BKA Trojaner 1.13 entfernen unter Windows XP

sonnendeck · 07.08.2012, 23:07

Hallo,

der Laptop ist mit dem BKA Trojaner (Version 1.13) infiziert. Ich habe OTL durchlaufen lassen, jedoch wurde mir angezeigt, dass das Ereignissprotokoll beschädigt sei.

Hier der Inhalt der OTL Datei:

Code:

ATTFilter

OTL logfile created on: 07.08.2012 23:27:28 - Run 1
OTL by OldTimer - Version 3.2.56.0     Folder = C:\Dokumente und Einstellungen\Schira_\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.5512)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
447,36 Mb Total Physical Memory | 295,76 Mb Available Physical Memory | 66,11% Memory free
2,82 Gb Paging File | 2,76 Gb Available in Paging File | 98,02% Paging File free
Paging file location(s): C:\pagefile.sys 2500 3000 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 35,00 Gb Total Space | 19,54 Gb Free Space | 55,84% Space Free | Partition Type: NTFS
Drive D: | 39,53 Gb Total Space | 3,88 Gb Free Space | 9,83% Space Free | Partition Type: NTFS
Unable to calculate disk information.
 
Computer Name: SCHIRA | User Name: Schira_ | Logged in as Administrator.
Boot Mode: SafeMode | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - C:\Dokumente und Einstellungen\Schira_\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
 
