TR/ATRAPS.GEN, damit hat es angefangen
 

Hallo zusammen,

ich habe folgendes Problem:

Auf dem Laptop meiner Freundin kam vor einiger Zeit eine Meldung über einen Fund von Avira. Daraufhin habe ich Avira und (ich glaube) AdAware laufen lassen, aber soweit ich noch weiß nur einige Cookies über AdAware gefunden... Danach war aber vorerst Ruhe.

Nun hatte sie kürzlich wieder eine Meldung über TR/ATRAPS.GEN. Die Meldung hatte sie in letzter Zeit aber scheinbar auch schon öfters ohne etwas zu sagen und hat bei Avira immer auf entfernen geklickt. Laut Avira lag die Datei im Windows-Ordner System32. Entfernen über Avira hat scheinbar nicht funktioniert, manuell löschen ebenfalls nicht. Daraufhin habe ich die Datei über Avira in die Quarantäne verschoben.

Bevor ich aber dazu gekommen bin, mich hier zu melden ging es richtig rund. Es wurde noch ein zweiter anderer Fund (?) gemeldet und der Scanner von Avira lässt sich nicht mehr starten. Genauso wie die Windows-Firewall. Daraufhin habe ich die Internet-Verbindung getrennt und der Laptop wird nun vorerst nur noch gestartet um die notwendigen Schritte durchzuführen...

Und nun brauche ich Hilfe... :heulen:
Im Voraus aber schon mal vielen Dank für die Hilfe!! Ich hoffe wir werden erfolgreich...

Eine Frage noch: Besteht Gefahr meinen Laptop "anzustecken" wenn ich die Logs per USB-Stick übertrage um sie hochzuladen? Oder gibt es da eine sicherere Möglichkeit? Möchte den infizierten Laptop momentan ungern ins Netz lassen.

Hier nun die Logs:

Defogger:

OTL
Gmer

Solche Angaben reichen nicht, bitte poste die vollständigen Angaben/Logs der Virenscanner.

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Da die Logs zu groß sind, habe ich sie als .zip angehängt.

Ich habe einen kompletten Scan laufen lassen (Datei: 1_AVSCAN...).
Die Funde wurden in die Quarantäne verschoben. Die Quarantäne konnte ich im Anschluss komplett löschen. Daraufhin habe ich noch einen kompletten Scan laufen lassen (Datei: 2_AVSCAN...) ohne Funde.

Er hat zwar keinen Fund mehr angezeigt, aber ich befürchte so leicht ist es dann doch nicht, oder!? :confused:

Grüße

Bitte erstmal routinemäßig einen Vollscan mit malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Die Funde mit Malwarebytes bitte alle entfernen, sodass sie in der Quarantäne von Malwarebytes aufgehoben werden! NICHTS voreilig aus der Quarantäne entfernen!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Der Echtzeit-Scanner von Antivir läuft noch nicht wieder und der Dienst lässt sich auch nicht manuell starten... auch automatische Updates von Windows kann ich nicht aktivieren... die Definition von Windows-Defender kann ich auch nicht aktualisieren. Ich denke, dass es auch noch an dem Befall liegt, oder? Aber vielleicht ist es ja zur Lösung interessant!?

OK, und hier die Logs:

Malwarebytes
eset

Vermüllte Software von Softonic scheint gerade stark in Mode zu sein! http://cosgan.de/images/midi/boese/a040.gif

Finger weg von Softonic!! :pfui:

Softonic ist eine Toolbar- und Adwareschleuder! Finger weg! Software lädt man sich mit oberster Priorität direkt vom Hersteller und nicht von solchen Toolbarklitschen wie Softonic! Im Notfall würde natürlich chip.de gehen

Hätte da mal zwei Fragen bevor es weiter geht

1.) Geht der normale Modus von Windows (wieder) uneingeschränkt?
2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden?

Ok, die Softonic-exe habe ich gelöscht... Und zudem auch einige zB Spiele von BigFish, die angeblich nie installiert und benutzt wurden...

Zu deinen Fragen:
1: Nein, die Dienste funktionieren noch nicht. Ich kann keine Windows-Updates suchen und installieren. Die automatischen Updates kann ich ebenfalls nicht aktivieren. Weder automatisch noch manuell.
Den Windows-Defender kann ich auch nicht aktualisieren und den Echtzeit-Scanner von Avira auch noch nicht. Der Dienst lässt sich auch weiterhin nicht manuell starten.

Die Windows-Firewall ist angeblich an...

2: Das Startmenü sieht normal aus. Da ist mir nichts aufgefallen.

Mach bitte ein neues OTL-Log. Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox von OTL - wenn OTL auf deutsch ist wird sie mit http://larusso.trojaner-board.de/Images/otlfix.jpg beschriftet

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

So, OTL iost nochmal durchgelaufen.

Während des Scans war Windows-Defender aber wohl auch aktiv und hat einen Neustart verlangt. Als OTL dann durch war habe ich den Neustart auch durchgeführt, aber anstatt Windows wieder zu starten kam die Systemreperatur. Nach erfolgreicher Reparatur stand in dem Bericht, dass die Datei 3b54d32e95b5a867.sys nicht zu finden war und eine Systemwiederherstellung durchgeführt wurde... Im Anschluss hab ich beim Defender nachgeschaut und im Verlauf zeigt er mir an, dass diese Datei in C:\Windows\System32\Drivers entfernt wurde, weil Defender "Trojan:WinNT/Necurs.A" entdeckt hat...

Und hier nun der Log:

Wo genau in welcher Datei? So ist das unvollständig...

Die fehlende Datei bei der Systemreparatur: 3b54d32e95b5a867.sys

Achso diese Datei die auch vorher erwähnt wurde :D

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Genau die Datei :crazy:

In der Zeile
"File C:\Users\***\368o0qiuym.exe not found."
waren die Sternchen bereits im Log, ich befürchte diese habe ich vorher übersehen. Kann / soll / muss / darf ich den Schritt nochmal ausführen? Ich habe bislang nichts weiter gemacht...

Bitte nun (im normalen Windows-Modus) dieses Tool von Kaspersky (TDSS-Killer) ausführen und das Log posten Anleitung und Downloadlink hier => http://www.trojaner-board.de/82358-t...entfernen.html

Hinweis: Bitte den Virenscanner abstellen bevor du den TDSS-Killer ausführst, denn v.a. Avira meldet im TDSS-Tool oft einen Fehalalrm!

Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet,
Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.
Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition (meistens Laufwerk C:) nach, da speichert der TDSS-Killer seine Logs.

Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten!

http://saved.im/mtkwmtcxexhp/setting...8_16-25-18.jpg

Beim Öffnen von TDSS kam eine Fehlermeldung: "Can´t load driver"

Hab es aber trotzdem laufen lassen: