Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Win32.Backdoor.Papras/A - Rechner infiziert; werde Trojaner nicht los

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 26.01.2011, 13:45   #1
fragen2011
 
Win32.Backdoor.Papras/A - Rechner infiziert; werde Trojaner nicht los - Standard

Win32.Backdoor.Papras/A - Rechner infiziert; werde Trojaner nicht los



Hallo,
auch ich habe den bösen Trojaner Win32.Backdoor.Papras/A. Habe gesehen, dass es hier schon Posts zu dem Thema gibt, da aber öfter darauf hingewiesen wurde, dass man gewisse Aktionen (z.B. Combi Fix) nur nach ausdrücklicher Empfehlung durchführen sollte, habe ich nochmal ein eigenes Thema eröffnet. (Habe sehr wenig Ahnung von Rechnern.)

Mir ist er ebenfalls aufgefallen, nachdem er sich bei meinem Online-Banking eingezeckt (Abfrage von 20 Tan-Nummern) hatte.

Ich werde meinen Rechner neu installieren, da ich aber auch das nicht selber kann (s.o.), würde ich gerne wissen, was ich bis zur Neuinstallation machen kann, um den Trojaner vorerst loszuwerden/zu blocken.

Anvira und Malwarbytes finden ihn NICHT, nur AdAware (und das trotz Quarantäne jedesmal neu; werd ihn nicht los)

Hier erstmal mal der AdAware log (weiter unten der OTL log)

Hoffe ihr könnt mir helfen. Danke schonmal

Logfile created: 26.01.2011 11:39:20
Ad-Aware version: 9.0.1
Extended engine: 3
Extended engine version: 3.1.2770
User performing scan: all

*********************** Definitions database information ***********************
Lavasoft definition file: 150.253
Genotype definition file version: 2011/01/24 07:47:15
Extended engine definition file: 8196.0

******************************** Scan results: *********************************
Scan profile name: Intelligenter Scan (ID: smart)
Objects scanned: 10036
Objects detected: 1


Type Detected
==========================
Processes.......: 1
Registry entries: 0
Hostfile entries: 0
Files...........: 0
Folders.........: 0
LSPs............: 0
Cookies.........: 0
Browser hijacks.: 0
MRU objects.....: 0



Quarantined items:
Description: c:\windows\system32\cmmoexec.dll Family Name: Win32.Backdoor.Papras/A Engine: 1 Clean status: Reboot required Item ID: 0 Family ID: 0

Scan and cleaning complete: Finished correctly after 406 seconds

*********************************** Settings ***********************************

Scan profile:
ID: smart, enabled:1, value: Intelligenter Scan
ID: folderstoscan, enabled:1, value:
ID: useantivirus, enabled:1, value: true
ID: sections, enabled:1
ID: scancriticalareas, enabled:1, value: true
ID: scanrunningapps, enabled:1, value: true
ID: scanregistry, enabled:1, value: true
ID: scanlsp, enabled:1, value: true
ID: scanads, enabled:1, value: false
ID: scanhostsfile, enabled:1, value: false
ID: scanmru, enabled:1, value: false
ID: scanbrowserhijacks, enabled:1, value: true
ID: scantrackingcookies, enabled:1, value: true
ID: closebrowsers, enabled:1, value: false
ID: filescanningoptions, enabled:1
ID: archives, enabled:1, value: false
ID: onlyexecutables, enabled:1, value: true
ID: skiplargerthan, enabled:1, value: 20480
ID: scanrootkits, enabled:1, value: true
ID: rootkitlevel, enabled:1, value: mild, domain: medium,mild,strict
ID: usespywareheuristics, enabled:1, value: true

Scan global:
ID: global, enabled:1
ID: addtocontextmenu, enabled:1, value: true
ID: playsoundoninfection, enabled:1, value: false
ID: soundfile, enabled:0, value: N/A

Scheduled scan settings:
<Empty>

Update settings:
ID: updates, enabled:1
ID: launchthreatworksafterscan, enabled:1, value: off, domain: normal,off,silently
ID: deffiles, enabled:1, value: downloadandinstall, domain: dontcheck,downloadandinstall
ID: licenseandinfo, enabled:1, value: downloadandinstall, domain: dontcheck,downloadandinstall
ID: schedules, enabled:1, value: true
ID: updatedaily1, enabled:1, value: Daily 1
ID: time, enabled:1, value: Wed Jan 26 00:47:00 2011
ID: frequency, enabled:1, value: daily, domain: daily,monthly,once,systemstart,weekly
ID: weekdays, enabled:1
ID: monday, enabled:1, value: false
ID: tuesday, enabled:1, value: false
ID: wednesday, enabled:1, value: false
ID: thursday, enabled:1, value: false
ID: friday, enabled:1, value: false
ID: saturday, enabled:1, value: false
ID: sunday, enabled:1, value: false
ID: monthly, enabled:1, value: 1, minvalue: 1, maxvalue: 31
ID: scanprofile, enabled:1, value:
ID: auto_deal_with_infections, enabled:1, value: false
ID: updatedaily2, enabled:1, value: Daily 2
ID: time, enabled:1, value: Wed Jan 26 06:47:00 2011
ID: frequency, enabled:1, value: daily, domain: daily,monthly,once,systemstart,weekly
ID: weekdays, enabled:1
ID: monday, enabled:1, value: false
ID: tuesday, enabled:1, value: false
ID: wednesday, enabled:1, value: false
ID: thursday, enabled:1, value: false
ID: friday, enabled:1, value: false
ID: saturday, enabled:1, value: false
ID: sunday, enabled:1, value: false
ID: monthly, enabled:1, value: 1, minvalue: 1, maxvalue: 31
ID: scanprofile, enabled:1, value:
ID: auto_deal_with_infections, enabled:1, value: false
ID: updatedaily3, enabled:1, value: Daily 3
ID: time, enabled:1, value: Wed Jan 26 12:47:00 2011
ID: frequency, enabled:1, value: daily, domain: daily,monthly,once,systemstart,weekly
ID: weekdays, enabled:1
ID: monday, enabled:1, value: false
ID: tuesday, enabled:1, value: false
ID: wednesday, enabled:1, value: false
ID: thursday, enabled:1, value: false
ID: friday, enabled:1, value: false
ID: saturday, enabled:1, value: false
ID: sunday, enabled:1, value: false
ID: monthly, enabled:1, value: 1, minvalue: 1, maxvalue: 31
ID: scanprofile, enabled:1, value:
ID: auto_deal_with_infections, enabled:1, value: false
ID: updatedaily4, enabled:1, value: Daily 4
ID: time, enabled:1, value: Wed Jan 26 18:47:00 2011
ID: frequency, enabled:1, value: daily, domain: daily,monthly,once,systemstart,weekly
ID: weekdays, enabled:1
ID: monday, enabled:1, value: false
ID: tuesday, enabled:1, value: false
ID: wednesday, enabled:1, value: false
ID: thursday, enabled:1, value: false
ID: friday, enabled:1, value: false
ID: saturday, enabled:1, value: false
ID: sunday, enabled:1, value: false
ID: monthly, enabled:1, value: 1, minvalue: 1, maxvalue: 31
ID: scanprofile, enabled:1, value:
ID: auto_deal_with_infections, enabled:1, value: false
ID: updateweekly1, enabled:1, value: Weekly
ID: time, enabled:1, value: Wed Jan 26 00:47:00 2011
ID: frequency, enabled:1, value: weekly, domain: daily,monthly,once,systemstart,weekly
ID: weekdays, enabled:1
ID: monday, enabled:1, value: false
ID: tuesday, enabled:1, value: false
ID: wednesday, enabled:1, value: true
ID: thursday, enabled:1, value: false
ID: friday, enabled:1, value: false
ID: saturday, enabled:1, value: true
ID: sunday, enabled:1, value: false
ID: monthly, enabled:1, value: 1, minvalue: 1, maxvalue: 31
ID: scanprofile, enabled:1, value:
ID: auto_deal_with_infections, enabled:1, value: false

Appearance settings:
ID: appearance, enabled:1
ID: skin, enabled:1, value: default.egl, reglocation: HKEY_LOCAL_MACHINE\SOFTWARE\Lavasoft\Ad-Aware\Resource
ID: showtrayicon, enabled:1, value: true
ID: autoentertainmentmode, enabled:1, value: true
ID: guimode, enabled:1, value: mode_advanced, domain: mode_advanced,mode_simple
ID: language, enabled:1, value: de, reglocation: HKEY_LOCAL_MACHINE\SOFTWARE\Lavasoft\Ad-Aware\Language

Realtime protection settings:
ID: realtime, enabled:1
ID: infomessages, enabled:1, value: onlyimportant, domain: display,dontnotify,onlyimportant
ID: layers, enabled:1
ID: useantivirus, enabled:1, value: true
ID: usespywareheuristics, enabled:1, value: true
ID: maintainbackup, enabled:1, value: true
ID: modules, enabled:1
ID: processprotection, enabled:1, value: true
ID: onaccessprotection, enabled:1, value: false
ID: registryprotection, enabled:1, value: true
ID: networkprotection, enabled:1, value: true


****************************** System information ******************************
Computer name: ***
Processor name: Intel(R) Atom(TM) CPU N270 @ 1.60GHz
Processor identifier: x86 Family 6 Model 28 Stepping 2
Processor speed: ~1600MHZ
Raw info: processorarchitecture 0, processortype 586, processorlevel 6, processor revision 7170, number of processors 2, processor features: [MMX,SSE,SSE2]
Physical memory available: 435048448 bytes
Physical memory total: 1064480768 bytes
Virtual memory available: 1820073984 bytes
Virtual memory total: 2147352576 bytes
Memory load: 59%
Microsoft Windows XP Home Edition Service Pack 3 (build 2600)
Windows startup mode:

Running processes:
PID: 440 name: \SystemRoot\System32\smss.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 596 name: C:\WINDOWS\system32\csrss.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 744 name: C:\WINDOWS\system32\winlogon.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 788 name: C:\WINDOWS\system32\services.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 800 name: C:\WINDOWS\system32\lsass.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1016 name: C:\WINDOWS\system32\svchost.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1064 name: C:\WINDOWS\system32\svchost.exe owner: NETZWERKDIENST domain: NT-AUTORITÄT
PID: 1104 name: C:\WINDOWS\System32\svchost.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1188 name: C:\WINDOWS\system32\svchost.exe owner: NETZWERKDIENST domain: NT-AUTORITÄT
PID: 1288 name: C:\WINDOWS\system32\svchost.exe owner: LOKALER DIENST domain: NT-AUTORITÄT
PID: 1328 name: C:\WINDOWS\system32\ZoneLabs\vsmon.exe owner: <UNKNOWN> domain: <UNKNOWN>
PID: 460 name: C:\WINDOWS\system32\spoolsv.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 516 name: C:\Programme\Avira\AntiVir Desktop\sched.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 632 name: C:\WINDOWS\system32\svchost.exe owner: LOKALER DIENST domain: NT-AUTORITÄT
PID: 1932 name: C:\Programme\Avira\AntiVir Desktop\avguard.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1972 name: C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 164 name: C:\WINDOWS\system32\svchost.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 628 name: C:\WINDOWS\system32\wdfmgr.exe owner: LOKALER DIENST domain: NT-AUTORITÄT
PID: 1208 name: C:\Programme\Avira\AntiVir Desktop\avshadow.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1524 name: C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 2156 name: C:\WINDOWS\System32\alg.exe owner: LOKALER DIENST domain: NT-AUTORITÄT
PID: 3184 name: C:\Programme\Avira\AntiVir Desktop\avgnt.exe owner: all domain: ***
PID: 3208 name: C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe owner: <UNKNOWN> domain: <UNKNOWN>
PID: 4044 name: C:\WINDOWS\System32\svchost.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 3456 name: C:\Programme\Lavasoft\Ad-Aware\AAWService.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 2844 name: C:\WINDOWS\system32\wbem\unsecapp.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 432 name: C:\WINDOWS\system32\wbem\wmiprvse.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 2724 name: C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe owner: all domain: ***
PID: 3332 name: C:\WINDOWS\system32\dllhost.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 3572 name: C:\WINDOWS\system32\msdtc.exe owner: NETZWERKDIENST domain: NT-AUTORITÄT
PID: 2992 name: C:\WINDOWS\explorer.exe owner: all domain: ELTHOER
PID: 204 name: C:\Programme\Lavasoft\Ad-Aware\Ad-Aware.exe owner: all domain: ***

