Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: BDS/Papras.pk durch AntiVir in mounkeys.dll gefunden

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 10.09.2010, 19:17   #1
rleuschel
 
BDS/Papras.pk durch AntiVir in mounkeys.dll gefunden - Standard

BDS/Papras.pk durch AntiVir in mounkeys.dll gefunden



Hallo,

zunächst mal Hut ab für Euer Forum und vielen Dank vorab für die Hilfe die ich hier hoffentliche bekommen kann.

Mein Rechner hat 1 oder 2 Probleme:

1. Vor einigen Tagen erklang beim Hochfahren erstmals ein mechanischen Geräusch, so eine Art Klicken, das sich in das Rattern der Festplatte untermischte. Dann trat das Geräusch zweimal beim Hochfahren auf, in der Folge auch beim Starten der Programme Outlook und Internet Explorer (nur beim erstmaligen Programmstart nach dem Hochfahren!).

2. Ungefähr zeitgleich meldete AntiVir erstmalig den Fund des Trojaners BDS/Papras.dll im Ordner system32, Datei mounkeys.dll. Erst nur einzeln, ließ sich nicht entfernen o. ä., dann jeweils mehrfach beim Programmstart Outlook und Internet Explorer. Gestern fuhr der Rechner offensichtlich nicht richtig hoch, Desktop wurde angezeigt, aber kein Programm ließ sich starten (es fehlte beim Hochfahren auch das Klicken), erst im abgesicherten Modus war ein Programmzugriff möglich, anschließend auch wieder im Normalmodus (dann auch wieder mit Klicken beim Hochfahren).

Falls es sich auch um ein physikalisches Problem handelt, macht eine Datensicherung wohl keinen Sinn, solange Dateien infiziert sind, oder?

Systemcheck mit Malwarebytes und OTL habe ich gemacht:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4590

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

10.09.2010 19:25:43
mbam-log-2010-09-10 (19-25-43).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 174965
Laufzeit: 41 Minute(n), 38 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 4
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\host (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\id (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\services (Worm.Spambot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Services\del (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
__


_______________________________________________________________
_________________________________________________________________

OTL Logfile:
Code:
ATTFilter
OTL Extras logfile created on: 10.09.2010 19:35:30 - Run 1
OTL by OldTimer - Version 3.2.11.0 Folder = C:\Z\4 Software\Programme\13 Virensuche
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
767,00 Mb Total Physical Memory | 326,00 Mb Available Physical Memory | 42,00% Memory free
2,00 Gb Paging File | 1,00 Gb Available in Paging File | 75,00% Paging File free
Paging file location(s): C:\pagefile.sys 1150 1890 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 76,33 Gb Total Space | 46,91 Gb Free Space | 61,46% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: USER-BF0A0EFD10
Current User Name: User
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- "C:\Programme\Microsoft Office\OFFICE11\msohtmed.exe" %1 (Microsoft Corporation)
htmlfile [print] -- "C:\Programme\Microsoft Office\OFFICE11\msohtmed.exe" /p %1 (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 1
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\InterVideo\DVD6\WinDVD.exe" = C:\Programme\InterVideo\DVD6\WinDVD.exe:*:Disabled:WinDVD -- (InterVideo Inc.)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}" = PDFCreator
"{20C45B32-5AB6-46A4-94EF-58950CAF05E5}" = EPSON Attach To Email
"{26A24AE4-039D-4CA4-87B4-2F83216016FF}" = Java(TM) 6 Update 17
"{2A88F1BF-7041-4E42-84B1-6B4ACB83AC64}" = EPSON Scan Assistant
"{2EB81825-E9EE-44F4-8F51-1240C3898DC6}" = EPSON File Manager
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{67EDD823-135A-4D59-87BD-950616D6E857}" = EPSON Copy Utility 3
"{6ACA2FD2-4C4A-42F3-AFB5-7B433BBDF6DB}" = InterVideo WinDVD 6
"{7F14F68C-17FA-4F88-B3FD-7F449C1EBF32}" = EPSON Web-To-Page
"{81A6F461-0DBA-4F12-B56F-0E977EC10576}_is1" = PDF24 Creator
"{8DAC1AE4-33D1-4A78-8A42-00E09EDECC3E}" = Camera RAW Plug-In for EPSON Creativity Suite
"{90110407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{AC76BA86-7AD7-1031-7B44-A81300000003}" = Adobe Reader 8.1.4 - Deutsch
"{B66E665A-DF96-4C38-9422-C7F74BC1B4E5}" = EPSON Easy Photo Print
"{E0F252A6-DE85-4E93-A93B-DFC3537B3965}" = WG111v2 Configuration Utility
"7-Zip" = 7-Zip 4.65
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"ATI Display Driver" = ATI Display Driver
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"CTDVDAudio Plugin" = Creative DVD Audio Plugin for Audigy Series
"CX4300_5500_DX4400 Handbuch" = CX4300_5500_DX4400 Handbuch
"EPSON Printer and Utilities" = EPSON-Drucker-Software
"EPSON Scanner" = EPSON Scan
"Free FLV Converter_is1" = Free FLV Converter V 6.7.1
"IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs
"ie7" = Windows Internet Explorer 7
"ie8" = Windows Internet Explorer 8
"InstallShield_{20C45B32-5AB6-46A4-94EF-58950CAF05E5}" = EPSON Attach To Email
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"Nero - Burning Rom!UninstallKey" = Nero 6 Ultra Edition
"NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs
"PCI Audio Driver" = PCI Audio Driver
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows XP Service Pack" = Windows XP Service Pack 3
"WMFDist11" = Windows Media Format 11 runtime
"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 09.09.2010 17:07:41 | Computer Name = USER-BF0A0EFD10 | Source = EventSystem | ID = 4609
Description = Das COM+-Ereignissystem hat einen ungültigen Rückgabecode während 
der internen Verarbeitung erkannt. HRESULT war 8007043C von Zeile 44 von d:\comxp_sp3\com\com1x\src\events\tier1\eventsystemobj.cpp.
Wenden Sie sich an den Microsoft-Produktsuppor
 
[ System Events ]
Error - 09.09.2010 17:07:35 | Computer Name = USER-BF0A0EFD10 | Source = Service Control Manager | ID = 7001
Description = Der Dienst "IPSEC-Dienste" ist vom Dienst "IPSEC-Treiber" abhängig,
der aufgrund folgenden Fehlers nicht gestartet wurde: %%31
 
Error - 09.09.2010 17:07:35 | Computer Name = USER-BF0A0EFD10 | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
AFD AmdK7 avgio avipbb Fips IPSec MRxSmb NetBIOS NetBT RasAcd Rdbss ssmdrv Tcpip
 
Error - 09.09.2010 17:07:41 | Computer Name = USER-BF0A0EFD10 | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "EventSystem"
mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {1BE1F766-5536-11D1-B726-00C04FB926AF}
 
Error - 09.09.2010 17:08:23 | Computer Name = USER-BF0A0EFD10 | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc"
mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {A1F4E726-8CF1-11D1-BF92-0060081ED811}
 
Error - 09.09.2010 17:09:17 | Computer Name = USER-BF0A0EFD10 | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc"
mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {A1F4E726-8CF1-11D1-BF92-0060081ED811}
 
