Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Trojaner TR/ATRAPS.Gen in C:/Windows/Installer/... - wer hilft mir bitte, ihn auszulöschen?

Trojaner TR/ATRAPS.Gen in C:/Windows/Installer/... - wer hilft mir bitte, ihn auszulöschen?


Log-Analyse und Auswertung: Trojaner TR/ATRAPS.Gen in C:/Windows/Installer/... - wer hilft mir bitte, ihn auszulöschen?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 04.07.2012, 13:06   #1
Anne Mai
 
Trojaner TR/ATRAPS.Gen in C:/Windows/Installer/... - wer hilft mir bitte, ihn auszulöschen? - Standard

Trojaner TR/ATRAPS.Gen in C:/Windows/Installer/... - wer hilft mir bitte, ihn auszulöschen?


Hallo!
Erstmal ein dickes Danke an alle fleißigen Helfer hier!
Seit heute Nacht findet Avira bei mir den Trojaner AR/ATRAPS.Gen unter C:\WINDOWS\Installer\{5ab4a4f5-03fb-d6c0-8ce7-22d0618bc2bd}\U\80000000.@
[FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '52855d61.qua' verschoben!

Mein Computer ist Microsoft Windows XP Professional von Acer.

Hier der Report von Malwarebytes Anti-Malware :
Zitat:
Infizierte Dateiobjekte der Registrierung: 1
HKCR\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32| (Trojan.Zaccess) -> Bösartig: (\\.\globalroot\systemroot\Installer\{5ab4a4f5-03fb-d6c0-8ce7-22d0618bc2bd}\n.) Gut: (wbemess.dll) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 3
C:\Dokumente und Einstellungen\**Anne Mai**\Lokale Einstellungen\Anwendungsdaten\{5ab4a4f5-03fb-d6c0-8ce7-22d0618bc2bd}\n (Trojan.Dropper.PE4) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Installer\{5ab4a4f5-03fb-d6c0-8ce7-22d0618bc2bd}\n (Trojan.Dropper.PE4) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Installer\{5ab4a4f5-03fb-d6c0-8ce7-22d0618bc2bd}\U\800000cb.@ (Rootkit.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
Deffoger war erfolgreich


OTL:
Zitat:
OTL logfile created on: 04.07.2012 11:46:29 - Run 1
OTL by OldTimer - Version 3.2.53.1 Folder = C:\Dokumente und Einstellungen\**Anne Mai**\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.5512)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

1014,36 Mb Total Physical Memory | 527,20 Mb Available Physical Memory | 51,97% Memory free
2,85 Gb Paging File | 2,30 Gb Available in Paging File | 80,95% Paging File free
Paging file location(s): C:\pagefile.sys 2000 2500 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 52,71 Gb Total Space | 7,66 Gb Free Space | 14,54% Space Free | Partition Type: NTFS
Drive D: | 53,20 Gb Total Space | 9,36 Gb Free Space | 17,60% Space Free | Partition Type: FAT32
Drive F: | 465,65 Gb Total Space | 319,68 Gb Free Space | 68,65% Space Free | Partition Type: FAT32

Computer Name: ACER-747B59264E | User Name: **Anne Mai** | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days

========== Processes (SafeList) ==========

PRC - [2012.07.04 11:45:12 | 000,595,968 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\**Anne Mai**\Desktop\OTL.exe
PRC - [2012.05.08 14:58:35 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\sched.exe
PRC - [2012.05.08 14:58:33 | 000,348,624 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe
PRC - [2012.05.08 14:58:33 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe
PRC - [2012.05.08 14:58:33 | 000,080,336 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe
PRC - [2012.04.04 18:47:32 | 000,161,664 | ---- | M] (Oracle Corporation) -- C:\Programme\Oracle\JavaFX 2.1 Runtime\bin\jqs.exe
PRC - [2012.01.17 11:07:54 | 000,252,296 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
PRC - [2011.03.25 22:04:44 | 000,353,736 | ---- | M] (IncrediMail, Ltd.) -- C:\Programme\IncrediMail\Bin\IncMail.exe
PRC - [2011.03.25 22:04:44 | 000,255,432 | ---- | M] (IncrediMail, Ltd.) -- C:\Programme\IncrediMail\Bin\ImApp.exe
PRC - [2008.11.07 15:28:16 | 000,132,424 | ---- | M] (Apple Inc.) -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
PRC - [2008.04.14 04:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2007.10.17 19:59:44 | 000,858,632 | ---- | M] (Dritek System Inc.) -- C:\Programme\Launch Manager\LManager.exe
PRC - [2007.07.12 11:36:40 | 000,045,056 | ---- | M] (Acer Inc.) -- C:\Acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe
PRC - [2007.07.11 14:07:46 | 000,421,888 | ---- | M] (Acer Inc.) -- C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
PRC - [2007.07.05 12:35:54 | 000,094,208 | ---- | M] (sonix) -- C:\WINDOWS\PLFSetL.exe
PRC - [2007.07.04 11:44:00 | 000,475,136 | ---- | M] () -- C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
PRC - [2007.06.26 20:27:46 | 000,312,320 | ---- | M] (shbox.de) -- C:\Programme\FreePDF_XP\fpassist.exe
PRC - [2007.05.28 15:56:16 | 000,342,528 | ---- | M] (HiTRUST) -- C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
PRC - [2007.03.21 14:00:04 | 000,355,096 | ---- | M] (Intel Corporation) -- C:\Programme\Intel\Intel Matrix Storage Manager\IAANTmon.exe
PRC - [2007.03.21 14:00:00 | 000,174,872 | ---- | M] (Intel Corporation) -- C:\Programme\Intel\Intel Matrix Storage Manager\IAAnotif.exe
PRC - [2007.03.02 11:25:08 | 000,208,896 | ---- | M] (Acer Inc.) -- C:\Acer\Empowering Technology\ePresentation\ePresentation.exe
PRC - [2007.03.01 18:21:52 | 000,024,576 | ---- | M] ( ) -- C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
PRC - [2007.01.17 12:20:10 | 000,061,440 | ---- | M] (Hewlett-Packard Company) -- C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe


========== Modules (No Company Name) ==========

MOD - [2012.05.08 14:58:36 | 000,398,288 | ---- | M] () -- C:\Programme\Avira\AntiVir Desktop\sqlite3.dll
MOD - [2011.03.27 22:11:04 | 000,094,208 | ---- | M] () -- C:\Programme\FileZilla FTP Client\fzshellext.dll
MOD - [2011.03.25 22:04:46 | 000,071,112 | ---- | M] () -- C:\Programme\IncrediMail\Bin\wlessfp1.dll
MOD - [2011.03.25 22:04:45 | 000,267,720 | ---- | M] () -- C:\Programme\IncrediMail\Bin\ImLookExU.dll
MOD - [2011.03.25 22:04:44 | 000,132,552 | ---- | M] () -- C:\Programme\IncrediMail\Bin\ImComUtlU.dll
MOD - [2011.03.25 22:04:44 | 000,079,304 | ---- | M] () -- C:\Programme\IncrediMail\Bin\ImAppRU.dll
MOD - [2011.03.20 19:44:12 | 000,107,896 | ---- | M] () -- C:\Programme\IncrediMail\Bin\PMC.dll
MOD - [2008.04.14 04:22:16 | 000,014,336 | ---- | M] () -- C:\WINDOWS\system32\msdmo.dll
MOD - [2008.03.22 21:46:26 | 003,391,488 | ---- | M] () -- c:\windows\assembly\nativeimages1_v1.1.4322\mscorlib\1.0.5000.0__b77a5c561934e089_0767603c\mscorlib.dll
MOD - [2008.03.22 21:46:24 | 000,835,584 | ---- | M] () -- c:\windows\assembly\nativeimages1_v1.1.4322\system.drawing\1.0.5000.0__b03f5f7f11d50a3a_d920c263\system.drawing.dll
MOD - [2008.03.22 21:46:20 | 002,088,960 | ---- | M] () -- c:\windows\assembly\nativeimages1_v1.1.4322\system.xml\1.0.5000.0__b77a5c561934e089_c3d0e066\system.xml.dll
MOD - [2008.03.22 21:46:18 | 003,018,752 | ---- | M] () -- c:\windows\assembly\nativeimages1_v1.1.4322\system.windows.forms\1.0.5000.0__b77a5c561934e089_d1246391\system.windows.forms.dll
MOD - [2008.03.22 21:46:14 | 001,966,080 | ---- | M] () -- c:\windows\assembly\nativeimages1_v1.1.4322\system\1.0.5000.0__b77a5c561934e089_cbb7f07a\system.dll
MOD - [2008.03.22 21:46:08 | 001,232,896 | ---- | M] () -- c:\windows\assembly\gac\system\1.0.5000.0__b77a5c561934e089\system.dll
MOD - [2008.03.22 21:38:00 | 001,339,392 | ---- | M] () -- c:\windows\assembly\gac\system.xml\1.0.5000.0__b77a5c561934e089\system.xml.dll
MOD - [2008.03.22 21:38:00 | 000,466,944 | ---- | M] () -- c:\windows\assembly\gac\system.drawing\1.0.5000.0__b03f5f7f11d50a3a\system.drawing.dll
MOD - [2008.03.22 21:38:00 | 000,372,736 | ---- | M] () -- c:\windows\assembly\gac\system.management\1.0.5000.0__b03f5f7f11d50a3a\system.management.dll
MOD - [2008.03.22 21:38:00 | 000,323,584 | ---- | M] () -- c:\windows\assembly\gac\system.runtime.remoting\1.0.5000.0__b77a5c561934e089\system.runtime.remoting.dll
MOD - [2008.03.22 21:38:00 | 000,126,976 | ---- | M] () -- c:\windows\assembly\gac\system.serviceprocess\1.0.5000.0__b03f5f7f11d50a3a\system.serviceprocess.dll
MOD - [2008.03.22 21:37:58 | 002,052,096 | ---- | M] () -- c:\windows\assembly\gac\system.windows.forms\1.0.5000.0__b77a5c561934e089\system.windows.forms.dll
MOD - [2007.12.11 11:35:28 | 000,188,416 | ---- | M] () -- C:\Acer\Empowering Technology\eSettings\CPUID.dll
MOD - [2007.07.04 11:44:00 | 000,475,136 | ---- | M] () -- C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
MOD - [2007.05.28 15:30:30 | 000,032,768 | ---- | M] () -- c:\Acer\Empowering Technology\eDataSecurity\eDSCS2CClassLib.dll
MOD - [2007.04.06 01:56:30 | 000,356,352 | ---- | M] () -- C:\Acer\Empowering Technology\eRecovery\it41.dll
MOD - [2006.01.12 09:33:34 | 000,212,992 | ---- | M] () -- C:\Acer\Empowering Technology\eRecovery\imagefile.dll
MOD - [2005.10.20 17:20:24 | 000,208,896 | ---- | M] () -- C:\Acer\Empowering Technology\ePower\DialogDLL.dll
MOD - [2005.10.11 13:18:54 | 000,028,672 | ---- | M] () -- C:\Acer\Empowering Technology\ePower\SysHook.dll
MOD - [2005.01.06 18:33:30 | 000,116,224 | ---- | M] () -- C:\WINDOWS\system32\redmonnt.dll
MOD - [2003.06.07 22:30:08 | 000,057,344 | ---- | M] () -- C:\Programme\Launch Manager\PowerUtl.dll


