로그인되지 않았습니다.

Tuesday, July 29th 2014, 8:49pm

The Avira Forum will be moved to the new platform Avira Answers soon. We'll make the transition of existing user profiles and threads as smooth as possible.
New visitors are able to log in on Avira Answers with the existing Avira account directly or sign up with a new account.

  • "Pfropferla" started this thread

등록일:
Mar 30th 2010

버전:
Avira Free Antivirus

운영 체제:
Windows7

  • Send private message

1

Friday, April 13th 2012, 12:55pm

TR/ATRAPS.Gen - gefährlich?

Hallo zusammen,
Antivir hat gerade beim Echtzeitscanner in SysWOW64 einen Trojaner gemeldet: TR/ATRAPS.Gen - offensichtlich in einer Datei, die bereits einmal als Fehlalarm diagnostiziert wurde. Handelt es sich hierbei wieder um Fehlalarm - wenn ja, wie kann ich das prüfen?

Danke!

등록일:
Mar 28th 2010

  • Send private message

2

Friday, April 13th 2012, 3:25pm

Lade Sie mal bei VirusTotal.com hoch!

zusätzlich mach bitte einen VOLLSTÄNDIGEN Scan mit Malwarebytes Anti-Malware wie hier beschrieben: Anleitung

dann sehen wir weiter :)

A.Novize

커뮤니티 회원

등록일:
Oct 4th 2006

버전:
Avira Antivirus Premium
Avira Internet Security
Avira Free Mac Security

운영 체제:
Mac OS X 10.6.8 / Windows 7 Home Premium 32Bit auf Mac via Parallels VM/ Windows 7 Ultimate 64Bit/ Ubuntu 14.04

  • Send private message

3

Friday, April 13th 2012, 4:28pm

Hallo,

Ergänzend wäre auch noch der Upload ans Avira-Lab zu erwähnen:

인용

Die Datei(en) zur genaueren Analyse an das Antivir-Labor:
http://analysis.avira.com/samples/index.php
senden, unter Typ: "Verdacht auf Fehlalarm " angeben - ausführliche Antwort per Mail sollte binnen 1-2 Tagen eintreffen.

Wenn schon in Quarantäne, dann direkt die entsprechende .qua-Datei- wenn noch nicht in Qua, muss für den Upload temporär der Guard/Echtzeitscanner deaktiviert werden, weil er sonst den Zugriff auf die Datei blockieren wollen würde.
Gruß, Novize.

Hijack This 2.0.4* VirusTotal * SWH deaktivieren * Malwarebytes (incl.Tutorial) *CCleaner (Slim!)AVIRA on YouTube
Fragen sind im Forum, wo viele Wissende zugegen, besser aufgehoben- bitte nicht per PN ! Danke.

  • "Pfropferla" started this thread

등록일:
Mar 30th 2010

버전:
Avira Free Antivirus

운영 체제:
Windows7

  • Send private message

4

Friday, April 13th 2012, 4:42pm

So, hab versucht, die ersten Hinweise zu bearbeiten - aber nur teilweise mit Erfolg!

Virustotal.com: File already analysed

This file was already analysed by VirusTotal on 2012-02-24 12:44:39.

Detection ratio: 0/43

You can take a look at the last analysis or analyse it again now.



Malware: bricht immer ab, "keine Rückmeldung", kein vollständiger Scan möglich!

Hab die Datei bereits an AviraLab gesendet, allerdings mit "Verdächtige Datei" - hier das Ergebnis:

[i][i]Sehr geehrte Dame, sehr geehrter Herr,

Vielen Dank für Ihre Email an Avira's Virenlabor.
Auftragsnummer: INC01104324.