Error - 09.09.2010 17:21:04 | Computer Name = USER-BF0A0EFD10 | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc"
mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {A1F4E726-8CF1-11D1-BF92-0060081ED811}
 
Error - 09.09.2010 17:24:08 | Computer Name = USER-BF0A0EFD10 | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc"
mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {A1F4E726-8CF1-11D1-BF92-0060081ED811}
 
Error - 09.09.2010 17:24:24 | Computer Name = USER-BF0A0EFD10 | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "wuauserv"
mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {E60687F7-01A1-40AA-86AC-DB1CBF673334}
 
Error - 09.09.2010 17:32:23 | Computer Name = USER-BF0A0EFD10 | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "EventSystem"
mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {1BE1F766-5536-11D1-B726-00C04FB926AF}
 
Error - 10.09.2010 11:55:32 | Computer Name = USER-BF0A0EFD10 | Source = Dhcp | ID = 1002
Description = Die IP-Adresslease 192.168.2.32 für die Netzwerkkarte mit der Netzwerkadresse
00146CEF38D6 wurde durch den DHCP-Server 192.168.2.1 abgelehnt (der DHCP-Server 
hat eine DHCPNACK-Meldung gesendet).
 
 
< End of report >
         
--- --- ---



______________________________________________________________
_________________________________________________________________
OTL Logfile:
Code:
ATTFilter
OTL logfile created on: 10.09.2010 19:35:30 - Run 1
OTL by OldTimer - Version 3.2.11.0 Folder = C:\Z\4 Software\Programme\13 Virensuche
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
767,00 Mb Total Physical Memory | 326,00 Mb Available Physical Memory | 42,00% Memory free
2,00 Gb Paging File | 1,00 Gb Available in Paging File | 75,00% Paging File free
Paging file location(s): C:\pagefile.sys 1150 1890 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 76,33 Gb Total Space | 46,91 Gb Free Space | 61,46% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: USER-BF0A0EFD10
Current User Name: User
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
========== Processes (SafeList) ==========
 
PRC - C:\Z\4 Software\Programme\13 Virensuche\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Malwarebytes' Anti-Malware\mbam.exe (Malwarebytes Corporation)
PRC - C:\Programme\pdf24\pdf24.exe (Geek Software GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - C:\WINDOWS\SOUNDMAN.EXE (Realtek Semiconductor Corp.)
PRC - C:\WINDOWS\system32\spool\drivers\w32x86\3\E_FATICAE.EXE (SEIKO EPSON CORPORATION)
PRC - C:\Programme\NETGEAR\WG111v2 Configuration Utility\RtWLan.exe ()
PRC - C:\Programme\NETGEAR\WG111v2 Configuration Utility\RtlWake.exe ()
PRC - C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE (Microsoft Corporation)
PRC - C:\WINDOWS\mixer.exe (C-Media Electronic Inc. (www.cmedia.com.tw))
 
 
========== Modules (SafeList) ==========
 
MOD - C:\Z\4 Software\Programme\13 Virensuche\OTL.exe (OldTimer Tools)
MOD - C:\WINDOWS\system32\msscript.ocx (Microsoft Corporation)
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (HidServ) -- C:\WINDOWS\System32\hidserv.dll File not found
SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (ose) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation)
SRV - (MDM) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE (Microsoft Corporation)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (MBAMSwissArmy) -- C:\WINDOWS\system32\drivers\mbamswissarmy.sys (Malwarebytes Corporation)
DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH)
DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)
DRV - (VIAudio) VIA AC'97 Audio Controller (WDM) -- C:\WINDOWS\system32\drivers\viaudio.sys (VIA Technologies, Inc.)
DRV - (ati2mtag) -- C:\WINDOWS\system32\drivers\ati2mtag.sys (ATI Technologies Inc.)
DRV - (gameenum) -- C:\WINDOWS\system32\drivers\gameenum.sys (Microsoft Corporation)
DRV - (ALCXWDM) Service for Realtek AC97 Audio (WDM) -- C:\WINDOWS\system32\drivers\ALCXWDM.SYS (Realtek Semiconductor Corp.)
DRV - (RTL8023xp) -- C:\WINDOWS\system32\drivers\Rtnicxp.sys (Realtek Semiconductor Corporation )
DRV - (RTLWUSB) -- C:\WINDOWS\system32\drivers\wg111v2.sys (NETGEAR Inc.)
DRV - (ati2mtaa) -- C:\WINDOWS\system32\drivers\ati2mtaa.sys (ATI Technologies Inc.)
DRV - (SISNIC) -- C:\WINDOWS\system32\drivers\sisnic.sys (SiS Corporation)
DRV - (rtl8139) NT-Treiber für Realtek RTL8139(A/B/C) -- C:\WINDOWS\system32\drivers\RTL8139.sys (Realtek Semiconductor Corporation)
DRV - (cmpci) C-Media PCI Audio Driver (WDM) -- C:\WINDOWS\system32\drivers\cmaudio.sys (C-Media Inc)
DRV - (SjyPkt) -- C:\WINDOWS\system32\drivers\SjyPkt.sys (Windows (R) 2000 DDK provider)
DRV - (G400) -- C:\WINDOWS\system32\drivers\G400m.sys (Matrox Graphics Inc.)
DRV - (ms_mpu401) -- C:\WINDOWS\system32\drivers\msmpu401.sys (Microsoft Corporation)
DRV - (ac97intc) Intel(r) 82801 Audiotreiber-Installationsdienst (WDM) -- C:\WINDOWS\system32\drivers\ac97intc.sys (Intel Corporation)
DRV - (fpcibase) -- C:\WINDOWS\system32\drivers\fpcibase.sys (AVM GmbH)
DRV - (AVMWAN) -- C:\WINDOWS\system32\drivers\avmwan.sys (AVM GmbH)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
 