 
========== Modules (No Company Name) ==========
 
MOD - \\?\globalroot\systemroot\system32\mswsock.dll ()
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (HidServ) -- %SystemRoot%\System32\hidserv.dll File not found
SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira Operations GmbH & Co. KG)
SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira Operations GmbH & Co. KG)
SRV - (MozillaMaintenance) -- C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe (Mozilla Foundation)
SRV - (AdobeFlashPlayerUpdateSvc) -- C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe (Adobe Systems Incorporated)
SRV - (odserv) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE (Microsoft Corporation)
SRV - (Pml Driver HPZ12) -- C:\WINDOWS\system32\HPZipm12.exe (HP)
SRV - (NMIndexingService) -- C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe (Nero AG)
SRV - (ose) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation)
SRV - (LightScribeService) -- C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe (Hewlett-Packard Company)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (WDICA) --  File not found
DRV - (smserial) -- system32\DRIVERS\smserial.sys File not found
DRV - (PDRFRAME) --  File not found
DRV - (PDRELI) --  File not found
DRV - (PDNSp50) -- C:\WINDOWS\system32\drivers\PDNSp50.sys File not found
DRV - (PDNMp50) -- C:\WINDOWS\system32\drivers\PDNMp50.sys File not found
DRV - (PDFRAME) --  File not found
DRV - (PDCOMP) --  File not found
DRV - (PCIDump) --  File not found
DRV - (lbrtfdc) --  File not found
DRV - (i2omgmt) --  File not found
DRV - (Changer) --  File not found
DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH)
DRV - (avkmgr) -- C:\WINDOWS\system32\drivers\avkmgr.sys (Avira GmbH)
DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (KMWDFILTER) -- C:\WINDOWS\system32\drivers\KMWDFILTER.sys (Windows (R) Codename Longhorn DDK provider)
DRV - (NwlnkIpx) -- C:\WINDOWS\system32\drivers\nwlnkipx.sys (Microsoft Corporation)
DRV - (MTsensor) -- C:\WINDOWS\system32\drivers\ATKACPI.sys ()
DRV - (se27unic) -- C:\WINDOWS\system32\drivers\se27unic.sys (MCCI)
DRV - (SE27obex) -- C:\WINDOWS\system32\drivers\SE27obex.sys (MCCI)
DRV - (se27nd5) -- C:\WINDOWS\system32\drivers\se27nd5.sys (MCCI)
DRV - (SE27mgmt) -- C:\WINDOWS\system32\drivers\SE27mgmt.sys (MCCI)
DRV - (SE27mdm) -- C:\WINDOWS\system32\drivers\SE27mdm.sys (MCCI)
DRV - (SE27mdfl) -- C:\WINDOWS\system32\drivers\SE27mdfl.sys (MCCI)
DRV - (SE27bus) -- C:\WINDOWS\system32\drivers\SE27bus.sys (MCCI)
DRV - (ati2mtag) -- C:\WINDOWS\system32\drivers\ati2mtag.sys (ATI Technologies Inc.)
DRV - (ZD1211BU(ASUS) -- C:\WINDOWS\system32\drivers\ZD1211BU.sys (ZyDAS Technology Corporation)
DRV - (IntcAzAudAddService) -- C:\WINDOWS\system32\drivers\RtkHDAud.Sys (Realtek Semiconductor Corp.)
DRV - (NwlnkNb) -- C:\WINDOWS\system32\drivers\nwlnknb.sys (Microsoft Corporation)
DRV - (NwlnkSpx) -- C:\WINDOWS\system32\drivers\nwlnkspx.sys (Microsoft Corporation)
DRV - (risdptsk) -- C:\WINDOWS\system32\drivers\risdptsk.sys (REDC)
DRV - (rimsptsk) -- C:\WINDOWS\system32\drivers\rimsptsk.sys (REDC)
DRV - (rtl8139) -- C:\WINDOWS\system32\drivers\RTL8139.sys (Realtek Semiconductor Corporation)
DRV - (ASNDIS5) -- C:\WINDOWS\system32\ASNDIS5.sys (Printing Communications Assoc., Inc. (PCAUSA))
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://alice.aol.de
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://alice.aol.de
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
IE - HKU\S-1-5-21-1343024091-2139871995-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://alice.aol.de [binary data]
IE - HKU\S-1-5-21-1343024091-2139871995-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.web.de/home
IE - HKU\S-1-5-21-1343024091-2139871995-839522115-1003\..\URLSearchHook:  - No CLSID value found
IE - HKU\S-1-5-21-1343024091-2139871995-839522115-1003\..\SearchScopes,DefaultScope = {79BF81F6-2ECF-4B33-A468-342F52777902}
IE - HKU\S-1-5-21-1343024091-2139871995-839522115-1003\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src=IE-SearchBox&Form=IE8SRC
IE - HKU\S-1-5-21-1343024091-2139871995-839522115-1003\..\SearchScopes\{0FD916C2-9FAA-4D92-88FE-7B40C01ACE68}: "URL" = hxxp://go.web.de/suchbox/smartshopping/?searchText={searchTerms}&mc=searchplugin@suche@msie.suche@preisvergleich
IE - HKU\S-1-5-21-1343024091-2139871995-839522115-1003\..\SearchScopes\{3F0374C7-C909-48D9-91A9-2047B222AB75}: "URL" = hxxp://go.web.de/suchbox/amazon/?keywords={searchTerms}
IE - HKU\S-1-5-21-1343024091-2139871995-839522115-1003\..\SearchScopes\{6C5B6987-3EB9-4751-A5F6-8CD0F05B29DF}: "URL" = hxxp://search.1und1.de/search/web/?su={searchTerms}&mc=searchplugin@suche@msie.suche@web&origin=searchplugin
IE - HKU\S-1-5-21-1343024091-2139871995-839522115-1003\..\SearchScopes\{6E8FDB26-19B3-41AC-8125-A696E08970F4}: "URL" = hxxp://suche.gmx.net/search/web/?su={searchTerms}&mc=searchplugin@suche@msie.suche@web&origin=searchplugin
IE - HKU\S-1-5-21-1343024091-2139871995-839522115-1003\..\SearchScopes\{79BF81F6-2ECF-4B33-A468-342F52777902}: "URL" = hxxp://suche.web.de/search/web/?su={searchTerms}&mc=searchplugin@suche@msie.suche@web&origin=searchplugin
IE - HKU\S-1-5-21-1343024091-2139871995-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.startup.homepage: "www.web.de"
FF - user.js - File not found
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_3_300_257.dll ()
FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Programme\Google\Google Earth\plugin\npgeplugin.dll (Google)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/OfficeLive,version=1.3: C:\Programme\Microsoft\Office Live\npOLW.dll (Microsoft Corp.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Programme\Google\Update\1.3.21.115\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Programme\Google\Update\1.3.21.115\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@videolan.org/vlc,version=0.8.6b: C:\Programme\VideoLAN\VLC\npvlc.dll (VideoLAN Team)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 14.0.1\extensions\\Components: C:\Programme\Mozilla Firefox\components [2012.08.03 18:29:57 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 14.0.1\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins
 
