Avira Support Forum

Hallo zusammen,

gestern habe ich mir im Internet das Trojanische Pferd namens TR/ATRAPS.Gen2 eingefangen. Nach Löschen des Virus erhielt ich regelmäßig 24 Warnhinweise bezüglich eines Festplatten-Versagens. Gleichzeitig erschien das Programm SMART HDD bzw. S.M.A.R.T. Repair, der mich weiterhin über die Fehlfunktion informierte. Es liegt jedoch kein Problem mit der Festplatte vor- dieses Programm lässt es lediglich so aussehen. SMART HDD öffnet sich bei jedem Hochfahren des Computers von selbst und versteckt meine privaten Dateien. Außerdem erscheint der Desktophintergrund schwarz.

Wie ich bereits aus Foren erfahren habe, ist SMART HDD ein Teil des oben genannten Trojanischen Pferdes. Es lässt sich nicht durch das Booten einer Rescue-CD entfernen.

Weiß jemand weiter?

Vielen Dank im Voraus,

Mona Urania

Hallo Mona

wir brauchen 1 .1,5 Stunden - dann sollte es Geschichte sein ...

als erstes ...

Downloade OTL von hier _
http://oldtimer.geekstogo.com/OTL.exe


Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"

Klicke ins Bild zu Vergrössern .....


4. Kopiere in die Textbox ohne das Wort "Zitat"

Quoted

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
/md5start
explorer.exe
lsass.exe
svchost.exe
wininit.exe
winlogon.exe
userinit.exe
/md5stop
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.exe /s
%APPDATA%\Adobe\Update\*.*
%APPDATA%\Update\*.*
%APPDATA%\Microsoft\*.*
%ALLUSERSPROFILE%\Favorites\*.*
%ALLUSERSPROFILE%\*.*
%SYSTEMDRIVE%\*.*
%PROGRAMFILES%\*.*
%PROGRAMFILES%\Internet Explorer\*.*
%USERPROFILE%\*.*
%USERPROFILE%\Local Settings\Temp\*.exe
%USERPROFILE%\Local Settings\Temp\*.dll
%USERPROFILE%\Application Data\*.exe
%systemroot%\*. /mp /s
%systemroot%\*.exe /90
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.dll /90
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\system32\drivers\*.sys /90
%systemroot%\system32\*.exe /90
%systemroot%\system32\config\*.sav
%systemroot%\system32\spool\prtprocs\w32x86\*.*
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\assembly\tmp\*.* /S /MD5
%systemroot%\assembly\GAC_32\*.* /S /MD5
%systemroot%\assembly\GAC_64\*.* /S /MD5
CREATERESTOREPOINT
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs

5. Klicke "Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt
da diese zu groß sind mach folgendes. start programme zubehör,editor ( notepad), dort kopierst du beide rein und speicherst das neue dokument. diese dann hochladen:
www.file-upload.net
klicke auf durchsuchen, suche die datei, klicke einmal drauf, fenster schließt sich, klicke auf hochladen.
poste den download link.



Rajo

Hallo Rajo,

vielen Dank für die schnelle Antwort. Ich habe die Schritte soweit befolgt und habe nun diesen Link erhalten:

http://www.file-upload.net/download-4294273/Mona.txt.html

Mona

Lade unhide
UNHIDE:

lade unhide:
http://download.bleepingcomputer.com/grinler/unhide.exe


und starte es

Vista und win 7 user bitte mit Mausrechtsklick als administrator starten!
auch wenn ihr admin seid -

lass es laufen dauert etwas

dann


OTLFIX

**********************************************************************

Bitte Browser zumachen !

• Starte bitte erneut die OTL.exe
• Kopiere nun das Folgende in die Textbox Ausser das Wort Zitat :

Quoted

:OTL

O4 - HKU\S-1-5-21-2824101744-1166359984-1053670831-1002..\Run: [hjOouWQXnIVMkvP.exe] C:\ProgramData\hjOouWQXnIVMkvP.exe ()

[2012.04.21 14:25:01 | 000,000,184 | -H-- | C] () -- C:\ProgramData\-Gz8XjfWjaERRJDr
[2012.04.21 14:25:01 | 000,000,000 | -H-- | C] () -- C:\ProgramData\-Gz8XjfWjaERRJD
[2012.04.21 14:24:58 | 000,221,184 | -H-- | C] () -- C:\ProgramData\Gz8XjfWjaERRJD.exe
[2012.04.21 14:24:58 | 000,000,256 | -H-- | C] () -- C:\ProgramData\Gz8XjfWjaERRJD
[2012.04.21 14:19:05 | 000,300,032 | -H-- | C] () -- C:\ProgramData\hjOouWQXnIVMkvP.exe


