[Windows XP-32 bit] Probleme mit TR/ATRAPS.Gen2 - Paules-PC-Forum.de

Hubbahub · 21.04.2011, 09:56

Hallo!

Antivir hat auf meinem Rechner oben genannten Trojaner TR/ATRAPS.Gen2 in der Datei netoyuvi.dll gefunden. Wenn ich die Datei lösche oder in die Quarantäne verschiebe, wird mein komplettes Windows nahezu unbedienbar, weil nach praktisch jeder Aktion die Meldung "konnte die Datei netoyuvi.dll nicht finden", oft mehrmals hintereinander, aufpoppt.

Abgesehen von Firefox lässt sich zwar dann doch trotzdem fast alles benutzen, aber das ist ja auf die Dauer kein Zustand.

Wer kann mir helfen, diesen nervigen Störenfried wieder loszuwerden? Wenns geht bitte ohne komplette Neuinstallation von Windows.

**AHT** · 21.04.2011, 09:58

Von hier den PPFScanner herunterladen und die ZIP in einen eigenen Ordner entpacken (zum Beispiel nach C:\PPFS).
Danach die PPFScan.exe starten.
Klicke im PPFScanner oben links auf den Menüpunkt Programm, es öffnet sich dann ein Untermenü.
Wähle im Untermenü Script laden und ausführen.
Du hast dann im daraufhin erscheinenden Dialog die Möglichkeit, durch die Ordner zu browsen und eine Datei auszuwählen. Wähle hier die Datei Erweiterter Scan.scp aus, die sich im PPFScanner Ordner befindet, klicke dann auf Öffnen und bestätige die erscheinende Messagebox mitJa.
Auf Nachfrage Dateien überschreiben lassen.
Nach dem Scan beendet sich der Scanner. Es befinden sich dann im Ordner C:\PPF_Scan1 einige Text-Dateien. Lade bitte alle Dateien, die du dort findest, bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier.

Hubbahub · 21.04.2011, 10:43

Drivers.txt
Eventlog.txt
Files.txt
Firewall.txt
Hidden.txt
MD5.txt
Modules.txt
ppFiles.txt
ppRegistry.txt
Processes.txt
Scripting.txt
Services.txt
Warnings.txt

**AHT** · 21.04.2011, 11:07

GMER herunterladen (Download EXE) und ausführen: http://www.gmer.net/
Button Scan drücken und zuende scannen lassen. LOG hier posten.

Du hast einen Downloader auf dem Rechner - da kann noch mehr sitzen. Machst du Online-Banking?

Hubbahub · 21.04.2011, 12:36

Zitat:

Zitat von AHT

Machst du Online-Banking?

Mit dem Rechner nicht (mehr).

Hier das GMER-Log: File-Upload.net - gmerhubbahub.log

**AHT** · 21.04.2011, 12:45

Lade dir nun bitte Combofix ComboFix.exe Version /auf dem >>Desktop<< speichern und ausführen (vor dem Ausführen aber unbedingt dein Antivirenprogramm beenden, Guard stoppen reicht), klicke die Hardware Warnmeldung weg (keine Angst das Prog. ist sicher trotz der Meldung) nichts machen, keine Mausbewegung, abwarten der PC startet neu das Log was erscheint dann posten

Hubbahub · 21.04.2011, 13:30

File-Upload.net - ComboFix.txt

Der Vorgang wirkte ja äußerst vielversprechend.

**AHT** · 21.04.2011, 13:38

Hast du eine XP-Prof CD parat?

Hubbahub · 21.04.2011, 13:53

Muss ich eben raussuchen. Und was soll ich dann damit machen?

**AHT** · 21.04.2011, 14:01

Brauchen wir für einen weiteren Test.

CD bei laufendem Windows einlegen, alles was startet abbrechen.
PPFScan.exe starten.
In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen:

Code:

CREATE_FOLDER->C:\PPFS_Scan4
CREATE_FOLDER->C:\PPFS_Tools
CREATE_FOLDER->C:\PPFS_Sicherung
REGISTRY_ENUM->HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup
CREATE_BATCH_FILE->C:\PPFS_Tools\SFC_BATCH.BAT
WRITE_BATCH->SFC /SCANNOW
OPEN->C:\PPFS_Tools\SFC_BATCH.BAT
SLEEP->200000
COPY_SCANFILES->C:\PPFS_Scan4
END->

Klicke dann auf den Button Script ausführen und bestätige die erscheinende Messagebox mit Ja.
Es startet eine Überprüfung deiner Systemdateien. Ist die beendet, bitte melden. Wir holen uns dann die Daten des Scans.