Wir haben folgende Archivdateien empfangen:
Datei ID Dateiname Größe (Byte) Ergebnis
26789615 4f880667e2724.zip 128.62 KB OK

Eine Auflistung der Dateien und Ergebnisse, die in Archiven enthalten waren, sind im folgenden aufgeführt:
Datei ID Dateiname Größe (Byte) Ergebnis
26789616 49a3a5ec.vir 280 KB MALWARE


Genaue Ergebnisse für jede Datei finden sie im folgenden Abschnitt:
Dateiname Ergebnis
49a3a5ec.vir MALWARE

Die Datei '49a3a5ec.vir' wurde als 'MALWARE' eingestuft. Unsere Analytiker haben dieser Bedrohung den Namen TR/ATRAPS.Gen gegeben. Bei der Bezeichnung "TR/" handelt es sich um ein Trojanisches Pferd, dass in der Lage ist, ihre Daten auszuspähen, Ihre Privatsphäre zu verletzen und nicht erwünschte Änderungen am System vornehmen kann. Diese Datei wird mit einer Spezial-Erkennungsroutine des Enginemoduls erkannt.


Alternativ können Sie die Ergebnisse der Analyse hier einsehen:
hxxp://analysis.avira.com/samples/details.phpxuniqueid=C34ZwHSST8Cb5IQSmNnUdH7LcwKjfhgJ&incidentid=1104324

Zusätzlich finden Sie eine Übersicht aller Einsendungen hier:
hxxp://analysis.avira.com/samples/details.phpxuniqueid=C34ZwHSST8Cb5IQSmNnUdH7LcwKjfhgJ

Hinweis: Bitte wenden Sie sich mit spezifischen Fragen an support@avira.com

Mit besten Grüßen
Avira Virenlabor
[/i][/i]

이 게시물은 2회 수정되었으며, 마지막으로 "Chess2008"(Apr 13th 2012, 6:12pm)이(가) 수정했습니다.


A.Novize

커뮤니티 회원

등록일:
Oct 4th 2006

버전:
Avira Antivirus Premium
Avira Internet Security
Avira Free Mac Security

운영 체제:
Mac OS X 10.6.8 / Windows 7 Home Premium 32Bit auf Mac via Parallels VM/ Windows 7 Ultimate 64Bit/ Ubuntu 14.04

  • Send private message

5

Friday, April 13th 2012, 5:25pm

Hab die Datei bereits an AviraLab gesendet, allerdings mit "Verdächtige Datei"

=> Automatisch generierte Antwort- daher noch mal mit "Verdacht auf Fehlalarm" bitte- nur dann wird eine Re-Analyse mit neuem Ergebnis durchgeführt.

0/40 auf Virustotal lässt Fehlalarm vermuten.
Gruß, Novize.

Hijack This 2.0.4* VirusTotal * SWH deaktivieren * Malwarebytes (incl.Tutorial) *CCleaner (Slim!)AVIRA on YouTube
Fragen sind im Forum, wo viele Wissende zugegen, besser aufgehoben- bitte nicht per PN ! Danke.

markusg

커뮤니티 회원

등록일:
Mar 12th 2006

  • Send private message

6

Friday, April 13th 2012, 5:31pm

naja, die 0/43 ist vom februar...
bitte datei erneut scannen, link posten bitte

  • "Pfropferla" started this thread

등록일:
Mar 30th 2010

버전:
Avira Free Antivirus

운영 체제:
Windows7

  • Send private message

7

Friday, April 13th 2012, 5:31pm

Na, hoffentlich ist die Antwort von Avira dann auch so beruhigend!

Das Problem mit den versteckten Dateien beim Suchlauf ist wohl auch bei mir der Fall - Suchlauf läuft gerade vollständig durch, bisher noch keine Hinweise auf Virus, allerdings eben 64 versteckte Dateien.

Allerdings meldet Malwarebytes in regelmäßigen Abständen eine IP-Blockierung:
2012/04/13 17:06:37 +0200 KATJA-PC Katja IP-BLOCK 141.101.124.54 (Type: outgoing, Port: 49658, Process: firefox.exe)
2012/04/13 17:24:12 +0200 KATJA-PC Katja IP-BLOCK 141.101.124.232 (Type: outgoing, Port: 49909, Process: firefox.exe)

Doch ein Virus?

