TR/ATRAPS.Gen , TR/ATRAPS.Gen2 und Live Security Platinum gefunden

Mithras · 09.07.2012, 19:48

Hallo allerseits,

ich hab heut Nachmittag von Avira die beiden Funde TR/ATRAPS.Gen und TR/ATRAPS.Gen2 gemeldet bekommen. Daraufhin erschien auch dieses Live-Security-Platinum-Programm und hat meinen Firefox beendet.

Das Ding hab ich dann über Systemsteuerung -> Software (ich benutze Windows XP) zumindest soweit entfernen können, dass wieder an den Browser drankomme. Irgendwelche Hinterlassenschaften oder Beiträchtigungen sind mir bisher nicht aufgefallen.

Jedoch sind da noch die genannten avira-Funde, die dieses immer wieder meldet und auch nicht beseitigt.

Ich wäre sehr dankbar, wenn mir hierbei jemand helfen könnte.

Direkt nach den Funden hab ich einen Avira-Scan laufen lassen, hier der Log:

Code:

ATTFilter


Avira Free Antivirus
Erstellungsdatum der Reportdatei: Montag, 9. Juli 2012  17:27

Es wird nach 3851993 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira AntiVir Personal - Free Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Microsoft Windows XP
Windowsversion : (Service Pack 3)  [5.1.2600]
Boot Modus     : Normal gebootet
Benutzername   : Mithras
Computername   : GUTHWINE

Versionsinformationen:
BUILD.DAT      : 12.0.0.1125    41829 Bytes  02.05.2012 16:34:00
AVSCAN.EXE     : 12.3.0.15     466896 Bytes  01.05.2012 22:48:48
AVSCAN.DLL     : 12.3.0.15      66256 Bytes  02.05.2012 00:02:50
LUKE.DLL       : 12.3.0.15      68304 Bytes  01.05.2012 23:31:47
AVSCPLR.DLL    : 12.3.0.14      97032 Bytes  01.05.2012 22:13:36
AVREG.DLL      : 12.3.0.17     232200 Bytes  04.06.2012 12:34:56
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 18:18:34
VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 23:22:12
VBASE002.VDF   : 7.11.19.170 14374912 Bytes  20.12.2011 23:31:36
VBASE003.VDF   : 7.11.21.238  4472832 Bytes  01.02.2012 09:58:50
VBASE004.VDF   : 7.11.26.44   4329472 Bytes  28.03.2012 10:43:53
VBASE005.VDF   : 7.11.34.116  4034048 Bytes  29.06.2012 07:15:45
VBASE006.VDF   : 7.11.34.117     2048 Bytes  29.06.2012 07:15:45
VBASE007.VDF   : 7.11.34.118     2048 Bytes  29.06.2012 07:15:45
VBASE008.VDF   : 7.11.34.119     2048 Bytes  29.06.2012 07:15:45
VBASE009.VDF   : 7.11.34.120     2048 Bytes  29.06.2012 07:15:45
VBASE010.VDF   : 7.11.34.121     2048 Bytes  29.06.2012 07:15:45
VBASE011.VDF   : 7.11.34.122     2048 Bytes  29.06.2012 07:15:45
VBASE012.VDF   : 7.11.34.123     2048 Bytes  29.06.2012 07:15:45
VBASE013.VDF   : 7.11.34.124     2048 Bytes  29.06.2012 07:15:45
VBASE014.VDF   : 7.11.34.201   169472 Bytes  02.07.2012 07:15:47
VBASE015.VDF   : 7.11.35.19    122368 Bytes  04.07.2012 07:15:44
VBASE016.VDF   : 7.11.35.87    146944 Bytes  06.07.2012 10:58:17
VBASE017.VDF   : 7.11.35.88      2048 Bytes  06.07.2012 10:58:18
VBASE018.VDF   : 7.11.35.89      2048 Bytes  06.07.2012 10:58:18
VBASE019.VDF   : 7.11.35.90      2048 Bytes  06.07.2012 10:58:18
VBASE020.VDF   : 7.11.35.91      2048 Bytes  06.07.2012 10:58:18
VBASE021.VDF   : 7.11.35.92      2048 Bytes  06.07.2012 10:58:18
VBASE022.VDF   : 7.11.35.93      2048 Bytes  06.07.2012 10:58:18
VBASE023.VDF   : 7.11.35.94      2048 Bytes  06.07.2012 10:58:18
VBASE024.VDF   : 7.11.35.95      2048 Bytes  06.07.2012 10:58:18
VBASE025.VDF   : 7.11.35.96      2048 Bytes  06.07.2012 10:58:18
VBASE026.VDF   : 7.11.35.97      2048 Bytes  06.07.2012 10:58:18
VBASE027.VDF   : 7.11.35.98      2048 Bytes  06.07.2012 10:58:18
VBASE028.VDF   : 7.11.35.99      2048 Bytes  06.07.2012 10:58:18
VBASE029.VDF   : 7.11.35.100     2048 Bytes  06.07.2012 10:58:18
VBASE030.VDF   : 7.11.35.101     2048 Bytes  06.07.2012 10:58:18
VBASE031.VDF   : 7.11.35.134   107520 Bytes  09.07.2012 10:58:22
Engineversion  : 8.2.10.106
AEVDF.DLL      : 8.1.2.8       106867 Bytes  04.06.2012 12:34:55
AESCRIPT.DLL   : 8.1.4.32      455034 Bytes  07.07.2012 10:58:20
AESCN.DLL      : 8.1.8.2       131444 Bytes  16.02.2012 16:11:36
AESBX.DLL      : 8.2.5.12      606578 Bytes  14.06.2012 22:46:33
AERDL.DLL      : 8.1.9.15      639348 Bytes  20.01.2012 23:21:32
AEPACK.DLL     : 8.2.16.22     807288 Bytes  22.06.2012 07:15:55
AEOFFICE.DLL   : 8.1.2.40      201082 Bytes  29.06.2012 07:15:44
AEHEUR.DLL     : 8.1.4.64     5009782 Bytes  07.07.2012 10:58:20
AEHELP.DLL     : 8.1.23.2      258422 Bytes  29.06.2012 07:15:42
AEGEN.DLL      : 8.1.5.32      434548 Bytes  07.07.2012 10:58:18
AEEXP.DLL      : 8.1.0.60       86388 Bytes  07.07.2012 10:58:21
AEEMU.DLL      : 8.1.3.0       393589 Bytes  20.01.2012 23:21:29
AECORE.DLL     : 8.1.25.10     201080 Bytes  04.06.2012 12:34:53
AEBB.DLL       : 8.1.1.0        53618 Bytes  20.01.2012 23:21:28
AVWINLL.DLL    : 12.3.0.15      27344 Bytes  01.05.2012 22:59:21
AVPREF.DLL     : 12.3.0.15      51920 Bytes  01.05.2012 22:44:31
AVREP.DLL      : 12.3.0.15     179208 Bytes  01.05.2012 22:13:35
AVARKT.DLL     : 12.3.0.15     211408 Bytes  01.05.2012 22:21:32
AVEVTLOG.DLL   : 12.3.0.15     169168 Bytes  01.05.2012 22:28:49
SQLITE3.DLL    : 3.7.0.1       398288 Bytes  16.04.2012 21:11:02
AVSMTP.DLL     : 12.3.0.15      63440 Bytes  01.05.2012 22:51:35
NETNT.DLL      : 12.3.0.15      17104 Bytes  01.05.2012 23:33:29
RCIMAGE.DLL    : 12.3.0.15    4447952 Bytes  02.05.2012 00:03:51
RCTEXT.DLL     : 12.3.0.15      98512 Bytes  02.05.2012 00:03:51

