Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Avira meldet W32/Patched.UA TR/ATRAPS.Gen2 und TR/Small.FI

Avira meldet W32/Patched.UA TR/ATRAPS.Gen2 und TR/Small.FI


Log-Analyse und Auswertung: Avira meldet W32/Patched.UA TR/ATRAPS.Gen2 und TR/Small.FI

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Seite 2 von 2 1 2
Alt 22.06.2012, 10:31   #16
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Avira meldet W32/Patched.UA TR/ATRAPS.Gen2 und TR/Small.FI - Standard

Avira meldet W32/Patched.UA TR/ATRAPS.Gen2 und TR/Small.FI


Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:
ATTFilter
Filelook::
c:\windows\system32\Services.exe
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 22.06.2012, 10:59   #17
kjkjjj1108
 
Avira meldet W32/Patched.UA TR/ATRAPS.Gen2 und TR/Small.FI - Standard

Avira meldet W32/Patched.UA TR/ATRAPS.Gen2 und TR/Small.FI


Hallo Arne,
ich stelle mich gerade ein bisschen dusselig an: Wie geht das mit "Start/Ausführen/Notepad"?
Danke

Sorry, hat sich erledigt...

Hallo Arne,

hier das File. Allerding wurde nach dem Öffnen von Combofix ein Update angeboten und ich habe es heruntergeladen... Ich hoffe, damit wurde Dein Script nicht ungültig.

