Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: C:\WINDOWS\Installer\...\80000000.@ Ist das Trojanische Pferd TR/ATRAPS.Gen

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 05.08.2012, 22:57   #1
Maira
 
C:\WINDOWS\Installer\...\80000000.@ Ist das Trojanische Pferd TR/ATRAPS.Gen - Standard

C:\WINDOWS\Installer\...\80000000.@ Ist das Trojanische Pferd TR/ATRAPS.Gen



Guten Abend,

ich bin neu hier im Forum und wäre sehr, sehr froh, wenn mir jemand bei der Beseitigung von 2 Trojanern helfen könnte, die mir seit etwa 4 Stunden auf meinem PC von Avira gemeldet werden.

Ich habe versucht, mich in anderen Beiträgen schlau zu machen, und gesehen, dass es auch bereits einige dazu gibt, kenne mich aber insgesamt nicht sehr gut mit Computern aus und hab nicht alles verstanden, weshalb ich jetzt doch noch mal persönlich um Eure Hilfe bitte.

Ich bekomme vom Avira AntiVirGuard andauernd die Meldung von 2 Funden "TR/ATRAPS.Gen" und "TR/ATRAPS.Gen2" angezeigt, woraufhin ich jedesmal auf "in Quarantäne verschieben" klicke, damit das Fenster wenigstens für ein paar Minuten weggeht. Nach der ersten Meldung habe ich meine Externe Festplatte vom PC getrennt und einen Virenscan mit Avira durchgeführt, der mir dann die folgenden Meldungen angezeigt hat:

C:\WINDOWS\Installer\{1ef915e5-c8b9-166e-a5dc-6d8ec16fc458}\U\80000000.@ Ist das Trojanische Pferd TR/ATRAPS.Gen
und
C:\WINDOWS\Installer\{1ef915e5-c8b9-166e-a5dc-6d8ec16fc458}\U\800000eb.@ Ist das Trojanische Pferd TR/ATRAPS.Gen2

Ich habe jetzt gelesen, dass der Computer wahrscheinlich komplett neu gemacht werden muss, wäre aber sehr froh, wenn es auch anders ginge..
Sollte es tatsächlich nur so gehen, hätte ich noch die Frage: wie sichere ich meine Daten, ohne dass schädliche Dateien mit auf die Externe Festplatte kommen könnten (muss nämlich leider noch eine ganze Menge Daten sichern, da das PC-aufräumen-und Daten-gescheit-sichern-und-Virenprogramm-updaten eigentlich für die kommende Woche (nach Semester- und Prüfungs-Abschluss) geplant war (grrmpf))?
Und bis dahin - kann ich denn jetzt noch mails schreiben, oder versende ich dann schlimmstenfalls das Virus mit?

Hier meine Avira-Meldung (wahrscheinlich fügt man's anders ein, aber ich weiß nicht, wie, sorry):


Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Sonntag, 5. August 2012 20:10

Es wird nach 4059199 Virenstämmen gesucht.

Lizenznehmer : Avira Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : MW
Computername : COMPUTADOR

Versionsinformationen:
BUILD.DAT : 9.0.0.429 21701 Bytes 06.10.2010 09:59:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 19.11.2009 23:57:32
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 23:57:32
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 19:57:16
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 22:35:05
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 18:38:05
VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 22:07:53
VBASE005.VDF : 7.11.34.116 4034048 Bytes 29.06.2012 21:20:10
VBASE006.VDF : 7.11.34.117 2048 Bytes 29.06.2012 21:20:10
VBASE007.VDF : 7.11.34.118 2048 Bytes 29.06.2012 21:20:10
VBASE008.VDF : 7.11.34.119 2048 Bytes 29.06.2012 21:20:10
VBASE009.VDF : 7.11.34.120 2048 Bytes 29.06.2012 21:20:10
VBASE010.VDF : 7.11.34.121 2048 Bytes 29.06.2012 21:20:11
VBASE011.VDF : 7.11.34.122 2048 Bytes 29.06.2012 21:20:11
VBASE012.VDF : 7.11.34.123 2048 Bytes 29.06.2012 21:20:11
VBASE013.VDF : 7.11.34.124 2048 Bytes 29.06.2012 21:20:11
VBASE014.VDF : 7.11.38.18 2554880 Bytes 30.07.2012 21:04:52
VBASE015.VDF : 7.11.38.70 556032 Bytes 31.07.2012 20:11:47
VBASE016.VDF : 7.11.38.143 171008 Bytes 02.08.2012 18:08:32
VBASE017.VDF : 7.11.38.144 2048 Bytes 02.08.2012 18:08:32
VBASE018.VDF : 7.11.38.145 2048 Bytes 02.08.2012 18:08:32
VBASE019.VDF : 7.11.38.146 2048 Bytes 02.08.2012 18:08:32
VBASE020.VDF : 7.11.38.147 2048 Bytes 02.08.2012 18:08:32
VBASE021.VDF : 7.11.38.148 2048 Bytes 02.08.2012 18:08:32
VBASE022.VDF : 7.11.38.149 2048 Bytes 02.08.2012 18:08:32
VBASE023.VDF : 7.11.38.150 2048 Bytes 02.08.2012 18:08:32
VBASE024.VDF : 7.11.38.151 2048 Bytes 02.08.2012 18:08:32
VBASE025.VDF : 7.11.38.152 2048 Bytes 02.08.2012 18:08:32
VBASE026.VDF : 7.11.38.153 2048 Bytes 02.08.2012 18:08:33
VBASE027.VDF : 7.11.38.154 2048 Bytes 02.08.2012 18:08:33
VBASE028.VDF : 7.11.38.155 2048 Bytes 02.08.2012 18:08:33
VBASE029.VDF : 7.11.38.156 2048 Bytes 02.08.2012 18:08:33
VBASE030.VDF : 7.11.38.157 2048 Bytes 02.08.2012 18:08:33
VBASE031.VDF : 7.11.38.202 119808 Bytes 04.08.2012 20:15:10
Engineversion : 8.2.10.126
AEVDF.DLL : 8.1.2.10 102772 Bytes 10.07.2012 19:49:33
AESCRIPT.DLL : 8.1.4.38 455033 Bytes 03.08.2012 18:08:37
AESCN.DLL : 8.1.8.2 131444 Bytes 26.01.2012 23:08:33
AESBX.DLL : 8.2.5.12 606578 Bytes 14.06.2012 19:45:11
AERDL.DLL : 8.1.9.15 639348 Bytes 09.09.2011 19:35:18
AEPACK.DLL : 8.3.0.18 807287 Bytes 28.07.2012 13:40:53
AEOFFICE.DLL : 8.1.2.42 201083 Bytes 20.07.2012 21:09:33
AEHEUR.DLL : 8.1.4.84 5112182 Bytes 03.08.2012 18:08:37
AEHELP.DLL : 8.1.23.2 258422 Bytes 28.06.2012 21:19:48
AEGEN.DLL : 8.1.5.34 434548 Bytes 20.07.2012 21:09:14
AEEXP.DLL : 8.1.0.74 86387 Bytes 03.08.2012 18:08:37
AEEMU.DLL : 8.1.3.2 393587 Bytes 10.07.2012 19:49:32
AECORE.DLL : 8.1.27.2 201078 Bytes 10.07.2012 19:49:32
AEBB.DLL : 8.1.1.0 53618 Bytes 25.04.2010 18:09:04
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56
AVPREF.DLL : 9.0.3.0 44289 Bytes 25.10.2009 21:34:52
AVREP.DLL : 10.0.0.9 174120 Bytes 05.03.2011 22:08:27
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:37
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 14:35:17
RCTEXT.DLL : 9.0.73.0 87297 Bytes 19.11.2009 23:57:30

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Sonntag, 5. August 2012 20:10

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '59928' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AliceCnn.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess '3003734.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CALMAIN.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RichVideo.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mdm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSSrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'InCDsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'REMIND32.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ScnPanel.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HTARLauncher.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LightScribeControlPanel.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AdobeARM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpztsb04.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'InCD.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NBHGui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'fwupdate.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PDVDServ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'INSTAN~1.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '44' Prozesse mit '44' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '69' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\WINDOWS\Installer\{1ef915e5-c8b9-166e-a5dc-6d8ec16fc458}\U\80000000.@
[FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen
C:\WINDOWS\Installer\{1ef915e5-c8b9-166e-a5dc-6d8ec16fc458}\U\800000cb.@
[FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen2
Beginne mit der Suche in 'D:\'

Beginne mit der Desinfektion:
C:\WINDOWS\Installer\{1ef915e5-c8b9-166e-a5dc-6d8ec16fc458}\U\80000000.@
[FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen
[WARNUNG] Die Datei wurde ignoriert.
C:\WINDOWS\Installer\{1ef915e5-c8b9-166e-a5dc-6d8ec16fc458}\U\800000cb.@
[FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen2
[WARNUNG] Die Datei wurde ignoriert.