O1 HOSTS File: ([2004.08.08 20:54:43 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (EpsonToolBandKicker Class) - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\epson\EPSON Web-To-Page\EPSON Web-To-Page.dll (SEIKO EPSON CORPORATION)
O3 - HKLM\..\Toolbar: (EPSON Web-To-Page) - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\epson\EPSON Web-To-Page\EPSON Web-To-Page.dll (SEIKO EPSON CORPORATION)
O3 - HKCU\..\Toolbar\WebBrowser: (EPSON Web-To-Page) - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\epson\EPSON Web-To-Page\EPSON Web-To-Page.dll (SEIKO EPSON CORPORATION)
O4 - HKLM..\Run: [Adobe Reader Speed Launcher] C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [C-Media Mixer] C:\WINDOWS\mixer.exe (C-Media Electronic Inc. (www.cmedia.com.tw))
O4 - HKLM..\Run: [KernelFaultCheck] File not found
O4 - HKLM..\Run: [ Malwarebytes Anti-Malware  (reboot)] C:\Programme\Malwarebytes' Anti-Malware\mbam.exe (Malwarebytes Corporation)
O4 - HKLM..\Run: [PDFPrint] C:\Programme\pdf24\pdf24.exe (Geek Software GmbH)
O4 - HKLM..\Run: [SoundMan] C:\WINDOWS\SOUNDMAN.EXE (Realtek Semiconductor Corp.)
O4 - HKCU..\Run: [EPSON Stylus DX4400 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICAE.EXE (SEIKO EPSON CORPORATION)
O4 - HKLM..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\WG111v2 Smart Wizard Wireless Setting.lnk = C:\Programme\NETGEAR\WG111v2 Configuration Utility\RtlWake.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 0
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1254147640196 (WUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)
O16 - DPF: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.)
O20 - Winlogon\Notify\WgaLogon: DllName - WgaLogon.dll - File not found
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2007.03.10 11:25:36 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O34 - HKLM BootExecute: (sprestrt) - C:\WINDOWS\System32\sprestrt.exe (Microsoft Corporation)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O36 - AppCertDlls: evenaint - (C:\WINDOWS\system32\mounkeys.dll) - C:\WINDOWS\System32\mounkeys.dll File not found
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2010.09.10 18:30:44 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Malwarebytes
[2010.09.10 18:30:21 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.09.10 18:30:19 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2010.09.10 18:30:18 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.09.10 18:30:18 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[4 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[10 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2010.09.10 19:31:14 | 000,054,016 | ---- | M] () -- C:\WINDOWS\System32\drivers\nfvsxyyc.sys
[2010.09.10 17:55:21 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010.09.10 17:55:18 | 000,044,964 | ---- | M] () -- C:\WINDOWS\System32\ativvaxx.cap
[2010.09.10 17:55:18 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.09.10 17:55:16 | 804,835,328 | -HS- | M] () -- C:\hiberfil.sys
[2010.09.09 23:36:56 | 003,932,160 | -H-- | M] () -- C:\Dokumente und Einstellungen\User\NTUSER.DAT
[2010.09.09 23:36:56 | 000,000,300 | -HS- | M] () -- C:\Dokumente und Einstellungen\User\ntuser.ini
[2010.09.09 23:36:39 | 004,297,130 | -H-- | M] () -- C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\IconCache.db
[2010.09.09 21:02:50 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.09.05 22:08:37 | 000,000,116 | ---- | M] () -- C:\WINDOWS\NeroDigital.ini
[2010.09.05 21:45:50 | 000,046,592 | ---- | M] () -- C:\WINDOWS\System32\mounkeys.VIR
[2010.09.05 11:43:47 | 804,868,096 | ---- | M] () -- C:\WINDOWS\MEMORY.DMP
[2010.09.05 11:31:05 | 000,104,448 | ---- | M] () -- C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.08.12 22:25:40 | 000,241,536 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2010.08.12 19:59:23 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[4 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[10 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2010.09.10 19:31:14 | 000,054,016 | ---- | C] () -- C:\WINDOWS\System32\drivers\nfvsxyyc.sys
[2010.09.09 23:33:11 | 804,835,328 | -HS- | C] () -- C:\hiberfil.sys
[2010.09.05 21:45:50 | 000,046,592 | ---- | C] () -- C:\WINDOWS\System32\mounkeys.VIR
[2009.10.11 21:50:25 | 000,000,000 | ---- | C] () -- C:\WINDOWS\iPlayer.INI
[2009.10.11 12:39:02 | 000,000,116 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2009.10.07 20:48:59 | 000,104,448 | ---- | C] () -- C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2009.09.30 12:41:38 | 000,000,097 | ---- | C] () -- C:\WINDOWS\System32\PICSDK.ini
[2009.09.30 12:39:36 | 000,000,027 | ---- | C] () -- C:\WINDOWS\CDE DX4400DEFGIPS.ini
[2008.09.20 11:35:02 | 000,000,025 | ---- | C] () -- C:\WINDOWS\mixerdef.ini
[2008.09.19 16:03:09 | 000,116,224 | ---- | C] () -- C:\WINDOWS\System32\pdfcmnnt.dll
[2007.09.04 10:10:36 | 000,003,972 | ---- | C] () -- C:\WINDOWS\System32\drivers\PciBus.sys
[2007.03.10 12:36:43 | 000,204,800 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeW7.dll
[2007.03.10 12:36:43 | 000,200,704 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeA6.dll
[2007.03.10 12:36:43 | 000,192,512 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeP6.dll
[2007.03.10 12:36:43 | 000,192,512 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeM6.dll
[2007.03.10 12:36:43 | 000,188,416 | ---- | C] () -- C:\WINDOWS\System32\IVIresizePX.dll
[2007.03.10 12:36:43 | 000,020,480 | ---- | C] () -- C:\WINDOWS\System32\IVIresize.dll
[2007.03.10 12:36:16 | 000,122,880 | ---- | C] () -- C:\WINDOWS\System32\cddvdint.dll
[2007.03.10 12:30:49 | 000,000,305 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\addr_file.html
[2007.03.10 12:25:57 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2004.09.07 15:23:16 | 000,156,672 | ---- | C] () -- C:\WINDOWS\System32\RTLCPAPI.dll
[2003.02.20 17:53:42 | 000,005,702 | ---- | C] () -- C:\WINDOWS\System32\OUTLPERF.INI
 
========== LOP Check ==========
 
[2009.09.30 12:41:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EPSON
[2009.09.30 12:44:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\UDL
[2010.01.05 22:29:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\EPSON
[2009.10.08 23:48:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\FreeFLVConverter
[2007.03.10 12:40:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\InterVideo
 
========== Purity Check ==========
 
 
< End of report >
         
--- --- ---

Alt 11.09.2010, 15:12   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
BDS/Papras.pk durch AntiVir in mounkeys.dll gefunden - Standard

BDS/Papras.pk durch AntiVir in mounkeys.dll gefunden



Hallo,

hast Du noch in Erinnerung wann das Problem mit dem Schädling auftrat? Hast Du rein zufällig unmittelbar davor was von Adobe, also den Reader oder Flashplayer, aktualisiert?

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)


Code:
ATTFilter
:OTL
O36 - AppCertDlls: evenaint - (C:\WINDOWS\system32\mounkeys.dll) - C:\WINDOWS\System32\mounkeys.dll File not found
[2010.09.10 19:31:14 | 000,054,016 | ---- | M] () -- C:\WINDOWS\System32\drivers\nfvsxyyc.sys
[2010.09.05 21:45:50 | 000,046,592 | ---- | M] () -- C:\WINDOWS\System32\mounkeys.VIR
:Commands
[purity]
[resethosts]
[emptytemp]
         
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.
__________________

__________________

Alt 11.09.2010, 17:31   #3
rleuschel
 
BDS/Papras.pk durch AntiVir in mounkeys.dll gefunden - Standard

BDS/Papras.pk durch AntiVir in mounkeys.dll gefunden



Hallo,

irgendwann war da mal ein Update vom Flashplayer. Kann ich zeitlich aber nicht mehr zuordnen.

Habe den Fix gerade ausgeführt. AntiVir läuft standardmäßig im Hinmtergrund und hat beim Fix den Schädling wieder erkannt und versucht, den Zugriff zu verhindern. Hat das evtl Einfluss auf's Ergebnis gehabt?
Sollen beim 'Beenden aller Programme' auch diejenigen rechts unten neben der Uhr deaktiviert werden? Hatte ich vorher nicht gemacht...

