Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Trojaner lassen sich nicht löschen, u.a. TR/ATRAPS.Gen, TR/Crypt.Xpack.Gen

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 17.01.2009, 19:46   #1
Stampfi
 
Trojaner lassen sich nicht löschen, u.a. TR/ATRAPS.Gen, TR/Crypt.Xpack.Gen - Icon21

Trojaner lassen sich nicht löschen, u.a. TR/ATRAPS.Gen, TR/Crypt.Xpack.Gen



Heyho,
ich hab seit 1 - 2 Tagen fiese Trojaner und möchte jetzt gerne mal wissen, wie ich sie loswerde, am liebsten wäre mir natürlich eine Antwort, die nicht "rebooten, alles löschen" heißt!
Hab gelesen, dass die Passwörter ausspionieren und speichern, hab also gleich jemanden angerufen, der sich bei meinem Mail Account eingeloggt hat um das Passwort zu ändern, ist glaube ich das wichtigste und hab mich seit dem nicht mal mehr getraut auf irgendeine Seite zu gehen, wo ich Passwörter habe... u.u

Was ist passiert:
- Internet wird sehr lahm, Google leitet nicht vernünftig zu Internetseiten
- PC startet von alleine immer wieder neu (war nach Systemwiederherstellung aber wieder okay)
- Trojanderwarnung bei AntiVir Prüfung kommt doppelt und die Trojaner lassen sich nicht löschen, erscheint bei der nächsten Prüfung gleich wieder

Könnte liegen an:
Hab gerade vor ein paar Tagen sehr viele Files von Rapidshare heruntergeladen, da war bestimmt in einer was dabei

Welche Trojander:
TR/Patched.DY.1
TR/ATRAPS.Gen
TR/Crypt.XPack.Gen (dieser ist häufig in völlig unterschliedlichen temporären dll Datein im Windows Ordner)
TR/Rootkit.Gen (war jetzt beim letzten mal scannen nicht mehr da)
TR/Fakealert.auf.2 (was das soll, weiß ich auch nicht)

und das sind nur die, ich ich jetzt so HEUTE gefunden habe, ich hab aber so das Gefühl, dass es mehr werden oder dass es immer verschiedene sind (hab allein heute 3 mal AntiVir Prüfung gemacht und teilweise war einer da, dann wieder nicht) und dass sie an verschiedenen Orten auftauchen (wie dieser Crypt.Xpack.Gen)

Hab mich durch diverse Foren gewurstelt, aber nicht wirklich was gefunden, was nicht "Reboot" als Endlösung hatte.

Was ich gemacht habe:
- Systemwiederherstellung
- alle temporären Datein gelöscht
- AntiVir im abgesichterten Modus laufen lassen (hat da komischerweise gar nichts gefunden)
- Alle kürzlich runtergeladenen Files gelöscht (halt die von rapidsahre...<.<)


Und hier die Logfile von HiJackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:03:58, on 17.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\vsnpstd3.exe
C:\Programme\Adobe\Photoshop Elements 6.0\apdproxy.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\ATKKBService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Pen_Tablet.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\WTablet\Pen_TabletUser.exe
C:\WINDOWS\system32\Pen_Tablet.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\user\Eigene Dateien\irgendwelche Programme\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ASUSGamerOSD] C:\Program Files\ASUS\GamerOSD\GamerOSD.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Elements 6.0\apdproxy.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: HP Intelligente Auswahl - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Active File Monitor V6 (AdobeActiveFileMonitor6.0) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: TabletServicePen - Wacom Technology, Corp. - C:\WINDOWS\system32\Pen_Tablet.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe

--
End of file - 7182 bytes


Tja und hier nun noch die Logfile von AntiVir, der letzte Stand:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Samstag, 17. Januar 2009 19:09

Es wird nach 1220145 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 3) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: *******