  • "Pfropferla" started this thread

등록일:
Mar 30th 2010

버전:
Avira Free Antivirus

운영 체제:
Windows7

  • Send private message

8

Friday, April 13th 2012, 5:36pm

Oje, wohl doch zu frühgefreut:

Virustotal: 10/42

SHA256: ec336efee51740825794d2d895ec2e0f6fe28d51b19905267b9ee4cce09fd42a
SHA1: fd3becb222955e8a622102da0352556c54ea05c7
MD5: 2afa964f0fe4485e6179904d602e3ea5
File size: 396.0 KB ( 405504 bytes )
File name: d3dyxkf6u.dll
File type: Win32 DLL
Detection ratio: 10 / 42
Analysis date: 2012-04-13 15:33:30 UTC ( 0 Minuten ago )
0
0
More details
Antivirus Result Update
AhnLab-V3 - 20120413
AntiVir TR/ATRAPS.Gen 20120413
Antiy-AVL - 20120413
Avast - 20120413
AVG - 20120413
BitDefender Rootkit.Mediyes.A 20120413
ByteHero - 20120413
CAT-QuickHeal - 20120413
ClamAV - 20120413
Commtouch - 20120413
Comodo - 20120413
DrWeb - 20120413
Emsisoft Trojan.Win32.Mediyes!IK 20120413
eSafe - 20120412
eTrust-Vet - 20120413
F-Prot - 20120413
F-Secure Rootkit.Mediyes.A 20120413
Fortinet - 20120413
GData Rootkit.Mediyes.A 20120413
Ikarus Trojan.Win32.Mediyes 20120413
Jiangmin Trojan/Mediyes.d 20120413
K7AntiVirus - 20120412
Kaspersky Trojan.Win32.Mediyes.ay 20120413
McAfee - 20120413
McAfee-GW-Edition - 20120413
Microsoft - 20120413
NOD32 - 20120413
Norman - 20120413
nProtect Trojan/W32.Rootkit.405504.B 20120413
Panda - 20120413
PCTools - 20120413
Rising - 20120413
Sophos - 20120413
SUPERAntiSpyware - 20120402
Symantec - 20120413
TheHacker - 20120412
TrendMicro - 20120413
TrendMicro-HouseCall - 20120413
VBA32 - 20120413

Sorry, keine Ahnung, wie man das hier besser reinstellt...
VIPRE - 20120413
ViRobot - 20120413
VirusBuster Trojan.Mediyes!Kf0eb6+QEBU 20120412

  • "Pfropferla" started this thread

등록일:
Mar 30th 2010

버전:
Avira Free Antivirus

운영 체제:
Windows7

  • Send private message

9

Friday, April 13th 2012, 5:38pm

Sorry, wer lesen kann, ist klar im Vorteil: hxxps://www.virustotal.com/file/ec336efee51740825794d2d895ec2e0f6fe28d51b19905267b9ee4cce09fd42a/analysis/13343312/

이 게시물은 1회 수정되었으며, 마지막으로 "Chess2008"(Apr 13th 2012, 6:13pm)이(가) 수정했습니다.


markusg

커뮤니티 회원

등록일:
Mar 12th 2006

  • Send private message

10

Friday, April 13th 2012, 5:39pm

sieht aber nach Mediyes aus.
da sind die erkennungen im allgemeinen sehr schwach, und die malware ist monate lang aktiev, gebessert hatte sich das erst mit den letzten 2 generic updates und vielen einsendungen von schaddateien aus verschiedensten foren threads
schaun wir uns das mal kurz an.

1. nimm keinerlei reinigung selbstständig vor, sonst ist das nur störend.
2. reiche alle evtl vorhandenen scan logs mit funden nach
auch fundorte benennen.
3.
Systemscan mit OTL
download otl:
http://oldtimer.geekstogo.com/OTL.exe

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt
da diese zu groß sind tu folgendes. start programme zubehör, wordpad, dort kopierst du beide rein und speicherst das neue dokument. diese dann hochladen:
www.file-upload.net
klicke auf durchsuchen, suche die datei, klicke einmal drauf, fenster schließt sich, klicke auf hochladen.
poste den download link.