Hier das Ergebnis:

All processes killed
========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls\\evenaint:C:\WINDOWS\system32\mounkeys.dll deleted successfully.
File C:\WINDOWS\System32\drivers\nfvsxyyc.sys not found.
C:\WINDOWS\system32\mounkeys.VIR moved successfully.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: User
->Temp folder emptied: 204589210 bytes
->Temporary Internet Files folder emptied: 31807980 bytes
->Java cache emptied: 77019575 bytes
->Flash cache emptied: 60900 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 6363861 bytes
%systemroot%\System32 .tmp files removed: 2833287 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 1674505 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 309,00 mb


OTL by OldTimer - Version 3.2.11.0 log created on 09112010_181746

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...
__________________

Alt 12.09.2010, 20:34   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
BDS/Papras.pk durch AntiVir in mounkeys.dll gefunden - Standard

BDS/Papras.pk durch AntiVir in mounkeys.dll gefunden



Zitat:
Hat das evtl Einfluss auf's Ergebnis gehabt?
Ja, OTL hat eine Datei nicht gefunden. Man sollte vor dem Einsatz von OTL besser den Virenscanner deaktivieren, der stört da meist nur.

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 13.09.2010, 11:01   #5
rleuschel
 
BDS/Papras.pk durch AntiVir in mounkeys.dll gefunden - Standard

BDS/Papras.pk durch AntiVir in mounkeys.dll gefunden



Hallo,

habe CCleaner und CF ausgeführt. Obwohl Avira deaktiviert war, gab's bei CF einen Warnhinweis. Programmausführung lief jedoch scheinbar reibungslos:



Combofix Logfile:
Code:
ATTFilter
ComboFix 10-09-12.03 - User 13.09.2010  11:49:11.1.1 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.767.493 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\User\Desktop\cofi.exe
AV: AntiVir Desktop *On-access scanning enabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
 * Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((   Dateien erstellt von 2010-08-13 bis 2010-09-13  ))))))))))))))))))))))))))))))
.

2010-09-13 09:18 . 2010-09-13 09:18	--------	d-----w-	c:\programme\CCleaner
2010-09-11 16:17 . 2010-09-11 16:17	--------	d-----w-	C:\_OTL
2010-09-10 21:30 . 2010-09-10 21:30	--------	d-----w-	c:\programme\Gemeinsame Dateien\Java
2010-09-10 21:29 . 2010-09-10 21:29	503808	----a-w-	c:\dokumente und einstellungen\User\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-617e7b85-n\msvcp71.dll
2010-09-10 21:29 . 2010-09-10 21:29	499712	----a-w-	c:\dokumente und einstellungen\User\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-617e7b85-n\jmc.dll
2010-09-10 21:29 . 2010-09-10 21:29	348160	----a-w-	c:\dokumente und einstellungen\User\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-617e7b85-n\msvcr71.dll
2010-09-10 21:29 . 2010-09-10 21:29	61440	----a-w-	c:\dokumente und einstellungen\User\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-5069e822-n\decora-sse.dll
2010-09-10 21:29 . 2010-09-10 21:29	12800	----a-w-	c:\dokumente und einstellungen\User\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-5069e822-n\decora-d3d.dll
2010-09-10 21:29 . 2010-07-17 03:00	423656	----a-w-	c:\windows\system32\deployJava1.dll
2010-09-10 16:30 . 2010-09-10 16:30	--------	d-----w-	c:\dokumente und einstellungen\User\Anwendungsdaten\Malwarebytes
2010-09-10 16:30 . 2010-04-29 10:19	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-09-10 16:30 . 2010-09-10 16:30	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-09-10 16:30 . 2010-09-10 16:30	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2010-09-10 16:30 . 2010-04-29 10:19	20952	----a-w-	c:\windows\system32\drivers\mbam.sys

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-13 09:27 . 2009-12-24 11:32	--------	d-----w-	c:\dokumente und einstellungen\User\Anwendungsdaten\Media Player Classic
2010-09-10 21:29 . 2009-10-31 09:12	--------	d-----w-	c:\programme\Java
2010-06-30 12:28 . 2004-08-08 19:00	149504	----a-w-	c:\windows\system32\schannel.dll
2010-06-24 12:22 . 2004-08-08 19:01	916480	----a-w-	c:\windows\system32\wininet.dll
2010-06-24 09:02 . 2004-08-08 19:01	1852032	----a-w-	c:\windows\system32\win32k.sys
2010-06-21 15:27 . 2004-08-08 19:00	354304	----a-w-	c:\windows\system32\drivers\srv.sys
2010-06-17 14:03 . 2004-08-08 18:59	80384	----a-w-	c:\windows\system32\iccvid.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2007-03-10 77824]
"C-Media Mixer"="Mixer.exe" [2002-10-09 1818624]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-14 39792]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]
"PDFPrint"="c:\programme\pdf24\pdf24.exe" [2010-02-22 207504]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
WG111v2 Smart Wizard Wireless Setting.lnk - c:\programme\NETGEAR\WG111v2 Configuration Utility\RtlWake.exe [2009-9-28 745472]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute	REG_MULTI_SZ   	autocheck autochk *\0sprestrt

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=c:\windows\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Synchronizer.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader Synchronizer.lnk
backup=c:\windows\pss\Adobe Reader Synchronizer.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^InterVideo WinCinema Manager.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\InterVideo WinCinema Manager.lnk
backup=c:\windows\pss\InterVideo WinCinema Manager.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2001-07-09 10:50	155648	----a-w-	c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\InterVideo\\DVD6\\WinDVD.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [28.09.2009 15:45 108289]
R2 EAPPkt;Realtek EAPPkt Protocol;c:\windows\system32\drivers\EAPPkt.sys [28.09.2009 16:34 66048]
R3 AVMWAN;AVM NDIS WAN CAPI-Treiber;c:\windows\system32\drivers\avmwan.sys [28.09.2007 08:31 37568]
R3 RTLWUSB;NETGEAR WG111v2 54Mbps Wireless USB 2.0 Adapter NT Driver;c:\windows\system32\drivers\wg111v2.sys [28.09.2009 16:34 167808]
R3 SjyPkt;SjyPkt;c:\windows\system32\drivers\SjyPkt.sys [28.09.2009 16:34 13532]
S3 fpcibase;AVM ISDN-Controller FRITZ!Card PCI v2.0;c:\windows\system32\drivers\fpcibase.sys [28.09.2007 08:31 444416]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-09-13 11:52
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(700)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(1464)
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Zeit der Fertigstellung: 2010-09-13  11:54:31
ComboFix-quarantined-files.txt  2010-09-13 09:54

Vor Suchlauf: 8 Verzeichnis(se), 51.289.239.552 Bytes frei
Nach Suchlauf: 9 Verzeichnis(se), 51.254.710.272 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

- - End Of File - - E24232B2B7C7B0626772844029066B92
         
--- --- ---


Gruß
Andre


Alt 13.09.2010, 11:24   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
BDS/Papras.pk durch AntiVir in mounkeys.dll gefunden - Standard

BDS/Papras.pk durch AntiVir in mounkeys.dll gefunden



Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus

Anschließend den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus.

Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen

Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen.
Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt.
__________________
--> BDS/Papras.pk durch AntiVir in mounkeys.dll gefunden

Alt 13.09.2010, 16:03   #7
rleuschel
 
BDS/Papras.pk durch AntiVir in mounkeys.dll gefunden - Standard

BDS/Papras.pk durch AntiVir in mounkeys.dll gefunden



Hallo,

hier die Ergebnisse:

GMER Logfile:
Code:
ATTFilter
GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-09-13 16:35:53
Windows 5.1.2600 Service Pack 3
Running: 4plvn3ub.exe; Driver: C:\DOKUME~1\User\LOKALE~1\Temp\kwqiqfod.sys


---- System - GMER 1.0.15 ----

SSDT            F7E0F9F6                                  ZwCreateKey
SSDT            F7E0F9EC                                  ZwCreateThread
SSDT            F7E0F9FB                                  ZwDeleteKey
SSDT            F7E0FA05                                  ZwDeleteValueKey
SSDT            F7E0FA0A                                  ZwLoadKey
SSDT            F7E0F9D8                                  ZwOpenProcess
SSDT            F7E0F9DD                                  ZwOpenThread
SSDT            F7E0FA14                                  ZwReplaceKey
SSDT            F7E0FA0F                                  ZwRestoreKey
SSDT            F7E0FA00                                  ZwSetValueKey
SSDT            F7E0F9E7                                  ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.text           C:\WINDOWS\system32\DRIVERS\ati2mtag.sys  section is writeable [0xF70C4000, 0x1A3F84, 0xE8000020]

---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\Fastfat \Fat                  fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----
         
--- --- ---

_________________________________________________________________
_________________________________________________________________


OSAM Logfile:
Code:
ATTFilter
Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 16:56:27 on 13.09.2010

OS: Windows XP Professional Service Pack 3 (Build 2600)
Default Browser: Microsoft Corporation Internet Explorer 8.00.6001.18702

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"ALSNDMGR.CPL" - ? - C:\WINDOWS\system32\ALSNDMGR.CPL  (File signed by Microsoft | File found, but it contains no detailed information)
"javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"Avira AntiVir Personal - Free Antivirus " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl
"Avira AntiVir Personal – Free Antivirus " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl
"Avira AntiVir PersonalEdition Classic" - ? - C:\PROGRA~1\ANTIVI~1\avconfig.cpl  (File not found)

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys
"avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys
"catchme" (catchme) - ? - C:\DOKUME~1\User\LOKALE~1\Temp\catchme.sys  (File not found)
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)
"ENTECH" (ENTECH) - "EnTech Taiwan" - C:\WINDOWS\system32\DRIVERS\ENTECH.sys
"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)
"NETGEAR WG111v2 54Mbps Wireless USB 2.0 Adapter NT Driver" (RTLWUSB) - "NETGEAR Inc." - C:\WINDOWS\System32\DRIVERS\wg111v2.sys
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"Realtek EAPPkt Protocol" (EAPPkt) - "Windows (R) 2000 DDK provider" - C:\WINDOWS\System32\DRIVERS\EAPPkt.sys
"SjyPkt" (SjyPkt) - "Windows (R) 2000 DDK provider" - C:\WINDOWS\System32\Drivers\SjyPkt.sys
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)

[Explorer]
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{807553E5-5146-11D5-A672-00B0D022E945} "text/xml" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL
-----( HKLM\Software\Classes\Protocols\Handler )-----
{32505114-5902-49B2-880A-1F7738E5A384} "Data Page Plugable Protocal mso-offdap11 Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\11\OWC11.DLL
{3D9F03FA-7A94-11D3-BE81-0050048385D1} "Data Page Pluggable Protocol mso-offdap Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
{0A9007C0-4076-11D3-8789-0000F8105754} "Microsoft Infotech Storage Protocol for IE 4.0" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{23170F69-40C1-278A-1000-000100020000} "7-Zip Shell Extension" - "Igor Pavlov" - C:\Programme\7-Zip\7-zip.dll
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -   (File not found | COM-object registry key not found)
{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\OFFICE11\msohev.dll
{00020D75-0000-0000-C000-000000000046} "Microsoft Office Outlook" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL
{0006F045-0000-0000-C000-000000000046} "Outlook-Dateisymbolerweiterung" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -   (File not found | COM-object registry key not found)
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL

[Internet Explorer]
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
<binary data> "EPSON Web-To-Page" - "SEIKO EPSON CORPORATION" - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
ITBar7Height "ITBar7Height" - ? -   (File not found | COM-object registry key not found)
<binary data> "ITBar7Layout" - ? -   (File not found | COM-object registry key not found)
<binary data> "ITBarLayout" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_21" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_21.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab
{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} "Java Plug-in 1.6.0_21" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_21.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_21" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_21.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab
{D27CDB6E-AE6D-11CF-96B8-444553540000} "Shockwave Flash Object" - "Adobe Systems, Inc." - C:\WINDOWS\system32\Macromed\Flash\Flash10i.ocx / hxxp://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
{FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Recherchieren" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )-----
<binary data> "EPSON Web-To-Page" - "SEIKO EPSON CORPORATION" - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} "Adobe PDF Reader" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
{E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} "EpsonToolBandKicker Class" - "SEIKO EPSON CORPORATION" - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll
{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
"WG111v2 Smart Wizard Wireless Setting.lnk" - ? - C:\Programme\NETGEAR\WG111v2 Configuration Utility\RtlWake.exe  (Shortcut exists | File exists)
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\User\Startmenü\Programme\Autostart\desktop.ini
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
"avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
"PDFPrint" - "Geek Software GmbH" - C:\Programme\pdf24\pdf24.exe
"SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"Microsoft Document Imaging Writer Monitor" - "Microsoft Corporation" - C:\WINDOWS\system32\mdimon.dll
"PDFCreator" - ? - C:\WINDOWS\system32\pdfcmnnt.dll  (File found, but it contains no detailed information)

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"ATI Smart" (ATI Smart) - ? - C:\WINDOWS\system32\ati2sgag.exe
"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe
"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe
"Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe
"Machine Debug Manager" (MDM) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
"Office Source Engine" (ose) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )-----
"WgaLogon" - ? - WgaLogon.dll  (File not found)

===[ Logfile end ]=========================================[ Logfile end ]===
         
--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru


_________________________________________________________________
_________________________________________________________________




Bootkit Remover
(c) 2009 eSage Lab
www.esagelab.com

Program version: 1.2.0.0
OS Version: Microsoft Windows XP Professional Service Pack 3 (build 2600)

System volume is \\.\C:
\\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000`00007e00
Boot sector MD5 is: 5ddc20efcc4d1dab37c348c7db7289cf

Size Device Name MBR Status
--------------------------------------------
76 GB \\.\PhysicalDrive0 Unknown boot code

Unknown boot code has been found on some of your physical disks.
To inspect the boot code manually, dump the master boot sector:
remover.exe dump <device_name> [output_file]
To disinfect the master boot sector, use the following command:
remover.exe fix <device_name>


Done;
Press any key to quit...