Versionsinformationen:
BUILD.DAT : 8.2.0.337 16934 Bytes 18.11.2008 13:01:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 25.11.2008 15:28:21
AVSCAN.DLL : 8.1.4.0 48897 Bytes 18.07.2008 21:42:39
LUKE.DLL : 8.1.4.5 164097 Bytes 18.07.2008 21:42:39
LUKERES.DLL : 8.1.4.0 12545 Bytes 18.07.2008 21:42:40
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 16:49:55
ANTIVIR1.VDF : 7.1.1.113 2817536 Bytes 14.01.2009 19:28:43
ANTIVIR2.VDF : 7.1.1.114 2048 Bytes 14.01.2009 19:28:44
ANTIVIR3.VDF : 7.1.1.134 244736 Bytes 16.01.2009 19:30:22
Engineversion : 8.2.0.57
AEVDF.DLL : 8.1.0.6 102772 Bytes 16.10.2008 20:52:22
AESCRIPT.DLL : 8.1.1.26 340347 Bytes 16.01.2009 19:30:35
AESCN.DLL : 8.1.1.5 123251 Bytes 08.11.2008 13:16:20
AERDL.DLL : 8.1.1.3 438645 Bytes 05.11.2008 13:15:11
AEPACK.DLL : 8.1.3.5 393588 Bytes 09.01.2009 18:49:25
AEOFFICE.DLL : 8.1.0.33 196987 Bytes 14.12.2008 15:34:13
AEHEUR.DLL : 8.1.0.84 1540471 Bytes 16.01.2009 19:30:33
AEHELP.DLL : 8.1.2.0 119159 Bytes 19.11.2008 13:14:33
AEGEN.DLL : 8.1.1.10 323957 Bytes 16.01.2009 19:30:23
AEEMU.DLL : 8.1.0.9 393588 Bytes 16.10.2008 20:52:16
AECORE.DLL : 8.1.5.2 172405 Bytes 28.11.2008 15:26:55
AEBB.DLL : 8.1.0.3 53618 Bytes 16.10.2008 20:52:15
AVWINLL.DLL : 1.0.0.12 15105 Bytes 18.07.2008 21:42:39
AVPREF.DLL : 8.0.2.0 38657 Bytes 18.07.2008 21:42:39
AVREP.DLL : 8.0.0.2 98344 Bytes 31.07.2008 13:45:00
AVREG.DLL : 8.0.0.1 33537 Bytes 18.07.2008 21:42:39
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 18.07.2008 21:42:39
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 18.07.2008 21:42:40
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 18.07.2008 21:42:38
RCTEXT.DLL : 8.0.52.0 86273 Bytes 18.07.2008 21:42:38

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Samstag, 17. Januar 2009 19:09

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'notepad.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Pen_Tablet.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Pen_TabletUser.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ULCDRSvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Pen_Tablet.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'StarWindServiceAE.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ATKKBService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PhotoshopElementsFileAgent.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CCC.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'apdproxy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vsnpstd3.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MOM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '45' Prozesse mit '45' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '57' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temp\tmp1.tmp
[FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen
[WARNUNG] Die Datei konnte nicht gelöscht werden!
[HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK lib durchzuführen.
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temp\tmp2.tmp
[FUND] Ist das Trojanische Pferd TR/Patched.DY.1
[WARNUNG] Die Datei konnte nicht gelöscht werden!
[HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK lib durchzuführen.
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{17CC74A1-4C7A-437B-ADE7-B49590CB8FB4}\RP154\A0053640.dll
[FUND] Ist das Trojanische Pferd TR/Fakealert.auf.2
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{17CC74A1-4C7A-437B-ADE7-B49590CB8FB4}\RP154\A0053641.dll
[FUND] Ist das Trojanische Pferd TR/Fakealert.auf.2
[HINWEIS] Die Datei wurde gelöscht.
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\Temp\tempo-BB3.tmp
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde gelöscht.


Ende des Suchlaufs: Samstag, 17. Januar 2009 19:59
Benötigte Zeit: 49:50 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

11901 Verzeichnisse wurden überprüft
496006 Dateien wurden geprüft
5 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
5 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
495999 Dateien ohne Befall
2492 Archive wurden durchsucht
4 Warnungen
5 Hinweise

Ich bin wirklich dankbar für jede Hilfe!

Alt 17.01.2009, 19:54   #2
john.doe
 
Trojaner lassen sich nicht löschen, u.a. TR/ATRAPS.Gen, TR/Crypt.Xpack.Gen - Standard

Trojaner lassen sich nicht löschen, u.a. TR/ATRAPS.Gen, TR/Crypt.Xpack.Gen



Hallo und

Solltest du externe Datenträger, wie USB-Sticks, externe Festplatten, Memorycards, ... haben, so hänge sie bei dem Scan mit an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas
__________________


Alt 17.01.2009, 20:22   #3
Stampfi
 
Trojaner lassen sich nicht löschen, u.a. TR/ATRAPS.Gen, TR/Crypt.Xpack.Gen - Standard

Trojaner lassen sich nicht löschen, u.a. TR/ATRAPS.Gen, TR/Crypt.Xpack.Gen



Okay habs laufen lassen und er hat sogar was entdeckt. Hatte mir nämlich auch vorher mal aufgeschrieben, wo diese Trojaner drinstecken, die Datein fangen immer mit "goapdxl" an und haben danach dann wirre Buchstabenkombinationen.


