Win7 infiziert, u.a. TR/ATRAPS.Gen2 (Trojaner)
 

Hallo beisammen,

Die Anleitung zur Daten-Sammlung find ich gut. Spitze!

Meine 'Symptome':

- beim Browsen kam eine Meldung über Virus-Befall, die offensichtlich NICHT von meiner Antivirus-Programm. Ich weiß dann zwar, dass dieses Warn-Fenster der eigentliche Virus ist, weiß dann aber nichts Besseres anzufangen, als das Fenster durch einen CLick auf das kleine Kreuz-Symbol in der Ecke rechts oben zu schließen, was vermutlich GRUNDFALSCH ist ?!?

- jetzt sehe ich ein neues Icon a.d. Desktop: Antivirus Security Pro (ich nutze aber Avira)

- beim Hochfahren kommt jetzt jedes Mal die Avira-Meldung 'Real-Time Protection detected 2 viruses or unwanted programs. Access was denied.' Manchmal sind es drei Funde. Wenn ich auf 'remove' clicke, ... kommt eine weitere Meldung, die noch ein wenig verhängnisvoller anmutet sodass ich das nicht mehr mache. I.d. Vergangenheit hat mich das immer zu einem vollständigen Avira-Scan veranlasst, der nicht immer angeschlagen hat.

- als es mal anschlug kam der Hinweis auf TR/ATRAPS.Gen2

Habe drei Log-files erstellt:

- GMER
- Avria log
- FRST (259,5 KB groß, d.h. kann's weder pasten noch anhängen)

GMER Logfile:
--- --- ---


Avira Antivirus Premium Updater
Complete product update

Creation time: Sonntag, 15. September 2013 22:47:22

Operating system:
Windows 7 Home Premium (Service Pack 1) [6.1.7601] 64 bit

Product information:
Product version: 13.0.0.4052
Updater: C:\Program Files (x86)\Avira\AntiVir Desktop\update.exe 13.6.20.2100
Update resource: C:\Program Files (x86)\Avira\AntiVir Desktop\updaterc.dll 13.6.20.2174
Library: C:\Program Files (x86)\Avira\AntiVir Desktop\update.dll 1.0.0.9
GUI: C:\Program Files (x86)\Avira\AntiVir Desktop\updgui.dll 13.6.20.2174

Temp Directory: C:\ProgramData\Avira\AntiVir Desktop\TEMP\UPDATE\
Backup folder: C:\ProgramData\Avira\AntiVir Desktop\BACKUP\
Installation Directory: C:\Program Files (x86)\Avira\AntiVir Desktop\
Updater folder: C:\Program Files (x86)\Avira\AntiVir Desktop\
AppData folder: C:\ProgramData\Avira\AntiVir Desktop\

Connection settings:
- Connection type: Web server
- Transfer type: Existing connection
Proxy settings: System settings used