Gruß
Andre

Alt 13.09.2010, 19:36   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
BDS/Papras.pk durch AntiVir in mounkeys.dll gefunden - Standard

BDS/Papras.pk durch AntiVir in mounkeys.dll gefunden



Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur eine Sekunde.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 14.09.2010, 20:52   #9
rleuschel
 
BDS/Papras.pk durch AntiVir in mounkeys.dll gefunden - Standard

BDS/Papras.pk durch AntiVir in mounkeys.dll gefunden



Hallo,

hier das Ergebnis:

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Professional
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x0000001d

Kernel Drivers (total 123):
0x804D7000 \WINDOWS\system32\ntoskrnl.exe
0x806EF000 \WINDOWS\system32\hal.dll
0xF7D2F000 \WINDOWS\system32\KDCOM.DLL
0xF7C3F000 \WINDOWS\system32\BOOTVID.dll
0xF77DF000 ACPI.sys
0xF7D31000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
0xF77CE000 pci.sys
0xF782F000 isapnp.sys
0xF783F000 ohci1394.sys
0xF784F000 \WINDOWS\system32\DRIVERS\1394BUS.SYS
0xF7DF7000 pciide.sys
0xF7AAF000 \WINDOWS\System32\DRIVERS\PCIIDEX.SYS
0xF7D33000 viaide.sys
0xF7D35000 intelide.sys
0xF785F000 MountMgr.sys
0xF77AF000 ftdisk.sys
0xF7D37000 dmload.sys
0xF7789000 dmio.sys
0xF7AB7000 PartMgr.sys
0xF786F000 VolSnap.sys
0xF7771000 atapi.sys
0xF787F000 disk.sys
0xF788F000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xF7751000 fltmgr.sys
0xF773F000 sr.sys
0xF7728000 KSecDD.sys
0xF769B000 Ntfs.sys
0xF766E000 NDIS.sys
0xF789F000 uagp35.sys
0xF78AF000 viaagp.sys
0xF7654000 Mup.sys
0xF799F000 \SystemRoot\system32\DRIVERS\amdk7.sys
0xF70C3000 \SystemRoot\system32\DRIVERS\ati2mtag.sys
0xF70AF000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xF7B1F000 \SystemRoot\system32\DRIVERS\fetnd5.sys
0xF7052000 \SystemRoot\system32\drivers\cmaudio.sys
0xF702E000 \SystemRoot\system32\drivers\portcls.sys
0xF79AF000 \SystemRoot\system32\drivers\drmk.sys
0xF700B000 \SystemRoot\system32\drivers\ks.sys
0xF7B27000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0xF6FE7000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xF7B2F000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xF79BF000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0xF7B37000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xF7B3F000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xF7B47000 \SystemRoot\system32\DRIVERS\fdc.sys
0xF79CF000 \SystemRoot\system32\DRIVERS\serial.sys
0xF7CDF000 \SystemRoot\system32\DRIVERS\serenum.sys
0xF6FD3000 \SystemRoot\system32\DRIVERS\parport.sys
0xF79DF000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xF79EF000 \SystemRoot\system32\DRIVERS\redbook.sys
0xF79FF000 \SystemRoot\system32\DRIVERS\imapi.sys
0xF7A0F000 \SystemRoot\system32\DRIVERS\avmwan.sys
0xF7E9B000 \SystemRoot\system32\DRIVERS\audstub.sys
0xF7A1F000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xF7CEB000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xF6FBC000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xF7A2F000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xF7A3F000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xF7B4F000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xF6F0B000 \SystemRoot\system32\DRIVERS\psched.sys
0xF7A4F000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xF7B57000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xF7B5F000 \SystemRoot\system32\DRIVERS\raspti.sys
0xF6EDB000 \SystemRoot\system32\DRIVERS\rdpdr.sys
0xF7A9F000 \SystemRoot\system32\DRIVERS\termdd.sys
0xF7D4B000 \SystemRoot\system32\DRIVERS\swenum.sys
0xF6E55000 \SystemRoot\system32\DRIVERS\update.sys
0xF7D13000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xF78FF000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xF790F000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xF7D59000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xF7B77000 \SystemRoot\system32\DRIVERS\flpydisk.sys
0xF7D63000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xF7E11000 \SystemRoot\System32\Drivers\Null.SYS
0xF7D65000 \SystemRoot\System32\Drivers\Beep.SYS
0xF7B87000 \SystemRoot\System32\drivers\vga.sys
0xF7D67000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xF7D69000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xF7B8F000 \SystemRoot\System32\Drivers\Msfs.SYS
0xF7B97000 \SystemRoot\System32\Drivers\Npfs.SYS
0xF7CC3000 \SystemRoot\system32\DRIVERS\rasacd.sys
0xAA783000 \SystemRoot\system32\DRIVERS\ipsec.sys
0xAA72A000 \SystemRoot\system32\DRIVERS\tcpip.sys
0xAA702000 \SystemRoot\system32\DRIVERS\netbt.sys
0xAA6E0000 \SystemRoot\System32\drivers\afd.sys
0xF792F000 \SystemRoot\system32\DRIVERS\netbios.sys
0xF7B9F000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0xAA615000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xAA5A5000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xF795F000 \SystemRoot\System32\Drivers\Fips.SYS
0xAA57F000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xAA563000 \SystemRoot\system32\DRIVERS\avipbb.sys
0xF797F000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xF7D75000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
0xF6FAC000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xAA512000 \SystemRoot\system32\DRIVERS\wg111v2.sys
0xAA4FA000 \SystemRoot\System32\Drivers\dump_atapi.sys
0xF7D89000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xAA7D6000 \SystemRoot\System32\drivers\Dxapi.sys
0xF7BD7000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xF7E80000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF012000 \SystemRoot\System32\ati2dvag.dll
0xBF062000 \SystemRoot\System32\ati2cqag.dll
0xBF0EB000 \SystemRoot\System32\atikvmag.dll
0xBF158000 \SystemRoot\System32\atiok3x2.dll
0xBF19B000 \SystemRoot\System32\ati3duag.dll
0xBF583000 \SystemRoot\System32\ativvaxx.dll
0xA83CE000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0xA8345000 \SystemRoot\system32\DRIVERS\EAPPkt.sys
0xA83C6000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0xA8048000 \SystemRoot\system32\DRIVERS\mrxdav.sys
0xA7F43000 \SystemRoot\system32\drivers\wdmaud.sys
0xA80E5000 \SystemRoot\system32\drivers\sysaudio.sys
0xF7DB7000 \SystemRoot\System32\Drivers\ParVdm.SYS
0xA7B76000 \SystemRoot\system32\DRIVERS\srv.sys
0xA79EB000 \SystemRoot\System32\Drivers\Fastfat.SYS
0xA7752000 \SystemRoot\System32\Drivers\HTTP.sys
0xA773A000 \??\C:\WINDOWS\System32\Drivers\SjyPkt.sys
0xA74F4000 \SystemRoot\system32\drivers\kmixer.sys
0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 35):
0 System Idle Process
4 System
548 C:\WINDOWS\system32\smss.exe
664 csrss.exe
700 C:\WINDOWS\system32\winlogon.exe
860 C:\WINDOWS\system32\services.exe
872 C:\WINDOWS\system32\lsass.exe
1032 C:\WINDOWS\system32\ati2evxx.exe
1048 C:\WINDOWS\system32\svchost.exe
1120 svchost.exe
1160 C:\WINDOWS\system32\svchost.exe
1236 svchost.exe
1372 C:\WINDOWS\system32\ati2evxx.exe
1464 svchost.exe
1712 C:\WINDOWS\explorer.exe
1828 C:\WINDOWS\system32\spoolsv.exe
1872 C:\Programme\Avira\AntiVir Desktop\sched.exe
1884 C:\Programme\Avira\AntiVir Desktop\avguard.exe
1936 svchost.exe
1976 C:\WINDOWS\SOUNDMAN.EXE
1996 C:\WINDOWS\mixer.exe
2008 C:\Programme\Avira\AntiVir Desktop\avgnt.exe
2024 C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
2040 C:\Programme\pdf24\pdf24.exe
128 C:\Programme\Messenger\msmsgs.exe
136 C:\WINDOWS\system32\ctfmon.exe
272 C:\Programme\NETGEAR\WG111v2 Configuration Utility\RtlWake.exe
344 C:\Programme\Java\jre6\bin\jqs.exe
644 C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
824 C:\WINDOWS\system32\svchost.exe
2244 C:\WINDOWS\system32\wbem\wmiapsrv.exe
2308 C:\Programme\NETGEAR\WG111v2 Configuration Utility\RtWLan.exe
2352 alg.exe
2904 C:\WINDOWS\system32\wuauclt.exe
912 C:\Dokumente und Einstellungen\User\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)