Code:
ATTFilter
ComboFix 12-06-21.03 - *** 22.06.2012  12:12:42.2.2 - x64
Microsoft® Windows Vista™ Home Premium   6.0.6002.2.1252.49.1031.18.4090.2175 [GMT 2:00]
ausgeführt von:: c:\users\***\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\users\***\Desktop\CFScript.txt
AV: Avira Desktop *Disabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
SP: Avira Desktop *Disabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\system32\Services.exe . . . ist infiziert!!
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-05-22 bis 2012-06-22  ))))))))))))))))))))))))))))))
.
.
2012-06-22 11:01 . 2012-06-22 11:01	--------	d-----w-	c:\users\Default\AppData\Local\temp
2012-06-22 05:23 . 2012-05-31 04:04	9013136	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{7B12B89B-B138-4288-93CF-87E602BF2BAE}\mpengine.dll
2012-06-21 09:56 . 2012-06-02 22:19	57880	----a-w-	c:\windows\system32\wuauclt.exe
2012-06-21 09:56 . 2012-06-02 22:19	44056	----a-w-	c:\windows\system32\wups2.dll
2012-06-21 09:56 . 2012-06-02 22:19	2428952	----a-w-	c:\windows\system32\wuaueng.dll
2012-06-21 09:56 . 2012-06-02 22:15	2622464	----a-w-	c:\windows\system32\wucltux.dll
2012-06-21 09:55 . 2012-06-02 22:19	38424	----a-w-	c:\windows\system32\wups.dll
2012-06-21 09:55 . 2012-06-02 22:19	35864	----a-w-	c:\windows\SysWow64\wups.dll
2012-06-21 09:55 . 2012-06-02 22:19	701976	----a-w-	c:\windows\system32\wuapi.dll
2012-06-21 09:55 . 2012-06-02 22:19	577048	----a-w-	c:\windows\SysWow64\wuapi.dll
2012-06-21 09:55 . 2012-06-02 22:15	99840	----a-w-	c:\windows\system32\wudriver.dll
2012-06-21 09:55 . 2012-06-02 22:12	88576	----a-w-	c:\windows\SysWow64\wudriver.dll
2012-06-21 09:54 . 2012-06-02 13:19	186752	----a-w-	c:\windows\system32\wuwebv.dll
2012-06-21 09:54 . 2012-06-02 13:19	171904	----a-w-	c:\windows\SysWow64\wuwebv.dll
2012-06-21 09:54 . 2012-06-02 13:15	36864	----a-w-	c:\windows\system32\wuapp.exe
2012-06-21 09:54 . 2012-06-02 13:12	33792	----a-w-	c:\windows\SysWow64\wuapp.exe
2012-06-21 09:54 . 2012-06-21 09:54	--------	d-----w-	C:\_OTL
2012-06-20 09:57 . 2012-06-20 09:57	--------	d-sh--w-	c:\windows\system32\%APPDATA%
2012-06-15 18:58 . 2012-06-15 18:58	--------	d-----w-	c:\program files (x86)\ESET
2012-06-15 17:35 . 2012-06-15 17:35	--------	d-----w-	c:\users\***\AppData\Roaming\Malwarebytes
2012-06-15 17:35 . 2012-06-15 17:35	--------	d-----w-	c:\programdata\Malwarebytes
2012-06-15 17:35 . 2012-06-15 17:35	--------	d-----w-	c:\program files (x86)\Malwarebytes' Anti-Malware
2012-06-15 17:35 . 2012-04-04 13:56	24904	----a-w-	c:\windows\system32\drivers\mbam.sys
2012-06-13 17:06 . 2012-05-01 14:29	209920	----a-w-	c:\windows\system32\drivers\rdpwd.sys
2012-06-13 17:06 . 2012-05-15 20:15	2767360	----a-w-	c:\windows\system32\win32k.sys
2012-06-13 17:06 . 2012-04-23 16:25	174592	----a-w-	c:\windows\system32\cryptsvc.dll
2012-06-13 17:06 . 2012-04-23 16:25	132096	----a-w-	c:\windows\system32\cryptnet.dll
2012-06-13 17:06 . 2012-04-23 16:25	1267200	----a-w-	c:\windows\system32\crypt32.dll
2012-06-13 17:06 . 2012-04-23 16:00	984064	----a-w-	c:\windows\SysWow64\crypt32.dll
2012-06-13 17:06 . 2012-04-23 16:00	98304	----a-w-	c:\windows\SysWow64\cryptnet.dll
2012-06-13 17:06 . 2012-04-23 16:00	133120	----a-w-	c:\windows\SysWow64\cryptsvc.dll
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-06-14 10:52 . 2012-04-12 07:33	426184	----a-w-	c:\windows\SysWow64\FlashPlayerApp.exe
2012-06-14 10:52 . 2011-08-14 20:13	70344	----a-w-	c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2012-05-08 17:53 . 2011-10-23 20:08	132832	----a-w-	c:\windows\system32\drivers\avipbb.sys
2012-05-08 17:53 . 2011-10-23 20:08	98848	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2012-05-06 17:28 . 2012-04-12 08:36	8744608	----a-w-	c:\windows\SysWow64\FlashPlayerInstaller.exe
2012-04-03 08:22 . 2012-05-11 18:11	4699520	----a-w-	c:\windows\system32\ntoskrnl.exe
2012-03-30 12:45 . 2012-05-11 18:12	1423744	----a-w-	c:\windows\system32\drivers\tcpip.sys
2009-08-16 11:08 . 2009-09-09 16:19	34119048	----a-w-	c:\program files\avira_antivir_personal_de.exe
.
.
((((((((((((((((((((((((((((((((((((((((((((   Look   )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
--- c:\windows\system32\Services.exe ---
Company: Microsoft Corporation
File Description: Anwendung für Dienste und Controller
File Version: 6.0.6000.16386 (vista_rtm.061101-2205)
Product Name: Betriebssystem Microsoft® Windows®
Copyright: © Microsoft Corporation. Alle Rechte vorbehalten.
Original Filename: services.exe.mui
File size: 384512
Created time: 2010-04-08 03:20
Modified time: 2009-04-10 22:10
MD5: BC81150939BD52DBC7A08C245F1FB229
SHA1: D1348C7CA52F3F43E2EED784D6BABD07B29EC514
.
.
------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
[-] 2009-04-10 . BC81150939BD52DBC7A08C245F1FB229 . 384512 . . [6.0.6000.16386] .. c:\windows\system32\services.exe
.
(((((((((((((((((((((((((((((   SnapShot@2012-06-22_04.33.51   )))))))))))))))))))))))))))))))))))))))))
.
- 2008-01-21 03:20 . 2012-06-21 21:40	32768              c:\windows\SysWOW64\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2008-01-21 03:20 . 2012-06-22 11:03	32768              c:\windows\SysWOW64\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2008-01-21 03:20 . 2012-06-22 11:03	65536              c:\windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
- 2008-01-21 03:20 . 2012-06-21 21:40	65536              c:\windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
+ 2008-01-21 03:20 . 2012-06-22 11:03	32768              c:\windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
- 2008-01-21 03:20 . 2012-06-21 21:40	32768              c:\windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2008-01-21 02:23 . 2012-06-22 11:05	76314              c:\windows\system32\WDI\ShutdownPerformanceDiagnostics_SystemData.bin
+ 2009-08-27 19:05 . 2012-06-22 11:05	21602              c:\windows\system32\WDI\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-272521431-3735504338-3595803933-1000_UserData.bin
+ 2012-06-22 11:02 . 2012-06-22 11:02	2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
- 2012-06-21 21:40 . 2012-06-21 21:40	2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
+ 2012-06-22 11:02 . 2012-06-22 11:02	2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
- 2012-06-21 21:40 . 2012-06-21 21:40	2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
+ 2006-11-02 15:45 . 2012-06-22 11:05	113996              c:\windows\system32\WDI\BootPerformanceDiagnostics_SystemData.bin
- 2011-05-29 16:24 . 2012-06-21 21:40	411452              c:\windows\ServiceProfiles\LocalService\AppData\Local\WPFFontCache_v0400-System.dat
+ 2011-05-29 16:24 . 2012-06-22 11:02	411452              c:\windows\ServiceProfiles\LocalService\AppData\Local\WPFFontCache_v0400-System.dat
- 2011-02-10 21:20 . 2012-06-21 21:40	397692              c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-System.dat
+ 2011-02-10 21:20 . 2012-06-22 11:02	397692              c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-System.dat
- 2011-05-29 16:24 . 2012-06-21 21:40	3121060              c:\windows\ServiceProfiles\LocalService\AppData\Local\WPFFontCache_v0400-S-1-5-21-272521431-3735504338-3595803933-1000-8192.dat
+ 2011-05-29 16:24 . 2012-06-22 11:02	3121060              c:\windows\ServiceProfiles\LocalService\AppData\Local\WPFFontCache_v0400-S-1-5-21-272521431-3735504338-3595803933-1000-8192.dat
- 2011-12-30 15:57 . 2012-06-21 21:40	1903884              c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-S-1-5-21-272521431-3735504338-3595803933-1000-8192.dat
+ 2011-12-30 15:57 . 2012-06-22 11:02	1903884              c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-S-1-5-21-272521431-3735504338-3595803933-1000-8192.dat
- 2011-12-30 15:57 . 2012-06-21 21:40	5903219              c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-S-1-5-21-272521431-3735504338-3595803933-1000-4096.dat
+ 2011-12-30 15:57 . 2012-06-22 11:02	5903219              c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-S-1-5-21-272521431-3735504338-3595803933-1000-4096.dat
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-10 1555968]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 138240]
"KiesHelper"="c:\program files (x86)\Samsung\Kies\KiesHelper.exe" [2011-11-08 929168]
"KiesTrayAgent"="c:\program files (x86)\Samsung\Kies\KiesTrayAgent.exe" [2011-11-08 3508624]
"KiesPDLR"="c:\program files (x86)\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe" [2011-11-08 21392]
"Skype"="c:\program files (x86)\Skype\Phone\Skype.exe" [2011-10-13 17351304]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\program files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-08-29 61440]
"Dell DataSafe Online"="c:\program files (x86)\Dell DataSafe Online\DataSafeOnline.exe" [2009-11-13 1807600]
"PDVDDXSrv"="c:\program files\CyberLink\PowerDVD DX\PDVDDXSrv.exe" [2008-05-23 128296]
"Dell Webcam Central"="c:\program files (x86)\Dell Webcam\Dell Webcam Central\WebcamDell.exe" [2008-11-11 442536]
"GrooveMonitor"="c:\program files (x86)\Microsoft Office\Office12\GrooveMonitor.exe" [2009-02-26 30040]
"QuickTime Task"="c:\program files (x86)\QuickTime\QTTask.exe" [2011-10-24 421888]
"avgnt"="c:\program files (x86)\Avira\AntiVir Desktop\avgnt.exe" [2012-05-08 348624]
"SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2011-06-09 254696]
"APSDaemon"="c:\program files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2011-09-27 59240]
"Garmin Lifetime Updater"="c:\program files (x86)\Garmin\Lifetime Updater\GarminLifetime.exe" [2012-01-06 1446760]
"Adobe Reader Speed Launcher"="c:\program files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2012-01-03 37296]
"Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-02 843712]
"Malwarebytes' Anti-Malware"="c:\program files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe" [2012-04-04 462408]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce]
"c:\program files (x86)\Dell DataSafe Local Backup\Components\DSUpdate\DSUpdate.exe"="c:\program files (x86)\Dell DataSafe Local Backup\Components\DSUpdate\DSUpdate.exe" [2011-09-18 560128]
"Launcher"="c:\program files (x86)\Dell DataSafe Local Backup\Components\Scheduler\Launcher.exe" [2011-01-13 165184]
.
c:\users\***\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - c:\program files (x86)\Microsoft Office\Office12\ONENOTEM.EXE [2009-2-26 97680]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Adobe Gamma Loader.lnk - c:\program files (x86)\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2010-2-8 113664]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32]
"mixer"=wdmaud.drv
.
R3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2012-06-14 257224]
S2 AESTFilters;Andrea ST Filters Service;c:\windows\System32\DriverStore\FileRepository\stwrt64.inf_15f4e438\AESTSr64.exe [x]
.
.
Inhalt des "geplante Tasks" Ordners
.
2012-06-22 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-12 10:52]
.
2012-06-22 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2011-01-01 19:55]
.
2012-06-22 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2011-01-01 19:55]
.
2012-06-11 c:\windows\Tasks\PCDoctorBackgroundMonitorTask.job
- c:\program files\Dell Support Center\uaclauncher.exe [2011-05-16 22:16]
.
2012-06-22 c:\windows\Tasks\SystemToolsDailyTest.job
- c:\program files\Dell Support Center\uaclauncher.exe [2011-05-16 22:16]
.
.
--------- X64 Entries -----------
.
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-11-25 1657128]
"Broadcom Wireless Manager UI"="c:\windows\system32\WLTRAY.exe" [2008-12-21 4119552]
"SysTrayApp"="c:\program files (x86)\IDT\WDM\sttray64.exe" [BU]
.
------- Zusätzlicher Suchlauf -------
.
uLocal Page = c:\windows\system32\blank.htm
uStart Page = hxxp://www.berlin.de/
mLocal Page = c:\windows\SysWOW64\blank.htm
IE: Nach Microsoft E&xel exportieren - c:\progra~2\MICROS~2\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.1.1 193.189.244.194 193.189.244.202
DPF: Garmin Communicator Plug-In - hxxps://static.garmincdn.com/gcp/ie/4.0.1.0/GarminAxControl_32.CAB
CLSID: {603d3801-bd81-11d0-a3a5-00c04fd706ec} - %SystemRoot%\SysWow64\browseui.dll
.
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\PCD5SRVC{048DBD20-445E8C82-05040104}]
"ImagePath"="\??\c:\progra~2\DELLSU~1\HWDiag\bin\PCD5SRVC_x64.pkms"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\PCDSRVC{1E208CE0-FB7451FF-06020101}_0]
"ImagePath"="\??\c:\program files\dell support center\pcdsrvc_x64.pkms"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_3_300_257_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_3_300_257_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_3_300_257.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.11"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_3_300_257.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_3_300_257.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_3_300_257.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\TypeLib\{D27CDB6B-AE6D-11CF-96B8-444553540000}]
@Denied: (A 2) (Everyone)
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\TypeLib\{D27CDB6B-AE6D-11CF-96B8-444553540000}\1.0]
@="Shockwave Flash"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\TypeLib\{FAB3E735-69C7-453B-A446-B6823C6DF1C9}]
@Denied: (A 2) (Everyone)
@=""
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\TypeLib\{FAB3E735-69C7-453B-A446-B6823C6DF1C9}\1.0]
@="FlashBroker"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes]
"SymbolicLinkValue"=hex(6):5c,00,52,00,45,00,47,00,49,00,53,00,54,00,52,00,59,
   00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,4f,00,46,00,\
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0003\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0004\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0005\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0006\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\program files\Dell\DellDock\DockLogin.exe
c:\program files (x86)\Avira\AntiVir Desktop\sched.exe
c:\program files (x86)\Avira\AntiVir Desktop\avguard.exe
c:\program files (x86)\Microsoft\BingBar\BBSvc.EXE
c:\program files (x86)\Microsoft\BingBar\SeaPort.EXE
c:\program files (x86)\Hotspot Shield\bin\openvpnas.exe
c:\program files (x86)\Hotspot Shield\HssWPR\hsssrv.exe
c:\program files (x86)\Hotspot Shield\bin\hsswd.exe
c:\program files (x86)\Common Files\Microsoft Shared\VS7DEBUG\mdm.exe
c:\program files (x86)\CyberLink\Shared Files\RichVideo.exe
c:\program files (x86)\Dell DataSafe Local Backup\sftservice.EXE
c:\program files (x86)\Dell DataSafe Local Backup\COMPONENTS\SCHEDULER\STSERVICE.EXE
c:\program files (x86)\Dell DataSafe Local Backup\Components\DSUpdate\DSUpd.exe
c:\program files (x86)\Dell DataSafe Local Backup\Toaster.exe
c:\windows\SysWOW64\conime.exe
c:\program files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-06-22  13:12:51 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2012-06-22 11:12
ComboFix2.txt  2012-06-22 04:38
.
Vor Suchlauf: 25 Verzeichnis(se), 44.044.238.848 Bytes frei
Nach Suchlauf: 25 Verzeichnis(se), 43.783.708.672 Bytes frei
.
- - End Of File - - 7AA175B4400D56A3869E8CFCC489BF96
Danke Ilka
__________________
Alt 22.06.2012, 12:25   #18
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Avira meldet W32/Patched.UA TR/ATRAPS.Gen2 und TR/Small.FI - Standard

Avira meldet W32/Patched.UA TR/ATRAPS.Gen2 und TR/Small.FI


Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:
ATTFilter
FCopy::
c:\windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6002.18005_none_2d69d4f782c83d8c\services.exe | c:\windows\system32\Services.exe
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________
__________________
Alt 22.06.2012, 13:07   #19
kjkjjj1108
 