========== Win32 Services (SafeList) ==========

SRV - [2012.05.08 14:58:35 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2012.05.08 14:58:33 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2012.04.04 18:47:32 | 000,161,664 | ---- | M] (Oracle Corporation) [Auto | Running] -- C:\Programme\Oracle\JavaFX 2.1 Runtime\bin\jqs.exe -- (JavaQuickStarterService)
SRV - [2008.11.07 15:28:16 | 000,132,424 | ---- | M] (Apple Inc.) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe -- (Apple Mobile Device)
SRV - [2007.06.27 18:04:00 | 000,279,848 | ---- | M] (Nero AG) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe -- (NMIndexingService)
SRV - [2007.03.26 13:06:24 | 000,292,864 | ---- | M] (Nokia.) [On_Demand | Stopped] -- C:\Programme\PC Connectivity Solution\ServiceLayer.exe -- (ServiceLayer)
SRV - [2007.03.21 14:00:04 | 000,355,096 | ---- | M] (Intel Corporation) [Auto | Running] -- C:\Programme\Intel\Intel Matrix Storage Manager\IAANTmon.exe -- (IAANTMON) Intel(R)
SRV - [2007.03.01 18:21:52 | 000,024,576 | ---- | M] ( ) [Auto | Running] -- C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe -- (eLockService)
SRV - [2007.01.17 12:20:10 | 000,061,440 | ---- | M] (Hewlett-Packard Company) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe -- (LightScribeService)
SRV - [2005.11.14 01:06:04 | 000,069,632 | ---- | M] (Macrovision Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe -- (IDriverT)


========== Driver Services (SafeList) ==========

DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ZTEusbser6k.sys -- (ZTEusbser6k)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ZTEusbnmea.sys -- (ZTEusbnmea)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ZTEusbmdm6k.sys -- (ZTEusbmdm6k)
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (WDICA)
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDRELI)
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDCOMP)
DRV - File not found [Kernel | System | Stopped] -- -- (PCIDump)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\massfilter.sys -- (massfilter)
DRV - File not found [Kernel | System | Stopped] -- -- (lbrtfdc)
DRV - File not found [Kernel | System | Stopped] -- -- (Changer)
DRV - [2012.05.08 14:58:36 | 000,137,928 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2012.05.08 14:58:36 | 000,083,392 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2011.12.15 16:00:00 | 000,036,000 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avkmgr.sys -- (avkmgr)
DRV - [2010.06.17 15:14:27 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2008.04.13 20:56:49 | 000,012,800 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\usb8023.sys -- (usb_rndis)
DRV - [2007.12.10 17:59:36 | 000,014,544 | ---- | M] (EnTech Taiwan) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\TVicPort.sys -- (tvicport)
DRV - [2007.12.10 17:59:36 | 000,006,080 | ---- | M] (Zeal SoftStudio) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\zntport.sys -- (zntport)
DRV - [2007.12.10 17:59:34 | 000,014,120 | ---- | M] (Acer, Inc.) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\int15.sys -- (int15)
DRV - [2007.10.01 14:59:46 | 001,769,984 | ---- | M] () [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\snp2uvc.sys -- (SNP2UVC) USB2.0 PC Camera (SNP2UVC)
DRV - [2007.09.21 06:26:48 | 001,123,328 | ---- | M] (Broadcom Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\BCMWL5.SYS -- (BCM43XX)
DRV - [2007.05.30 21:04:56 | 004,424,192 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM)
DRV - [2007.05.02 04:52:00 | 000,290,816 | ---- | M] (Texas Instruments) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\tifm21.sys -- (tifm21)
DRV - [2007.03.31 22:02:42 | 000,876,384 | ---- | M] (Broadcom Corporation.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\btkrnl.sys -- (BTKRNL)
DRV - [2007.03.31 22:02:40 | 000,055,352 | ---- | M] (Broadcom Corporation.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\btwhid.sys -- (btwhid)
DRV - [2007.03.23 19:50:42 | 000,067,960 | ---- | M] (Broadcom Corporation.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\btwusb.sys -- (BTWUSB)
DRV - [2007.03.23 19:50:24 | 000,149,123 | ---- | M] (Broadcom Corporation.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\btwdndis.sys -- (BTWDNDIS)
DRV - [2007.03.23 19:50:08 | 000,037,424 | ---- | M] (Broadcom Corporation.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\btport.sys -- (BTDriver)
DRV - [2007.03.23 19:49:54 | 000,539,072 | ---- | M] (Broadcom Corporation.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\btaudio.sys -- (btaudio)
DRV - [2007.02.22 10:15:56 | 000,137,216 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\nmwcd.sys -- (nmwcd)
DRV - [2007.02.22 10:15:14 | 000,012,288 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\nmwcdcm.sys -- (nmwcdcm)
DRV - [2007.02.22 10:15:14 | 000,012,288 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\nmwcdcj.sys -- (nmwcdcj)
DRV - [2007.02.22 10:15:14 | 000,008,320 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\nmwcdc.sys -- (nmwcdc)
DRV - [2007.02.16 16:46:00 | 000,160,256 | R--- | M] (Broadcom Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\b57xp32.sys -- (b57w2k)
DRV - [2006.12.22 20:56:44 | 000,988,800 | ---- | M] (Conexant Systems, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\HSF_DPV.sys -- (HSF_DPV)
DRV - [2006.12.22 20:56:00 | 000,209,664 | ---- | M] (Conexant Systems, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\HSFHWAZL.sys -- (HSFHWAZL)
DRV - [2006.12.22 20:55:56 | 000,730,112 | ---- | M] (Conexant Systems, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\HSF_CNXT.sys -- (winachsf)
DRV - [2005.01.13 14:46:16 | 000,069,632 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Acer\Empowering Technology\eRecovery\int15.sys -- (int15.sys)


========== Standard Registry (SafeList) ==========


========== Internet Explorer ==========

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://de.intl.acer.yahoo.com
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://de.intl.acer.yahoo.com

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = hxxp://de.rd.yahoo.com/customize/ycomp/defaults/sp/*hxxp://de.yahoo.com
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://start.icq.com/
IE - HKCU\..\URLSearchHook: - No CLSID value found
IE - HKCU\..\URLSearchHook: {d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0} - C:\Programme\IncrediMail_MediaBar_2\prxtbInc2.dll (Conduit Ltd.)
IE - HKCU\..\URLSearchHook: {e9911ec6-1bcc-40b0-9993-e0eea7f6953f} - SOFTWARE\Classes\CLSID\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}\InprocServer32 File not found
IE - HKCU\..\URLSearchHook: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found
IE - HKCU\..\SearchScopes,DefaultScope = {afdbddaa-5d3f-42ee-b79c-185a7020515b}
IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2269050
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local

========== FireFox ==========

FF - prefs.js..browser.search.defaultenginename: "ICQ Search"
FF - prefs.js..browser.search.defaultthis.engineName: "Search"
FF - prefs.js..browser.search.defaulturl: "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&SearchSource=3&q={searchTerms}"
FF - prefs.js..browser.search.selectedEngine: "Google"
FF - prefs.js..browser.search.update: false
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..browser.startup.homepage: "hxxp://reikifreude.plusboard.de/"
FF - prefs.js..extensions.enabledItems: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:0.7.5.5
FF - prefs.js..extensions.enabledItems: {ACAA314B-EEBA-48e4-AD47-84E31C44796C}:1.0.1
FF - prefs.js..extensions.enabledItems: {d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0}:2.7.2.0
FF - prefs.js..keyword.URL: "hxxp://search.icq.com/search/afe_results.php?ch_id=afex&tb_ver=1.1.9&q="
FF - user.js - File not found

FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_3_300_257.dll ()
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=: File not found
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=1.0: C:\Programme\iTunes\Mozilla Plugins\npitunes.dll ()
FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=10.4.1: C:\WINDOWS\system32\npDeployJava1.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin,version=10.4.1: C:\Programme\Oracle\JavaFX 2.1 Runtime\bin\plugin2\npjp2.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKCU\Software\MozillaPlugins\@www.flatcast.com/FlatViewer 5.2: C:\PROGRA~1\MOZILL~1\plugins\NpFv522.dll (1 mal 1 Software GmbH)

FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 4.0.1\extensions\\Components: C:\Programme\Mozilla Firefox\components [2011.06.12 22:06:01 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 4.0.1\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2012.02.12 22:40:55 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 2.0.0.16\extensions\\Components: C:\Programme\Mozilla Thunderbird\components [2009.02.20 10:56:28 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 2.0.0.16\extensions\\Plugins: C:\Programme\Mozilla Thunderbird\plugins [2012.02.12 22:40:56 | 000,000,000 | ---D | M]

