You are not logged in.

Monday, April 21st 2014, 6:33am

Dear visitor, welcome to Avira Support Forum. If this is your first visit here, please read the Help. It explains in detail how this page works. To use all features of this page, you should consider registering. Please use the registration form, to register here or read more information about the registration process. If you are already registered, please login here.

  • "Mona Urania" started this thread

Date of registration:
Apr 22nd 2012

Version:
Avira Antivirus Premium

Operating System:
Windows 7

  • Send private message

1

Sunday, April 22nd 2012, 7:25pm

Trojanisches Pferd TR/ATRAPS.Gen2 eingefangen-Benötige Hilfe!

Hallo zusammen,

gestern habe ich mir im Internet das Trojanische Pferd namens TR/ATRAPS.Gen2 eingefangen. Nach Löschen des Virus erhielt ich regelmäßig 24 Warnhinweise bezüglich eines Festplatten-Versagens. Gleichzeitig erschien das Programm SMART HDD bzw. S.M.A.R.T. Repair, der mich weiterhin über die Fehlfunktion informierte. Es liegt jedoch kein Problem mit der Festplatte vor- dieses Programm lässt es lediglich so aussehen. SMART HDD öffnet sich bei jedem Hochfahren des Computers von selbst und versteckt meine privaten Dateien. Außerdem erscheint der Desktophintergrund schwarz.

Wie ich bereits aus Foren erfahren habe, ist SMART HDD ein Teil des oben genannten Trojanischen Pferdes. Es lässt sich nicht durch das Booten einer Rescue-CD entfernen.

Weiß jemand weiter?

Vielen Dank im Voraus,

Mona Urania

Rajo

Moderator

Date of registration:
Jun 12th 2006

Operating System:
Mac - Linux - Windows XP Pro SP3 - PUPPY 4.12 AUFM STICK

  • Send private message

2

Sunday, April 22nd 2012, 7:35pm

Hallo Mona

wir brauchen 1 .1,5 Stunden - dann sollte es Geschichte sein ...

als erstes ...

Downloade OTL von hier _
http://oldtimer.geekstogo.com/OTL.exe


Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"

Klicke ins Bild zu Vergrössern ..... :!:


4. Kopiere in die Textbox ohne das Wort "Zitat"

Quoted




netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
/md5start
explorer.exe
lsass.exe
svchost.exe
wininit.exe
winlogon.exe
userinit.exe
/md5stop
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.exe /s
%APPDATA%\Adobe\Update\*.*
%APPDATA%\Update\*.*
%APPDATA%\Microsoft\*.*
%ALLUSERSPROFILE%\Favorites\*.*
%ALLUSERSPROFILE%\*.*
%SYSTEMDRIVE%\*.*
%PROGRAMFILES%\*.*
%PROGRAMFILES%\Internet Explorer\*.*
%USERPROFILE%\*.*
%USERPROFILE%\Local Settings\Temp\*.exe
%USERPROFILE%\Local Settings\Temp\*.dll
%USERPROFILE%\Application Data\*.exe
%systemroot%\*. /mp /s
%systemroot%\*.exe /90
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.dll /90
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\system32\drivers\*.sys /90
%systemroot%\system32\*.exe /90
%systemroot%\system32\config\*.sav
%systemroot%\system32\spool\prtprocs\w32x86\*.*
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\assembly\tmp\*.* /S /MD5
%systemroot%\assembly\GAC_32\*.* /S /MD5
%systemroot%\assembly\GAC_64\*.* /S /MD5
CREATERESTOREPOINT
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs




5. Klicke "Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt
da diese zu groß sind mach folgendes. start programme zubehör,editor ( notepad), dort kopierst du beide rein und speicherst das neue dokument. diese dann hochladen:
www.file-upload.net
klicke auf durchsuchen, suche die datei, klicke einmal drauf, fenster schließt sich, klicke auf hochladen.
poste den download link.



