Thema: Trojaner TR/ATRAPS.GEN

Hallo zusammen,

ich habe die beiden Themen über "ATRAPS" hier im Forum gelesen, aber es hilft mir leider nicht wirklich.

Seit einigen Tagen kann ich "Antivir" und "Ad-Aware" nicht mehr updaten. "Spybot" und "Antivir" entdecken zwar den Trojaner und beheben/löschen das Problem, allerdings entsteht direkt wieder dieser Trojaner, sobald ich ein Update vornehmen will. Mittlerweile weigert sich der Explorer auch mein Laufwerk D zu öffnen ("c:\resycled\boot.com ist keine zulässige Win32-Anwendung).

Ich weiß leider nicht, wo genau das Problem liegt. Hilft ein Online-Virenscan?

Danke für Eure Hilfe!!


Nachtrag: habe gerade bemerkt, dass sich die betroffene Datei nach einem Antivir-Scan und Löschen sofort umbenennt - als schreibgeschützte Datei bekomme ich sie so auch nicht entfernt. Wo finde ich denn die Befehlszeile bzw. woran erkenne ich sie für diesen Trojaner, damit ich sie bearbeiten kann!?

Liming-Man

Hallo zusammen,

ich habe die beiden Themen über "ATRAPS" hier im Forum gelesen, aber es hilft mir leider nicht wirklich.

Seit einigen Tagen kann ich "Antivir" und "Ad-Aware" nicht mehr updaten. "Spybot" und "Antivir" entdecken zwar den Trojaner und beheben/löschen das Problem, allerdings entsteht direkt wieder dieser Trojaner, sobald ich ein Update vornehmen will. Mittlerweile weigert sich der Explorer auch mein Laufwerk D zu öffnen ("c:\resycled\boot.com ist keine zulässige Win32-Anwendung).

Ich weiß leider nicht, wo genau das Problem liegt. Hilft ein Online-Virenscan?

Danke für Eure Hilfe!!


Nachtrag: habe gerade bemerkt, dass sich die betroffene Datei nach einem Antivir-Scan und Löschen sofort umbenennt - als schreibgeschützte Datei bekomme ich sie so auch nicht entfernt. Wo finde ich denn die Befehlszeile bzw. woran erkenne ich sie für diesen Trojaner, damit ich sie bearbeiten kann!?

versuche mal hijackthis
download: http://download.hijackthis.eu/HJTInstall.exe
nach dem insterlieren starten und auf "Do a System scan and save a logfile" klicken
denn logfile hier auswerten: HijackThis Logfileauswertung

und die datein die er dir anzeigt
auswählen und auf "fix checked"

Worry wird bestimmt auch gleich was hilfreiches posten

Such mal im Windows\System32 Ordner nach dem Trojaner, lad dir dann Pocket KillBox - Download - CHIP Online runter, wähl den Trojaner aus und aktivier "delete on reboot"

Achja, der Speicherort vom Trojaner kann auch woanders sein, die meisten sind aber im system32 Ordner

Wenn du die Datei findest mach Rechtsklick drauf und "öffnen als" wenns geht. Dann mit Editor öffnen und alles was da drin steht rauslöschen!

Oder wenn es mit "öffnen als" nicht geht.
Editor starten->Datei->Neu o.ä. dann die Datei auswählen und alles drin rauslöschen

Erstmal vielen Dank für Eure Tipps!!

Habe "Hijackthis" laufen und auch auffällige Dateien bearbeiten lassen. Aber leider hat das nicht viel geändert.

Die sich ständig nach Antivir-Löschen verändernde Datei war letztens auf C: als tmp-Datei, aber nach einem System-Absturz ist sie weg. Nun kann ich über den Explorer C: statt D: nicht öffnen, Spybot findet zudem immer Dateien bzw. ein Verzeichnis, welches nicht existiert (c:\resycled\boot.com und "c:\autorun.inf). Wenn sie doch existieren, dann weiß ich wohl nicht, wie ich sie finden kann. Jedenfalls treten die Fehler immer noch auf, aber die Antivir-Suche findet zurzeit nichts, und der Spybot-Suchvorgang zeigt mir eben diese unbekannten Dateifehler auf.

