Seit einigen Tagen ist der Trojaner W32/DotTorrent.A sehr aktiv. Es ist ein sehr trickreicher Trojaner, der dem Anwender vorgaukelt, ein Antiviren-Scanner zu sein. Nachdem er sich im System eingenistet hat, scant der den PC und zeigt angeblich Dateien an, die ein Urheberrecht verletzen.
Anschließend wird z.B. folgende Meldung auf dem Bildschirm angezeigt, die auch nach jeder Anmeldung sofort auf dem Monitor sichtbar wird.
Der Text lautet wie folgt:
Benachrichtigung über Urheberrecht Verletzung
Windows hat festgestellt, dass Sie Inhalte, die unter Verstoß gegen das Urheberrecht ihrer jeweiligen Eigentümer heruntergeladen wurden, verwenden. Bitte lesen Sie die folgenden Informationen und versuchen, die Läsung des Problems in einem der empfohlenen Art und Weise, zu finden.
Auf dieser Seite und der folgenden wird der Anwender nun aufgefordert, 400€ über eine Kreditkarte an die Organisation ICPP-Online.com zu überweisen und damit der Urheberrechtsverletzung zu entgehen. Dies ist allerdings sehr wahrscheinlich nur ein Fake, denn der eigentliche Sinn dieses Trojaners ist, an die Kreditkartendaten der Anwender zu kommen. Einen rechtlichen Hintergrund hat der Unsinn natürlich überhaupt nicht.
Der Trojaner erscheint in der jeweiligen Landessprache und scheint sehr ausgefeilt zu sein. Auch bei der Entfernung benötigt es einige Handarbeit um den Trojaner rückstandslos zu entfernen. Den Trojaner scheint es in 2 Varianten zu geben, einmal als IQMANAGER.EXE und einmal als APMANAGER.EXE.
Entfernen des Trojaners W32/DotTorrent.A
Zunächst habe ich es auf herkömmliche Art und Weise versucht, per Antivirenprogramm von TrendMicro – Ohne Erfolg. Dann den Windows Defender ausprobiert, ebenfalls ohne Erfolg. Nach einige Suche im Internet wurde ich bei F-Secure fündig, der auf diesen Trojaner aufmerksam macht und der Online Scanner von F-Secure soll den Trojaner komplett entfernen – Pustekuchen, funktioniert auch nicht!
Jedesmal, wenn der Anwender sich anmeldet, erscheint der Trojaner sofort wieder. Ein Wegklicken der 2 Fenster ist nicht möglich, ohne Eingabe erscheinen sie immer wieder. Ich habe dann den Taskmanager aufgerufen und den Prozess „apmanager.exe“ gekillt. Danach verschwand zwar das Fenster, aber ich konnte trotzdem mit dem PC nicht arbeiten. Dann über den Taskmanager noch die „explorer.exe“ aufgerufen, damit die Anmeldung abgeschlossen wird.
Nun war zumindest das Profil des Users wieder geladen. Anschließend mit Administrator Rechten den Registrierungseditor gestartet und nach APMANAGER gesucht. Alle entsprechenden Verknüpfungen zu dem Programm in der Registry gelöscht.
Ebenso alle unklaren Einträge aus dem Autostart Menü entfernt und den Programmordner APMANGER, der unter C:\Dokumente und Einstellungen\Username\Anwendungendaten liegt, komplett mit Inhalt gelöscht.
Danach habe ich den PC neu gestartet und nun war der PC und das Profil des Users wieder sauber!
Empfohlene Beiträge
-
Citrix Event ID 9017 im Ereignisprotokoll eines XenApp Servers -
Error „Der Server konnte keinen ausgelagerten Poolspeicher ….“ ID 2020 beseitigen -
Automatische Java Updates deaktivieren
-
Ordnerumleitungen – Profil Probleme nach Serverausfall -
Nach Anmeldung nur TEMP Profile Verzeichnis verfügbar (Error 1515)
-
Desktop Symbole des Users „All Users“ einrichten
-
„An Item with the same key has already been added“ Fehlermeldung im VAMT
-
Entfernung Trojaner TSPY_ONLINEG.IUD / VirTool.Win32.Obfuscator.XZ
-
Profil Verzeichnisse ohne Berechtigung kopieren
-
Trend Micro Officescan 10 bereitet Probleme unter Windows 7
-
Office 2013 Installationsfehler – Das hat leider nicht geklappt
-
32-Bit Drucker Treiberprobleme auf einem Windows Server 2008 R2 -
UAC (Benutzerkontensteuerung) per Kommandozeile ein-/ausschalten -
Windows User Profile in der Registry löschen
-
Robocopy mit Parameter /MT beschleunigen
-
Office wird installiert – Bitte stellen Sie die Internetverbindung wieder her
-
Windows Benutzerprofil löschen
-
Server 2008 R2 SP1 Installation auf Citrix XenApp6 -
Vista – Die Updates konnte nicht konfiguriert werden …. ??
Super, vielen vielen Dank für den Tipp, ich hatte das Schei… Ding auch auf meinem PC. Perfekte Anleitung, bei mir war das Ding innerhalb von 5 Minuten weg!
Danke nochmals
Theo
hi, leider lässt sicht der task manager nicht mehr starten ( fehlt einfach bei den optionen nach drücken von strg+alt+entfernen) nutze vista 32 bit
gesicherter modus brachte auch nix sowie vorstart mit antiviren cd
bitte um hilfe
@Theo: Kannst Du Dich noch mit einem anderen Account an Deinem PC anmelden und den Vorgang dann über einen anderen User durchführen?
SWIe zum Henker habe ich mir den eingefangen? Habe nur sichere Dateien geöffnet :/
@Jonas: Ich gehe stark davon aus durch Surfen auf irgendwelchen verseuchten Seiten, so war das jedenfalls ein uns der Fall. Konntest Du das Ding entfernen?
@Michael:Ja so wird es wahrscheinlich gewesen sein.
Den Trojaner an sich habe ich entfernt, jetzt bin ich grad am bereinigen der malware drumrum(ave.exe etc). Ladet euch am besten einen autostart-manager runter, falls der Trojaner msconfig blockt.
hey,
hab die scheiße auch aufm notebook,(XP) problem ist, ich kann per strg alt entf nicht mal den taskmanager öffnen, weil sofort ne meldung kommt : „diese aktion wurde vom administrator geblockt“
was nun? ich habe nun wirklich keinerlei optionen an irgendeine art von windows funktion zu kommen, wie soll ich das ganze dann mit nem anti malware prog entfernen? oder deine oben genannte anleitung verfolgen?
Danke zunächst für den Tip mit dem Taskmanger. Benutze Windows 7. Wenn ich im Registrierungseditor nach apmanager suche findet der nix. Habe unter Bearbeiten\Berechtigungen die Administratorenrechte freigegeben. Trotzdem findet der nix. Und unter c:\Benutzer\…. finde ich auch kein apmanager. Kann mir da jemand helfen?
@Sascha: Hast Du mal nach IQMANAGER.EXE geschaut? Der Trojaner tritt in verschiedenen Versionen auf!
@Jo: Hast Du Admin Rechte auf dem PC?? Kannst Du den PC evtl. im abgesicherten Modus hochfahren und dann das alles nochmals ausprobieren?
VG
Michael
Hab das gleiche problem wie „jo“ und in den abgesicherten modus komm ich auch nicht. was kann ich nun tun? (bin eigentlich der admin)
Habe „apmanager.exe“ gelöscht und das Fenster ist verschwunden. Soweit so gut. Leider finde ich keine „explorer.exe“, die mich wieder auf meinen PC lassen soll. Was soll ich tun?
@Zeus: Warum kannst Du den PC im abgesicherten Modus (F8 beim Booten) nicht starten?
@Christoph: Normalerweise sollte Windows die explorer.exe immer automatisch finden, sie ist im path eigentlich immer enthalten. Was kommt denn für eine Fehlermeldung?
Michael: Es kommt keine Fehlermeldung. Ich finde bei den Prozessen keine „explorer.exe“. So habe ich das zumindest in der Anleitung verstanden.
Was ist denn path?
@Christoph: Sorry, ich hab vielleicht zu viel vorrausgesetzt. Ich meine im Taskmanager folgendes:
Datei
Neuer Task (Ausführen)
Explorer.exe
OK
Dann sollte es eigentlich funktionieren, oder?
VG
Michael
Michael: Lass Dich knutschen. Vielen Dank. Mach weiter so.
hey ho.
ich habe diesen trojaner auch 🙁
aus der registrierung habe ich alles gelöscht, was zum manager gefunden wurde, aber der ordner der bei dokumente und einstellungen liegt, lässt sich nicht löschen.
der virus bleibt weiterhin bestehen 🙁
Hallo,
ich hab das Teil auch grad entfernen müssen. Am besten Ihr nehmt eine BootCD
z.B:: UBCD von http://www.chip.de/downloads/Ultimate-Boot-CD-fuer-Windows_29706480.html
Damit könnt Ihr dann euren PC ohne die verseuchten PC Einstellungen booten. Anschließend hab ich alle APManger Dateien und das komplette Verzeichnis unter C:\Dokumente und Einstellungen\Username\Anwendungendaten\APMANAGER oder auch ARMANAGER gelöscht.
Abgesichertes Starten funktionierte bei mir auch nicht.
Gruß
Mike
noch ein Nachtrag:
Wenn der PC dann normal bootet unbedingt malwarebytes laufen lassen. Hat beimir noch etliche Sachen gefunden und sauber entfernt. Das Tool ist kostenlos.
http://www.malwarebytes.org/mbam-download.php
Hi, hatte auch so sch…. Virus, nach dem ich apmanager.exe gekillt habe und explorer.exe aufgerufen habe, habe ich mit combofix.exe mein ganzes PC gescant, combofix gebe ich *****, bewirkt wunder.
gruß
Samir
Hi,
also im abgesicherten Modus kann ich apmanager.exe schließen und explorer.exe ausführen, so dass der PC zumindest läuft.
Aber sonst kann ich auf nix zugreifen/ausführen.
Bei regedit habe ich auch das Problem mit den Admin-Rechten, aber leider kann ich ja nicht auf die Systemsteuerung zugreifen.
Dann habe ich auf meinem Laptop (mit dem ich zurzeit auch surfe etc.) die exe Datei von der UBCD runtergeladen, ausgeführt etc. aber der gibt mir jedes mal nen Fehler beim Download oder so bzgl. Hash-Datei oder MD5 Datei (oder sowas)! Jedenfalls geht’s danach weiter etc. und das Prog wird ausgeführt.
Aber ich kann weder eine iso erstellen noch ne CD brennen. Meldung:
Quellordner ungültig (Fehler bei der Suche nach C:\UBCD4Win\i386\setupldr.bin