  • "Pfropferla" started this thread

등록일:
Mar 30th 2010

버전:
Avira Free Antivirus

운영 체제:
Windows7

  • Send private message

11

Friday, April 13th 2012, 6:08pm

ok, hier otl

http://www.file-upload.net/download-4268959/Dokument.rtf.html

avira läuft immer noch, obwohl laut Anzeige bereits 100 % durchsucht sind?
edit: hier der log:


Avira Free Antivirus
Erstellungsdatum der Reportdatei: Freitag, 13. April 2012 17:00

Es wird nach 3620404 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 7 x64
Windowsversion : (Service Pack 1) [6.1.7601]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : KATJA-PC

Versionsinformationen:
BUILD.DAT : 12.0.0.898 41963 Bytes 31.01.2012 13:51:00
AVSCAN.EXE : 12.1.0.20 492496 Bytes 16.02.2012 07:45:02
AVSCAN.DLL : 12.1.0.18 65744 Bytes 16.02.2012 07:45:02
LUKE.DLL : 12.1.0.19 68304 Bytes 16.02.2012 07:45:03
AVSCPLR.DLL : 12.1.0.22 100048 Bytes 16.02.2012 07:45:03
AVREG.DLL : 12.1.0.36 229128 Bytes 06.04.2012 08:42:42
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 18:18:34
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 09:07:39
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 07:04:32
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 07:03:58
VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 06:02:55
VBASE005.VDF : 7.11.26.45 2048 Bytes 28.03.2012 06:02:55
VBASE006.VDF : 7.11.26.46 2048 Bytes 28.03.2012 06:02:56
VBASE007.VDF : 7.11.26.47 2048 Bytes 28.03.2012 06:02:56
VBASE008.VDF : 7.11.26.48 2048 Bytes 28.03.2012 06:02:56
VBASE009.VDF : 7.11.26.49 2048 Bytes 28.03.2012 06:02:56
VBASE010.VDF : 7.11.26.50 2048 Bytes 28.03.2012 06:02:56
VBASE011.VDF : 7.11.26.51 2048 Bytes 28.03.2012 06:02:57
VBASE012.VDF : 7.11.26.52 2048 Bytes 28.03.2012 06:02:57
VBASE013.VDF : 7.11.26.53 2048 Bytes 28.03.2012 06:02:57
VBASE014.VDF : 7.11.26.107 221696 Bytes 30.03.2012 05:39:37
VBASE015.VDF : 7.11.26.179 224768 Bytes 02.04.2012 05:51:01
VBASE016.VDF : 7.11.26.241 142336 Bytes 04.04.2012 05:50:41
VBASE017.VDF : 7.11.27.41 247808 Bytes 08.04.2012 07:05:21
VBASE018.VDF : 7.11.27.107 161280 Bytes 12.04.2012 09:03:15
