| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: TR/ATRAPS.Gen und TR/ATRAPS.Gen2 in C:\WINDOWS\Installer\...Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
10.07.2012, 15:15
| #1 |
| |  TR/ATRAPS.Gen und TR/ATRAPS.Gen2 in C:\WINDOWS\Installer\... Hallo, ich habe seit gestern von meinem viren scanner AVIRA die warnung bekommen, dass der echtzeit scanner 2 viren oder unerwünschte programme gefunden hat (TR/ATRAPS.Gen und TR/ATRAPS.Gen2 ). 'der zugriff wurde verweigert' und ich konnte auswählen zwischen den aktionen 'entfernen' und 'details'.. natürlich habe ich beide aktionen versucht und nach dem löschen dieser dateien, kam sofort wieder die gleiche meldung von AVIRA.. als sei nichts geschehen. bei der funktion 'details' bekomme ich folgende infos: objekt: 800000cb.@ 80000000.@ fund: TR/ATRAPS.Gen TR/ATRAPS.Gen2 und der pfad ist der hier: C:\WINDOWS\Installer\{695d11ac-776a-8eca-05e1-1ffc21d3d82d}\U\80000000.@ ich habe mir auch schon den defogger und otl geholt und beide laufen lassen. wie kann ich die logs hier zeigen? schonmal vielen dank für die hilfe! ich hoffe es ist ein schneller schaffbarer virus... beste grüße nachdem ich mir den scanner GMER installiert habe (da mein pc ein x86er ist) und einen scanlauf mit anschließendem neustart durchgeführt habe, kommt gleich von AVIRA eine neue virus warnung... nun sind es also schon 3 viren... infos von avira zum neuen virus objekt: n fund: TR/Obfuscate.XQ.61 unter C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Anwendungsdaten\{695d11ac-776a-8eca-05e1-1ffc21d3d82d}\n bitte bitte helft mir!!! neuer Tag, neuer Virus.. was für ein Start  nun sinds also schon 4! und die sonst so gewöhnte übersicht auf dem desktop ist auch hinüber... alle symbole sind neu aufgereiht auf der linken seite. hier die logs von gestern (mit noch 2 viren) die datei defogger_disable.log besagt: Code:
ATTFilter defogger_disable by jpshortstuff (23.02.10.1)
Log created at 15:36 on 10/07/2012 (***)
Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.
Checking for services/drivers...
-=E.O.F=-
die datei OTL.Txt: Code:
ATTFilter OTL logfile created on: 10.07.2012 15:39:06 - Run 1 OTL by OldTimer - Version 3.2.53.1 Folder = C:\Dokumente und Einstellungen\***\Desktop Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 511,53 Mb Total Physical Memory | 316,97 Mb Available Physical Memory | 61,97% Memory free 1,22 Gb Paging File | 0,92 Gb Available in Paging File | 75,74% Paging File free Paging file location(s): C:\pagefile.sys 768 1536 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 37,26 Gb Total Space | 28,76 Gb Free Space | 77,20% Space Free | Partition Type: NTFS Drive F: | 949,53 Mb Total Space | 10,22 Mb Free Space | 1,08% Space Free | Partition Type: FAT Drive H: | 232,88 Gb Total Space | 173,38 Gb Free Space | 74,45% Space Free | Partition Type: NTFS Drive I: | 232,88 Gb Total Space | 173,38 Gb Free Space | 74,45% Space Free | Partition Type: NTFS Drive O: | 3,97 Gb Total Space | 3,97 Gb Free Space | 100,00% Space Free | Partition Type: Samba Drive S: | 232,88 Gb Total Space | 173,38 Gb Free Space | 74,45% Space Free | Partition Type: NTFS Computer Name: *** | User Name: ***| Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user | Quick Scan Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - [2012.07.10 15:37:19 | 000,595,968 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\***\Desktop\OTL.exe PRC - [2012.05.24 09:22:39 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\sched.exe PRC - [2012.05.24 09:22:38 | 000,348,624 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe PRC - [2012.05.24 09:22:38 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe PRC - [2012.05.24 09:22:38 | 000,080,336 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe PRC - [2010.06.29 15:15:18 | 000,073,728 | ---- | M] (Software 2000 Limited) -- C:\WINDOWS\system32\spool\drivers\w32x86\3\HP1006MC.EXE PRC - [2008.04.14 07:52:46 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe PRC - [2003.03.05 13:49:00 | 000,335,872 | ---- | M] (RealVNC Ltd.) -- C:\Programme\RealVNC\WinVNC\winvnc.exe PRC - [2002.10.11 18:26:56 | 000,098,304 | ---- | M] (Analog Devices, Inc.) -- C:\Programme\Analog Devices\SoundMAX\SMTray.exe PRC - [2002.09.20 15:50:10 | 000,045,056 | ---- | M] (Analog Devices, Inc.) -- C:\Programme\Analog Devices\SoundMAX\SMAgent.exe PRC - [2002.06.19 13:24:58 | 000,311,383 | ---- | M] (Esker) -- C:\Programme\TUN\common\ESLCBCST.EXE PRC - [2000.10.18 07:55:36 | 000,815,104 | ---- | M] (Siegfried Weckmann) -- C:\Programme\Hardcopy\hardcopy.exe ========== Modules (No Company Name) ========== MOD - [2012.05.24 09:22:39 | 000,398,288 | ---- | M] () -- C:\Programme\Avira\AntiVir Desktop\sqlite3.dll MOD - [2007.05.11 00:50:00 | 000,017,024 | ---- | M] () -- C:\Programme\Adobe\Reader 8.0\Reader\ViewerPS.dll MOD - [2003.02.19 10:16:04 | 000,061,440 | ---- | M] () -- C:\Programme\RealVNC\WinVNC\othread2.dll MOD - [2001.10.28 17:42:30 | 000,116,224 | ---- | M] () -- C:\WINDOWS\system32\pdfcmnnt.dll MOD - [2000.10.02 14:56:14 | 000,040,960 | ---- | M] () -- C:\Programme\Hardcopy\hcdll2_3.dll MOD - [2000.01.09 12:00:48 | 000,151,552 | ---- | M] () -- C:\Programme\Hardcopy\hcdll3.dll MOD - [1999.06.03 07:46:24 | 000,032,768 | ---- | M] () -- C:\Programme\Hardcopy\hardcopy.dll ========== Win32 Services (SafeList) ========== SRV - File not found [Disabled | Stopped] -- %SystemRoot%\System32\hidserv.dll -- (HidServ) SRV - [2012.05.24 09:22:39 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService) SRV - [2012.05.24 09:22:38 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService) SRV - [2003.07.28 12:28:22 | 000,089,136 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose) SRV - [2003.03.05 13:49:00 | 000,335,872 | ---- | M] (RealVNC Ltd.) [Auto | Running] -- C:\Programme\RealVNC\WinVNC\winvnc.exe -- (winvnc) SRV - [2002.09.20 15:50:10 | 000,045,056 | ---- | M] (Analog Devices, Inc.) [Auto | Running] -- C:\Programme\Analog Devices\SoundMAX\SMAgent.exe -- (SoundMAX Agent Service (default)) SRV - [2002.06.19 13:24:58 | 000,311,383 | ---- | M] (Esker) [Auto | Running] -- C:\Programme\TUN\common\ESLCBCST.EXE -- (EskerLicenseControl) ========== Driver Services (SafeList) ========== DRV - File not found [Kernel | On_Demand | Stopped] -- -- (WDICA) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDRFRAME) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDRELI) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDFRAME) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDCOMP) DRV - File not found [Kernel | System | Stopped] -- -- (PCIDump) DRV - File not found [Kernel | System | Stopped] -- -- (lbrtfdc) DRV - File not found [Kernel | System | Stopped] -- -- (i2omgmt) DRV - File not found [Kernel | System | Stopped] -- -- (Changer) DRV - [2012.05.24 09:22:39 | 000,137,928 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb) DRV - [2012.05.24 09:22:39 | 000,083,392 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt) DRV - [2011.12.15 15:00:00 | 000,036,000 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avkmgr.sys -- (avkmgr) DRV - [2010.06.17 14:14:27 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv) DRV - [2008.04.14 00:15:30 | 000,010,624 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\gameenum.sys -- (gameenum) DRV - [2004.08.04 01:38:58 | 000,701,952 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ati2mtag.sys -- (ati2mtag) DRV - [2004.08.03 23:31:36 | 000,032,768 | ---- | M] (SiS Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\sisnic.sys -- (SISNIC) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?} IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank IE - HKCU\..\SearchScopes,DefaultScope = {495AE71B-A596-4C34-87A1-E8845143531C} IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src=IE-SearchBox&Form=IE8SRC IE - HKCU\..\SearchScopes\{495AE71B-A596-4C34-87A1-E8845143531C}: "URL" = hxxp://www.google.de/search?q={searchTerms} IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 O1 HOSTS File: ([2004.08.04 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated) O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG) O4 - HKLM..\Run: [HPUsageTracking] C:\Programme\HP\HP UT\bin\hppusg.exe (Hewlett-Packard Company) O4 - HKLM..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe (Analog Devices, Inc.) O4 - HKLM..\Run: [WinVNC] C:\Programme\RealVNC\WinVNC\WinVNC.exe (RealVNC Ltd.) O4 - Startup: C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\Hardcopy.LNK = C:\Programme\Hardcopy\hardcopy.exe (Siegfried Weckmann) O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.0.1 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = autoland-gosen.local O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{85ACD702-C063-451D-951E-15FB3501B4EA}: DhcpNameServer = 192.168.0.1 O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation) O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation) O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2012.05.16 15:01:16 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O32 - AutoRun File - [2010.11.15 16:24:42 | 000,000,000 | ---D | M] - H:\Autohäuser -- [ NTFS ] O32 - AutoRun File - [2007.02.14 12:49:07 | 000,303,150 | ---- | M] () - S:\AutoLand_sw.bmp -- [ NTFS ] O34 - HKLM BootExecute: (autocheck autochk *) O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3) O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2) ========== Files/Folders - Created Within 30 Days ========== [2012.07.10 15:37:17 | 000,595,968 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\***\Desktop\OTL.exe [2012.07.09 16:50:15 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia [2012.07.09 16:47:08 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Adobe [2012.07.09 14:36:01 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\NtmsData [4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2012.07.10 15:37:19 | 000,595,968 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\***\Desktop\OTL.exe [2012.07.10 15:35:59 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\***\defogger_reenable [2012.07.10 15:34:20 | 000,050,477 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\Defogger.exe [2012.07.10 14:01:30 | 000,000,542 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\Server Dokumente ***.lnk [2012.07.10 13:50:47 | 000,046,257 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\__www.autohaus.de_elektrofahrzeuge-schaerfere-sicherheitst.pdf [2012.07.10 13:16:42 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2012.07.10 13:16:40 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2012.07.10 13:16:39 | 536,449,024 | -HS- | M] () -- C:\hiberfil.sys [2012.07.09 13:20:14 | 000,002,509 