Virus TR/ATRAPS.Gen und Gen2 sowie TR/AGENT.73728.15 in Datei C:\RECYLER\S1-5-18\.....\80000cb.@
 

Ich bekomme dauerhaft vom installierten AVIRA den Sicherheitshinweis "in Datei c:RECYLERS/S1-5-18/..../80000cb.@" wurde ein Virus oder unerwünschtes Programm TR/ATRAPS.Gen gefunden. Der Zugriff wurde verweigert" Ebenso mit gleichen Text aber zu TR/ATRAPS.Gen2 sowie TR/AGENT.73728.15. Das Drücken des Button entfernen löst ständig die Meldung "System wird überprüft" aus aber bringt keinerlei Erfolg zum Löschen bzw. Liquidieren der Viren auf dem Rechner.
D.h. Avira ist wohl nicht in der Lage dies Virus erfolgreich vom PC zu entfernen.
Ich bin ratlos und meine Hoffnung liegt nunmehr im Fachwissen des Forums für Hinweise zur Vorgehensweise beim Entfernen der Viren.
Danke

:hallo:

Ich habe dein Thema in Arbeit und melde mich so schnell als möglich mit weiteren Anweisungen.

Bitte beachte, dass alle meine Antworten zuerst von einem Ausbilder freigegeben werden müssen, bevor ich diese hier posten darf. Dies garantiert, dass Du Hilfe von einem ausgebildeten Helfer bekommst.

Ich bedanke mich für deine Geduld :)

:hallo:

Ich werde dir bei deinem Problem helfen. Eine Bereinigung ist mitunter mit viel Arbeit für Dich (und mich) verbunden. Bevor es los geht, habe ich etwas Lesestoff für dich.

Zitat:

Lesestoff: Regeln für die Bereinigung Damit die Bereinigung funktioniert bitte ich dich, die folgenden Punkte aufmerksam zu lesen: Bitte arbeite alle Schritte der Reihe nach ab. Gib mir bitte zu jedem Schritt Rückmeldung (Logfile oder Antwort). Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst. Bitte kein Crossposting (posten in mehreren Foren). Installiere oder Deinstalliere während der Bereinigung keine Software, ausser Du wurdest dazu aufgefordert. Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst. Poste die Logfiles direkt in deinen Thread (möglichst in Code-Tags). Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten. Mache deinen Namen nur dann unkenntlich, wenn es unbedingt sein muss. Sollte ich nicht nach 3 Tagen geantwortet haben, dann (und nur dann) schicke mir bitte eine PM. Eine Bitte: Mache bitte solange mit, bis ich oder ein anderer Helfer dir mitteilt, dass du "sauber" bist. Das gebietet alleine schon die Höflichkeit und ein Verschwinden der Symptome bedeutet nicht, dass die Schädlinge auch wirklich alle entfernt wurden. Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg. Wenn du das alles gelesen und verstanden hast, kannst du loslegen! :kloppen:

Scan mit Combofix

Zitat:

WARNUNG: Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

• WICHTIG: Speichere Combofix auf deinem Desktop
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Combofix wird überprüfen, ob die Microsoft Windows Wiederherstellungskonsole installiert ist.
  Ist diese nicht installiert, erlaube Combofix diese herunter zu laden und zu installieren. Folge dazu einfach den Anweisungen und aktzeptiere die Endbenutzer-Lizenz.
  Bei heutiger Malware ist dies sehr empfehlenswert, da diese uns eine Möglichkeit bietet, dein System zu reparieren, falls etwas schief geht.
  Bestätige die Information, dass die Wiederherstellungskonsole installiert wurde mit Ja.
  Hinweis: Ist diese bereits installiert, wird Combofix mit der Malwareentfernung fortfahren.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es eine Logfile erstellen.
• Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Guten Tag mein Helfer,
ich glaube die einzelnen Schritte so wie angewiesen vollzogen zu haben. Als Anhang das ComboFix.TXT-Ergebnis. Eine Vorbemerkung jedoch noch dazu. Ich habe, ungeduldig wie man ist, das gekaufte Avira erst einmal deinstalliert und Microsoft Security Essential geladen und gespeichert. Der Scannvorgang dazu erbrachte wieder 5 Viren die wohl aber das Programm entfernt hat. Interessant war jedoch, dass dabei nicht die 3 von Avira erkannten dabei waren. Sei es wie es ist, für mich ist wichtig, dass ich am Ende erst einmal wieder sauber bin. Als Optimist hoffe ich da auf unser gemeinsames Endergebnis.
Vorerst schon einmal recht herzlichen Dank für die Unterstützung.