ComboFix 09-01-17.02 - user 2009-01-17 21:14:02.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.3327.2929 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\user\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Outdated)
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Autorun.inf
C:\resycled
c:\resycled\boot.com
c:\windows\system32\drivers\gaopdxlqjbimov.sys
c:\windows\system32\gaopdxlhpdkpas.dll
c:\windows\Temp\tmp3.tmp

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_gaopdxserv.sys


((((((((((((((((((((((( Dateien erstellt von 2008-12-17 bis 2009-01-17 ))))))))))))))))))))))))))))))
.

2009-01-17 15:35 . 2009-01-17 15:35 73,216 --a------ c:\windows\system32\drivers\gaopdxhtivkosp.sys
2009-01-14 01:09 . 2009-01-14 01:09 <DIR> d-------- c:\programme\portalgraphics
2009-01-12 16:17 . 2009-01-16 03:53 <DIR> d-------- c:\programme\COMPUTERBILD-SPIELE(2)
2009-01-06 19:20 . 2009-01-06 19:20 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Fugazo
2009-01-05 22:34 . 2009-01-05 22:34 <DIR> d-------- c:\dokumente und einstellungen\user\Anwendungsdaten\PlayFirst
2009-01-05 22:34 . 2009-01-05 22:34 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\PlayFirst
2009-01-05 21:55 . 2009-01-05 21:55 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\FLEXnet
2009-01-05 21:50 . 2009-01-05 21:50 <DIR> d-------- c:\dokumente und einstellungen\user\Anwendungsdaten\Ambient Design
2009-01-05 21:44 . 2009-01-05 21:45 <DIR> d-------- c:\dokumente und einstellungen\user\Anwendungsdaten\Bamboo Scribe
2009-01-05 21:34 . 2009-01-05 21:34 <DIR> d-------- c:\programme\Gemeinsame Dateien\Macrovision Shared
2009-01-05 21:31 . 2009-01-05 21:31 118,520 --------- c:\windows\system32\pxinsi64.exe
2009-01-05 21:31 . 2009-01-05 21:31 116,472 --------- c:\windows\system32\pxcpyi64.exe
2009-01-05 21:29 . 2009-01-05 21:29 <DIR> d-------- c:\programme\Ambient Design
2009-01-05 21:26 . 2009-01-05 21:26 <DIR> d-------- c:\programme\Gemeinsame Dateien\Adobe AIR
2009-01-05 21:26 . 2009-01-05 21:27 <DIR> d-------- c:\programme\Bamboo Scribe 2.6
2009-01-05 21:25 . 2008-06-04 19:14 319 --a------ c:\windows\system32\pentabletdefaults.xml
2009-01-05 21:24 . 2009-01-05 21:25 <DIR> d-------- c:\programme\PenLauncher
2009-01-05 21:20 . 2009-01-17 21:11 <DIR> d-------- c:\dokumente und einstellungen\user\Anwendungsdaten\WTablet
2009-01-05 21:20 . 2008-05-01 23:31 3,708,200 --------- c:\windows\system32\PenTablet.cpl
2009-01-05 21:20 . 2008-04-14 23:59 1,532,082 --------- c:\windows\system32\PenTablet.znc
2009-01-05 21:20 . 2007-02-16 01:11 11,440 --a------ c:\windows\system32\drivers\WacomVKHid.sys
2009-01-05 21:19 . 2009-01-05 21:19 <DIR> d-------- c:\windows\system32\WTablet
2009-01-05 21:19 . 2009-01-05 21:20 <DIR> d-------- c:\programme\Tablet
2009-01-05 21:19 . 2008-05-01 23:40 3,032,360 --------- c:\windows\system32\Pen_Tablet.exe
2009-01-05 21:19 . 2008-05-01 23:23 181,544 --------- c:\windows\system32\Wintab32.dll
2009-01-05 21:19 . 2008-05-01 23:33 128,296 --------- c:\windows\system32\Pen_Tablet.dll
2009-01-05 21:19 . 2008-03-17 21:14 15,144 --a------ c:\windows\system32\drivers\wacmoumonitor.sys
2009-01-05 21:19 . 2008-01-15 21:11 13,480 --a------ c:\windows\system32\drivers\wacomvhid.sys
2009-01-05 21:19 . 2007-02-16 20:12 11,312 --a------ c:\windows\system32\drivers\wacommousefilter.sys
2009-01-05 21:15 . 2001-08-18 04:22 12,288 --a------ c:\windows\system32\drivers\mouhid.sys
2009-01-05 21:15 . 2001-08-18 04:22 12,288 --a--c--- c:\windows\system32\dllcache\mouhid.sys
2008-12-26 23:06 . 2008-12-26 23:06 <DIR> d-------- c:\programme\Software2000
2008-12-17 22:14 . 2008-12-17 22:14 536 --a------ c:\windows\eReg.dat