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Schnelle Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\quicksysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, 
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Intelligente Dateiauswahl
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: vollständig
Abweichende Gefahrenkategorien........: +PFS,

Beginn des Suchlaufs: Montag, 9. Juli 2012  17:27

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD1
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD2
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD3
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess '529C539F000D15D4000B4C21D151FC4E.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'VC10SecS.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'StarWindServiceAE.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
D:\Programme\Elaborate Bytes\VirtualCloneDrive\vcd-uninst.exe
  [WARNUNG]   Die komprimierten Daten sind fehlerhaft
D:\Programme\gs\gs9.04\uninstgs.exe
  [WARNUNG]   Unerwartetes Dateiende erreicht
Die Registry wurde durchsucht ( '5656' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\Dokumente und Einstellungen\Mithras'
C:\Dokumente und Einstellungen\Mithras\Lokale Einstellungen\Temp\5ObOBcvS.rar.part
  [WARNUNG]   Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt  (multiple volume)
C:\Dokumente und Einstellungen\Mithras\Lokale Einstellungen\Temp\aClm+3fV.rar.part
  [WARNUNG]   Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt  (multiple volume)
C:\Dokumente und Einstellungen\Mithras\Lokale Einstellungen\Temp\Im77kj6c.rar.part
  [WARNUNG]   Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt  (multiple volume)
C:\Dokumente und Einstellungen\Mithras\Lokale Einstellungen\Temp\MLCi2y6F.rar.part
  [WARNUNG]   Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt  (multiple volume)
Beginne mit der Suche in 'C:\WINDOWS'
C:\WINDOWS\Installer\{8ac188d1-d5de-ce2c-e642-369ab8c5bdbc}\U\80000000.@
  [FUND]      Ist das Trojanische Pferd TR/ATRAPS.Gen
C:\WINDOWS\Installer\{8ac188d1-d5de-ce2c-e642-369ab8c5bdbc}\U\800000cb.@
  [FUND]      Ist das Trojanische Pferd TR/ATRAPS.Gen2
Beginne mit der Suche in 'C:\Dokumente und Einstellungen\All Users'
Beginne mit der Suche in 'C:\Programme'

Beginne mit der Desinfektion:
C:\WINDOWS\Installer\{8ac188d1-d5de-ce2c-e642-369ab8c5bdbc}\U\800000cb.@
  [FUND]      Ist das Trojanische Pferd TR/ATRAPS.Gen2
  [WARNUNG]   Die Datei wurde ignoriert.
C:\WINDOWS\Installer\{8ac188d1-d5de-ce2c-e642-369ab8c5bdbc}\U\80000000.@
  [FUND]      Ist das Trojanische Pferd TR/ATRAPS.Gen
  [WARNUNG]   Die Datei wurde ignoriert.