Startup items:
Name: CTFMON.EXE
imagepath: C:\WINDOWS\system32\CTFMON.EXE
Name: Malwarebytes' Anti-Malware
imagepath: C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
Name: {438755C2-A8BA-11D1-B96B-00A0C90312E1}
imagepath: Browseui preloader
Name: {8C7461EF-2B13-11d2-BE35-3078302C2030}
imagepath: Component Categories cache daemon
Name: IgfxTray
imagepath: C:\WINDOWS\system32\igfxtray.exe
Name: HotKeysCmds
imagepath: C:\WINDOWS\system32\hkcmd.exe
Name: Persistence
imagepath: C:\WINDOWS\system32\igfxpers.exe
Name: RTHDCPL
imagepath: RTHDCPL.EXE
Name: Alcmtr
imagepath: ALCMTR.EXE
Name: ETDWare
imagepath: C:\Programme\Elantech\ETDCtrl.exe
Name: AsusTray
imagepath: C:\Programme\EeePC\ACPI\AsTray.exe
Name: AsusACPIServer
imagepath: C:\Programme\EeePC\ACPI\AsAcpiSvr.exe
Name: AsusEPCMonitor
imagepath: C:\Programme\EeePC\ACPI\AsEPCMon.exe
Name: avgnt
imagepath: "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
Name: ZoneAlarm Client
imagepath: "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
Name: PostBootReminder
imagepath: {7849596a-48ea-486e-8937-a2a3009f31a9}
Name: CDBurn
imagepath: {fbeb8a05-beee-4442-804e-409d6c4515e9}
Name: WebCheck
imagepath: {E6FB5E20-DE35-11CF-9C87-00AA005127ED}
Name: SysTray
imagepath: {35CEC8A3-2BE6-11D2-8773-92E220524153}
Name:
location: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\BTTray.lnk
imagepath: C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
Name:
imagepath: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
Name:
location: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\SuperHybridEngine.lnk
imagepath: C:\Programme\ASUS\EeePC\Super Hybrid Engine\SuperHybridEngine.exe
Name:
imagepath: C:\WINDOWS\system32\config\systemprofile\Startmenü\Programme\Autostart\desktop.ini

Bootexecute items:
Name:
imagepath: autocheck autochk *
Name:
imagepath: lsdelete

Running services:
Name: ALG
displayname: Gatewaydienst auf Anwendungsebene
Name: AntiVirSchedulerService
displayname: Avira AntiVir Scheduler
Name: AntiVirService
displayname: Avira AntiVir Guard
Name: AudioSrv
displayname: Windows Audio
Name: Browser
displayname: Computerbrowser
Name: btwdins
displayname: Bluetooth Service
Name: COMSysApp
displayname: COM+-Systemanwendung
Name: CryptSvc
displayname: Kryptografiedienste
Name: DcomLaunch
displayname: DCOM-Server-Prozessstart
Name: Dhcp
displayname: DHCP-Client
Name: Dnscache
displayname: DNS-Client
Name: ERSvc
displayname: Fehlerberichterstattungsdienst
Name: Eventlog
displayname: Ereignisprotokoll
Name: EventSystem
displayname: COM+-Ereignissystem
Name: FastUserSwitchingCompatibility
displayname: Kompatibilität für schnelle Benutzerumschaltung
Name: helpsvc
displayname: Hilfe und Support
Name: HidServ
displayname: HID Input Service
Name: HTTPFilter
displayname: HTTP-SSL
Name: IviRegMgr
displayname: IviRegMgr
Name: LanmanServer
displayname: Server
Name: lanmanworkstation
displayname: Arbeitsstationsdienst
Name: Lavasoft Ad-Aware Service
displayname: Lavasoft Ad-Aware Service
Name: LmHosts
displayname: TCP/IP-NetBIOS-Hilfsprogramm
Name: MSDTC
displayname: Distributed Transaction Coordinator
Name: Netman
displayname: Netzwerkverbindungen
Name: Nla
displayname: NLA (Network Location Awareness)
Name: PlugPlay
displayname: Plug & Play
Name: PolicyAgent
displayname: IPSEC-Dienste
Name: ProtectedStorage
displayname: Geschützter Speicher
Name: RasMan
displayname: RAS-Verbindungsverwaltung
Name: RpcSs
displayname: Remoteprozeduraufruf (RPC)
Name: SamSs
displayname: Sicherheitskontenverwaltung
Name: Schedule
displayname: Taskplaner
Name: seclogon
displayname: Sekundäre Anmeldung
Name: SENS
displayname: Systemereignisbenachrichtigung
Name: SharedAccess
displayname: Windows-Firewall/Gemeinsame Nutzung der Internetverbindung
Name: ShellHWDetection
displayname: Shellhardwareerkennung
Name: Spooler
displayname: Druckwarteschlange
Name: srservice
displayname: Systemwiederherstellungsdienst
Name: SSDPSRV
displayname: SSDP-Suchdienst
Name: stisvc
displayname: Windows-Bilderfassung (WIA)
Name: TapiSrv
displayname: Telefonie
Name: TermService
displayname: Terminaldienste
Name: Themes
displayname: Designs
Name: TrkWks
displayname: Überwachung verteilter Verknüpfungen (Client)
Name: UMWdf
displayname: Windows User Mode Driver Framework
Name: vsmon
displayname: TrueVector Internet Monitor
Name: W32Time
displayname: Windows-Zeitgeber
Name: WebClient
displayname: WebClient
Name: winmgmt
displayname: Windows-Verwaltungsinstrumentation
Name: wscsvc
displayname: Sicherheitscenter
Name: wuauserv
displayname: Automatische Updates
Name: WZCSVC
displayname: Konfigurationsfreie drahtlose Verbindung

OTL:OTL Logfile:
Code:
ATTFilter
OTL logfile created on: 26.01.2011 14:25:46 - Run 2
OTL by OldTimer - Version 3.2.20.6 Folder = C:\Dokumente und Einstellungen\all\Eigene Dateien\Downloads
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1.015,00 Mb Total Physical Memory | 407,00 Mb Available Physical Memory | 40,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 77,00% Paging File free
Paging file location(s): C:\pagefile.sys 1524 3048 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 81,65 Gb Total Space | 61,68 Gb Free Space | 75,54% Space Free | Partition Type: NTFS
Drive D: | 62,47 Gb Total Space | 1,63 Gb Free Space | 2,61% Space Free | Partition Type: NTFS
 
Computer Name: ***| User Name: all | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - C:\Dokumente und Einstellungen\all\Eigene Dateien\Downloads\OTL(2).exe (OldTimer Tools)
PRC - C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe (Lavasoft)
PRC - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe (Lavasoft)
PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe (Check Point Software Technologies LTD)
PRC - C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe (Check Point Software Technologies LTD)
PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira GmbH)
PRC - C:\Programme\EeePC\ACPI\AsTray.exe (ASUSTeK Computer Inc.)
PRC - C:\Programme\EeePC\ACPI\AsAcpiSvr.exe (ASUSTeK Computer Inc.)
PRC - C:\Programme\Elantech\ETDCTRL.EXE (ELANTECH Devices Corp.)
PRC - C:\Programme\ASUS\EeePC\Super Hybrid Engine\SuperHybridEngine.exe (ASUSTeK Computer Inc.)
PRC - C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe (Broadcom Corporation.)
PRC - C:\Programme\EeePC\ACPI\AsEPCMon.exe (ASUSTeK Computer Inc.)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - C:\WINDOWS\system32\igfxext.exe (Intel Corporation)
PRC - C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe (InterVideo)
 
 
========== Modules (SafeList) ==========
 
MOD - C:\Dokumente und Einstellungen\all\Eigene Dateien\Downloads\OTL(2).exe (OldTimer Tools)
MOD - C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.6028_x-ww_61e65202\comctl32.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\BtMmHook.dll (Broadcom Corporation.)
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (AppMgmt) -- File not found
SRV - (Lavasoft Ad-Aware Service) -- C:\Programme\Lavasoft\Ad-Aware\AAWService.exe (Lavasoft)
SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (vsmon) -- C:\WINDOWS\System32\ZoneLabs\vsmon.exe (Check Point Software Technologies LTD)
SRV - (WLSetupSvc) -- C:\Programme\Windows Live\installer\WLSetupSvc.exe (Microsoft Corporation)
SRV - (IviRegMgr) -- C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe (InterVideo)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (Lbd) -- C:\WINDOWS\system32\DRIVERS\Lbd.sys (Lavasoft AB)
DRV - (Lavasoft Kernexplorer) -- C:\Programme\Lavasoft\Ad-Aware\kernexplorer.sys ()
DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH)
DRV - (vsdatant) -- C:\WINDOWS\system32\vsdatant.sys (Check Point Software Technologies LTD)
DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)
DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (Ktp) -- C:\WINDOWS\system32\drivers\ETD.sys (ELANTECH Devices Corp.)
DRV - (L1e) -- C:\WINDOWS\system32\drivers\l1e51x86.sys (Atheros Communications, Inc.)
DRV - (AR5416) -- C:\WINDOWS\system32\drivers\athw.sys (Atheros Communications, Inc.)
DRV - (IntcAzAudAddService) Service for Realtek HD Audio (WDM) -- C:\WINDOWS\system32\drivers\RtkHDAud.sys (Realtek Semiconductor Corp.)
DRV - (BTKRNL) -- C:\WINDOWS\system32\drivers\btkrnl.sys (Broadcom Corporation.)
DRV - (BTWUSB) -- C:\WINDOWS\system32\drivers\btwusb.sys (Broadcom Corporation.)
DRV - (BTWDNDIS) -- C:\WINDOWS\system32\drivers\btwdndis.sys (Broadcom Corporation.)
DRV - (btaudio) -- C:\WINDOWS\system32\drivers\btaudio.sys (Broadcom Corporation.)
DRV - (HDAudBus) -- C:\WINDOWS\system32\drivers\hdaudbus.sys (Windows (R) Server 2003 DDK provider)
DRV - (AsusACPI) -- C:\WINDOWS\system32\drivers\ASUSACPI.SYS (ASUSTeK Computer Inc.)
DRV - (btwhid) -- C:\WINDOWS\system32\drivers\btwhid.sys (Broadcom Corporation.)
DRV - (BTDriver) -- C:\WINDOWS\system32\drivers\btport.sys (Broadcom Corporation.)
DRV - (ialm) -- C:\WINDOWS\system32\drivers\igxpmp32.sys (Intel Corporation)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://eeepc.asus.com/global
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.search.defaultenginename: "Winamp Search"
FF - prefs.js..browser.search.defaulturl: "hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampie7&query="
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..extensions.enabledItems: {8A6C82A1-F6C9-481a-AAE7-C96444C9A754}:5.1.1
FF - prefs.js..extensions.enabledItems: {e0204bd5-9d31-402b-a99d-a6aa8ffebdca}:1.2.5
FF - prefs.js..extensions.enabledItems: {c4dc572a-3295-40eb-b30f-b54aa4cdc4b7}:0.7.25
FF - prefs.js..extensions.enabledItems: {23fcfd51-4958-4f00-80a3-ae97e717ed8b}:2.1.0.900
FF - prefs.js..extensions.enabledItems: {6904342A-8307-11DF-A508-4AE2DFD72085}:2.1.0.900
FF - prefs.js..keyword.URL: "https://ssl.scroogle.org/cgi-bin/nbbwssl.cgi?q="
 
