| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Trojaner TR/ATRAPS.gen und TR/ATRAPS.Gen2 lässt sich nicht entfernenWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
12.07.2012, 14:41
| #16 | |
| /// Winkelfunktion /// TB-Süch-Tiger™   |  Trojaner TR/ATRAPS.gen und TR/ATRAPS.Gen2 lässt sich nicht entfernen Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie Zitat:
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
12.07.2012, 15:27
| #17 |
 | Trojaner TR/ATRAPS.gen und TR/ATRAPS.Gen2 lässt sich nicht entfernenCode:
ATTFilter ComboFix 12-07-12.02 - anika 12.07.2012 16:09:30.1.2 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1014.398 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\anika\Desktop\ComboFix.exe
AV: Avira Desktop *Enabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\{2BF2E31F-B8BB-40A7-B650-98D28E0F7D47}\PostBuild.exe
c:\windows\system32\_000006_.tmp.dll
c:\windows\system32\_000007_.tmp.dll
c:\windows\system32\_000008_.tmp.dll
c:\windows\system32\_000009_.tmp.dll
c:\windows\system32\_000023_.tmp.dll
c:\windows\system32\_000024_.tmp.dll
c:\windows\system32\_000025_.tmp.dll
c:\windows\system32\_000026_.tmp.dll
.
.
((((((((((((((((((((((( Dateien erstellt von 2012-06-12 bis 2012-07-12 ))))))))))))))))))))))))))))))
.
.
2012-07-12 06:56 . 2012-07-12 06:56 -------- d-----w- C:\_OTL
2012-07-06 10:01 . 2012-07-06 10:01 -------- d-----w- c:\programme\ESET
2012-07-06 07:01 . 2012-07-06 07:01 -------- d-----w- c:\dokumente und einstellungen\anika\Anwendungsdaten\Malwarebytes
2012-07-06 07:00 . 2012-07-06 07:00 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2012-07-06 07:00 . 2012-04-04 13:56 22344 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-07-06 07:00 . 2012-07-06 07:00 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2012-06-27 09:05 . 2012-06-27 09:05 -------- d-----w- c:\windows\Sun
2012-06-19 19:10 . 2012-06-19 19:10 770384 ----a-w- c:\programme\Mozilla Firefox\msvcr100.dll
2012-06-19 19:10 . 2012-06-19 19:10 421200 ----a-w- c:\programme\Mozilla Firefox\msvcp100.dll
2012-06-14 18:49 . 2012-05-11 14:40 521728 -c----w- c:\windows\system32\dllcache\jsdbgui.dll
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-06-23 20:49 . 2012-05-13 17:11 426184 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2012-06-23 20:49 . 2012-02-20 08:40 70344 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2012-06-13 13:55 . 2009-12-26 07:18 1866240 ----a-w- c:\windows\system32\win32k.sys
2012-06-05 15:49 . 2009-12-26 07:18 1372672 ----a-w- c:\windows\system32\msxml6.dll
2012-06-05 15:49 . 2009-12-26 07:18 1172480 ----a-w- c:\windows\system32\msxml3.dll
2012-06-04 04:32 . 2009-12-26 07:18 152576 ----a-w- c:\windows\system32\schannel.dll
2012-06-02 13:19 . 2012-02-15 09:58 18456 ----a-w- c:\windows\system32\wuaueng.dll.mui
2012-06-02 13:19 . 2012-02-15 09:58 15896 ----a-w- c:\windows\system32\wuapi.dll.mui
2012-06-02 13:19 . 2009-12-25 22:42 329240 ----a-w- c:\windows\system32\wucltui.dll
2012-06-02 13:19 . 2009-12-25 22:42 219160 ----a-w- c:\windows\system32\wuaucpl.cpl
2012-06-02 13:19 . 2009-12-25 22:42 210968 ----a-w- c:\windows\system32\wuweb.dll
2012-06-02 13:19 . 2012-02-15 09:58 45080 ----a-w- c:\windows\system32\wups2.dll
2012-06-02 13:19 . 2012-02-15 09:58 15896 ----a-w- c:\windows\system32\wuaucpl.cpl.mui
2012-06-02 13:19 . 2009-12-26 07:17 97304 ----a-w- c:\windows\system32\cdm.dll
2012-06-02 13:19 . 2009-12-25 22:42 53784 ----a-w- c:\windows\system32\wuauclt.exe
2012-06-02 13:19 . 2009-12-25 22:42 35864 ----a-w- c:\windows\system32\wups.dll
2012-06-02 13:19 . 2012-02-15 09:58 23576 ----a-w- c:\windows\system32\wucltui.dll.mui
2012-06-02 13:19 . 2009-12-25 22:42 577048 ----a-w- c:\windows\system32\wuapi.dll
2012-06-02 13:19 . 2009-12-25 22:42 1933848 ----a-w- c:\windows\system32\wuaueng.dll
2012-05-31 13:22 . 2009-12-26 07:17 604160 ----a-w- c:\windows\system32\crypt32.dll
2012-05-16 15:07 . 2009-12-26 07:18 916992 ----a-w- c:\windows\system32\wininet.dll
2012-05-11 14:40 . 2009-12-26 07:18 43520 ----a-w- c:\windows\system32\licmgr10.dll
2012-05-11 14:40 . 2009-12-26 07:18 1469440 ----a-w- c:\windows\system32\inetcpl.cpl
2012-05-11 11:38 . 2009-12-26 07:18 385024 ----a-w- c:\windows\system32\html.iec
2012-05-05 03:14 . 2008-04-14 07:30 2029056 ----a-w- c:\windows\system32\ntkrnlpa.exe
2012-05-05 03:14 . 2008-04-14 07:29 2150912 ----a-w- c:\windows\system32\ntoskrnl.exe
2012-05-02 13:46 . 2009-12-25 22:40 139656 ----a-w- c:\windows\system32\drivers\rdpwd.sys
2012-06-19 19:10 . 2012-02-15 11:39 85472 ----a-w- c:\programme\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2012-02-29 17148552]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2009-03-24 17567744]