Ende des Suchlaufs: Montag, 9. Juli 2012  18:21
Benötigte Zeit: 47:02 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

   3439 Verzeichnisse wurden überprüft
 117162 Dateien wurden geprüft
      2 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 117160 Dateien ohne Befall
    558 Archive wurden durchsucht
      8 Warnungen
      0 Hinweise

Und hier der OTL-log

Code:

ATTFilter

OTL logfile created on: 09.07.2012 19:14:24 - Run 2
OTL by OldTimer - Version 3.2.53.1     Folder = C:\Dokumente und Einstellungen\Mithras\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.5512)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1022,42 Mb Total Physical Memory | 657,25 Mb Available Physical Memory | 64,28% Memory free
2,90 Gb Paging File | 2,50 Gb Available in Paging File | 86,32% Paging File free
Paging file location(s): c:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 20,00 Gb Total Space | 11,49 Gb Free Space | 57,47% Space Free | Partition Type: NTFS
Drive D: | 25,00 Gb Total Space | 19,79 Gb Free Space | 79,13% Space Free | Partition Type: NTFS
Drive E: | 104,04 Gb Total Space | 45,95 Gb Free Space | 44,16% Space Free | Partition Type: NTFS
Drive F: | 1397,26 Gb Total Space | 510,50 Gb Free Space | 36,54% Space Free | Partition Type: NTFS
Drive S: | 372,61 Gb Total Space | 88,02 Gb Free Space | 23,62% Space Free | Partition Type: NTFS
 
Computer Name: GUTHWINE | User Name: Mithras | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - C:\Dokumente und Einstellungen\Mithras\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira Operations GmbH & Co. KG)
PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira Operations GmbH & Co. KG)
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira Operations GmbH & Co. KG)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
 
 
========== Modules (No Company Name) ==========
 
MOD - C:\Programme\Avira\AntiVir Desktop\sqlite3.dll ()
MOD - D:\WinRAR\RarExt.dll ()
MOD - D:\Programme\Exifer\ExiferShellExt.dll ()
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (HidServ) -- %SystemRoot%\System32\hidserv.dll File not found
SRV - (MozillaMaintenance) -- C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe (Mozilla Foundation)
SRV - (SpyHunter 4 Service) -- C:\Programme\Enigma Software Group\SpyHunter\SH4Service.exe (Enigma Software Group USA, LLC.)
SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira Operations GmbH & Co. KG)
SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira Operations GmbH & Co. KG)
SRV - (VC10SecS) -- D:\Programme\Virtual CD v10\System\VC10SecS.exe (H+H Software GmbH)
SRV - (StarWindServiceAE) -- D:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe (Rocket Division Software)
SRV - (ANIWZCSdService) -- C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe (Wireless Service)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (WDICA) --  File not found
DRV - (PDRFRAME) --  File not found
DRV - (PDRELI) --  File not found
DRV - (PDFRAME) --  File not found
DRV - (PDCOMP) --  File not found
DRV - (PCIDump) --  File not found
DRV - (lbrtfdc) --  File not found
DRV - (Jukebox3) -- system32\DRIVERS\ctpdusb.sys File not found
DRV - (i2omgmt) --  File not found
DRV - (hwdatacard) -- system32\DRIVERS\ewusbmdm.sys File not found
DRV - (Changer) --  File not found
DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH)
DRV - (avkmgr) -- C:\WINDOWS\system32\drivers\avkmgr.sys (Avira GmbH)
DRV - (dtsoftbus01) -- C:\WINDOWS\system32\drivers\dtsoftbus01.sys (DT Soft Ltd)
DRV - (sptd) -- C:\WINDOWS\system32\drivers\sptd.sys (Duplex Secure Ltd.)
DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (vdrv1000) -- C:\WINDOWS\system32\drivers\vdrv1000.sys (H+H Software GmbH)
DRV - (HH10Help.sys) -- C:\WINDOWS\system32\drivers\HH10Help.sys (H+H Software GmbH)
DRV - (ati2mtag) -- C:\WINDOWS\system32\drivers\ati2mtag.sys (ATI Technologies Inc.)
DRV - (RT73) -- C:\WINDOWS\system32\drivers\Dr71WU.sys (Ralink Technology, Corp.)
DRV - (nvata) -- C:\WINDOWS\system32\drivers\nvata.sys (NVIDIA Corporation)
DRV - (nvnetbus) -- C:\WINDOWS\system32\drivers\nvnetbus.sys (NVIDIA Corporation)
DRV - (NVENETFD) -- C:\WINDOWS\system32\drivers\NVENETFD.sys (NVIDIA Corporation)
DRV - (ANIO) -- C:\WINDOWS\system32\ANIO.sys (Alpha Networks Inc.)
DRV - (EverestDriver) -- D:\Lavalys\EVEREST Home Edition\kerneld.wnt ()
DRV - (nvnforce) Service for NVIDIA(R) nForce(TM) -- C:\WINDOWS\system32\drivers\nvapu.sys (NVIDIA Corporation)
DRV - (nvax) Service for NVIDIA(R) nForce(TM) -- C:\WINDOWS\system32\drivers\nvax.sys (NVIDIA Corporation)
DRV - (nvatabus) -- C:\WINDOWS\system32\drivers\nvatabus.sys (NVIDIA Corporation)
DRV - (BCM43XX) -- C:\WINDOWS\system32\drivers\BCMWL5.SYS (Broadcom Corporation)
DRV - (DgiVecp) -- C:\WINDOWS\system32\drivers\DGIVECP.SYS (DeviceGuys, Inc.)
DRV - (irsir) -- C:\WINDOWS\system32\drivers\irsir.sys (Microsoft Corporation)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
IE - HKLM\..\SearchScopes,DefaultScope = {EEE6C360-6118-11DC-9C72-001320C79847}
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://start.facemoods.com/?a=ddrnw
IE - HKCU\..\SearchScopes,DefaultScope = {0D7562AE-8EF6-416d-A838-AB665251703A}
IE - HKCU\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = hxxp://start.facemoods.com/?a=ddrnw&s={searchTerms}&f=4
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.search.defaultenginename: "Facemoods Search"
FF - prefs.js..browser.search.defaulturl: "hxxp://search.sweetim.com/search.asp?src=2&q="
FF - prefs.js..browser.search.selectedEngine: "LEO Eng-Deu"
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..browser.startup.homepage: "hxxp://de.start3.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:de:official"
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20
FF - prefs.js..extensions.enabledItems: {a7c6cf7f-112c-4500-a7ea-39801a327e5f}:1.0.10
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}:6.0.21
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}:6.0.24
 