[2008.07.30 10:00:15 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\**Anne Mai**\Anwendungsdaten\Mozilla\Extensions
[2011.11.05 23:31:01 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\**Anne Mai**\Anwendungsdaten\Mozilla\Firefox\Profiles\j9l75pjl.default\extensions
[2011.05.22 18:45:21 | 000,000,000 | ---D | M] ("ICQ Toolbar") -- C:\Dokumente und Einstellungen\**Anne Mai**\Anwendungsdaten\Mozilla\Firefox\Profiles\j9l75pjl.default\extensions\{800b5000-a755-47e1-992b-48a1c1357f07}
[2011.11.26 19:27:18 | 000,000,000 | ---D | M] ("Free YouTube Download (Free Studio) Menu") -- C:\Dokumente und Einstellungen\**Anne Mai**\Anwendungsdaten\Mozilla\Firefox\Profiles\j9l75pjl.default\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}
[2011.03.25 22:05:47 | 000,000,000 | ---D | M] (IncrediMail MediaBar 2 Toolbar) -- C:\Dokumente und Einstellungen\**Anne Mai**
\Anwendungsdaten\Mozilla\Firefox\Profiles\j9l75pjl.default\extensions\{d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0}
[2011.03.30 15:14:34 | 000,001,042 | ---- | M] () -- C:\Dokumente und Einstellungen\**Anne Mai**\Anwendungsdaten\Mozilla\Firefox\Profiles\j9l75pjl.default\searchplugins\icqplugin.xml
[2011.12.18 22:08:32 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2011.12.18 22:08:33 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA}
[2011.04.03 08:45:26 | 000,448,413 | ---- | M] () (No name found) -- C:\DOKUMENTE UND EINSTELLUNGEN\**Anne Mai**\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\J9L75PJL.DEFAULT\EXTENSIONS\{D10D0BF8-F5B5-C8B4-A8B2-2B9879E08C5D}.XPI
[2011.07.25 18:13:46 | 000,116,751 | ---- | M] () (No name found) -- C:\DOKUMENTE UND EINSTELLUNGEN\**Anne Mai**\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\J9L75PJL.DEFAULT\EXTENSIONS\{E4A8A97B-F2ED-450B-B12D-EE082BA24781}.XPI
[2011.05.28 19:46:12 | 000,550,833 | ---- | M] () (No name found) -- C:\DOKUMENTE UND EINSTELLUNGEN\**Anne Mai**\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\J9L75PJL.DEFAULT\EXTENSIONS\DIVXWEBPLAYER@DIVX.COM.XPI
[2011.06.12 22:05:51 | 000,142,296 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll
[2011.12.18 22:08:05 | 000,476,904 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\mozilla firefox\plugins\npdeployJava1.dll
[2009.09.21 11:00:44 | 001,447,328 | ---- | M] (1 mal 1 Software GmbH) -- C:\Programme\mozilla firefox\plugins\NpFv522.dll
[2010.01.01 10:00:00 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2010.01.01 10:00:00 | 000,002,252 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml
[2010.01.01 10:00:00 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml
[2010.01.01 10:00:00 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
[2010.01.01 10:00:00 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2010.01.01 10:00:00 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml

O1 HOSTS File: ([2004.08.04 06:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O2 - BHO: (Adobe PDF Reader Link Helper) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (Conduit Engine ) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Programme\ConduitEngine\prxConduitEngine.dll (Conduit Ltd.)
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Oracle\JavaFX 2.1 Runtime\bin\ssv.dll (Oracle Corporation)
O2 - BHO: (IncrediMail MediaBar 2 Toolbar) - {d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0} - C:\Programme\IncrediMail_MediaBar_2\prxtbInc2.dll (Conduit Ltd.)
O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Oracle\JavaFX 2.1 Runtime\bin\jp2ssv.dll (Oracle Corporation)
O2 - BHO: (DVDVideoSoft Toolbar) - {e9911ec6-1bcc-40b0-9993-e0eea7f6953f} - C:\Programme\DVDVideoSoft\tbDVDV.dll File not found
O3 - HKLM\..\Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - No CLSID value found.
O3 - HKLM\..\Toolbar: (Acer eDataSecurity Management) - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll (HiTRUST)
O3 - HKLM\..\Toolbar: (IncrediMail MediaBar 2 Toolbar) - {d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0} - C:\Programme\IncrediMail_MediaBar_2\prxtbInc2.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (DVDVideoSoft Toolbar) - {e9911ec6-1bcc-40b0-9993-e0eea7f6953f} - C:\Programme\DVDVideoSoft\tbDVDV.dll File not found
O3 - HKCU\..\Toolbar\ShellBrowser: (Acer eDataSecurity Management) - {5CBE3B7C-1E47-477E-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll (HiTRUST)
O3 - HKCU\..\Toolbar\WebBrowser: (IncrediMail MediaBar 2 Toolbar) - {D40B90B4-D3B1-4D6B-A5D7-DC041C1B76C0} - C:\Programme\IncrediMail_MediaBar_2\prxtbInc2.dll (Conduit Ltd.)
O4 - HKLM..\Run: [Acer ePresentation HPD] C:\Acer\Empowering Technology\ePresentation\ePresentation.exe (Acer Inc.)
O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\Alcmtr.exe (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
O4 - HKLM..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [BluetoothAuthenticationAgent] C:\WINDOWS\System32\bthprops.cpl (Microsoft Corporation)
O4 - HKLM..\Run: [Boot] C:\Acer\Empowering Technology\ePower\Boot.exe ()
O4 - HKLM..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe (HiTRUST)
O4 - HKLM..\Run: [eLockMonitor] C:\Acer\Empowering Technology\eLock\Monitor\LaunchMonitor.exe File not found
O4 - HKLM..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe ()
O4 - HKLM..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\eRAgent.exe (Acer Inc.)
O4 - HKLM..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe (shbox.de)
O4 - HKLM..\Run: [IAAnotif] C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe (Intel Corporation)
O4 - HKLM..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE (Microsoft Corporation)
O4 - HKLM..\Run: [LanguageShortcut] C:\Program Files\CyberLink\PowerDVD\Language\Language.exe ()
O4 - HKLM..\Run: [LManager] C:\Programme\Launch Manager\LManager.exe (Dritek System Inc.)
O4 - HKLM..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe ()
O4 - HKLM..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe (Nero AG)
O4 - HKLM..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE (Microsoft Corporation)
O4 - HKLM..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE (Microsoft Corporation)
O4 - HKLM..\Run: [PLFSetL] C:\WINDOWS\PLFSetL.exe (sonix)
O4 - HKLM..\Run: [preload] C:\WINDOWS\RunXMLPL.exe (Wistron Corp.)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [SynTPStart] C:\Programme\Synaptics\SynTP\SynTPStart.exe (Synaptics, Inc.)
O4 - HKLM..\Run: [Zip] wscript.exe /E:vbs C:\autoexec.bat File not found
O4 - HKCU..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe (IncrediMail, Ltd.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Acer Empowering Technology.lnk = C:\Acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe (Acer Inc.)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutorunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 255
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 255
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutorunSetting = 1
O8 - Extra context menu item: Free YouTube to MP3 Converter - C:\Dokumente und Einstellungen\**Anne Mai**\Anwendungsdaten\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm ()
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm ()
O9 - Extra Button: ICQ7.5 - {7578ADEA-D65F-4C89-A249-B1C88B6FFC20} - C:\Programme\ICQ7.5\ICQ.exe (ICQ, LLC.)
O9 - Extra 'Tools' menuitem : ICQ7.5 - {7578ADEA-D65F-4C89-A249-B1C88B6FFC20} - C:\Programme\ICQ7.5\ICQ.exe (ICQ, LLC.)
O9 - Extra Button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm ()
O9 - Extra 'Tools' menuitem : @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm ()
O10 - NameSpace_Catalog5\Catalog_Entries\000000000005 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1217423883156 (WUWebControl Class)
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} hxxp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1217423931593 (MUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)
O16 - DPF: {CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\**Anne Mai**\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\**Anne Mai**\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O33 - MountPoints2\{22c7305a-a723-11dd-a552-001f3aba5c74}\Shell - "" = AutoRun
O33 - MountPoints2\{22c7305a-a723-11dd-a552-001f3aba5c74}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{22c7305a-a723-11dd-a552-001f3aba5c74}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe wa6.vbs
O33 - MountPoints2\{577f7ca4-b0d6-11de-a7e9-001d722ebb86}\Shell\AutoRun\command - "" = RESTORE\k-1-3542-4232123213-7676767-8888886\Maq.exe
O33 - MountPoints2\{577f7ca4-b0d6-11de-a7e9-001d722ebb86}\Shell\open\command - "" = RESTORE\k-1-3542-4232123213-7676767-8888886\Maq.exe
O33 - MountPoints2\{6dedbbb8-66bc-11de-a741-001f3aba5c74}\Shell\AutoRun\command - "" = G:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\md32.exe
O33 - MountPoints2\{6dedbbb8-66bc-11de-a741-001f3aba5c74}\Shell\open\command - "" = G:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\md32.exe
O33 - MountPoints2\{842be65c-8dd7-11dd-a50b-001f3aba5c74}\Shell - "" = AutoRun
O33 - MountPoints2\{842be65c-8dd7-11dd-a50b-001f3aba5c74}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{842be65c-8dd7-11dd-a50b-001f3aba5c74}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe wa6.vbs
O33 - MountPoints2\{8d9b5f13-3506-11df-a8fe-001f3aba5c74}\Shell - "" = AutoRun
O33 - MountPoints2\{8d9b5f13-3506-11df-a8fe-001f3aba5c74}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{8d9b5f13-3506-11df-a8fe-001f3aba5c74}\Shell\AutoRun\command - "" = F:\LaunchU3.exe -a
O33 - MountPoints2\{b09e2609-63db-11dd-a4c8-001f3aba5c74}\Shell - "" = AutoRun
O33 - MountPoints2\{b09e2609-63db-11dd-a4c8-001f3aba5c74}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{b09e2609-63db-11dd-a4c8-001f3aba5c74}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe wa6.vbs
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)