22:47:22 [UPD] [INFO] Checking whether newer files are available.
22:47:22 [UPD] [INFO] Select update server 'hxxp://premium.avira-update.com/update'.
22:47:22 [UPD] [INFO] Downloading of 'hxxp://premium.avira-update.com/update/idx/master.idx' to 'C:\ProgramData\Avira\AntiVir Desktop\TEMP\UPDATE\idx\master.idx'.
22:47:22 [UPDLIB] [ERROR] Download manager: Resolve host name failed while downloading the file hxxp://premium.avira-update.com/update/idx/master.idx
22:47:22 [UPDLIB] [ERROR] Retrying...
22:47:22 [UPD] [INFO] Downloading of 'hxxp://premium.avira-update.com/update/idx/master.idx' to 'C:\ProgramData\Avira\AntiVir Desktop\TEMP\UPDATE\idx\master.idx'.
22:47:22 [UPDLIB] [ERROR] Download manager: Resolve host name failed while downloading the file hxxp://premium.avira-update.com/update/idx/master.idx
22:47:22 [UPDLIB] [ERROR] Retrying...
22:47:22 [UPD] [INFO] Downloading of 'hxxp://premium.avira-update.com/update/idx/master.idx' to 'C:\ProgramData\Avira\AntiVir Desktop\TEMP\UPDATE\idx\master.idx'.
22:47:22 [UPDLIB] [ERROR] Download manager: Resolve host name failed while downloading the file hxxp://premium.avira-update.com/update/idx/master.idx
22:47:22 [UPD] [INFO] Select update server 'hxxp://premium.avira-update.net/update'.
22:47:22 [UPD] [INFO] Downloading of 'hxxp://premium.avira-update.net/update/idx/master.idx' to 'C:\ProgramData\Avira\AntiVir Desktop\TEMP\UPDATE\idx\master.idx'.
22:47:22 [UPDLIB] [ERROR] Download manager: Resolve host name failed while downloading the file hxxp://premium.avira-update.net/update/idx/master.idx
22:47:22 [UPDLIB] [ERROR] Retrying...
22:47:22 [UPD] [INFO] Downloading of 'hxxp://premium.avira-update.net/update/idx/master.idx' to 'C:\ProgramData\Avira\AntiVir Desktop\TEMP\UPDATE\idx\master.idx'.
22:47:22 [UPDLIB] [ERROR] Download manager: Resolve host name failed while downloading the file hxxp://premium.avira-update.net/update/idx/master.idx
22:47:22 [UPDLIB] [ERROR] Retrying...
22:47:22 [UPD] [INFO] Downloading of 'hxxp://premium.avira-update.net/update/idx/master.idx' to 'C:\ProgramData\Avira\AntiVir Desktop\TEMP\UPDATE\idx\master.idx'.
22:47:22 [UPDLIB] [ERROR] Download manager: Resolve host name failed while downloading the file hxxp://premium.avira-update.net/update/idx/master.idx
22:47:22 [UPD] [INFO] Select update server 'hxxp://62.146.87.172/update'.
22:47:22 [UPD] [INFO] Downloading of 'hxxp://62.146.87.172/update/idx/master.idx' to 'C:\ProgramData\Avira\AntiVir Desktop\TEMP\UPDATE\idx\master.idx'.
22:47:22 [UPDLIB] [ERROR] Download manager: Connection failed while downloading the file hxxp://62.146.87.172/update/idx/master.idx
22:47:22 [UPD] [INFO] Select update server 'hxxp://prempeak.avira-update.com/update'.
22:47:22 [UPD] [INFO] Downloading of 'hxxp://prempeak.avira-update.com/update/idx/master.idx' to 'C:\ProgramData\Avira\AntiVir Desktop\TEMP\UPDATE\idx\master.idx'.
22:47:22 [UPDLIB] [ERROR] Download manager: Resolve host name failed while downloading the file hxxp://prempeak.avira-update.com/update/idx/master.idx
22:47:22 [UPDLIB] [ERROR] Retrying...
22:47:22 [UPD] [INFO] Downloading of 'hxxp://prempeak.avira-update.com/update/idx/master.idx' to 'C:\ProgramData\Avira\AntiVir Desktop\TEMP\UPDATE\idx\master.idx'.
22:47:22 [UPDLIB] [ERROR] Download manager: Resolve host name failed while downloading the file hxxp://prempeak.avira-update.com/update/idx/master.idx
22:47:22 [UPDLIB] [ERROR] Retrying...
22:47:22 [UPD] [INFO] Downloading of 'hxxp://prempeak.avira-update.com/update/idx/master.idx' to 'C:\ProgramData\Avira\AntiVir Desktop\TEMP\UPDATE\idx\master.idx'.
22:47:22 [UPDLIB] [ERROR] Download manager: Resolve host name failed while downloading the file hxxp://prempeak.avira-update.com/update/idx/master.idx
22:47:22 [UPDLIB] [ERROR] No other server, update aborted
22:47:22 [UPD] [ERROR] Generation of update structure failed. UpdateLib delivers error 537.