Sagt einem von Euch denn diese Datei-/Verzeichnisnamen etwas? Wie kann ich die Ursachendatei außer Antivir oder Spybot noch finden und dann die Killbox o.ä. laufen lassen?

Hi Liming-Man,

in Deinem Fall gibt es meiner Meinung nach keine andere Möglichkeit, als zu formatieren, und das rate ich äußerst selten.

Um es zu erleichtern solltest Du vorher Deine Daten sichern.

Hallo,

auch ich gehöre zu den "Glücklichen"... Und das gleich auf zwei Rechnern via USB-Stick!

Meine Frage,
- wie bekomme ich das Ding los und
- wie sichere ich meine Dateien, ohne dass ich den Trojaner ebenfalls abspeichere!

Hier meine die HijackThis von meinem Netbook:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:40:53, on 11.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\explorer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\FREEDO~1\fdm.exe
C:\Dokumente und Einstellungen\BS\Desktop\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = Yahoo! Suchleiste
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Yahoo! Deutschland
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = Yahoo! Deutschland
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = Yahoo! Deutschland
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Idea2 SidebarBrowserMonitor Class - {45AD732C-2CE2-4666-B366-B2214AD57A49} - C:\Programme\Desktop Sidebar\sbhelp.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdmcks.dll
O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [M3000Mnt] Rundll32.exe M3000Rmv.dll ,WinMainRmv /StartStillMnt
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Download all with Free Download Manager - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download selected with Free Download Manager - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download with Free Download Manager - file://C:\Programme\Free Download Manager\dllink.htm
O9 - Extra button: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Programme\Desktop Sidebar\sbhelp.dll
O9 - Extra 'Tools' menuitem: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Programme\Desktop Sidebar\sbhelp.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: IviRegMgr - InterVideo - C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe

--
End of file - 4874 bytes

Hi,

schön, daß Du gleich ein Logfile gepostet hast, es ist bis auf zwei unnötige Einträge "sauber".

Zunächst solltest Du Deinen USB Stick formatieren, damit der schon mal "sauber" ist. Dann kannst Du folgendermaßen vorgehen: Deine Daten auf den nun formatierten Stick ziehen, und diesen scannen, ob der Trojaner sich darauf befindet, was aber eher unwahrscheinlich ist. Dasselbe mit dem zweiten PC, wenn Du soviel Speicherplatz auf dem Stick hast. Eine andere Möglichkeit ist, Deine persönlichen Daten zu brennen, dann hast Du sie auch sicher.

TR/ATRAPS.GEN leitet in der Regel Deinen Internetverkehr um, so ist es, wie schon geschrieben, eher unwahrscheinlich, daß er in Fotos oder beispielsweise in Deiner Musiksammlung sitzt.

Auch Dir bleibt nichts anderes übrig, als Deine Festplatten in beiden Rechnern zu formatieren, es gibt derzeit noch nichts gegen diesen gemeinen Trojaner.

Danke Worry, für die schnelle Hilfe! Echt super!!

Ich habe mich schon damit abgefunden... Der USB-Stick scheint sauber zu sein - doch dem traue ich nicht (habe wiederholt durch SpyBot den W32.Agent.ds auf dem formatierten Stick in einer autorun.inf gefunden) - und die wichtigsten Daten habe ich bereits heruntergebrannt. Die, meinst Du, sind völlig sicher?

Setzt sich ATRAPS eigentlich auch auf der zweiten Partition fest? Muss die ebenfalls formatiert werden? Ich ahne ja schlimmes...

Nichtsdestotrotz, der "große Rechner" ist schon platt - gerne würde ich dann noch mal ein Logfile zur Begutachtung posten!

Vielen Dank für Deine Mühen!