========== Files/Folders - Created Within 30 Days ==========

[2012.07.04 11:45:15 | 000,595,968 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\**Anne Mai**\Desktop\OTL.exe
[2012.07.04 11:37:46 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\**Anne Mai**\Desktop\Reflus Gastritis
[2012.07.04 11:35:35 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\**Anne Mai**\Startmenü\Programme\CyberLink PowerDVD
[2012.07.04 09:14:25 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\**Anne Mai**\Anwendungsdaten\Malwarebytes
[2012.07.04 09:13:48 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware
[2012.07.04 09:13:41 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2012.07.04 09:13:36 | 000,022,344 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2012.07.04 09:13:34 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2012.07.04 09:11:40 | 010,063,000 | ---- | C] (Malwarebytes Corporation ) -- C:\Dokumente und Einstellungen\**Anne Mai**\Desktop\mbam-setup-1.61.0.1400.exe
[2012.06.17 19:30:55 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Canon Utilities
[2012.06.17 19:30:47 | 000,159,744 | ---- | C] (Canon, Inc.) -- C:\WINDOWS\System32\CNDUK170.dll
[2012.06.17 19:30:47 | 000,081,920 | ---- | C] (Canon. Inc) -- C:\WINDOWS\System32\PSCLK170.dll
[2012.06.17 19:30:46 | 000,081,920 | ---- | C] (Canon, Inc.) -- C:\WINDOWS\System32\CNDCK170.dll
[2012.06.17 19:30:44 | 000,000,000 | ---D | C] -- C:\Programme\Canon
[2012.06.12 18:45:04 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\**Anne Mai**\Lokale Einstellungen\Anwendungsdaten\Sun
[2012.06.07 20:49:56 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Java
[2012.06.07 20:49:05 | 000,000,000 | ---D | C] -- C:\Programme\Oracle
[2012.06.07 20:48:47 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\**Anne Mai**\Anwendungsdaten\Oracle
[2 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]

========== Files - Modified Within 30 Days ==========

[2012.07.04 11:45:12 | 000,595,968 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\**Anne Mai**\Desktop\OTL.exe
[2012.07.04 11:43:12 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\**Anne Mai**\defogger_reenable
[2012.07.04 11:41:00 | 000,050,477 | ---- | M] () -- C:\Dokumente und Einstellungen\**Anne Mai**\Desktop\Defogger.exe
[2012.07.04 11:40:30 | 000,000,069 | ---- | M] () -- C:\WINDOWS\NeroDigital.ini
[2012.07.04 11:35:22 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2012.07.04 11:35:20 | 1063,702,528 | -HS- | M] () -- C:\hiberfil.sys
[2012.07.04 11:34:04 | 000,000,012 | ---- | M] () -- C:\WINDOWS\bthservsdp.dat
[2012.07.04 10:24:48 | 000,001,158 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2012.07.04 09:13:58 | 000,000,760 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk
[2012.07.04 09:12:24 | 010,063,000 | ---- | M] (Malwarebytes Corporation ) -- C:\Dokumente und Einstellungen\**Anne Mai**\Desktop\mbam-setup-1.61.0.1400.exe
[2012.06.29 11:45:05 | 000,130,560 | ---- | M] () -- C:\Dokumente und Einstellungen\**Anne Mai**\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2012.06.10 22:33:05 | 000,004,632 | ---- | M] () -- C:\WINDOWS\ASAM2000.INI
[2012.06.10 22:28:19 | 000,000,386 | ---- | M] () -- C:\WINDOWS\asam2000.lic
[2012.06.07 00:22:31 | 000,460,334 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2012.06.07 00:22:31 | 000,442,466 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2012.06.07 00:22:31 | 000,085,198 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2012.06.07 00:22:31 | 000,071,732 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]

========== Files Created - No Company Name ==========

[2012.07.04 11:43:12 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\**Anne Mai**\defogger_reenable
[2012.07.04 11:41:35 | 000,050,477 | ---- | C] () -- C:\Dokumente und Einstellungen\**Anne Mai**\Desktop\Defogger.exe
[2012.07.04 10:08:17 | 000,013,312 | ---- | C] () -- C:\WINDOWS\Installer\{5ab4a4f5-03fb-d6c0-8ce7-22d0618bc2bd}\U\80000000.@
[2012.07.04 09:13:58 | 000,000,760 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk
[2012.07.04 00:06:41 | 000,001,696 | ---- | C] () -- C:\WINDOWS\Installer\{5ab4a4f5-03fb-d6c0-8ce7-22d0618bc2bd}\U\00000001.@
[2011.07.08 15:17:08 | 000,000,188 | ---- | C] () -- C:\WINDOWS\System32\eDataSecurity.dat
[2011.05.06 23:46:58 | 000,695,578 | ---- | C] () -- C:\WINDOWS\unins000.exe
[2011.05.06 23:46:58 | 000,000,912 | ---- | C] () -- C:\WINDOWS\unins000.dat
[2010.11.19 14:05:28 | 000,202,360 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
[2010.10.04 03:00:22 | 000,008,922 | ---- | C] () -- C:\WINDOWS\UN020914.INI
[2010.01.30 23:07:24 | 003,160,245 | ---- | C] () -- C:\Programme\Free_Video_Downloader(2).zip
[2008.08.03 10:14:44 | 000,130,560 | ---- | C] () -- C:\Dokumente und Einstellungen\**Anne Mai**\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2008.07.30 14:46:24 | 000,000,138 | ---- | C] () -- C:\Dokumente und Einstellungen\**Anne Mai**\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2004.08.04 06:00:00 | 000,002,048 | -HS- | C] () -- C:\WINDOWS\Installer\{5ab4a4f5-03fb-d6c0-8ce7-22d0618bc2bd}\@
[2004.08.04 06:00:00 | 000,002,048 | -HS- | C] () -- C:\Dokumente und Einstellungen\**Anne Mai**\Lokale Einstellungen\Anwendungsdaten\{5ab4a4f5-03fb-d6c0-8ce7-22d0618bc2bd}\@

========== LOP Check ==========

[2010.12.01 18:29:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Counter
[2011.05.22 18:45:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ICQ
[2010.06.12 23:34:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IM
[2010.06.12 23:33:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IncrediMail
[2009.04.26 07:21:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Installations
[2009.04.26 07:24:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PC Suite
[2011.03.25 22:05:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Photo Notifier and Animation Creator
[2010.09.05 17:15:07 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PhotoMail
[2012.06.25 21:45:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
[2008.04.30 09:27:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{174892B1-CBE7-44F5-86FF-AB555EFD73A3}
[2009.02.20 10:57:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
[2011.11.26 19:27:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\**Anne Mai**\Anwendungsdaten\DVDVideoSoft
[2011.11.26 19:27:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\**Anne Mai**\Anwendungsdaten\DVDVideoSoftIEHelpers
[2012.02.08 13:39:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\**Anne Mai**\Anwendungsdaten\FileZilla
[2011.05.06 23:46:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\**Anne Mai**\Anwendungsdaten\Flatcast
[2011.06.06 00:46:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\**Anne Mai**\Anwendungsdaten\ICQ
[2009.04.26 07:30:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\**Anne Mai**\Anwendungsdaten\Nokia
[2012.06.07 20:48:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\**Anne Mai**\Anwendungsdaten\Oracle
[2009.04.26 07:24:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\**Anne Mai**\Anwendungsdaten\PC Suite
[2012.06.18 23:11:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\**Anne Mai**\Anwendungsdaten\PriceGong
[2011.05.06 23:06:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\**Anne Mai**\Anwendungsdaten\TeamViewer
[2008.07.30 10:04:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\**Anne Mai**\Anwendungsdaten\Thunderbird

========== Purity Check ==========



========== Alternate Data Streams ==========

@Alternate Data Stream - 173 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:A5B56640

< End of report >


OTL Extra:
Zitat:
OTL Extras logfile created on: 04.07.2012 11:46:29 - Run 1
OTL by OldTimer - Version 3.2.53.1 Folder = C:\Dokumente und Einstellungen\**Anne Mai**\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.5512)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

1014,36 Mb Total Physical Memory | 527,20 Mb Available Physical Memory | 51,97% Memory free
2,85 Gb Paging File | 2,30 Gb Available in Paging File | 80,95% Paging File free
Paging file location(s): C:\pagefile.sys 2000 2500 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 52,71 Gb Total Space | 7,66 Gb Free Space | 14,54% Space Free | Partition Type: NTFS
Drive D: | 53,20 Gb Total Space | 9,36 Gb Free Space | 17,60% Space Free | Partition Type: FAT32
Drive F: | 465,65 Gb Total Space | 319,68 Gb Free Space | 68,65% Space Free | Partition Type: FAT32

Computer Name: ACER-747B59264E | User Name: **Anne Mai**| Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days

========== Extra Registry (SafeList) ==========


========== File Associations ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.url [@ = InternetShortcut] -- rundll32.exe shdocvw.dll,OpenURL %l

[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)

========== Shell Spawning ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
InternetShortcut [open] -- rundll32.exe shdocvw.dll,OpenURL %l
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

========== Security Center Settings ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]

========== System Restore Settings ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2