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@adobe.com/ShockwavePlayer: C:\WINDOWS\system32\Adobe\Director\np32dsw.dll (Adobe Systems, Inc.)
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Browser Plugin,version=1.0.0: C:\Programme\DivX\DivX Plus Web Player\npdivx32.dll (DivX,Inc.)
FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Programme\Google\Google Earth\plugin\npgeplugin.dll (Google)
FF - HKLM\Software\MozillaPlugins\@google.com/npPicasa3,version=3.0.0: D:\Programme\Google\Picasa3\npPicasa3.dll (Google, Inc.)
FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=1.6.0_32: C:\WINDOWS\system32\npdeployJava1.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\plugin2\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nppl3260;version=6.0.11.2240: D:\Programme\Real\RealPlayer\Netscape6\nppl3260.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nprjplug;version=1.0.2.2298: D:\Programme\Real\RealPlayer\Netscape6\nprjplug.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nprpjplug;version=6.0.12.1348: D:\Programme\Real\RealPlayer\Netscape6\nprpjplug.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=:  File not found
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Programme\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Programme\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Dokumente und Einstellungen\Mithras\Lokale Einstellungen\Anwendungsdaten\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Dokumente und Einstellungen\Mithras\Lokale Einstellungen\Anwendungsdaten\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 13.0.1\extensions\\Components: D:\Mozilla Firefox\components [2012.06.25 21:58:44 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 13.0.1\extensions\\Plugins: D:\Mozilla Firefox\plugins [2012.05.09 17:19:47 | 000,000,000 | ---D | M]
 
[2009.03.14 01:30:24 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Mithras\Anwendungsdaten\Mozilla\Extensions
[2012.07.06 12:54:01 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Mithras\Anwendungsdaten\Mozilla\Firefox\Profiles\oqv167sy.default\extensions
[2012.01.21 17:31:31 | 000,000,000 | ---D | M] ("Free YouTube Download (Free Studio) Menu") -- C:\Dokumente und Einstellungen\Mithras\Anwendungsdaten\Mozilla\Firefox\Profiles\oqv167sy.default\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}
[2012.07.06 12:54:01 | 000,340,684 | ---- | M] () (No name found) -- C:\DOKUMENTE UND EINSTELLUNGEN\MITHRAS\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\OQV167SY.DEFAULT\EXTENSIONS\{A7C6CF7F-112C-4500-A7EA-39801A327E5F}.XPI
[2011.05.29 16:05:02 | 000,002,048 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\fcmdSrch.xml
 