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\Microsoft Office Word 2003.lnk [2012.07.06 09:41:35 | 000,004,608 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2012.07.03 18:17:04 | 000,001,524 | ---- | M] () -- C:\WINDOWS\QUICKEN.INI [2012.06.27 17:02:29 | 000,000,483 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\Server Dokumente ***.lnk [4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files Created - No Company Name ========== [2012.07.10 15:35:59 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\***\defogger_reenable [2012.07.10 15:34:20 | 000,050,477 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\Defogger.exe [2012.07.10 13:50:41 | 000,046,257 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\__www.autohaus.de_elektrofahrzeuge-schaerfere-sicherheitst.pdf [2012.07.09 16:58:22 | 000,013,312 | ---- | C] () -- C:\WINDOWS\Installer\{695d11ac-776a-8eca-05e1-1ffc21d3d82d}\U\80000000.@ [2012.07.09 16:54:13 | 000,018,944 | ---- | C] () -- C:\WINDOWS\Installer\{695d11ac-776a-8eca-05e1-1ffc21d3d82d}\U\800000cb.@ [2012.07.09 14:34:52 | 000,001,696 | ---- | C] () -- C:\WINDOWS\Installer\{695d11ac-776a-8eca-05e1-1ffc21d3d82d}\U\00000001.@ [2012.05.25 18:46:39 | 000,004,608 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2012.05.16 18:02:51 | 000,065,536 | ---- | C] () -- C:\WINDOWS\System32\HPPLVS.dll [2012.05.16 17:16:44 | 000,000,030 | ---- | C] () -- C:\WINDOWS\INTURS.DAT [2012.05.16 16:47:00 | 000,221,239 | ---- | C] () -- C:\WINDOWS\System32\dnt24.dll [2012.05.16 16:47:00 | 000,077,882 | ---- | C] () -- C:\WINDOWS\System32\dntvmc24.dll [2012.05.16 16:47:00 | 000,069,689 | ---- | C] () -- C:\WINDOWS\System32\dntvm24.dll [2012.05.16 16:46:51 | 000,001,524 | ---- | C] () -- C:\WINDOWS\QUICKEN.INI [2012.05.16 16:46:51 | 000,000,052 | ---- | C] () -- C:\WINDOWS\Intuprof.ini [2012.05.16 16:24:58 | 000,003,262 | ---- | C] () -- C:\WINDOWS\DATSD2.INI [2012.05.16 16:12:52 | 000,000,453 | ---- | C] () -- C:\WINDOWS\WINHLP32.INI [2012.05.16 16:07:36 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI [2012.05.16 15:58:59 | 000,000,044 | ---- | C] () -- C:\WINDOWS\System32\msssc.dll [2012.05.16 15:58:43 | 000,003,319 | ---- | C] () -- C:\WINDOWS\Ascd_tmp.ini [2012.05.16 15:58:42 | 000,005,824 | ---- | C] () -- C:\WINDOWS\System32\drivers\ASUSHWIO.SYS [2012.05.16 15:49:40 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI [2012.05.16 15:48:29 | 000,168,992 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT [2012.05.16 15:25:42 | 000,116,224 | ---- | C] () -- C:\WINDOWS\System32\pdfcmnnt.dll [2012.05.16 15:06:21 | 000,002,412 | RHS- | C] () -- C:\Dokumente und Einstellungen\All Users\ntuser.pol [2012.05.16 15:04:12 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat [2012.05.16 14:57:47 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat [2004.08.04 14:00:00 | 000,002,048 | -HS- | C] () -- C:\WINDOWS\Installer\{695d11ac-776a-8eca-05e1-1ffc21d3d82d}\@ [2004.08.04 14:00:00 | 000,002,048 | -HS- | C] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\{695d11ac-776a-8eca-05e1-1ffc21d3d82d}\@ ========== LOP Check ========== [2012.06.05 18:14:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\cardetektiv [2012.06.05 18:14:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\cardetektiv [2011.11.16 13:41:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\InterVideo [2010.08.09 15:30:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\PDFCreator ========== Purity Check ========== < End of report > hier noch die Extras.Txt: Code:
ATTFilter OTL Extras logfile created on: 10.07.2012 15:39:07 - Run 1