[2012.08.03 18:30:22 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Schira_\Anwendungsdaten\Mozilla\Extensions
[2012.08.03 18:29:57 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2012.07.14 02:15:45 | 000,136,672 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll
[2012.07.14 02:45:08 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2012.07.14 02:45:08 | 000,002,252 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml
[2012.07.14 02:45:08 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml
[2012.07.14 02:45:08 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
[2012.07.14 02:45:08 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2012.07.14 02:45:07 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml
 
========== Chrome  ==========
 
CHR - homepage: hxxp://www.google.com
CHR - default_search_provider: Google (Enabled)
CHR - default_search_provider: search_url = {google:baseURL}search?q={searchTerms}&{google:RLZ}{google:acceptedSuggestion}{google:originalQueryForSuggestion}{google:searchFieldtrialParameter}sourceid=chrome&ie={inputEncoding}
CHR - default_search_provider: suggest_url = {google:baseSuggestURL}search?{google:searchFieldtrialParameter}client=chrome&hl={language}&q={searchTerms}
CHR - homepage: hxxp://www.google.com
CHR - plugin: Remoting Viewer (Enabled) = internal-remoting-viewer
CHR - plugin: Native Client (Enabled) = C:\Programme\Google\Chrome\Application\21.0.1180.60\ppGoogleNaClPluginChrome.dll
CHR - plugin: Chrome PDF Viewer (Enabled) = C:\Programme\Google\Chrome\Application\21.0.1180.60\pdf.dll
CHR - plugin: Shockwave Flash (Enabled) = C:\Programme\Google\Chrome\Application\21.0.1180.60\gcswf32.dll
CHR - plugin: Shockwave Flash (Enabled) = C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll
CHR - plugin: Adobe Acrobat (Enabled) = C:\Programme\Adobe\Reader 9.0\Reader\Browser\nppdf32.dll
CHR - plugin: 2007 Microsoft Office system (Enabled) = C:\Programme\Mozilla Firefox\plugins\NPOFF12.DLL
CHR - plugin: Microsoft Office Live Plug-in for Firefox (Enabled) = C:\Programme\Microsoft\Office Live\npOLW.dll
CHR - plugin: Microsoft\u00AE DRM (Enabled) = C:\Programme\Windows Media Player\npdrmv2.dll
CHR - plugin: Microsoft\u00AE DRM (Enabled) = C:\Programme\Windows Media Player\npwmsdrm.dll
CHR - plugin: Windows Media Player Plug-in Dynamic Link Library (Enabled) = C:\Programme\Windows Media Player\npdsplay.dll
CHR - plugin: Google Update (Enabled) = C:\Programme\Google\Update\1.3.21.99\npGoogleUpdate3.dll
CHR - plugin: Silverlight Plug-In (Enabled) = C:\Programme\Microsoft Silverlight\4.0.50917.0\npctrl.dll
CHR - plugin: VLC Multimedia Plugin (Enabled) = C:\Programme\VideoLAN\VLC\npvlc.dll
CHR - plugin: Windows Presentation Foundation (Enabled) = C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll
CHR - plugin: Default Plug-in (Enabled) = default_plugin
 