O1 HOSTS File: ([2008.04.14 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.)
O2 - BHO: (SweetIM Toolbar Helper) - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll File not found
O3 - HKLM\..\Toolbar: (SweetIM Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll File not found
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
O4 - HKLM..\Run: [ControlCenter3] C:\Programme\Brother\ControlCenter3\brctrcen.exe (Brother Industries, Ltd.)
O4 - HKLM..\Run: [D-Link AirPlus XtremeG DWL-G122] D:\Programme\D-Link\AirPlus XtremeG DWL-G122\AirGCFG.exe (D-Link)
O4 - HKLM..\Run: [NVMixerTray] C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe (NVIDIA Corporation)
O4 - HKLM..\Run: [SpyHunter Security Suite] C:\Programme\Enigma Software Group\SpyHunter\SpyHunter4.exe (Enigma Software Group USA, LLC.)
O4 - HKLM..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe (Advanced Micro Devices, Inc.)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe (RealNetworks, Inc.)
O4 - HKCU..\Run: [{A57F3108-5F9D-2F71-C6B1-338CEC72C6CB}] C:\Dokumente und Einstellungen\Mithras\Anwendungsdaten\Zirow\liazabe.exe (ЗАО "Вычислительные силы")
O4 - HKCU..\Run: [Ruogupn] C:\Dokumente und Einstellungen\Mithras\Anwendungsdaten\Paylyp\epfet.exe ()
O4 - Startup: C:\Dokumente und Einstellungen\Mithras\Startmenü\Programme\Autostart\Dropbox.lnk = C:\Dokumente und Einstellungen\Mithras\Anwendungsdaten\Dropbox\bin\Dropbox.exe (Dropbox, Inc.)
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O8 - Extra context menu item: Add to Google Photos Screensa&ver - C:\WINDOWS\System32\GPhotos.scr (Google Inc.)
O8 - Extra context menu item: Free YouTube to MP3 Converter - C:\Dokumente und Einstellungen\Mithras\Anwendungsdaten\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm ()
O12 - Plugin for: .mu3 - C:\Programme\Internet Explorer\Plugins\NPMyrMus.dll (Myriad Software.)
O12 - Plugin for: .mus - C:\Programme\Internet Explorer\Plugins\NPMyrMus.dll (Myriad Software.)
O12 - Plugin for: .mxl - C:\Programme\Internet Explorer\Plugins\NPMyrMus.dll (Myriad Software.)
O12 - Plugin for: .mya - C:\Programme\Internet Explorer\Plugins\NPMyrMus.dll (Myriad Software.)
O12 - Plugin for: .myr - C:\Programme\Internet Explorer\Plugins\NPMyrMus.dll (Myriad Software.)
O12 - Plugin for: .myt - C:\Programme\Internet Explorer\Plugins\NPMyrMus.dll (Myriad Software.)
O12 - Plugin for: .xmz - C:\Programme\Internet Explorer\Plugins\NPMyrMus.dll (Myriad Software.)
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} hxxp://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB (Reg Error: Key error.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_32-windows-i586.cab (Java Plug-in 1.6.0_32)
O16 - DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)
O16 - DPF: {CAFEEFAC-0016-0000-0032-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_32-windows-i586.cab (Java Plug-in 1.6.0_32)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_32-windows-i586.cab (Java Plug-in 1.6.0_32)
O16 - DPF: DirectAnimation Java Classes file://C:\WINDOWS\Java\classes\dajava.cab (Reg Error: Key error.)
O16 - DPF: Microsoft XML Parser for Java file://C:\WINDOWS\Java\classes\xmldso.cab (Reg Error: Key error.)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.4
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{02AFF3EA-4777-4FEE-97A1-34A7451109AC}: DhcpNameServer = 192.168.2.4
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{457CAFAE-8532-43C6-AFE5-360B1972530B}: DhcpNameServer = 192.168.0.2
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{665C1429-2AC8-4252-8ECA-56578FDD54D1}: DhcpNameServer = 192.168.2.4
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\vnd.ms.radio {3DA2AA3B-3D96-11D2-9BD2-204C4F4F5020} - C:\WINDOWS\system32\msdxm.ocx (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O20 - Winlogon\Notify\AtiExtEvent: DllName - (Ati2evxx.dll) - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Mithras\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Mithras\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.02.22 16:40:13 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{155b73f2-e0ba-11e0-a7db-002401095313}\Shell - "" = AutoRun
O33 - MountPoints2\{155b73f2-e0ba-11e0-a7db-002401095313}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{155b73f2-e0ba-11e0-a7db-002401095313}\Shell\AutoRun\command - "" = G:\setup.exe
O33 - MountPoints2\{b39a1f6e-00f3-11de-a8c2-806d6172696f}\Shell - "" = AutoRun
O33 - MountPoints2\{b39a1f6e-00f3-11de-a8c2-806d6172696f}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{b39a1f6e-00f3-11de-a8c2-806d6172696f}\Shell\AutoRun\command - "" = G:\_AUTORUN\AUTORUN.EXE
O33 - MountPoints2\{f976c9dd-63cb-11e0-a78e-002401095313}\Shell - "" = AutoRun
O33 - MountPoints2\{f976c9dd-63cb-11e0-a78e-002401095313}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{f976c9dd-63cb-11e0-a78e-002401095313}\Shell\AutoRun\command - "" = M:\AutoRun.exe
O33 - MountPoints2\{f976c9e0-63cb-11e0-a78e-002401095313}\Shell - "" = AutoRun
O33 - MountPoints2\{f976c9e0-63cb-11e0-a78e-002401095313}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{f976c9e0-63cb-11e0-a78e-002401095313}\Shell\AutoRun\command - "" = M:\AutoRun.exe