OTL by OldTimer - Version 3.2.53.1 Folder = C:\Dokumente und Einstellungen\***\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
511,53 Mb Total Physical Memory | 316,97 Mb Available Physical Memory | 61,97% Memory free
1,22 Gb Paging File | 0,92 Gb Available in Paging File | 75,74% Paging File free
Paging file location(s): C:\pagefile.sys 768 1536 [binary data]
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 37,26 Gb Total Space | 28,76 Gb Free Space | 77,20% Space Free | Partition Type: NTFS
Drive F: | 949,53 Mb Total Space | 10,22 Mb Free Space | 1,08% Space Free | Partition Type: FAT
Drive H: | 232,88 Gb Total Space | 173,38 Gb Free Space | 74,45% Space Free | Partition Type: NTFS
Drive I: | 232,88 Gb Total Space | 173,38 Gb Free Space | 74,45% Space Free | Partition Type: NTFS
Drive O: | 3,97 Gb Total Space | 3,97 Gb Free Space | 100,00% Space Free | Partition Type: Samba
Drive S: | 232,88 Gb Total Space | 173,38 Gb Free Space | 74,45% Space Free | Partition Type: NTFS
Computer Name: ***| User Name: ***| Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
========== Extra Registry (SafeList) ==========
========== File Associations ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
========== Shell Spawning ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
========== Security Center Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
========== System Restore Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
========== Firewall Settings ==========
========== Authorized Applications List ==========
========== HKEY_LOCAL_MACHINE Uninstall List ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}" = PDFCreator
"{0360D8F0-626A-4E87-8A16-938BD0BEBCC5}" = 32 Bit HP CIO Components Installer
"{175F0111-2968-4935-8F70-33108C6A4DE3}" = MarketResearch
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{42F0FD29-7EB3-4CAA-AF10-BC2619B96D80}" = MrvlUsgTracking
"{546CE509-2471-45E1-937F-931817DA07FE}" = cardetektiv
"{58ECE031-9AAD-4011-B34A-BC78E77527E2}" = hppMSRedist
"{7902E313-FF0F-4493-ACB1-A8147B78DCD0}" = HPSSupply
"{90110407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003
"{A350D1A7-ED43-43B2-8D53-D90B924F0BAB}" = Tipps und Tricks
"{A82D052A-0806-42DF-80CD-1730A1AC0ED3}" = MrvlUsgTracking
"{AC76BA86-7AD7-1031-7B44-A81200000003}" = Adobe Reader 8.1.2 - Deutsch
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{D01F701A-1F23-494C-BE82-8A7441CADEEA}" = Lexware online banking V 3.00
"{D269BB19-DB39-43CE-B61E-521FE3965892}" = Quicken 2005
"{E6FCA24F-1192-4C9D-B1AA-F93C3DA80851}" = DDBAC
"{F0A37341-D692-11D4-A984-009027EC0A9C}" = SoundMAX
"{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}" = Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219
"{F1AC923B-2A52-4C5D-8011-5FC83CD58CF4}" = hppusgP1000
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX
"Avira AntiVir Desktop" = Avira Free Antivirus
"Hardcopy" = Uninstall Hardcopy
"HP LaserJet P1000 series" = HP LaserJet P1000 series
"ie8" = Windows Internet Explorer 8
"InstallShield_{A350D1A7-ED43-43B2-8D53-D90B924F0BAB}" = Tipps und Tricks
"IrfanView" = IrfanView (remove only)
"TunEMUL" = Tun EMUL 11.5 (PC-to-Host)
"Windows XP Service Pack" = Windows XP Service Pack 3
"WinVNC_is1" = VNC 3.3.7
========== Last 20 Event Log Errors ==========
[ Application Events ]
Error - 16.05.2012 10:53:11 | Computer Name = ***| Source = MsiInstaller | ID = 11714
Description = Produkt: DDBAC -- Fehler 1714. Die ältere Version von DDBAC kann nicht
entfernt werden. Setzen Sie sich mit dem technischen Supportpersonal in Verbindung.
Systemfehler: 1612.