PhysicalDrive0 Model Number: Maxtor6Y080P0, Rev: YAR41BW0

Size Device Name MBR Status
--------------------------------------------
76 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11


Done!


Gruß
Andre

Alt 14.09.2010, 21:07   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
BDS/Papras.pk durch AntiVir in mounkeys.dll gefunden - Standard

BDS/Papras.pk durch AntiVir in mounkeys.dll gefunden



Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 15.09.2010, 22:00   #11
rleuschel
 
BDS/Papras.pk durch AntiVir in mounkeys.dll gefunden - Standard

BDS/Papras.pk durch AntiVir in mounkeys.dll gefunden



Hallo,

hier die Protokolle:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4621

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

15.09.2010 21:18:34
mbam-log-2010-09-15 (21-18-34).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 183904
Laufzeit: 39 Minute(n), 23 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
_________________________________________________________________
_________________________________________________________________

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 09/15/2010 at 10:38 PM

Application Version : 4.43.1000

Core Rules Database Version : 5512
Trace Rules Database Version: 3324

Scan type : Complete Scan
Total Scan Time : 00:50:40

Memory items scanned : 457
Memory threats detected : 0
Registry items scanned : 5852
Registry threats detected : 0
File items scanned : 50497
File threats detected : 39

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\User\Cookies\user@statcounter[2].txt
C:\Dokumente und Einstellungen\User\Cookies\user@rts.pgmediaserve[1].txt
C:\Dokumente und Einstellungen\User\Cookies\user@adultadworld[1].txt
C:\Dokumente und Einstellungen\User\Cookies\user@partypoker[2].txt
C:\Dokumente und Einstellungen\User\Cookies\user@tracking.hannoversche[1].txt
C:\Dokumente und Einstellungen\User\Cookies\user@adbrite[2].txt
C:\Dokumente und Einstellungen\User\Cookies\user@ads.medienhaus[1].txt
C:\Dokumente und Einstellungen\User\Cookies\user@ad.zanox[1].txt
C:\Dokumente und Einstellungen\User\Cookies\user@adviva[2].txt
C:\Dokumente und Einstellungen\User\Cookies\user@traffictrack[1].txt
C:\Dokumente und Einstellungen\User\Cookies\user@mediadakine[1].txt
C:\Dokumente und Einstellungen\User\Cookies\user@clicksor[1].txt
C:\Dokumente und Einstellungen\User\Cookies\user@webmasterplan[1].txt
C:\Dokumente und Einstellungen\User\Cookies\user@de.sitestat[1].txt
C:\Dokumente und Einstellungen\User\Cookies\user@apmebf[1].txt
C:\Dokumente und Einstellungen\User\Cookies\user@imagevenue.advertserve[2].txt
C:\Dokumente und Einstellungen\User\Cookies\user@tracking.mlsat02[1].txt
C:\Dokumente und Einstellungen\User\Cookies\user@ad.yieldmanager[2].txt
C:\Dokumente und Einstellungen\User\Cookies\user@adultfriendfinder[2].txt
C:\Dokumente und Einstellungen\User\Cookies\user@content.yieldmanager[1].txt
C:\Dokumente und Einstellungen\User\Cookies\user@ad2.adfarm1.adition[2].txt
C:\Dokumente und Einstellungen\User\Cookies\user@im.banner.t-online[1].txt
C:\Dokumente und Einstellungen\User\Cookies\user@tracking.quisma[2].txt
C:\Dokumente und Einstellungen\User\Cookies\user@ad.adnet[1].txt
C:\Dokumente und Einstellungen\User\Cookies\user@collective-media[1].txt
C:\Dokumente und Einstellungen\User\Cookies\user@atdmt[1].txt
C:\Dokumente und Einstellungen\User\Cookies\user@ero-advertising[1].txt
C:\Dokumente und Einstellungen\User\Cookies\user@serving.xxxwebtraffic[2].txt
C:\Dokumente und Einstellungen\User\Cookies\user@tradedoubler[1].txt
C:\Dokumente und Einstellungen\User\Cookies\user@d.mediadakine[2].txt
C:\Dokumente und Einstellungen\User\Cookies\user@zedo[2].txt
C:\Dokumente und Einstellungen\User\Cookies\user@doubleclick[1].txt
C:\Dokumente und Einstellungen\User\Cookies\user@mediaplex[1].txt
C:\Dokumente und Einstellungen\User\Cookies\user@rotator.adjuggler[2].txt
C:\Dokumente und Einstellungen\User\Cookies\user@adfarm1.adition[2].txt
C:\Dokumente und Einstellungen\User\Cookies\user@specificclick[1].txt
C:\Dokumente und Einstellungen\User\Cookies\user@ad4.adfarm1.adition[1].txt
C:\Dokumente und Einstellungen\User\Cookies\user@myroitracking[2].txt
C:\Dokumente und Einstellungen\User\Cookies\user@adsrv.admediate[1].txt


Gruß
Andre

Alt 16.09.2010, 09:37   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
BDS/Papras.pk durch AntiVir in mounkeys.dll gefunden - Standard

BDS/Papras.pk durch AntiVir in mounkeys.dll gefunden



Sieht ok aus, da wurden nur Cookies gefunden.
Noch Probleme oder weitere Funde in der Zwischenzeit?
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 17.09.2010, 18:59   #13
rleuschel
 
BDS/Papras.pk durch AntiVir in mounkeys.dll gefunden - Standard

BDS/Papras.pk durch AntiVir in mounkeys.dll gefunden



Hallo,

weitere Funde gab's in der Zwischenzeit nicht mehr.
Wie ist mit den ganzen Ant-Viren-Programmen denn nun umzugehen?
Wieder deinstallieren?
Welches kostenlose Anti-Viren-Programm ist in Verbindung mit welcher Firewall Deiner Erfahrung nach zu empfehlen, oder muss mann doch besser Geld für vernünftige Qualität ausgeben? Bisher habe ich Avira Antivir in der Free Version, scheint aber trotz automatischer Updates nicht ausreichend Schutz zu bieten.