Ende des Suchlaufs: Sonntag, 5. August 2012 22:30
Benötigte Zeit: 1:34:31 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

10158 Verzeichnisse wurden überprüft
263046 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
263042 Dateien ohne Befall
2428 Archive wurden durchsucht
4 Warnungen
2 Hinweise
59928 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden





und dies ist OTL.txt:


OTL logfile created on: 05.08.2012 22:32:20 - Run 1
OTL by OldTimer - Version 3.2.56.0 Folder = C:\Dokumente und Einstellungen\MW\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

1023,01 Mb Total Physical Memory | 439,49 Mb Available Physical Memory | 42,96% Memory free
2,40 Gb Paging File | 1,87 Gb Available in Paging File | 77,83% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 39,06 Gb Total Space | 4,07 Gb Free Space | 10,42% Space Free | Partition Type: NTFS
Drive D: | 109,98 Gb Total Space | 67,91 Gb Free Space | 61,75% Space Free | Partition Type: NTFS

Computer Name: COMPUTADOR | User Name: MW | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days

========== Processes (SafeList) ==========

PRC - [2012.08.05 22:23:22 | 000,596,480 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\MW\Desktop\OTL.exe
PRC - [2012.08.05 19:57:29 | 000,089,032 | ---- | M] (IO-DATA) -- C:\Dokumente und Einstellungen\MW\Lokale Einstellungen\Temp\3003734.exe
PRC - [2012.07.19 22:19:03 | 000,913,888 | ---- | M] (Mozilla Corporation) -- C:\Programme\Mozilla Firefox\firefox.exe
PRC - [2012.05.04 19:29:46 | 000,161,664 | ---- | M] (Oracle Corporation) -- C:\Programme\Oracle\JavaFX 2.1 Runtime\bin\jqs.exe
PRC - [2012.01.17 11:07:54 | 000,252,296 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
PRC - [2012.01.03 09:37:53 | 000,843,712 | ---- | M] (Adobe Systems Incorporated) -- C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe
PRC - [2011.06.18 20:02:30 | 000,273,544 | ---- | M] (RealNetworks, Inc.) -- C:\Programme\Real\RealPlayer\Update\realsched.exe
PRC - [2010.08.26 16:10:32 | 000,386,048 | ---- | M] (Honest Technology) -- C:\Programme\honestech Audio Recorder 2.0 Deluxe\HTARLauncher.exe
PRC - [2009.07.21 14:34:28 | 000,185,089 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe
PRC - [2009.05.13 16:48:18 | 000,108,289 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\sched.exe
PRC - [2009.03.02 13:08:43 | 000,209,153 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe
PRC - [2009.02.23 16:20:19 | 000,403,968 | ---- | M] (Hansenet) -- C:\Programme\Alice\Signup\AliceCnn.exe
PRC - [2008.04.14 08:52:46 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2008.04.14 08:52:36 | 000,256,512 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\msagent\agentsvr.exe
PRC - [2007.12.05 13:34:52 | 000,079,136 | ---- | M] (Hewlett-Packard Company) -- C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
PRC - [2007.12.05 13:30:28 | 002,295,072 | ---- | M] (Hewlett-Packard Company) -- C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe
PRC - [2007.11.26 15:54:22 | 001,629,480 | ---- | M] (Nero AG) -- C:\Programme\Nero\Nero 7\InCD\NBHGui.exe
PRC - [2007.11.26 15:54:12 | 001,554,728 | ---- | M] (Nero AG) -- C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
PRC - [2007.11.26 15:54:02 | 001,057,064 | ---- | M] (Nero AG) -- C:\Programme\Nero\Nero 7\InCD\InCD.exe
PRC - [2007.02.26 11:40:26 | 000,249,856 | ---- | M] (BL) -- C:\Programme\lg_fwupdate\fwupdate.exe
PRC - [2005.09.30 20:22:50 | 000,096,341 | ---- | M] (Canon Inc.) -- C:\Programme\Canon\CAL\CALMAIN.exe
PRC - [2002.01.05 11:22:14 | 001,748,992 | ---- | M] () -- C:\ScanPanel\ScnPanel.exe
PRC - [2001.11.20 06:07:02 | 000,196,608 | ---- | M] (HP) -- C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
PRC - [2001.02.23 11:07:30 | 000,270,336 | ---- | M] (Microsoft Corporation) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
PRC - [2000.04.06 14:26:34 | 000,037,888 | ---- | M] () -- C:\Programme\TextBridge Pro 8.0\Bin\InstantAccess.exe
PRC - [1998.12.14 11:47:52 | 000,045,056 | ---- | M] () -- C:\Programme\TextBridge Pro 8.0\Ereg\REMIND32.EXE


========== Modules (No Company Name) ==========

MOD - [2012.07.28 22:42:44 | 009,465,032 | ---- | M] () -- C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_3_300_268.dll
MOD - [2012.07.19 22:19:01 | 002,003,424 | ---- | M] () -- C:\Programme\Mozilla Firefox\mozjs.dll
MOD - [2009.02.27 17:41:26 | 000,311,296 | ---- | M] () -- C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\pdfshell.DEU
MOD - [2009.02.27 13:56:34 | 000,016,768 | ---- | M] () -- C:\Programme\Adobe\Reader 9.0\Reader\ViewerPS.dll
MOD - [2009.01.28 16:03:49 | 000,326,401 | ---- | M] () -- C:\Programme\Avira\AntiVir Desktop\sqlite3.dll
MOD - [2007.08.14 15:43:46 | 006,365,184 | ---- | M] () -- C:\Programme\Gemeinsame Dateien\LightScribe\QtGui4.dll
MOD - [2007.07.12 13:55:52 | 000,131,072 | ---- | M] () -- C:\Programme\Gemeinsame Dateien\LightScribe\plugins\imageformats\qjpeg4.dll
MOD - [2007.07.12 13:55:28 | 001,581,056 | ---- | M] () -- C:\Programme\Gemeinsame Dateien\LightScribe\QtCore4.dll
MOD - [2007.03.24 22:44:20 | 000,114,688 | ---- | M] () -- C:\Programme\Alice\Signup\sys.plg
MOD - [2007.02.12 18:54:30 | 000,253,952 | ---- | M] () -- C:\Programme\Alice\Signup\dslsetup.plg
MOD - [2005.10.04 18:28:40 | 000,081,920 | ---- | M] () -- C:\Programme\Alice\Signup\htmlpars.plg
MOD - [2005.09.23 19:10:22 | 000,081,920 | ---- | M] () -- C:\Programme\Alice\Signup\alice.plg
MOD - [2005.08.17 20:36:28 | 000,090,112 | ---- | M] () -- C:\Programme\Alice\Signup\Support.plg
MOD - [2005.04.15 13:35:50 | 000,077,824 | ---- | M] () -- C:\Programme\Alice\Signup\SueDsl.plg
MOD - [2002.01.07 13:15:24 | 000,167,936 | R--- | M] () -- C:\WINDOWS\A4.dll
MOD - [2002.01.05 11:22:14 | 001,748,992 | ---- | M] () -- C:\ScanPanel\ScnPanel.exe
MOD - [2001.10.28 17:42:30 | 000,116,224 | ---- | M] () -- C:\WINDOWS\system32\pdfcmnnt.dll
MOD - [2001.10.18 12:01:16 | 000,045,056 | R--- | M] () -- C:\WINDOWS\GetKey.dll
MOD - [2001.02.09 10:00:36 | 000,079,264 | ---- | M] () -- C:\Programme\Microsoft Office\Office10\BLNMGR.DLL
MOD - [2001.02.09 10:00:36 | 000,062,880 | ---- | M] () -- C:\Programme\Microsoft Office\Office10\BLNMGRPS.DLL
MOD - [2000.04.06 14:26:58 | 000,046,080 | ---- | M] () -- C:\Programme\TextBridge Pro 8.0\Bin\WordAccess.dll
MOD - [2000.04.06 14:26:42 | 000,033,280 | ---- | M] () -- C:\Programme\TextBridge Pro 8.0\Bin\OfficeAccess.dll
MOD - [2000.04.06 14:26:36 | 000,008,704 | ---- | M] () -- C:\Programme\TextBridge Pro 8.0\Bin\MSAppAccess.dll
MOD - [2000.04.06 14:26:34 | 000,037,888 | ---- | M] () -- C:\Programme\TextBridge Pro 8.0\Bin\InstantAccess.exe
MOD - [2000.04.06 14:26:30 | 000,035,840 | ---- | M] () -- C:\Programme\TextBridge Pro 8.0\Bin\ExcelAccess.dll
MOD - [1998.12.16 16:37:28 | 000,133,632 | ---- | M] () -- C:\Programme\TextBridge Pro 8.0\Bin\IAResGER.dll
MOD - [1998.12.14 12:35:20 | 000,022,016 | ---- | M] () -- C:\Programme\TextBridge Pro 8.0\Bin\REGDATA.DLL
MOD - [1998.12.14 12:21:24 | 000,119,808 | ---- | M] () -- C:\Programme\TextBridge Pro 8.0\Bin\Tbmhook.dll
MOD - [1998.12.14 12:06:38 | 000,034,304 | ---- | M] () -- C:\Programme\Gemeinsame Dateien\Xerox Shared\VGFILE.DLL
MOD - [1998.12.14 12:06:32 | 000,163,328 | ---- | M] () -- C:\Programme\Gemeinsame Dateien\Xerox Shared\EASYTB32.DLL
MOD - [1998.12.14 11:47:52 | 000,045,056 | ---- | M] () -- C:\Programme\TextBridge Pro 8.0\Ereg\REMIND32.EXE