"AzMixerSel"="c:\programme\Realtek\Audio\Drivers\AzMixerSel.exe" [2006-07-17 53248]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2008-04-14 208952]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2008-04-14 59392]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2008-04-14 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2008-04-14 455168]
"snp2uvc"="c:\windows\system32\csnp2uvc.dll" [2008-11-03 196608]
"PLFSetL"="c:\windows\PLFSetL.exe" [2008-07-03 94208]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2009-02-27 1434920]
"RemoteControl8"="c:\programme\CyberLink\PowerDVD8\PDVD8Serv.exe" [2008-10-17 91432]
"PDVD8LanguageShortcut"="c:\programme\CyberLink\PowerDVD8\Language\Language.exe" [2007-12-14 50472]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2012-03-27 37296]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-02 843712]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2012-01-18 254696]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2009-07-06 137752]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2009-07-06 354840]
"PersistenceThread"="c:\windows\system32\PersistenceThread.exe" [2009-07-06 96792]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\igdlogin]
2009-06-25 06:13 65536 ----a-w- c:\windows\system32\igdlogin.dll
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
R2 RS_Service;Raw Socket Service;c:\programme\Acer\Acer VCM\RS_Service.exe [26.12.2009 04:30 237568]
R3 igd;igd;c:\windows\system32\drivers\igxpmp32.sys [26.12.2009 03:12 5097632]
R4 avkmgr;avkmgr;c:\windows\system32\DRIVERS\avkmgr.sys --> c:\windows\system32\DRIVERS\avkmgr.sys [?]
S2 SkypeUpdate;Skype Updater;c:\programme\Skype\Updater\Updater.exe [15.02.2012 14:30 158856]
S2 wszikqhyokdhpv;wszikqhyokdhpv;"c:\dokume~1\anika\LOKALE~1\Temp\DAT45.tmp.exe" --SERVICE --> c:\dokume~1\anika\LOKALE~1\Temp\DAT45.tmp.exe [?]
S3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [13.05.2012 19:11 250056]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [26.12.2009 03:18 1684736]
S3 MatSvc;Microsoft Automated Troubleshooting Service;c:\programme\Microsoft Fix it Center\Matsvc.exe [13.06.2011 23:09 267568]
S3 MozillaMaintenance;Mozilla Maintenance Service;c:\programme\Mozilla Maintenance Service\maintenanceservice.exe [13.05.2012 16:29 113120]
S3 RSUSBSTOR;RtsUStor.Sys Realtek USB Card Reader;c:\windows\system32\drivers\RtsUStor.sys [26.12.2009 03:04 164864]
S3 RtsUIR;Realtek IR Driver;c:\windows\system32\DRIVERS\Rts516xIR.sys --> c:\windows\system32\DRIVERS\Rts516xIR.sys [?]
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - 33781814
*Deregistered* - 33781814
*Deregistered* - avipbb
*Deregistered* - ssmdrv
.
Inhalt des "geplante Tasks" Ordners
.
2012-07-12 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-05-13 20:49]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&m=ao751h&r=0xph02124606l0323wu65w47314373
mStart Page = hxxp://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&m=ao751h&r=0xph02124606l0323wu65w47314373
IE: Senden an &Bluetooth-Gerät... - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Senden an Bluetooth - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
TCP: DhcpNameServer = 192.168.1.1
FF - ProfilePath - c:\dokumente und einstellungen\anika\Anwendungsdaten\Mozilla\Firefox\Profiles\75e3csfd.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.livejournal.com
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-07-12 16:15
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-07-12 16:18:20
ComboFix-quarantined-files.txt 2012-07-12 14:18
.
Vor Suchlauf: 11 Verzeichnis(se), 42.023.841.792 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 42.207.764.480 Bytes frei
.
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect
.
- - End Of File - - 75E3F4BA076FBB6FCEBFCA9EFD1782AE
|
|
12.07.2012, 18:01
| #18 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Trojaner TR/ATRAPS.gen und TR/ATRAPS.Gen2 lässt sich nicht entfernen Combofix - Scripten
__________________1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. Code:
ATTFilter File::
c:\dokume~1\anika\LOKALE~1\Temp\DAT45.tmp.exe
Driver::
wszikqhyokdhpv
4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !) 5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.  6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________ |
|
12.07.2012, 19:03
| #19 |
| | Trojaner TR/ATRAPS.gen und TR/ATRAPS.Gen2 lässt sich nicht entfernenCode:
ATTFilter ComboFix 12-07-12.02 - anika 12.07.2012 19:31:25.2.2 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1014.375 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\anika\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\anika\Desktop\CFScript.txt
AV: Avira Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
FILE ::
"c:\dokume~1\anika\LOKALE~1\Temp\DAT45.tmp.exe"
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_WSZIKQHYOKDHPV
-------\Service_wszikqhyokdhpv
.
.
((((((((((((((((((((((( Dateien erstellt von 2012-06-12 bis 2012-07-12 ))))))))))))))))))))))))))))))
.
.