Summary:
********
0 Files downloaded
0 Files installed

Sonntag, 15. September 2013 22:47:22

The update failed!

:hallo:

Ich habe dein Thema in Arbeit und melde mich so schnell als möglich mit weiteren Anweisungen.

Bitte beachte, dass alle meine Antworten zuerst von einem Ausbilder freigegeben werden müssen, bevor ich diese hier posten darf. Dies garantiert, dass Du Hilfe von einem ausgebildeten Helfer bekommst.

Ich bedanke mich für deine Geduld :)

Hallo und :hallo:, mein Name ist Sandra und ich werde Dir bei Deinem Problem behilflich sein.

• Bitte arbeite alle Schritte der Reihe nach ab.
• Lese die Anleitungen sorgfältig durch bevor Du beginnst. Wenn es Probleme gibt oder Du etwas nicht verstehst dann stoppe mit Deiner Auführung und beschreibe mir das Problem
• Führe bitte nur Scans durch zu denen Du von mir aufgefordert wirst.
• Bitte kein Crossposting ( posten in mehreren Foren).
• Installiere oder deinstalliere während der Bereinigung keine Software, ausser Du wurdest dazu aufgefordert.
• Poste die Logfiles direkt in deinen Thread in Code-Tags.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis Dir jemand vom Team sagt, dass Du clean bist.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Schritt 1
Downloade Dir bitte defogger von jpshortstuff auf Deinem Desktop.

• Starte das Tool mit Doppelklick.
• Klicke nun auf den Disable Button, um die Treiber gewisser Emulatoren zu deaktivieren.
• Defogger wird dich fragen "Defogger will forcefully terminate and disable all CD Emulator related drivers and processes... Continue?" bestätige diese Sicherheitsabfrage mit Ja.
• Wenn der Scan beendet wurde (Finished), klicke auf OK.
• Defogger fordert gegebenfalls zum Neustart auf. Bestätige dies mit OK.
• Defogger erstellt auf dem Desktop eine Logdatei mit dem Namen defogger_disable.log. Poste deren Inhalt mit deiner nächsten Antwort.

Klicke den Re-enable Button nicht ohne Anweisung!

Schritt 2
Bitte poste noch das FRST-Log hier in Deinen Thread, teile es auf und poste jedes Stück in Code-Tags,
hier ist eine Anleitung dazu:
So funktioniert es: Posten in CODE-Tags Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert mir massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu gross für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:

Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke .
Setze den Curser zwischen die CODE-Tags und drücke STRG+V.

Hallo,

ich habe schon länger keine Antwort mehr von Dir erhalten. Benötigst Du weiterhin noch Hilfe?

Wenn ich in den nächsten 24 Stunden nichts von Dir höre, gehe ich davon aus, dass sich das Thema erledigt hat und lösche es aus meinen Abos.

Hinweis: Wir sind noch nicht fertig! Auch wenn die Symptome verschwunden sein sollten, kann dein System weiterhin infiziert sein und über Sicherheitslücken verfügen, welche eine erneute Infektion möglich machen.

defogger_disable by jpshortstuff (23.02.10.1)
Log created at 03:25 on 23/09/2013 (Saturn)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...


-=E.O.F=-

Hallo,

Ich bin der Schritt-Abfolge gefolgt, und bekomme nun folgende Meldung:


Die folgenden Fehler traten bei der Verarbeitung auf:
1. Der Text, den Sie eingegeben haben, besteht aus 265711 Zeichen und ist damit zu lang. Bitte kürzen Sie den Text auf die maximale Länge von 120000 Zeichen.
Logs bitte als Archiv an den Beitrag anhängen!