Da sind noch Reste von AVG? Hattest du das auch mal installiert?

Und keine Sorge, wir kriegen das schon hin, mach einfach fleissig weiter mit. :)

Ab jetzt aber keine Alleingänge mehr bitte.

Schritt 1:
Combofix-Skript

Zitat:

Hinweis für Mitleser: Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden. Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

• Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von folgenden Download-Spiegel neu herunter: Link
• Speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)!
• Drücke die Windows + R Taste --> notepad (hinein schreiben) --> OK
• Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.
  
  Code:

  ---

  http://www.trojaner-board.de/126255-virus-tr-atraps-gen-gen2-tr-agent-73728-15-datei-c-recyler-s1-5-18-80000cb.html

Driver::
IBUpdaterService
Collect::
c:\dokumente und einstellungen\All Users\Anwendungsdaten\IBUpdaterService\ibsvc.exe

  ---

• Speichere dies als CFScript.txt auf deinem Desktop.
• Wichtig: Stelle deine Anti Viren Software temporär ab. Dies kann ComboFix nämlich bei der Arbeit behindern.
  Danach wieder anstellen nicht vergessen!
• Schließe alle laufenden Programme damit ComboFix ungehindert arbeiten kann.
• Ziehe CFScript.txt in die ComboFix.exe wie in diesem Bild:
  
  http://i266.photobucket.com/albums/i.../CFScriptB.gif
• Mache nichts am Computer, bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein. Dies kann dazu führen, dass ComboFix sich aufhängt.
• Wenn ComboFix fertig ist wird es ein Log erstellen: C:\ComboFix.txt
  Bitte füge es hier als Antwort (in CODE-Tags) ein.

Zitat:

Hinweis: Falls im Skript die Anweisung Suspect:: oder Collect:: enthalten ist, wird eine Message-Box erscheinen, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen. Teile mir unbedingt mit, ob der Upload geklappt hat!

Schritt 2:
AdwCleaner: Werbeprogramme suchen und löschen

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Löschen.
• Bestätige jeweils mit Ok.
• Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.

Schritt 3:
Scan mit SecurityCheck

Downloade Dir bitte SecurityCheck

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS- Box.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

Fragen:

• Hat der Upload von Combofix geklappt?
• Tritt das Problem noch auf?
• Hast du sonst noch Probleme mit dem Rechner?

Hinweis: Wir sind zwar fast, aber noch nicht komplett fertig. Ganz am Ende habe ich noch Hinweise für dich.

Nochmal Guten Abend,
ich denke das hat alles soweit geklappt. Es ist schon alles für mich sehr neu und nur mit vollen Vertrauen realisierbar. Aber ich habe ein gutes Bauchgefühl dabei und auch für die Zukunft. Also, ich bin gespannt wie das Ergebnis nun aussieht? Wir können die Sache ja auch morgen beenden.
Danke

Bitte Logfiles nicht anhängen ausser ich fordere dich dazu auf, sondern in CODE-Tags posten.

Wir machen weiter ...