2012-07-12 14:37 . 2012-07-12 14:37 -------- d-----w- c:\dokumente und einstellungen\anika\Anwendungsdaten\Avira
2012-07-12 14:31 . 2012-04-27 08:20 137928 ----a-w- c:\windows\system32\drivers\avipbb.sys
2012-07-12 14:31 . 2012-04-24 22:32 83392 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2012-07-12 14:31 . 2012-04-16 19:17 36000 ----a-w- c:\windows\system32\drivers\avkmgr.sys
2012-07-12 14:31 . 2012-07-12 14:31 -------- d-----w- c:\programme\Avira
2012-07-12 14:31 . 2012-07-12 14:31 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2012-07-12 06:56 . 2012-07-12 06:56 -------- d-----w- C:\_OTL
2012-07-06 10:01 . 2012-07-06 10:01 -------- d-----w- c:\programme\ESET
2012-07-06 07:01 . 2012-07-06 07:01 -------- d-----w- c:\dokumente und einstellungen\anika\Anwendungsdaten\Malwarebytes
2012-07-06 07:00 . 2012-07-06 07:00 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2012-07-06 07:00 . 2012-04-04 13:56 22344 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-07-06 07:00 . 2012-07-06 07:00 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2012-06-27 09:05 . 2012-06-27 09:05 -------- d-----w- c:\windows\Sun
2012-06-19 19:10 . 2012-06-19 19:10 770384 ----a-w- c:\programme\Mozilla Firefox\msvcr100.dll
2012-06-19 19:10 . 2012-06-19 19:10 421200 ----a-w- c:\programme\Mozilla Firefox\msvcp100.dll
2012-06-14 18:49 . 2012-05-11 14:40 521728 -c----w- c:\windows\system32\dllcache\jsdbgui.dll
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-07-12 16:49 . 2012-05-13 17:11 426184 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2012-07-12 16:49 . 2012-02-20 08:40 70344 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2012-06-13 13:55 . 2009-12-26 07:18 1866240 ----a-w- c:\windows\system32\win32k.sys
2012-06-05 15:49 . 2009-12-26 07:18 1372672 ----a-w- c:\windows\system32\msxml6.dll
2012-06-05 15:49 . 2009-12-26 07:18 1172480 ----a-w- c:\windows\system32\msxml3.dll
2012-06-04 04:32 . 2009-12-26 07:18 152576 ----a-w- c:\windows\system32\schannel.dll
2012-06-02 13:19 . 2012-02-15 09:58 18456 ----a-w- c:\windows\system32\wuaueng.dll.mui
2012-06-02 13:19 . 2012-02-15 09:58 15896 ----a-w- c:\windows\system32\wuapi.dll.mui
2012-06-02 13:19 . 2009-12-25 22:42 329240 ----a-w- c:\windows\system32\wucltui.dll
2012-06-02 13:19 . 2009-12-25 22:42 219160 ----a-w- c:\windows\system32\wuaucpl.cpl
2012-06-02 13:19 . 2009-12-25 22:42 210968 ----a-w- c:\windows\system32\wuweb.dll
2012-06-02 13:19 . 2012-02-15 09:58 45080 ----a-w- c:\windows\system32\wups2.dll
2012-06-02 13:19 . 2012-02-15 09:58 15896 ----a-w- c:\windows\system32\wuaucpl.cpl.mui
2012-06-02 13:19 . 2009-12-26 07:17 97304 ----a-w- c:\windows\system32\cdm.dll
2012-06-02 13:19 . 2009-12-25 22:42 53784 ----a-w- c:\windows\system32\wuauclt.exe
2012-06-02 13:19 . 2009-12-25 22:42 35864 ----a-w- c:\windows\system32\wups.dll
2012-06-02 13:19 . 2012-02-15 09:58 23576 ----a-w- c:\windows\system32\wucltui.dll.mui
2012-06-02 13:19 . 2009-12-25 22:42 577048 ----a-w- c:\windows\system32\wuapi.dll
2012-06-02 13:19 . 2009-12-25 22:42 1933848 ----a-w- c:\windows\system32\wuaueng.dll
2012-05-31 13:22 . 2009-12-26 07:17 604160 ----a-w- c:\windows\system32\crypt32.dll
2012-05-16 15:07 . 2009-12-26 07:18 916992 ----a-w- c:\windows\system32\wininet.dll
2012-05-11 14:40 . 2009-12-26 07:18 43520 ----a-w- c:\windows\system32\licmgr10.dll
2012-05-11 14:40 . 2009-12-26 07:18 1469440 ----a-w- c:\windows\system32\inetcpl.cpl
2012-05-11 11:38 . 2009-12-26 07:18 385024 ----a-w- c:\windows\system32\html.iec
2012-05-05 03:14 . 2008-04-14 07:30 2029056 ----a-w- c:\windows\system32\ntkrnlpa.exe
2012-05-05 03:14 . 2008-04-14 07:29 2150912 ----a-w- c:\windows\system32\ntoskrnl.exe
2012-05-02 13:46 . 2009-12-25 22:40 139656 ----a-w- c:\windows\system32\drivers\rdpwd.sys
2012-06-19 19:10 . 2012-02-15 11:39 85472 ----a-w- c:\programme\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((( SnapShot@2012-07-12_14.16.02 )))))))))))))))))))))))))))))))))))))))))
.