Hi,

das mache ich gerne. Aber Du hast in der Tat "volles Programm" gezogen.

Dieser W32.Agent.ds ist auch nicht viel besser, er sitzt in der Registry, und ist auch ein Trojaner, über den man Deinen Rechner fremdsteuern kann. Auf dem formatierten Stick ist er verblieben? Wenn Du ein Laufwerk formatierst, müßte es aber sauber sein. Du kannst Deine gebrannte CD einlegen und mit Avira scannen, außerdem empfehle ich Dir einen Scan dieser Datein (und auch des Sticks) mit Malwarebytes , lösche bitte, was/wenn es was findet. (Und nur zurückspielen, wenn diese Dateien "sauber" sind, aber das weißt Du ja.

Dieser Trojaner TR/ATRAPS.GEN kann theorisch überall sitzen, wenn Du sicher sein möchtest, formatiere bitte auch die zweite Partition, selbst den Arbeitsspeicher solltest Du leeren, das geht am Einfachsten, wenn Du im laufenden Rechnerbetrieb einfach ein "Notaus" machst.

Poste gerne noch ein Logfile, ich sehe es mir gerne an.

hi!

ich hab auch den trojaner drauf. habs schon versucht mit verschiedenen antiviren programmen zu entfernen wie zB Avira Antivir und Avast Antivir. Bisher scheint noch alles gut zu laufen, bin mir aber nicht sicher ob der TR wirklich weg ist. Der tauchte später immer als ".tmp" file auf...

hier ist meine logfile aus hijack... hoffe ihr könnt mir helfen.

danke schonmal!


___________________
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:36:18, on 18.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20900)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\acs.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\M-Audio\M-Audio Series II MIDI\MA_CMIDI_Inst.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\OpenOffice.org 3\program\swriter.exe
C:\Programme\OpenOffice.org 3\program\soffice.exe
C:\Programme\OpenOffice.org 3\program\soffice.bin
C:\WINDOWS\Explorer.EXE
C:\Programme\Adobe\Audition 1.5\Audition.exe
C:\Programme\Mozilla Firefox\firefox.exe
c:\programme\avira\antivir personaledition classic\avcenter.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ICQ.com Suche
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [IE7] rundll32 advpack.dll,LaunchINFSection IE7.inf,FirstUserStart (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O20 - AppInit_DLLs:
O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: TCP/IP-Druckserver (LPDSVC) - Unknown owner - C:\WINDOWS\system32\tcpsvcs.exe (file missing)
O23 - Service: M-Audio Series II MIDI Installer (MA_CMIDI_InstallerService) - Unknown owner - C:\Programme\M-Audio\M-Audio Series II MIDI\MA_CMIDI_Inst.exe
O23 - Service: Einfache TCP/IP-Dienste (SimpTcp) - Unknown owner - C:\WINDOWS\system32\tcpsvcs.exe (file missing)

--
End of file - 5475 bytes

Hi,

Du hast einen Eintrag, den Du unbedingt fixen müßtest, O20 - AppInit_DLLs:

wenn da nicht noch TR/ATRAPS.GEN wäre.

Es gibt keine Möglichkeit es wegzubekommen. Die einzige Möglichkeit ist, zu formatieren und Deinen Rechner ganz neu aufzusetzen.

Hallo nochmal,

meinen Rechner habe ich jetzt neu aufgesetzt (komplett formatiert und alles mehrfach gescannt - die Paranoia kann einen schon packen...) und nach langer Zeit, sieht auch alles wieder so aus, wie vorher. Jaa, DAS war mein Wochenende!

Wie "versprochen", hier nochmal meine Bitte, über mein Logfile zu sehen. Wenn Du überdies irgendwelche unnötigen Einträge findest, so würde ich mich freuen, wenn ich mich auch noch von diesen befreien könnten.

Vielen Dank für Deine Hilfe - dieses Forum ist mir echt klasse und ihr macht einen prima Job!!