========== Firewall Settings ==========

========== Authorized Applications List ==========


========== HKEY_LOCAL_MACHINE Uninstall List ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu
"{066D65EA-ED53-44E4-A96A-F81B6E409D2E}" = PC Connectivity Solution
"{07629207-FAA0-4F1A-8092-BF5085BE511F}" = Unterstützungsdateien für das Microsoft SQL Server-Setup (Englisch)
"{1111706F-666A-4037-7777-210328764D10}" = JavaFX 2.1.0
"{116FF17B-1A30-4FC2-9B01-5BC5BD46B0B3}" = Acer eLock Management
"{1577A05B-EE62-4BBC-9DB7-FE748FA44EC2}" = NTI CD & DVD-Maker
"{1598034D-7147-432C-8CA8-888E0632D124}" = NTI Backup NOW! 4.7
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{1F2C8256-2773-46C7-9ABA-3E39C24ABB51}" = Acer eSettings Management
"{1FBF6C24-C1FD-4101-A42B-0C564F9E8E79}" = DVD Suite
"{216AB108-2AE1-4130-B3D5-20B2C4C80F8F}" = QuickTime
"{26A24AE4-039D-4CA4-87B4-2F83216029FF}" = Java(TM) 6 Update 29
"{26A24AE4-039D-4CA4-87B4-2F83217004FF}" = Java(TM) 7 Update 4
"{2DFB5485-A3EF-4298-9280-4AF80C9F4BE9}" = Microsoft SQL Server VSS Writer
"{31A57C3E-30DD-421F-B5C7-974DACB0D05F}" = Canon Camera WIA Driver
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{399C37FB-08AF-493B-BFED-20FBD85EDF7F}" = Acer Crystal Eye Webcam Video Class Camera
"{3F7A9E82-5A85-4119-A8A5-7D840A0F76DC}" = Photo Notifier and Animation Creator
"{45B3A3BD-F90D-48FE-A147-D74878A51031}" = Nero 7 Essentials
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{4AD13F68-CADA-4C6B-9759-C33753F89908}" = Acer eDataSecurity Management
"{547DCEC7-DD2A-47E9-82C7-5CF1EAB526DA}" = Microsoft SQL Server Native Client
"{56C049BE-79E9-4502-BEA7-9754A3E60F9B}" = neroxml
"{58E5844B-7CE2-413D-83D1-99294BF6C74F}" = Acer ePower Management
"{65DA2EC9-0642-47E9-AAE2-B5267AA14D75}" = Activation Assistant for the 2007 Microsoft Office suites
"{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}" = PowerDVD
"{6956856F-B6B3-4BE0-BA0B-8F495BE32033}" = Apple Software Update
"{6CF47FD1-3CF8-4206-BA24-A2B1E43D8CCA}" = IncrediMail
"{6F7EA6CA-79F4-44A0-A370-8E82BB16534A}" = NTI Shadow
"{7578ADEA-D65F-4C89-A249-B1C88B6FFC20}" = ICQ7.5
"{79DD56FC-DB8B-47F5-9C80-78B62E05F9BC}" = Acer ScreenSaver
"{84814E6B-2581-46EC-926A-823BD1C670F6}" = WIDCOMM Bluetooth Software
"{8A25392D-C5D2-4E79-A2BD-C15DDC5B0959}" = Bonjour
"{90120000-0020-0407-0000-0000000FF1CE}" = Compatibility Pack für 2007 Office System
"{9068B2BE-D93A-4C0A-861C-5E35E2C0E09E}" = Intel(R) Matrix Storage Manager
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{AA59DDE4-B672-4621-A016-4C248204957A}" = Skype™ 5.5
"{AB6097D9-D722-4987-BD9E-A076E2848EE2}" = Acer Empowering Technology
"{AC76BA86-7AD7-1033-7B44-A81300000003}" = Adobe Reader 8.1.3
"{B7A0CE06-068E-11D6-97FD-0050BACBF861}" = PowerProducer
"{BE1826A9-7EEE-492A-B3BC-DEF3DFAE37EE}" = TIPCI
"{BF839132-BD43-4056-ACBF-4377F4A88E2A}" = Acer ePresentation Management
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C1F92443-8B5A-44EB-BFD5-4F35A77D991C}" = D-Link DSL USB Driver
"{C2C284D2-6BD7-3B34-B0C5-B2CAED168DF7}" = Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU
"{C314CE45-3392-3B73-B4E1-139CD41CA933}" = Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{CCD90636-D97D-4130-A44A-3AD4E63B9220}" = OpenOffice.org 2.4
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{CE386A4E-D0DA-4208-8235-BCE43275C694}" = LightScribe 1.4.142.1
"{D3B3B9B2-FE73-44CB-8C0A-F737D92F991B}" = Broadcom Gigabit Integrated Controller
"{EC4455AB-F155-4CC1-A4C5-88F3777F9886}" = Apple Mobile Device Support
"{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}" = Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F5C63795-2708-4D15-BF18-5ABBFF7DFFC8}" = iTunes
"Activation Assistant for the 2007 Microsoft Office suites" = Activation Assistant for the 2007 Microsoft Office suites
"Adobe Flash Player ActiveX" = Adobe Flash Player ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"AFPL Ghostscript 8.54" = AFPL Ghostscript 8.54
"AFPL Ghostscript Fonts" = AFPL Ghostscript Fonts
"Avira AntiVir Desktop" = Avira Free Antivirus
"CCleaner" = CCleaner
"CNXT_MODEM_HDAUDIO_VEN_14F1&DEV_2BFAOR2C06_118" = HDAUDIO Soft Data Fax Modem with SmartCP
"FixFoto_is1" = FixFoto 2.90
"Flatcast_is1" = Flatcast Viewer Plugin 5.2.2.454
"Free YouTube Download_is1" = Free YouTube Download version 3.0.18.1123
"Free YouTube to MP3 Converter_is1" = Free YouTube to MP3 Converter version 3.10.13.1123
"FreePDF_XP" = FreePDF XP (Remove only)
"GridVista" = Acer GridVista
"HDMI" = Intel(R) Graphics Media Accelerator Driver
"IncrediMail" = IncrediMail 2.0
"IncrediMail_MediaBar_2 Toolbar" = IncrediMail MediaBar 2 Toolbar
"InstallShield_{1577A05B-EE62-4BBC-9DB7-FE748FA44EC2}" = NTI CD & DVD-Maker
"InstallShield_{1598034D-7147-432C-8CA8-888E0632D124}" = NTI Backup NOW! 4.7
"InstallShield_{31A57C3E-30DD-421F-B5C7-974DACB0D05F}" = Canon EOS Kiss REBEL 300D WIA-Treiber
"InstallShield_{4AD13F68-CADA-4C6B-9759-C33753F89908}" = Acer eDataSecurity Management 2.0.4088
"InstallShield_{6F7EA6CA-79F4-44A0-A370-8E82BB16534A}" = NTI Shadow
"InstallShield_{BE1826A9-7EEE-492A-B3BC-DEF3DFAE37EE}" = Texas Instruments PCIxx21/x515/xx12 drivers.
"LManager" = Launch Manager
"Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware Version 1.61.0.1400
"Microsoft .NET Framework 1.1 (1033)" = Microsoft .NET Framework 1.1
"Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Mozilla Firefox 4.0.1 (x86 de)" = Mozilla Firefox 4.0.1 (x86 de)
"Mozilla Thunderbird (2.0.0.16)" = Mozilla Thunderbird (2.0.0.16)
"Photo Notifier and Animation Creator" = Photo Notifier and Animation Creator
"PhotoScape" = PhotoScape
"Redirection Port Monitor" = RedMon - Redirection Port Monitor
"ShockwaveFlash" = Adobe Flash Player 9 ActiveX
"SynTPDeinstKey" = Synaptics Pointing Device Driver
"UN020914" = BUFFALO INC. DISK FORMATTER
"Uninstall_is1" = Uninstall 1.0.0.1
"VLC media player" = VideoLAN VLC media player 0.8.6d
"Windows Media Format Runtime" = Windows Media Format Runtime
"Windows XP Service Pack" = Windows XP Service Pack 3
"xp-AntiSpy" = xp-AntiSpy 3.97-3
"XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0

========== HKEY_CURRENT_USER Uninstall List ==========

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"FileZilla Client" = FileZilla Client 3.4.0

========== Last 20 Event Log Errors ==========

[ Application Events ]
Error - 14.05.2012 02:43:02 | Computer Name = ACER-747B59264E | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung skype.exe, Version 5.5.0.124, fehlgeschlagenes
Modul jscript.dll, Version 5.7.0.18066, Fehleradresse 0x0000a0cc.

Error - 17.06.2012 13:36:56 | Computer Name = ACER-747B59264E | Source = Application Error | ID = 1005
Description = Aus einem der folgenden Gründe kann nicht auf die Datei E:\SOFTWARE\INSTDATA\COMMON\DEMO32.EXE
zugegriffen werden: Es besteht ein Problem mit der Netzwerkverbindung, dem Datenträger
auf dem die Datei gespeichert ist bzw. den auf dem Computer installierten Speichertreibern;
oder der Datenträger fehlt. Das Programm DemoShield Player wurde wegen dieses Fehlers
geschlossen. Programm: DemoShield Player Datei: E:\SOFTWARE\INSTDATA\COMMON\DEMO32.EXE

Der
Fehlerwert ist im Abschnitt "Zusätzliche Dateien" aufgelistet. Benutzeraktion 1.
Öffnen Sie die Datei erneut. Diese Situation ist eventuell ein temporäres Problem,
dass selbstständig behoben wird, wenn das Programm erneut ausgeführt wird. 2. Wenn
Sie weiterhin nicht auf die Datei zugreifen können und - diese sich im Netzwerk
befindet, dann sollte der Netzwerkadministrator überprüfen, dass kein Netzwerkproblem
besteht und dass eine Verbindung mit dem Server hergestellt werden kann. - diese
sich auf einem Wechseldatenträger, wie z. B. einer Diskette oder einer CD, befindet,
dann stellen Sie sicher, dass der Datenträger richtig in der Computer eingelegt
ist. 3. Überprüfen und reparieren Sie das Dateisystem, indem Sie CHKDSK ausführen.
Öffnen Sie dazu das Startmenü, klicken Sie auf "Ausführen", geben Sie CMD ein und
klicken Sie auf "OK". In der Eingabeaufforderung geben Sie CHKDSK /F ein und drücken
Sie die EINGABETASTE. 4. Stellen Sie die Datei von einer Sicherungskopie wieder
her, wenn das Problem weiterhin besteht. 5. Überprüfen Sie, ob andere Dateien auf
demselben Datenträger geöffnet werden können. Falls dies nicht möglich ist, ist
der Datenträger eventuell beschädigt. Wenden Sie sich an den Administrator oder
den Hersteller der Computerhardware um weitere Unterstützung zu erhalten, wenn es
sich um eine Festplatte handelt. Zusätzliche Daten Fehlerwert: C000009C Datenträgertyp:
5

Error - 17.06.2012 13:37:57 | Computer Name = ACER-747B59264E | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung , Version 0.0.0.0, fehlgeschlagenes Modul
unknown, Version 0.0.0.0, Fehleradresse 0x7e376779.

Error - 19.06.2012 12:18:53 | Computer Name = ACER-747B59264E | Source = PerfNet | ID = 2004
Description = Der Serverdienst konnte nicht geöffnet werden. Die Server-Leistungsinformationen
werden
nicht zurückgegeben. Der zurückgegebene Fehlercode befindet sich in DWORD 0.