+ 2012-07-12 17:52 . 2012-07-12 17:52 16384 c:\windows\Temp\Perflib_Perfdata_6fc.dat
+ 2009-12-26 07:18 . 2012-07-12 14:33 69216 c:\windows\system32\perfc009.dat
+ 2009-12-26 07:18 . 2012-07-12 14:33 82142 c:\windows\system32\perfc007.dat
+ 2012-07-12 14:31 . 2010-06-17 13:14 28520 c:\windows\system32\drivers\ssmdrv.sys
+ 2009-12-26 07:18 . 2012-07-12 14:33 435122 c:\windows\system32\perfh009.dat
+ 2009-12-26 07:18 . 2012-07-12 14:33 451926 c:\windows\system32\perfh007.dat
+ 2012-07-12 16:49 . 2012-07-12 16:49 686280 c:\windows\system32\Macromed\Flash\FlashUtil32_11_3_300_265_Plugin.exe
+ 2012-05-13 17:11 . 2012-07-12 16:49 250056 c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe
- 2012-05-13 17:11 . 2012-06-23 20:49 250056 c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe
+ 2012-07-12 16:49 . 2012-07-12 16:49 9465032 c:\windows\system32\Macromed\Flash\NPSWF32_11_3_300_265.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2012-02-29 17148552]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2009-03-24 17567744]
"AzMixerSel"="c:\programme\Realtek\Audio\Drivers\AzMixerSel.exe" [2006-07-17 53248]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2008-04-14 208952]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2008-04-14 59392]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2008-04-14 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2008-04-14 455168]
"snp2uvc"="c:\windows\system32\csnp2uvc.dll" [2008-11-03 196608]
"PLFSetL"="c:\windows\PLFSetL.exe" [2008-07-03 94208]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2009-02-27 1434920]
"RemoteControl8"="c:\programme\CyberLink\PowerDVD8\PDVD8Serv.exe" [2008-10-17 91432]
"PDVD8LanguageShortcut"="c:\programme\CyberLink\PowerDVD8\Language\Language.exe" [2007-12-14 50472]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2012-03-27 37296]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-02 843712]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2012-01-18 254696]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2009-07-06 137752]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2009-07-06 354840]
"PersistenceThread"="c:\windows\system32\PersistenceThread.exe" [2009-07-06 96792]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2012-05-01 348624]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\igdlogin]
2009-06-25 06:13 65536 ----a-w- c:\windows\system32\igdlogin.dll
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
.
R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [12.07.2012 16:31 36000]
R2 AntiVirSchedulerService;Avira Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [12.07.2012 16:31 86224]
R2 RS_Service;Raw Socket Service;c:\programme\Acer\Acer VCM\RS_Service.exe [26.12.2009 04:30 237568]
R3 igd;igd;c:\windows\system32\drivers\igxpmp32.sys [26.12.2009 03:12 5097632]
S2 SkypeUpdate;Skype Updater;c:\programme\Skype\Updater\Updater.exe [15.02.2012 14:30 158856]
S3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [13.05.2012 19:11 250056]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [26.12.2009 03:18 1684736]
S3 MatSvc;Microsoft Automated Troubleshooting Service;c:\programme\Microsoft Fix it Center\Matsvc.exe [13.06.2011 23:09 267568]
S3 MozillaMaintenance;Mozilla Maintenance Service;c:\programme\Mozilla Maintenance Service\maintenanceservice.exe [13.05.2012 16:29 113120]
S3 RSUSBSTOR;RtsUStor.Sys Realtek USB Card Reader;c:\windows\system32\drivers\RtsUStor.sys [26.12.2009 03:04 164864]
S3 RtsUIR;Realtek IR Driver;c:\windows\system32\DRIVERS\Rts516xIR.sys --> c:\windows\system32\DRIVERS\Rts516xIR.sys [?]
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - SSMDRV
.
Inhalt des "geplante Tasks" Ordners
.
2012-07-12 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-05-13 16:49]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&m=ao751h&r=0xph02124606l0323wu65w47314373
mStart Page = hxxp://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&m=ao751h&r=0xph02124606l0323wu65w47314373
IE: Senden an &Bluetooth-Gerät... - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Senden an Bluetooth - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
TCP: DhcpNameServer = 192.168.1.1
FF - ProfilePath - c:\dokumente und einstellungen\anika\Anwendungsdaten\Mozilla\Firefox\Profiles\75e3csfd.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.livejournal.com
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-07-12 19:53
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'explorer.exe'(3396)
c:\windows\system32\mshtml.dll
c:\windows\system32\msls31.dll
c:\windows\system32\webcheck.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\wdfmgr.exe
c:\programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\RTHDCPL.EXE
c:\windows\system32\igfxsrvc.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-07-12 19:57:53 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2012-07-12 17:57
ComboFix2.txt 2012-07-12 14:18
.
Vor Suchlauf: 12 Verzeichnis(se), 41.823.715.328 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 41.757.171.712 Bytes frei
.
- - End Of File - - DEBD5F0F335E430BBB557A428B0C2F7A
|
|
12.07.2012, 19:43
| #20 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Trojaner TR/ATRAPS.gen und TR/ATRAPS.Gen2 lässt sich nicht entfernen Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen. Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst. Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM! Downloade dir bitte  aswMBR.exe und speichere die Datei auf deinem Desktop.
Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none). Noch ein Hinweis: Sollte aswMBR abstürzen und es kommt eine Meldung wie "aswMBR.exe funktioniert nicht mehr, dann mach Folgendes: Starte aswMBR neu, wähle unten links im Drop-Down-Menü (unten links im Fenster von aswMBR) bei "AV scan" (none) aus und klick nochmal auf den Scan-Button.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
12.07.2012, 20:59
| #21 |
| | Trojaner TR/ATRAPS.gen und TR/ATRAPS.Gen2 lässt sich nicht entfernen GMER-Log: Code:
ATTFilter GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2012-07-12 21:20:21
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 ST9160310AS rev.0303
Running: 1bo2eo8e.exe; Driver: C:\DOKUME~1\anika\LOKALE~1\Temp\pgtdrpow.sys
---- System - GMER 1.0.15 ----
SSDT F7BFC61C ZwClose
SSDT F7BFC5D6 ZwCreateKey
SSDT F7BFC626 ZwCreateSection
SSDT F7BFC5CC ZwCreateThread
SSDT F7BFC5DB ZwDeleteKey
SSDT F7BFC5E5 ZwDeleteValueKey
SSDT F7BFC617 ZwDuplicateObject
SSDT F7BFC5EA ZwLoadKey
SSDT F7BFC5B8 ZwOpenProcess
SSDT F7BFC5BD ZwOpenThread
SSDT F7BFC63F ZwQueryValueKey
SSDT F7BFC5F4 ZwReplaceKey
SSDT F7BFC630 ZwRequestWaitReplyPort
SSDT F7BFC5EF ZwRestoreKey
SSDT F7BFC62B ZwSetContextThread
SSDT F7BFC635 ZwSetSecurityObject
SSDT F7BFC5E0 ZwSetValueKey
SSDT F7BFC63A ZwSystemDebugControl
SSDT F7BFC5C7 ZwTerminateProcess
---- Kernel code sections - GMER 1.0.15 ----
.text ntkrnlpa.exe!ZwCallbackReturn + 2D64 8050461C 4 Bytes [EA, C5, BF, F7]
? Combo-Fix.sys Das System kann die angegebene Datei nicht finden. !
? C:\ComboFix\catchme.sys Das System kann den angegebenen Pfad nicht finden. !
? C:\WINDOWS\system32\Drivers\PROCEXP113.SYS Das System kann die angegebene Datei nicht finden. !
---- Devices - GMER 1.0.15 ----
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 wdf01000.sys (WDF Dynamic/Microsoft Corporation)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 wdf01000.sys (WDF Dynamic/Microsoft Corporation)
---- EOF - GMER 1.0.15 ----
Code:
ATTFilter Report of OSAM: Autorun Manager v5.0.11926.0 hxxp://www.online-solutions.ru/en/ Saved at 21:24:29 on 12.07.2012 OS: Windows XP Home Edition Service Pack 3 (Build 2600) Default Browser: Mozilla Corporation Firefox 13.0.1 Scanner Settings [x] Rootkits detection (hidden registry) [x] Rootkits detection (hidden files) [x] Retrieve files information [x] Check Microsoft signatures Filters [ ] Trusted entries [ ] Empty entries [x] Hidden registry entries (rootkit activity) [x] Exclusively opened files [x] Not found files [x] Files without detailed information [x] Existing files [ ] Non-startable services [ ] Non-startable drivers [x] Active entries [x] Disabled entries [Common] -----( %SystemRoot%\Tasks )----- "Adobe Flash Player Updater.job" - "Adobe Systems Incorporated" - C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe [Control Panel Objects] -----( %SystemRoot%\system32 )----- "btcpl.cpl" - "Broadcom Corporation." - C:\WINDOWS\system32\btcpl.cpl "FlashPlayerCPLApp.cpl" - "Adobe Systems Incorporated" - C:\WINDOWS\system32\FlashPlayerCPLApp.cpl "infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl "javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl [Drivers] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- "avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys "avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys "avkmgr" (avkmgr) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avkmgr.sys "catchme" (catchme) - ? - C:\ComboFix\catchme.sys (File not found) "Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys (File not found) "Dritek Keyboard Filter Driver" (DKbFltr) - ? - C:\WINDOWS\System32\DRIVERS\DKbFltr.sys (File not found) "int15.sys" (int15.sys) - ? - C:\ACER\Preload\Autorun\DRV\Suyin Camera 0.3M LDV Sonix 230C\int15.sys (File found, but it contains no detailed information) "lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys (File not found) "mbr" (mbr) - ? - C:\DOKUME~1\anika\LOKALE~1\Temp\mbr.sys (Hidden registry entry, rootkit activity | File not found) "PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys (File not found) "PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys (File not found) "PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys (File not found) "PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys (File not found) "PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys (File not found) "pgtdrpow" (pgtdrpow) - ? - C:\DOKUME~1\anika\LOKALE~1\Temp\pgtdrpow.sys (Hidden registry entry, rootkit activity | File not found) "PxHelp20" (PxHelp20) - "Sonic Solutions" - C:\WINDOWS\System32\Drivers\PxHelp20.sys "Realtek IR Driver" (RtsUIR) - ? - C:\WINDOWS\System32\DRIVERS\Rts516xIR.sys (File not found) "Realtek Smartcard Reader Driver" (USBCCID) - ? - C:\WINDOWS\System32\DRIVERS\RtsUCcid.sys (File not found) "ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys "WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys (File not found) [Explorer] -----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )----- {89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install -----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )----- {F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll {C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll -----( HKLM\Software\Classes\Protocols\Filter )----- {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll -----( HKLM\Software\Classes\Protocols\Handler )----- {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} "IEProtocolHandler Class" - "Skype Technologies" - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )----- {6af09ec9-b429-11d4-a1fb-0090960218cb} "Bluetooth-Umgebung" - "Broadcom Corporation." - C:\WINDOWS\system32\BTNEIG~1.DLL {42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - (File not found | COM-object registry key not found) {FAC3CBF6-8697-43d0-BAB9-DCD1FCE19D75} "IE User Assist" - ? - (File not found | COM-object registry key not found) {853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? - (File not found | COM-object registry key not found) {993BE281-6695-4BA5-8A2A-7AACBFAAB69E} "Microsoft Office Metadata Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll {C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97} "Microsoft Office Thumbnail Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll {7842554E-6BED-11D2-8CDB-B05550C10000} "Monitor Class" - "Broadcom Corporation." - C:\WINDOWS\system32\btncopy.dll {C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "OpenOffice.org Column Handler" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll {087B3AE3-E237-4467-B8DB-5A38AB959AC9} "OpenOffice.org Infotip Handler" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll {63542C48-9552-494A-84F7-73AA6A7C99C1} "OpenOffice.org Property Sheet Handler" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll {3B092F0C-7696-40E3-A80F-68D74DA84210} "OpenOffice.org Thumbnail Viewer" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll {45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira Operations GmbH & Co. KG" - C:\Programme\Avira\AntiVir Desktop\shlext.dll {E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll {764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? - (File not found | COM-object registry key not found) {e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll {BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Web Folders" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\MSONSEXT.DLL {B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - "Alexander Roshal" - C:\Programme\WinRAR\rarext.dll [Internet Explorer] -----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )----- ITBar7Height "ITBar7Height" - ? - (File not found | COM-object registry key not found) <binary data> "ITBar7Layout" - ? - (File not found | COM-object registry key not found) -----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )----- {8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_31" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_31.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} "Java Plug-in 1.6.0_31" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_31.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_31" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_31.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab -----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )----- "@btrez.dll,-4015" - ? - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )----- {18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll {DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} "Java(tm) Plug-In SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\ssv.dll {E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [Logon] -----( %AllUsersProfile%\Startmenü\Programme\Autostart )----- "desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini -----( %UserProfile%\Startmenü\Programme\Autostart )----- "desktop.ini" - ? - C:\Dokumente und Einstellungen\anika\Startmenü\Programme\Autostart\desktop.ini -----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )----- "Skype" - "Skype Technologies S.A." - "C:\Programme\Skype\Phone\Skype.exe" /minimized /regrun -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )----- "Adobe ARM" - "Adobe Systems Incorporated" - "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" "Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" "avgnt" - "Avira Operations GmbH & Co. KG" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min "AzMixerSel" - "Realtek Semiconductor Corp." - C:\Programme\Realtek\Audio\Drivers\AzMixerSel.exe "MSPY2002" - ? - C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC (File signed by Microsoft | File found, but it contains no detailed information) "PDVD8LanguageShortcut" - ? - C:\Programme\CyberLink\PowerDVD8\Language\Language.exe "RemoteControl8" - "CyberLink Corp." - C:\Programme\CyberLink\PowerDVD8\PDVD8Serv.exe "SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [Print Monitors] -----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )----- "Bluetooth-Druckeranschluss" - "Broadcom Corporation." - C:\WINDOWS\system32\bthcrp.dll [Services] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- ".