Viele Grüße,

BS



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:56:20, on 18.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\HijackThis\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TOSHIBA Application Service (TAPPSRV) - Unknown owner - C:\Programme\Toshiba\TOSHIBA Applet\TAPPSRV.exe (file missing)
O23 - Service: X10 Device Network Service (x10nets) - Unknown owner - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe (file missing)

--
End of file - 4115 bytes

Guten Morgen,

gern geschehen.

Deine Arbeit hat sich gelohnt, Dein Logfile sieht hervorragend aus, keine Schädlinge, keine überflüssigen Einträge.

Dein Rechner ist "sauber". Garuliere Dir.

Hallo, ich wollte mich auch nochmal melden.

Habe die Platte auch formatiert und seit dem zum Glück keine Probleme mehr (meine Freundin hat zwar ihre Treiber-CD verlegt und ich versuche verzweifelt, Treiber aus dem Netz zu besorgen, aber das ist ein anderes Thema..)

Aber: weil ohne Treiber zunächst kein Internetzugang möglich war, ist ein Freund vorbeigekommen und hat mir den Treiber runtergeladen. Dummerweise hat er zum Kopieren meinen USB-Stick benutzt und zack - jetzt hat er diesen Mist auf seinem Laptop. Interessanterweise hatte ich den Stick das letzte Mal in einem Copy-Shop benutzt und seit dem auch die Probleme...hatte das nur nicht in Zusammenhang gebracht. Jedenfalls frage ich mich jetzt, ob ich den Stick direkt in den Müll (ist nicht groß und mittlerweile veraltet) schmeißen soll oder ob man das Ding formatieren kann, ohne dass der Trojaner direkt wieder auf mein System springt?

Zweite Frage: habe gerade eine Mail von einer eigentlich zuverlässigen Adresse mit einem Download-Hinweis erhalten. Beim Download sprang Antivir mit Hinweis auf einen Trojaner an (TR/PSW.IMMultiPass.BF) - ist das das Werk von dem Trojaner davor? Sind jetzt Daten wie Mail-Adressen etc. nach außen gelangt?
Ich hatte vorher noch keine Probleme mit Trojanern, daher frage ich mal lieber nach, ob das ein ungutes Signal ist??

Hi,

schön, daß Du Deine System wieder sauber hattest. Den Stick würde ich persönlich wegwerfen, wenn es keinen Verlust bedeutet, weder an Daten noch finanziell. Ich weiß nicht, ob jemand anders Dir raten würde, ihn zu formatieren, aber ich selber bin so vorsichtig bei sowas.

Nun zu Deinem weiteren Problem: Was Du Dir da gezogen hast, ist nicht von dem Vorläufer, es ist was Neues. Zunächst würde ich diese Seite auf keinen Fall mehr aufsuchen.

Dann können wir jetzt, um Dir nochmaliges Formatieren zu ersparen, erstmal folgendes machen: Lade Dir zunächt bitte Malwarebytes herunter und mache einen Full-Scan, das kann etwa eine Stunde dauern, je nachdem, was Du im Rechner für Programme hast. Dann bitte löschen, wenn es was findet.

Anschließend mache bitte einen Scan mit Deinem Viren-Scanner, auch löschen, wenn da noch was ist.

Als Letztes dann einen Scan mit HijackThis, und poste dann bitte das Logfile.

Wir werden dann schauen, ob es weg ist.

Vielen Dank, Worry!!

Die beiden Scans (Malware & Antivir) haben nichts gefunden. Ich habe aber noch vor Abschluss des Downloads diesen abgebrochen, so dass wohl auch nichts auf der Platte hängengeblieben ist.
Die "Seite" ist eigentlich ein völlig harmloses Forum, weder pornographisch, noch illegaler Download-sonstwas. Allerdings läuft es gerade nicht wegen "Wartungsarbeiten" - denke mal, dass sich bei denen was eingeschlichen hat und sich so über alle angemeldeten eMail-Adressen weiterverbreiten will.
Formatieren muss ich aber wahrscheinlich ohnehin nochmal, da mir ja sämtliche Treiber und auch die Windows-Version fehlen. Daher lohnt sich wahrscheinlich auch der Hijack-Scan nicht, da noch nichts an Programmen etc. installiert ist.
Aber trotzdem vielen Dank für Deine schnelle Hilfe!!

