. sind eher begrenzt, daher wurde ich aus meiner google-suche und auch hier im Forum nicht schlau. Das einzige was ich bisher zu o.g. Trojaner gefunden habe war die MEssage: Computer nue aufsetzen. Ich würde mich sehr freuen, wenn mich hier jmd. bei meinem aktuellen Problem "an die Hand" nimmt und mir sagt wie ich nun vorgehen muss. Ich habe nun einmal HijackThis angewandt, in der Hoffnung das dies behilflich sein kann: HiJackthis Logfile: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.4 Scan saved at 14:44:26, on 03.06.2012 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\WINDOWS\Explorer.EXE C:\Programme\VIA\VIAudioi\SBADeck\ADeck.exe C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe C:\Programme\Ask.com\Updater\Updater.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\Cisco Systems\VPN Client\cvpnd.exe C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DatacardService\DCService.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\Avira\AntiVir Desktop\avshadow.exe C:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE C:\Programme\NetCologne\signup\WlanMon.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Mozilla Firefox\plugin-container.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Mozilla Thunderbird\thunderbird.exe C:\Dokumente und Einstellungen\Administrator\Desktop\HiJackThis204.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.netcologne.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.netcologne.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer bereitgestellt von NetCologne R3 - URLSearchHook: UrlSearchHook Class - {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Programme\Ask.com\GenericAskToolbar.dll O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll O4 - HKLM\..\Run: [AudioDeck] C:\Programme\VIA\VIAudioi\SBADeck\ADeck.exe 1 O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" O4 - HKLM\..\Run: [ApnUpdater] "C:\Programme\Ask.com\Updater\Updater.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Microsoft Firewall 2.9] C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\WMPRWISE.EXE O4 - HKUS\S-1-5-20\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [IE7] rundll32 advpack.dll,LaunchINFSection IE7.inf,FirstUserStart (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user') O4 - Global Startup: VPN Client.lnk = ? O8 - Extra context menu item: Free YouTube to MP3 Converter - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O16 - DPF: {888078C6-70B2-4F88-8EE7-1F50DDEA6120} (CeWe Color AG & Co. OHG Control) - https://as.photoprintit.de/ips-opdata/activex/ImageUploader6.cab O16 - DPF: {CAC677B6-4963-4305-9066-0BD135CD9233} (IPSUploader4 Control) - hxxp://as.photoprintit.de/ips-opdata/layout/default_cms01/activex/IPSUploader4.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{BF7643D5-94BC-49AD-A5BD-82402FC966CD}: NameServer = 81.173.194.69 81.173.194.77 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll O23 - Service: Avira Planer (AntiVirSchedulerService) - Avira Operations GmbH & Co. KG - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira Echtzeit Scanner (AntiVirService) - Avira Operations GmbH & Co. KG - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Avira Browser Schutz (AntiVirWebService) - Avira Operations GmbH & Co. KG - C:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe O23 - Service: DCService.exe - Unknown owner - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DatacardService\DCService.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe -- End of file - 6904 bytes Welche ANgaben benötigt ihr denn von meinem PC? Oder seid ihr der Meinung, den PC lieber direkt neu aufzusetzen?!? Hat jmd. nen Plan diesbezüglich? |
04.06.2012, 07:57 | #2 |
/// Malwareteam | TR/ATRAPS.Gen2 & TR/Sirefef.AG.35 Um eine genauere Analyse zu ermöglichen, befolge bitte diesen Link:
__________________An alle Hilfesuchenden! Was muss ich vor Eröffnung eines Themas beachten?
__________________ |
06.06.2012, 07:15 | #3 |
/// Malwareteam | TR/ATRAPS.Gen2 & TR/Sirefef.AG.35 Fehlende Rückmeldung
__________________Dieses Thema wurde aus den Abos gelöscht. Somit bekomm ich keine Benachrichtigung über neue Antworten. PM an mich falls Du denoch weiter machen willst. Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner schon sauber ist. Jeder andere bitte hier klicken und einen eigenen Thread erstellen
__________________ |
07.06.2012, 11:52 | #4 |
| TR/ATRAPS.Gen2 & TR/Sirefef.AG.35 so hier schon einmal die OTL.txt und Extra.txt |
07.06.2012, 12:35 | #5 |
| TR/ATRAPS.Gen2 & TR/Sirefef.AG.35 So hier Gmer.txt Zu "attach.txt" und "dds.txt" finde ich nichts? Mich wundert nur, dass die Datei so klein ist. Geändert von ascitiesburn (07.06.2012 um 13:01 Uhr) |
10.06.2012, 23:27 | #6 |
/// Malwareteam | TR/ATRAPS.Gen2 & TR/Sirefef.AG.35 Ich habe dein Thema in Arbeit und melde mich so schnell als möglich mit weiteren Anweisungen. Ich bedanke mich für deine Geduld Gruß, PsYcHoTiC
__________________ --> TR/ATRAPS.Gen2 & TR/Sirefef.AG.35 |
12.06.2012, 07:26 | #7 | |
/// Malwareteam | TR/ATRAPS.Gen2 & TR/Sirefef.AG.35 Schritt 1: Software deinstallieren
Schritt 2: adwCleaner Downloade Dir bitte AdwCleaner auf deinen Desktop.
