|
Trojaner TR/ATRAPS.Gen auf Win 7 - benötige Hilfe bei Entfernung.. Hallo zusammen, bin neu hier und hoffe jetzt auf die Kompetenz die ich bis hierher in diesem Forum kennengelernt habe. Ich würde mich freuen, wenn sich hier jemand meinem Problem annehmen könnte. Habe hier einen PC mit Windows 7 der laut Antivir mit dem Trojaner TR/ATRAPS.Gen infiziert ist. Sobald er hochfährt stürzt er ziemlich bald ab. Ich kann ihn im abgesicherten Modus starten und habe bereits Logfiles von HiJackThis und OTL erstellt. Da sie sehr lang sind, hänge ich sie als Datei diesem Thread an. Ab hier weiß ich ehrlichgesagt nicht mehr was ich machen soll...die meisten Einträge sagen mir nichts. Über Hilfe wäre ich sehr dankbar. Bis dahin. Hallo nochmal...bin in einem anderen Thread auf das Programm Antimalware o.ä. gestoßen...es hat mir 8 Einträge gezeigt die ich auch gelöscht habe. Nun kommt sofort nach der Anmeldung ein Bluescreen und der Rechner startet neu. Bin total ratlos und befürchte alles neu installieren zu müssen...hoffe auch das keine systemrelevanten Dateien infiziert waren.. |
Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind. |
Es gibt Logs von Malwarebytes, jedoch schmiert der Computer sofort ab, selbst im abgesicherten Modus, sobald ich einen Benutzer anklicke kommt der Bluescreen. Ich versuche heute Abend anderweitig an die Logs zu kommen. |
Also, konnte die Log-File leider nur als Foto vom Rechner bekommen, er startet nur in der Eingabeaufforderung. Hoffe das ist für euch in Ordnung. Die Datei kann ich irgendwie nicht anhängen, sie ist unter folgender Adresse erreichbar: hxxp://www.batollo.de/IMG.jpg Vielen Dank! |
Hm, so direkte Hinweise, warum Windows so instabil ist, sehe ich aus dem Log nicht. Abgesicherter Modus geht janicht? Was ist mit der letzten als funtionierend bekannten Konfig? |
Trojaner TR/ATRAPS.Gen auf Win 7 - benötige Hilfe bei Entfernung.. Ich konnte seltsamerweise im abgesicherten Modus mit Netzwerktreibern hochfahren. Werde dann die Log-File jetzt gleich hochladen. hier die file Die Viren bzw Trojaner habe ich alle entfernt (s. Malbyte Logfile oberer Beitrag). Ich habe keine Ahnung wie ich den PC wieder zum starten bekomme und wäre um Hilfe äußerst dankbar :crazy: |
Zitat:
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten! |
hallo.. vielen dank cosinus für deine hilfe bis hier...so langsam gehts ja vorwärts.! malwarebytes hat im vollständigen scan 3 neue infizierte objekte gemeldet...nachdem ich malwarebytes geupdated habe stellte ich sie unter quarantäne bei einem normalen start mit einem neu erstellten benutzer kommt jedoch immer noch ein bluescreen, irgendwas scheint nicht in ordnung zu sein. mal als alternative: wenn ich meine privaten daten von dem infizierten rechner auf einer externen platte sichern möchte, muss ich angst haben dass auf der externen HDD enthaltene Daten durch die Viren/Trojaner infiziert bzw. beschädigt werden oder dass sich der Trojaner einfach mitkopiert? Falls nicht könnte ich dann auf diesem wege windows neu aufsetzen (bin ich ja von z.b. windows 98 gewöhnt). Über weitere Hilfe und Hinweise wäre ich sehr dankbar. PS: die logs habe ich angehängt |
Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code: :OTLDas Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt. |
Hallo...hier die Logfile, irgendwas hat er nicht erkannt, ich schaue gerade nach dem Problem. Ich poste schonmal das Log bis hier: All processes killed Error: Unable to interpret <:OTL O4 - HKLM..\Run: [] File not found O32 - HKLM CDRom: AutoRun - 1 O33 - MountPoints2\{2a8b1798-66f4-11df-a542-001d7d0a38d3}\Shell - "" = AutoRun O33 - MountPoints2\{2a8b1798-66f4-11df-a542-001d7d0a38d3}\Shell\AutoRun\command - "" = F:\Startme.exe O33 - MountPoints2\{2a8b1984-66f4-11df-a542-001d7d0a38d3}\Shell - "" = AutoRun O33 - MountPoints2\{2a8b1984-66f4-11df-a542-001d7d0a38d3}\Shell\AutoRun\command - "" = F:\LaunchU3.exe -a [2010.02.15 23:29:15 | 000,000,000 | -HSD | C] -- C:\found.000 [2010.05.19 12:18:06 | 000,016,384 | ---- | M] () -- C:\Users\***\AppData\Roaming\nn8.exe :Commands [purity] [resethosts] [emptytemp]> in the current context! OTL by OldTimer - Version 3.2.20.2 log created on 01242011_211326 Files\Folders moved on Reboot... Registry entries deleted on Reboot... |