VBASE019.VDF : 7.11.27.108 2048 Bytes 12.04.2012 09:03:15
VBASE020.VDF : 7.11.27.109 2048 Bytes 12.04.2012 09:03:15
VBASE021.VDF : 7.11.27.110 2048 Bytes 12.04.2012 09:03:15
VBASE022.VDF : 7.11.27.111 2048 Bytes 12.04.2012 09:03:15
VBASE023.VDF : 7.11.27.112 2048 Bytes 12.04.2012 09:03:15
VBASE024.VDF : 7.11.27.113 2048 Bytes 12.04.2012 09:03:15
VBASE025.VDF : 7.11.27.114 2048 Bytes 12.04.2012 09:03:16
VBASE026.VDF : 7.11.27.115 2048 Bytes 12.04.2012 09:03:16
VBASE027.VDF : 7.11.27.116 2048 Bytes 12.04.2012 09:03:16
VBASE028.VDF : 7.11.27.117 2048 Bytes 12.04.2012 09:03:16
VBASE029.VDF : 7.11.27.118 2048 Bytes 12.04.2012 09:03:16
VBASE030.VDF : 7.11.27.119 2048 Bytes 12.04.2012 09:03:16
VBASE031.VDF : 7.11.27.148 112640 Bytes 13.04.2012 15:00:25
Engineversion : 8.2.10.42
AEVDF.DLL : 8.1.2.2 106868 Bytes 25.10.2011 18:30:16
AESCRIPT.DLL : 8.1.4.16 446842 Bytes 05.04.2012 05:50:50
AESCN.DLL : 8.1.8.2 131444 Bytes 28.01.2012 07:18:58
AESBX.DLL : 8.2.5.5 606579 Bytes 12.03.2012 13:22:24
AERDL.DLL : 8.1.9.15 639348 Bytes 08.09.2011 21:16:06
AEPACK.DLL : 8.2.16.9 807287 Bytes 02.04.2012 05:39:41
AEOFFICE.DLL : 8.1.2.27 201082 Bytes 05.04.2012 05:50:50
AEHEUR.DLL : 8.1.4.15 4628855 Bytes 13.04.2012 06:00:56
AEHELP.DLL : 8.1.19.1 254327 Bytes 03.04.2012 05:51:02
AEGEN.DLL : 8.1.5.23 409973 Bytes 08.03.2012 14:17:35
AEEXP.DLL : 8.1.0.29 82293 Bytes 13.04.2012 06:00:56
AEEMU.DLL : 8.1.3.0 393589 Bytes 01.09.2011 21:46:01
AECORE.DLL : 8.1.25.6 201078 Bytes 16.03.2012 07:08:48
AEBB.DLL : 8.1.1.0 53618 Bytes 01.09.2011 21:46:01
AVWINLL.DLL : 12.1.0.17 27344 Bytes 11.10.2011 12:59:41
AVPREF.DLL : 12.1.0.17 51920 Bytes 11.10.2011 12:59:38
AVREP.DLL : 12.1.0.17 179408 Bytes 11.10.2011 12:59:38
AVARKT.DLL : 12.1.0.23 209360 Bytes 16.02.2012 07:44:58
AVEVTLOG.DLL : 12.1.0.17 169168 Bytes 11.10.2011 12:59:37
SQLITE3.DLL : 3.7.0.0 398288 Bytes 11.10.2011 12:59:51
AVSMTP.DLL : 12.1.0.17 62928 Bytes 11.10.2011 12:59:39
NETNT.DLL : 12.1.0.17 17104 Bytes 11.10.2011 12:59:47
RCIMAGE.DLL : 12.1.0.17 4447952 Bytes 11.10.2011 13:00:00
RCTEXT.DLL : 12.1.0.16 98512 Bytes 11.10.2011 13:00:00