[2012.04.22 21:08:09 | 000,001,106 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job

[2012.04.21 22:31:01 | 000,000,940 | -H-- | M] () -- C:\Windows\tasks\FacebookUpdateTaskUserS-1-5-21-2824101744-1166359984-1053670831-1002UA.job
[2012.04.21 19:31:00 | 000,000,918 | -H-- | M] () -- C:\Windows\tasks\FacebookUpdateTaskUserS-1-5-21-2824101744-1166359984-1053670831-1002Core.job




:Reg
:Files
ipconfig /flushdns /c
:Commands
[emptyflash]
[emptytemp]
[emptyjava]
[Reboot]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.
öffne arbeitsplatz, c: dann _OTL
dort rechtsklick auf moved files
wähle zu moved files.rar oder zip hinzufügen.
lade das archiv bei
www.file-upload.net
hoch.
sende mir den download link als private nachicht.


Nun Bitte

Anleitung MALWAREBYTES -



Programmdownload:
http://download.bleepingcomputer.com/mal…/mbam-setup.exe

http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe

Installiere und Starte das Programm - Vista Windows 7 user bitte als Administrator >> Mausrechtsklick !

• Wähle die Testphase für Echtzeitscanner ab !
  
• Die Yahootoolbar ebenfalls
  

mache ein online update
Das Programm holt aktuellsten Virendefinitionen automatisch
schliesse ALLE Anwendungen - Auch deinen Browser !
auch Avira
Rechtsklick in den schirm > bei avira guard aktivieren den haken raus
und ruhe is ...... =)
..............................
Druecke Starte QUICKSCAN
Warte bis der Scan durchgelaufen ist


GANZ WICHTIG !

Nun alles entfernen (die Funde) - und das log
bitte hier ins Forum posten





Rajo



Nun ist schon biscken was zu sehen - Desktop noch schwarz ? das machsst du per Windows wieder neu einstellen -

Ich habe nun den Quickscan durchlaufen lassen und dieses Protokoll erhalten:

Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.04.22.05

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Mona :: MONA-MOBIL [Administrator]

22.04.2012 23:31:21
mbam-log-2012-04-22 (23-31-21).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 237602
Laufzeit: 1 Minute(n), 54 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)



Des Weiteren habe ich seit einiger Zeit keine Warnhinweise mehr bekommen

Gut ! -

Ist der Desktop wieder hergestellt ?
wenn ja sind wir durch -

Dein Java muss upgedatet werden . auf version 7. 0.3
http://www.chip.de/downloads/Java-Runtim…t_13014576.html

Beobachte das System - und melde dich bei Auffälligkeiten .

Alles Gute .

Rajo

Vielen lieben Dank Rajo, für die ganze Hilfe und Mühe. Ich bin froh, nun endlich all die Warnnachrichten losgeworden zu sein und meine Dateien wieder sehen zu können.

Mein Desktophintergrund ist allerdings noch schwarz geblieben. Außerdem habe ich festgestellt, dass in meinem Windows-Startfenster die Angaben sowohl auf der weißen, als auch auf der blauen Seite fehlen (Ausnahme auf der blauen Seite: Favoriten) Die anderen Übersichtspunkte sind nicht wieder aufgetaucht.
Hat das etwas über den Virus zu sagen? Und muss ich ggf. mit einem Wiederauftreten rechnen?

Mein Java habe ich aktualisiert.

Nochmal herzlichen Dank, Rajo. Ohne Ihre Hilfe, hätte ich den PC wohl auf den Urzustand zurück setzen müssen.

Liebe Grüße
Mona

Mona -

1 - Nein Du musst nicht das wiederauftreten des Virus befürchten -
allerdings hat die Malware den Desktop durcheinander gebracht -

Kannst du versuchen mit Windows Mittel den Hintergrund zu ändern ?
Schema etc. Theme ? -

falls nicht mach bitte nochmal ein Scan mit Malwarebytes - diesmal aber Nicht quick -
sondern den Vollständigen .

Ich schau morgen wieder rein ..

GN8
Rajo

Den Hintergrund konnte ich mit Windows-Mitteln verändern
Ich werde trotzdem morgen nochmal zur Sicherheit den vollständigen Scan durchlaufen lassen. Schadet ja nicht

Gibt es denn eine Möglichkeit die Symbole im Startmenü von Windows wieder herzustellen?

GN8

Mona

Quoted from "Mona Urania"

Gibt es denn eine Möglichkeit die Symbole im Startmenü von Windows wieder herzustellen?

Hallo Mona Urania

kommst Du denn darauf, wenn Du auf das Windows Symbol (rechtsklick)
auf Eigenschaften gehst

und diese wieder anpasst ?