Hubbahub · 21.04.2011, 14:32

Fertig.

**AHT** · 21.04.2011, 14:44

Jetzt mit dem PPFScanner das Script hier ausführen:

Code:

CREATE_FOLDER->C:\PPFS_Scan2
READ_EVENTS->SYSTEM,Windows File Protection,200,255,1,1
COPY_SCANFILES->C:\PPFS_Scan2
OPEN->C:\PPFS_Scan2
END->

Die Dateien aus dem Ordner C:\PPFS_Scan2 hier dann posten.

**AHT** · 21.04.2011, 14:47

Danach das hier im PPFScanner ausführen. Der Scanner muss das Rech haben, sich Dateien aus dem Netz herunterzuladen:

Code:

REM->Ordner für die Dateien erstellen!
CREATE_FOLDER->C:\PPFS_Tools
CREATE_FOLDER->C:\PPFS_Scan1
 
REM->MBRCheck.exe herunterladen!
DOWNLOAD->http://ad13.geekstogo.com/MBRCheck.exe>C:\PPFS_Tools\giggle3.exe
REM->MBRCheck starten!
RUN->"C:\PPFS_Tools\giggle3.exe" -c -z -q
COPY_SCANFILES->C:\PPFS_Scan1
END->

Auf dem Desktop befindet sich danach eine Datei MBRCheck...
Den Inhalt dieser Textdatei hier posten.

Hubbahub · 21.04.2011, 16:17

Aus dem Ordner PPFS_Scan2:

Eventlog.txt
Scripting.txt

Und dann noch: File-Upload.net - MBRCheck_04.21.11_16.14.14.txt

**AHT** · 21.04.2011, 18:40

Malwarebytes installieren. Update ausführen. Ein kompletter Scan, alle Funde löschen und den Report posten.
Führe anschließend einen System Neustart durch!

Interessant:

Code:

20.4.2011 23:22 Uhr 34s 
Record #61826
Computername->NIKKEY
Windows File Protection:
Information
Es wurde versucht, die geschützte Systemdatei ctfmon.exe zu ersetzen.
Diese Datei wurde von der Originalversion wiederhergestellt, um die Systemstabilität zu gewährleisten.
Die Dateiversion der ungültigen Datei ist 0.0.0.1; die Version der Systemdatei ist 5.1.2600.5512.

21.04.2011, 09:56	#1 (Direktlink)
Hubbahub Erfolgreich angemeldet Registriert seit: 21.04.2011 Beiträge: 9	Probleme mit TR/ATRAPS.Gen2 Hallo! Antivir hat auf meinem Rechner oben genannten Trojaner TR/ATRAPS.Gen2 in der Datei netoyuvi.dll gefunden. Wenn ich die Datei lösche oder in die Quarantäne verschiebe, wird mein komplettes Windows nahezu unbedienbar, weil nach praktisch jeder Aktion die Meldung "konnte die Datei netoyuvi.dll nicht finden", oft mehrmals hintereinander, aufpoppt. Abgesehen von Firefox lässt sich zwar dann doch trotzdem fast alles benutzen, aber das ist ja auf die Dauer kein Zustand. Wer kann mir helfen, diesen nervigen Störenfried wieder loszuwerden? Wenns geht bitte ohne komplette Neuinstallation von Windows.