Avira meldet W32/Patched.UA TR/ATRAPS.Gen2 und TR/Small.FI - Standard

Avira meldet W32/Patched.UA TR/ATRAPS.Gen2 und TR/Small.FI


Hallo Arne,
next LogFile

Code:
ATTFilter
ComboFix 12-06-21.03 - Ingo Buchholz 22.06.2012  13:34:43.3.2 - x64
Microsoft® Windows Vista™ Home Premium   6.0.6002.2.1252.49.1031.18.4090.2506 [GMT 2:00]
ausgeführt von:: c:\users\Ingo Buchholz\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\users\Ingo Buchholz\Desktop\CFScript.txt
AV: Avira Desktop *Disabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
SP: Avira Desktop *Disabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\users\Ingo Buchholz\AppData\Local\Temp\b3ac04aa-9413-4ecb-ac45-ed44495e62a6\CliSecureRT.dll
c:\users\INGOBU~1\AppData\Local\Temp\b3ac04aa-9413-4ecb-ac45-ed44495e62a6\CliSecureRT.dll
.
.
--------------- FCopy ---------------
.
c:\windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6002.18005_none_2d69d4f782c83d8c\services.exe --> c:\windows\system32\Services.exe
.
(((((((((((((((((((((((   Dateien erstellt von 2012-05-22 bis 2012-06-22  ))))))))))))))))))))))))))))))
.
.
2012-06-22 11:53 . 2012-06-22 11:53	--------	d-----w-	c:\users\Default\AppData\Local\temp
2012-06-22 05:23 . 2012-05-31 04:04	9013136	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{7B12B89B-B138-4288-93CF-87E602BF2BAE}\mpengine.dll
2012-06-21 09:56 . 2012-06-02 22:19	57880	----a-w-	c:\windows\system32\wuauclt.exe
2012-06-21 09:56 . 2012-06-02 22:19	44056	----a-w-	c:\windows\system32\wups2.dll
2012-06-21 09:56 . 2012-06-02 22:19	2428952	----a-w-	c:\windows\system32\wuaueng.dll
2012-06-21 09:56 . 2012-06-02 22:15	2622464	----a-w-	c:\windows\system32\wucltux.dll
2012-06-21 09:55 . 2012-06-02 22:19	38424	----a-w-	c:\windows\system32\wups.dll
2012-06-21 09:55 . 2012-06-02 22:19	35864	----a-w-	c:\windows\SysWow64\wups.dll
2012-06-21 09:55 . 2012-06-02 22:19	701976	----a-w-	c:\windows\system32\wuapi.dll
2012-06-21 09:55 . 2012-06-02 22:19	577048	----a-w-	c:\windows\SysWow64\wuapi.dll
2012-06-21 09:55 . 2012-06-02 22:15	99840	----a-w-	c:\windows\system32\wudriver.dll
2012-06-21 09:55 . 2012-06-02 22:12	88576	----a-w-	c:\windows\SysWow64\wudriver.dll
2012-06-21 09:54 . 2012-06-02 13:19	186752	----a-w-	c:\windows\system32\wuwebv.dll
2012-06-21 09:54 . 2012-06-02 13:19	171904	----a-w-	c:\windows\SysWow64\wuwebv.dll
2012-06-21 09:54 . 2012-06-02 13:15	36864	----a-w-	c:\windows\system32\wuapp.exe
2012-06-21 09:54 . 2012-06-02 13:12	33792	----a-w-	c:\windows\SysWow64\wuapp.exe
2012-06-21 09:54 . 2012-06-21 09:54	--------	d-----w-	C:\_OTL
2012-06-20 09:57 . 2012-06-20 09:57	--------	d-sh--w-	c:\windows\system32\%APPDATA%
2012-06-15 18:58 . 2012-06-15 18:58	--------	d-----w-	c:\program files (x86)\ESET
2012-06-15 17:35 . 2012-06-15 17:35	--------	d-----w-	c:\users\Ingo Buchholz\AppData\Roaming\Malwarebytes
2012-06-15 17:35 . 2012-06-15 17:35	--------	d-----w-	c:\programdata\Malwarebytes
2012-06-15 17:35 . 2012-06-15 17:35	--------	d-----w-	c:\program files (x86)\Malwarebytes' Anti-Malware
2012-06-15 17:35 . 2012-04-04 13:56	24904	----a-w-	c:\windows\system32\drivers\mbam.sys
2012-06-13 17:06 . 2012-05-01 14:29	209920	----a-w-	c:\windows\system32\drivers\rdpwd.sys
2012-06-13 17:06 . 2012-05-15 20:15	2767360	----a-w-	c:\windows\system32\win32k.sys
2012-06-13 17:06 . 2012-04-23 16:25	174592	----a-w-	c:\windows\system32\cryptsvc.dll
2012-06-13 17:06 . 2012-04-23 16:25	132096	----a-w-	c:\windows\system32\cryptnet.dll
2012-06-13 17:06 . 2012-04-23 16:25	1267200	----a-w-	c:\windows\system32\crypt32.dll
2012-06-13 17:06 . 2012-04-23 16:00	984064	----a-w-	c:\windows\SysWow64\crypt32.dll
2012-06-13 17:06 . 2012-04-23 16:00	98304	----a-w-	c:\windows\SysWow64\cryptnet.dll
2012-06-13 17:06 . 2012-04-23 16:00	133120	----a-w-	c:\windows\SysWow64\cryptsvc.dll
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-06-14 10:52 . 2012-04-12 07:33	426184	----a-w-	c:\windows\SysWow64\FlashPlayerApp.exe
2012-06-14 10:52 . 2011-08-14 20:13	70344	----a-w-	c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2012-05-08 17:53 . 2011-10-23 20:08	132832	----a-w-	c:\windows\system32\drivers\avipbb.sys
2012-05-08 17:53 . 2011-10-23 20:08	98848	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2012-05-06 17:28 . 2012-04-12 08:36	8744608	----a-w-	c:\windows\SysWow64\FlashPlayerInstaller.exe
2012-04-03 08:22 . 2012-05-11 18:11	4699520	----a-w-	c:\windows\system32\ntoskrnl.exe
2012-03-30 12:45 . 2012-05-11 18:12	1423744	----a-w-	c:\windows\system32\drivers\tcpip.sys
2009-08-16 11:08 . 2009-09-09 16:19	34119048	----a-w-	c:\program files\avira_antivir_personal_de.exe
.
.
(((((((((((((((((((((((((((((   SnapShot@2012-06-22_04.33.51   )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-01-21 03:20 . 2012-06-22 11:54	32768              c:\windows\SysWOW64\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
- 2008-01-21 03:20 . 2012-06-21 21:40	32768              c:\windows\SysWOW64\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2008-01-21 03:20 . 2012-06-22 11:54	65536              c:\windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
- 2008-01-21 03:20 . 2012-06-21 21:40	65536              c:\windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
+ 2008-01-21 03:20 . 2012-06-22 11:54	32768              c:\windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
- 2008-01-21 03:20 . 2012-06-21 21:40	32768              c:\windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2008-01-21 02:23 . 2012-06-22 11:57	76488              c:\windows\system32\WDI\ShutdownPerformanceDiagnostics_SystemData.bin
+ 2009-08-27 19:05 . 2012-06-22 11:57	21642              c:\windows\system32\WDI\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-272521431-3735504338-3595803933-1000_UserData.bin
+ 2012-06-22 11:54 . 2012-06-22 11:54	2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
- 2012-06-21 21:40 . 2012-06-21 21:40	2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
- 2012-06-21 21:40 . 2012-06-21 21:40	2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
+ 2012-06-22 11:54 . 2012-06-22 11:54	2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
+ 2006-11-02 15:45 . 2012-06-22 11:57	114044              c:\windows\system32\WDI\BootPerformanceDiagnostics_SystemData.bin
- 2006-11-02 12:46 . 2012-06-21 21:47	599150              c:\windows\system32\perfh009.dat
+ 2006-11-02 12:46 . 2012-06-22 11:10	599150              c:\windows\system32\perfh009.dat
+ 2008-01-21 11:09 . 2012-06-22 11:10	632502              c:\windows\system32\perfh007.dat
- 2008-01-21 11:09 . 2012-06-21 21:47	632502              c:\windows\system32\perfh007.dat
+ 2006-11-02 12:46 . 2012-06-22 11:10	105164              c:\windows\system32\perfc009.dat
- 2006-11-02 12:46 . 2012-06-21 21:47	105164              c:\windows\system32\perfc009.dat
+ 2008-01-21 11:09 . 2012-06-22 11:10	127714              c:\windows\system32\perfc007.dat
- 2008-01-21 11:09 . 2012-06-21 21:47	127714              c:\windows\system32\perfc007.dat
+ 2011-05-29 16:24 . 2012-06-22 11:53	411452              c:\windows\ServiceProfiles\LocalService\AppData\Local\WPFFontCache_v0400-System.dat
- 2011-05-29 16:24 . 2012-06-21 21:40	411452              c:\windows\ServiceProfiles\LocalService\AppData\Local\WPFFontCache_v0400-System.dat
- 2011-02-10 21:20 . 2012-06-21 21:40	397692              c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-System.dat
+ 2011-02-10 21:20 . 2012-06-22 11:53	397692              c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-System.dat
+ 2011-05-29 16:24 . 2012-06-22 11:53	3121060              c:\windows\ServiceProfiles\LocalService\AppData\Local\WPFFontCache_v0400-S-1-5-21-272521431-3735504338-3595803933-1000-8192.dat
- 2011-05-29 16:24 . 2012-06-21 21:40	3121060              c:\windows\ServiceProfiles\LocalService\AppData\Local\WPFFontCache_v0400-S-1-5-21-272521431-3735504338-3595803933-1000-8192.dat
- 2011-12-30 15:57 . 2012-06-21 21:40	1903884              c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-S-1-5-21-272521431-3735504338-3595803933-1000-8192.dat
+ 2011-12-30 15:57 . 2012-06-22 11:53	1903884              c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-S-1-5-21-272521431-3735504338-3595803933-1000-8192.dat
+ 2011-12-30 15:57 . 2012-06-22 11:53	5903219              c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-S-1-5-21-272521431-3735504338-3595803933-1000-4096.dat
- 2011-12-30 15:57 . 2012-06-21 21:40	5903219              c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-S-1-5-21-272521431-3735504338-3595803933-1000-4096.dat
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-10 1555968]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 138240]
"KiesHelper"="c:\program files (x86)\Samsung\Kies\KiesHelper.exe" [2011-11-08 929168]
"KiesTrayAgent"="c:\program files (x86)\Samsung\Kies\KiesTrayAgent.exe" [2011-11-08 3508624]
"KiesPDLR"="c:\program files (x86)\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe" [2011-11-08 21392]
"Skype"="c:\program files (x86)\Skype\Phone\Skype.exe" [2011-10-13 17351304]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\program files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-08-29 61440]
"Dell DataSafe Online"="c:\program files (x86)\Dell DataSafe Online\DataSafeOnline.exe" [2009-11-13 1807600]
"PDVDDXSrv"="c:\program files\CyberLink\PowerDVD DX\PDVDDXSrv.exe" [2008-05-23 128296]
"Dell Webcam Central"="c:\program files (x86)\Dell Webcam\Dell Webcam Central\WebcamDell.exe" [2008-11-11 442536]
"GrooveMonitor"="c:\program files (x86)\Microsoft Office\Office12\GrooveMonitor.exe" [2009-02-26 30040]
"QuickTime Task"="c:\program files (x86)\QuickTime\QTTask.exe" [2011-10-24 421888]
"avgnt"="c:\program files (x86)\Avira\AntiVir Desktop\avgnt.exe" [2012-05-08 348624]
"SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2011-06-09 254696]
"APSDaemon"="c:\program files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2011-09-27 59240]
"Garmin Lifetime Updater"="c:\program files (x86)\Garmin\Lifetime Updater\GarminLifetime.exe" [2012-01-06 1446760]
"Adobe Reader Speed Launcher"="c:\program files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2012-01-03 37296]
"Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-02 843712]
"Malwarebytes' Anti-Malware"="c:\program files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe" [2012-04-04 462408]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce]
"c:\program files (x86)\Dell DataSafe Local Backup\Components\DSUpdate\DSUpdate.exe"="c:\program files (x86)\Dell DataSafe Local Backup\Components\DSUpdate\DSUpdate.exe" [2011-09-18 560128]
"Launcher"="c:\program files (x86)\Dell DataSafe Local Backup\Components\Scheduler\Launcher.exe" [2011-01-13 165184]
.
c:\users\Ingo Buchholz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - c:\program files (x86)\Microsoft Office\Office12\ONENOTEM.EXE [2009-2-26 97680]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Adobe Gamma Loader.lnk - c:\program files (x86)\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2010-2-8 113664]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32]
"mixer"=wdmaud.drv
.
R3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2012-06-14 257224]
S2 AESTFilters;Andrea ST Filters Service;c:\windows\System32\DriverStore\FileRepository\stwrt64.inf_15f4e438\AESTSr64.exe [x]
.
.
Inhalt des "geplante Tasks" Ordners
.
2012-06-22 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-12 10:52]
.
2012-06-22 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2011-01-01 19:55]
.
2012-06-22 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2011-01-01 19:55]
.
2012-06-11 c:\windows\Tasks\PCDoctorBackgroundMonitorTask.job
- c:\program files\Dell Support Center\uaclauncher.exe [2011-05-16 22:16]
.
2012-06-22 c:\windows\Tasks\SystemToolsDailyTest.job
- c:\program files\Dell Support Center\uaclauncher.exe [2011-05-16 22:16]
.
.
--------- X64 Entries -----------
.
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-11-25 1657128]
"Broadcom Wireless Manager UI"="c:\windows\system32\WLTRAY.exe" [2008-12-21 4119552]
"SysTrayApp"="c:\program files (x86)\IDT\WDM\sttray64.exe" [BU]
.
------- Zusätzlicher Suchlauf -------
.
uLocal Page = c:\windows\system32\blank.htm
uStart Page = hxxp://www.berlin.de/
mLocal Page = c:\windows\SysWOW64\blank.htm
IE: Nach Microsoft E&xel exportieren - c:\progra~2\MICROS~2\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.1.1 193.189.244.194 193.189.244.202
DPF: Garmin Communicator Plug-In - hxxps://static.garmincdn.com/gcp/ie/4.0.1.0/GarminAxControl_32.CAB
CLSID: {603d3801-bd81-11d0-a3a5-00c04fd706ec} - %SystemRoot%\SysWow64\browseui.dll
.
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\PCD5SRVC{048DBD20-445E8C82-05040104}]
"ImagePath"="\??\c:\progra~2\DELLSU~1\HWDiag\bin\PCD5SRVC_x64.pkms"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\PCDSRVC{1E208CE0-FB7451FF-06020101}_0]
"ImagePath"="\??\c:\program files\dell support center\pcdsrvc_x64.pkms"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_3_300_257_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_3_300_257_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_3_300_257.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.11"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_3_300_257.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_3_300_257.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_3_300_257.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\TypeLib\{D27CDB6B-AE6D-11CF-96B8-444553540000}]
@Denied: (A 2) (Everyone)
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\TypeLib\{D27CDB6B-AE6D-11CF-96B8-444553540000}\1.0]
@="Shockwave Flash"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\TypeLib\{FAB3E735-69C7-453B-A446-B6823C6DF1C9}]
@Denied: (A 2) (Everyone)
@=""
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\TypeLib\{FAB3E735-69C7-453B-A446-B6823C6DF1C9}\1.0]
@="FlashBroker"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes]
"SymbolicLinkValue"=hex(6):5c,00,52,00,45,00,47,00,49,00,53,00,54,00,52,00,59,
   00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,4f,00,46,00,\
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0003\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0004\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0005\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0006\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\program files\Dell\DellDock\DockLogin.exe
c:\program files (x86)\Avira\AntiVir Desktop\sched.exe
c:\program files (x86)\Avira\AntiVir Desktop\avguard.exe
c:\program files (x86)\Microsoft\BingBar\BBSvc.EXE
c:\program files (x86)\Microsoft\BingBar\SeaPort.EXE
c:\program files (x86)\Hotspot Shield\bin\openvpnas.exe
c:\program files (x86)\Hotspot Shield\HssWPR\hsssrv.exe
c:\program files (x86)\Hotspot Shield\bin\hsswd.exe
c:\program files (x86)\Common Files\Microsoft Shared\VS7DEBUG\mdm.exe
c:\program files (x86)\CyberLink\Shared Files\RichVideo.exe
c:\program files (x86)\Dell DataSafe Local Backup\sftservice.EXE
c:\program files (x86)\Dell DataSafe Local Backup\COMPONENTS\SCHEDULER\STSERVICE.EXE
c:\program files (x86)\Dell DataSafe Local Backup\Components\DSUpdate\DSUpd.exe
c:\program files (x86)\Dell DataSafe Local Backup\Toaster.exe
c:\program files (x86)\Hotspot Shield\bin\openvpntray.exe
c:\program files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-06-22  14:03:43 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2012-06-22 12:03
ComboFix2.txt  2012-06-22 11:12
ComboFix3.txt  2012-06-22 04:38
.
Vor Suchlauf: 24 Verzeichnis(se), 43.823.046.656 Bytes frei
Nach Suchlauf: 25 Verzeichnis(se), 43.572.719.616 Bytes frei
.
- - End Of File - - 2CD73EAF8B086227CB751AFBE1DEAD1F