 
FF - HKLM\software\mozilla\Firefox\Extensions\\{23fcfd51-4958-4f00-80a3-ae97e717ed8b}: C:\Programme\DivX\DivX Plus Web Player\firefox\html5video [2011.01.12 03:54:20 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Firefox\Extensions\\{6904342A-8307-11DF-A508-4AE2DFD72085}: C:\Programme\DivX\DivX Plus Web Player\firefox\wpa [2011.01.12 03:54:21 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.13\extensions\\Components: C:\Programme\Mozilla Firefox\components [2011.01.20 03:44:53 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.13\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2011.01.20 03:44:53 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Thunderbird 3.1.7\extensions\\Components: C:\Programme\Mozilla Thunderbird\components [2011.01.20 03:44:53 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Thunderbird 3.1.7\extensions\\Plugins: C:\Programme\Mozilla Thunderbird\plugins [2011.01.20 03:44:53 | 000,000,000 | ---D | M]
 
[2010.11.02 14:01:18 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\all\Anwendungsdaten\Mozilla\Extensions
[2010.11.02 14:01:18 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\all\Anwendungsdaten\Mozilla\Extensions\{3550f703-e582-4d05-9a08-453d09bdfdc6}
[2011.01.26 01:42:02 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\all\Anwendungsdaten\Mozilla\Firefox\Profiles\ehwp7k9a.default\extensions
[2010.07.30 21:37:25 | 000,000,000 | ---D | M] (PrefBar) -- C:\Dokumente und Einstellungen\all\Anwendungsdaten\Mozilla\Firefox\Profiles\ehwp7k9a.default\extensions\{8A6C82A1-F6C9-481a-AAE7-C96444C9A754}
[2010.11.01 10:38:12 | 000,000,000 | ---D | M] (wmlbrowser) -- C:\Dokumente und Einstellungen\all\Anwendungsdaten\Mozilla\Firefox\Profiles\ehwp7k9a.default\extensions\{c4dc572a-3295-40eb-b30f-b54aa4cdc4b7}
[2010.09.01 11:17:30 | 000,000,000 | ---D | M] (Torbutton) -- C:\Dokumente und Einstellungen\all\Anwendungsdaten\Mozilla\Firefox\Profiles\ehwp7k9a.default\extensions\{e0204bd5-9d31-402b-a99d-a6aa8ffebdca}
[2010.10.17 11:33:52 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2011.01.12 03:54:20 | 000,000,000 | ---D | M] (DivX Plus Web Player HTML5 &lt;video&gt;) -- C:\PROGRAMME\DIVX\DIVX PLUS WEB PLAYER\FIREFOX\HTML5VIDEO
[2011.01.12 03:54:21 | 000,000,000 | ---D | M] (DivX HiQ) -- C:\PROGRAMME\DIVX\DIVX PLUS WEB PLAYER\FIREFOX\WPA
[2010.09.14 22:32:39 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.09.14 22:32:39 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.09.14 22:32:39 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.09.14 22:32:39 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.09.14 22:32:39 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2008.04.14 13:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (Skype add-on (mastermind)) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll (Skype Technologies S.A.)
O2 - BHO: (DivX Plus Web Player HTML5 <video>) - {326E768D-4182-46FD-9C16-1449A49795F4} - C:\Programme\DivX\DivX Plus Web Player\npdivx32.dll (DivX, LLC)
O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O2 - BHO: (DivX HiQ) - {593DDEC6-7468-4cdd-90E1-42DADAA222E9} - C:\Programme\DivX\DivX Plus Web Player\npdivx32.dll (DivX, LLC)
O2 - BHO: (SSVHelper Class) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll (Sun Microsystems, Inc.)
O2 - BHO: (Windows Live Anmelde-Hilfsprogramm) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation)
O3 - HKLM\..\Toolbar: (no name) - - No CLSID value found.
O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\ALCMTR.EXE (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [AsusACPIServer] C:\Programme\EeePC\ACPI\AsAcpiSvr.exe (ASUSTeK Computer Inc.)
O4 - HKLM..\Run: [AsusEPCMonitor] C:\Programme\EeePC\ACPI\AsEPCMon.exe (ASUSTeK Computer Inc.)
O4 - HKLM..\Run: [AsusTray] C:\Programme\EeePC\ACPI\AsTray.exe (ASUSTeK Computer Inc.)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [ETDWare] C:\Programme\Elantech\ETDCTRL.EXE (ELANTECH Devices Corp.)
O4 - HKLM..\Run: [ZoneAlarm Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe (Check Point Software Technologies LTD)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\BTTray.lnk = C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe (Broadcom Corporation.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\SuperHybridEngine.lnk = C:\Programme\ASUS\EeePC\Super Hybrid Engine\SuperHybridEngine.exe (ASUSTeK Computer Inc.)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm ()
O8 - Extra context menu item: Senden an Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm ()
O9 - Extra Button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : In Windows Live Writer in &Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : Skype add-on for Internet Explorer - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll (Skype Technologies S.A.)
O9 - Extra Button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll (Skype Technologies S.A.)
O9 - Extra Button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm ()
O9 - Extra 'Tools' menuitem : @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm ()
O9 - Extra 'Tools' menuitem : Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1254472147078 (WUWebControl Class)
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} hxxp://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1254472136000 (MUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab (Java Plug-in 1.6.0_03)
O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab (Java Plug-in 1.6.0_03)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab (Java Plug-in 1.6.0_03)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\msitss.dll (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies)
O18 - Protocol\Handler\wlmailhtml {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Programme\Windows Live\Mail\mailcomm.dll (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\igfxcui: DllName - igfxdev.dll - C:\WINDOWS\System32\igfxdev.dll (Intel Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\all\Anwendungsdaten\IrfanView\IrfanView_Wallpaper.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\all\Anwendungsdaten\IrfanView\IrfanView_Wallpaper.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2008.12.29 23:33:43 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{b46a2722-3022-11df-8f47-0015afde8c6c}\Shell\Auto\command - "" = launcher.exe
O33 - MountPoints2\{b46a2722-3022-11df-8f47-0015afde8c6c}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{b46a2722-3022-11df-8f47-0015afde8c6c}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL launcher.exe
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O34 - HKLM BootExecute: (lsdelete) - C:\WINDOWS\System32\lsdelete.exe ()
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O36 - AppCertDlls: freeya64 - (C:\WINDOWS\system32\cmmoexec.dll) - File not found
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2011.01.26 02:20:58 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\all\Anwendungsdaten\Malwarebytes
[2011.01.26 02:20:50 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware
[2011.01.26 02:20:49 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2011.01.26 02:20:42 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2011.01.26 02:20:36 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2011.01.26 02:20:35 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2011.01.26 01:13:16 | 000,098,392 | ---- | C] (Sunbelt Software) -- C:\WINDOWS\System32\drivers\SBREDrv.sys
[2011.01.26 00:47:10 | 000,064,288 | ---- | C] (Lavasoft AB) -- C:\WINDOWS\System32\drivers\Lbd.sys
[2011.01.26 00:38:27 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\all\Lokale Einstellungen\Anwendungsdaten\Sunbelt Software
[2011.01.26 00:37:49 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{2162CCC0-3A5F-4887-B51F-CE5F195B3620}
[2011.01.26 00:37:15 | 000,000,000 | ---D | C] -- C:\Programme\Lavasoft
[2011.01.26 00:37:15 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Lavasoft
[2011.01.26 00:37:15 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
[2011.01.25 16:05:27 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\all\Recent
[2011.01.22 01:45:56 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\all\Desktop\juzi
[2011.01.18 19:02:25 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\all\Desktop\__MACOSX
[2011.01.12 03:54:27 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\all\Anwendungsdaten\Local
[2011.01.12 03:53:19 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\DivX Plus
[2011.01.08 23:02:57 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\all\Anwendungsdaten\Apple Computer
[2011.01.08 22:59:18 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Apple
[2011.01.08 22:58:59 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\all\Lokale Einstellungen\Anwendungsdaten\Apple
[2011.01.08 22:58:51 | 000,000,000 | ---D | C] -- C:\Programme\Apple Software Update
[2011.01.08 22:58:51 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
[2011.01.08 22:58:29 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\all\Lokale Einstellungen\Anwendungsdaten\Apple Computer