========== Win32 Services (SafeList) ==========

SRV - [2012.07.19 22:19:02 | 000,113,120 | ---- | M] (Mozilla Foundation) [On_Demand | Stopped] -- C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance)
SRV - [2012.05.04 19:29:46 | 000,161,664 | ---- | M] (Oracle Corporation) [Auto | Running] -- C:\Programme\Oracle\JavaFX 2.1 Runtime\bin\jqs.exe -- (JavaQuickStarterService)
SRV - [2009.07.21 14:34:28 | 000,185,089 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2009.05.13 16:48:18 | 000,108,289 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2007.12.05 13:34:52 | 000,079,136 | ---- | M] (Hewlett-Packard Company) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe -- (LightScribeService)
SRV - [2007.11.26 15:54:12 | 001,554,728 | ---- | M] (Nero AG) [Auto | Running] -- C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe -- (InCDsrv)
SRV - [2007.06.27 19:04:00 | 000,279,848 | ---- | M] (Nero AG) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe -- (NMIndexingService)
SRV - [2005.09.30 20:22:50 | 000,096,341 | ---- | M] (Canon Inc.) [Auto | Running] -- C:\Programme\Canon\CAL\CALMAIN.exe -- (CCALib8)
SRV - [2001.02.23 11:07:30 | 000,270,336 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe -- (MDM)


========== Driver Services (SafeList) ==========

DRV - File not found [Kernel | On_Demand | Stopped] -- -- (WDICA)
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDRELI)
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDCOMP)
DRV - File not found [Kernel | System | Stopped] -- -- (PCIDump)
DRV - File not found [Kernel | System | Stopped] -- -- (lbrtfdc)
DRV - File not found [Kernel | System | Stopped] -- -- (i2omgmt)
DRV - File not found [Kernel | System | Stopped] -- -- (Changer)
DRV - [2009.12.07 19:15:27 | 000,056,816 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2009.05.11 10:12:20 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2009.03.30 10:33:03 | 000,096,104 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2009.02.13 12:35:01 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio)
DRV - [2008.09.08 14:04:46 | 000,093,232 | ---- | M] (PACE Anti-Piracy, Inc.) [Kernel | Boot | Running] -- C:\WINDOWS\System32\drivers\TPkd.sys -- (TPkd)
DRV - [2008.04.13 23:05:40 | 000,020,992 | ---- | M] (Realtek Semiconductor Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\RTL8139.sys -- (rtl8139)
DRV - [2007.11.26 15:54:12 | 000,038,440 | ---- | M] (Nero AG) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\InCDRm.sys -- (incdrm)
DRV - [2007.11.26 15:54:12 | 000,036,776 | ---- | M] (Nero AG) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\InCDPass.sys -- (InCDPass)
DRV - [2007.11.26 15:54:12 | 000,016,040 | ---- | M] (Nero AG) [Recognizer | System | Unknown] -- C:\WINDOWS\System32\drivers\InCDrec.sys -- (InCDrec)
DRV - [2007.11.26 15:54:02 | 000,118,952 | ---- | M] (Nero AG) [File_System | Disabled | Running] -- C:\WINDOWS\system32\drivers\InCDfs.sys -- (InCDfs)
DRV - [2006.11.28 23:46:24 | 000,028,224 | ---- | M] (Printing Communications Assoc., Inc. (PCAUSA)) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\PDNMp50.sys -- (PDNMp50)
DRV - [2006.11.28 23:46:22 | 000,027,072 | ---- | M] (Printing Communications Assoc., Inc. (PCAUSA)) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\PDNSp50.sys -- (PDNSp50)
DRV - [2001.08.18 05:33:54 | 000,908,352 | ---- | M] (Conexant) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\HCF_MSFT.sys -- (HCF_MSFT)


========== Standard Registry (SafeList) ==========


========== Internet Explorer ==========

IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://alice.aol.de/
IE - HKCU\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src=IE-SearchBox&Form=IE8SRC
IE - HKCU\..\SearchScopes\{DEE50C04-D41C-48DC-8DC2-26DB3E7453AA}: "URL" = hxxp://de.search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&type=302398&p={searchTerms}
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

========== FireFox ==========

FF - prefs.js..browser.search.param.yahoo-fr: "chr-greentree_ff&type=302398"
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..extensions.enabledItems: {E2883E8F-472F-4fb0-9522-AC9BF37916A7}:1
FF - prefs.js..extensions.enabledItems: 6
FF - prefs.js..extensions.enabledItems: 2
FF - prefs.js..extensions.enabledItems: 48
FF - prefs.js..extensions.enabledItems: {ABDE892B-13A8-4d1b-88E6-365A6E755758}:1.1.4


FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_3_300_268.dll ()
FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Programme\Google\Google Earth\plugin\npgeplugin.dll (Google)
FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=10.5.1: C:\WINDOWS\system32\npDeployJava1.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin,version=10.5.1: C:\Programme\Oracle\JavaFX 2.1 Runtime\bin\plugin2\npjp2.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@real.com/nppl3260;version=12.0.1.647: c:\programme\real\realplayer\Netscape6\nppl3260.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nprjplug;version=12.0.1.647: c:\programme\real\realplayer\Netscape6\nprjplug.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nprpchromebrowserrecordext;version=12.0.1.652: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\MozillaPlugins\nprpchromebrowserrecordext.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nprphtml5videoshim;version=12.0.1.652: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\MozillaPlugins\nprphtml5videoshim.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nprpjplug;version=12.0.1.647: c:\programme\real\realplayer\Netscape6\nprpjplug.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Programme\Google\Update\1.3.21.115\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Programme\Google\Update\1.3.21.115\npGoogleUpdate3.dll (Google Inc.)

FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\extensions\\{ABDE892B-13A8-4d1b-88E6-365A6E755758}: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\Firefox\Ext [2011.06.18 20:03:17 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 14.0.1\extensions\\Components: C:\Programme\Mozilla Firefox\components [2012.07.19 22:19:04 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 14.0.1\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2012.07.20 23:39:57 | 000,000,000 | ---D | M]

[2009.02.23 16:22:36 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\MW\Anwendungsdaten\Mozilla\Extensions
[2012.06.29 12:06:16 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\MW\Anwendungsdaten\Mozilla\Firefox\Profiles\9j4mc6x6.default\extensions
[2012.05.18 23:25:25 | 000,000,000 | ---D | M] (Yahoo! Toolbar) -- C:\Dokumente und Einstellungen\MW\Anwendungsdaten\Mozilla\Firefox\Profiles\9j4mc6x6.default\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1}
[2009.02.27 21:50:03 | 000,000,000 | ---D | M] (Adobe DLM (powered by getPlus(R))) -- C:\Dokumente und Einstellungen\MW\Anwendungsdaten\Mozilla\Firefox\Profiles\9j4mc6x6.default\extensions\{CF40ACC5-E1BB-4aff-AC72-04C2F616BCA7}
[2009.10.29 15:26:42 | 000,000,000 | ---D | M] (Adobe DLM (powered by getPlus(R))) -- C:\Dokumente und Einstellungen\MW\Anwendungsdaten\Mozilla\Firefox\Profiles\9j4mc6x6.default\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}
[2012.06.29 12:06:25 | 000,000,853 | ---- | M] () -- C:\Dokumente und Einstellungen\MW\Anwendungsdaten\Mozilla\Firefox\Profiles\9j4mc6x6.default\searchplugins\11-suche.xml
[2012.06.29 12:06:25 | 000,002,209 | ---- | M] () -- C:\Dokumente und Einstellungen\MW\Anwendungsdaten\Mozilla\Firefox\Profiles\9j4mc6x6.default\searchplugins\englische-ergebnisse.xml
[2012.06.29 12:06:25 | 000,010,506 | ---- | M] () -- C:\Dokumente und Einstellungen\MW\Anwendungsdaten\Mozilla\Firefox\Profiles\9j4mc6x6.default\searchplugins\gmx-suche.xml
[2012.06.29 12:06:25 | 000,002,368 | ---- | M] () -- C:\Dokumente und Einstellungen\MW\Anwendungsdaten\Mozilla\Firefox\Profiles\9j4mc6x6.default\searchplugins\lastminute.xml
[2012.06.29 12:06:25 | 000,005,489 | ---- | M] () -- C:\Dokumente und Einstellungen\MW\Anwendungsdaten\Mozilla\Firefox\Profiles\9j4mc6x6.default\searchplugins\webde-suche.xml
[2010.10.01 17:34:00 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2012.06.29 12:06:16 | 000,578,962 | ---- | M] () (No name found) -- C:\DOKUMENTE UND EINSTELLUNGEN\MW\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\9J4MC6X6.DEFAULT\EXTENSIONS\TOOLBAR@WEB.DE.XPI
[2012.07.19 22:19:04 | 000,136,672 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll
[2012.06.18 22:49:02 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2012.06.18 22:49:02 | 000,002,252 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml
[2012.06.18 22:49:02 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml
[2012.06.18 22:49:02 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
[2012.06.18 22:49:02 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2012.06.18 22:49:02 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml

O1 HOSTS File: ([2003.04.02 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (RealPlayer Download and Record Plugin for Internet Explorer) - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll (RealPlayer)
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Oracle\JavaFX 2.1 Runtime\bin\ssv.dll (Oracle Corporation)
O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Oracle\JavaFX 2.1 Runtime\bin\jp2ssv.dll (Oracle Corporation)
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe (HP)
O4 - HKLM..\Run: [InCD] C:\Programme\Nero\Nero 7\InCD\InCD.exe (Nero AG)
O4 - HKLM..\Run: [InstantAccess] C:\Programme\TextBridge Pro 8.0\Bin\InstantAccess.exe ()
O4 - HKLM..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe ()
O4 - HKLM..\Run: [LGODDFU] C:\Programme\lg_fwupdate\fwupdate.exe (BL)
O4 - HKLM..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe (Nero AG)
O4 - HKLM..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe File not found
O4 - HKLM..\Run: [RegisterDropHandler] C:\Programme\TextBridge Pro 8.0\Bin\RegisterDropHandler.exe ()
O4 - HKLM..\Run: [SecurDisc] C:\Programme\Nero\Nero 7\InCD\NBHGui.exe (Nero AG)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [TkBellExe] C:\programme\real\realplayer\update\realsched.exe (RealNetworks, Inc.)
O4 - HKCU..\Run: [LightScribe Control Panel] C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe (Hewlett-Packard Company)
O4 - HKCU..\Run: [vikyrefwaqis] C:\Dokumente und Einstellungen\MW\vikyrefwaqis.exe (IO-DATA)
O4 - HKLM..\RunServices: [RegisterDropHandler] C:\Programme\TextBridge Pro 8.0\Bin\RegisterDropHandler.exe ()
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe (Adobe Systems, Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\honestech Audio Recorder 2.0 Deluxe Launcher.lnk = C:\Programme\honestech Audio Recorder 2.0 Deluxe\HTARLauncher.exe (Honest Technology)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\ScanPanel.lnk = C:\ScanPanel\ScnPanel.exe ()
O4 - Startup: C:\Dokumente und Einstellungen\MW\Startmenü\Programme\Autostart\reminder-ScanSoft Produkt Registrierung.lnk = C:\Programme\TextBridge Pro 8.0\Ereg\REMIND32.EXE ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{181B4420-998D-4334-9746-DA6ACD703812}: NameServer = 62.109.123.7 213.191.92.86
O18 - Protocol\Handler\cdo {CD00020A-8B95-11D1-82DB-00C04FB1625D} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\PKMCDO.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\MW\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\MW\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.02.23 14:28:33 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)

========== Files/Folders - Created Within 30 Days ==========

[2012.08.05 22:29:28 | 010,652,120 | ---- | C] (Malwarebytes Corporation ) -- C:\Dokumente und Einstellungen\MW\Desktop\mbam-setup-1.62.0.1300.exe
[2012.08.05 22:23:20 | 000,596,480 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\MW\Desktop\OTL.exe
[2012.08.05 19:58:20 | 000,089,032 | ---- | C] (IO-DATA) -- C:\Dokumente und Einstellungen\MW\vikyrefwaqis.exe
[2012.07.26 00:47:04 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\MW\Startmenü\Programme\Aquifer Simulation Model
[2012.07.26 00:47:03 | 000,398,416 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System\VBRUN300.DLL
[2012.07.26 00:47:03 | 000,324,112 | ---- | C] (Apex Software Corporation) -- C:\WINDOWS\System\TRUEGRID.VBX
[2012.07.26 00:47:03 | 000,097,984 | ---- | C] (Crescent Software, Inc.) -- C:\WINDOWS\System\CSTEXT.VBX
[2012.07.26 00:47:03 | 000,064,544 | ---- | C] (Sheridan Software Systems, Inc.) -- C:\WINDOWS\System\THREED.VBX
[2012.07.26 00:47:03 | 000,055,264 | ---- | C] (Crescent Software, Inc.) -- C:\WINDOWS\System\QPRO200.DLL
[2012.07.26 00:47:03 | 000,047,128 | ---- | C] (Crescent Software, Inc.) -- C:\WINDOWS\System\CSCMD.VBX
[2012.07.26 00:47:03 | 000,036,096 | ---- | C] (Cresent Software, Inc.) -- C:\WINDOWS\System\CSFORM.VBX
[2012.07.26 00:47:03 | 000,035,728 | ---- | C] (Crescent Software) -- C:\WINDOWS\System\CSCOMBO.VBX
[2012.07.26 00:47:03 | 000,030,784 | ---- | C] (Mabry Software, Inc.) -- C:\WINDOWS\System\ROTEXT2.VBX
[2012.07.26 00:47:03 | 000,007,712 | ---- | C] (Crescent Software, Inc.) -- C:\WINDOWS\System\CSMETER.VBX
[2012.07.26 00:47:03 | 000,007,136 | ---- | C] (Crescent Software, Inc.) -- C:\WINDOWS\System\CSGROUP.VBX
[2012.07.26 00:46:59 | 000,007,824 | ---- | C] (Crescent Software, Inc.) -- C:\WINDOWS\System\curtime.vbx
[2012.07.26 00:46:53 | 000,000,000 | ---D | C] -- C:\ASMWIN
[2012.07.26 00:45:50 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\MW\Startmenü\Programme\WinRAR
[2012.07.26 00:45:50 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\MW\Anwendungsdaten\WinRAR
[2012.07.26 00:45:50 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\WinRAR
[2012.07.26 00:45:22 | 000,000,000 | ---D | C] -- C:\Programme\WinRAR
[3 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]

========== Files - Modified Within 30 Days ==========

[2012.08.05 22:29:44 | 010,652,120 | ---- | M] (Malwarebytes Corporation ) -- C:\Dokumente und Einstellungen\MW\Desktop\mbam-setup-1.62.0.1300.exe
[2012.08.05 22:23:22 | 000,596,480 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\MW\Desktop\OTL.exe
[2012.08.05 22:11:08 | 000,002,495 | ---- | M] () -- C:\Dokumente und Einstellungen\MW\Desktop\Microsoft Word.lnk
[2012.08.05 21:49:00 | 000,001,082 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2012.08.05 19:57:29 | 000,089,032 | ---- | M] (IO-DATA) -- C:\Dokumente und Einstellungen\MW\vikyrefwaqis.exe
[2012.08.05 19:13:30 | 000,000,264 | ---- | M] () -- C:\WINDOWS\tasks\RealUpgradeLogonTaskS-1-5-21-1482476501-823518204-1547161642-1003.job
[2012.08.05 19:13:28 | 000,000,272 | ---- | M] () -- C:\WINDOWS\tasks\RealUpgradeScheduledTaskS-1-5-21-1482476501-823518204-1547161642-1003.job
[2012.08.05 19:08:20 | 000,001,078 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2012.08.05 19:08:19 | 000,001,383 | ---- | M] () -- C:\WINDOWS\ScnPanel.ini
[2012.08.05 19:08:16 | 000,000,261 | ---- | M] () -- C:\WINDOWS\lgfwup.ini
[2012.08.05 19:07:48 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2012.08.05 19:07:46 | 1072,775,168 | -HS- | M] () -- C:\hiberfil.sys
[2012.08.03 20:03:05 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2012.08.01 01:41:13 | 000,000,641 | ---- | M] () -- C:\WINDOWS\ULEAD32.INI
[2012.08.01 01:40:14 | 000,011,484 | ---- | M] () -- C:\WINDOWS\Dusb4ar.ini
[2012.08.01 01:40:14 | 000,002,677 | ---- | M] () -- C:\WINDOWS\Ausba4.ini
[2012.07.29 00:33:53 | 000,000,287 | ---- | M] () -- C:\Dokumente und Einstellungen\MW\Lokale Einstellungen\Anwendungsdaten\VersionChecker_16.xml
[2012.07.28 23:32:19 | 000,000,069 | ---- | M] () -- C:\WINDOWS\NeroDigital.ini
[2012.07.28 22:42:44 | 000,426,184 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerApp.exe
[2012.07.28 22:42:44 | 000,070,344 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerCPLApp.cpl
[2012.07.20 23:39:57 | 000,001,709 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Adobe Reader 9.lnk
[2012.07.13 22:00:48 | 000,104,448 | ---- | M] () -- C:\Dokumente und Einstellungen\MW\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2012.07.11 11:44:58 | 000,220,840 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2012.07.11 01:16:20 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[3 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]