Alt 22.06.2012, 13:29   #20
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Avira meldet W32/Patched.UA TR/ATRAPS.Gen2 und TR/Small.FI - Standard

Avira meldet W32/Patched.UA TR/ATRAPS.Gen2 und TR/Small.FI


Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM!

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.
  • Starte die aswMBR.exe - (aswMBR.exe Anleitung)
    Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
  • Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
    Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  • Klicke auf Scan.
  • Warte bitte bis Scan finished successfully im DOS-Fenster steht.
  • Drücke auf Save Log und speichere diese auf dem Desktop.
Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).



Noch ein Hinweis: Sollte aswMBR abstürzen und es kommt eine Meldung wie "aswMBR.exe funktioniert nicht mehr, dann mach Folgendes:
Starte aswMBR neu, wähle unten links im Drop-Down-Menü (unten links im Fenster von aswMBR) bei "AV scan" (none) aus und klick nochmal auf den Scan-Button.

__________________
Logfiles bitte immer in CODE-Tags posten

Alt 22.06.2012, 16:00   #21
kjkjjj1108
 
Avira meldet W32/Patched.UA TR/ATRAPS.Gen2 und TR/Small.FI - Standard

Avira meldet W32/Patched.UA TR/ATRAPS.Gen2 und TR/Small.FI


Hallo Arne,

hier der GMER Log-File. OSAM lässt mich nicht speichern und ich weiß nicht, ob ich weitermachen darf...

Code:
ATTFilter
GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2012-06-22 16:04:16
Windows 6.0.6002 Service Pack 2 
Running: upgbf7gr.exe


---- Registry - GMER 1.0.15 ----

Reg  HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC                                    
Reg  HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0                                 C:\Program Files (x86)\DAEMON Tools Lite\
Reg  HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0                                 0xD4 0xC3 0x97 0x02 ...
Reg  HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                                 0
Reg  HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                              0x74 0x95 0x74 0x3B ...
Reg  HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001                           
Reg  HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0                        0x20 0x01 0x00 0x00 ...
Reg  HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12                     0xE6 0x2A 0xAD 0x34 ...
Reg  HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0                      
Reg  HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12                0x3A 0xCA 0xAB 0xB8 ...
Reg  HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)                
Reg  HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0                                     C:\Program Files (x86)\DAEMON Tools Lite\
Reg  HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0                                     0xD4 0xC3 0x97 0x02 ...
Reg  HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                                     0
Reg  HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                                  0x74 0x95 0x74 0x3B ...
Reg  HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)       
Reg  HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0                            0x20 0x01 0x00 0x00 ...
Reg  HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12                         0xE6 0x2A 0xAD 0x34 ...
Reg  HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)  
Reg  HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12                    0x3A 0xCA 0xAB 0xB8 ...