Das ursprüngliche Problem mit dem Klicken beim Hochfahren und beim erstmaligen Öffnen der Programme ist übrigens noch vorhanden.
Wohl doch die Festplatte!?

Gruß und vielen Dank nochmals
Andre

Alt 17.09.2010, 19:56   #14
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
BDS/Papras.pk durch AntiVir in mounkeys.dll gefunden - Standard

BDS/Papras.pk durch AntiVir in mounkeys.dll gefunden



Zitat:
Wie ist mit den ganzen Ant-Viren-Programmen denn nun umzugehen?
Wieder deinstallieren?
Die stören nicht, weil das keine "herkömmlichen" Virenscanner sind und auch keinen Hintegrundwächter mitbringen. Du kannst aber alle deinstallieren. Malwarebytes solltest Du ruhig behalten.

Zitat:
Welches kostenlose Anti-Viren-Programm ist in Verbindung mit welcher Firewall Deiner Erfahrung nach zu empfehlen, oder muss mann doch besser Geld für vernünftige Qualität ausgeben?
Geld musst Du als Privatmensch garnicht ausgeben. Es reicht sowas wie Microsoft Security Essentials, AVG Free, Avast oder AntiVir PE. Firewall: Windows-Firewall!

Zitat:
Bisher habe ich Avira Antivir in der Free Version, scheint aber trotz automatischer Updates nicht ausreichend Schutz zu bieten.
Es gibt keinen Schutz aus bunten Pappschachteln!
Halte Dich am besten grob an diese fünf Regeln:

1) Sei misstrauisch im Internet und v.a. bei unbekannten E-Mails, sei vorsichtig bei der Herausgabe persönlicher Daten!!
2) Halte Windows und alle verwendeten Programme immer aktuell
3) Führe regelmäßig Backups auf externe Medien durch
4) Arbeite mit eingeschränkten Rechten
5) Nutze sichere Programme wie zB Opera oder Firefox zum Surfen statt den IE, zum Mailen Thunderbird statt Outlook Express - E-Mails nur als reinen text anzeigen lassen

Alles noch genauer erklärt steht hier => Kompromittierung unvermeidbar?

Zitat:
Das ursprüngliche Problem mit dem Klicken beim Hochfahren und beim erstmaligen Öffnen der Programme ist übrigens noch vorhanden.
Wohl doch die Festplatte!?
Schau mal nach Diagnosetools auf der Herstellerseite Deiner Platte.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Antwort

Themen zu BDS/Papras.pk durch AntiVir in mounkeys.dll gefunden
0x00000001, 7-zip, acroiehelper.dll, antivir, avgntflt.sys, avira, bho, components, converter, desktop, entfernen, error, festplatte, flash player, format, homepage, internet, internet explorer, location, logfile, netgear, object, oldtimer, otl logfile, otl.exe, rattern, realtek, registry, rundll, saver, sched.exe, security, server, shell32.dll, software, starten, system, windows internet, windows internet explorer



Ähnliche Themen: BDS/Papras.pk durch AntiVir in mounkeys.dll gefunden


  1. HTML/Crypted.Gen durch Avira Antivir Browser Schutz gefunden
    Plagegeister aller Art und deren Bekämpfung - 02.06.2014 (7)
  2. Durch Systemsuchlauf von Antivir versteckten Treiber gefunden - gefährlich?
    Plagegeister aller Art und deren Bekämpfung - 26.04.2013 (25)
  3. JS/Blacole.KH.3 durch Antivir gefunden, malwarebytes meldet nichts
    Log-Analyse und Auswertung - 11.02.2013 (11)
  4. Mehrere Trojaner durch Malwarebytes Anti Malware gefunden und ein Virus durch Avira gefunden (TR/Gendal.81920.6)
    Log-Analyse und Auswertung - 10.11.2012 (1)
  5. TR/Sirefef.P.566; TR/Dldr.Phdet.E.43; TR/ATRAPS.Gen2 durch AntiVir gefunden
    Log-Analyse und Auswertung - 20.07.2012 (3)
  6. Trojaner durch Antivir gefunden, aber nicht entfernbar.
    Plagegeister aller Art und deren Bekämpfung - 02.08.2011 (1)
  7. 4 Trojaner Kazy, Dofoil, Jorik.Spyeyes, Spy.Gen gefunden durch AntiVir
    Log-Analyse und Auswertung - 05.06.2011 (9)
  8. Google leitet auf andere Seiten + 32 diverse Schädlinge durch Antivir gefunden
    Plagegeister aller Art und deren Bekämpfung - 07.02.2011 (32)
  9. BDS/Papras.UW durch AntiVir in clipress.dll gefunden
    Plagegeister aller Art und deren Bekämpfung - 10.11.2010 (18)
  10. Avira Antivir meldet BDS\Papras.QN in C:\WINDOWS\cidamapi.dll
    Plagegeister aller Art und deren Bekämpfung - 25.09.2010 (10)
  11. HiJack-Logfile / papras.jf in AntiVir-Quarantäne
    Log-Analyse und Auswertung - 18.09.2010 (7)
  12. Antivir-Meldung: TR/PSW.Papras.AB
    Plagegeister aller Art und deren Bekämpfung - 21.08.2010 (26)
  13. JAVA/Dldr.Agent.D durch Antivir gefunden, in Quarantäne verschoben. Und nun?
    Antiviren-, Firewall- und andere Schutzprogramme - 18.08.2010 (10)
  14. TR/PSW.Papras.AB eingefangen. Einfaches Löschen mit AntiVir genügend?
    Plagegeister aller Art und deren Bekämpfung - 06.08.2010 (5)
  15. Gefährliches Backdoorprogramm BDS/Papras.GD Gefunden.
    Plagegeister aller Art und deren Bekämpfung - 18.07.2010 (1)
  16. C:\WINDOWS\system32\diannsvr.dll von AntiVir als BDS/Papras.HZ erkannt
    Plagegeister aller Art und deren Bekämpfung - 23.06.2010 (3)
  17. TR/Dldr.Agent.agfz durch Antivir gefunden
    Plagegeister aller Art und deren Bekämpfung - 24.11.2008 (7)

Zum Thema BDS/Papras.pk durch AntiVir in mounkeys.dll gefunden - Hallo, zunächst mal Hut ab für Euer Forum und vielen Dank vorab für die Hilfe die ich hier hoffentliche bekommen kann. Mein Rechner hat 1 oder 2 Probleme: 1. Vor - BDS/Papras.pk durch AntiVir in mounkeys.dll gefunden...
Archiv
Du betrachtest: BDS/Papras.pk durch AntiVir in mounkeys.dll gefunden auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.