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe "Adobe Flash Player Update Service" (AdobeFlashPlayerUpdateSvc) - "Adobe Systems Incorporated" - C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe "Anwendungsverwaltung" (AppMgmt) - ? - C:\WINDOWS\System32\appmgmts.dll (File not found) "ASP.NET State Service" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe "Avira Echtzeit Scanner" (AntiVirService) - "Avira Operations GmbH & Co. KG" - C:\Programme\Avira\AntiVir Desktop\avguard.exe "Avira Planer" (AntiVirSchedulerService) - "Avira Operations GmbH & Co. KG" - C:\Programme\Avira\AntiVir Desktop\sched.exe "Bluetooth Service" (btwdins) - "Broadcom Corporation." - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe "Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe "Microsoft Automated Troubleshooting Service" (MatSvc) - "Microsoft Corporation" - C:\Programme\Microsoft Fix it Center\Matsvc.exe "Mozilla Maintenance Service" (MozillaMaintenance) - "Mozilla Foundation" - C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe "Raw Socket Service" (RS_Service) - "Acer Incorporated" - C:\Programme\Acer\Acer VCM\RS_Service.exe "Skype Updater" (SkypeUpdate) - "Skype Technologies" - C:\Programme\Skype\Updater\Updater.exe "Windows CardSpace" (idsvc) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe "Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [Winlogon] -----( HKCU\Control Panel\IOProcs )----- "MVB" - ? - mvfs32.dll (File not found) -----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions )----- {c6dc5466-785a-11d2-84d0-00c04fb169f7} "Softwareinstallation" - ? - appmgmts.dll (File not found) -----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )----- "igdlogin" - ? - C:\WINDOWS\system32\igdlogin.dll (File signed by Microsoft | File found, but it contains no detailed information) ===[ Logfile end ]=========================================[ Logfile end ]=== If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru Code:
ATTFilter aswMBR version 0.9.9.1665 Copyright(c) 2011 AVAST Software
Run date: 2012-07-12 21:27:12
-----------------------------
21:27:12.093 OS Version: Windows 5.1.2600 Service Pack 3
21:27:12.093 Number of processors: 2 586 0x1C02
21:27:12.093 ComputerName: ACE UserName:
21:27:12.531 Initialize success
21:30:53.000 AVAST engine defs: 12071201
21:36:54.421 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3
21:36:54.421 Disk 0 Vendor: ST9160310AS 0303 Size: 152627MB BusType: 3
21:36:54.468 Disk 0 MBR read successfully
21:36:54.484 Disk 0 MBR scan
21:36:54.546 Disk 0 unknown MBR code
21:36:54.578 Disk 0 Partition 1 00 12 Compaq diag NTFS 10240 MB offset 2048
21:36:54.625 Disk 0 Partition 2 81 07 HPFS/NTFS NTFS 51200 MB offset 20973568
21:36:54.671 Disk 0 Partition 3 00 07 HPFS/NTFS NTFS 91184 MB offset 125831168
21:36:54.703 Disk 0 scanning sectors +312576705
21:36:54.921 Disk 0 scanning C:\WINDOWS\system32\drivers
21:37:23.156 Service scanning
21:37:44.046 Modules scanning
21:38:04.671 Disk 0 trace - called modules:
21:38:04.734 ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys pciide.sys PCIIDEX.SYS
21:38:04.750 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x8656eab8]
21:38:04.765 3 CLASSPNP.SYS[f75fdfd7] -> nt!IofCallDriver -> \Device\00000062[0x865794a8]
21:38:04.796 5 ACPI.sys[f7493620] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-3[0x865d1940]
21:38:05.156 AVAST engine scan C:\WINDOWS
21:38:39.578 AVAST engine scan C:\WINDOWS\system32
21:44:48.906 AVAST engine scan C:\WINDOWS\system32\drivers
21:45:26.984 AVAST engine scan C:\Dokumente und Einstellungen\anika
21:48:00.968 AVAST engine scan C:\Dokumente und Einstellungen\All Users
21:48:25.171 Scan finished successfully
21:52:26.203 Disk 0 MBR has been saved successfully to "C:\Dokumente und Einstellungen\anika\Desktop\MBR.dat"
21:52:26.218 The log file has been saved successfully to "C:\Dokumente und Einstellungen\anika\Desktop\aswMBR.txt"
|
|
12.07.2012, 21:40
| #22 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Trojaner TR/ATRAPS.gen und TR/ATRAPS.Gen2 lässt sich nicht entfernen Wir sollten den MBR fixen, sichere für den Fall der Fälle ALLE wichtigen Daten, auch wenn meistens alles glatt geht. Hinweis: Mach bitte NICHT den MBR-Fix, wenn du noch andere Betriebssysteme wie zB Ubuntu installiert hast, ein MBR-Fix mit Windows-Tools macht ein parallel installiertes (Dualboot) Linux unbootbar. Mach den Fix auch dann nicht, wenn du zB mit TrueCrypt oder anderen Verschlüsselungsprogrammen eine Vollverschlüsselung der Windowspartition bzw. gesamten Festplatte hast Starte nach der Datensicherung aswmbr erneut und klick auf den Button FIXMBR. Hinweis: Bitte den Virenscanner abstellen bevor du aswMBR ausführst, denn v.a. Avira meldet darin oft einen Fehalalrm! Anschließend Windows neu starten und ein neues Log mit aswMBR machen.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
12.07.2012, 22:36
| #23 |
| | Trojaner TR/ATRAPS.gen und TR/ATRAPS.Gen2 lässt sich nicht entfernenCode:
ATTFilter aswMBR version 0.9.9.1665 Copyright(c) 2011 AVAST Software
Run date: 2012-07-12 23:30:23
-----------------------------
23:30:23.234 OS Version: Windows 5.1.2600 Service Pack 3
23:30:23.234 Number of processors: 2 586 0x1C02
23:30:23.234 ComputerName: ACE UserName:
23:30:23.718 Initialize success
23:30:40.921 AVAST engine defs: 12071201
23:30:52.468 Verifying
23:31:02.468 Disk 0 Windows 501 MBR fixed successfully
23:32:49.296 Disk 0 MBR has been saved successfully to "C:\Dokumente und Einstellungen\anika\Desktop\MBR.dat"
23:32:49.296 The log file has been saved successfully to "C:\Dokumente und Einstellungen\anika\Desktop\aswMBR2.txt"
Achja: Schreibe natürlich von meinem alten Zweit-Rechner, da mit dem anderen ja offensichtlich nichts mehr geht. Ich hoffe sehr, dass er nicht unrettbar kaputt ist. Geändert von soundoftrees (12.07.2012 um 22:57 Uhr) |
|
13.07.2012, 13:51