21.04.2011, 09:58	#2 (Direktlink)
AHT Super-Moderator Registriert seit: 15.02.2009 Beiträge: 10.786	Von hier den PPFScanner herunterladen und die ZIP in einen eigenen Ordner entpacken (zum Beispiel nach C:\PPFS). Danach die PPFScan.exe starten. Klicke im PPFScanner oben links auf den Menüpunkt Programm, es öffnet sich dann ein Untermenü. Wähle im Untermenü Script laden und ausführen. Du hast dann im daraufhin erscheinenden Dialog die Möglichkeit, durch die Ordner zu browsen und eine Datei auszuwählen. Wähle hier die Datei Erweiterter Scan.scp aus, die sich im PPFScanner Ordner befindet, klicke dann auf Öffnen und bestätige die erscheinende Messagebox mitJa. Auf Nachfrage Dateien überschreiben lassen. Nach dem Scan beendet sich der Scanner. Es befinden sich dann im Ordner C:\PPF_Scan1 einige Text-Dateien. Lade bitte alle Dateien, die du dort findest, bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier. __________________ ______________ Bitte Schnelltest durchführen: Neuer Virus, ahnungslose User seit Monaten infiziert! Mfg AHT

21.04.2011, 11:07	#4 (Direktlink)
AHT Super-Moderator Registriert seit: 15.02.2009 Beiträge: 10.786	GMER herunterladen (Download EXE) und ausführen: http://www.gmer.net/ Button Scan drücken und zuende scannen lassen. LOG hier posten. Du hast einen Downloader auf dem Rechner - da kann noch mehr sitzen. Machst du Online-Banking? __________________ ______________ Bitte Schnelltest durchführen: Neuer Virus, ahnungslose User seit Monaten infiziert! Mfg AHT Geändert von AHT (21.04.2011 um 11:35 Uhr)

21.04.2011, 12:45	#6 (Direktlink)
AHT Super-Moderator Registriert seit: 15.02.2009 Beiträge: 10.786	Lade dir nun bitte Combofix ComboFix.exe Version /auf dem >>Desktop<< speichern und ausführen (vor dem Ausführen aber unbedingt dein Antivirenprogramm beenden, Guard stoppen reicht), klicke die Hardware Warnmeldung weg (keine Angst das Prog. ist sicher trotz der Meldung) nichts machen, keine Mausbewegung, abwarten der PC startet neu das Log was erscheint dann posten __________________ ______________ Bitte Schnelltest durchführen: Neuer Virus, ahnungslose User seit Monaten infiziert! Mfg AHT

21.04.2011, 13:38	#8 (Direktlink)
AHT Super-Moderator Registriert seit: 15.02.2009 Beiträge: 10.786	Hast du eine XP-Prof CD parat? __________________ ______________ Bitte Schnelltest durchführen: Neuer Virus, ahnungslose User seit Monaten infiziert! Mfg AHT

21.04.2011, 10:43	#3 (Direktlink)
Hubbahub Erfolgreich angemeldet Registriert seit: 21.04.2011 Beiträge: 9	Drivers.txt Eventlog.txt Files.txt Firewall.txt Hidden.txt MD5.txt Modules.txt ppFiles.txt ppRegistry.txt Processes.txt Scripting.txt Services.txt Warnings.txt

21.04.2011, 13:30	#7 (Direktlink)
Hubbahub Erfolgreich angemeldet Registriert seit: 21.04.2011 Beiträge: 9	File-Upload.net - ComboFix.txt Der Vorgang wirkte ja äußerst vielversprechend.

21.04.2011, 13:53	#9 (Direktlink)
Hubbahub Erfolgreich angemeldet Registriert seit: 21.04.2011 Beiträge: 9	Muss ich eben raussuchen. Und was soll ich dann damit machen?

21.04.2011, 14:01	#10 (Direktlink)
AHT Super-Moderator Registriert seit: 15.02.2009 Beiträge: 10.786	Brauchen wir für einen weiteren Test. CD bei laufendem Windows einlegen, alles was startet abbrechen. PPFScan.exe starten. In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen: Code: CREATE_FOLDER->C:\PPFS_Scan4 CREATE_FOLDER->C:\PPFS_Tools CREATE_FOLDER->C:\PPFS_Sicherung REGISTRY_ENUM->HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup CREATE_BATCH_FILE->C:\PPFS_Tools\SFC_BATCH.BAT WRITE_BATCH->SFC /SCANNOW OPEN->C:\PPFS_Tools\SFC_BATCH.BAT SLEEP->200000 COPY_SCANFILES->C:\PPFS_Scan4 END-> Klicke dann auf den Button Script ausführen und bestätige die erscheinende Messagebox mit Ja. Es startet eine Überprüfung deiner Systemdateien. Ist die beendet, bitte melden. Wir holen uns dann die Daten des Scans. __________________ ______________ Bitte Schnelltest durchführen: Neuer Virus, ahnungslose User seit Monaten infiziert! Mfg AHT

21.04.2011, 14:32	#11 (Direktlink)
Hubbahub Erfolgreich angemeldet Registriert seit: 21.04.2011 Beiträge: 9	Fertig.