Error - 16.05.2012 10:57:07 | Computer Name = ***| Source = MsiInstaller | ID = 11714
Description = Produkt: DDBAC -- Fehler 1714. Die ältere Version von DDBAC kann nicht
entfernt werden. Setzen Sie sich mit dem technischen Supportpersonal in Verbindung.
Systemfehler: 1612.
Error - 16.05.2012 12:03:36 | Computer Name = ***| Source = MsiInstaller | ID = 10005
Description = Product: HPCarePackCore -- HP Care Pack Services is supported only
for "United States" location .
Error - 16.05.2012 12:03:36 | Computer Name = ***| Source = MsiInstaller | ID = 10005
Description = Product: HPCarePackProducts -- HP Care Pack Products is supported
only for "United States" location.
Error - 25.05.2012 03:17:28 | Computer Name = ***| Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich
nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel
in der signierten Datei. .
Error - 25.05.2012 03:17:29 | Computer Name = ***| Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich
nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel
in der signierten Datei. .
Error - 25.05.2012 03:17:29 | Computer Name = ***| Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich
nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel
in der signierten Datei. .
Error - 05.06.2012 10:33:00 | Computer Name = ***| Source = Userenv | ID = 1006
Description = Es konnte keine Bindung mit der Domäne ***.local hergestellt
werden. (Zeitüberschreitung). Die Verarbeitung der Gruppenrichtlinie wurde abgebrochen.
Error - 05.06.2012 10:33:00 | Computer Name = ***| Source = Userenv | ID = 1030
Description = Die Abfrage der Liste der Gruppenrichtlinienobjekte ist fehlgeschlagen.
Bisher wurde eine Fehlermeldung dieser Art im Richtlinienmodul protokolliert.
Error - 13.06.2012 09:09:49 | Computer Name = ***| Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung i_view32.exe, Version 3.7.0.0, fehlgeschlagenes
Modul ntdll.dll, Version 5.1.2600.5512, Fehleradresse 0x000108d3.
[ System Events ]
Error - 16.05.2012 10:02:52 | Computer Name = ***| Source = Service Control Manager | ID = 7009
Description = Zeitüberschreitung (30000 ms) beim Verbindungsversuch mit Dienst Windows
Installer.
Error - 16.05.2012 10:02:52 | Computer Name = ***| Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1053" aufgetreten, als der Dienst "MSIServer"
mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {000C101C-0000-0000-C000-000000000046}
Error - 16.05.2012 10:02:52 | Computer Name = ***| Source = Service Control Manager | ID = 7000
Description = Der Dienst "Windows Installer" wurde aufgrund folgenden Fehlers nicht
gestartet: %%1053
Error - 16.05.2012 11:43:40 | Computer Name = ***| Source = Print | ID = 22
Description = Die Aktualisierung der Einstellungen für den Drucker \\192.169.0.10\HP
LaserJet 2420 PCL 6,LocalOnly Treiber C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\UNIDRVUI.DLL
Fehler 5 ist fehlgeschlagen.
Error - 09.07.2012 08:37:10 | Computer Name = ***| Source = VolSnap | ID = 393228
Description = Die Schattenkopie von Volume "C:" verfügte nicht über ausreichend
Vergleichsbereichsspeicherplatz, bevor es richtig installiert wurde.