__________________ Kein Asylrecht für Trojaner! Proud Member of UNITE Hinweis: Ich bin nur werktags erreichbar! Anfragen über PM werden ignoriert! Du bist zufrieden mit uns? Dann unterstütze das Trojaner-Board! |
12.06.2012, 16:20 | #8 |
| TR/ATRAPS.Gen2 & TR/Sirefef.AG.35 Hi und danke für die ANtwort. Diese´"Ask-Toolbar" kann ich einfach nicht deinstallieren. Habe ich schon einige Mal versucht. Es öffnet sich nach kurzer Zeit ein Fesnter, in dem steht: "Schließen Sie zum Abschließen der Deinstallation alle Internet Explorer-Browserfenster. Klicken Sie auf zustimmen wenn Sie zum Fortfahren bereit sind." Dann gibt es die Möglichkeiten "Ok" und "Abbrechen". Klicke ich "Ok" erscheint die Selbe Meldung immer wieder... Klicke ich auf "Abbrechen" steht dort "Schwerwiegender Fehler bei der Installation". Anbei die Log-Datei. Derzeit zeigt mir AntiVir die Trojaner nicht mehr an, bin mir aber nicht sicher, ob sie wirklich weg sind. Hatte lediglich Antivir scnannen und in Quarantäne schicken lassen letzte Woche. |
13.06.2012, 07:08 | #9 |
/// Malwareteam | TR/ATRAPS.Gen2 & TR/Sirefef.AG.35 Drücke die Windows- und die R-Taste gleichzeitig. Kopiere den Inhalt der folgenden Box in das sich öffnende Fenster und klicke OK. Code:
ATTFilter msiexec.exe /x {86D4B82A-ABED-442A-BE86-96357B70F4FE} /q
__________________ Kein Asylrecht für Trojaner! Proud Member of UNITE Hinweis: Ich bin nur werktags erreichbar! Anfragen über PM werden ignoriert! Du bist zufrieden mit uns? Dann unterstütze das Trojaner-Board! |
13.06.2012, 15:57 | #10 |
| TR/ATRAPS.Gen2 & TR/Sirefef.AG.35 Hi, es erfolgt die gleiche Meldung. Und wenn ich auf ok klicke -> das Fesnter kommt immer wieder. Lediglich die Fehlermeldung bei Abbruch bleibt aus. Ich nutze den IExplorer gar nicht. |
14.06.2012, 08:09 | #11 |
/// Malwareteam | TR/ATRAPS.Gen2 & TR/Sirefef.AG.35 Schritt 1: Fix mit adwCleaner
Schritt 2: combofix Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!Downloade dir bitte Combofix von einem dieser Downloadspiegel Link 1 Link 2 WICHTIG - Speichere Combofix auf deinem Desktop
Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.
__________________ Kein Asylrecht für Trojaner! Proud Member of UNITE Hinweis: Ich bin nur werktags erreichbar! Anfragen über PM werden ignoriert! Du bist zufrieden mit uns? Dann unterstütze das Trojaner-Board! |
14.06.2012, 16:32 | #12 |
| TR/ATRAPS.Gen2 & TR/Sirefef.AG.35 Anbei die logfiles |
15.06.2012, 06:36 | #13 |
/// Malwareteam | TR/ATRAPS.Gen2 & TR/Sirefef.AG.35 Sieht ganz gut aus - kontrollieren wir alles nochmal! Schritt 1: MBAM vollständig Downloade Dir bitte Malwarebytes
Schritt 2: ESET ESET Online Scanner
__________________ Kein Asylrecht für Trojaner! Proud Member of UNITE Hinweis: Ich bin nur werktags erreichbar! Anfragen über PM werden ignoriert! Du bist zufrieden mit uns? Dann unterstütze das Trojaner-Board! |
15.06.2012, 20:02 | #14 |
| TR/ATRAPS.Gen2 & TR/Sirefef.AG.35 Ja das sah gut aus. Die ASK Toolbar war schoma weg. Nur bekomme ich dieses TuneUpUtilties2008 ebenfalls nicht deinstalliert. Eine Frage: Muss ich eig. bei defogger die Einstellung wieder umstellen? Anbei die Logfiles und nochmals vielen vielen DANK! |
18.06.2012, 08:09 | #15 | |
/// Malwareteam | TR/ATRAPS.Gen2 & TR/Sirefef.AG.35Zitat:
Alleine der Besuch auf Seiten, welche diese Dateien zum Download anbieten, beinhaltet ein hohes Risiko sich zu infizieren. Wenn Du den Crack startest, startest du eine ausführbare Datei aus einer sehr dubiosen Quelle. Im Quellcode der Datei kann alles mögliche stehen. ( z.B downloaden und ausführen von Malwaredateien ) Dies ist einer der Hauptursachen für Infektionen. Ausserdem sind Cracks, Keygens, usw. illegal und das ist genauso Diebstahl wie in einem Laden. Darum haben wir uns darauf geeinigt: Falls wir Hinweise auf illegal erworbene Software finden, werden wir den Support ohne jegliche Diskussion beenden. Deshalb beschränkt sich unsere Hilfe für dich auf eine Anleitung zur Neuinstallation und Absicherung des Systems
__________________ Kein Asylrecht für Trojaner! Proud Member of UNITE Hinweis: Ich bin nur werktags erreichbar! Anfragen über PM werden ignoriert! Du bist zufrieden mit uns? Dann unterstütze das Trojaner-Board! |
Themen zu TR/ATRAPS.Gen2 & TR/Sirefef.AG.35 |
antivir, avira, bho, browser, computer, converter, desktop, einstellungen, excel, firefox, helper, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, mozilla, mp3, plug-in, problem, rojaner gefunden, rundll, schutz, software, system, trojaner, trojaner gefunden, windows, windows xp |