Rajo

  • "Mona Urania" started this thread

Date of registration:
Apr 22nd 2012

Version:
Avira Antivirus Premium

Operating System:
Windows 7

  • Send private message

3

Sunday, April 22nd 2012, 9:51pm

Hallo Rajo,

vielen Dank für die schnelle Antwort. Ich habe die Schritte soweit befolgt und habe nun diesen Link erhalten:

http://www.file-upload.net/download-4294273/Mona.txt.html

Mona

Rajo

Moderator

Date of registration:
Jun 12th 2006

Operating System:
Mac - Linux - Windows XP Pro SP3 - PUPPY 4.12 AUFM STICK

  • Send private message

4

Sunday, April 22nd 2012, 10:24pm

Lade unhide
UNHIDE:

lade unhide:
http://download.bleepingcomputer.com/grinler/unhide.exe


und starte es

Vista und win 7 user bitte mit Mausrechtsklick als administrator starten!
auch wenn ihr admin seid -

lass es laufen dauert etwas

dann


OTLFIX

**********************************************************************

Bitte Browser zumachen !

• Starte bitte erneut die OTL.exe
• Kopiere nun das Folgende in die Textbox Ausser das Wort Zitat :


Quoted

:OTL

O4 - HKU\S-1-5-21-2824101744-1166359984-1053670831-1002..\Run: [hjOouWQXnIVMkvP.exe] C:\ProgramData\hjOouWQXnIVMkvP.exe ()

[2012.04.21 14:25:01 | 000,000,184 | -H-- | C] () -- C:\ProgramData\-Gz8XjfWjaERRJDr
[2012.04.21 14:25:01 | 000,000,000 | -H-- | C] () -- C:\ProgramData\-Gz8XjfWjaERRJD
[2012.04.21 14:24:58 | 000,221,184 | -H-- | C] () -- C:\ProgramData\Gz8XjfWjaERRJD.exe
[2012.04.21 14:24:58 | 000,000,256 | -H-- | C] () -- C:\ProgramData\Gz8XjfWjaERRJD
[2012.04.21 14:19:05 | 000,300,032 | -H-- | C] () -- C:\ProgramData\hjOouWQXnIVMkvP.exe


[2012.04.22 21:08:09 | 000,001,106 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job

[2012.04.21 22:31:01 | 000,000,940 | -H-- | M] () -- C:\Windows\tasks\FacebookUpdateTaskUserS-1-5-21-2824101744-1166359984-1053670831-1002UA.job
[2012.04.21 19:31:00 | 000,000,918 | -H-- | M] () -- C:\Windows\tasks\FacebookUpdateTaskUserS-1-5-21-2824101744-1166359984-1053670831-1002Core.job




:Reg
:Files
ipconfig /flushdns /c
:Commands
[emptyflash]
[emptytemp]
[emptyjava]
[Reboot]






• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.
öffne arbeitsplatz, c: dann _OTL
dort rechtsklick auf moved files
wähle zu moved files.rar oder zip hinzufügen.
lade das archiv bei
www.file-upload.net
hoch.
sende mir den download link als private nachicht.


Nun Bitte

Anleitung MALWAREBYTES -



Programmdownload:
http://download.bleepingcomputer.com/mal…/mbam-setup.exe

http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe

Installiere und Starte das Programm - Vista Windows 7 user bitte als Administrator >> Mausrechtsklick !
  • Wähle die Testphase für Echtzeitscanner ab !
  • Die Yahootoolbar ebenfalls


mache ein online update
Das Programm holt aktuellsten Virendefinitionen automatisch
schliesse ALLE Anwendungen - Auch deinen Browser !
auch Avira

Rechtsklick in den schirm > bei avira guard aktivieren den haken raus
und ruhe is ...... =)
..............................
Druecke Starte QUICKSCAN
Warte bis der Scan durchgelaufen ist


GANZ WICHTIG !