[2011.01.07 00:49:56 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\all\Desktop\100_FUJI
[2009.04.01 21:36:03 | 006,555,352 | ---- | C] (Mozilla) -- C:\Programme\Thunderbird Setup 2.0.0.21.exe
[2009.04.01 21:11:39 | 007,353,544 | ---- | C] (Mozilla) -- C:\Programme\Firefox Setup 3.0.8.exe
[2008.12.30 00:25:39 | 015,523,560 | ---- | C] (Macrovision Corporation) -- C:\Programme\U1 Setup.exe
[2002.03.11 10:06:30 | 001,822,520 | ---- | C] (Microsoft Corporation) -- C:\Programme\instmsiw.exe
[2002.03.11 09:45:04 | 001,708,856 | ---- | C] (Microsoft Corporation) -- C:\Programme\instmsia.exe
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2011.01.26 14:20:54 | 000,391,574 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2011.01.26 14:20:54 | 000,380,684 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2011.01.26 14:20:54 | 000,063,976 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2011.01.26 14:20:54 | 000,053,098 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2011.01.26 14:18:39 | 000,000,470 | ---- | M] () -- C:\WINDOWS\tasks\Ad-Aware Update (Weekly).job
[2011.01.26 14:16:08 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2011.01.26 02:20:50 | 000,000,756 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2011.01.26 01:41:11 | 000,017,408 | ---- | M] () -- C:\Dokumente und Einstellungen\all\Desktop\Tiggesanforderungskarte_Kiel_Thorsten Mense.doc
[2011.01.26 00:46:56 | 000,098,392 | ---- | M] (Sunbelt Software) -- C:\WINDOWS\System32\drivers\SBREDrv.sys
[2011.01.26 00:46:55 | 000,015,880 | ---- | M] () -- C:\WINDOWS\System32\lsdelete.exe
[2011.01.26 00:37:47 | 000,000,847 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Ad-Aware.lnk
[2011.01.25 14:07:10 | 000,017,621 | ---- | M] () -- C:\Dokumente und Einstellungen\all\Desktop\Intergarion 2.odt
[2011.01.25 13:10:06 | 000,022,490 | ---- | M] () -- C:\Dokumente und Einstellungen\all\Desktop\SZ Burschis.odt
[2011.01.25 00:38:33 | 000,001,158 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2011.01.22 18:29:38 | 000,024,134 | ---- | M] () -- C:\Dokumente und Einstellungen\all\Desktop\Text 2.odt
[2011.01.22 18:04:56 | 000,024,555 | ---- | M] () -- C:\Dokumente und Einstellungen\all\Desktop\Text 1.odt
[2011.01.18 20:22:46 | 000,104,448 | ---- | M] () -- C:\Dokumente und Einstellungen\all\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2011.01.18 15:41:46 | 288,156,635 | ---- | M] () -- C:\Dokumente und Einstellungen\all\Desktop\medium.m4v
[2011.01.17 12:34:11 | 000,565,760 | ---- | M] () -- C:\Dokumente und Einstellungen\all\Desktop\OffeneBriefTranspis_06.12..doc
[2011.01.15 01:10:43 | 000,026,653 | ---- | M] () -- C:\Dokumente und Einstellungen\all\Desktop\Benedict Anderson - I like nationalism’s utopian*elements.odt
[2011.01.15 00:34:47 | 000,206,531 | ---- | M] () -- C:\Dokumente und Einstellungen\all\Desktop\9783941274037_Leseprobe.pdf
[2011.01.14 18:17:58 | 000,007,905 | ---- | M] () -- C:\Dokumente und Einstellungen\all\Desktop\SK2011_Kiel_Programm.pdf
[2011.01.09 20:40:08 | 000,025,293 | ---- | M] () -- C:\Dokumente und Einstellungen\all\Desktop\text stephan.odt
[2011.01.08 18:19:40 | 243,740,672 | ---- | M] () -- C:\Dokumente und Einstellungen\all\Eigene Dateien\Weeds.S04E10.avi
[2011.01.04 20:47:03 | 000,011,776 | ---- | M] () -- C:\Dokumente und Einstellungen\all\Desktop\Vortrag 01.02.2011 Thorsten Mense.doc
[2011.01.04 20:38:36 | 000,015,555 | ---- | M] () -- C:\Dokumente und Einstellungen\all\Desktop\vortragstitel.odt
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2011.01.26 02:20:50 | 000,000,756 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2011.01.26 01:08:57 | 000,015,880 | ---- | C] () -- C:\WINDOWS\System32\lsdelete.exe
[2011.01.26 00:51:59 | 000,000,470 | ---- | C] () -- C:\WINDOWS\tasks\Ad-Aware Update (Weekly).job
[2011.01.26 00:37:47 | 000,000,847 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Ad-Aware.lnk
[2011.01.25 14:07:10 | 000,017,621 | ---- | C] () -- C:\Dokumente und Einstellungen\all\Desktop\Intergarion 2.odt
[2011.01.25 13:10:05 | 000,022,490 | ---- | C] () -- C:\Dokumente und Einstellungen\all\Desktop\SZ Burschis.odt
[2011.01.22 03:20:41 | 000,017,408 | ---- | C] () -- C:\Dokumente und Einstellungen\all\Desktop\Tiggesanforderungskarte_Kiel_Thorsten Mense.doc
[2011.01.21 23:50:16 | 000,024,134 | ---- | C] () -- C:\Dokumente und Einstellungen\all\Desktop\Text 2.odt
[2011.01.21 23:15:46 | 000,024,555 | ---- | C] () -- C:\Dokumente und Einstellungen\all\Desktop\Text 1.odt
[2011.01.18 19:01:29 | 288,156,635 | ---- | C] () -- C:\Dokumente und Einstellungen\all\Desktop\medium.m4v
[2011.01.17 12:34:08 | 000,565,760 | ---- | C] () -- C:\Dokumente und Einstellungen\all\Desktop\OffeneBriefTranspis_06.12..doc
[2011.01.15 01:10:42 | 000,026,653 | ---- | C] () -- C:\Dokumente und Einstellungen\all\Desktop\Benedict Anderson - I like nationalism’s utopian*elements.odt
[2011.01.15 00:34:47 | 000,206,531 | ---- | C] () -- C:\Dokumente und Einstellungen\all\Desktop\9783941274037_Leseprobe.pdf
[2011.01.14 18:17:58 | 000,007,905 | ---- | C] () -- C:\Dokumente und Einstellungen\all\Desktop\SK2011_Kiel_Programm.pdf
[2011.01.09 19:25:38 | 000,025,293 | ---- | C] () -- C:\Dokumente und Einstellungen\all\Desktop\text stephan.odt
[2011.01.08 22:58:53 | 000,001,830 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Apple Software Update.lnk
[2011.01.08 22:25:24 | 243,740,672 | ---- | C] () -- C:\Dokumente und Einstellungen\all\Eigene Dateien\Weeds.S04E10.avi
[2011.01.04 20:47:00 | 000,011,776 | ---- | C] () -- C:\Dokumente und Einstellungen\all\Desktop\Vortrag 01.02.2011 Thorsten Mense.doc
[2011.01.04 01:01:12 | 000,015,555 | ---- | C] () -- C:\Dokumente und Einstellungen\all\Desktop\vortragstitel.odt
[2010.10.22 02:22:49 | 019,657,194 | ---- | C] () -- C:\Programme\vlc-1.1.4-win32.exe
[2010.09.02 23:15:26 | 000,278,528 | ---- | C] () -- C:\Programme\Gemeinsame Dateien\FDEUnInstaller.exe
[2009.07.03 15:41:34 | 000,000,097 | ---- | C] () -- C:\WINDOWS\System32\PICSDK.ini
[2009.05.16 18:58:57 | 000,104,448 | ---- | C] () -- C:\Dokumente und Einstellungen\all\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2009.04.15 16:42:18 | 000,005,532 | ---- | C] () -- C:\Dokumente und Einstellungen\all\Anwendungsdaten\wklnhst.dat
[2009.04.08 14:51:14 | 000,000,032 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
[2009.04.01 21:51:19 | 008,350,750 | ---- | C] () -- C:\Programme\vidalia-bundle-0.2.0.34-0.1.10.exe
[2009.04.01 21:44:54 | 000,000,136 | ---- | C] () -- C:\Dokumente und Einstellungen\all\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2009.04.01 21:41:44 | 033,952,648 | ---- | C] () -- C:\Programme\zaZA_Setup_en.exe
[2009.04.01 21:40:05 | 000,267,152 | ---- | C] () -- C:\Programme\zaSetup_en.exe
[2009.04.01 20:56:13 | 141,125,992 | ---- | C] () -- C:\Programme\OOo_3.0.1_Win32Intel_install_de.exe
[2009.01.09 21:02:36 | 135,463,509 | ---- | C] () -- C:\Programme\openofficeorg1.cab
[2009.01.09 20:35:34 | 009,783,808 | ---- | C] () -- C:\Programme\openofficeorg30.msi
[2009.01.09 20:35:34 | 000,000,336 | ---- | C] () -- C:\Programme\setup.ini
[2008.12.30 17:49:23 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini
[2008.12.30 00:26:15 | 000,204,800 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeW7.dll
[2008.12.30 00:26:15 | 000,200,704 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeA6.dll
[2008.12.30 00:26:15 | 000,192,512 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeP6.dll
[2008.12.30 00:26:15 | 000,192,512 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeM6.dll
[2008.12.30 00:26:15 | 000,188,416 | ---- | C] () -- C:\WINDOWS\System32\IVIresizePX.dll
[2008.12.30 00:26:15 | 000,020,480 | ---- | C] () -- C:\WINDOWS\System32\IVIresize.dll
[2008.12.30 00:16:15 | 000,147,456 | ---- | C] () -- C:\WINDOWS\System32\igfxCoIn_v4906.dll
[2008.12.29 23:25:07 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2008.12.29 23:17:44 | 000,005,312 | ---- | C] () -- C:\WINDOWS\System32\OEMINFO.INI
[2008.12.17 11:17:14 | 000,426,776 | ---- | C] () -- C:\Programme\setup.exe
[2008.11.14 18:12:56 | 000,012,208 | ---- | C] () -- C:\WINDOWS\AsTrayLang.ini
[2008.09.02 07:25:26 | 002,854,912 | ---- | C] () -- C:\WINDOWS\System32\btwicons.dll
[2008.07.30 19:31:52 | 000,021,864 | ---- | C] () -- C:\WINDOWS\AsAcpiSvrLang.ini
[2001.11.14 13:56:00 | 001,802,240 | ---- | C] () -- C:\WINDOWS\System32\lcppn21.dll
 
< End of report >
         
--- --- ---

OTL Extras:OTL Logfile:
Code:
ATTFilter
OTL Extras logfile created on: 26.01.2011 14:25:46 - Run 2
OTL by OldTimer - Version 3.2.20.6 Folder = C:\Dokumente und Einstellungen\all\Eigene Dateien\Downloads
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1.015,00 Mb Total Physical Memory | 407,00 Mb Available Physical Memory | 40,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 77,00% Paging File free
Paging file location(s): C:\pagefile.sys 1524 3048 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 81,65 Gb Total Space | 61,68 Gb Free Space | 75,54% Space Free | Partition Type: NTFS
Drive D: | 62,47 Gb Total Space | 1,63 Gb Free Space | 2,61% Space Free | Partition Type: NTFS
 