Error - 10.07.2012 07:18:18 | Computer Name = ***| Source = Service Control Manager | ID = 7023
Description = Der Dienst "Computerbrowser" wurde mit folgendem Fehler beendet: %%1060
< End of report >
Code:
ATTFilter GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2012-07-10 17:34:34
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 ST3402111A rev.2AAA
Running: szfkoqv7.exe; Driver: C:\DOKUME~1\***~1\LOKALE~1\Temp\fxtirpog.sys
---- System - GMER 1.0.15 ----
SSDT F8BC9B6C ZwClose
SSDT F8BC9B26 ZwCreateKey
SSDT F8BC9B76 ZwCreateSection
SSDT F8BC9B1C ZwCreateThread
SSDT F8BC9B2B ZwDeleteKey
SSDT F8BC9B35 ZwDeleteValueKey
SSDT F8BC9B67 ZwDuplicateObject
SSDT F8BC9B3A ZwLoadKey
SSDT F8BC9B08 ZwOpenProcess
SSDT F8BC9B0D ZwOpenThread
SSDT F8BC9B8F ZwQueryValueKey
SSDT F8BC9B44 ZwReplaceKey
SSDT F8BC9B80 ZwRequestWaitReplyPort
SSDT F8BC9B3F ZwRestoreKey
SSDT F8BC9B7B ZwSetContextThread
SSDT F8BC9B85 ZwSetSecurityObject
SSDT F8BC9B30 ZwSetValueKey
SSDT F8BC9B8A ZwSystemDebugControl
SSDT F8BC9B17 ZwTerminateProcess
---- User code sections - GMER 1.0.15 ----
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[540] USER32.dll!DialogBoxParamW 7E3747AB 5 Bytes JMP 01179315 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[540] USER32.dll!CreateWindowExW 7E37D0A3 5 Bytes JMP 01254832 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[540] USER32.dll!DialogBoxIndirectParamW 7E382072 5 Bytes JMP 0136E021 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[540] USER32.dll!MessageBoxIndirectA 7E38A082 5 Bytes JMP 0136DF51 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[540] USER32.dll!DialogBoxParamA 7E38B144 5 Bytes JMP 0136DFBE C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[540] USER32.dll!MessageBoxExW 7E3A0838 5 Bytes JMP 0136DE22 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[540] USER32.dll!MessageBoxExA 7E3A085C 5 Bytes JMP 0136DE84 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[540] USER32.dll!DialogBoxIndirectParamA 7E3A6D7D 5 Bytes JMP 0136E084 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[540] USER32.dll!MessageBoxIndirectW 7E3B64D5 5 Bytes JMP 0136DEE6 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
---- Devices - GMER 1.0.15 ----
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
---- Processes - GMER 1.0.15 ----
Library c:\windows\system32\n (*** hidden *** ) @ C:\WINDOWS\System32\svchost.exe [888] 0x45670000
Library c:\windows\system32\n (*** hidden *** ) @ C:\WINDOWS\Explorer.EXE [916] 0x45670000
---- EOF - GMER 1.0.15 ----
bitte helft mir! ich trau mich nix mehr zu machen an dem gerät.. doof nur, dass es mein arbeitsrechner ist!!! :/ der neue virus ist übrigens genau der gleiche wie der dritte von gestern, nur das er im pfad C:\WINDOWS\Installer\{695d11ac-776a-8eca-05e1-1ffc21d3d82d}\n wohnt |
|
11.07.2012, 16:26
| #2 |
| /// Selecta Jahrusso   | TR/ATRAPS.Gen und TR/ATRAPS.Gen2 in C:\WINDOWS\Installer\... Mein Name ist Daniel und ich werde dir mit deinem Malware Relevanten Problemen helfen. Bevor wir uns an die Arbeit machen, möchte ich dich bitten, folgende Punkte vollständig und aufmerksam zu lesen.
[code] Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde! Downloade dir bitte Combofix vom folgenden Downloadspiegel Link 1 WICHTIG - Speichere Combofix auf deinem Desktop
Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.
__________________ |
|
| Themen zu TR/ATRAPS.Gen und TR/ATRAPS.Gen2 in C:\WINDOWS\Installer\... |
| 32 bit, avira, c:\windows, dateien, entfernen, fehler 5, folge, folgende, funktion, gruppe, hilfe!, infos, installer, löschen, meldung, microsoft office word, msiinstaller, nichts, ntdll.dll, programme, richtlinie, scan, scanner, searchscopes, tr/atraps.gen, tr/atraps.gen und tr/atraps.gen2, tr/atraps.gen2, unerwünschte, versucht, viren, viren scanner, warnung, windows, windows internet, zugriff |
Linear-Darstellung