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-17 20:04 196,608 ----a-w c:\windows\system32\drivers\nStandard.bin
2009-01-17 19:39 --------- d-----w c:\dokumente und einstellungen\user\Anwendungsdaten\OpenOffice.org2
2009-01-17 19:14 --------- d-----w c:\dokumente und einstellungen\user\Anwendungsdaten\dvdcss
2009-01-17 14:36 459 ----a-w c:\programme\Verknüpfung mit Eigene Dateien.lnk
2009-01-16 02:56 --------- d--h--w c:\programme\InstallShield Installation Information
2009-01-16 02:19 --------- d-----w c:\dokumente und einstellungen\user\Anwendungsdaten\Skype
2009-01-15 19:01 --------- d-----w c:\dokumente und einstellungen\user\Anwendungsdaten\skypePM
2009-01-15 18:48 --------- d-----w c:\dokumente und einstellungen\user\Anwendungsdaten\Microsoft Games
2009-01-05 20:34 --------- d-----w c:\programme\Gemeinsame Dateien\Adobe
2008-12-17 16:07 --------- d-----w c:\dokumente und einstellungen\user\Anwendungsdaten\FileZilla
2008-12-15 16:46 --------- d-----w c:\programme\FileZilla FTP Client
2008-12-11 10:57 333,952 ----a-w c:\windows\system32\drivers\srv.sys
2008-12-09 10:24 410,984 ----a-w c:\windows\system32\deploytk.dll
2008-12-09 10:24 --------- d-----w c:\programme\Java
2008-11-25 20:27 --------- d-----w c:\dokumente und einstellungen\user\Anwendungsdaten\HPAppData
2008-11-25 19:31 --------- d-----w c:\dokumente und einstellungen\user\Anwendungsdaten\Megaupload
2008-11-20 12:09 --------- d-----w c:\programme\Apple Software Update
2008-11-20 12:08 --------- d-----w c:\programme\iTunes
2008-11-20 12:08 --------- d-----w c:\programme\iPod
2008-11-20 12:08 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-11-20 12:08 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
2008-11-20 12:07 --------- d-----w c:\programme\QuickTime
2008-11-20 12:07 --------- d-----w c:\programme\Gemeinsame Dateien\Apple
2008-11-20 12:07 --------- d-----w c:\programme\Bonjour
2008-11-20 12:04 --------- d-----w c:\programme\Safari
2008-10-23 12:36 286,720 ----a-w c:\windows\system32\gdi32.dll
1999-06-30 13:06 151,552 ----a-r c:\windows\inf\Agfa\Message.exe
1999-07-07 00:00 6 --sh--r c:\windows\@@desktop.dat
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"AlcoholAutomount"="c:\programme\Alcohol Soft\Alcohol 120\axcmd.exe" [2008-03-20 217544]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 61440]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 266497]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-12-09 136600]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2008-09-06 413696]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2008-10-01 289576]
"snpstd3"="c:\windows\vsnpstd3.exe" [2006-09-19 827392]
"Adobe Photo Downloader"="c:\programme\Adobe\Photoshop Elements 6.0\apdproxy.exe" [2007-09-11 67488]
"RTHDCPL"="RTHDCPL.EXE" [2007-09-19 c:\windows\RTHDCPL.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\user\Startmen\Programme\Autostart\
Adobe Gamma.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 113664]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.dvacm"= c:\progra~1\GEMEIN~1\ULEADS~1\Vio\Dvacm.acm
"msacm.MPEGacm"= c:\progra~1\GEMEIN~1\ULEADS~1\MPEG\MPEGacm.acm
"msacm.ulmp3acm"= c:\progra~1\GEMEIN~1\ULEADS~1\MPEG\ulmp3acm.acm