Nun alles entfernen (die Funde) - und das log
bitte hier ins Forum posten





Rajo



Nun ist schon biscken was zu sehen - Desktop noch schwarz ? das machsst du per Windows wieder neu einstellen -

This post has been edited 1 times, last edit by "Rajo" (Apr 22nd 2012, 10:53pm)


  • "Mona Urania" started this thread

Date of registration:
Apr 22nd 2012

Version:
Avira Antivirus Premium

Operating System:
Windows 7

  • Send private message

5

Sunday, April 22nd 2012, 11:39pm

Ich habe nun den Quickscan durchlaufen lassen und dieses Protokoll erhalten:

Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.04.22.05

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Mona :: MONA-MOBIL [Administrator]

22.04.2012 23:31:21
mbam-log-2012-04-22 (23-31-21).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 237602
Laufzeit: 1 Minute(n), 54 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)



Des Weiteren habe ich seit einiger Zeit keine Warnhinweise mehr bekommen :)

Rajo

Moderator

Date of registration:
Jun 12th 2006

Operating System:
Mac - Linux - Windows XP Pro SP3 - PUPPY 4.12 AUFM STICK

  • Send private message

6

Sunday, April 22nd 2012, 11:50pm

Gut ! -

Ist der Desktop wieder hergestellt ?
wenn ja sind wir durch -

Dein Java muss upgedatet werden . auf version 7. 0.3
http://www.chip.de/downloads/Java-Runtim…t_13014576.html

Beobachte das System - und melde dich bei Auffälligkeiten .

Alles Gute .

Rajo :)

  • "Mona Urania" started this thread

Date of registration:
Apr 22nd 2012

Version:
Avira Antivirus Premium

Operating System:
Windows 7

  • Send private message

7

Monday, April 23rd 2012, 12:10am

Vielen lieben Dank Rajo, für die ganze Hilfe und Mühe. Ich bin froh, nun endlich all die Warnnachrichten losgeworden zu sein und meine Dateien wieder sehen zu können.

Mein Desktophintergrund ist allerdings noch schwarz geblieben. Außerdem habe ich festgestellt, dass in meinem Windows-Startfenster die Angaben sowohl auf der weißen, als auch auf der blauen Seite fehlen (Ausnahme auf der blauen Seite: Favoriten) Die anderen Übersichtspunkte sind nicht wieder aufgetaucht.
Hat das etwas über den Virus zu sagen? Und muss ich ggf. mit einem Wiederauftreten rechnen?

Mein Java habe ich aktualisiert.

Nochmal herzlichen Dank, Rajo. Ohne Ihre Hilfe, hätte ich den PC wohl auf den Urzustand zurück setzen müssen.

Liebe Grüße
Mona

Rajo

Moderator

Date of registration:
Jun 12th 2006

Operating System:
Mac - Linux - Windows XP Pro SP3 - PUPPY 4.12 AUFM STICK

  • Send private message

8

Monday, April 23rd 2012, 12:26am

Mona -

1 - Nein Du musst nicht das wiederauftreten des Virus befürchten -
allerdings hat die Malware den Desktop durcheinander gebracht -

Kannst du versuchen mit Windows Mittel den Hintergrund zu ändern ?
Schema etc. Theme ? -

falls nicht mach bitte nochmal ein Scan mit Malwarebytes - diesmal aber Nicht quick -
sondern den Vollständigen .

Ich schau morgen wieder rein .. :)

GN8
Rajo :)

  • "Mona Urania" started this thread

Date of registration:
Apr 22nd 2012

Version:
Avira Antivirus Premium

Operating System:
Windows 7

  • Send private message

9

Monday, April 23rd 2012, 12:48am

Den Hintergrund konnte ich mit Windows-Mitteln verändern ;)
Ich werde trotzdem morgen nochmal zur Sicherheit den vollständigen Scan durchlaufen lassen. Schadet ja nicht :)

Gibt es denn eine Möglichkeit die Symbole im Startmenü von Windows wieder herzustellen?

GN8

Mona

10

Monday, April 23rd 2012, 1:02am

Gibt es denn eine Möglichkeit die Symbole im Startmenü von Windows wieder herzustellen?