---- EOF - GMER 1.0.15 ----

Alt 24.06.2012, 15:24   #22
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Avira meldet W32/Patched.UA TR/ATRAPS.Gen2 und TR/Small.FI - Standard

Avira meldet W32/Patched.UA TR/ATRAPS.Gen2 und TR/Small.FI


OSAM funktioniert nicht immer auf einem 64-Bit-Windows.
Lass das dann einfach weg. Aber aswMBR brauch ich noch
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 25.06.2012, 09:53   #23
kjkjjj1108
 
Avira meldet W32/Patched.UA TR/ATRAPS.Gen2 und TR/Small.FI - Standard

Avira meldet W32/Patched.UA TR/ATRAPS.Gen2 und TR/Small.FI


Guten morgen Arne,

habe jetzt 2 x aswMBR gestartet, aber irgendwann hört der scan immer auf (ca. 30 min. jeweils auf Fortsetzung gewartet).
Hier das bisherige Ergebnis (oder muss ich länger ausharren?):

Code:
ATTFilter
aswMBR version 0.9.9.1665 Copyright(c) 2011 AVAST Software
Run date: 2012-06-25 09:53:09
-----------------------------
09:53:09.640    OS Version: Windows x64 6.0.6002 Service Pack 2
09:53:09.640    Number of processors: 2 586 0x170A
09:53:09.640    ComputerName: MEPHISTO  UserName: 
09:53:11.371    Initialize success
09:53:24.444    AVAST engine defs: 12062401
09:53:31.745    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-1
09:53:31.745    Disk 0 Vendor: WDC_WD3200BJKT-75F4T0 11.01A11 Size: 305245MB BusType: 3
09:53:31.760    Disk 0 MBR read successfully
09:53:31.776    Disk 0 MBR scan
09:53:31.807    Disk 0 Windows VISTA default MBR code
09:53:31.823    Disk 0 Partition 1 00     DE Dell Utility Dell 8.0       39 MB offset 63
09:53:31.854    Disk 0 Partition 2 00     07    HPFS/NTFS NTFS        15000 MB offset 80325
09:53:31.885    Disk 0 Partition 3 80 (A) 07    HPFS/NTFS NTFS       290205 MB offset 30800325
09:53:31.994    Disk 0 scanning C:\Windows\system32\drivers
09:54:02.305    Service scanning
09:54:26.220    Modules scanning
09:54:26.220    Disk 0 trace - called modules:
09:54:26.267    ntoskrnl.exe CLASSPNP.SYS disk.sys ataport.SYS PCIIDEX.SYS hal.dll msahci.sys 
09:54:26.282    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa8005d74790]
09:54:26.282    3 CLASSPNP.SYS[fffffa6000dd1c33] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-1[0xfffffa8004bcd060]
09:54:28.342    AVAST engine scan C:\Windows
09:54:55.423    AVAST engine scan C:\Windows\system32
10:01:00.947    AVAST engine scan C:\Windows\system32\drivers
10:01:21.913    AVAST engine scan C:\Users\***
10:49:29.146    Disk 0 MBR has been saved successfully to "C:\Users\***\Desktop\MBR.dat"
10:49:29.161    The log file has been saved successfully to "C:\Users\***\Desktop\aswMBR.txt"
Danke Ilka

Oh weh! Ich war tatsächlich zu ungeduldig...
Hier also das komplette Log-File, sorry

Code:
ATTFilter
aswMBR version 0.9.9.1665 Copyright(c) 2011 AVAST Software
Run date: 2012-06-25 09:53:09
-----------------------------
09:53:09.640    OS Version: Windows x64 6.0.6002 Service Pack 2
09:53:09.640    Number of processors: 2 586 0x170A
09:53:09.640    ComputerName: MEPHISTO  UserName: 
09:53:11.371    Initialize success
09:53:24.444    AVAST engine defs: 12062401
09:53:31.745    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-1
09:53:31.745    Disk 0 Vendor: WDC_WD3200BJKT-75F4T0 11.01A11 Size: 305245MB BusType: 3
09:53:31.760    Disk 0 MBR read successfully
09:53:31.776    Disk 0 MBR scan
09:53:31.807    Disk 0 Windows VISTA default MBR code
09:53:31.823    Disk 0 Partition 1 00     DE Dell Utility Dell 8.0       39 MB offset 63
09:53:31.854    Disk 0 Partition 2 00     07    HPFS/NTFS NTFS        15000 MB offset 80325
09:53:31.885    Disk 0 Partition 3 80 (A) 07    HPFS/NTFS NTFS       290205 MB offset 30800325
09:53:31.994    Disk 0 scanning C:\Windows\system32\drivers
09:54:02.305    Service scanning
09:54:26.220    Modules scanning
09:54:26.220    Disk 0 trace - called modules:
09:54:26.267    ntoskrnl.exe CLASSPNP.SYS disk.sys ataport.SYS PCIIDEX.SYS hal.dll msahci.sys 
09:54:26.282    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa8005d74790]
09:54:26.282    3 CLASSPNP.SYS[fffffa6000dd1c33] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-1[0xfffffa8004bcd060]
09:54:28.342    AVAST engine scan C:\Windows
09:54:55.423    AVAST engine scan C:\Windows\system32
10:01:00.947    AVAST engine scan C:\Windows\system32\drivers
10:01:21.913    AVAST engine scan C:\Users\***
10:49:29.146    Disk 0 MBR has been saved successfully to "C:\Users\***\Desktop\MBR.dat"
10:49:29.161    The log file has been saved successfully to "C:\Users\***\Desktop\aswMBR.txt"


aswMBR version 0.9.9.1665 Copyright(c) 2011 AVAST Software
Run date: 2012-06-25 10:54:25
-----------------------------
10:54:25.976    OS Version: Windows x64 6.0.6002 Service Pack 2
10:54:25.976    Number of processors: 2 586 0x170A
10:54:25.976    ComputerName: MEPHISTO  UserName: 
10:54:27.489    Initialize success
10:54:38.518    AVAST engine defs: 12062401
10:54:42.418    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-1
10:54:42.434    Disk 0 Vendor: WDC_WD3200BJKT-75F4T0 11.01A11 Size: 305245MB BusType: 3
10:54:42.652    Disk 0 MBR read successfully
10:54:42.668    Disk 0 MBR scan
10:54:42.683    Disk 0 Windows VISTA default MBR code
10:54:42.714    Disk 0 Partition 1 00     DE Dell Utility Dell 8.0       39 MB offset 63
10:54:42.746    Disk 0 Partition 2 00     07    HPFS/NTFS NTFS        15000 MB offset 80325
10:54:42.777    Disk 0 Partition 3 80 (A) 07    HPFS/NTFS NTFS       290205 MB offset 30800325
10:54:42.917    Disk 0 scanning C:\Windows\system32\drivers
10:55:37.642    Service scanning
10:55:59.856    Modules scanning
10:55:59.856    Disk 0 trace - called modules:
10:55:59.919    ntoskrnl.exe CLASSPNP.SYS disk.sys ataport.SYS PCIIDEX.SYS hal.dll msahci.sys 
10:55:59.919    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa8005d74790]
10:55:59.934    3 CLASSPNP.SYS[fffffa6000dd1c33] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-1[0xfffffa8004bcd060]
10:56:01.619    AVAST engine scan C:\Windows
10:57:08.153    AVAST engine scan C:\Windows\system32
11:03:27.742    AVAST engine scan C:\Windows\system32\drivers
11:03:42.219    AVAST engine scan C:\Users\***
12:19:16.546    AVAST engine scan C:\ProgramData
12:30:03.978    Scan finished successfully
12:47:34.778    Disk 0 MBR has been saved successfully to "C:\Users\***\Desktop\MBR.dat"
12:47:34.825    The log file has been saved successfully to "C:\Users\***\Desktop\aswMBR.txt"

Alt 25.06.2012, 11:53   #24
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Avira meldet W32/Patched.UA TR/ATRAPS.Gen2 und TR/Small.FI - Standard

Avira meldet W32/Patched.UA TR/ATRAPS.Gen2 und TR/Small.FI


Sieht ok aus. Wir sollten fast durch sein. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 25.06.2012, 17:13   #25
kjkjjj1108
 
Avira meldet W32/Patched.UA TR/ATRAPS.Gen2 und TR/Small.FI - Standard

Avira meldet W32/Patched.UA TR/ATRAPS.Gen2 und TR/Small.FI


Hallo Arne,

das sieht leider doch noch nicht so gut aus. Malwarebytes meldet immer noch den Rootkit:

Code:
ATTFilter
 Malwarebytes Anti-Malware  (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.06.25.06

Windows Vista Service Pack 2 x64 NTFS
Internet Explorer 9.0.8112.16421
*** :: MEPHISTO [Administrator]

Schutz: Deaktiviert

25.06.2012 13:55:56
mbam-log-2012-06-25 (15-24-32).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 453753
Laufzeit: 51 Minute(n), 4 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\_OTL\MovedFiles\06212012_115446\C_Windows\Installer\{f7dd053b-c2ec-720a-7e8c-7b757319021f}\U\800000cb.@ (Rootkit.0Access) -> Keine Aktion durchgeführt.