========== Files Created - No Company Name ==========

[2012.08.05 20:14:44 | 000,020,480 | ---- | C] () -- C:\WINDOWS\Installer\{1ef915e5-c8b9-166e-a5dc-6d8ec16fc458}\U\800000cb.@
[2012.08.05 20:07:47 | 000,013,312 | ---- | C] () -- C:\WINDOWS\Installer\{1ef915e5-c8b9-166e-a5dc-6d8ec16fc458}\U\80000000.@
[2012.08.05 19:57:56 | 000,001,712 | ---- | C] () -- C:\WINDOWS\Installer\{1ef915e5-c8b9-166e-a5dc-6d8ec16fc458}\U\00000001.@
[2012.07.26 00:47:05 | 000,002,551 | ---- | C] () -- C:\WINDOWS\System32\ASM_CONFIG.NT
[2012.07.26 00:47:03 | 000,018,688 | ---- | C] () -- C:\WINDOWS\System\CMDIALOG.VBX
[2012.07.26 00:46:59 | 000,002,857 | ---- | C] () -- C:\WINDOWS\Asmtrpt.pif
[2012.07.26 00:46:59 | 000,002,857 | ---- | C] () -- C:\WINDOWS\Asmsim.pif
[2012.07.26 00:46:59 | 000,002,857 | ---- | C] () -- C:\WINDOWS\Asmopti.pif
[2012.07.26 00:46:59 | 000,000,995 | ---- | C] () -- C:\WINDOWS\Asmfgn.pif
[2012.07.26 00:46:59 | 000,000,995 | ---- | C] () -- C:\WINDOWS\Asmdis.pif
[2012.07.20 23:39:57 | 000,001,804 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Adobe Reader 9.lnk
[2012.07.20 23:39:57 | 000,001,709 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Adobe Reader 9.lnk
[2012.02.15 00:50:19 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll
[2011.11.16 21:46:29 | 000,000,287 | ---- | C] () -- C:\Dokumente und Einstellungen\MW\Lokale Einstellungen\Anwendungsdaten\VersionChecker_16.xml
[2011.09.04 17:01:23 | 000,000,062 | ---- | C] () -- C:\WINDOWS\pcvcdbr.INI
[2011.09.04 17:01:22 | 000,000,000 | ---- | C] () -- C:\WINDOWS\pcvcdvw.INI
[2010.12.26 01:54:59 | 000,000,067 | ---- | C] () -- C:\WINDOWS\cdplayer.ini
[2010.12.15 17:31:52 | 000,000,059 | ---- | C] () -- C:\WINDOWS\dcmvwr.INI
[2009.04.03 20:30:03 | 000,000,287 | ---- | C] () -- C:\Dokumente und Einstellungen\MW\Lokale Einstellungen\Anwendungsdaten\VersionChecker_14.xml
[2009.02.24 13:02:35 | 000,104,448 | ---- | C] () -- C:\Dokumente und Einstellungen\MW\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2008.04.14 08:51:54 | 000,002,048 | -HS- | C] () -- C:\WINDOWS\Installer\{1ef915e5-c8b9-166e-a5dc-6d8ec16fc458}\@
[2008.04.14 08:51:54 | 000,002,048 | -HS- | C] () -- C:\Dokumente und Einstellungen\MW\Lokale Einstellungen\Anwendungsdaten\{1ef915e5-c8b9-166e-a5dc-6d8ec16fc458}\@

========== Alternate Data Streams ==========

@Alternate Data Stream - 130 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:C895616B
@Alternate Data Stream - 1179 bytes -> C:\Programme\WindowsUpdate:3C9W2Q6zp0PTQj2ceYKpfC
@Alternate Data Stream - 1156 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft6J3XRL3ZQDMc746yU3sv9Jw9
@Alternate Data Stream - 1058 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft:3Sf7HEVpgnbp5zPRwCUUmp
@Alternate Data Stream - 1054 bytes -> C:\Dokumente und Einstellungen\MW\Lokale Einstellungen\Anwendungsdaten\8DVc4S0cKjpi0w:ZAcqJIO8zaonJAn4oaz03RXe
@Alternate Data Stream - 1016 bytes -> C:\Programme\Gemeinsame Dateien\System:WmzN7puWed4c7dZgplEsIGaaVJM3

< End of report >





und OTL.Extras:

OTL Extras logfile created on: 05.08.2012 22:32:20 - Run 1
OTL by OldTimer - Version 3.2.56.0 Folder = C:\Dokumente und Einstellungen\MW\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

1023,01 Mb Total Physical Memory | 439,49 Mb Available Physical Memory | 42,96% Memory free
2,40 Gb Paging File | 1,87 Gb Available in Paging File | 77,83% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 39,06 Gb Total Space | 4,07 Gb Free Space | 10,42% Space Free | Partition Type: NTFS
Drive D: | 109,98 Gb Total Space | 67,91 Gb Free Space | 61,75% Space Free | Partition Type: NTFS

Computer Name: COMPUTADOR | User Name: MW | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days

========== Extra Registry (SafeList) ==========


========== File Associations ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*

[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)

========== Shell Spawning ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- C:\Programme\VideoLAN\VLC\vlc.exe --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- C:\Programme\VideoLAN\VLC\vlc.exe --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

========== Security Center Settings ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]

========== System Restore Settings ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2