21.04.2011, 14:44	#12 (Direktlink)
AHT Super-Moderator Registriert seit: 15.02.2009 Beiträge: 10.786	Jetzt mit dem PPFScanner das Script hier ausführen: Code: CREATE_FOLDER->C:\PPFS_Scan2 READ_EVENTS->SYSTEM,Windows File Protection,200,255,1,1 COPY_SCANFILES->C:\PPFS_Scan2 OPEN->C:\PPFS_Scan2 END-> Die Dateien aus dem Ordner C:\PPFS_Scan2 hier dann posten. __________________ ______________ Bitte Schnelltest durchführen: Neuer Virus, ahnungslose User seit Monaten infiziert! Mfg AHT

21.04.2011, 14:47	#13 (Direktlink)
AHT Super-Moderator Registriert seit: 15.02.2009 Beiträge: 10.786	Danach das hier im PPFScanner ausführen. Der Scanner muss das Rech haben, sich Dateien aus dem Netz herunterzuladen: Code: REM->Ordner für die Dateien erstellen! CREATE_FOLDER->C:\PPFS_Tools CREATE_FOLDER->C:\PPFS_Scan1 REM->MBRCheck.exe herunterladen! DOWNLOAD->http://ad13.geekstogo.com/MBRCheck.exe>C:\PPFS_Tools\giggle3.exe REM->MBRCheck starten! RUN->"C:\PPFS_Tools\giggle3.exe" -c -z -q COPY_SCANFILES->C:\PPFS_Scan1 END-> Auf dem Desktop befindet sich danach eine Datei MBRCheck... Den Inhalt dieser Textdatei hier posten. __________________ ______________ Bitte Schnelltest durchführen: Neuer Virus, ahnungslose User seit Monaten infiziert! Mfg AHT

21.04.2011, 16:17	#14 (Direktlink)
Hubbahub Erfolgreich angemeldet Registriert seit: 21.04.2011 Beiträge: 9	Aus dem Ordner PPFS_Scan2: Eventlog.txt Scripting.txt Und dann noch: File-Upload.net - MBRCheck_04.21.11_16.14.14.txt

21.04.2011, 18:40	#15 (Direktlink)
AHT Super-Moderator Registriert seit: 15.02.2009 Beiträge: 10.786	Malwarebytes installieren. Update ausführen. Ein kompletter Scan, alle Funde löschen und den Report posten. Führe anschließend einen System Neustart durch! Interessant: Code: 20.4.2011 23:22 Uhr 34s Record #61826 Computername->NIKKEY Windows File Protection: Information Es wurde versucht, die geschützte Systemdatei ctfmon.exe zu ersetzen. Diese Datei wurde von der Originalversion wiederhergestellt, um die Systemstabilität zu gewährleisten. Die Dateiversion der ungültigen Datei ist 0.0.0.1; die Version der Systemdatei ist 5.1.2600.5512. __________________ ______________ Bitte Schnelltest durchführen: Neuer Virus, ahnungslose User seit Monaten infiziert! Mfg AHT

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
css probleme über probleme..	Spatenpeter	Computerspiele	0	17.05.2008 14:26
Probleme über Probleme	Karamalzjunkie	Hardware - Problemlösungen	7	25.05.2005 08:47
Probleme über Probleme!	Huntera	Hardware - Problemlösungen	9	10.01.2004 21:52
Computer aufgerüstet, Hardware Probleme o. Software Probleme	Der_Gast	Hardware - Problemlösungen	7	23.07.2003 17:35
probleme über probleme	Honkiemaster	Hardware - Problemlösungen	16	09.02.2003 20:44