O34 - HKLM BootExecute: (autocheck autochk *)
O34 - HKLM BootExecute: (sprestrt)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012.07.09 19:10:47 | 000,595,968 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Mithras\Desktop\OTL.exe
[2012.07.09 18:26:05 | 000,595,968 | ---- | C] (OldTimer Tools) -- F:\OTL.exe
[2012.07.09 17:42:40 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Mithras\Startmenü\Programme\SpyHunter
[2012.07.09 17:41:47 | 000,000,000 | ---D | C] -- C:\Programme\Enigma Software Group
[2012.07.09 17:39:45 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
[2012.07.09 17:39:03 | 000,725,440 | ---- | C] (Enigma Software Group USA, LLC.) -- F:\SpyHunter-Installer.exe
[2012.07.09 17:33:14 | 000,047,360 | ---- | C] (VSO Software) -- C:\Dokumente und Einstellungen\Mithras\Anwendungsdaten\pcouffin.sys
[2012.07.09 17:33:13 | 000,000,000 | ---D | C] -- F:\PcSetup
[2012.07.09 17:20:22 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Mithras\Anwendungsdaten\Yzlog
[2012.07.09 17:20:22 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Mithras\Anwendungsdaten\Paylyp
[2012.07.09 17:20:22 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Mithras\Anwendungsdaten\Elpyo
[2012.07.09 17:19:23 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\529C539F000D15D4000B4C21D151FC4E
[2012.07.09 17:19:17 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Mithras\Anwendungsdaten\Zirow
[2012.07.09 17:19:17 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Mithras\Anwendungsdaten\Osfoym
[2012.06.18 22:55:30 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Mithras\Anwendungsdaten\inkscape
[2012.06.12 22:33:30 | 000,000,000 | ---D | C] -- F:\France 2012
[2012.06.12 13:41:09 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Brother
[2012.06.12 13:36:16 | 000,000,000 | ---D | C] -- C:\Programme\Brother
[2012.06.12 13:36:13 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\DRVSTORE
[2012.06.12 13:36:09 | 000,057,856 | ---- | C] (Brother Industries,Ltd.) -- C:\WINDOWS\System32\brinsstr.dll
[2012.06.12 13:36:08 | 000,094,208 | R--- | C] (Brother Industries Ltd.) -- C:\WINDOWS\System32\BrDctF2.dll
[2012.06.12 13:36:08 | 000,016,384 | R--- | C] (Brother Industries Ltd.) -- C:\WINDOWS\System32\BrDctF2L.dll
[2012.06.12 13:36:08 | 000,012,288 | R--- | C] (Brother Industries Ltd.) -- C:\WINDOWS\System32\BrDctF2S.dll
[2012.06.12 13:36:04 | 000,176,128 | ---- | C] (Brother Industries, Ltd.) -- C:\WINDOWS\System32\BroSNMP.dll
[2012.06.12 13:35:43 | 000,163,840 | ---- | C] (brother) -- C:\WINDOWS\System32\NSSearch.dll
[2012.06.12 13:35:43 | 000,061,952 | ---- | C] (Brother Industries, Ltd.) -- C:\WINDOWS\System32\BrNetSti.dll
[2012.06.12 13:35:43 | 000,037,376 | ---- | C] (Brother Industries,Ltd) -- C:\WINDOWS\System32\Brnsplg.dll
[2012.06.12 13:35:43 | 000,034,816 | ---- | C] (Brother Industries,Ltd.) -- C:\WINDOWS\System32\BrWiaNCp.dll
[2012.06.12 13:35:42 | 000,018,944 | ---- | C] (Brother Industries,Ltd.) -- C:\WINDOWS\System32\BrnStiCp.cpl
[2012.06.12 13:35:41 | 000,009,728 | ---- | C] (Brother Industries, Ltd.) -- C:\WINDOWS\System32\BrSti07a.dll
[2012.06.12 13:35:36 | 000,000,000 | ---D | C] -- C:\Brother
[2012.06.12 13:35:35 | 000,131,072 | ---- | C] (Brother Industries,Ltd.) -- C:\WINDOWS\brunin03.dll
[2012.06.12 13:34:52 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Brother
[2012.06.10 00:52:43 | 000,000,000 | ---D | C] -- C:\Programme\Dropbox
[52 F:\*.tmp files -> F:\*.tmp -> ]
[5 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[19 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2012.07.09 19:09:58 | 000,000,020 | ---- | M] () -- C:\Dokumente und Einstellungen\Mithras\defogger_reenable
[2012.07.09 19:08:39 | 000,050,477 | ---- | M] () -- C:\Dokumente und Einstellungen\Mithras\Desktop\Defogger.exe
[2012.07.09 19:04:00 | 000,001,218 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-1644491937-1220945662-1177238915-1003UA.job
[2012.07.09 18:26:05 | 000,595,968 | ---- | M] (OldTimer Tools) -- F:\OTL.exe
[2012.07.09 18:26:05 | 000,595,968 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Mithras\Desktop\OTL.exe
[2012.07.09 18:19:01 | 000,001,092 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2012.07.09 17:42:41 | 000,001,963 | ---- | M] () -- C:\Dokumente und Einstellungen\Mithras\Desktop\SpyHunter.lnk
[2012.07.09 17:39:03 | 000,725,440 | ---- | M] (Enigma Software Group USA, LLC.) -- F:\SpyHunter-Installer.exe
[2012.07.09 17:33:14 | 000,087,608 | ---- | M] () -- C:\Dokumente und Einstellungen\Mithras\Anwendungsdaten\inst.exe
[2012.07.09 17:33:14 | 000,047,360 | ---- | M] (VSO Software) -- C:\Dokumente und Einstellungen\Mithras\Anwendungsdaten\pcouffin.sys
[2012.07.09 17:33:14 | 000,007,887 | ---- | M] () -- C:\Dokumente und Einstellungen\Mithras\Anwendungsdaten\pcouffin.cat
[2012.07.09 17:33:14 | 000,001,144 | ---- | M] () -- C:\Dokumente und Einstellungen\Mithras\Anwendungsdaten\pcouffin.inf
[2012.07.09 15:28:57 | 000,725,791 | ---- | M] () -- F:\ds-skript12.pdf