Error - 20.06.2012 16:11:52 | Computer Name = ACER-747B59264E | Source = PerfNet | ID = 2004
Description = Der Serverdienst konnte nicht geöffnet werden. Die Server-Leistungsinformationen
werden
nicht zurückgegeben. Der zurückgegebene Fehlercode befindet sich in DWORD 0.

Error - 21.06.2012 09:06:33 | Computer Name = ACER-747B59264E | Source = PerfNet | ID = 2004
Description = Der Serverdienst konnte nicht geöffnet werden. Die Server-Leistungsinformationen
werden
nicht zurückgegeben. Der zurückgegebene Fehlercode befindet sich in DWORD 0.

Error - 23.06.2012 03:54:48 | Computer Name = ACER-747B59264E | Source = PerfNet | ID = 2004
Description = Der Serverdienst konnte nicht geöffnet werden. Die Server-Leistungsinformationen
werden
nicht zurückgegeben. Der zurückgegebene Fehlercode befindet sich in DWORD 0.

Error - 03.07.2012 18:15:03 | Computer Name = ACER-747B59264E | Source = VSS | ID = 8193
Description = Volumeschattenkopie-Dienstfehler: Beim Aufrufen von Routine "CoCreateInstance"
ist ein unerwarteter Fehler aufgetreten. hr = 0x8007041d.

[ System Events ]
Error - 03.07.2012 16:55:31 | Computer Name = ACER-747B59264E | Source = SideBySide | ID = 16842811
Description = Resolve Partial Assembly ist für Microsoft.VC80.MFCLOC fehlgeschlagen.
Referenzfehlermeldung:
Die referenzierte Assemblierung ist nicht auf dem Computer installiert. .

Error - 03.07.2012 16:55:31 | Computer Name = ACER-747B59264E | Source = SideBySide | ID = 16842811
Description = Generate Activation Context ist für C:\Programme\IncrediMail\bin\MFC80U.DLL
fehlgeschlagen. Referenzfehlermeldung: Der Vorgang wurde erfolgreich beendet. .

Error - 03.07.2012 16:57:24 | Computer Name = ACER-747B59264E | Source = SideBySide | ID = 16842784
Description = Abhängige Assemblierung "Microsoft.VC80.MFCLOC" konnte nicht gefunden
werden. "Last Error": Die referenzierte Assemblierung ist nicht auf dem Computer
installiert.

Error - 03.07.2012 16:57:24 | Computer Name = ACER-747B59264E | Source = SideBySide | ID = 16842811
Description = Resolve Partial Assembly ist für Microsoft.VC80.MFCLOC fehlgeschlagen.
Referenzfehlermeldung:
Die referenzierte Assemblierung ist nicht auf dem Computer installiert. .

Error - 03.07.2012 16:57:24 | Computer Name = ACER-747B59264E | Source = SideBySide | ID = 16842811
Description = Generate Activation Context ist für C:\Programme\IncrediMail\Bin\MFC80U.DLL
fehlgeschlagen. Referenzfehlermeldung: Der Vorgang wurde erfolgreich beendet. .

Error - 03.07.2012 16:57:24 | Computer Name = ACER-747B59264E | Source = SideBySide | ID = 16842784
Description = Abhängige Assemblierung "Microsoft.VC80.MFCLOC" konnte nicht gefunden
werden. "Last Error": Die referenzierte Assemblierung ist nicht auf dem Computer
installiert.

Error - 03.07.2012 16:57:24 | Computer Name = ACER-747B59264E | Source = SideBySide | ID = 16842811
Description = Resolve Partial Assembly ist für Microsoft.VC80.MFCLOC fehlgeschlagen.
Referenzfehlermeldung:
Die referenzierte Assemblierung ist nicht auf dem Computer installiert. .

Error - 03.07.2012 16:57:24 | Computer Name = ACER-747B59264E | Source = SideBySide | ID = 16842811
Description = Generate Activation Context ist für C:\Programme\IncrediMail\Bin\MFC80U.DLL
fehlgeschlagen. Referenzfehlermeldung: Der Vorgang wurde erfolgreich beendet. .

Error - 03.07.2012 16:57:31 | Computer Name = ACER-747B59264E | Source = SideBySide | ID = 16842784
Description = Abhängige Assemblierung "Microsoft.VC80.MFCLOC" konnte nicht gefunden
werden. "Last Error": Die referenzierte Assemblierung ist nicht auf dem Computer
installiert.

Error - 03.07.2012 16:57:31 | Computer Name = ACER-747B59264E | Source = SideBySide | ID = 16842811
Description = Resolve Partial Assembly ist für Microsoft.VC80.MFCLOC fehlgeschlagen.
Referenzfehlermeldung:
Die referenzierte Assemblierung ist nicht auf dem Computer installiert. .


< End of report >


GMER:
Zitat:
GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2012-07-04 13:43:22
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-e Hitachi_HTS542512K9SA00 rev.BB2OC31P
Running: nfp6v42i.exe; Driver: C:\DOKUME~1\**Anne Mai**\LOKALE~1\Temp\kwncrfob.sys


---- System - GMER 1.0.15 ----

SSDT F7BD414C ZwClose
SSDT F7BD4106 ZwCreateKey
SSDT F7BD4156 ZwCreateSection
SSDT F7BD40FC ZwCreateThread
SSDT F7BD410B ZwDeleteKey
SSDT F7BD4115 ZwDeleteValueKey
SSDT F7BD4147 ZwDuplicateObject
SSDT F7BD411A ZwLoadKey
SSDT F7BD40E8 ZwOpenProcess
SSDT F7BD40ED ZwOpenThread
SSDT F7BD416F ZwQueryValueKey
SSDT F7BD4124 ZwReplaceKey
SSDT F7BD4160 ZwRequestWaitReplyPort
SSDT F7BD411F ZwRestoreKey
SSDT F7BD415B ZwSetContextThread
SSDT F7BD4165 ZwSetSecurityObject
SSDT F7BD4110 ZwSetValueKey
SSDT F7BD416A ZwSystemDebugControl
SSDT F7BD40F7 ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.text ntkrnlpa.exe!ZwCallbackReturn + 2DAC 80504638 4 Bytes CALL A348037D

---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Ntfs \Ntfs psdfilter.sys (PSD Filter Driver/HiTRUST)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice \FileSystem\Fastfat \Fat psdfilter.sys (PSD Filter Driver/HiTRUST)

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001f3ad37660
Reg HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\001f3ad37660 (not active ControlSet)

---- EOF - GMER 1.0.15 ----

Leider viele Errormeldungen bei GMER.

Ich hoffe, ich habe alles richtig gemacht, und hier weiß jemand Hilfe.
Kann ich Mail verschicken, oder sollte ich damit warten, damit sich der Virus nicht verteilt?

Im Vorraus DANKE für die Hilfe!!
Anne Mai

Alt 04.07.2012, 21:58   #2
markusg
/// Malware-holic
 
Trojaner TR/ATRAPS.Gen in C:/Windows/Installer/... - wer hilft mir bitte, ihn auszulöschen? - Standard

Trojaner TR/ATRAPS.Gen in C:/Windows/Installer/... - wer hilft mir bitte, ihn auszulöschen?


hi
nutzt du den pc für onlinebanking, zum einkaufen, für sonstige zahlungsabwicklungn, oder ähnlich wichtiges, wie berufliches?
__________________

__________________
Alt 04.07.2012, 22:06   #3
Anne Mai
 
Trojaner TR/ATRAPS.Gen in C:/Windows/Installer/... - wer hilft mir bitte, ihn auszulöschen? - Standard

Trojaner TR/ATRAPS.Gen in C:/Windows/Installer/... - wer hilft mir bitte, ihn auszulöschen?


Hi Markus,

habe in letzter Zeit einige Male etwas über den Computer bestellt..... Brauche ich dringends eine neue PIN Nummer für mein Konto?
Und wie gehe ich nun mit dem Virus um?
LG Anne Mai
__________________
Alt 06.07.2012, 18:20   #4
markusg
/// Malware-holic
 
Trojaner TR/ATRAPS.Gen in C:/Windows/Installer/... - wer hilft mir bitte, ihn auszulöschen? - Standard

Trojaner TR/ATRAPS.Gen in C:/Windows/Installer/... - wer hilft mir bitte, ihn auszulöschen?


hi, später alle zugangsdaten endern.
der pc muss neu aufgesetzt und dann abgesichert werden
1. Datenrettung:2. Formatieren, Windows neu instalieren:3. PC absichern: http://www.trojaner-board.de/96344-a...-rechners.html
ich werde außerdem noch weitere punkte dazu posten.
4. alle Passwörter ändern!
5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen.
6. werde ich dann noch was zum absichern von Onlinebanking mit Chip Card Reader + Star Money sagen.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 08.07.2012, 18:54   #5
Anne Mai
 
Trojaner TR/ATRAPS.Gen in C:/Windows/Installer/... - wer hilft mir bitte, ihn auszulöschen? - Standard

Trojaner TR/ATRAPS.Gen in C:/Windows/Installer/... - wer hilft mir bitte, ihn auszulöschen?


Ich habe ein altes Image gefunden, von vor 4 Jahren, mit GHS und GHO Datein. Das könnte ich verwenden, um dem damaligen Zustand wieder her zu stellen. Mein CD Laufwerk funktioniert allerdings nicht mehr - und das ist alles auf einer CD.
Und wie sichere ich meine Treiber und Lizensen?
Dann sind ja alle Programme, Treiber, Tools weg....
Habe echt Angst den Schritt unüberlegt zu tun, wenn dann alles weg ist und ich nicht ins Internet kann, und keine Installations-CD habe (Computer war bereits fertig installiert)... Und mein Laufwerk nicht funktioniert....
Durch die Programme, die ich hier nach Anleitung hochgeladen habe, wurde das CD-Laufwerk ja deinstalliert, nicht wahr? Wie stelle ich es wieder ein?

