TR/ATRAPS.Gen2 Maleware entdeckt
 

Hallo Leute,
ich denke ich habe einen Virus ! Ich hab schon viele Foren Einträge gelesen, und mir sogar schon ein Antivir Programm GEKAUFT ! Aber bis jetzt ist alles wie zuvor nämlich : Oft wenn ich ins Internet gehe versucht es automatisch eine Seite names : Mediashifting.com zu öffnen. Ich war auch schon auf Seiten wo beschrieben wird wie das Problem beseitigt wird. Half aber nicht.
Außerdem ist es, als würde sich alle 20-40 Minuten die Windows Taste selbst auslösen, also meine Starsleiste taucht mittem im Spiel oder im Programm unten auf (auch im Vollbildmodus). Ich bin kein Fach man im Virus löschen, denn das ist mein erster. Ich hoffe ich habe alles genau beschrieben und ich kann den Virus bald löschen. Danke schonmal im voraus...

Und? Nur weil du irgendeine Software aus bunten Pappschachteln erwirbst ändert das an der Ursache doch nichts! Als Privatperson kann man sich den Kauf einer AV-Software echt sparen. Man muss gewisse Grundregeln einhalten und als Sicherheitsgurt tut es ein Gratisscanner wie Avast oder MSE

Bitte nun routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Also ich hab den Suchlauf gemacht und hier ist der Log

Malwarebytes Anti-Malware (Test) 1.60.0.1800
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: v2012.01.24.04

Windows 7 x64 NTFS
Internet Explorer 9.0.8112.16421
Lierenheld :: ZIMTSTERN [Administrator]

Schutz: Aktiviert

24.01.2012 17:49:04
mbam-log-2012-01-24 (17-49-04).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 496696
Laufzeit: 1 Stunde(n), 39 Minute(n), 35 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Shell (Backdoor.Agent) -> Daten: C:\Users\Lierenheld\AppData\Local\bb7e4e2e\X -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Users\Lierenheld\AppData\Roaming\GoogleSketchUpWDE.exe (Trojan.Googlx.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Du verdrehst da gerade was :rofl:
Die Logs sollst du in CODE-Tags posten, aber nicht den normalen Text wenn du mir Sachen mitteilen willst :D

Ich weiß schon. Das war nur ein Test :D
Ob ichs geschnallt hab ^^

Grrrr schon seit 10 Minuten 99%...
Und grade wurde was gefunden... toll ein Toolbar, ist wahrscheinlich der Grund für
Mediashifting.com naja das Log poste ich dann gleich (wenn der Scann abgeschlossen ist)
Und danke für die Hilfe :)
Woher weißt du eigentlich das alles ?

Es sind jetzt schon 2,5 Stunden lang 99%... Das ist nicht normal oder ?

Okay fertig

Finger weg von Registry-Cleanern!!

Die Registry ist das Hirn des Systems. Funktioniert das Hirn nicht, funktioniert der Rest nicht mehr wirklich.
Wir lesen oft genug von Hilfesuchenden, dass deren System nach der Nutzung von Registry Cleanern nicht mehr startet.

• Wie soll der Cleaner zu 100% wissen ob der Eintrag benötigt wird oder nicht ?
• Es ist vollkommen egal ob ein paar verwaiste Registry Einträge am System sind oder nicht.
• Auch die dauernd angepriesene Beschleunigung des Systems ist nur bedingt wahr. Du würdest es nicht merken.

Ein sogenanntes False Positive von einem Cleaner kann auch dein System unbootbar machen.
Zerstörst Du die Registry, zerstörst Du Windows.


Sieht aus, als hättest du ein ZeroAccess aufm System :(
Mach bitte einen Lauf mit CF

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.

Hier der Combofix Log

Mach bitte ein neues OTL-Log. Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox von OTL - wenn OTL auf deutsch ist wird sie mit http://larusso.trojaner-board.de/Images/otlfix.jpg beschriftet

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

OTL Log... Hab Registry Booster schon wiederhergestellt (Fehler Bereinigung Rückgängig gemacht) Denn hat sich nix verbessert... 20€ zurück ^^

Das ist nur das extras Log. Wichtiger ist die neue OTL.txt!

Ehm wie kann ich dieses Log bekommen ?
Ich weiß nicht. Ich glaub aber der Virus ist vllt. schon weg. Hab schon seit 2 Tagen keine Meldung mehr bekommen und mein Mediashifting.com öffnet sich nicht mehr...

Log sollte auf dem Desktop liegen bzw. da von wo OTL ausgeführt wurde

Okay danke habs gefunden...

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Kein Virus mehr... Danke für die Hilfe

Tja, wir waren hier aber längst noch nicht durch :(
Warum fragsu hier erst nach Hilfe und dann machst du es hier alles nur so halberzig? :balla:

Nun wenn der Virus weg ist, ist doch alles gut ?
Und ja wie gesagt danke für die Hilfe, allein hätte ich das nicht
hingekriegt und ich entschuldige mich dafür, dass ich am Schluss
einfach aufgehört habe. Das sehe ich auch in anderen Foren, dass
dann einfach Schluss ist und ohne danke ! Ist eig. unhöflich.
Also noch mal herzlich danke :dankeschoen:

Schöne Grüße.
Bis dann !

Nein, das ist naiv einfach nur mit dem Virenscanner rüberzugehen und wenn nichts mehr gefunden wird vom Scanner im Glauben zu sein, dass dann alles gut sei
Ein Computer ist schon eine etwas komplexere Materie, man sollte schon tiefer das System abklopfen, ist zwar auch keine Garantie aber 100% Sicherheit gibt es einfach nicht
Jedenfalls reicht es nicht, einfach nur mit dem Virenscanner rüberzugehen

Hab ich ja nicht. Es ist alles weg, nicht weil das der Scanner sagt, sondern weil es so ist. Mein Computer funktioniert absolut so wie er es ohne den Virus tat. Natürlich bin ich nun nicht unvorsichtig ! Schalte die Cam nur an wenn ich sie brauche, geb nirgend wo meine Daten komplett an, und downloade nicht jeden Scheiß. Aber so wie es jetzt ist, passt es. Um das zu erkennen brauch ich keinen Virenscanner.

Außerdem, ich hab mich mal auf dem Forum umgeschaut, und gesehen, dass dieser Trojaner umsich greift. Ich bin ihn losgeworden, aber habe eins nicht bemerkt : Meine Firewall war seit 4 Monaten ausgeschaltet. Und ich konnte nur anklicken empfohlene Einstellungen und dann kam eine Fehlermeldung 0x80070424
Das hast du bestimmt schon gelesen, im Zusammenhang mit dem Trojaner.
Da Google wirklich keine sinnvolle Antwort bietet und ich nur schwer eine perfekte Lösung
gefunden habe, möchte ich sie dir offenbaren. Ich bin ja weit nicht so erfahren wie du, aber die Lösung ist wichtig. (Habe das heute auch gemacht, weil ich Firewalleinstellungen verändern musste.)
Ich schickt dir da den Link, da ich das lieber nicht erkläre. (Bevor ich etwas falsches sage.) So löst man das Problem und es funktioniert 100 % !
Wenn du meinst, dass ich mein Computer nochmal überprüfen sollte, kannst du ja sagen welchen Log ich zeigen soll.