Computer Name: *** | User Name: all | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [Winamp.Bookmark] -- "C:\Programme\Winamp\winamp.exe" /BOOKMARK "%1" (Nullsoft)
Directory [Winamp.Enqueue] -- "C:\Programme\Winamp\winamp.exe" /ADD "%1" (Nullsoft)
Directory [Winamp.Play] -- "C:\Programme\Winamp\winamp.exe" "%1" (Nullsoft)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring" = 1
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 0
"DisableNotifications" = 0
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"C:\Programme\Windows Live\Messenger\msnmsgr.exe" = C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger
"C:\Programme\Windows Live\Messenger\livecall.exe" = C:\Programme\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\Windows Live\Messenger\msnmsgr.exe" = C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger
"C:\Programme\Windows Live\Messenger\livecall.exe" = C:\Programme\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)
"C:\WINDOWS\system32\ZoneLabs\vsmon.exe" = C:\WINDOWS\system32\ZoneLabs\vsmon.exe:*:Enabled:vsmon -- (Check Point Software Technologies LTD)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{02E89EFC-7B07-4D5A-AA03-9EC0902914EE}" = VC 9.0 Runtime
"{13F3917B56CD4C25848BDC69916971BB}" = DivX Converter
"{19F5658D-92E8-4A08-8657-D38ABB1574B2}" = Asus ACPI Driver
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{3108C217-BE83-42E4-AE9E-A56A2A92E549}" = Atheros Communications Inc.(R) AR8121/AR8113/AR8114 Gigabit/Fast Ethernet Driver
"{3248F0A8-6813-11D6-A77B-00B0D0160030}" = Java(TM) 6 Update 3
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{39D0E034-1042-4905-BECB-5502909FCB7C}" = Microsoft Works
"{3FC7CBBC4C1E11DCA1A752EA55D89593}" = DivX Version Checker
"{541DEAC0-5F3D-45E6-B7CB-94ECF3B96748}" = Skype web features
"{587178E7-B1DF-494E-9838-FA4DD36E873C}" = ASUSUpdate for Eee PC
"{5C52CED3-D45C-4DA9-932F-B91BD44BB461}" = Adabas D 13.01.00
"{5EE7D259-D137-4438-9A5F-42F432EC0421}" = VC80CRTRedist - 8.0.50727.4053
"{69333A04-5134-40A5-A055-9166A7AA1EC8}" = 
"{6956856F-B6B3-4BE0-BA0B-8F495BE32033}" = Apple Software Update
"{84814E6B-2581-46EC-926A-823BD1C670F6}" = WIDCOMM Bluetooth Software
"{88F08F98-12BC-4613-81A2-8F9B88CFC73E}" = Super Hybrid Engine
"{8D1E61D1-1395-4E97-997F-D002DB3A5074}" = OpenOffice.org 3.2
"{8FC4F1DD-F7FD-4766-804D-3C8FF1D309AF}" = Azurewave Wireless LAN
"{90120000-0020-0407-0000-0000000FF1CE}" = Compatibility Pack für 2007 Office System
"{91810AFC-A4F8-4EBA-A5AA-B198BBC81144}" = InterVideo WinDVD
"{9510AB97-A36C-4352-8725-E72E5528FA1B}" = StarOffice 8 ASUS Edition
"{95120000-00AF-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint Viewer 2007 (German)
"{AC76BA86-7AD7-1031-7B44-A81300000003}" = Adobe Reader 8.1.4 - Deutsch
"{B13A7C41581B411290FBC0395694E2A9}" = DivX Converter
"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy
"{B80CC46C-5839-4A48-B051-3CACF23A2718}_is1" = Eraser 5.8.7
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.1
"{DED53B0B-B67C-4244-AE6A-D6FD3C28D1EF}" = Ad-Aware
"{EE6097DD-05F4-4178-9719-D3170BF098E8}" = Apple Application Support
"{F0B430D1-B6AA-473D-9B06-AA3DD01FD0B8}" = Microsoft SQL Server 2005 Compact Edition [ENU]
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F18DB86D-BC16-4E01-BCCE-63F62B931D82}" = InterVideo Register Manager
"{F333A33D-125C-32A2-8DCE-5C5D14231E27}" = Visual C++ 2008 x86 Runtime - (v9.0.30729)
"{F333A33D-125C-32A2-8DCE-5C5D14231E27}.vc_x86runtime_30729_01" = Visual C++ 2008 x86 Runtime - v9.0.30729.01
"7-Zip" = 7-Zip 4.65
"Ad-Aware" = Ad-Aware
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"CCleaner" = CCleaner
"DivX Plus DirectShow Filters" = DivX Plus DirectShow Filters
"DivX Setup.divx.com" = DivX-Setup
"Eee Storage" = Eee Storage 1.2.10.245
"Elantech" = ETDWare PS/2-x86 7.0.3.12 For XP WHQL
"EPSON Scanner" = EPSON Scan
"EPSON SX100 Series" = EPSON SX100 Series Printer Uninstall
"HDMI" = Intel(R) Graphics Media Accelerator Driver
"ie8" = Windows Internet Explorer 8
"IrfanView" = IrfanView (remove only)
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Microsoft .NET Framework 1.1 (1033)" = Microsoft .NET Framework 1.1
"Mozilla Firefox (3.6.13)" = Mozilla Firefox (3.6.13)
"Mozilla Thunderbird (3.1.7)" = Mozilla Thunderbird (3.1.7)
"Polipo" = Polipo 1.0.4.1
"Privoxy" = Privoxy 3.0.6
"ShockwaveFlash" = Macromedia Flash Player 8
"Tor" = Tor 0.2.1.26
"Vidalia" = Vidalia 0.2.9
"Winamp" = Winamp
"Windows Media Format Runtime" = Windows Media Format Runtime
"ZoneAlarm" = ZoneAlarm
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 04.01.2011 13:18:29 | Computer Name = *** | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: The server name or address could not be resolved
.
 
Error - 05.01.2011 08:33:34 | Computer Name = *** | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: The server name or address could not be resolved
.
 
Error - 06.01.2011 16:49:17 | Computer Name = *** | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
zurückgegeben. .
 
Error - 11.01.2011 22:34:20 | Computer Name = *** | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung firefox.exe, Version 1.9.2.3989, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 11.01.2011 22:34:34 | Computer Name = *** | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung firefox.exe, Version 1.9.2.3989, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 14.01.2011 05:03:46 | Computer Name = *** | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
zurückgegeben. .
 
Error - 21.01.2011 16:52:16 | Computer Name = *** | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
zurückgegeben. .
 
Error - 25.01.2011 19:38:15 | Computer Name = *** | Source = Lavasoft Ad-Aware Service | ID = 0
Description = 
 
Error - 25.01.2011 20:42:58 | Computer Name = *** | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung acrord32.exe, Version 8.1.0.137, fehlgeschlagenes
Modul unknown, Version 0.0.0.0, Fehleradresse 0x24001f55.
 
Error - 25.01.2011 20:44:12 | Computer Name = *** | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung AcroRd32.exe, Version 8.1.0.137, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
[ System Events ]
Error - 12.12.2010 18:02:42 | Computer Name = *** | Source = BROWSER | ID = 8032
Description = Das Einlesen der Sicherungsliste durch den Suchdienst schlug auf Transport
"\Device\NetBT_Tcpip_{CA85D006-556F-47D7-96B0-C88C8B761549}" zu oft fehl. Der Sicherungssuchdienst
wird beendet.
 
Error - 17.12.2010 21:24:43 | Computer Name = *** | Source = Windows Update Agent | ID = 16
Description = Verbindung nicht möglich: Es konnte keine Verbindung mit dem Dienst
"Automatische Updates" hergestellt werden, daher können Updates nicht nach dem 
angegebenen Zeitplan heruntergeladen und installiert werden. Es wird weiterhin versucht,
eine Verbindung herzustellen.
 
Error - 23.12.2010 09:28:47 | Computer Name = *** | Source = Windows Update Agent | ID = 16
Description = Verbindung nicht möglich: Es konnte keine Verbindung mit dem Dienst
"Automatische Updates" hergestellt werden, daher können Updates nicht nach dem 
angegebenen Zeitplan heruntergeladen und installiert werden. Es wird weiterhin versucht,
eine Verbindung herzustellen.
 
Error - 25.12.2010 14:22:08 | Computer Name = *** | Source = Dhcp | ID = 1002
Description = Die IP-Adresslease 192.168.1.34 für die Netzwerkkarte mit der Netzwerkadresse
0015AFDE8C6C wurde durch den DHCP-Server 192.168.2.1 abgelehnt (der DHCP-Server 
hat eine DHCPNACK-Meldung gesendet).
 
Error - 31.12.2010 07:26:20 | Computer Name = *** | Source = Windows Update Agent | ID = 16
Description = Verbindung nicht möglich: Es konnte keine Verbindung mit dem Dienst
"Automatische Updates" hergestellt werden, daher können Updates nicht nach dem 
angegebenen Zeitplan heruntergeladen und installiert werden. Es wird weiterhin versucht,
eine Verbindung herzustellen.
 
Error - 02.01.2011 09:46:29 | Computer Name = *** | Source = Windows Update Agent | ID = 16
Description = Verbindung nicht möglich: Es konnte keine Verbindung mit dem Dienst
"Automatische Updates" hergestellt werden, daher können Updates nicht nach dem 
angegebenen Zeitplan heruntergeladen und installiert werden. Es wird weiterhin versucht,
eine Verbindung herzustellen.
 
Error - 02.01.2011 15:40:26 | Computer Name = *** | Source = Dhcp | ID = 1002
Description = Die IP-Adresslease 192.168.2.103 für die Netzwerkkarte mit der Netzwerkadresse
0015AFDE8C6C wurde durch den DHCP-Server 192.168.0.1 abgelehnt (der DHCP-Server 
hat eine DHCPNACK-Meldung gesendet).
 
Error - 16.01.2011 16:36:00 | Computer Name = *** | Source = BROWSER | ID = 8032
Description = Das Einlesen der Sicherungsliste durch den Suchdienst schlug auf Transport
"\Device\NetBT_Tcpip_{91E9FF4D-B50A-4AD2-AD46-6F770F7D322A}" zu oft fehl. Der Sicherungssuchdienst
wird beendet.
 
Error - 18.01.2011 12:17:50 | Computer Name = *** | Source = MRxSmb | ID = 8003
Description = Der Hauptsuchdienst erhielt eine Serverankündigung vom Computer "PETRA",
der
der Hauptsuchdienst der Domäne für den NetBT_Tcpip_{91E9FF4D-B50A-4AD2-AD4-Transport
zu sein scheint. Der Hauptsuchdienst wurde beendet oder es wird eine Auswahl erzwungen.
 
Error - 22.01.2011 12:30:54 | Computer Name = *** | Source = MRxSmb | ID = 8003
Description = Der Hauptsuchdienst erhielt eine Serverankündigung vom Computer "PETRA",
der
der Hauptsuchdienst der Domäne für den NetBT_Tcpip_{91E9FF4D-B50A-4AD2-AD4-Transport
zu sein scheint. Der Hauptsuchdienst wurde beendet oder es wird eine Auswahl erzwungen.
 
 
< End of report >
         
--- --- ---

Alt 26.01.2011, 14:59   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Win32.Backdoor.Papras/A - Rechner infiziert; werde Trojaner nicht los - Standard

Win32.Backdoor.Papras/A - Rechner infiziert; werde Trojaner nicht los



Poste trotzdem erstmal alle Logs von Malwarebytes, auch wenn keine Funde dabei waren.
__________________

__________________

Alt 26.01.2011, 18:08   #3
fragen2011
 
Win32.Backdoor.Papras/A - Rechner infiziert; werde Trojaner nicht los - Standard

Win32.Backdoor.Papras/A - Rechner infiziert; werde Trojaner nicht los



hoffe das ist der log, den du meintest....