| #24 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Trojaner TR/ATRAPS.gen und TR/ATRAPS.Gen2 lässt sich nicht entfernen Hm, das passiert äüßerst selten wenn man den MBR mit aswMBR fixt. Naja zumidnest hast du ja schonmal vorher deine Daten gesichert  Hast du zufällig eine WinXP-CD zur Hand? Keine Recovery! Damit könnte man den Start evtl wieder reparieren
__________________ Logfiles bitte immer in CODE-Tags posten |
|
13.07.2012, 14:04
| #25 |
| | Trojaner TR/ATRAPS.gen und TR/ATRAPS.Gen2 lässt sich nicht entfernen Eine Windows XP CD habe ich nicht, da alles beim Kauf schon vorinstalliert war - es handelt sich um ein Netbook und hat somit auch gar kein CD-Laufwerk. Vielleicht habe ich noch die CD von meinem anderen Rechner - würde das funktionieren? (Ich könnte evtl ein externes CD-Laufwerk besorgen) Kann man das überhaupt wieder hinbekommen? |
|
13.07.2012, 16:06
| #26 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Trojaner TR/ATRAPS.gen und TR/ATRAPS.Gen2 lässt sich nicht entfernen Ja das müsste eigentlich gehen Aber ich vergaß ganz, dass Combofix die Wiederherstellungskonsole installiert hat - kommst du noch ins Auswahlmenü wo du WindowsXP oder die RecoveryConsole auswählen kannst? Wenn nicht, müsstest du es mit es Booten von der WinXP-CD probieren oder du machst dir zB mit WinSetupFromUSB einen USB-Stick mit dem man WindowsXP installieren könmnte, von dem kannst du dann auch booten und die Wiederherstellungskonsole auswählen
__________________ Logfiles bitte immer in CODE-Tags posten |
|
13.07.2012, 16:30
| #27 |
| | Trojaner TR/ATRAPS.gen und TR/ATRAPS.Gen2 lässt sich nicht entfernen In ein Menü komme ich nicht mehr - es ist nur ganz kurz das Acer-Logo zu sehen, bevor der Bildschirm schwarz wird und dann das Minuszeichen in der linken oberen Ecke blinkt. Danach passiert nichts mehr und auch auf Tasten reagiert der Rechner nicht. Ich bekomme morgen ein externes Laufwerk ausgeliehen und vorrausgesetzt ich finde die WinXP-CD, kannst du mir kurz erklären was ich da machen muss? Was wäre die Option, wenn ich keine WinXP-CD besorgen kann? Zum Fachmann? Kann der dann überhaupt was ausrichten? Vielen Dank auf jeden Fall schonmal für deine Hilfe bis hierher! Edit: Ich hab die Windwos-CD vom alten Rechner gefunden: da der aber von Samsung ist, und auf der System-wiederherstellungs-CD auch überall das Samsung-Logo prangt, befürchte ich, dass dies wohl nicht funktionieren wird, oder? Update: Hab jetzt mal das Winsetupfromusb ausprobiert - mit der Samsung-WinXP-CD und es tut sich was! Juhu! Ich komme in ein Menü. Nur weiß ich jetzt nicht, was ich da genau machen soll und deswegen warte ich mal lieber was du sagst |
|
13.07.2012, 21:17
| #28 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Trojaner TR/ATRAPS.gen und TR/ATRAPS.Gen2 lässt sich nicht entfernen Ja wizig  was für ein Menü das ist kann ich doch von hier nicht sehen!
__________________ Logfiles bitte immer in CODE-Tags posten |
|
14.07.2012, 10:02
| #29 |
| | Trojaner TR/ATRAPS.gen und TR/ATRAPS.Gen2 lässt sich nicht entfernen Echt? Kannst du nicht? Sorry, ich weiß, dass ich momentan drauf angewiesen bin, dass du mir hilfst - aber mir bringt es auch nix, wenn ich meinen Beitrag 20 mal editiere und auf meine anderen Fragen gar nicht eingegangen wird. ich bin in einem hellblauen Menü und kann nur eine Option auswählen: Code:
ATTFilter 0 Windows XP/200/2003 Setup
Code:
ATTFilter 0 Back to Main Menu
1 Auto-Detect and use F6 SATA/RAID/SCSI Driver
2 First Part of Windows XP Home SP2 Setup from partition 0
3 Second Part of Windwos XP Home SP2 setup/Boot first internal disk
Die Frage ist nun? Bringt mir das was? Kann ich das nach deinen Anweisungen überhaupt hinkriegen oder soll ich lieber einen Computer-Service beauftragen? Das ist jetzt nicht böse gemeint, aber versuch mich mal zu verstehen: Ich vertraue auf Anweisungen die mir im Grunde ein Fremder gibt, um Trojaner loszuwerden. Aber dann funktioniert plötzlich gar nichts mehr, und du hast bisher bei mir nicht den Eindruck erweckt, als hättest du großes Interesse daran das mit mir wieder hinzubekommen. (Ich kann mich auch täuschen!) Ich will damit nicht sagen, dass ich es nicht großartig finde, dass ihr das hier in eurer Freizeit macht! Ich bin mir auch durchaus bewusst, dass ich mit einer längeren Zeit rechnen muss, als ein Computer-Service benötigt hätte, aber ich weiß grad nicht, ob mein Rechner, den ich ja doch irgendwann gern wieder nutzen würde, überhaupt noch zu retten ist. |
|
14.07.2012, 15:05
| #30 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Trojaner TR/ATRAPS.gen und TR/ATRAPS.Gen2 lässt sich nicht entfernen Wie ich schon sagte brauchst du eine normale WinXP-CD Wenn du die aufgetrieben hast können wir nochmal drüber reden Mit diesem anderen nicht standardisierten Kram werden wir nicht weiterkommen  Deine anderen Fragen sind vorerst irrelevant, wir müssen das erst mit einer richtigen WinXP-CD versuchen und wenn es damit klappt sind sie evtl eh vergessen
__________________ Logfiles bitte immer in CODE-Tags posten |
|
| Themen zu Trojaner TR/ATRAPS.gen und TR/ATRAPS.Gen2 lässt sich nicht entfernen |
| 800000cb.@, administrator, antivir, autostart, datei, dateien, downloader, entfernen, escan, explorer, falsch, forum, gelöscht, google, heuristiks/extra, heuristiks/shuriken, infizierte, infizierte datei, lässt sich nicht entfernen, löschen, malwarebytes, problem, seite, seiten, system32, temp, tr/atraps.gen, tr/atraps.gen und tr/atraps.gen2, trojaner, trojaner tr/atraps.gen, variant, win32/sirefef.fa, windows |
Linear-Darstellung