========== Firewall Settings ==========

========== Authorized Applications List ==========


========== HKEY_LOCAL_MACHINE Uninstall List ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}" = PDFCreator
"{0F63FE0E-3279-7399-CAAB-E9B19A570F40}" = Vectorworks 2011 Hilfe
"{1111706F-666A-4037-7777-211328764D10}" = JavaFX 2.1.1
"{1596098A-FCEC-48F0-B7C7-08A31B771031}" = Nero 7 Essentials
"{1FBF6C24-C1FD-4101-A42B-0C564F9E8E79}" = DVD Suite
"{25613C10-27D2-410B-942B-D922D5C3A7BE}" = Interlok driver setup x32
"{26A24AE4-039D-4CA4-87B4-2F83217005FF}" = Java(TM) 7 Update 5
"{28C2DED6-325B-4CC7-983A-1777C8F7FBAB}" = RealUpgrade 1.1
"{33286280-8617-11E1-8FF6-B8AC6F97B88E}" = Google Earth Plug-in
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{56C049BE-79E9-4502-BEA7-9754A3E60F9B}" = neroxml
"{5E2ABE05-B7AD-4D77-8A19-BDA0E4302190}" = Google SketchUp 8
"{6179550A-3E7C-499E-BCC9-9E8113E0A285}" = LG ODD Auto Firmware Update
"{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}" = PowerDVD
"{7770E71B-2D43-4800-9CB3-5B6CAAEBEBEA}" = RealNetworks - Microsoft Visual C++ 2008 Runtime
"{7F9975A8-C8FF-4C1F-A672-EC4591EB4F03}" = honestech Audio Recorder 2.0 Deluxe
"{837b34e3-7c30-493c-8f6a-2b0f04e2912c}" = Microsoft Visual C++ 2005 Redistributable
"{8A25392D-C5D2-4E79-A2BD-C15DDC5B0959}" = Bonjour
"{90110407-6000-11D3-8CFE-0050048383C9}" = Microsoft Office XP Professional
"{90120000-0020-0407-0000-0000000FF1CE}" = Compatibility Pack für 2007 Office System
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{A0BC5BCD-893F-47F4-8903-FDC7CAC2AFB1}" = honestech Audio Recorder 2.0 Deluxe
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{AC76BA86-7AD7-1031-7B44-A92000000001}" = Adobe Reader 9.2 - Deutsch
"{AC76BA86-7AD7-5464-3428-900000000004}" = Spelling Dictionaries Support For Adobe Reader 9
"{B7A0CE06-068E-11D6-97FD-0050BACBF861}" = PowerProducer
"{BE90CE58-41DE-4708-9291-A9D1D49B1031}" = SecurDisc Viewer
"{C78EAC6F-7A73-452E-8134-DBB2165C5A68}" = QuickTime
"{CBCF859F-04BE-4A07-B6FA-F4FAD69EF1ED}" = LightScribe System Software 1.10.27.1
"{D341C705-A763-4DC0-A3B6-EA13E34ADE9E}" = USB Flachbettscanner
"{FDB3B167-F4FA-461D-976F-286304A57B2A}" = Adobe AIR
"Adobe AIR" = Adobe AIR
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Adobe Photoshop 7.0" = Adobe Photoshop 7.0
"Alice" = Alice-Installationsdateien entfernen
"Amazon MP3-Downloader" = Amazon MP3-Downloader 1.0.9
"Aquifer Simulation Model" = Aquifer Simulation Model
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"CAL" = Canon Camera Access Library
"CameraWindowDVC5" = Canon Camera Window DC_DV 5 for ZoomBrowser EX
"CameraWindowDVC6" = Canon Camera Window DC_DV 6 for ZoomBrowser EX
"CameraWindowMC" = Canon Camera Window MC 6 for ZoomBrowser EX
"Canon G.726 WMP-Decoder" = Canon G.726 WMP-Decoder
"CANON iMAGE GATEWAY Task" = CANON iMAGE GATEWAY Task
"Canon Internet Library for ZoomBrowser EX" = Canon Internet Library for ZoomBrowser EX
"CCleaner" = CCleaner (remove only)
"CSCLIB" = Canon Camera Support Core Library
"EOS Utility" = Canon Utilities EOS Utility
"eu.computerworks.vectorworks.2011.help.deu.07222458214E034A0B494E83FAD6744C17D2B914.1" = Vectorworks 2011 Hilfe
"hp deskjet 940c series" = hp deskjet 940c series (nur entfernen)
"ie8" = Windows Internet Explorer 8
"MovieEditTask" = Canon MovieEdit Task for ZoomBrowser EX
"Mozilla Firefox 14.0.1 (x86 de)" = Mozilla Firefox 14.0.1 (x86 de)
"MozillaMaintenanceService" = Mozilla Maintenance Service
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"PhotoStitch" = Canon Utilities PhotoStitch
"RAW Image Task" = Canon RAW Image Task for ZoomBrowser EX
"RealPlayer 12.0" = RealPlayer
"RemoteCaptureTask" = Canon RemoteCapture Task for ZoomBrowser EX
"SmartGraph" = SmartGraph
"TextBridge Pro 8.0" = TextBridge Pro 8.0
"Ulead Photo Express 3.0 SE" = Ulead Photo Express 3.0 SE
"Vectorworks ArchLand 2009 SP5 R1" = Vectorworks ArchLand 2009 SP5 R1
"VLC media player" = VLC media player 0.9.8a
"WinRAR archiver" = WinRAR 4.20 (32-Bit)
"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0
"Zattoo" = Zattoo 3.3.4 Beta
"ZoomBrowser EX" = Canon Utilities ZoomBrowser EX

========== HKEY_CURRENT_USER Uninstall List ==========

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

========== Last 20 Event Log Errors ==========

[ Application Events ]
Error - 24.06.2012 10:10:27 | Computer Name = COMPUTADOR | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung Vectorworks2011E.exe, Version 16.0.4.0, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

Error - 24.06.2012 10:27:51 | Computer Name = COMPUTADOR | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung PDFCreator.exe, Version 1.0.0.1, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

Error - 24.06.2012 10:31:34 | Computer Name = COMPUTADOR | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung Vectorworks2011E.exe, Version 16.0.4.0, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

Error - 24.06.2012 10:36:29 | Computer Name = COMPUTADOR | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung Vectorworks2011E.exe, Version 16.0.4.0, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

Error - 27.06.2012 17:19:26 | Computer Name = COMPUTADOR | Source = ESENT | ID = 490
Description = svchost (912) Versuch, Datei "C:\WINDOWS\system32\CatRoot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb"
für den Lese-/Schreibzugriff zu öffnen, ist mit Systemfehler 32 (0x00000020): "Der
Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet
wird. " fehlgeschlagen. Fehler -1032 (0xfffffbf8) beim Öffnen von Dateien.

Error - 29.06.2012 07:06:28 | Computer Name = COMPUTADOR | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung WINWORD.EXE, Version 10.0.2627.0, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

Error - 05.07.2012 05:42:41 | Computer Name = COMPUTADOR | Source = ESENT | ID = 490
Description = svchost (912) Versuch, Datei "C:\WINDOWS\system32\CatRoot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb"
für den Lese-/Schreibzugriff zu öffnen, ist mit Systemfehler 32 (0x00000020): "Der
Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet
wird. " fehlgeschlagen. Fehler -1032 (0xfffffbf8) beim Öffnen von Dateien.

Error - 25.07.2012 17:25:34 | Computer Name = COMPUTADOR | Source = ESENT | ID = 490
Description = svchost (912) Versuch, Datei "C:\WINDOWS\system32\CatRoot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb"
für den Lese-/Schreibzugriff zu öffnen, ist mit Systemfehler 32 (0x00000020): "Der
Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet
wird. " fehlgeschlagen. Fehler -1032 (0xfffffbf8) beim Öffnen von Dateien.

Error - 27.07.2012 08:21:31 | Computer Name = COMPUTADOR | Source = ESENT | ID = 490
Description = svchost (912) Versuch, Datei "C:\WINDOWS\system32\CatRoot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb"
für den Lese-/Schreibzugriff zu öffnen, ist mit Systemfehler 32 (0x00000020): "Der
Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet
wird. " fehlgeschlagen. Fehler -1032 (0xfffffbf8) beim Öffnen von Dateien.

Error - 04.08.2012 16:16:56 | Computer Name = COMPUTADOR | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung firefox.exe, Version 14.0.1.4577, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

[ System Events ]
Error - 23.07.2012 16:36:02 | Computer Name = COMPUTADOR | Source = W32Time | ID = 39452689
Description = Zeitabieter "NtpClient": Beim DNS-Lookup für den manuell konfigurierten
Peer "time.windows.com,0x1" ist ein Fehler aufgetreten. Der DNS-Lookup wird in 15
Minuten wiederholt. Fehler: Der Host war bei einem Socketvorgang nicht erreichbar.
(0x80072751)

Error - 23.07.2012 16:36:02 | Computer Name = COMPUTADOR | Source = W32Time | ID = 39452701
Description = Der Zeitanbieter "NtpClient" wurde für die Zeiterfassung von mehreren
Zeitquellen konfiguriert. Es ist jedoch Keine der Quellen verfügbar. Innerhalb der
nächsten 14 Minuten wird kein Versuch unternommen, eine Verbindung mit der Quelle
herzustellen. Der NtpClient verfügt über keine Quelle mit genauer Zeit.

Error - 23.07.2012 16:36:03 | Computer Name = COMPUTADOR | Source = W32Time | ID = 39452689
Description = Zeitabieter "NtpClient": Beim DNS-Lookup für den manuell konfigurierten
Peer "time.windows.com,0x1" ist ein Fehler aufgetreten. Der DNS-Lookup wird in 15
Minuten wiederholt. Fehler: Der Host war bei einem Socketvorgang nicht erreichbar.
(0x80072751)

Error - 23.07.2012 16:36:03 | Computer Name = COMPUTADOR | Source = W32Time | ID = 39452701
Description = Der Zeitanbieter "NtpClient" wurde für die Zeiterfassung von mehreren
Zeitquellen konfiguriert. Es ist jedoch Keine der Quellen verfügbar. Innerhalb der
nächsten 14 Minuten wird kein Versuch unternommen, eine Verbindung mit der Quelle
herzustellen. Der NtpClient verfügt über keine Quelle mit genauer Zeit.

Error - 24.07.2012 18:28:44 | Computer Name = COMPUTADOR | Source = Service Control Manager | ID = 7011
Description = Zeitüberschreitung (30000 ms) beim Warten auf eine Transaktionsrückmeldung
von Dienst AntiVirSchedulerService.