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\program files (x86)\avira\antivir desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Freitag, 13. April 2012 17:00

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf nach versteckten Objekten wird begonnen.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '89' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '122' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '135' Modul(e) wurden durchsucht
Durchsuche Prozess 'daemonu.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamservice.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'sua.exe' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.bin' - '93' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.exe' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'BrMfimon.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'EgisUpdate.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'brccMCtl.exe' - '98' Modul(e) wurden durchsucht
Durchsuche Prozess 'taxaktuell.exe' - '94' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamgui.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'BrMfcWnd.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'pptd40nt.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'HotkeyUtility.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'PmmUpdate.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'psi_tray.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'SDWinSec.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'USBS3S4Detection.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'UpdaterService.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'PSIA.exe' - '76' Modul(e) wurden durchsucht
Durchsuche Prozess 'RichVideo.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'GregHSRW.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '42' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1296' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <Acer>
C:\Windows\SysWOW64\d3dyxkf6u.dll
[FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen
Beginne mit der Suche in 'D:\' <Data>

Beginne mit der Desinfektion:
C:\Windows\SysWOW64\d3dyxkf6u.dll
[FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen
[WARNUNG] Die Datei wurde ignoriert.


Ende des Suchlaufs: Freitag, 13. April 2012 18:08
Benötigte Zeit: 1:05:54 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

34618 Verzeichnisse wurden überprüft
736223 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
736222 Dateien ohne Befall
7743 Archive wurden durchsucht
1 Warnungen
64 Hinweise
664659 Objekte wurden beim Rootkitscan durchsucht
64 Versteckte Objekte wurden gefunden



und der echtzeitscanner meldet ständig den gleichen fund: c:\windows\sysWOW64\d3dyxkf6u.dll - trotz verschieben in Quarantäne immer wieder die gleiche Meldung!

markusg

커뮤니티 회원

등록일:
Mar 12th 2006

  • Send private message

12

Friday, April 13th 2012, 6:12pm

hi
bitte rechtsklick avira schirm, quard deaktivieren.

dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user.
wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts.


• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.



소스 코드

1
2
3
4
5
6
7
8
9
10
11
:OTL
SRV:[b]64bit:[/b] - (LanmanWorkstation) -- C:\Windows\SysNative\aptwvbgkc.dll (Works Ltd.)
SafeBootNet:[b]64bit:[/b] LanmanWorkstation - C:\Windows\SysNative\aptwvbgkc.dll (Works Ltd.)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000007 [] - C:\Windows\SysWOW64\d3dyxkf6u.dll ()
 :Files
C:\Windows\SysWOW64\d3dyxkf6u.dll
:Commands
[purity]
[EMPTYFLASH] 
[emptytemp]
[Reboot]




• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.

als nächstes, nutze lspfix:
http://download.chip.eu/de/LSPfix_1520894.html

rechtsklick avira schirm, guard deaktivieren.
öffne arbeitsplatz c: rechtsklick auf _moved files
mit winrar zip oder anderem archivierungsprogramm packen.
www.file-upload.net
dort hochladen, link an mich als private nachicht, guard einschalten.

  • "Pfropferla" started this thread

등록일:
Mar 30th 2010

버전:
Avira Free Antivirus

운영 체제:
Windows7

  • Send private message

13

Friday, April 13th 2012, 6:28pm

otl habe ich gemacht - neustart ist erfolgt. allerdings habe ich keine textdatei gefunden? und ich kann mit dem firefox jetzt keine webseiten mehr öffnen?

edit: hier die textdatei:

ll processes killed
========== OTL ==========
Error: Unable to stop service LanmanWorkstation!
Service\Driver key LanmanWorkstation not found.
File C:\Windows\SysNative\aptwvbgkc.dll not found.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\64bit: LanmanWorkstation\ not found.
File c:\windows\sysnative\aptwvbgkc.dll not found.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000007\ not found.
File C:\Windows\SysWOW64\d3dyxkf6u.dll not found.
========== COMMANDS ==========

[EMPTYFLASH]

User: All Users

User: Default
->Flash cache emptied: 0 bytes

User: Default User
->Flash cache emptied: 0 bytes

User: Dorothea
->Flash cache emptied: 0 bytes

User: Joachim
->Flash cache emptied: 0 bytes

User: Katja
->Flash cache emptied: 0 bytes

User: Public

User: UpdatusUser
->Flash cache emptied: 0 bytes

Total Flash Files Cleaned = 0,00 mb


[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Dorothea
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Joachim
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 175188845 bytes
->Flash cache emptied: 0 bytes

User: Katja
->Temp folder emptied: 4036803 bytes
->Temporary Internet Files folder emptied: 385612 bytes
->Java cache emptied: 4059719 bytes
->FireFox cache emptied: 64049788 bytes
->Flash cache emptied: 0 bytes

User: Public

User: UpdatusUser
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 0 bytes

%systemdrive% .tmp files removed: 14648 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 1072358 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 67832 bytes
%systemroot%\sysnative\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment folder emptied: 749 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 237,00 mb