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^ASRock WiFi-802.11g.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\ASRock WiFi-802.11g.lnk
backup=c:\windows\pss\ASRock WiFi-802.11g.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^ASRock WiFi-802.11n Utility.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\ASRock WiFi-802.11n Utility.lnk
backup=c:\windows\pss\ASRock WiFi-802.11n Utility.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HP Digital Imaging Monitor.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\HP Digital Imaging Monitor.lnk
backup=c:\windows\pss\HP Digital Imaging Monitor.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Agent]
--------- 2002-11-21 18:10 69632 c:\programme\TV\PowerCinema\My_TV\Agent.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
--a------ 2007-10-14 20:17 49152 c:\programme\HP\HP Software Update\hpwuSchd2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\hpqSRMon]
--a------ 2007-08-22 15:31 80896 c:\programme\HP\Digital Imaging\bin\HpqSRmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ]
--a------ 2008-09-01 16:08 173304 c:\programme\ICQ\ICQ6\ICQ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2008-10-01 18:57 289576 c:\programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
-ra------ 2008-04-23 16:45 22058792 c:\programme\Skype\Phone\Skype.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 2008-07-30 23:06 185896 c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UVS10 Preload]
--------- 2006-03-06 23:52 36864 c:\programme\Ulead VideoStudio 10\uvPL.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Veoh]
--a------ 2008-08-28 09:18 3660848 c:\programme\Veoh Networks\Veoh\VeohClient.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\ICQ\\ICQ6\\ICQ.exe"=
"c:\\games\\Neverwinter Nights 2\\nwn2main.exe"=
"c:\\games\\Neverwinter Nights 2\\nwn2main_amdxp.exe"=
"c:\\games\\Neverwinter Nights 2\\nwupdate.exe"=
"c:\\games\\Neverwinter Nights 2\\nwn2server.exe"=
"c:\\totalcmd\\TOTALCMD.EXE"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\Veoh Networks\\Veoh\\VeohClient.exe"=
"c:\\games\\Rise of Nations\\thrones.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R3 PhTVTune;MEDION TV-TUNER 7134 MK2/3;c:\windows\system32\drivers\PhTVTune.sys [2008-06-06 24288]
R3 wacmoumonitor;Wacom Mode Helper;c:\windows\system32\drivers\wacmoumonitor.sys [2009-01-05 15144]
R4 AdobeActiveFileMonitor6.0;Adobe Active File Monitor V6;c:\programme\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe [2007-09-11 124832]
R4 TabletServicePen;TabletServicePen;c:\windows\system32\Pen_Tablet.exe [2009-01-05 3032360]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\programme\MAGIX\Common\Database\bin\fbserver.exe [2008-11-08 1527900]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\C]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL resycled\boot.com c:
\Shell\Open\command - c:\resycled\boot.com c:

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5e109488-a5bc-11dd-95b9-0019665c26a0}]
\Shell\AutoRun\command - E:\autorun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bcc2232b-30a3-11dd-8f5f-806d6172696f}]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL resycled\boot.com c:
\Shell\Open\command - c:\resycled\boot.com c:
.
Inhalt des "geplante Tasks" Ordners

2009-01-15 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-ASUSGamerOSD - c:\program files\ASUS\GamerOSD\GamerOSD.exe
MSConfigStartUp-WinampAgent - c:\programme\Winamp\winampa.exe


.
------- Zusätzlicher Suchlauf -------
.
uInternet Settings,ProxyOverride = *.local
FF - ProfilePath - c:\dokumente und einstellungen\user\Anwendungsdaten\Mozilla\Firefox\Profiles\jnjd57cd.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de
FF - plugin: c:\programme\Veoh Networks\Veoh\Plugins\noreg\NPVeohVersion.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-17 21:15:53
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- LOCKED REGISTRY KEYS ---------------------

[HKEY_USERS\S-1-5-21-329068152-1284227242-725345543-1004\Software\SecuROM\License information*]
"datasecu"=hex:d0,09,29,1a,9e,df,b2,aa,8b,5f,2e,b8,a8,f4,e1,cd,8f,3e,e0,8a,b1,
da,0b,55,7e,ad,9f,7b,6a,df,25,fc,b6,32,1d,b9,2b,89,33,7b,c8,e4,c9,cf,a8,21,\
"rkeysecu"=hex:a1,df,d7,43,b3,34,6e,fa,5b,1b,5e,81,07,99,a4,ac
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(788)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2009-01-17 21:17:41
ComboFix-quarantined-files.txt 2009-01-17 20:17:06

Vor Suchlauf: 15 Verzeichnis(se), 364,786,851,840 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 364,899,889,152 Bytes frei

213 --- E O F --- 2009-01-17 02:01:43
__________________

Alt 17.01.2009, 20:29   #4
john.doe
 
Trojaner lassen sich nicht löschen, u.a. TR/ATRAPS.Gen, TR/Crypt.Xpack.Gen - Standard