Error - 30.07.2012 16:38:30 | Computer Name = COMPUTADOR | Source = W32Time | ID = 39452689
Description = Zeitabieter "NtpClient": Beim DNS-Lookup für den manuell konfigurierten
Peer "time.windows.com,0x1" ist ein Fehler aufgetreten. Der DNS-Lookup wird in 15
Minuten wiederholt. Fehler: Der Host war bei einem Socketvorgang nicht erreichbar.
(0x80072751)

Error - 30.07.2012 16:38:30 | Computer Name = COMPUTADOR | Source = W32Time | ID = 39452701
Description = Der Zeitanbieter "NtpClient" wurde für die Zeiterfassung von mehreren
Zeitquellen konfiguriert. Es ist jedoch Keine der Quellen verfügbar. Innerhalb der
nächsten 14 Minuten wird kein Versuch unternommen, eine Verbindung mit der Quelle
herzustellen. Der NtpClient verfügt über keine Quelle mit genauer Zeit.

Error - 30.07.2012 16:53:31 | Computer Name = COMPUTADOR | Source = W32Time | ID = 39452689
Description = Zeitabieter "NtpClient": Beim DNS-Lookup für den manuell konfigurierten
Peer "time.windows.com,0x1" ist ein Fehler aufgetreten. Der DNS-Lookup wird in 30
Minuten wiederholt. Fehler: Der Host war bei einem Socketvorgang nicht erreichbar.
(0x80072751)

Error - 30.07.2012 16:53:31 | Computer Name = COMPUTADOR | Source = W32Time | ID = 39452701
Description = Der Zeitanbieter "NtpClient" wurde für die Zeiterfassung von mehreren
Zeitquellen konfiguriert. Es ist jedoch Keine der Quellen verfügbar. Innerhalb der
nächsten 30 Minuten wird kein Versuch unternommen, eine Verbindung mit der Quelle
herzustellen. Der NtpClient verfügt über keine Quelle mit genauer Zeit.

Error - 01.08.2012 16:25:16 | Computer Name = COMPUTADOR | Source = Windows Update Agent | ID = 16
Description = Verbindung nicht möglich: Es konnte keine Verbindung mit dem Dienst
"Automatische Updates" hergestellt werden, daher können Updates nicht nach dem
angegebenen Zeitplan heruntergeladen und installiert werden. Es wird weiterhin versucht,
eine Verbindung herzustellen.


< End of report >


Vorab schonmal meinen herzlichsten Dank!!
Viele Grüße,
Mascha

Alt 09.08.2012, 12:22   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
C:\WINDOWS\Installer\...\80000000.@ Ist das Trojanische Pferd TR/ATRAPS.Gen - Standard

C:\WINDOWS\Installer\...\80000000.@ Ist das Trojanische Pferd TR/ATRAPS.Gen



Wenn du Malwarebytes installiert und auch schon ausgeführt hast, dann auch gleich alle Logs posten!

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:
ATTFilter
 hier steht das Log
         
__________________

__________________

Alt 14.08.2012, 22:30   #3
Maira
 
C:\WINDOWS\Installer\...\80000000.@ Ist das Trojanische Pferd TR/ATRAPS.Gen - Standard

C:\WINDOWS\Installer\...\80000000.@ Ist das Trojanische Pferd TR/ATRAPS.Gen



Hallo!

Vielen Dank für die Antwort! Und sorry für meine späte Reaktion, aber ich war am Wochenende leider zeitlich sehr eingespannt und hab's nicht geschafft, mich um den PC zu kümmern.

Im Laufe der letzten Woche hatten sich leider noch ein paar weitere Trojaner etc. dazugesellt
("C:\Dokumente und Einstellungen\MW\vikyrefwaqis.exe ist das Trojanische Pferd TR/Jorik.Totm.vz",
"Dokumente und Einstellungen\MW\Lokale Einstellungen\Anwendungsdaten\{1ef915e5-c8b9-166e-a5dc-6d8ec16fc458}\n enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogramms BDS/ZAccess.xaa" sowie
"C:\WINDOWS\System32\drivers\6d4498.sys ist das Trojanische Pferd TR/CryptXPACK.Gen"), weshalb ich mich inzwischen schon mit dem Gedanken angefreundet habe, C und D wahrscheinlich formatieren zu müssen. Wichtig dabei wäre für mich allerdings vor allem, zu wissen, ob ich meine Daten vorher auf meine externe Festplatte sichern kann, ohne damit Viren darauf zu übertragen??
Der Computer hat inzwischen auch leider schon angefangen, ein bißchen "rumzuspinnen", beim Ausdrucken einer Word-Datei, Schriftarten und Formatierung eigenständig verändert etc..

Anbei der Log von Malwarebytes:

Code:
ATTFilter
 Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.08.14.07

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
MW :: COMPUTADOR [Administrator]

14.08.2012 22:52:32
mbam-log-2012-08-14 (23-08-13).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 188584
Laufzeit: 12 Minute(n), 55 Sekunde(n)

Infizierte Speicherprozesse: 1
C:\Dokumente und Einstellungen\MW\vikyrefwaqis.exe (Trojan.Phex.THAGen3) -> 1832 -> Keine Aktion durchgeführt.

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|vikyrefwaqis (Trojan.Phex.THAGen3) -> Daten: C:\Dokumente und Einstellungen\MW\vikyrefwaqis.exe -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Regedit32 (Trojan.Agent) -> Daten: C:\WINDOWS\system32\regedit.exe -> Keine Aktion durchgeführt.

Infizierte Dateiobjekte der Registrierung: 1
HKCR\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32| (Trojan.Zaccess) -> Bösartig: (\\.\globalroot\systemroot\Installer\{1ef915e5-c8b9-166e-a5dc-6d8ec16fc458}\n.) Gut: (wbemess.dll) -> Keine Aktion durchgeführt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 2
C:\Dokumente und Einstellungen\MW\vikyrefwaqis.exe (Trojan.Phex.THAGen3) -> Keine Aktion durchgeführt.
c:\dokumente und einstellungen\mw\lokale einstellungen\temp\3003734.exe (Trojan.Phex.THAGen3) -> Keine Aktion durchgeführt.

(Ende)
         
(ich hoffe, es hat jetzt geklappt mit dem Code-Text)
Entfernt habe ich die Dateien jetzt noch nicht, weil ich nicht sicher bin, ob ich das ohne Anweisung von Euch tun sollte...

Vielen Dank schonmal!!
LG,

Mascha
__________________

Alt 15.08.2012, 13:12   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
C:\WINDOWS\Installer\...\80000000.@ Ist das Trojanische Pferd TR/ATRAPS.Gen - Standard

C:\WINDOWS\Installer\...\80000000.@ Ist das Trojanische Pferd TR/ATRAPS.Gen



Malwarebytes erstellt bei jedem Scanvorgang genau ein Log. Hast du in der Vergangenheit schonmal mit Malwarebytes gescannt?
Wenn ja dann stehen auch alle Logs zu jedem Scanvorgang im Reiter Logdateien. Bitte alle posten, die dort sichtbar sind.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 16.08.2012, 22:29   #5
Maira
 
C:\WINDOWS\Installer\...\80000000.@ Ist das Trojanische Pferd TR/ATRAPS.Gen - Standard

C:\WINDOWS\Installer\...\80000000.@ Ist das Trojanische Pferd TR/ATRAPS.Gen



Hallo,
nein, ich habe mit Malwarebytes nur dieses eine mal gescannt, von dem ich auch das Log reingestellt habe.
Danke und LG,
Mascha


Alt 17.08.2012, 19:45   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
C:\WINDOWS\Installer\...\80000000.@ Ist das Trojanische Pferd TR/ATRAPS.Gen - Standard

C:\WINDOWS\Installer\...\80000000.@ Ist das Trojanische Pferd TR/ATRAPS.Gen



Bitte erstmal routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Die Funde mit Malwarebytes bitte alle entfernen, sodass sie in der Quarantäne von Malwarebytes aufgehoben werden! NICHTS voreilig aus der Quarantäne entfernen!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!




ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset





Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:
ATTFilter
 hier steht das Log
         
__________________
--> C:\WINDOWS\Installer\...\80000000.@ Ist das Trojanische Pferd TR/ATRAPS.Gen

Alt 20.08.2012, 23:55   #7
Maira
 
C:\WINDOWS\Installer\...\80000000.@ Ist das Trojanische Pferd TR/ATRAPS.Gen - Standard

C:\WINDOWS\Installer\...\80000000.@ Ist das Trojanische Pferd TR/ATRAPS.Gen



Hallo,
vielen Dank schonmal für die Antwort. Hier nochmal das erste Malwarebytes-Log:
Code:
ATTFilter
 Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.08.14.07

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
MW :: COMPUTADOR [Administrator]

14.08.2012 22:52:32
mbam-log-2012-08-14 (23-08-13).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 188584
Laufzeit: 12 Minute(n), 55 Sekunde(n)

Infizierte Speicherprozesse: 1
C:\Dokumente und Einstellungen\MW\vikyrefwaqis.exe (Trojan.Phex.THAGen3) -> 1832 -> Keine Aktion durchgeführt.