[2012.07.09 03:19:00 | 000,001,088 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2012.07.09 01:20:37 | 000,405,118 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2012.07.09 01:20:37 | 000,392,296 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2012.07.09 01:20:37 | 000,070,580 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2012.07.09 01:20:37 | 000,058,596 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2012.07.09 01:16:28 | 000,000,007 | ---- | M] () -- C:\WINDOWS\System32\ANIWZCSUSERNAME{02AFF3EA-4777-4FEE-97A1-34A7451109AC}
[2012.07.09 01:16:26 | 000,002,250 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2012.07.09 01:16:13 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2012.07.07 21:04:00 | 000,001,166 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-1644491937-1220945662-1177238915-1003Core.job
[2012.07.07 17:28:43 | 000,240,640 | ---- | M] () -- C:\Dokumente und Einstellungen\Mithras\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2012.07.01 21:18:52 | 000,020,915 | ---- | M] () -- F:\Rechnung 30.06.2012.pdf
[2012.06.20 13:21:03 | 000,690,021 | ---- | M] () -- F:\parzival_final.png
[2012.06.19 20:06:44 | 000,000,706 | ---- | M] () -- C:\Dokumente und Einstellungen\Mithras\.recently-used.xbel
[2012.06.18 23:00:26 | 084,814,734 | ---- | M] () -- F:\parzival_final.bmp
[2012.06.18 22:53:59 | 000,000,565 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Inkscape.lnk
[2012.06.12 13:41:03 | 000,000,425 | ---- | M] () -- C:\WINDOWS\BRWMARK.INI
[2012.06.12 13:41:03 | 000,000,027 | ---- | M] () -- C:\WINDOWS\BRPP2KA.INI
[2012.06.12 13:36:29 | 000,000,050 | ---- | M] () -- C:\WINDOWS\System32\bridf07a.dat
[2012.06.10 03:13:01 | 000,001,324 | ---- | M] () -- C:\WINDOWS\System32\d3d9caps.dat
[2012.06.10 00:52:53 | 000,001,048 | ---- | M] () -- C:\Dokumente und Einstellungen\Mithras\Startmenü\Programme\Autostart\Dropbox.lnk
[2012.06.10 00:52:38 | 000,001,044 | ---- | M] () -- C:\Dokumente und Einstellungen\Mithras\Desktop\Dropbox.lnk
[52 F:\*.tmp files -> F:\*.tmp -> ]
[5 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[19 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2012.07.09 19:09:55 | 000,000,020 | ---- | C] () -- C:\Dokumente und Einstellungen\Mithras\defogger_reenable
[2012.07.09 19:08:39 | 000,050,477 | ---- | C] () -- C:\Dokumente und Einstellungen\Mithras\Desktop\Defogger.exe
[2012.07.09 18:06:24 | 000,018,944 | ---- | C] () -- C:\WINDOWS\Installer\{8ac188d1-d5de-ce2c-e642-369ab8c5bdbc}\U\800000cb.@
[2012.07.09 18:06:24 | 000,013,312 | ---- | C] () -- C:\WINDOWS\Installer\{8ac188d1-d5de-ce2c-e642-369ab8c5bdbc}\U\80000000.@
[2012.07.09 17:42:41 | 000,001,963 | ---- | C] () -- C:\Dokumente und Einstellungen\Mithras\Desktop\SpyHunter.lnk
[2012.07.09 17:33:14 | 000,087,608 | ---- | C] () -- C:\Dokumente und Einstellungen\Mithras\Anwendungsdaten\inst.exe
[2012.07.09 17:33:14 | 000,007,887 | ---- | C] () -- C:\Dokumente und Einstellungen\Mithras\Anwendungsdaten\pcouffin.cat
[2012.07.09 17:33:14 | 000,001,144 | ---- | C] () -- C:\Dokumente und Einstellungen\Mithras\Anwendungsdaten\pcouffin.inf
[2012.07.09 17:19:26 | 000,001,696 | ---- | C] () -- C:\WINDOWS\Installer\{8ac188d1-d5de-ce2c-e642-369ab8c5bdbc}\U\00000001.@
[2012.07.09 15:28:57 | 000,725,791 | ---- | C] () -- F:\ds-skript12.pdf
[2012.07.01 21:18:51 | 000,020,915 | ---- | C] () -- F:\Rechnung 30.06.2012.pdf
[2012.06.19 20:06:44 | 000,000,706 | ---- | C] () -- C:\Dokumente und Einstellungen\Mithras\.recently-used.xbel
[2012.06.18 23:00:05 | 084,814,734 | ---- | C] () -- F:\parzival_final.bmp
[2012.06.18 22:54:13 | 000,000,597 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Inkscape.lnk
[2012.06.18 22:53:59 | 000,000,565 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Inkscape.lnk
[2012.06.17 23:58:13 | 000,690,021 | ---- | C] () -- F:\parzival_final.png
[2012.06.12 13:36:29 | 000,000,050 | ---- | C] () -- C:\WINDOWS\System32\bridf07a.dat
[2012.06.12 13:35:43 | 000,106,496 | ---- | C] () -- C:\WINDOWS\System32\BrMuSNMP.dll
[2012.06.12 13:35:35 | 000,006,224 | ---- | C] () -- C:\WINDOWS\CVRPAGE.bmp
[2012.04.16 17:40:50 | 000,171,256 | ---- | C] () -- C:\WINDOWS\System32\MMPlugHostCtrl.dll
[2012.04.16 17:40:50 | 000,000,724 | ---- | C] () -- C:\WINDOWS\wacam.ini
[2011.12.23 23:27:04 | 000,021,840 | ---- | C] () -- C:\WINDOWS\System32\SIntfNT.dll
[2011.12.23 23:27:04 | 000,017,212 | ---- | C] () -- C:\WINDOWS\System32\SIntf32.dll
[2011.12.23 23:27:04 | 000,012,067 | ---- | C] () -- C:\WINDOWS\System32\SIntf16.dll
[2011.11.06 15:07:11 | 000,000,616 | ---- | C] () -- C:\Dokumente und Einstellungen\Mithras\.xmaximarc
[2011.10.17 14:27:32 | 000,000,043 | ---- | C] () -- C:\WINDOWS\gswin32.ini
[2011.03.08 19:10:15 | 000,001,324 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat
[2009.02.22 17:25:06 | 000,240,640 | ---- | C] () -- C:\Dokumente und Einstellungen\Mithras\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2008.04.14 14:00:00 | 000,002,048 | -HS- | C] () -- C:\WINDOWS\Installer\{8ac188d1-d5de-ce2c-e642-369ab8c5bdbc}\@
[2008.04.14 14:00:00 | 000,002,048 | -HS- | C] () -- C:\Dokumente und Einstellungen\Mithras\Lokale Einstellungen\Anwendungsdaten\{8ac188d1-d5de-ce2c-e642-369ab8c5bdbc}\@