OTL by OldTimer - Version 3.2.39.2 log created on 04132012_182005

Files\Folders moved on Reboot...
File\Folder C:\Users\Katja\AppData\Local\Temp\OICE_9477F495-84F3-461A-9B8F-5C1B560FC02D.0\3F30D59F. not found!
File\Folder C:\Users\Katja\AppData\Local\Temp\OICE_7265EEC8-54CE-43B5-A2CF-419C595CE154.0\1C8EB58A. not found!
File\Folder C:\Users\Katja\AppData\Local\Temp\OICE_62962938-69A7-4746-9CEC-15E476C5FF16.0\1BC342F3. not found!
File move failed. C:\Users\Katja\AppData\Local\Temp\FXSAPIDebugLogFile.txt scheduled to be moved on reboot.
C:\Users\Katja\AppData\Local\Mozilla\Firefox\Profiles\jc5slqyx.default\startupCache\startupCache.4.little moved successfully.
C:\Users\Katja\AppData\Local\Mozilla\Firefox\Profiles\jc5slqyx.default\Cache\_CACHE_001_ moved successfully.

Registry entries deleted on Reboot...

markusg

커뮤니티 회원

등록일:
Mar 12th 2006

  • Send private message

14

Friday, April 13th 2012, 6:33pm

deswegen jetzt lsp fix auf dem pc ausführen, evtl. per stick rüber kopieren,
spätestens nach neustart geht das inet wieder, und du kannst den upload machen und die datei als private nachicht an mich senden

  • "Pfropferla" started this thread

등록일:
Mar 30th 2010

버전:
Avira Free Antivirus

운영 체제:
Windows7

  • Send private message

15

Friday, April 13th 2012, 6:35pm

hab ich gemacht, bin gerade mit ie im inet - pn erfolgt!

malwarebytes meldet erneut ip-blockierung... ;(

markusg

커뮤니티 회원

등록일:
Mar 12th 2006

  • Send private message

16

Friday, April 13th 2012, 6:38pm

immer mit der ruhe
danke für den upload
[indent]Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
[color="Red"]Es sollte nie auf eigene Initiative hin ausgeführt werden![/color] Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.[/indent]

Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2


WICHTIG - Speichere Combofix auf deinem Desktop
  • Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.


Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

인용

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

  • "Pfropferla" started this thread

등록일:
Mar 30th 2010

버전:
Avira Free Antivirus

운영 체제:
Windows7

  • Send private message

17

Friday, April 13th 2012, 7:27pm

So, Combofix ist gelaufen - aber jetzt scheint es ein größeres Problem zu geben: nach Neustart und Anmeldung öffnet und schließt sich das Combofix-Fenster ständig und in sehr hoher Geschwindigkeit - man kann eigentlich nichts machen, ein Anklicken eines anderen Icons ist quasi unmöglich!!!

Sitze gerade an einem anderen Laptop... Und nun??? ?(

markusg

커뮤니티 회원

등록일:
Mar 12th 2006

  • Send private message

18

Friday, April 13th 2012, 7:34pm

starte das gerät mal neu, drücke f8, wähle abgesicherter modus mit netzwerk, versuche dich dort erst in deinem konto anzumelden, wenn das nicht klappt, versuche es dort im admin konto.
dann starte wieder in den normalen modus, falls combofix im abgesicherten modus läuft, natürlich abwarten bis es fertig ist, und poste dann, im normalen modus, das log

  • "Pfropferla" started this thread

등록일:
Mar 30th 2010

버전:
Avira Free Antivirus

운영 체제:
Windows7

  • Send private message

19

Friday, April 13th 2012, 8:00pm

Also - ich kann mich anmelden, muss also nicht ins Admin-Konto. Aber wenn ich dann Combofix starten will, kommt ein Warnhinweis: Real-Time-Scanner Avira Desktop antivirus und antispyware wären noch aktiv - Echtzeitscanner ist aber aus? Oder muss ich noch was anderes ausschalten - und wenn ja, wie im abgesicherten Modus?

markusg

커뮤니티 회원

등록일:
Mar 12th 2006

  • Send private message

20

Friday, April 13th 2012, 8:13pm

nichts mehr, combofix ist da manchmal über empfindlich, kannst du aber jetzt mal versuchen, wieder in den normalen modus zu gehen.
falls dort das combofix fenster nicht mehr hin und her springt, poste mal das bereits erstellte combofix.txt log