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5604

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

26.01.2011 15:43:03
mbam-log-2011-01-26 (15-43-03).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 198953
Laufzeit: 55 Minute(n), 48 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
__________________

Alt 26.01.2011, 18:40   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Win32.Backdoor.Papras/A - Rechner infiziert; werde Trojaner nicht los - Standard

Win32.Backdoor.Papras/A - Rechner infiziert; werde Trojaner nicht los



Zitat:
C:\Programme\Zone Labs\ZoneAlarm
Bitte deinstallieren, das Teil ist der letzte Schrott und kontraproduktiv! Verwende die Windows-Firewall und/oder einen DSL-Router.

Nach der Deinstallation musst du den Rechner neu starten.

Beende anschließend danach alle etwaigen offenen Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:
ATTFilter
:OTL
O33 - MountPoints2\{b46a2722-3022-11df-8f47-0015afde8c6c}\Shell\Auto\command - "" = launcher.exe
O33 - MountPoints2\{b46a2722-3022-11df-8f47-0015afde8c6c}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{b46a2722-3022-11df-8f47-0015afde8c6c}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL launcher.exe
O36 - AppCertDlls: freeya64 - (C:\WINDOWS\system32\cmmoexec.dll) - File not found
:Commands
[purity]
[resethosts]
[emptytemp]
         
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 27.01.2011, 21:56   #5
fragen2011
 
Win32.Backdoor.Papras/A - Rechner infiziert; werde Trojaner nicht los - Standard

Win32.Backdoor.Papras/A - Rechner infiziert; werde Trojaner nicht los



so, hab alles gemacht wie beschrieben

OTL-logfile:
All processes killed
========== OTL ==========
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b46a2722-3022-11df-8f47-0015afde8c6c}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{b46a2722-3022-11df-8f47-0015afde8c6c}\ not found.
File launcher.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b46a2722-3022-11df-8f47-0015afde8c6c}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{b46a2722-3022-11df-8f47-0015afde8c6c}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b46a2722-3022-11df-8f47-0015afde8c6c}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{b46a2722-3022-11df-8f47-0015afde8c6c}\ not found.
File C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL launcher.exe not found.
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls\\freeya64:C:\WINDOWS\system32\cmmoexec.dll deleted successfully.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: all
->Temp folder emptied: 7951017 bytes
->Temporary Internet Files folder emptied: 155920 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 42058154 bytes
->Flash cache emptied: 5542 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32768 bytes

User: LocalService
->Temp folder emptied: 2129960 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 2130888 bytes
->Temporary Internet Files folder emptied: 33170 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 37206 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 52,00 mb


OTL by OldTimer - Version 3.2.20.6 log created on 01272011_224656

Files\Folders moved on Reboot...
C:\Dokumente und Einstellungen\all\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\ehwp7k9a.default\Cache\_CACHE_001_ moved successfully.
C:\Dokumente und Einstellungen\all\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\ehwp7k9a.default\Cache\_CACHE_002_ moved successfully.
C:\Dokumente und Einstellungen\all\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\ehwp7k9a.default\Cache\_CACHE_003_ moved successfully.
C:\Dokumente und Einstellungen\all\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\ehwp7k9a.default\Cache\_CACHE_MAP_ moved successfully.
C:\Dokumente und Einstellungen\all\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\ehwp7k9a.default\urlclassifier3.sqlite moved successfully.
C:\Dokumente und Einstellungen\all\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\ehwp7k9a.default\XUL.mfl moved successfully.

Registry entries deleted on Reboot...

werde nun mal meine AV-Programme nochmal laufen lassen....wär ja toll, wenn das geklappt hätte.
eine Frage noch: habe jetzt wie empfohlen ZA deinstalliert. reicht die windows-firewall tatsächlich aus? und wie kann ich verhindern, dass programme von sich aus ins internet gehen (möchte eigenlich z.B. auch nicht dass winamp o.ä. programme ohne meine erlaubnis auf ihre server zugreifen)

aber erstmal ein erneutes danke für die schnelle hilfe, gerade als pc-niete macht einen so ein trojaner ja erstmal panisch


Alt 28.01.2011, 09:20   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Win32.Backdoor.Papras/A - Rechner infiziert; werde Trojaner nicht los - Standard

Win32.Backdoor.Papras/A - Rechner infiziert; werde Trojaner nicht los



Zitat:
(möchte eigenlich z.B. auch nicht dass winamp o.ä. programme ohne meine erlaubnis auf ihre server zugreifen)
Indem du die Updatefunktion ausschaltest?
Programme mit wirklich bösen Absichten kommen so an ZoneAlarm vorbei.
__________________
--> Win32.Backdoor.Papras/A - Rechner infiziert; werde Trojaner nicht los

Alt 28.01.2011, 12:33   #7
fragen2011
 
Win32.Backdoor.Papras/A - Rechner infiziert; werde Trojaner nicht los - Standard

Win32.Backdoor.Papras/A - Rechner infiziert; werde Trojaner nicht los



also, malwarebytes, AdAware und spybot finden nichts mehr (Avira muss ich nochmal drüber laufen lassen, aber hatte ja zu Beginn auch nichts gefunden...). heisst das, mein rechner ist nun wieder safe?! wär ja super, wenn das "so" einfach ging

und noch ne frage zum abschluss: habe nun wegen dem ärger malwarebytes, AdAware, Avira und Spybot auf dem Rechner instaliiert....ist wahrscheinlich zuviel des Guten. Empfehlungen, was ich behalten sollte und was weg kann?

Alt 28.01.2011, 13:29   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Win32.Backdoor.Papras/A - Rechner infiziert; werde Trojaner nicht los - Standard

Win32.Backdoor.Papras/A - Rechner infiziert; werde Trojaner nicht los



Wir sind noch nicht fertig!!
Bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 29.01.2011, 12:08   #9
fragen2011
 
Win32.Backdoor.Papras/A - Rechner infiziert; werde Trojaner nicht los - Standard

Win32.Backdoor.Papras/A - Rechner infiziert; werde Trojaner nicht los



oh, wohl zu frühg gefreut....
hier der combofix-log:

Combofix Logfile:
Code:
ATTFilter
ComboFix 11-01-28.03 - all 29.01.2011  12:49:59.1.2 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.1015.507 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\all\Desktop\cofi.exe.exe
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
AV: Lavasoft Ad-Watch Live! Virenschutz *Disabled/Updated* {A1C4F2E0-7FDE-4917-AFAE-013EFC3EDE33}
FW: ZoneAlarm Firewall *Disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\all\Anwendungsdaten\Local
c:\dokumente und einstellungen\all\Anwendungsdaten\Local\Temp\DDM\Settings\1.ddi
c:\dokumente und einstellungen\all\Anwendungsdaten\Local\Temp\DDM\Settings\2.ddi
c:\dokumente und einstellungen\all\Anwendungsdaten\Local\Temp\DDM\Settings\3.ddi
c:\dokumente und einstellungen\all\Anwendungsdaten\Local\Temp\DDM\Settings\Post_Install_RB_HiQ_de.divx.ddr
c:\dokumente und einstellungen\all\Anwendungsdaten\Local\Temp\DDM\Settings\settings.ddi
c:\dokumente und einstellungen\all\Anwendungsdaten\Local\Temp\DDM\Settings\Temporary Downloaded Files\Post_Install_RB_HiQ_de.divx
c:\dokumente und einstellungen\all\Anwendungsdaten\Local\Temp\DDM\Settings\Temporary Downloaded Files\Weeds.S04E12.avi.ddp
c:\dokumente und einstellungen\all\Anwendungsdaten\Local\Temp\DDM\Settings\Temporary Downloaded Files\Weeds.S04E13.US.XviD_randomanon.avi(2).ddp
c:\dokumente und einstellungen\all\Anwendungsdaten\Local\Temp\DDM\Settings\Temporary Downloaded Files\Weeds.S04E13.US.XviD_randomanon.avi.ddp
c:\dokumente und einstellungen\all\Anwendungsdaten\Local\Temp\DDM\Settings\Weeds.S04E12.avi.ddr
c:\dokumente und einstellungen\all\Anwendungsdaten\Local\Temp\DDM\Settings\Weeds.S04E13.US.XviD_randomanon.avi.ddr
c:\programme\\setup.exe
c:\programme\Setup.exe
c:\windows\system32\Thumbs.db

.
(((((((((((((((((((((((   Dateien erstellt von 2010-12-28 bis 2011-01-29  ))))))))))))))))))))))))))))))
.

2011-01-28 01:11 . 2011-01-28 01:11	472808	----a-w-	c:\programme\Mozilla Firefox\plugins\npdeployJava1.dll
2011-01-28 01:11 . 2011-01-28 01:11	472808	----a-w-	c:\windows\system32\deployJava1.dll
2011-01-27 21:46 . 2011-01-27 21:46	--------	d-----w-	C:\_OTL
2011-01-27 21:40 . 2011-01-27 21:40	--------	d-----w-	c:\windows\Internet Logs
2011-01-26 01:20 . 2011-01-26 01:20	--------	d-----w-	c:\dokumente und einstellungen\all\Anwendungsdaten\Malwarebytes
2011-01-26 01:20 . 2010-12-20 17:09	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2011-01-26 01:20 . 2011-01-26 01:20	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-01-26 01:20 . 2010-12-20 17:08	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-01-26 01:20 . 2011-01-26 01:20	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2011-01-26 00:13 . 2011-01-25 23:46	98392	----a-w-	c:\windows\system32\drivers\SBREDrv.sys
2011-01-26 00:08 . 2011-01-25 23:46	15880	----a-w-	c:\windows\system32\lsdelete.exe
2011-01-25 23:47 . 2010-12-03 09:05	64288	----a-w-	c:\windows\system32\drivers\Lbd.sys
2011-01-25 23:38 . 2011-01-25 23:38	--------	d-----w-	c:\dokumente und einstellungen\all\Lokale Einstellungen\Anwendungsdaten\Sunbelt Software
2011-01-25 23:37 . 2011-01-25 23:37	--------	dc-h--w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\{2162CCC0-3A5F-4887-B51F-CE5F195B3620}
2011-01-25 23:37 . 2011-01-25 23:47	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
2011-01-25 23:37 . 2011-01-25 23:37	--------	d-----w-	c:\programme\Lavasoft
2011-01-08 22:02 . 2011-01-08 22:02	--------	d-----w-	c:\dokumente und einstellungen\all\Anwendungsdaten\Apple Computer
2011-01-08 21:58 . 2011-01-08 21:58	--------	d-----w-	c:\dokumente und einstellungen\all\Lokale Einstellungen\Anwendungsdaten\Apple
2011-01-08 21:58 . 2011-01-08 21:58	--------	d-----w-	c:\dokumente und einstellungen\all\Lokale Einstellungen\Anwendungsdaten\Apple Computer

