Probleme mit TR/ATRAPS.Gen2

    Hallo!


    Antivir hat auf meinem Rechner oben genannten Trojaner TR/ATRAPS.Gen2 in der Datei netoyuvi.dll gefunden. Wenn ich die Datei lösche oder in die Quarantäne verschiebe, wird mein komplettes Windows nahezu unbedienbar, weil nach praktisch jeder Aktion die Meldung "konnte die Datei netoyuvi.dll nicht finden", oft mehrmals hintereinander, aufpoppt.


    Abgesehen von Firefox lässt sich zwar dann doch trotzdem fast alles benutzen, aber das ist ja auf die Dauer kein Zustand. ;)


    Wer kann mir helfen, diesen nervigen Störenfried wieder loszuwerden? Wenns geht bitte ohne komplette Neuinstallation von Windows. ;)

    • Von hier den PPFScanner herunterladen und die ZIP in einen eigenen Ordner entpacken (zum Beispiel nach C:\PPFS).
    • Danach die PPFScan.exe starten.
    • Klicke im PPFScanner oben links auf den Menüpunkt Programm, es öffnet sich dann ein Untermenü.
    • Wähle im Untermenü Script laden und ausführen.
    • Du hast dann im daraufhin erscheinenden Dialog die Möglichkeit, durch die Ordner zu browsen und eine Datei auszuwählen. Wähle hier die Datei Erweiterter Scan.scp aus, die sich im PPFScanner Ordner befindet, klicke dann auf Öffnen und bestätige die erscheinende Messagebox mit Ja.
    • Auf Nachfrage Dateien überschreiben lassen.
    • Nach dem Scan beendet sich der Scanner. Es befinden sich dann im Ordner C:\PPF_Scan1 einige Text-Dateien. Lade bitte alle Dateien, die du dort findest, bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier.

    Lade dir nun bitte Combofix ComboFix.exe Version /auf dem >>Desktop<< speichern und ausführen (vor dem Ausführen aber unbedingt dein Antivirenprogramm beenden, Guard stoppen reicht), klicke die Hardware Warnmeldung weg (keine Angst das Prog. ist sicher trotz der Meldung) nichts machen, keine Mausbewegung, abwarten der PC startet neu das Log was erscheint dann posten

    Brauchen wir für einen weiteren Test.

    • CD bei laufendem Windows einlegen, alles was startet abbrechen.
    • PPFScan.exe starten.
    • In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen:
    Code
    CREATE_FOLDER->C:\PPFS_Scan4
CREATE_FOLDER->C:\PPFS_Tools
CREATE_FOLDER->C:\PPFS_Sicherung
REGISTRY_ENUM->HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup
CREATE_BATCH_FILE->C:\PPFS_Tools\SFC_BATCH.BAT
WRITE_BATCH->SFC /SCANNOW
OPEN->C:\PPFS_Tools\SFC_BATCH.BAT
SLEEP->200000
COPY_SCANFILES->C:\PPFS_Scan4
END->


    • Klicke dann auf den Button Script ausführen und bestätige die erscheinende Messagebox mit Ja.
    • Es startet eine Überprüfung deiner Systemdateien. Ist die beendet, bitte melden. Wir holen uns dann die Daten des Scans.

    Jetzt mit dem PPFScanner das Script hier ausführen:

    Code
    CREATE_FOLDER->C:\PPFS_Scan2
READ_EVENTS->SYSTEM,Windows File Protection,200,255,1,1
COPY_SCANFILES->C:\PPFS_Scan2
OPEN->C:\PPFS_Scan2
END->


    Die Dateien aus dem Ordner C:\PPFS_Scan2 hier dann posten.

    Danach das hier im PPFScanner ausführen. Der Scanner muss das Rech haben, sich Dateien aus dem Netz herunterzuladen:

    Code
    REM->Ordner für die Dateien erstellen!
CREATE_FOLDER->C:\PPFS_Tools
CREATE_FOLDER->C:\PPFS_Scan1
 
REM->MBRCheck.exe herunterladen!
DOWNLOAD->http://ad13.geekstogo.com/MBRCheck.exe>C:\PPFS_Tools\giggle3.exe
REM->MBRCheck starten!
RUN->"C:\PPFS_Tools\giggle3.exe" -c -z -q
COPY_SCANFILES->C:\PPFS_Scan1
END->


    Auf dem Desktop befindet sich danach eine Datei MBRCheck...
    Den Inhalt dieser Textdatei hier posten.

    Malwarebytes installieren. Update ausführen. Ein kompletter Scan, alle Funde löschen und den Report posten.
    Führe anschließend einen System Neustart durch!


    Interessant:

    Code
    20.4.2011 23:22 Uhr 34s Record #61826Computername->xxxWindows File Protection:InformationEs wurde versucht, die geschützte Systemdatei ctfmon.exe zu ersetzen.Diese Datei wurde von der Originalversion wiederhergestellt, um die Systemstabilität zu gewährleisten.Die Dateiversion der ungültigen Datei ist 0.0.0.1; die Version der Systemdatei ist 5.1.2600.5512.

    Einmal editiert, zuletzt von Volkmar ()

    Systemwiederherstellung deaktivieren, ein paar Minuten warten, danach wieder aktivieren.

    Du hattest eine Miese Sache auf dem Rechner. Dateien des Betriebsystems wurden verändert (unter anderem, um Passwörter zu stehlen). Einmal hat das geklappt (imm32.dll), ein anders Mal nicht (ctfmon.exe). Desweiteren war ein Malware Downloader bei dir installiert - der zieht sich zusätzlich weitere Viren auf den Rechner.

    Zur Zeit kann ich da nichts mehr erkennen, es wäre aber trotzdem das sicherste, den Rechner neu aufzusetzen.


    Rechner rebooten, danach alle Passwörter ändern (EBAY, E-Mail,...)

    Malwarebytes deinstallieren. Combofix PPFScanner und C:\QBOX löschen.

    Du hast dir scheinbar ein Programm heruntergeladen, um eigene (vergessene) Passwörter aufzudecken. Sei mit solcher Art von Software etwas vorsichtig. Man weiß nie, wo diese Passwörter nachher hingehen und es ist sehr einfach, sie an deiner Firewall unbemerkt vorbeizuschleusen.

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!

Benutzerkonto erstellen Anmelden