Trojaner lassen sich nicht löschen, u.a. TR/ATRAPS.Gen, TR/Crypt.Xpack.Gen



Was ist das Laufwerk E:? Du solltest doch alles anstecken.

ciao, andreas

Alt 17.01.2009, 20:34   #5
Stampfi
 
Trojaner lassen sich nicht löschen, u.a. TR/ATRAPS.Gen, TR/Crypt.Xpack.Gen - Standard

Trojaner lassen sich nicht löschen, u.a. TR/ATRAPS.Gen, TR/Crypt.Xpack.Gen



Das ist nur ein virtuelles Laufwerk, von Alcohol 120%


Alt 17.01.2009, 20:36   #6
john.doe
 
Trojaner lassen sich nicht löschen, u.a. TR/ATRAPS.Gen, TR/Crypt.Xpack.Gen - Standard

Trojaner lassen sich nicht löschen, u.a. TR/ATRAPS.Gen, TR/Crypt.Xpack.Gen



Seit wann kommen die Meldungen?

Alt 17.01.2009, 20:44   #7
Stampfi
 
Trojaner lassen sich nicht löschen, u.a. TR/ATRAPS.Gen, TR/Crypt.Xpack.Gen - Standard

Trojaner lassen sich nicht löschen, u.a. TR/ATRAPS.Gen, TR/Crypt.Xpack.Gen



Also die von Antivir sind seit vorgestern Abend/nacht da, bzw. vorgestern abend ist der PC richtig stehen geblieben, danach ist das System nicht runtergefahren und dann war eben dieses Problem, dass der PC sich ständig neu gestartet hat. Dann im abgesicherten Modus gestartet, das ging, hat aber nicht die Systemwiederherstellung machen wollen (button hat nicht reagiert). Hab mit "letzter als funktionierend" Konfiguration im boot menü gestartet. Systemwiederherstellung gemacht, hat aufgehört neu zu starten, bin schlafen gegangen. Gestern und heute dann die ganze Zeit nach Viren gescannt.

Alt 17.01.2009, 20:51   #8
john.doe
 
Trojaner lassen sich nicht löschen, u.a. TR/ATRAPS.Gen, TR/Crypt.Xpack.Gen - Standard

Trojaner lassen sich nicht löschen, u.a. TR/ATRAPS.Gen, TR/Crypt.Xpack.Gen



Lasse noch folgende Programme laufen und poste die Logs (ausser beim CCleaner):
http://www.trojaner-board.de/51464-a...-ccleaner.html
http://www.trojaner-board.de/51187-a...i-malware.html
http://www.trojaner-board.de/51871-a...tispyware.html

Reinige mit dem CCleaner auch die Registry und zwar so lange, bis keine Fehler mehr gefunden werden. Poste zum Abschluss ein neues HJT-Log.

ciao, andreas

Alt 17.01.2009, 22:26   #9
Stampfi
 
Trojaner lassen sich nicht löschen, u.a. TR/ATRAPS.Gen, TR/Crypt.Xpack.Gen - Standard

Trojaner lassen sich nicht löschen, u.a. TR/ATRAPS.Gen, TR/Crypt.Xpack.Gen



okidoki, CCleaner laufen lassen, alles gelöscht, auch register und hier jetzt schon mal der antimalware log:

Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1663
Windows 5.1.2600 Service Pack 3

17.01.2009 23:23:53
mbam-log-2009-01-17 (23-23-53).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 183649
Laufzeit: 57 minute(s), 8 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Qoobox\Quarantine\C\WINDOWS\system32\gaopdxlhpdkpas.dll.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{17CC74A1-4C7A-437B-ADE7-B49590CB8FB4}\RP152\A0052287.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{17CC74A1-4C7A-437B-ADE7-B49590CB8FB4}\RP155\A0053645.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Alt 17.01.2009, 23:02   #10
Stampfi
 
Trojaner lassen sich nicht löschen, u.a. TR/ATRAPS.Gen, TR/Crypt.Xpack.Gen - Standard

Trojaner lassen sich nicht löschen, u.a. TR/ATRAPS.Gen, TR/Crypt.Xpack.Gen



SUPERAntiSpyware Scann-Protokoll
http://www.superantispyware.com

Generiert 01/18/2009 bei 00:00 AM

Version der Applikation : 4.24.1004

Version der Kern-Datenbank : 3714
Version der Spur-Datenbank : 1689

Scan Art : kompletter Scann
Totale Scann-Zeit : 00:21:16

Gescannte Speicherelemente : 500
Erfasste Speicher-Bedrohungen : 0
Gescannte Register-Elemente : 4988
Erfasste Register-Bedrohungen : 0
Gescannte Datei-Elemente : 24923
Erfasste Datei-Elemente : 0