Schritt 1:
Quick-Scan mit Malwarebytes

Downloade Dir bitte Malwarebytes

• Installiere das Programm in den vorgegebenen Pfad.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
• Wenn das Update beendet wurde, aktiviere Quickscan durchführen und drücke auf Scannen.
• Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
• Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Schritt 2:
ESET Online Scanner

• Bitte hier klicken ---> http://larusso.trojaner-board.de/Images/eset.jpg
  • Firefox-User: Bitte esetsmartinstaller_enu.exe downloaden, installieren und starten.
  • IE-User müssen das Installieren eines ActiveX Elements erlauben.
• Setze den einen Haken bei Yes, i accept the Terms of Use/Ja, ich stimme ... zu und drücke den http://img707.imageshack.us/img707/687/starteg.jpg Button.
• Warte bis die Komponenten herunter geladen wurden.
• Setze einen Haken bei "Scan archives/Archive prüfen" und entferne den Haken bei Remove Found Threads/Entdeckte Bedrohungen entfernen.
• http://img707.imageshack.us/img707/687/starteg.jpg drücken. Die Signaturen werden herunter geladen und der Scan beginnt automatisch und kann sehr lange dauern! :kaffee:

Wenn der Scan beendet wurde

• Klicke http://billy-oneal.com/Canned%20Spee...istThreats.png und dann http://billy-oneal.com/Canned%20Spee...esetExport.png
• Speichere das Logfile als ESET.txt auf dem Desktop.
• Klicke Back und Finish

Bitte poste die ESET.txt hier oder teile mir mit, dass nichts gefunden wurde.

Schritt 3:
Java Update (Windows XP, Vista, 7)

Dein Java ist nicht mehr aktuell. Ältere Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.

• Downloade dir bitte die neueste Java-Version und speichere die jxpiinstall.exe
• Schließe alle laufenden Programme. Speziell deinen Browser.
• Starte die jxpiinstall.exe. Diese wird den Installer für die neueste Java Version (Java 7 Update 9) herunter laden.
• Während der Installation entferne den Haken bei:
  http://www.trojaner-board.de/picture...&pictureid=319

Wenn die Installation beendet wurde:

• Start > Systemsteuerung > Programme und deinstalliere alle älteren Java Versionen, falls vorhanden, und starte deinen Rechner neu.

Nach dem Neustart:

• Öffne erneut die Systemsteuerung > Programme und klicke auf das Java Symbol.
• Im Reiter Allgemein, klicke unter Temporäre Internetdateien auf Einstellungen.
• Klicke auf Dateien löschen...
• Gehe sicher, dass überall ein Haken gesetzt ist und klicke zweimal OK.

Guten Tag wieder,
ich habe wieder versucht fleißig die 3 Schritte zu realisieren. Langsam habe ich aber ein flaues Gefühl dabei, weil ich mit meinen bescheidenen PC-Kenntnissen da nun garnicht mehr durchblicke. Aber als Optimist hoffe ich auf ein gemeinsames gutes Ergebnis.
Also Schritt 1 soweit ok aber ich finde die LOG-Dateien und damit den Bericht dazu nicht.
Schritt 2 ok, ESET.txt als Anhang, da ich nicht weiß wie "CODE-Tags posten" funktioniert.
Schritt 3 müßte auch geklappt haben.
Eine Frage noch, meine Anhänge sind doch wohl im Forum längerfristig für jeden lesbar. Kann da ggf. Mißbrauch betrieben werden, stellt das evtl. eine Gefahr für mich dar?
Also, in voller Hoffnung auf ein gemeinsames gutes Ergebnis warte ich auf deine nächste "Anweisung". Danke

Zitat:

Lesestoff: Posten in CODE-Tags Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert mir massiv die Arbeit. Um die Logfiles in eine CODE-Box zu stellen gehe so vor: Markiere das gesamte Logfile und kopiere es in die Zwischenablage mit STRG+C. Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE]. Setze den Curser zwischen die CODE-Tags und drücke STRG+V. Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten. http://www.trojaner-board.de/picture...&pictureid=307

Zitat:

Lesestoff: Softwaredownloader Es gibt im Internet Downloadportale, die statt die Datei selbst anzubieten, dem User einen Downloader unterjubelt. Startet man diesen, dann wird erst das gewünschte Programm von der Webseite des Anbieters geladen. Üblicherweise installiert dieser Downloader auch Werbeprogramme auf deinem Rechner. Besonders bekannt dafür ist z.B. Softonic. Daber merke dir bitte für die Zukunft: Lade Software in erster Linie von der Webseite des Herstellers. Wenn du den Hersteller nicht kennst, dann nutze statt des ersten Google-Ergebnisses vertrauenswürdige Downloadportale, die für saubere Downloads bekannt sind, beispielsweise: heise Software-Verzeichnis | FilePony.de | FileHippo.com - Kostenfreie Software downloaden | http://www.chip.de/