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|vikyrefwaqis (Trojan.Phex.THAGen3) -> Daten: C:\Dokumente und Einstellungen\MW\vikyrefwaqis.exe -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Regedit32 (Trojan.Agent) -> Daten: C:\WINDOWS\system32\regedit.exe -> Keine Aktion durchgeführt.

Infizierte Dateiobjekte der Registrierung: 1
HKCR\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32| (Trojan.Zaccess) -> Bösartig: (\\.\globalroot\systemroot\Installer\{1ef915e5-c8b9-166e-a5dc-6d8ec16fc458}\n.) Gut: (wbemess.dll) -> Keine Aktion durchgeführt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 2
C:\Dokumente und Einstellungen\MW\vikyrefwaqis.exe (Trojan.Phex.THAGen3) -> Keine Aktion durchgeführt.
c:\dokumente und einstellungen\mw\lokale einstellungen\temp\3003734.exe (Trojan.Phex.THAGen3) -> Keine Aktion durchgeführt.

(Ende)
         
Nun der Vollscan (C, D und G (ext. Festplatte)):
Code:
ATTFilter
 Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.08.20.08

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
MW :: COMPUTADOR [Administrator]

20.08.2012 20:28:57
mbam-log-2012-08-20 (20-28-57).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|G:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 333647
Laufzeit: 3 Stunde(n), 17 Minute(n), 8 Sekunde(n)

Infizierte Speicherprozesse: 1
C:\Dokumente und Einstellungen\MW\vikyrefwaqis.exe (Trojan.Phex.THAGen3) -> 1916 -> Löschen bei Neustart.

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|vikyrefwaqis (Trojan.Phex.THAGen3) -> Daten: C:\Dokumente und Einstellungen\MW\vikyrefwaqis.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Regedit32 (Trojan.Agent) -> Daten: C:\WINDOWS\system32\regedit.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 1
HKCR\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32| (Trojan.Zaccess) -> Bösartig: (\\.\globalroot\systemroot\Installer\{1ef915e5-c8b9-166e-a5dc-6d8ec16fc458}\n.) Gut: (wbemess.dll) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 3
C:\Dokumente und Einstellungen\MW\vikyrefwaqis.exe (Trojan.Phex.THAGen3) -> Löschen bei Neustart.
C:\Dokumente und Einstellungen\MW\Lokale Einstellungen\Anwendungsdaten\{1ef915e5-c8b9-166e-a5dc-6d8ec16fc458}\n (RootKit.0Access) -> Löschen bei Neustart.
c:\dokumente und einstellungen\mw\lokale einstellungen\anwendungsdaten\{1ef915e5-c8b9-166e-a5dc-6d8ec16fc458}\u\800000cb.@ (Rootkit.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         
Malwarebytes hat mich zum Entfernen aufgefordert, den Computer neu zu starten. Danach waren meine Desktop-Symbole durcheinander und der Computer ist recht langsam - hoffe, das war trotzdem ok so. In der Quarantäne-Liste finden sich allerdings nur 4 von den 7 Funden.. (hab jetzt gesehen, es wurden doch welche direkt gelöscht..?)?

Der andere Scan kommt noch.
Danke schonmal, LG,
Mascha

Alt 21.08.2012, 13:26   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
C:\WINDOWS\Installer\...\80000000.@ Ist das Trojanische Pferd TR/ATRAPS.Gen - Standard

C:\WINDOWS\Installer\...\80000000.@ Ist das Trojanische Pferd TR/ATRAPS.Gen



Zitat:
In der Quarantäne-Liste finden sich allerdings nur 4 von den 7 Funden.. (hab jetzt gesehen, es wurden doch welche direkt gelöscht..?)?
So schlimm ist das jetzt hier auch nicht, nur wenn es geht sollte man immer zusehen, dass es in die Q wandert. Dort sind die Schädlinge isoliert, können nichts mehr ausrichten und man kann notfalls nochmal ran falls es doch ein Fehlalarm war.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Antwort

Themen zu C:\WINDOWS\Installer\...\80000000.@ Ist das Trojanische Pferd TR/ATRAPS.Gen
avira, beseitigung, bho, bonjour, computer, computern, desktop, error, festplatte, firefox, flash player, frage, google earth, helper, homepage, logfile, mozilla, nicht möglich, realtek, registry, scan, security, sketchup, software, svchost.exe, trojaner, verweise, virus, windows, windows internet



Ähnliche Themen: C:\WINDOWS\Installer\...\80000000.@ Ist das Trojanische Pferd TR/ATRAPS.Gen


  1. Windows 8 x64 - "TR/ATRAPS.Gen2" in C:\Program Files (x86)\Google\Desktop\...\80000032.@ und ...\80000064.@ und ...{80000000.@
    Log-Analyse und Auswertung - 10.08.2013 (5)
  2. Avira findet TR/Sirefef.16896 und TR/ATRAPS.Gen und TR/ATRAPS.Gen2 in Windows\Installer und W32/Patched.UA in Windows\System32\service.exe
    Plagegeister aller Art und deren Bekämpfung - 14.11.2012 (23)
  3. Avira: TR/ATRAPS.Gen und TR/ATRAPS.Gen2 in C:\Windows\Installer...
    Plagegeister aller Art und deren Bekämpfung - 26.10.2012 (9)
  4. 'TR/ATRAPS.Gen' in 'C:\$Recycle.Bin\...\80000000.@'
    Plagegeister aller Art und deren Bekämpfung - 29.09.2012 (3)
  5. Avira: 800000cb.@ TR/ATRAPS.Gen und TR/ATRAPS.Gen2 in C:\Windows\Installer\.. und weitere Pfaden
    Plagegeister aller Art und deren Bekämpfung - 16.08.2012 (25)
  6. Trojaner TR/ATRAPS.Gen2 in c:\windows\installer...
    Plagegeister aller Art und deren Bekämpfung - 06.08.2012 (1)
  7. TR/ATRAPS.Gen in 'C:/Windows/Installer/.../80000000.@'
    Plagegeister aller Art und deren Bekämpfung - 02.08.2012 (20)
  8. TR/ATRAPS.GEN, TR/ATRAPS.GEN2 in C:\Windows\Installer\{...}
    Plagegeister aller Art und deren Bekämpfung - 13.07.2012 (5)
  9. TR/ATRAPS.Gen und TR/ATRAPS.Gen2 in C:\WINDOWS\Installer\...
    Plagegeister aller Art und deren Bekämpfung - 11.07.2012 (1)
  10. TR/ATRAPS.GEN, TR/ATRAPS.GEN2 in C:\Windows\Installer\{...} und JAVA/Dldr.Lamar.CI
    Mülltonne - 09.07.2012 (2)
  11. TR/ATRAPS.Gen2 und TR/Sirefef.AG.35 in C:Windows\Installer\
    Log-Analyse und Auswertung - 14.06.2012 (3)
  12. Datei ist das Trojanische Pferd TR/ATRAPS.Gen2
    Plagegeister aller Art und deren Bekämpfung - 05.03.2012 (10)
  13. Trojanische Pferd TR/ATRAPS.Gen2 bzw. WORM/Phorpiex.B.56
    Log-Analyse und Auswertung - 14.11.2011 (5)
  14. AntiVir Fund: das Trojanische Pferd TR/VB.afr.51 in C:\\WINDOWS\system32\svshost.exe
    Log-Analyse und Auswertung - 20.06.2011 (1)
  15. Trojanische Pferd TR\Agent.ruo in C.\WINDOWS\system32\sysabs.dll
    Plagegeister aller Art und deren Bekämpfung - 30.03.2010 (24)
  16. Trojanische Pferd TR/Agent.anq.5 Trojanische Pferd TR/Crypt.FKM.Gen Trojanische Pfe
    Log-Analyse und Auswertung - 18.06.2007 (1)
  17. C:\WINDOWS\QMMQE.DAT - Ist das Trojanische Pferd TR/Dldr.WinSh.AC.02
    Log-Analyse und Auswertung - 11.09.2004 (27)

Zum Thema C:\WINDOWS\Installer\...\80000000.@ Ist das Trojanische Pferd TR/ATRAPS.Gen - Guten Abend, ich bin neu hier im Forum und wäre sehr, sehr froh, wenn mir jemand bei der Beseitigung von 2 Trojanern helfen könnte, die mir seit etwa 4 Stunden - C:\WINDOWS\Installer\...\80000000.@ Ist das Trojanische Pferd TR/ATRAPS.Gen...
Archiv
Du betrachtest: C:\WINDOWS\Installer\...\80000000.@ Ist das Trojanische Pferd TR/ATRAPS.Gen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.