Nichts gefunden, find ich gut ^^

Alt 17.01.2009, 23:07   #11
Stampfi
 
Trojaner lassen sich nicht löschen, u.a. TR/ATRAPS.Gen, TR/Crypt.Xpack.Gen - Standard

Trojaner lassen sich nicht löschen, u.a. TR/ATRAPS.Gen, TR/Crypt.Xpack.Gen



Hab nochma CCleaner laufen lassen, register gelöscht und hier zum krönendem Abschluss die Hijack log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:04:19, on 18.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\WINDOWS\vsnpstd3.exe
C:\Programme\Adobe\Photoshop Elements 6.0\apdproxy.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\ATKKBService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Pen_Tablet.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\WTablet\Pen_TabletUser.exe
C:\WINDOWS\system32\Pen_Tablet.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Dokumente und Einstellungen\user\Eigene Dateien\irgendwelche Programme\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Elements 6.0\apdproxy.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: HP Intelligente Auswahl - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Active File Monitor V6 (AdobeActiveFileMonitor6.0) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: TabletServicePen - Wacom Technology, Corp. - C:\WINDOWS\system32\Pen_Tablet.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe

--
End of file - 6696 bytes

Alt 17.01.2009, 23:19   #12
Stampfi
 
Trojaner lassen sich nicht löschen, u.a. TR/ATRAPS.Gen, TR/Crypt.Xpack.Gen - Standard

Trojaner lassen sich nicht löschen, u.a. TR/ATRAPS.Gen, TR/Crypt.Xpack.Gen



Also wie's aussieht ist jetzt erstmal alles klar, Internet und Google laufen geschmeidig wie eh und je, das einzige Problem ist jetzt die DVD bzw. CD Laufwerk Sperre von Combofix.exe, reicht es, wenn ich das Prog einfach wieder lösche oder muss ich was bestimmtes machen?

Alt 18.01.2009, 00:40   #13
Stampfi
 
Trojaner lassen sich nicht löschen, u.a. TR/ATRAPS.Gen, TR/Crypt.Xpack.Gen - Standard

Trojaner lassen sich nicht löschen, u.a. TR/ATRAPS.Gen, TR/Crypt.Xpack.Gen



Okay, hat sich erledigt, habs selbst rausgefunden... falls jemand auch das Problem hatte und das hier liesst:

Ausführen - regedit

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E965-E325-11CE-BFC1-08002BE10318}

Lowerfilter und UpperFilter löschen. Neustarten - feddisch!

Also, ich weiß ja nicht, ob jetzt noch was böses in den Logfiles zu finden ist, augenscheinlich ist alles wieder okay, keine Trojaner mehr gefunden, darum sag ich jetzt schonmal:
Vielen lieben Thank, dieses Forum hat mir praktisch das Leben gerettet! *fetten sabberigen Omaknutsch*

Alt 18.01.2009, 09:47   #14
john.doe
 
Trojaner lassen sich nicht löschen, u.a. TR/ATRAPS.Gen, TR/Crypt.Xpack.Gen - Standard

Trojaner lassen sich nicht löschen, u.a. TR/ATRAPS.Gen, TR/Crypt.Xpack.Gen



1.) Start => Ausführen => combofix /u (aufs Leerzeichen achten) => OK
2.) Systemwiederherstellung abschalten => Neustart => Systemwiederherstellung einschalten => Neuen Wiederherstellungspunkt setzen.

Ansonsten ist nichts zu erkennen. Autostart würde ich deaktiviert lassen. Die Autorun-Schädlinge kommen in letzter Zeit immer häufiger vor.

ciao, andreas

Alt 18.01.2009, 15:30   #15
Stampfi
 
Trojaner lassen sich nicht löschen, u.a. TR/ATRAPS.Gen, TR/Crypt.Xpack.Gen - Standard

Trojaner lassen sich nicht löschen, u.a. TR/ATRAPS.Gen, TR/Crypt.Xpack.Gen



Heyho,
ich schon wieder, gestern Abend lief mein Internet noch feinifein, heute isses wieder ganz schön lahm, auf diversen Combofix Hilfe Seiten steht, dass es zu Internetproblemen kommen kann, und man einfach auf die entsprechende Verbindung und dann auf "Reparieren" klicken soll, hat bei mir aber nicht geklappt, in der Fehlermeldung steht "Die Verbindung konnte nicht repariert werden. Wiederholen Sie den Verbindungsversuch. Wenden Sie sich an die Person, die das Netzwerk verwaltet, wenn das Problem weiterhin besteht." Combofix hab ich aber schon gelöscht, auch den Ordner "Quoblabla" oderso <.<