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-01-28 01:11 . 2008-12-29 23:29	73728	----a-w-	c:\windows\system32\javacpl.cpl
2010-12-25 18:24 . 2009-06-02 14:11	135096	----a-w-	c:\windows\system32\drivers\avipbb.sys
2010-11-25 21:05 . 2009-06-02 14:11	61960	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2010-11-18 18:12 . 2008-12-29 22:31	86016	----a-w-	c:\windows\system32\isign32.dll
2010-11-12 00:44 . 2010-11-12 00:44	94208	----a-w-	c:\windows\system32\dpl100.dll
2010-11-09 14:51 . 2008-12-29 22:17	249856	----a-w-	c:\windows\system32\odbc32.dll
2010-11-08 22:57 . 2010-11-08 22:57	353592	----a-w-	c:\windows\system32\DivXControlPanelApplet.cpl
2010-11-06 00:21 . 2008-12-29 22:17	916480	----a-w-	c:\windows\system32\wininet.dll
2010-11-06 00:21 . 2008-12-29 22:17	43520	----a-w-	c:\windows\system32\licmgr10.dll
2010-11-06 00:21 . 2008-12-29 22:17	1469440	------w-	c:\windows\system32\inetcpl.cpl
2010-11-03 12:25 . 2008-12-29 22:17	385024	----a-w-	c:\windows\system32\html.iec
2010-11-02 15:17 . 2008-12-29 22:17	40960	----a-w-	c:\windows\system32\drivers\ndproxy.sys
2010-10-22 01:24 . 2010-10-22 01:22	19657194	----a-w-	c:\programme\vlc-1.1.4-win32.exe
2010-09-02 22:15 . 2010-09-02 22:15	278528	----a-w-	c:\programme\Gemeinsame Dateien\FDEUnInstaller.exe
2009-04-01 20:53 . 2009-04-01 20:51	8350750	----a-w-	c:\programme\vidalia-bundle-0.2.0.34-0.1.10.exe
2009-04-01 20:46 . 2009-04-01 20:41	33952648	----a-w-	c:\programme\zaZA_Setup_en.exe
2009-04-01 20:40 . 2009-04-01 20:40	267152	----a-w-	c:\programme\zaSetup_en.exe
2009-04-01 20:36 . 2009-04-01 20:36	6555352	----a-w-	c:\programme\Thunderbird Setup 2.0.0.21.exe
2009-04-01 20:11 . 2009-04-01 20:11	7353544	----a-w-	c:\programme\Firefox Setup 3.0.8.exe
2009-04-01 19:56 . 2009-04-01 19:56	141125992	----a-w-	c:\programme\OOo_3.0.1_Win32Intel_install_de.exe
2009-01-09 19:35 . 2009-01-09 19:35	9783808	-c--a-w-	c:\programme\openofficeorg30.msi
2008-05-07 08:34 . 2008-12-29 23:25	15523560	----a-w-	c:\programme\U1 Setup.exe
2002-03-11 09:06 . 2002-03-11 09:06	1822520	----a-w-	c:\programme\instmsiw.exe
2002-03-11 08:45 . 2002-03-11 08:45	1708856	----a-w-	c:\programme\instmsia.exe
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-12-19 135168]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-12-19 159744]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-12-19 131072]
"RTHDCPL"="RTHDCPL.EXE" [2008-09-18 16855040]
"ETDWare"="c:\programme\Elantech\ETDCtrl.exe" [2008-11-24 329728]
"AsusTray"="c:\programme\EeePC\ACPI\AsTray.exe" [2008-12-04 114688]
"AsusACPIServer"="c:\programme\EeePC\ACPI\AsAcpiSvr.exe" [2008-12-04 622592]
"AsusEPCMonitor"="c:\programme\EeePC\ACPI\AsEPCMon.exe" [2008-05-21 94208]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-11-02 281768]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]
"DivXUpdate"="c:\programme\DivX\DivX Update\DivXUpdate.exe" [2010-12-09 1226608]
"DivX Download Manager"="c:\programme\DivX\DivX Plus Web Player\DDmService.exe" [2010-12-08 63360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\all\Startmen\Programme\Autostart\
OpenOffice.org 3.2.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2010-5-20 1195008]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
BTTray.lnk - c:\programme\WIDCOMM\Bluetooth Software\BTTray.exe [2008-9-2 604776]
SuperHybridEngine.lnk - c:\programme\ASUS\EeePC\Super Hybrid Engine\SuperHybridEngine.exe [2008-12-30 376832]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [26.01.2011 00:47 64288]
R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\programme\Avira\AntiVir Desktop\sched.exe [02.06.2009 15:11 135336]
S2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programme\Lavasoft\Ad-Aware\AAWService.exe [03.12.2010 10:05 1402272]
S3 Lavasoft Kernexplorer;Lavasoft helper driver;c:\programme\Lavasoft\Ad-Aware\kernexplorer.sys [03.12.2010 10:05 15264]
.
Inhalt des "geplante Tasks" Ordners

2011-01-29 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2010-12-03 00:13]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://eeepc.asus.com/global
IE: Senden an &Bluetooth-Gerät... - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Senden an Bluetooth - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
FF - ProfilePath - c:\dokumente und einstellungen\all\Anwendungsdaten\Mozilla\Firefox\Profiles\ehwp7k9a.default\
FF - prefs.js: browser.search.defaulturl - hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampie7&query=
FF - prefs.js: keyword.URL - hxxps://ssl.scroogle.org/cgi-bin/nbbwssl.cgi?q=
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}
FF - Ext: PrefBar: {8A6C82A1-F6C9-481a-AAE7-C96444C9A754} - %profile%\extensions\{8A6C82A1-F6C9-481a-AAE7-C96444C9A754}
FF - Ext: Torbutton: {e0204bd5-9d31-402b-a99d-a6aa8ffebdca} - %profile%\extensions\{e0204bd5-9d31-402b-a99d-a6aa8ffebdca}
FF - Ext: wmlbrowser: {c4dc572a-3295-40eb-b30f-b54aa4cdc4b7} - %profile%\extensions\{c4dc572a-3295-40eb-b30f-b54aa4cdc4b7}
FF - Ext: DivX Plus Web Player HTML5 &lt;video&gt;: {23fcfd51-4958-4f00-80a3-ae97e717ed8b} - c:\programme\DivX\DivX Plus Web Player\firefox\html5video
FF - Ext: DivX HiQ: {6904342A-8307-11DF-A508-4AE2DFD72085} - c:\programme\DivX\DivX Plus Web Player\firefox\wpa
FF - Ext: Java Quick Starter: jqs@sun.com - c:\programme\Java\jre6\lib\deploy\jqs\ff
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-01-29 12:54
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1794256267-2824364458-574179428-1006\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
.
Zeit der Fertigstellung: 2011-01-29  12:56:43
ComboFix-quarantined-files.txt  2011-01-29 11:56

Vor Suchlauf: 7 Verzeichnis(se), 67.173.335.040 Bytes frei
Nach Suchlauf: 9 Verzeichnis(se), 67.140.677.632 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

- - End Of File - - 6E72FDE86DB68537D8C040BCE1A483CA
         
--- --- ---

Alt 30.01.2011, 12:37   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Win32.Backdoor.Papras/A - Rechner infiziert; werde Trojaner nicht los - Standard

Win32.Backdoor.Papras/A - Rechner infiziert; werde Trojaner nicht los



Zitat:
FW: ZoneAlarm Firewall *Disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}
Wieso hast du ZA noch nicht deinstalliert?
Oder ist es deinstalliert worden?
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 30.01.2011, 12:54   #11
fragen2011
 
Win32.Backdoor.Papras/A - Rechner infiziert; werde Trojaner nicht los - Standard

Win32.Backdoor.Papras/A - Rechner infiziert; werde Trojaner nicht los



ich hab es deinstalliert! windows und CCcleaner finden zeigen es auch nicht mehr an....hatte mich auch gewundert, als ich das im log-file gesehen habe

und wie sieht es sonst aus?

Alt 30.01.2011, 18:41   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Win32.Backdoor.Papras/A - Rechner infiziert; werde Trojaner nicht los - Standard

Win32.Backdoor.Papras/A - Rechner infiziert; werde Trojaner nicht los



Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:
ATTFilter
Seccenter::
FW: ZoneAlarm Firewall *Disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}

File::
c:\programme\zaZA_Setup_en.exe
c:\programme\zaSetup_en.exe
         
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 08.02.2011, 13:33   #13
fragen2011
 
Win32.Backdoor.Papras/A - Rechner infiziert; werde Trojaner nicht los - Standard

Win32.Backdoor.Papras/A - Rechner infiziert; werde Trojaner nicht los



Hallo,
sorry für den delay. Ich habe das script wie beschrieben erstellt, musste aber combofix neu runterladen (mir wurde angezeigt, dass die combofix veraltet sei und nur reduzierte funktionalität habe. da habe ich es gelöscht und neu runtergeladen. hoffe das war kein fehler?!)

dann habe ich den CFScript.txt rübergezogen, hier ist das ergebnis:

Combofix Logfile:
Code:
ATTFilter
ComboFix 11-02-07.02 - all 08.02.2011  14:12:47.2.2 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.1015.433 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\all\Desktop\Cofi.exe.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\all\Desktop\CFScript.txt
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
AV: Lavasoft Ad-Watch Live! Virenschutz *Disabled/Updated* {A1C4F2E0-7FDE-4917-AFAE-013EFC3EDE33}

FILE ::
"c:\programme\zaSetup_en.exe"
"c:\programme\zaZA_Setup_en.exe"
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\programme\zaSetup_en.exe
c:\programme\zaZA_Setup_en.exe

.
(((((((((((((((((((((((   Dateien erstellt von 2011-01-08 bis 2011-02-08  ))))))))))))))))))))))))))))))
.

2011-01-28 01:11 . 2011-01-28 01:11	472808	----a-w-	c:\programme\Mozilla Firefox\plugins\npdeployJava1.dll
2011-01-28 01:11 . 2011-01-28 01:11	472808	----a-w-	c:\windows\system32\deployJava1.dll
2011-01-27 21:46 . 2011-01-27 21:46	--------	d-----w-	C:\_OTL
2011-01-27 21:40 . 2011-01-27 21:40	--------	d-----w-	c:\windows\Internet Logs
2011-01-26 01:20 . 2011-01-26 01:20	--------	d-----w-	c:\dokumente und einstellungen\all\Anwendungsdaten\Malwarebytes
2011-01-26 01:20 . 2010-12-20 17:09	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2011-01-26 01:20 . 2011-01-26 01:20	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-01-26 01:20 . 2010-12-20 17:08	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-01-26 01:20 . 2011-01-26 01:20	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2011-01-26 00:13 . 2011-01-25 23:46	98392	----a-w-	c:\windows\system32\drivers\SBREDrv.sys
2011-01-26 00:08 . 2011-01-25 23:46	15880	----a-w-	c:\windows\system32\lsdelete.exe
2011-01-25 23:47 . 2010-12-03 09:05	64288	----a-w-	c:\windows\system32\drivers\Lbd.sys
2011-01-25 23:38 . 2011-01-25 23:38	--------	d-----w-	c:\dokumente und einstellungen\all\Lokale Einstellungen\Anwendungsdaten\Sunbelt Software
2011-01-25 23:37 . 2011-01-25 23:37	--------	dc-h--w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\{2162CCC0-3A5F-4887-B51F-CE5F195B3620}
2011-01-25 23:37 . 2011-01-25 23:47	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
2011-01-25 23:37 . 2011-01-25 23:37	--------	d-----w-	c:\programme\Lavasoft