Ich weiß nicht ob ich da richtig liege, war nur mal so ein Vorschlag,

gute Nacht und viel Erfolg weiterhin, Rajo wird alles richten.

schau

Hallo,

danke *Jose83 für den Vorschlag, die Icons wieder über die Eigenschaften herzustellen. Es hat geklappt und nun hab ich zumindest wieder eine gefüllte blaue Seite des Startmenüs.



Eben habe ich den vollständigen Scan mit Malwarebytes durchgeführt und im Protokoll steht, dass zwei "Trojan.FakeAlert" und ein "PUM.Hijack.StartMenu" (Registry Data) gefunden wurden. Hinter den drei Warnungen im Protokoll steht jeweils: No action taken.

Um nochmal sicher zu gehen: Dann muss ich jetzt also dabei von keiner weiter bestehenden Infizieung ausgehen und kann unbesorgt wieder meinen PC benutzen?

Schonmal vielen Dank für die Hilfe.

Liebe Grüße
Mona Urania

Quoted from "Mona Urania"

Eben habe ich den vollständigen Scan mit Malwarebytes durchgeführt und im Protokoll steht, dass zwei "Trojan.FakeAlert" und ein "PUM.Hijack.StartMenu" (Registry Data) gefunden wurden. Hinter den drei Warnungen im Protokoll steht jeweils: No action taken.

Hallo Mona die must Du entfernen lassen -

Bitte postedoch auch mal das LOg - vom Full scan - Malwarebytes Hauptprogamm oben mitte reiterkarte logs

**

Ich habe deinen Befall hier nachgestellt - Der Kamerad bringt die gesamten Verknüpfungen für das Startmenü
in den Temp ordner - Das wusste ich gestern noch nicht .

Rajo

Guten Abend

hier habe ich das Log des vollständigen Scans mit Malewarebytes:

http://www.file-upload.net/download-4300…16-05-.txt.html

Lg Mona Urania

Ich bins nochmal

Ich habe eben die drei Dateien erfolgreich in Quarantäne gesetzt und anschließend gelöscht. Beim Neustart nach dem Verschieben in Quarantäne erhielt ich allerdings eine Warnmeldung von Microsoft Visual C + + Runtime Library:

Runtime Error!

Program: C:\Program Files (x86)\Launch Manager\WButton.exe

This application has requested the Runtime to terminate it an unusual way.
Please contact the application's support team for more information.

Danke schonmal vorab für die Hilfe

Mona Urania

Quoted from "Rajo"

Bitte postedoch auch mal das LOg - vom Full scan - Malwarebytes Hauptprogamm oben mitte reiterkarte logs

**

Quoted

Ich habe eben die drei Dateien erfolgreich in Quarantäne gesetzt

Welche ??


Ohne das log wird mir nicht klar was du mit Malwarebytes nun gelöscht hast
Daher hatte ist es sehen wollen -
und jetzt brauch ich dringend mal - sonst weiss ich nix -

Rajo

Ich dachte das von mir bei File-upload.net gesendete Log würde ausreichen
Das Schlussprotokoll ist Folgendes:

http://www.file-upload.net/download-4300…7-56-2.txt.html

Ich hoffe, dieses hilft weiter

Huhu

besser ist das hier



dann öffnet sich der Editor und das dann hier reinfügen

Quoted from "Mona Urania"

Ich dachte das von mir bei File-upload.net gesendete Log würde ausreichen

ist nicht so gut.... . Grund; weil das etwas Schwierigkeiten macht, ist nicht mehr so gur,

sorry Rajo*chen

Poste ich mal - weil da ist Nix Privates :


Datenbank Version: v2012.04.22.05

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Internet :: MONA-MOBIL [limitiert]

24.04.2012 21:17:56
mbam-log-2012-04-24 (21-17-56).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 266151
Laufzeit: 22 Minute(n), 53 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

das ist nun bereinigt - gut
Infizierte Dateiobjekte der Registrierung: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowSearch (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)


das hatten wir mit OTL entfernt - ist okay - jetzt ist es in MBam quara -
Infizierte Dateien: 2
C:\_OTL\MovedFiles\04222012_224732\C_ProgramData\Gz8XjfWjaERRJD.exe (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\_OTL\MovedFiles\04222012_224732\C_ProgramData\hjOouWQXnIVMkvP.exe (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)


So nun habe ich info - Danke - Blindflug zu ende

Rajo

Acer Launch manager neu installieren - ist meine Vermutung

http://support.acer-euro.com/drivers/notebook/as_3020_5020.html#

Wie heißt das Laptop
Model ?
Model NR ?



Rajo

Ok, vielen Dank Tut mir Leid mit dem Link, ich kenne mich auf dem Gebiet des Forums nicht so aus

Das Model ist Medion P6630 Notebook PC