Hallo zusammen,
bin neu hier und hoffe jetzt auf die Kompetenz die ich bis hierher in diesem Forum kennengelernt habe. Ich würde mich freuen, wenn sich hier jemand meinem Problem annehmen könnte.
Habe hier einen PC mit Windows 7 der laut Antivir mit dem Trojaner TR/ATRAPS.Gen infiziert ist. Sobald er hochfährt stürzt er ziemlich bald ab. Ich kann ihn im abgesicherten Modus starten und habe bereits Logfiles von HijackThis und OTL erstellt. Da sie sehr lang sind, hänge ich sie als Datei diesem Thread an.
Ab hier weiß ich ehrlichgesagt nicht mehr was ich machen soll...die meisten Einträge sagen mir nichts.
Über Hilfe wäre ich sehr dankbar.
Bis dahin.

Hallo nochmal...bin in einem anderen Thread auf das Programm Antimalware o.ä. gestoßen...es hat mir 8 Einträge gezeigt die ich auch gelöscht habe.
Nun kommt sofort nach der Anmeldung ein Bluescreen und der Rechner startet neu.
Bin total ratlos und befürchte alles neu installieren zu müssen...hoffe auch das keine systemrelevanten Dateien infiziert waren..

Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind.

Es gibt Logs von Malwarebytes, jedoch schmiert der Computer sofort ab, selbst im abgesicherten Modus, sobald ich einen Benutzer anklicke kommt der Bluescreen. Ich versuche heute Abend anderweitig an die Logs zu kommen.

Also, konnte die Log-File leider nur als Foto vom Rechner bekommen, er startet nur in der Eingabeaufforderung. Hoffe das ist für euch in Ordnung.

Die Datei kann ich irgendwie nicht anhängen, sie ist unter folgender Adresse erreichbar:
hxxp://www.batollo.de/IMG.jpg
Vielen Dank!

Hm, so direkte Hinweise, warum Windows so instabil ist, sehe ich aus dem Log nicht.
Abgesicherter Modus geht janicht? Was ist mit der letzten als funtionierend bekannten Konfig?

Ich konnte seltsamerweise im abgesicherten Modus mit Netzwerktreibern hochfahren. Werde dann die Log-File jetzt gleich hochladen.

hier die file

Die Viren bzw Trojaner habe ich alle entfernt (s. Malbyte Logfile oberer Beitrag). Ich habe keine Ahnung wie ich den PC wieder zum starten bekomme und wäre um Hilfe äußerst dankbar

Zitat:

Art des Suchlaufs: Quick-Scan

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. (im abgesicherten Modus mit Netzwerktreibern)
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

hallo..

vielen dank cosinus für deine hilfe bis hier...so langsam gehts ja vorwärts.!

malwarebytes hat im vollständigen scan 3 neue infizierte objekte gemeldet...nachdem ich Malwarebytes geupdated habe stellte ich sie unter quarantäne bei einem normalen start mit einem neu erstellten benutzer kommt jedoch immer noch ein bluescreen, irgendwas scheint nicht in ordnung zu sein.

mal als alternative:
wenn ich meine privaten daten von dem infizierten rechner auf einer externen platte sichern möchte, muss ich angst haben dass auf der externen HDD enthaltene Daten durch die Viren/Trojaner infiziert bzw. beschädigt werden oder dass sich der Trojaner einfach mitkopiert? Falls nicht könnte ich dann auf diesem wege windows neu aufsetzen (bin ich ja von z.b. windows 98 gewöhnt).

Über weitere Hilfe und Hinweise wäre ich sehr dankbar.

PS: die logs habe ich angehängt

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O4 - HKLM..\Run: []  File not found
O32 - HKLM CDRom: AutoRun - 1
O33 - MountPoints2\{2a8b1798-66f4-11df-a542-001d7d0a38d3}\Shell - "" = AutoRun
O33 - MountPoints2\{2a8b1798-66f4-11df-a542-001d7d0a38d3}\Shell\AutoRun\command - "" = F:\Startme.exe
O33 - MountPoints2\{2a8b1984-66f4-11df-a542-001d7d0a38d3}\Shell - "" = AutoRun
O33 - MountPoints2\{2a8b1984-66f4-11df-a542-001d7d0a38d3}\Shell\AutoRun\command - "" = F:\LaunchU3.exe -a
[2010.02.15 23:29:15 | 000,000,000 | -HSD | C] -- C:\found.000
[2010.05.19 12:18:06 | 000,016,384 | ---- | M] () -- C:\Users\***\AppData\Roaming\nn8.exe
:Commands
[purity]
[resethosts]
[emptytemp]
         

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hallo...hier die Logfile, irgendwas hat er nicht erkannt, ich schaue gerade nach dem Problem. Ich poste schonmal das Log bis hier:


All processes killed
Error: Unable to interpret <:OTL
O4 - HKLM..\Run: [] File not found
O32 - HKLM CDRom: AutoRun - 1
O33 - MountPoints2\{2a8b1798-66f4-11df-a542-001d7d0a38d3}\Shell - "" = AutoRun
O33 - MountPoints2\{2a8b1798-66f4-11df-a542-001d7d0a38d3}\Shell\AutoRun\command - "" = F:\Startme.exe
O33 - MountPoints2\{2a8b1984-66f4-11df-a542-001d7d0a38d3}\Shell - "" = AutoRun
O33 - MountPoints2\{2a8b1984-66f4-11df-a542-001d7d0a38d3}\Shell\AutoRun\command - "" = F:\LaunchU3.exe -a
[2010.02.15 23:29:15 | 000,000,000 | -HSD | C] -- C:\found.000
[2010.05.19 12:18:06 | 000,016,384 | ---- | M] () -- C:\Users\***\AppData\Roaming\nn8.exe
:Commands
[purity]
[resethosts]
[emptytemp]> in the current context!

OTL by OldTimer - Version 3.2.20.2 log created on 01242011_211326

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

Hab das Problem gefunden, hatte die OTL Befehle einfach eingefügt und vor dem Fixen nicht bearbeitet. Die Befehle standen alle in einer Zeile.

Anbei die Log File.

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Habe CCleaner installiert und nach der verlinkten Anleitung angewendet. Anschließend habe ich alle Programme beendet und cofi.exe gestartet. Es wurde sofort ein Scan durchgeführt und nach max 10 sek kam wieder der schöne Bluescreen und Windows hat neu hochgefahren...

Habe auch die anfängliche Virusmeldung gefunden...hatte ein Bild davon erstellt...weiß nicht ob es weiterhilft...

ich frage mich ob der pc danach noch oder wieder einwandfrei funktionieren wird...ist eine Neuinstallation nicht ratsamer (nur eine frage)? vorhin habe ich meine daten schonmal auf einer externen hdd gesichert...muss ich davon ausgehen, dass sich der Schädling mit auf die Festplatte kopiert?

Vielen Dank für deine Mühe Arne.!

edit: anhang vergessen...musste das image wegen der 19kb-Grenze derart verkleinern..

Du kannst natürlich auch gleich formatieren und alles neu machen...ist deine Entscheidung
Folge dann dem Artikel zur Neuinstallation von Windows.