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-01-28 01:11 . 2008-12-29 23:29	73728	----a-w-	c:\windows\system32\javacpl.cpl
2010-12-25 18:24 . 2009-06-02 14:11	135096	----a-w-	c:\windows\system32\drivers\avipbb.sys
2010-11-25 21:05 . 2009-06-02 14:11	61960	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2010-11-18 18:12 . 2008-12-29 22:31	86016	----a-w-	c:\windows\system32\isign32.dll
2010-11-12 00:44 . 2010-11-12 00:44	94208	----a-w-	c:\windows\system32\dpl100.dll
2010-10-22 01:24 . 2010-10-22 01:22	19657194	----a-w-	c:\programme\vlc-1.1.4-win32.exe
2010-09-02 22:15 . 2010-09-02 22:15	278528	----a-w-	c:\programme\Gemeinsame Dateien\FDEUnInstaller.exe
2009-04-01 20:53 . 2009-04-01 20:51	8350750	----a-w-	c:\programme\vidalia-bundle-0.2.0.34-0.1.10.exe
2009-04-01 20:36 . 2009-04-01 20:36	6555352	----a-w-	c:\programme\Thunderbird Setup 2.0.0.21.exe
2009-04-01 20:11 . 2009-04-01 20:11	7353544	----a-w-	c:\programme\Firefox Setup 3.0.8.exe
2009-04-01 19:56 . 2009-04-01 19:56	141125992	----a-w-	c:\programme\OOo_3.0.1_Win32Intel_install_de.exe
2009-01-09 19:35 . 2009-01-09 19:35	9783808	-c--a-w-	c:\programme\openofficeorg30.msi
2008-05-07 08:34 . 2008-12-29 23:25	15523560	----a-w-	c:\programme\U1 Setup.exe
2002-03-11 09:06 . 2002-03-11 09:06	1822520	----a-w-	c:\programme\instmsiw.exe
2002-03-11 08:45 . 2002-03-11 08:45	1708856	----a-w-	c:\programme\instmsia.exe
.

(((((((((((((((((((((((((((((   SnapShot@2011-01-29_11.54.50   )))))))))))))))))))))))))))))))))))))))))
.
+ 2011-02-08 13:02 . 2011-02-08 13:02	16384              c:\windows\temp\Perflib_Perfdata_6c8.dat
+ 2011-02-08 12:12 . 2011-02-08 12:12	233936              c:\windows\system32\Macromed\Flash\FlashUtil10l_Plugin.exe
+ 2010-01-27 01:07 . 2011-02-08 12:12	5971408              c:\windows\system32\Macromed\Flash\NPSWF32.dll
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-12-19 135168]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-12-19 159744]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-12-19 131072]
"RTHDCPL"="RTHDCPL.EXE" [2008-09-18 16855040]
"ETDWare"="c:\programme\Elantech\ETDCtrl.exe" [2008-11-24 329728]
"AsusTray"="c:\programme\EeePC\ACPI\AsTray.exe" [2008-12-04 114688]
"AsusACPIServer"="c:\programme\EeePC\ACPI\AsAcpiSvr.exe" [2008-12-04 622592]
"AsusEPCMonitor"="c:\programme\EeePC\ACPI\AsEPCMon.exe" [2008-05-21 94208]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-11-02 281768]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
BTTray.lnk - c:\programme\WIDCOMM\Bluetooth Software\BTTray.exe [2008-9-2 604776]
SuperHybridEngine.lnk - c:\programme\ASUS\EeePC\Super Hybrid Engine\SuperHybridEngine.exe [2008-12-30 376832]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^all^Startmenü^Programme^Autostart^OpenOffice.org 3.2.lnk]
path=c:\dokumente und einstellungen\all\Startmenü\Programme\Autostart\OpenOffice.org 3.2.lnk
backup=c:\windows\pss\OpenOffice.org 3.2.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DivX Download Manager]
2010-12-08 21:15	63360	----a-w-	c:\programme\DivX\DivX Plus Web Player\DDMService.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DivXUpdate]
2010-12-09 19:28	1226608	----a-w-	c:\programme\DivX\DivX Update\DivXUpdate.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
2009-03-05 14:07	2260480	------w-	c:\programme\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [26.01.2011 00:47 64288]
R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\programme\Avira\AntiVir Desktop\sched.exe [02.06.2009 15:11 135336]
S2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programme\Lavasoft\Ad-Aware\AAWService.exe [03.12.2010 10:05 1402272]
S3 Lavasoft Kernexplorer;Lavasoft helper driver;c:\programme\Lavasoft\Ad-Aware\kernexplorer.sys [03.12.2010 10:05 15264]
.
Inhalt des "geplante Tasks" Ordners

2011-02-08 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2010-12-03 00:13]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://eeepc.asus.com/global
IE: Senden an &Bluetooth-Gerät... - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Senden an Bluetooth - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
FF - ProfilePath - c:\dokumente und einstellungen\all\Anwendungsdaten\Mozilla\Firefox\Profiles\ehwp7k9a.default\
FF - prefs.js: browser.search.defaulturl - hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampie7&query=
FF - prefs.js: keyword.URL - hxxps://ssl.scroogle.org/cgi-bin/nbbwssl.cgi?q=
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}
FF - Ext: PrefBar: {8A6C82A1-F6C9-481a-AAE7-C96444C9A754} - %profile%\extensions\{8A6C82A1-F6C9-481a-AAE7-C96444C9A754}
FF - Ext: Torbutton: {e0204bd5-9d31-402b-a99d-a6aa8ffebdca} - %profile%\extensions\{e0204bd5-9d31-402b-a99d-a6aa8ffebdca}
FF - Ext: wmlbrowser: {c4dc572a-3295-40eb-b30f-b54aa4cdc4b7} - %profile%\extensions\{c4dc572a-3295-40eb-b30f-b54aa4cdc4b7}
FF - Ext: DivX Plus Web Player HTML5 &lt;video&gt;: {23fcfd51-4958-4f00-80a3-ae97e717ed8b} - c:\programme\DivX\DivX Plus Web Player\firefox\html5video
FF - Ext: DivX HiQ: {6904342A-8307-11DF-A508-4AE2DFD72085} - c:\programme\DivX\DivX Plus Web Player\firefox\wpa
FF - Ext: Java Quick Starter: jqs@sun.com - c:\programme\Java\jre6\lib\deploy\jqs\ff
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-02-08 14:18
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1794256267-2824364458-574179428-1006\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
.
Zeit der Fertigstellung: 2011-02-08  14:20:51
ComboFix-quarantined-files.txt  2011-02-08 13:20
ComboFix2.txt  2011-01-29 11:56

Vor Suchlauf: 8 Verzeichnis(se), 67.610.177.536 Bytes frei
Nach Suchlauf: 9 Verzeichnis(se), 67.569.201.152 Bytes frei

- - End Of File - - F5F2EB4E4DDF7D6DFE86655FD02600E3
         
--- --- ---

Alt 08.02.2011, 15:59   #14
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Win32.Backdoor.Papras/A - Rechner infiziert; werde Trojaner nicht los - Standard

Win32.Backdoor.Papras/A - Rechner infiziert; werde Trojaner nicht los



Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur einige Sekunden.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Antwort

Themen zu Win32.Backdoor.Papras/A - Rechner infiziert; werde Trojaner nicht los
0x00000001, 7-zip, avgntflt.sys, avira, awareness, bho, c:\windows\system32\rundll32.exe, c:\windows\system32\services.exe, cpu, desktop, dllhost.exe, e-banking, eeepc, einstellungen, eraser, error, firefox, flash player, home, homepage, launch, mozilla, mozilla thunderbird, nicht möglich, oldtimer, otl log, realtek, required, rundll, safer networking, saver, scan, sched.exe, searchplugins, security, senden, shell32.dll, software, svchost.exe, system, system restore, tan-nummer, trojaner, updates, wenig ahnung, windows, windows internet, windows xp



Ähnliche Themen: Win32.Backdoor.Papras/A - Rechner infiziert; werde Trojaner nicht los


  1. Backdoor.papras + verschiedene Trojaner entdeckt - MBAM hat entfernt - geht es ohne Neuaufsetzung?
    Log-Analyse und Auswertung - 12.10.2011 (30)
  2. Rechner verseucht, werde den Trojaner nicht los.
    Plagegeister aller Art und deren Bekämpfung - 18.03.2011 (14)
  3. backdoor trojaner werde sie nicht los und formatieren geht auch nicht
    Alles rund um Windows - 07.01.2011 (15)
  4. Probleme beim Online-Banking: Trojan.Win32.Generic!BT, Win32.Backdoor.Papras/A und andere...
    Log-Analyse und Auswertung - 06.11.2010 (19)
  5. win32.backdoor.papras a lässt sich nicht entfernen
    Plagegeister aller Art und deren Bekämpfung - 25.10.2010 (7)
  6. ComboFix nach Win32.Backdoor.Papras/A
    Plagegeister aller Art und deren Bekämpfung - 13.10.2010 (11)
  7. Win32.Backdoor.Papras/A / TR/Spy.Browse.A (Trojan) führt zu Grafikkartenproblemen?
    Log-Analyse und Auswertung - 07.10.2010 (38)
  8. Win32.Backdoor.Papras/A
    Plagegeister aller Art und deren Bekämpfung - 16.09.2010 (25)
  9. Werde trotz der Anleitungen hier den TR/PSW.Papras.AB nicht los
    Plagegeister aller Art und deren Bekämpfung - 04.08.2010 (9)
  10. Win32.Backdoor\Papras/A
    Plagegeister aller Art und deren Bekämpfung - 03.08.2010 (6)
  11. Anti Malware Doctor & Win32.Backdoor.Papras/A eingefangen / Systemwiederherstellung
    Plagegeister aller Art und deren Bekämpfung - 01.08.2010 (16)
  12. Werde Virus/Trojaner nicht los - vermtl. Win32.Trojan.Tdss
    Log-Analyse und Auswertung - 20.07.2010 (119)
  13. Trojaner win32.backdoor.papras/a
    Plagegeister aller Art und deren Bekämpfung - 15.07.2010 (31)
  14. Werde das Backdoorprogramm BDS/Papras.JR nicht los
    Plagegeister aller Art und deren Bekämpfung - 06.07.2010 (9)
  15. Backdoor.Win32.Papras.HE
    Plagegeister aller Art und deren Bekämpfung - 24.06.2010 (11)
  16. Backdoor BDS/Papras.GX - Entfernung nicht möglich
    Log-Analyse und Auswertung - 11.06.2010 (1)
  17. Werde Virus/Trojaner TrojanDownloader:Win32/Renos.JS nicht los
    Mülltonne - 16.10.2009 (23)

Zum Thema Win32.Backdoor.Papras/A - Rechner infiziert; werde Trojaner nicht los - Hallo, auch ich habe den bösen Trojaner Win32.Backdoor.Papras/A. Habe gesehen, dass es hier schon Posts zu dem Thema gibt, da aber öfter darauf hingewiesen wurde, dass man gewisse Aktionen (z.B. - Win32.Backdoor.Papras/A - Rechner infiziert; werde Trojaner nicht los...
Archiv
Du betrachtest: Win32.Backdoor.Papras/A - Rechner infiziert; werde Trojaner nicht los auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.