(Ende)

und SUPERAntiSpyware gibt 118 Meldungen für AdWare etc. raus
Code:
ATTFilter
SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 06/25/2012 at 04:59 PM

Application Version : 5.1.1002

Core Rules Database Version : 8790
Trace Rules Database Version: 6602

Scan type       : Complete Scan
Total Scan Time : 01:12:00

Operating System Information
Windows Vista Home Premium 64-bit, Service Pack 2 (Build 6.00.6002)
UAC On - Administrator

Memory items scanned      : 689
Memory threats detected   : 0
Registry items scanned    : 67778
Registry threats detected : 0
File items scanned        : 64954
File threats detected     : 118

Adware.Tracking Cookie
	C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\BXFTB8XN.txt [ /serving-sys.com ]
	C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\HCHK1UN8.txt [ /c.atdmt.com ]
	C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\NHRL1T0E.txt [ /ad.zanox.com ]
	C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\SVYO58AJ.txt [ /ad1.adfarm1.adition.com ]
	C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\M4F1GYTS.txt [ /bs.serving-sys.com ]
	C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\7KXWHQ7A.txt [ /apmebf.com ]
	C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\8IFIJWVS.txt [ /adfarm1.adition.com ]
	C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\N81B974Q.txt [ /www.zanox-affiliate.de ]
	C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\FKEARK4L.txt [ /imrworldwide.com ]
	C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\BMJXXZVM.txt [ /tracking.quisma.com ]
	C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\MEIVCF5K.txt [ /fastclick.net ]
	C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\2R4VKY2L.txt [ /zanox-affiliate.de ]
	C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\T0AF2D6W.txt [ /zanox.com ]
	C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\GXP8AIX3.txt [ /mediaplex.com ]
	C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\RX628NDO.txt [ /smartadserver.com ]
	C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\PUMK5UX3.txt [ /atdmt.com ]
	C:\USERS\***\AppData\Roaming\Microsoft\Windows\Cookies\Low\XFKC8JOU.txt [ Cookie:***@webmasterplan.com/ ]
	C:\USERS\***\AppData\Roaming\Microsoft\Windows\Cookies\Low\PAMQC7FJ.txt [ Cookie:***@tribalfusion.com/ ]
	C:\USERS\***\AppData\Roaming\Microsoft\Windows\Cookies\Low\ZMHUK8PR.txt [ Cookie:***@de.sitestat.com/ing-diba/de/ ]
	C:\USERS\***\AppData\Roaming\Microsoft\Windows\Cookies\Low\QJYYK65T.txt [ Cookie:***@tradedoubler.com/ ]
	C:\USERS\***\AppData\Roaming\Microsoft\Windows\Cookies\Low\KOCZ5RC3.txt [ Cookie:***@eas.apm.emediate.eu/ ]
	C:\USERS\***\AppData\Roaming\Microsoft\Windows\Cookies\Low\9O1KAYJ4.txt [ Cookie:***@bizrate.com/ ]
	C:\USERS\***\AppData\Roaming\Microsoft\Windows\Cookies\Low\MNR1XQWR.txt [ Cookie:***@ad.dyntracker.de/ ]
	C:\USERS\***\AppData\Roaming\Microsoft\Windows\Cookies\Low\71N6G3XS.txt [ Cookie:***@casalemedia.com/ ]
	C:\USERS\***\AppData\Roaming\Microsoft\Windows\Cookies\Low\X0DRULHW.txt [ Cookie:***@nl.sitestat.com/ns/ns/ ]
	C:\USERS\***\AppData\Roaming\Microsoft\Windows\Cookies\Low\GZCEOP2R.txt [ Cookie:***@yieldmanager.net/ ]
	C:\USERS\***\AppData\Roaming\Microsoft\Windows\Cookies\Low\1KS0P4Y1.txt [ Cookie:***@adxpose.com/ ]
	C:\USERS\***\AppData\Roaming\Microsoft\Windows\Cookies\Low\2743Z045.txt [ Cookie:***@www.burstnet.com/ ]
	C:\USERS\***\AppData\Roaming\Microsoft\Windows\Cookies\Low\7Z7AUJEX.txt [ Cookie:***@track.adform.net/ ]
	C:\USERS\***\AppData\Roaming\Microsoft\Windows\Cookies\Low\8Q9CAA6M.txt [ Cookie:***@a1.interclick.com/ ]
	C:\USERS\***\AppData\Roaming\Microsoft\Windows\Cookies\Low\GC0AS8U0.txt [ Cookie:***@e-2dj6wfl4kgdzwdo.stats.esomniture.com/ ]
	C:\USERS\***\AppData\Roaming\Microsoft\Windows\Cookies\Low\M22M0772.txt [ Cookie:***@traffictrack.de/ ]
	C:\USERS\***\AppData\Roaming\Microsoft\Windows\Cookies\Low\ZV45CBDW.txt [ Cookie:***@ads20.wwe-media.de/ ]
	C:\USERS\***\AppData\Roaming\Microsoft\Windows\Cookies\Low\NKLT91MV.txt [ Cookie:***@ad1.adfarm1.adition.com/ ]
	C:\USERS\***\AppData\Roaming\Microsoft\Windows\Cookies\Low\D7NMI1V2.txt [ Cookie:***@amazon-adsystem.com/ ]
	C:\USERS\***\AppData\Roaming\Microsoft\Windows\Cookies\Low\VED8LW3D.txt [ Cookie:***@clickfuse.com/ ]
	C:\USERS\***\AppData\Roaming\Microsoft\Windows\Cookies\Low\XFDPGJY0.txt [ Cookie:***@statcounter.com/ ]
	C:\USERS\***\AppData\Roaming\Microsoft\Windows\Cookies\Low\P1P876CA.txt [ Cookie:***@tracking.hermesworld.com/ ]
	C:\USERS\***\AppData\Roaming\Microsoft\Windows\Cookies\Low\83BQ71ZA.txt [ Cookie:***@e-2dj6wjlound5aho.stats.esomniture.com/ ]
	C:\USERS\***\AppData\Roaming\Microsoft\Windows\Cookies\Low\486PI4CA.txt [ Cookie:***@adtech.de/ ]
	C:\USERS\***\AppData\Roaming\Microsoft\Windows\Cookies\Low\MLEI6Z2V.txt [ Cookie:***@cbs.112.2o7.net/ ]
	C:\USERS\***\AppData\Roaming\Microsoft\Windows\Cookies\Low\CGBTT0OY.txt [ Cookie:***@doubleclick.net/ ]
	C:\USERS\***\AppData\Roaming\Microsoft\Windows\Cookies\Low\L72D4ZU2.txt [ Cookie:***@bs.serving-sys.com/ ]
	C:\USERS\***\AppData\Roaming\Microsoft\Windows\Cookies\Low\0ILS4VKP.txt [ Cookie:***@apmebf.com/ ]
	C:\USERS\***\AppData\Roaming\Microsoft\Windows\Cookies\Low\HUMTPXTI.txt [ Cookie:***@media6degrees.com/ ]
	C:\USERS\***\AppData\Roaming\Microsoft\Windows\Cookies\Low\7OCL47M7.txt [ Cookie:***@akamai.interclickproxy.com/ ]
	C:\USERS\***\AppData\Roaming\Microsoft\Windows\Cookies\Low\R8JKAITX.txt [ Cookie:***@www.zanox-affiliate.de/ ]
	C:\USERS\***\AppData\Roaming\Microsoft\Windows\Cookies\Low\DQ5ANA4K.txt [ Cookie:***@track.effiliation.com/servlet/ ]
	C:\USERS\***\AppData\Roaming\Microsoft\Windows\Cookies\Low\33DVRF7L.txt [ Cookie:***@imrworldwide.com/cgi-bin ]
	C:\USERS\***\AppData\Roaming\Microsoft\Windows\Cookies\Low\DRX3EYNK.txt [ Cookie:***@112.2o7.net/ ]
	C:\USERS\***\AppData\Roaming\Microsoft\Windows\Cookies\Low\KAJU8XW1.txt [ Cookie:***@tracking.quisma.com/ ]
	C:\USERS\***\AppData\Roaming\Microsoft\Windows\Cookies\Low\ZA6W79KV.txt [ Cookie:***@ru4.com/ ]
	C:\USERS\***\AppData\Roaming\Microsoft\Windows\Cookies\Low\DGZVREDS.txt [ Cookie:***@im.banner.t-online.de/ ]
	C:\USERS\***\AppData\Roaming\Microsoft\Windows\Cookies\Low\L43BE4IX.txt [ Cookie:***@bshg.122.2o7.net/ ]
	C:\USERS\***\AppData\Roaming\Microsoft\Windows\Cookies\Low\EX1Z1P6R.txt [ Cookie:***@paypal.112.2o7.net/ ]
	C:\USERS\***\AppData\Roaming\Microsoft\Windows\Cookies\Low\5VCNOFRG.txt [ Cookie:***@accounts.google.com/ ]
	C:\USERS\***\AppData\Roaming\Microsoft\Windows\Cookies\Low\IYM4EHMI.txt [ Cookie:***@youporn.com/ ]
	C:\USERS\***\AppData\Roaming\Microsoft\Windows\Cookies\Low\KV14OFR7.txt [ Cookie:***@stats.canalblog.com/ ]