Reicht es, nur die Systempartition, also Laufwerk C, zu löschen? Und die Daten stehen zu lassen, und nur C neu zu installieren?
Hoffe, Du kannst mir weiterhin helfen...
LG, Anne Mai

Scanne grade noch mal mit Avira, und da kommt:

EXP/2008-5353.CN
(soll, wenn ich das richtig verstanden habe, mit Java zu tun haben - habe da alles gelöscht), und wieder den TR/ATRAPS.Gen - ich dachte, der wäre in Quarantäne?? Wie kann Avira den dann finden?
Werde im Anschluss noch mit der Maleware scannen....

Verwende übrigens Windows XP Professional Version 2002, Service Pack 3.

Habe nun den Bericht:

Zitat:
Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\Dokumente und Einstellungen\**Anne Mai**'
C:\Dokumente und Einstellungen\**Anne Mai**\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\63\4e440cff-163c10f7
[0] Archivtyp: ZIP
--> CL1.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Lamar.CI
--> CL2.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Lamar.CJ
--> CL3.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/2008-5353.CP
Beginne mit der Suche in 'C:\WINDOWS'
C:\WINDOWS\Installer\{5ab4a4f5-03fb-d6c0-8ce7-22d0618bc2bd}\U\80000000.@
[FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen
Beginne mit der Suche in 'C:\Dokumente und Einstellungen\All Users'
Beginne mit der Suche in 'C:\Programme'

Beginne mit der Desinfektion:
C:\WINDOWS\Installer\{5ab4a4f5-03fb-d6c0-8ce7-22d0618bc2bd}\U\80000000.@
[FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '528c5206.qua' verschoben!
C:\Dokumente und Einstellungen\**Anne Mai**\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\63\4e440cff-163c10f7
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Lamar.CI
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004
[WARNUNG] Die Quelldatei konnte nicht gefunden werden.
[HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
[HINWEIS] Eine Instanz der ARK Library läuft bereits.
[HINWEIS] Die Datei wurde zum Löschen nach einem Neustart markiert.
[HINWEIS] Für die abschliessende Reparatur wird ein Neustart des Computers eingeleitet.
Das lag daran, dass ich bereits das Cache bei Java gelöscht hatte.


Alt 09.07.2012, 11:22   #6
markusg
/// Malware-holic
 
Trojaner TR/ATRAPS.Gen in C:/Windows/Installer/... - wer hilft mir bitte, ihn auszulöschen? - Standard

Trojaner TR/ATRAPS.Gen in C:/Windows/Installer/... - wer hilft mir bitte, ihn auszulöschen?


hi
dein cd laufwerk haben wir nicht deinstaliert.
wenn es nicht funktioniert, evtl. mal über eine neu anschaffung nachdenken, die teile kosten nicht so viel.
das image kannst du sichern und lizenzen sind doch auf den jeweiligen cds bzw deren verpackung etc.
treiber etc musst du dann neu instalieren
für welche programme sind die lizenzen, kann man evtl. auch sicherheitshalber auslesen.
__________________
--> Trojaner TR/ATRAPS.Gen in C:/Windows/Installer/... - wer hilft mir bitte, ihn auszulöschen?

Alt 12.07.2012, 21:20   #7
Anne Mai
 
Trojaner TR/ATRAPS.Gen in C:/Windows/Installer/... - wer hilft mir bitte, ihn auszulöschen? - Standard

Trojaner TR/ATRAPS.Gen in C:/Windows/Installer/... - wer hilft mir bitte, ihn auszulöschen?


Lieber Markusg,

habe ich das falsch verstanden? Ich hatte es so verstanden, dass für den Defogger Programme aufgrund der Rootkit das Laufwerk lahmgelegt wurde, kann es nicht daran liegen? Es funktioniert seit dem nicht mehr.
http://www.trojaner-board.de/84448-c...ktivieren.html
Wäre es ein Versuch wert, das Defogger wieder zu deinstallieren? Ansonsten muss ich mir wohl ein neues Laufwerk kaufen... Sonst kann ich den Computer nicht neu installieren. Und wie mache ich das nun ohne recovery-CD?
Und muss ich alles neu installieren, oder lediglich das Laufwerk C, wo die Programme sind?
Danke für Deine Antwort,
Anne Mai

Gefunden wurde nun:
Infizierte Dateien: 1
C:\WINDOWS\Installer\{5ab4a4f5-03fb-d6c0-8ce7-22d0618bc2bd}\U\00000001.@ (Rootkit.0Access)
-> Erfolgreich gelöscht und in Quarantäne gestellt.

Nachdem ich Windows upgedatet habe, und das CD-Laufwerk deinstalliert und neuinstalliert habe, kann es wieder CD's erkennen, nur sie nicht automatisch starten. Muss ich das ändern, bevor ich den Computer resette, oder würde der Computer die CD automatisch erkennen? Beim Gerätemanager ist kein Fehler erkennbar.

Alt 13.07.2012, 11:14   #8
markusg
/// Malware-holic
 
Trojaner TR/ATRAPS.Gen in C:/Windows/Installer/... - wer hilft mir bitte, ihn auszulöschen? - Standard

Trojaner TR/ATRAPS.Gen in C:/Windows/Installer/... - wer hilft mir bitte, ihn auszulöschen?


hi
dann drücke mal auf enable.
eigendlich werden da nur driver für virtuelle laufwerke lam gelegt.
wegen dem automatischen starten von cds, bei der windows instalation klappt das, das geht jetzt nur nicht, weil autorun aus ist, das automatische starten von sticks und cd birgt gefahen.
du musst die partitionen formatieren, wo windows und instalierte programme drauf sind
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 13.07.2012, 11:19   #9
Anne Mai
 
Trojaner TR/ATRAPS.Gen in C:/Windows/Installer/... - wer hilft mir bitte, ihn auszulöschen? - Standard

Trojaner TR/ATRAPS.Gen in C:/Windows/Installer/... - wer hilft mir bitte, ihn auszulöschen?


Das Laufwekr funktioniert nun wieder nicht mehr und erkennt keine CD, der Gerätemanager meint, es gäbe kein Problem.
Du meinst, enable bei dem Defogger?
Und wie formatiere ich den Computer neu, ohne recovery Cd?

Alt 14.07.2012, 18:04   #10
markusg
/// Malware-holic
 
Trojaner TR/ATRAPS.Gen in C:/Windows/Installer/... - wer hilft mir bitte, ihn auszulöschen? - Standard

Trojaner TR/ATRAPS.Gen in C:/Windows/Installer/... - wer hilft mir bitte, ihn auszulöschen?


hi
starte mal neu, drücke dann
f9
f10
f11 oder
alt+f9
bzw alt+f10
eines davon sollte die recovery starten. wenn das geht, gerät auf werkseinstellungen zurück setzen.
danach pc absichern:
als antimalware programm würde ich emsisoft empfehlen.
diese haben für mich den besten schutz kostet aber etwas.
http://www.trojaner-board.de/103809-...i-malware.html
testversion:
Meine Antivirus-Empfehlung: Emsisoft Anti-Malware
insbesondere wenn du onlinebanking, einkäufe, sonstige zahlungsabwicklungen oder ähnlich wichtiges, wie zb berufliches machst, also sensible daten zu schützen sind, solltest du in sicherheitssoftware investieren.
vor dem aktivieren der lizenz die 30 tage testzeitraum ausnutzen.

kostenlos, aber eben nicht ganz so gut wäre avast zu empfehlen.
http://www.trojaner-board.de/110895-...antivirus.html

sag mir welches du nutzt, dann gebe ich konfigurationshinweise.
bitte dein bisheriges av deinstalieren
die folgende anleitung ist umfangreich, dass ist mir klar, sie sollte aber umgesetzt werden, da nur dann dein pc sicher ist. stelle so viele fragen wie nötig, ich arbeite gern alles mit dir durch!

http://www.trojaner-board.de/96344-a...-rechners.html
Starte bitte mit der Passage, Windows Vista und Windows 7
Bitte beginne damit, Windows Updates zu instalieren.
Am besten geht dies, wenn du über Start, Suchen gehst, und dort Windows Updates eingibst.
Prüfe unter "Einstellungen ändern" dass folgendes ausgewählt ist:
- Updates automatisch Instalieren,
- Täglich
- Uhrzeit wählen
- Bitte den gesammten rest anhaken, außer:
- detailierte benachichtungen anzeigen, wenn neue Microsoft software verfügbar ist.
Klicke jetzt die Schaltfläche "OK"
Klicke jetzt "nach Updates suchen".
Bitte instaliere zunächst wichtige Updates.
Es wird nötig sein, den PC zwischendurch neu zu starten. falls dies der Fall ist, musst du erneut über Start, Suchen, Windows Update aufrufen, auf Updates suchen klicken und die nächsten instalieren.
Mache das selbe bitte mit den optionalen Updates.
Bitte übernimm den rest so, wie es im Abschnitt windows 7 / Vista zu lesen ist.
aus dem Abschnitt xp, bitte den punkt "datenausführungsverhinderung, dep" übernehmen.
als browser rate ich dir zu chrome:
Installation von Google Chrome für mehrere Nutzerkonten - Google Chrome-Hilfe
anleitung lesen bitte
falls du nen andern nutzen willst, sags mir dann muss ich teile der nun folgenden anleitung


Sandboxie
Die devinition einer Sandbox ist hier nachzulesen:
Sandbox
Kurz gesagt, man kann Programme fast 100 %ig isuliert vom System ausführen.

Der Vorteil liegt klar auf der Hand, wenn über den Browser Schadcode eingeschläust wird, kann dieser nicht nach außen dringen.
Download Link:
Sandboxie Download - Sandboxie 3.72

anleitung:
http://www.trojaner-board.de/71542-a...sandboxie.html
ausführliche anleitung als pdf, auch abarbeiten:
Sandbox Einstellungen |

bitte folgende zusatz konfiguration machen:
sandboxie control öffnen, menü sandbox anklicken, defauldbox wählen.
dort klicke auf sandbox einstellungen.
beschrenkungen, bei programm start und internet zugriff schreibe:
chrome.exe
dann gehe auf anwendungen, webbrowser, chrome.
dort aktiviere alles außer gesammten profil ordner freigeben.
Wie du evtl. schon gesehen hast, kannst du einige Funktionen nicht nutzen.
Dies ist nur in der Vollversion nötig, zu deren Kauf ich dir rate.
Du kannst zb unter "Erzwungene Programmstarts" festlegen, dass alle Browser in der Sandbox starten.
Ansonsten musst du immer auf "Sandboxed webbrowser" klicken bzw Rechtsklick, in Sandboxie starten.
Eine lebenslange Lizenz kostet 30 €, und ist auf allen deinen PC's nutzbar.