Antwort

Themen zu Trojaner lassen sich nicht löschen, u.a. TR/ATRAPS.Gen, TR/Crypt.Xpack.Gen
antivir, antivirus, ausspionieren, avira, bho, bonjour, computer, downloader, fiese, firefox, google, hijack, hijackthis, hkus\s-1-5-18, immer wieder, internet, internet explorer, logfile, magix, mozilla, notepad.exe, nt.dll, plug-in, prozesse, registry, scan, server, software, suchlauf, tr/crypt.xpack.ge, tr/crypt.xpack.gen, trojaner, uleadburninghelper, verweise, virus gefunden, windows, windows xp, windows\temp, ändern



Ähnliche Themen: Trojaner lassen sich nicht löschen, u.a. TR/ATRAPS.Gen, TR/Crypt.Xpack.Gen


  1. Trojaner lassen sich trotz Malwarebytes nicht löschen, was soll ich tun ?
    Plagegeister aller Art und deren Bekämpfung - 20.10.2012 (22)
  2. TR/ATRAPS.GEN - TR/ATRAPS.Gen2 lassen sich nicht entfernen.
    Plagegeister aller Art und deren Bekämpfung - 27.09.2012 (31)
  3. Trojaner TR/ATRAPS.Gen2 und TR/Sirefef.16896 lassen sich nicht entfernen
    Plagegeister aller Art und deren Bekämpfung - 20.08.2012 (5)
  4. Trojaner lassen sich mit Malwarebytes nicht löschen, was tun?
    Plagegeister aller Art und deren Bekämpfung - 20.07.2012 (29)
  5. TR/Crypt.XPACK.Gen ist nicht zu löschen, versteckt sich ??
    Log-Analyse und Auswertung - 06.04.2010 (6)
  6. mehrere Trojaner, die sich nicht löschen lassen
    Plagegeister aller Art und deren Bekämpfung - 23.01.2010 (14)
  7. Trojaner TR/Crypt.XPACK.Gen2 lässt sich nicht löschen
    Plagegeister aller Art und deren Bekämpfung - 06.01.2010 (1)
  8. Dropper.gen und atraps.gen - Trojaner lassen sich nicht entfernen
    Log-Analyse und Auswertung - 12.12.2009 (1)
  9. Trojaner und andere adware, usw gefunden --> lassen sich nicht löschen
    Log-Analyse und Auswertung - 15.01.2009 (0)
  10. Zlob, Virtumonde - Trojaner lassen sich nicht löschen
    Log-Analyse und Auswertung - 18.12.2008 (12)
  11. Zwei Trojaner die sich nicht löschen lassen wollen ...??
    Plagegeister aller Art und deren Bekämpfung - 17.07.2008 (7)
  12. Trojaner: efcBqNDt.dll und jkkJdCuK.dll lassen sich nicht löschen.
    Plagegeister aller Art und deren Bekämpfung - 17.06.2008 (13)
  13. Trojaner TR/Crypt.XPACK.Gen lässt sich nicht löschen!
    Plagegeister aller Art und deren Bekämpfung - 30.03.2008 (42)
  14. Trojaner/ geede.dll und urqqrqo.dll lassen sich nicht löschen
    Plagegeister aller Art und deren Bekämpfung - 28.02.2008 (8)
  15. 147 Trojaner die sich nicht löschen lassen!!!
    Plagegeister aller Art und deren Bekämpfung - 15.07.2007 (6)
  16. Trojaner lassen sich nicht löschen
    Plagegeister aller Art und deren Bekämpfung - 15.06.2007 (8)
  17. TR/Crypt.XPACK.Gen lässt sich nicht löschen
    Plagegeister aller Art und deren Bekämpfung - 01.06.2007 (28)

Zum Thema Trojaner lassen sich nicht löschen, u.a. TR/ATRAPS.Gen, TR/Crypt.Xpack.Gen - Heyho, ich hab seit 1 - 2 Tagen fiese Trojaner und möchte jetzt gerne mal wissen, wie ich sie loswerde, am liebsten wäre mir natürlich eine Antwort, die nicht "rebooten, - Trojaner lassen sich nicht löschen, u.a. TR/ATRAPS.Gen, TR/Crypt.Xpack.Gen...
Archiv
Du betrachtest: Trojaner lassen sich nicht löschen, u.a. TR/ATRAPS.Gen, TR/Crypt.Xpack.Gen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.