MBAM-Logfile:
Starte Malwarebytes. Gehe auf den Reiter "Logdateien", suche das passende aus (etwas mit mbam-log-<datum>.log), öffnen, und poste es mir hier.

Poste mir ausserdem ein neues Log mit Security-Check.

Hallo, das Positive als Erstes,

cMalwarebytes Anti-Malware (Test) 1.65.1.1000
www.malwarebytes.org

Datenbank Version: v2012.10.31.03

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Rüdiger :: RCH [Administrator]

Schutz: Deaktiviert

31.10.2012 11:58:43
mbam-log-2012-10-31 (11-58-43).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|G:\|H:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 362192
Laufzeit: 47 Minute(n), 58 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

Die Schnellprüfung mit SE erbrachte ebenso das Ergebnis "kein Fund".
Die anschließende vollständige Prüfung jedoch wurde mit der Meldung "Antimalware Service Executable hat ein Problem festgestellt und mußte abgebrochen werden - Fehlercode 0x800106ba".
Wie muss ich denn das verstehen?
Übrigens stürzt mein Mozilla Firefox und Thunderbird seit 3 Tagen auch regelmäßig immer mal ab. Ich nutze die eingeblendete Meldung dabei immer um Mozialla zu informieren, aber bisher kam keine Reaktion.
Ja Meister, was können wir noch tun?

MBAM war gut, aber ich brauche immer noch ein neues Logfile hiervon - bitte das noch erledigen:

Scan mit SecurityCheck

Downloade Dir bitte SecurityCheck

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS- Box.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

Results of screen317's Security Check version 0.99.54
Windows XP Service Pack 3 x86
Internet Explorer 8
``````````````Antivirus/Firewall Check:``````````````
Microsoft Security Essentials
Antivirus up to date! (On Access scanning disabled!)
`````````Anti-malware/Other Utilities Check:`````````
Malwarebytes Anti-Malware Version 1.65.1.1000
Java(TM) 6 Update 15
Java(TM) 6 Update 14
Java(TM) SE Runtime Environment 6 Update 1
Java(TM) 6 Update 2
Java(TM) 6 Update 3
Java(TM) 6 Update 5
Java(TM) 6 Update 7
Java version out of Date!
Adobe Flash Player 11.4.402.278
Adobe Reader 9 Adobe Reader out of Date!
Mozilla Firefox (16.0.1)
````````Process Check: objlist.exe by Laurent````````
Microsoft Security Essentials MSMpEng.exe
Microsoft Security Essentials msseces.exe
Malwarebytes Anti-Malware mbam.exe
Malwarebytes' Anti-Malware mbamscheduler.exe
`````````````````System Health check`````````````````
Total Fragmentation on Drive C::
````````````````````End of Log``````````````````````


Malwarebytes Anti-Malware (Test) 1.65.1.1000
www.malwarebytes.org

Datenbank Version: v2012.10.31.06

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Rüdiger :: RCH [Administrator]

Schutz: Deaktiviert

31.10.2012 17:17:57
mbam-log-2012-10-31 (17-17-57).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 268458
Laufzeit: 5 Minute(n), 17 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

Das Java-Update hat nicht geklappt. Bitte genau nach Anweisung durchführen und danch ein neues Logfile von SecurityCheck erstellen und hier posten.

tut mir leid aber Java läßt sich über deinen Link nicht installieren. es kommt die Fehlermeldung ....... java_sp.dll is corrupt. (SE hatte ich aus)

Dann probiere es bitte anders herum:
- Deinstalliere zunächst alle alten Java Versionen
- Neustart
- Kannst du jetzt das neue Java installieren?