Hallo Mona Urania :)

kommst Du denn darauf, wenn Du auf das Windows Symbol (rechtsklick)
auf Eigenschaften gehst

und diese wieder anpasst ?

Ich weiß nicht ob ich da richtig liege, war nur mal so ein Vorschlag,

gute Nacht und viel Erfolg weiterhin, Rajo wird alles richten.

schau






habe ich aus Paules Forum. ;)



*Erotik und Intelligenz müssen nicht unbedingt Feinde sein*
*Ein intelligentes Mädchen wird sich immer bemühen, weniger zu wissen, als der Mann, mit dem es sich gerade unterhält.*
*Hildegard Knef *

This post has been edited 2 times, last edit by "*Jose83" (Apr 23rd 2012, 1:13am)


  • "Mona Urania" started this thread

Date of registration:
Apr 22nd 2012

Version:
Avira Antivirus Premium

Operating System:
Windows 7

  • Send private message

11

Monday, April 23rd 2012, 9:49pm

Hallo,

danke *Jose83 für den Vorschlag, die Icons wieder über die Eigenschaften herzustellen. Es hat geklappt und nun hab ich zumindest wieder eine gefüllte blaue Seite des Startmenüs. :)



Eben habe ich den vollständigen Scan mit Malwarebytes durchgeführt und im Protokoll steht, dass zwei "Trojan.FakeAlert" und ein "PUM.Hijack.StartMenu" (Registry Data) gefunden wurden. Hinter den drei Warnungen im Protokoll steht jeweils: No action taken.

Um nochmal sicher zu gehen: Dann muss ich jetzt also dabei von keiner weiter bestehenden Infizieung ausgehen und kann unbesorgt wieder meinen PC benutzen?

Schonmal vielen Dank für die Hilfe.

Liebe Grüße
Mona Urania :)

Rajo

Moderator

Date of registration:
Jun 12th 2006

Operating System:
Mac - Linux - Windows XP Pro SP3 - PUPPY 4.12 AUFM STICK

  • Send private message

12

Monday, April 23rd 2012, 10:03pm

Eben habe ich den vollständigen Scan mit Malwarebytes durchgeführt und im Protokoll steht, dass zwei "Trojan.FakeAlert" und ein "PUM.Hijack.StartMenu" (Registry Data) gefunden wurden. Hinter den drei Warnungen im Protokoll steht jeweils: No action taken.



Hallo Mona die must Du entfernen lassen -

Bitte postedoch auch mal das LOg - vom Full scan - Malwarebytes Hauptprogamm oben mitte reiterkarte logs

**

Ich habe deinen Befall hier nachgestellt - Der Kamerad bringt die gesamten Verknüpfungen für das Startmenü
in den Temp ordner - Das wusste ich gestern noch nicht .

Rajo

This post has been edited 1 times, last edit by "Rajo" (Apr 24th 2012, 12:03pm)


  • "Mona Urania" started this thread

Date of registration:
Apr 22nd 2012

Version:
Avira Antivirus Premium

Operating System:
Windows 7

  • Send private message

13

Tuesday, April 24th 2012, 9:13pm

Guten Abend :)

hier habe ich das Log des vollständigen Scans mit Malewarebytes:

http://www.file-upload.net/download-4300…16-05-.txt.html

Lg Mona Urania

  • "Mona Urania" started this thread

Date of registration:
Apr 22nd 2012

Version:
Avira Antivirus Premium

Operating System:
Windows 7

  • Send private message

14

Tuesday, April 24th 2012, 9:59pm

Ich bins nochmal ;)

Ich habe eben die drei Dateien erfolgreich in Quarantäne gesetzt und anschließend gelöscht. Beim Neustart nach dem Verschieben in Quarantäne erhielt ich allerdings eine Warnmeldung von Microsoft Visual C + + Runtime Library:

Runtime Error!

Program: C:\Program Files (x86)\Launch Manager\WButton.exe

This application has requested the Runtime to terminate it an unusual way.
Please contact the application's support team for more information.