.... was so viel bedeutet wie die Log-Datei als Anhang anzuhängen und wiederum mit der Warnung versehen ist: 'Bitte nur machen wenn vom Helfer gefordert'

Danke für Deine/Eure Unterstützung.

misteltoe

PS: um den Rechner 'runterfahren zu können, habe ich defogger Fentser geschlossen (ohne reenable)

Hallo misteltoe,
wir machen das reeablen nachher noch.
Bitte füge die Logs immer in Code-Tags ein. Wenn Du das nicht machst erschwert es mir sehr das Auswerten. Danke.
Dazu:

• Klicke über dem Antwortfenster auf die Raute #, dann steht dort in eckigen Klammern [] CODE /CODE.
• Zwischen den beiden code-Bausteinen fügst Du dann deine Logfiles ein. Also CODE Logfile /CODE
• Wenn die Logs zu lang sein sollten, dann teile sie bitte auf und poste sie dann hier in Deinem Thread, notfalls in mehreren Antworten.

Das wär's. Sorry, dass ich die Anweisung nicht gleich umgesetzt habe...

Schönen Gruss,

misteltoe

Hallo misteltoe,

vielen Dank für das Log. Das hast du gut gemacht :daumenhoc

Schritt 1
Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

• WICHTIG: Speichere Combofix auf deinem Desktop.
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es ein Logfile erstellen.
• Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Schritt 2
Starte noch einmal FRST.

• Setze den Haken bei addition.txt und drücke auf Scan.
• Wenn der Scan abgeschlossen ist, werden zwei neue Logfiles FRST.txt und addition.txt erstellt und auf dem Desktop gespeichert.
• Poste den Inhalt dieser Logfiles bitte hier in deinen Thread.

Hallo,

ich habe schon länger keine Antwort mehr von Dir erhalten. Benötigst Du weiterhin noch Hilfe?

Wenn ich in den nächsten 24 Stunden nichts von Dir höre, gehe ich davon aus, dass sich das Thema erledigt hat und lösche es aus meinen Abos.

Hinweis: Wir sind noch nicht fertig! Auch wenn die Symptome verschwunden sein sollten, kann dein System weiterhin infiziert sein und über Sicherheitslücken verfügen, welche eine erneute Infektion möglich machen.

Hallo misteltoe,
mir fehlt noch das Logfile von Combofix. Du findest es unter C:\Combofix.txt und ich brauche einen komplett neuen Scan von FRST nachdem Du ComboFix ausgeführt hast.
Denke daran, dann den Haken bei addition.txt zu setzen.
Poste alle drei Logs (das von Combofix, die FRST.txt und die addition.txt hier in Deinen Thread in Code-Tags.

Oje, dachte zunächst ich muss combofix downloaden. Hab dann mehrmals versucht combofix zu launchen, und habe jeweils beim Warn-Hinweis auf den noch laufenden Avria Virusscanner abgebrochen. Avira konnte ich nicht ausschalten (siehe angehängte Fehlermeldung).

Beim Versuch auf combofix.txt zu zu greifen, finde ich zwar unter C:\ eine Element Combofix, es ist aber keine .txt Datei, und wenn ich draufklicke, springt Explorer zur Ansicht, die ich ebenfalls mit hochgeladen habe.

misteltoe

PS: ich bin ab morgen für 10+ Tage weg, d.h. ohne Zugriff auf den PC. Können wir es bis zu meiner Rückkehr ohne weiteren Input von mir belassen? Danach mache ich den Versuch, diesen Rechner sauber zu kriegen, zur ersten Prio .

Hallo misteltoe,

ok, ich poste Dir jetzt trotzdem noch die nächsten Anweisungen.
Gehe mal in Deiner Symbolleiste unten rechts auf den Avira Schirm und schließe ihn, die Meldung kannst Du ignorieren, starte Deinen Rechner einfach nachdem der Scan beendet wurde neu. Die Datei combofix.txt liegt direkt in C:\.
Klicke auf den Windowsstartbutton --> Computer --> doppelklicke auf C:\ --> scrolle gegebenenfalls herunter bis Du die combofix.txt findest, öffne sie und poste den Inhalt in Deinen Thread (in Code Tags).