< End of report >

im Anhang ist noch das Gmer-log und extras von OTL

EDIT: hab noch einen malwarebytes-scan durchgeführt, hier das log:

Code:

ATTFilter

Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.07.09.11

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 6.0.2900.5512
Mithras :: GUTHWINE [Administrator]

09.07.2012 21:11:31
mbam-log-2012-07-09 (21-17-40).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 188747
Laufzeit: 4 Minute(n), 10 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Ruogupn (Spyware.Zbot.Gen) -> Daten: "C:\Dokumente und Einstellungen\Mithras\Anwendungsdaten\Paylyp\epfet.exe" -> Keine Aktion durchgeführt.

Infizierte Dateiobjekte der Registrierung: 4
HKCR\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32| (Trojan.Zaccess) -> Bösartig: (\\.\globalroot\systemroot\Installer\{8ac188d1-d5de-ce2c-e642-369ab8c5bdbc}\n.) Gut: (wbemess.dll) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Keine Aktion durchgeführt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 4
C:\Dokumente und Einstellungen\Mithras\Anwendungsdaten\Paylyp\epfet.exe (Spyware.Zbot.Gen) -> Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Mithras\Lokale Einstellungen\Temp\~!#64.tmp (Spyware.Zbot.Gen) -> Keine Aktion durchgeführt.
C:\WINDOWS\Installer\{8ac188d1-d5de-ce2c-e642-369ab8c5bdbc}\n (Trojan.Dropper.PE4) -> Keine Aktion durchgeführt.
C:\WINDOWS\Installer\{8ac188d1-d5de-ce2c-e642-369ab8c5bdbc}\U\800000cb.@ (Rootkit.0Access) -> Keine Aktion durchgeführt.

(Ende)

markusg · 10.07.2012, 11:20

hi
nutzt du deinen pc für onlinebanking, zum einkaufen, für sonstige zahlungsabwicklungen, oder ähnlich wichtiges, wie berufliches?

Mithras · 10.07.2012, 13:27

Hallo,

onlinebanking ja, ansonsten noch amazon. Mein letzter Login ist ca. eine Woche her.
Wenn du schon so fragst, werd ich besser mal alle Passwörter von einem anderen PC aus ändern.

Der avira-guard hat heute noch was gefunden und in quarantäne geschickt:

Code:

ATTFilter

Exportierte Ereignisse:

10.07.2012 12:25 [System Scanner] Malware gefunden
      Die Datei 'C:\System Volume 
      Information\_restore{75F25768-A125-4AEB-8A61-F7E868D65BC4}\RP244\A0022541.exe'
      enthielt einen Virus oder unerwünschtes Programm 'TR/Trash.Gen' [trojan].
      Durchgeführte Aktion(en):
      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5332a7ec.qua' 
      verschoben!

markusg · 12.07.2012, 17:31

ja, außerdem:
der pc muss neu aufgesetzt und dann abgesichert werden
1. Datenrettung:

deaktiviere Autorun: http://www.trojaner-board.de/83238-a...sschalten.html
dann sichere Daten auf nen externen datenträger: http://www.trojaner-board.de/82533-d...ted-magic.html
Bilder, Dokumente, Musik Videos (persönliches) http://www.trojaner-board.de/71715-k...iendungen.html

2. Formatieren, Windows neu instalieren:

nutzt du eine Windows CD: http://www.trojaner-board.de/51262-a...sicherung.html
recovery cd oder recovery partition.
falls dies ein fertig pc ist, nenne hersteller + typ.
Keine Windows 7 DVD? http://www.trojaner-board.de/100776-...-download.html

3. PC absichern: http://www.trojaner-board.de/96344-a...-rechners.html
ich werde außerdem noch weitere punkte dazu posten.
4. alle Passwörter ändern!
5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen.
6. werde ich dann noch was zum absichern von Onlinebanking mit Chip Card Reader + Star Money sagen.

10.07.2012, 11:20	#2
markusg /// Malware-holic	TR/ATRAPS.Gen , TR/ATRAPS.Gen2 und Live Security Platinum gefunden hi nutzt du deinen pc für onlinebanking, zum einkaufen, für sonstige zahlungsabwicklungen, oder ähnlich wichtiges, wie berufliches? __________________ __________________

TR/ATRAPS.Gen , TR/ATRAPS.Gen2 und Live Security Platinum gefunden

Plagegeister aller Art und deren Bekämpfung: TR/ATRAPS.Gen , TR/ATRAPS.Gen2 und Live Security Platinum gefunden