	C:\USERS\***\AppData\Roaming\Microsoft\Windows\Cookies\Low\J6NSDKG6.txt [ Cookie:***@a.revenuemax.de/ ]
	C:\USERS\***\AppData\Roaming\Microsoft\Windows\Cookies\Low\FWED6C16.txt [ Cookie:***@zanox-affiliate.de/ ]
	C:\USERS\***\AppData\Roaming\Microsoft\Windows\Cookies\Low\8OZ0DOWV.txt [ Cookie:***@trackbay.de/ ]
	C:\USERS\***\AppData\Roaming\Microsoft\Windows\Cookies\Low\5DLSV4MI.txt [ Cookie:***@specificclick.net/ ]
	C:\USERS\***\AppData\Roaming\Microsoft\Windows\Cookies\Low\JP2JKL77.txt [ Cookie:***@adform.net/ ]
	C:\USERS\***\AppData\Roaming\Microsoft\Windows\Cookies\Low\3EEZOVK5.txt [ Cookie:***@stats.paypal.com/ ]
	C:\USERS\***\AppData\Roaming\Microsoft\Windows\Cookies\Low\FP4EKIX6.txt [ Cookie:***@deutschepostag.112.2o7.net/ ]
	C:\USERS\***\AppData\Roaming\Microsoft\Windows\Cookies\Low\40VVM5SA.txt [ Cookie:***@adviva.net/ ]
	C:\USERS\***\AppData\Roaming\Microsoft\Windows\Cookies\Low\NI2862TN.txt [ Cookie:***@www.thelabelfinder.com/ ]
	C:\USERS\***\AppData\Roaming\Microsoft\Windows\Cookies\Low\Y7N029EF.txt [ Cookie:***@collective-media.net/ ]
	C:\USERS\***\AppData\Roaming\Microsoft\Windows\Cookies\Low\YFKISXZT.txt [ Cookie:***@e-2dj6wjlyepc5sfo.stats.esomniture.com/ ]
	C:\USERS\***\AppData\Roaming\Microsoft\Windows\Cookies\Low\6IE7U7D1.txt [ Cookie:***@media.gan-online.com/ ]
	C:\USERS\***\AppData\Roaming\Microsoft\Windows\Cookies\Low\A6Y8Q1D9.txt [ Cookie:***@mediaplex.com/ ]
	C:\USERS\***\AppData\Roaming\Microsoft\Windows\Cookies\Low\98HI5ZEI.txt [ Cookie:***@statse.webtrendslive.com/ ]
	C:\USERS\***\AppData\Roaming\Microsoft\Windows\Cookies\Low\55WM6LY0.txt [ Cookie:***@smartadserver.com/ ]
	C:\USERS\***\AppData\Roaming\Microsoft\Windows\Cookies\Low\DM2J8TY2.txt [ Cookie:***@revsci.net/ ]
	C:\USERS\***\AppData\Roaming\Microsoft\Windows\Cookies\Low\WEFKUXLT.txt [ Cookie:***@advertising.com/ ]
	C:\USERS\***\AppData\Roaming\Microsoft\Windows\Cookies\Low\75UWMO1U.txt [ Cookie:***@ww251.smartadserver.com/ ]
	C:\USERS\***\AppData\Roaming\Microsoft\Windows\Cookies\Low\ZIYM8YCV.txt [ Cookie:***@aimfar.solution.weborama.fr/ ]
	C:\USERS\***\AppData\Roaming\Microsoft\Windows\Cookies\Low\LWE4UEFK.txt [ Cookie:***@ads.crakmedia.com/ ]
	C:\USERS\***\AppData\Roaming\Microsoft\Windows\Cookies\Low\0OQ85TA4.txt [ Cookie:***@ad2.adfarm1.adition.com/ ]
	C:\USERS\***\AppData\Roaming\Microsoft\Windows\Cookies\Low\TF2BHKCV.txt [ Cookie:***@ad.yieldmanager.com/ ]
	C:\USERS\***\AppData\Roaming\Microsoft\Windows\Cookies\Low\IC2KSVD0.txt [ Cookie:***@lucidmedia.com/ ]
	C:\USERS\***\AppData\Roaming\Microsoft\Windows\Cookies\Low\FW40AZFM.txt [ Cookie:***@thelabelfinder.com/ ]
	C:\USERS\***\AppData\Roaming\Microsoft\Windows\Cookies\Low\1SDCI2V3.txt [ Cookie:***@www.etracker.de/ ]
	C:\USERS\***\AppData\Roaming\Microsoft\Windows\Cookies\Low\JPI2I8SH.txt [ Cookie:***@weborama.fr/ ]
	C:\USERS\***\AppData\Roaming\Microsoft\Windows\Cookies\Low\JDFV3QHT.txt [ Cookie:***@www.fucking-hell.at/ ]
	C:\USERS\***\AppData\Roaming\Microsoft\Windows\Cookies\Low\AWRBXTKZ.txt [ Cookie:***@banners.victor.com/ ]
	C:\USERS\***\AppData\Roaming\Microsoft\Windows\Cookies\Low\100X6KAG.txt [ Cookie:***@e-2dj6wjl4qhdjgko.stats.esomniture.com/ ]
	C:\USERS\***\AppData\Roaming\Microsoft\Windows\Cookies\Low\KFB5LL54.txt [ Cookie:***@c.atdmt.com/ ]
	C:\USERS\***\AppData\Roaming\Microsoft\Windows\Cookies\Low\9OOSK8GE.txt [ Cookie:***@estat.com/ ]
	C:\USERS\***\AppData\Roaming\Microsoft\Windows\Cookies\Low\SXZSK8M4.txt [ Cookie:***@nl.sitestat.com/ns/ ]
	C:\USERS\***\AppData\Roaming\Microsoft\Windows\Cookies\Low\JSVXT74I.txt [ Cookie:***@guj.122.2o7.net/ ]
	C:\USERS\***\AppData\Roaming\Microsoft\Windows\Cookies\Low\68HPLEK5.txt [ Cookie:***@de.sitestat.com/tuev-sued/tuev-sued/ ]
	C:\USERS\***\AppData\Roaming\Microsoft\Windows\Cookies\Low\I58TQHYZ.txt [ Cookie:***@www.googleadservices.com/pagead/conversion/1069206476/ ]
	C:\USERS\***\AppData\Roaming\Microsoft\Windows\Cookies\Low\8OE3LV8F.txt [ Cookie:***@e-2dj6wclyapdzmfq.stats.esomniture.com/ ]
	C:\USERS\***\AppData\Roaming\Microsoft\Windows\Cookies\Low\1405VCGF.txt [ Cookie:***@xiti.com/ ]
	C:\USERS\***\AppData\Roaming\Microsoft\Windows\Cookies\Low\P3U8JP9N.txt [ Cookie:***@zedo.com/ ]
	C:\USERS\***\AppData\Roaming\Microsoft\Windows\Cookies\Low\6Y292Q2L.txt [ Cookie:***@server.adform.net/ ]
	C:\USERS\***\AppData\Roaming\Microsoft\Windows\Cookies\Low\Y2LZC960.txt [ Cookie:***@de.partypoker.com/ ]
	C:\USERS\***\AppData\Roaming\Microsoft\Windows\Cookies\Low\17P3UK83.txt [ Cookie:***@de.sitestat.com/haba/jako-o-de/ ]
	C:\USERS\***\AppData\Roaming\Microsoft\Windows\Cookies\Low\M0YHDESO.txt [ Cookie:***@tracking.tchibo.de/683553670525906/ ]
	C:\USERS\***\AppData\Roaming\Microsoft\Windows\Cookies\Low\0UTA4UDL.txt [ Cookie:***@tomtailor.dyntracker.com/ ]
	C:\USERS\***\AppData\Roaming\Microsoft\Windows\Cookies\Low\R3M7UJK8.txt [ Cookie:***@de.sitestat.com/idgcom-de/pcwelt/ ]
	C:\USERS\***\AppData\Roaming\Microsoft\Windows\Cookies\Low\N7LEDJF7.txt [ Cookie:***@e-2dj6wjmiwldpclq.stats.esomniture.com/ ]
	C:\USERS\***\AppData\Roaming\Microsoft\Windows\Cookies\Low\YAEA7LJM.txt [ Cookie:***@adultfriendfinder.com/ ]
	C:\USERS\***\AppData\Roaming\Microsoft\Windows\Cookies\Low\9OK3AJ85.txt [ Cookie:***@tracking.mobile.de/ ]
	C:\USERS\***\AppData\Roaming\Microsoft\Windows\Cookies\Low\CA7PJD80.txt [ Cookie:***@de.sitestat.com/haba/ ]
	C:\USERS\***\AppData\Roaming\Microsoft\Windows\Cookies\Low\8UK5P9PQ.txt [ Cookie:***@exoclick.com/ ]
	C:\USERS\***\AppData\Roaming\Microsoft\Windows\Cookies\Low\USB3QB9P.txt [ Cookie:***@e-2dj6wnmiqkdzcbp.stats.esomniture.com/ ]
	C:\USERS\***\Cookies\HCHK1UN8.txt [ Cookie:***@c.atdmt.com/ ]
	C:\USERS\***\Cookies\SVYO58AJ.txt [ Cookie:***@ad1.adfarm1.adition.com/ ]
	C:\USERS\***\Cookies\M4F1GYTS.txt [ Cookie:***@bs.serving-sys.com/ ]
	C:\USERS\***\Cookies\7KXWHQ7A.txt [ Cookie:***@apmebf.com/ ]
	C:\USERS\***\Cookies\N81B974Q.txt [ Cookie:***@www.zanox-affiliate.de/ ]
	C:\USERS\***\Cookies\FKEARK4L.txt [ Cookie:***@imrworldwide.com/cgi-bin ]
	C:\USERS\***\Cookies\BMJXXZVM.txt [ Cookie:***@tracking.quisma.com/ ]
	C:\USERS\***\Cookies\2R4VKY2L.txt [ Cookie:***@zanox-affiliate.de/ ]
	C:\USERS\***\Cookies\GXP8AIX3.txt [ Cookie:***@mediaplex.com/ ]
	C:\USERS\***\Cookies\RX628NDO.txt [ Cookie:***@smartadserver.com/ ]
Was nun?
Danke Ilka

Alt 25.06.2012, 19:41   #26
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Avira meldet W32/Patched.UA TR/ATRAPS.Gen2 und TR/Small.FI - Standard

Avira meldet W32/Patched.UA TR/ATRAPS.Gen2 und TR/Small.FI


Den Fund bei Malwarebytes kannst du ignorieren, da der nur in der Q von OTL steckt. Dort sind die Schädlingsdateien isoliert.