Hab das Problem gefunden, hatte die OTL Befehle einfach eingefügt und vor dem Fixen nicht bearbeitet. Die Befehle standen alle in einer Zeile. Anbei die Log File. |
Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
http://saved.im/mtm0nzyzmzd5/cofi.jpg
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! |
Habe CCleaner installiert und nach der verlinkten Anleitung angewendet. Anschließend habe ich alle Programme beendet und cofi.exe gestartet. Es wurde sofort ein Scan durchgeführt und nach max 10 sek kam wieder der schöne Bluescreen und Windows hat neu hochgefahren... :taenzer: |
Liste der Anhänge anzeigen (Anzahl: 1) Habe auch die anfängliche Virusmeldung gefunden...hatte ein Bild davon erstellt...weiß nicht ob es weiterhilft... ich frage mich ob der pc danach noch oder wieder einwandfrei funktionieren wird...ist eine neuinstallation nicht ratsamer (nur eine frage)? vorhin habe ich meine daten schonmal auf einer externen hdd gesichert...muss ich davon ausgehen, dass sich der Schädling mit auf die Festplatte kopiert? Vielen Dank für deine Mühe Arne.! edit: anhang vergessen...musste das image wegen der 19kb-Grenze derart verkleinern.. |
Du kannst natürlich auch gleich formatieren und alles neu machen...ist deine Entscheidung :pfeiff: Folge dann dem Artikel zur Neuinstallation von Windows. |
Da wir ja jetzt schon soweit gekommen sind wäre ich über eine erfolgreiche Beseitung entzückt! Oder hat dich der erneute bluescreen abgeschreckt? Die Neuinstallation wäre dann die Hintertür. |
Lad die cofi.exe neu herunter und probier es bitte nochmal. |
Jetzt läuft es...musste die combifix.exe direkt auf den desktop laden...ergebnisse folgen.. edit: Log von combofix beigefügt...avira war nicht gestartet, dennoch nannte das programm dieses als aktiviert.. |
Combofix - Scripten 1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. Code: http://www.trojaner-board.de/94856-trojaner-tr-atraps-gen-auf-win-7-benoetige-hilfe-bei-entfernung.html#post6129634. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !) 5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet. http://users.pandora.be/bluepatchy/m...s/CFScript.gif 6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann! |
Also...habe alles nach der Anleitung gemacht...wie gesagt wird mir antivir als laufend angezeigt jedoch finde ich weder in den prozessen noch in den diensten ein antivir eintrag. Als ich das erstellte Script auf die cofi.exe gezogen habe kam ein scanbalken welcher auch durchlief...dann eröffnete sich ein weißes kleines fenster und selbst nach fast 2 std ist das weiße fenster noch da... Was nun? |
Wurde kein Log erstellt? Ist der Fenster immer noch da? :dummguck: |
Fenster ist noch da.. Logs sind keine neuen da.. |
Kannst du das abbrechen und den Fix nochmal neu starten? |
Kann leider nichts abbrechen...habe aber neugestartet und es nochmals probiert...das weiße fenster bleibt und geht net weg.. Beim 2. Durchlauf hat er nach einem bluescreen selbst neugestartet.. |
Dann nochmal ein OTL-Fix: Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":Files" muss mitkopiert werden!!!) Code: :FilesDas Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. |
Hey...also habe die Befehle eingegeben, OTL meldete dann, nachdem ich auf FIX gedrückt hatte, dass die Datei erst nach einem Neustart vollständig gelöscht werden kann. Dies bestätigte ich mit OK. Nach einem Neustart konnte ich keine LOG-Datei finden. Ich habe dann nochmal versucht das Script aus vorherigem Schritt auf die Combofix.exe zu ziehen. Beim scannen (da war so eine Statusanzeige) ist er dann wieder abgeschmiert (bluescreen). Ich hoffe es gibt noch eine Möglichkeit das ganze in den Griff zu bekommen. Wie gesagt, ansonsten installier ich Windows 7 neu. Meine Dateien hatte ich mir ein paar Tage zuvor auf einer externen HDD gesichert. Wie hoch ist die Wahrscheinlichkeit, dass mein dann neu aufgesetztes System erneut mit dem Virus/Trojaner infiziert wird, wenn ich meine gesicherten Dateien wieder zurück auf den Rechner ziehe? Vielen Dank nochmal Arne für deine Hilfe bis hier, ich schätze deinen Einsatz sehr! Lieber Gruß |
Schau mal in den Ordner c:\_OTL |
hey...habe den rechner neu aufgesetzt...das war mir alles zu bunt...ich danke dir dennoch vielmals für deine Mühe! Meine Anerkennung.. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 01:08 Uhr. |
Copyright ©2000-2025, Trojaner-Board