Gerne geschehen, Liming-Man,

Du hast sicher Recht, wenn Du nochmal alles formatierst.

Ich habe mich vorhin auch noch mal kundig gemacht, dieser (TR/PSW.IMMultiPass.BF) ist in der Tat ein Virus, den User selber fabrizieren und auf ihre Seiten "legen". Wie das im Einzelnen vorsichgeht, weiß ich allerdings nicht. Mehr als ein User ist in verschiedenen Foren schon dafür gebannt worden, aber zum Glück nicht in diesem schönen Forumla, soweit mir bekannt ist.

Hey = ),
Ich hab auch das Problem mit dem Trojaner. Bei mir ist er in einer Datei namens

"onestepsearch.exe"

Hijack Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:04:23, on 20.05.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.21020)
Boot mode: Normal

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINXP\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Google\Update\GoogleUpdate.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\nvsvc32.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\system32\WgaTray.exe
C:\WINXP\Explorer.EXE
C:\WINXP\RTHDCPL.EXE
C:\WINXP\system32\RUNDLL32.EXE
C:\Programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe
C:\Programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDClock.exe
C:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDPop3.exe
C:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDMedia.exe
C:\Programme\GIGABYTE\GEST\GEST.exe
T:\programme\Hp Drucker\HP Software Update\HPWuSchd2.exe
T:\programme\Itunes\iTunesHelper.exe
C:\Programme\DAEMON Tools Lite\daemon.exe
C:\WINXP\system32\ctfmon.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\GIGABYTE\GEST\GSvr.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe
T:\programme\Skype\Phone\Skype.exe
C:\Programme\ICQ6\ICQ.exe
T:\programme\SetPoint\SetPoint.exe
T:\programme\steam.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE
C:\Programme\Windows Live\Messenger\usnsvc.exe
T:\programme\Opera\opera.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Yodl.de - die Suchmaschine für alles!
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg. dll
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O4 - HKLM\..\Run: [GEST] C:\Programme\GIGABYTE\GEST\RUN.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINXP\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINXP\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe"
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [TrojanScanner] C:\Programme\Trojan Remover\Trjscan.exe
O4 - HKLM\..\Run: [HP Software Update] T:\programme\Hp Drucker\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "T:\programme\Itunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINXP\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "t:\programme\steam.exe" -silent
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe -hidden
O4 - HKCU\..\Run: [Skype] "T:\programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [DWQueuedReporting] "C:\PROGRA~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" -t (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [DWQueuedReporting] "C:\PROGRA~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" -t (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - Startup: Ubisoft register.lnk = C:\Programme\Ubisoft\Register\schedule.exe
O4 - Global Startup: Logitech SetPoint.lnk = T:\programme\SetPoint\SetPoint.exe
O4 - Global Startup: Microsoft Office.lnk = T:\programme\Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/.../GAME_UNO1.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/micr...?1214511933203
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...sh/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Droppix Service - Droppix - C:\Programme\Gemeinsame Dateien\Droppix\DxService.exe
O23 - Service: GEST Service for program management. (GEST Service) - Unknown owner - C:\Programme\GIGABYTE\GEST\GSvr.exe
O23 - Service: Google Update Service (gupdate1c98bc42d76b518) (gupdate1c98bc42d76b518) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINXP\system32\nvsvc32.exe
O23 - Service: OneStepSrch Service - Unknown owner - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\OneStepSrch\onestep210.exe (file missing)

--
End of file - 8946 bytes


Würde mich über Ratschläge freuen.
Lg

Hallo,
wie oben schon erklärt nutze Hijack This, Logfileauswertung.
Meiner Meinung nach sind 2-3 Einträge nicht ganz sauber.