Danke schonmal vorab für die Hilfe :)

Mona Urania

Rajo

Moderator

Date of registration:
Jun 12th 2006

Operating System:
Mac - Linux - Windows XP Pro SP3 - PUPPY 4.12 AUFM STICK

  • Send private message

15

Tuesday, April 24th 2012, 10:04pm

Bitte postedoch auch mal das LOg - vom Full scan - Malwarebytes Hauptprogamm oben mitte reiterkarte logs

**


Quoted


Ich habe eben die drei Dateien erfolgreich in Quarantäne gesetzt
Welche ??


Ohne das log wird mir nicht klar was du mit Malwarebytes nun gelöscht hast
Daher hatte ist es sehen wollen -
und jetzt brauch ich dringend mal - sonst weiss ich nix - :) :)

Rajo

  • "Mona Urania" started this thread

Date of registration:
Apr 22nd 2012

Version:
Avira Antivirus Premium

Operating System:
Windows 7

  • Send private message

16

Tuesday, April 24th 2012, 10:09pm

Ich dachte das von mir bei File-upload.net gesendete Log würde ausreichen ;)
Das Schlussprotokoll ist Folgendes:

http://www.file-upload.net/download-4300…7-56-2.txt.html

Ich hoffe, dieses hilft weiter ;)

17

Tuesday, April 24th 2012, 10:12pm

Huhu :)

besser ist das hier



dann öffnet sich der Editor und das dann hier reinfügen :)

Ich dachte das von mir bei File-upload.net gesendete Log würde ausreichen

ist nicht so gut.... :S :S. Grund; weil das etwas Schwierigkeiten macht, ist nicht mehr so gur,

sorry Rajo*chen :love: 8)



*Erotik und Intelligenz müssen nicht unbedingt Feinde sein*
*Ein intelligentes Mädchen wird sich immer bemühen, weniger zu wissen, als der Mann, mit dem es sich gerade unterhält.*
*Hildegard Knef *

Rajo

Moderator

Date of registration:
Jun 12th 2006

Operating System:
Mac - Linux - Windows XP Pro SP3 - PUPPY 4.12 AUFM STICK

  • Send private message

18

Tuesday, April 24th 2012, 10:19pm

Poste ich mal - weil da ist Nix Privates :


Datenbank Version: v2012.04.22.05

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Internet :: MONA-MOBIL [limitiert]

24.04.2012 21:17:56
mbam-log-2012-04-24 (21-17-56).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 266151
Laufzeit: 22 Minute(n), 53 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

das ist nun bereinigt - gut

Infizierte Dateiobjekte der Registrierung: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowSearch (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)


das hatten wir mit OTL entfernt - ist okay - jetzt ist es in MBam quara -

Infizierte Dateien: 2
C:\_OTL\MovedFiles\04222012_224732\C_ProgramData\Gz8XjfWjaERRJD.exe (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\_OTL\MovedFiles\04222012_224732\C_ProgramData\hjOouWQXnIVMkvP.exe (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)


So nun habe ich info - Danke - Blindflug zu ende :)

Rajo

Rajo

Moderator

Date of registration:
Jun 12th 2006

Operating System:
Mac - Linux - Windows XP Pro SP3 - PUPPY 4.12 AUFM STICK

  • Send private message

19

Tuesday, April 24th 2012, 10:37pm

Acer Launch manager neu installieren - ist meine Vermutung

http://support.acer-euro.com/drivers/notebook/as_3020_5020.html#

Wie heißt das Laptop
Model ?
Model NR ?



Rajo

This post has been edited 1 times, last edit by "Rajo" (Apr 24th 2012, 10:41pm)


  • "Mona Urania" started this thread

Date of registration:
Apr 22nd 2012

Version:
Avira Antivirus Premium

Operating System:
Windows 7

  • Send private message

20

Tuesday, April 24th 2012, 10:43pm

Ok, vielen Dank :) Tut mir Leid mit dem Link, ich kenne mich auf dem Gebiet des Forums nicht so aus ;)

Das Model ist Medion P6630 Notebook PC

:)