Sieht ok aus, da wurden nur Cookies gefunden.
Cookies sind keine Schädlinge direkt, aber es besteht die Gefahr der missbräuchlichen Verwendung (eindeutige Wiedererkennung zB für gezielte Werbung o.ä. => HTTP-Cookie )


Wegen Cookies und anderer Dinge im Web: Um die Pest von vornherein zu blocken (also TrackingCookies, Werbebanner etc.) müsstest du dir mal sowas wie MVPS Hosts File anschauen => Blocking Unwanted Parasites with a Hosts File - sinnvollerweise solltest du alle 4 Wochen mal bei MVPS nachsehen, ob er eine neue Hosts Datei herausgebracht hat.

Ansonsten gibt es noch gute Cookiemanager, Erweiterungen für den Firefox zB wäre da CookieCuller http://filepony.de/download-cookie_culler/
Wenn du aber damit leben kannst, dich bei jeder Browsersession überall neu einzuloggen (zB Facebook, Ebay, GMX, oder auch Trojaner-Board) dann stell den Browser einfach so ein, dass einfach alles beim Beenden des Browser inkl. Cookies gelöscht wird.

Ich halte es so, dass ich zum "wilden Surfen" den Opera-Browser oder Chromium unter meinem Linux verwende. Mein Hauptbrowser (Firefox) speichert nur die Cookies von den Sites die ich auch will, alles andere lehne ich manuell ab (der FF fragt mich immer) - die anderen Browser nehmen alles an Cookies zwar an, aber spätestens beim nächsten Start von Opera oder Chromium sind keine Cookies mehr da.

Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme?
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 25.06.2012, 19:53   #27
kjkjjj1108
 
Avira meldet W32/Patched.UA TR/ATRAPS.Gen2 und TR/Small.FI - Standard

Avira meldet W32/Patched.UA TR/ATRAPS.Gen2 und TR/Small.FI


Vielen vielen Dank!
Da bin ich jetzt aber beruhigt.
was mache ich jetzt mit all den Scannern auf meinem Rechner und defogged ist er auch noch. Alles via "Programme" deinstallieren?

Hätte ich mein Problem (kam vermutlich mit einem Adobe Reader Update) irgendwie verhindern können?

Vielen Dank nochmal für Deine großartige Hilfe
Ilka

Alt 25.06.2012, 21:08   #28
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Avira meldet W32/Patched.UA TR/ATRAPS.Gen2 und TR/Small.FI - Standard

Avira meldet W32/Patched.UA TR/ATRAPS.Gen2 und TR/Small.FI


Dann wären wir durch!

Die Programme, die hier zum Einsatz kamen, können alle wieder runter. Mit Hilfe von OTL kannst du auch viele Tools entfernen:

Starte bitte OTL und klicke auf Bereinigung.
Dies wird die meisten Tools entfernen, die wir zur Bereinigung benötigt haben. Sollte etwas bestehen bleiben, bitte mit Rechtsklick --> Löschen entfernen.


Malwarebytes zu behalten ist zu empfehlen. Kannst ja 1x im Monat damit einen Vollscan machen, aber immer vorher ans Update denken.


Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update


PDF-Reader aktualisieren
Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast)

Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, die sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers:

Adobe - Andere Version des Adobe Flash Player installieren

Notfalls kann man auch von Chip.de runterladen => http://filepony.de/?q=Flash+Player

Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind.


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 26.06.2012, 20:04   #29
kjkjjj1108
 
Avira meldet W32/Patched.UA TR/ATRAPS.Gen2 und TR/Small.FI - Standard

Avira meldet W32/Patched.UA TR/ATRAPS.Gen2 und TR/Small.FI


Hallo Arne,
Juhuuu! Allet wieder schick.
Leider kriege ich jetzt allerdings den Flashplayer nicht mehr installiert, da die aktuelle Version nicht 64bit-fähig ist. Was kann ich tun?

Ist jetzt eigentlich der "defogger"-Zustand wieder aufgehoben? Oder muss ich noch etwas machen obwohl ich OTL ausgeführt habe?

Danke Ilka

Alt 27.06.2012, 11:42   #30
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Avira meldet W32/Patched.UA TR/ATRAPS.Gen2 und TR/Small.FI - Standard

Avira meldet W32/Patched.UA TR/ATRAPS.Gen2 und TR/Small.FI


Von hier sollte es gehen => Adobe Flash Player Distribution | Adobe
__________________
Logfiles bitte immer in CODE-Tags posten

Antwort
Seite 2 von 2 1 2

Themen zu Avira meldet W32/Patched.UA TR/ATRAPS.Gen2 und TR/Small.FI
7-zip, autorun, avira, bho, bingbar, browser, call of duty, dateisystem, desktop, device driver, error, fehler, firefox, flash player, frage, google, google earth, helper, heuristiks/extra, heuristiks/shuriken, home, hotspot, hotspot shield, install.exe, internet, internet explorer, logfile, microsoft office word, mp3, nt.dll, office 2007, plug-in, programm, registry, searchscopes, senden, software, usb, verweise, vista, warnung, windows, world at war


« Hijack.Userinit (verschlüsslungs trojaner mit backdoor) keine Sicherung meines Systems :( | Avira - TR/ATRAPS.Gen2 »


Ähnliche Themen: Avira meldet W32/Patched.UA TR/ATRAPS.Gen2 und TR/Small.FI


  1. Avira Antivir meldet Malware: PUA/DownlaodGuide.Gen und TR/Patched.Ren.Gen2
    Log-Analyse und Auswertung - 19.03.2015 (15)
  2. Avira meldet TR/Jorik.Totem.vz, TR/ATRAPS.Gen2, T/ATRAPS.Gen
    Plagegeister aller Art und deren Bekämpfung - 27.10.2013 (50)
  3. Avira AntiVir meldet Atraps/Gen und Gen2
    Log-Analyse und Auswertung - 09.08.2013 (3)
  4. Avira meldet W32/Patched.UC, TR/ATRAPS.Gen2, TR/Gendal.15360, JAVA/Joegek.KY, BDS/ZAccess.AY, EXP/CVE-2012-1723
    Log-Analyse und Auswertung - 27.05.2013 (9)
  5. Avira findet TR/Sirefef.16896 und TR/ATRAPS.Gen und TR/ATRAPS.Gen2 in Windows\Installer und W32/Patched.UA in Windows\System32\service.exe
    Plagegeister aller Art und deren Bekämpfung - 14.11.2012 (23)
  6. Avira meldet TR/ZAccess.H , TR/Sirefef.A.37 , TR/ATRAPS.Gen und TR/ATRAPS.Gen2
    Plagegeister aller Art und deren Bekämpfung - 17.10.2012 (2)
  7. Avira meldet ständig Befall mit Tr/atraps.gen2
    Plagegeister aller Art und deren Bekämpfung - 13.10.2012 (13)
  8. W32/Patched.UA in "C:\Windows\System32\services.exe" + TR/Small.FI, TR/ATRAPS.Gen und TR/ATRAPS.GEN2
    Plagegeister aller Art und deren Bekämpfung - 26.08.2012 (2)
  9. Avira meldet TR/ATRAPS.Gen, ...Gen2, W32/Patched.UA und TR/Jorik.Totem.vz
    Plagegeister aller Art und deren Bekämpfung - 15.08.2012 (1)
  10. Avira meldet TR/ATRAPS.Gen, TR/ATRAPS.Gen2 und BDS/ZAccess.wjr
    Log-Analyse und Auswertung - 01.08.2012 (1)
  11. AVIRA meldet "W32/Patched.ZA", "TR/ATRAPS.Gen2", "TR/ATRAPS.Gen", "ZR/sirefe.P.487"
    Log-Analyse und Auswertung - 30.07.2012 (9)
  12. TR/Small.FI, TR/ATRAPS.Gen, TR/ATRAPS.GEN2 und W32/Patched.UA in "C:\Windows\System32\services.exe"
    Plagegeister aller Art und deren Bekämpfung - 04.07.2012 (15)
  13. Avira ANtivir meldet Befall durch: tr/atraps.gen & tr atraps.gen2
    Plagegeister aller Art und deren Bekämpfung - 03.07.2012 (3)
  14. TR/Atraps.Gen2 TR/Sirefef.AG.35 TR/Small.FI - Gmer meldet Rootkit Aktivität
    Plagegeister aller Art und deren Bekämpfung - 28.06.2012 (8)
  15. Atraps.gen2 und W32/patched.ub durch Avira gefunden
    Plagegeister aller Art und deren Bekämpfung - 26.06.2012 (1)
  16. Avira meldet Trojaner: TR/Sirefef.GC.1; TR/Small.FI und TR/ATRAPS.Gen2
    Plagegeister aller Art und deren Bekämpfung - 15.06.2012 (3)
  17. Avira meldet Trojaner ATRAPS.GEN2 und Sirefef.AG.35
    Plagegeister aller Art und deren Bekämpfung - 12.06.2012 (27)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Avira meldet W32/Patched.UA TR/ATRAPS.Gen2 und TR/Small.FI - Combofix - Scripten 1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. Code: Alles - Avira meldet W32/Patched.UA TR/ATRAPS.Gen2 und TR/Small.FI...
Archiv
Du betrachtest: Avira meldet W32/Patched.UA TR/ATRAPS.Gen2 und TR/Small.FI auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55