Weiter mit:
Maßnahmen für ALLE Windows-Versionen
alles komplett durcharbeiten
anmerkung zu file hippo.
in den settings zusätzlich auswählen:
hide beta updates.
Run updateChecker when Windows starts

Backup Programm:
in meiner Anleitung ist bereits ein Backup Programm verlinkt, als Alternative bietet sich auch das Windows eigene Backup Programm an:
http://www.trojaner-board.de/82962-w...en-backup.html
Dies ist aber leider nur für Windows 7 Nutzer vernünftig nutzbar.
Alle Anderen sollten sich aber auf jeden fall auch ein Backup Programm instalieren, denn dies kann unter Umständen sehr wichtig sein, zum Beispiel, wenn die Festplatte einmal kaputt ist.

Zum Schluss, die allgemeinen sicherheitstipps beachten, wenn es dich betrifft, den Tipp zum Onlinebanking beachten und alle Passwörter ändern
bitte auch lesen, wie mache ich programme für alle sichtbar:
Programme für alle Konten nutzbar machen - PCtipp.ch - Praxis & Hilfe
surfe jetzt also nur noch im standard nutzer konto und dort in der sandbox.
wenn du die kostenlose version nutzt, dann mit klick auf sandboxed web browser, wenn du die bezahlversion hast, kannst du erzwungene programm starts festlegen, dann wird Sandboxie immer gestartet wenn du nen browser aufrufst.
wenn du mit der maus über den browser fährst sollte der eingerahmt sein, dann bist du im sandboxed web browser
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 14.07.2012, 19:37   #11
Anne Mai
 
Trojaner TR/ATRAPS.Gen in C:/Windows/Installer/... - wer hilft mir bitte, ihn auszulöschen? - Standard

Trojaner TR/ATRAPS.Gen in C:/Windows/Installer/... - wer hilft mir bitte, ihn auszulöschen?


Oh DANK Dir für Deine ganze Zeit, Mühe und kompetente Hilfe!!!
Bevor ich das mache, möchte ich noch ein paar Fragen klären.

1. Wenn ich das Gerät auf Werkeinstellungen zurück setze, komme ich dann über LAN ins Internet, um Windows wieder hoch zu laden und den AV zu installieren??

2. Also nur "C" neu formatieren, "D" wo die Daten sind, alles behalten?? Oder geht beim "recovern" automatisch in die Werkeinstellung?
Ich habe halt auf "D" einen Ordner mit Downloads, wo ich mal wenige Programme hoch geladen habe, um sie dann von dort aus zu installieren. Am besten alles löschen? Oder reicht es, diese Datein zu löschen?

3. Bisher habe ich kein Administratorkonto, soll ich das dann einrichten, wenn ich den Computer wieder neu formatiere?

4. Deine Anleitung ist für Windows, Windows Vista. Ich habe Windows XP - befolge also der darunter stehenden Anleitung!

5. Habe bisher IncrediMail, Mozilla Thunderbird hatte ich mal, verwendete es dann nicht mehr, da bei Incredi so tolles Briefpapier und Smileys zu verwenden gibt. Ist durch Incredi die Virengefahr sehr hoch?

6. Das alte Image von GHO und GHS, soll ich das dann einwerfen um den Standart von damals wieder herzustellen (wenn das Laufwerk dann funktioniert)?

Habe mir so eben die Lizensen über licensecrawler_1.10.230 gesichert, und nach Anraten meines Vaters über Driver Magician Lite die Tools sichern, sollte ich diese nicht wiederherstellen oder finden können.

Sorry für diesen langen Aufsatz. Wenn das geklärt ist, bin ich (hoffentlich ) genug gerüstet, das dann alles anzugehen und umzusetzen.
Danke, danke, danke!
Anne Mai

Alt 16.07.2012, 18:20   #12
markusg
/// Malware-holic
 
Trojaner TR/ATRAPS.Gen in C:/Windows/Installer/... - wer hilft mir bitte, ihn auszulöschen? - Standard

Trojaner TR/ATRAPS.Gen in C:/Windows/Installer/... - wer hilft mir bitte, ihn auszulöschen?


1. Wenn ich das Gerät auf Werkeinstellungen zurück setze, komme ich dann über LAN ins Internet, um Windows wieder hoch zu laden und den AV zu installieren??
normalerweise ja, evtl. benötigst du deinen wlan schlüssel
c: reicht
3. admin konto wird automatisch eingerichtet, du benötist aber ein eingeschrenktes konto
4. sorry, genau, dann der passage xp folgen
5.IncrediMail, finger weg davon, die verkaufen anscheinend auch nutzerdaten
6. mach einmal komplett neu, sichere ab und erstelle lieber davon ein image
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Antwort

Themen zu Trojaner TR/ATRAPS.Gen in C:/Windows/Installer/... - wer hilft mir bitte, ihn auszulöschen?
800000cb.@, alternate, antivir, aufrufe, avira, bho, bonjour, canon, computer, conduit, converter, downloader, error, festplatte, firefox, flash player, fontcache, google, helper, launch, logfile, mp3, nicht möglich, plug-in, problem, realtek, registry, rundll, scan, searchscopes, senden, software, trojaner, trojaner tr/atraps.gen, unerwarteter fehler, wbemess.dll, windows, windows xp, wscript.exe


« GVU Virus mit WebCam | Live Security Platinium Infektion »


Ähnliche Themen: Trojaner TR/ATRAPS.Gen in C:/Windows/Installer/... - wer hilft mir bitte, ihn auszulöschen?


  1. TR/ATRAPS.Gen2 in C:\windows\installer\...\80000032.@ Avira Fund auf Vista PC
    Log-Analyse und Auswertung - 27.07.2013 (23)
  2. TR/ATRAPS.Gen2 gefunden in Windows\installer
    Plagegeister aller Art und deren Bekämpfung - 15.06.2013 (53)
  3. Avira findet TR/Sirefef.16896 und TR/ATRAPS.Gen und TR/ATRAPS.Gen2 in Windows\Installer und W32/Patched.UA in Windows\System32\service.exe
    Plagegeister aller Art und deren Bekämpfung - 14.11.2012 (23)
  4. Avira: TR/ATRAPS.Gen und TR/ATRAPS.Gen2 in C:\Windows\Installer...
    Plagegeister aller Art und deren Bekämpfung - 26.10.2012 (9)
  5. TR/ATRAPS.Gen2, TR/Sirefef.16896 (in C:\Windows\Installer\...) und W32/Patched.UA (C:\Windows\System32\services.exe)
    Plagegeister aller Art und deren Bekämpfung - 04.09.2012 (5)
  6. Avira findet TR/ATRAPS.GEN in C:\WINDOWS\Installer\
    Plagegeister aller Art und deren Bekämpfung - 31.08.2012 (3)
  7. C:\WINDOWS\Installer\...\80000000.@ Ist das Trojanische Pferd TR/ATRAPS.Gen
    Plagegeister aller Art und deren Bekämpfung - 21.08.2012 (7)
  8. Avira: 800000cb.@ TR/ATRAPS.Gen und TR/ATRAPS.Gen2 in C:\Windows\Installer\.. und weitere Pfaden
    Plagegeister aller Art und deren Bekämpfung - 16.08.2012 (25)
  9. TR/ATRAPS.Gen2 in C:\Windows\Installer\{bd**65e7}\U\80000064.@
    Plagegeister aller Art und deren Bekämpfung - 13.08.2012 (18)
  10. Trojaner TR/ATRAPS.Gen2 in c:\windows\installer...
    Plagegeister aller Art und deren Bekämpfung - 06.08.2012 (1)
  11. TR/ATRAPS.Gen in 'C:/Windows/Installer/.../80000000.@'
    Plagegeister aller Art und deren Bekämpfung - 02.08.2012 (20)
  12. TR/ATRAPS.GEN, TR/ATRAPS.GEN2 in C:\Windows\Installer\{...}
    Plagegeister aller Art und deren Bekämpfung - 13.07.2012 (5)
  13. TR/ATRAPS.Gen und TR/ATRAPS.Gen2 in C:\WINDOWS\Installer\...
    Plagegeister aller Art und deren Bekämpfung - 11.07.2012 (1)
  14. TR/ATRAPS GEN2 in Windows Installer und Lokale Einstellungen
    Log-Analyse und Auswertung - 11.07.2012 (1)
  15. TR/ATRAPS.GEN, TR/ATRAPS.GEN2 in C:\Windows\Installer\{...} und JAVA/Dldr.Lamar.CI
    Mülltonne - 09.07.2012 (2)
  16. TR/ATRAPS.GEN2 in C:/Windows/Installer/xxx/800000.32@ gefunden
    Plagegeister aller Art und deren Bekämpfung - 14.06.2012 (14)
  17. TR/ATRAPS.Gen2 und TR/Sirefef.AG.35 in C:Windows\Installer\
    Log-Analyse und Auswertung - 14.06.2012 (3)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Trojaner TR/ATRAPS.Gen in C:/Windows/Installer/... - wer hilft mir bitte, ihn auszulöschen? - Hallo! Erstmal ein dickes Danke an alle fleißigen Helfer hier! Seit heute Nacht findet Avira bei mir den Trojaner AR/ATRAPS.Gen unter C:\WINDOWS\Installer\{5ab4a4f5-03fb-d6c0-8ce7-22d0618bc2bd}\U\80000000.@ [FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen [HINWEIS] Die - Trojaner TR/ATRAPS.Gen in C:/Windows/Installer/... - wer hilft mir bitte, ihn auszulöschen?...
Archiv
Du betrachtest: Trojaner TR/ATRAPS.Gen in C:/Windows/Installer/... - wer hilft mir bitte, ihn auszulöschen? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55