O1 HOSTS File: ([2006.02.28 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Windows Live Anmelde-Hilfsprogramm) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation)
O3 - HKU\S-1-5-21-1343024091-2139871995-839522115-1003\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
O4 - HKU\S-1-5-21-1343024091-2139871995-839522115-1003..\Run: [ubzulppohkvtssj] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ubzulppo.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-21-1343024091-2139871995-839522115-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 67108863
O7 - HKU\S-1-5-21-1343024091-2139871995-839522115-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoRecentDocsNetHood = 1
O7 - HKU\S-1-5-21-1343024091-2139871995-839522115-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoLowDiskSpaceChecks = 1
O7 - HKU\S-1-5-21-1343024091-2139871995-839522115-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSimpleStartMenu = 1
O8 - Extra context menu item: Google Sidewiki... - res://C:\Programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html File not found
O10 - NameSpace_Catalog5\Catalog_Entries\000000000005 [] - C:\WINDOWS\system32\nwprovau.dll (Microsoft Corporation)
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - %SystemRoot%\System32\nwprovau.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - %SystemRoot%\System32\nwprovau.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - %SystemRoot%\System32\nwprovau.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000004 - %SystemRoot%\System32\nwprovau.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000005 - %SystemRoot%\System32\nwprovau.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000006 - %SystemRoot%\System32\nwprovau.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000012 - %SystemRoot%\System32\nwprovau.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000013 - %SystemRoot%\System32\nwprovau.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000014 - %SystemRoot%\System32\nwprovau.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000015 - %SystemRoot%\System32\nwprovau.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000016 - %SystemRoot%\System32\nwprovau.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000017 - %SystemRoot%\System32\nwprovau.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000018 - %SystemRoot%\System32\nwprovau.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000019 - %SystemRoot%\System32\nwprovau.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000020 - %SystemRoot%\System32\nwprovau.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000021 - %SystemRoot%\System32\nwprovau.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000022 - %SystemRoot%\System32\nwprovau.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000023 - %SystemRoot%\System32\nwprovau.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000024 - %SystemRoot%\System32\nwprovau.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000025 - %SystemRoot%\System32\nwprovau.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000026 - %SystemRoot%\System32\nwprovau.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000027 - %SystemRoot%\System32\nwprovau.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000028 - %SystemRoot%\System32\nwprovau.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000029 - %SystemRoot%\System32\nwprovau.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000030 - %SystemRoot%\System32\nwprovau.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000031 - %SystemRoot%\System32\nwprovau.dll File not found
O15 - HKU\S-1-5-21-1343024091-2139871995-839522115-1003\..Trusted Domains: microsoft.com ([*.update] https in Vertrauenswürdige Sites)
O15 - HKU\S-1-5-21-1343024091-2139871995-839522115-1003\..Trusted Domains: microsoft.com ([*.windowsupdate] https in Vertrauenswürdige Sites)
O15 - HKU\S-1-5-21-1343024091-2139871995-839522115-1003\..Trusted Domains: microsoft.com ([update] https in Vertrauenswürdige Sites)
O15 - HKU\S-1-5-21-1343024091-2139871995-839522115-1003\..Trusted Domains: microsoft.com  ([*.windowsupdate] https in Vertrauenswürdige Sites)
O15 - HKU\S-1-5-21-1343024091-2139871995-839522115-1003\..Trusted Domains: windowsupdate.com ([]https in Vertrauenswürdige Sites)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{4859C9EB-B19C-4023-90BA-46A6B1B38F56}: DhcpNameServer = 192.168.1.1
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O20 - Winlogon\Notify\AtiExtEvent: DllName - (Ati2evxx.dll) - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Schira_\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Schira_\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2008.10.30 02:41:20 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{611d4683-f92f-11de-a38a-001a9220a366}\Shell\AutoRun\command - "" = cgzxrs.exe
O33 - MountPoints2\{611d4683-f92f-11de-a38a-001a9220a366}\Shell\explore\Command - "" = cgzxrs.exe
O33 - MountPoints2\{611d4683-f92f-11de-a38a-001a9220a366}\Shell\open\Command - "" = cgzxrs.exe
O33 - MountPoints2\{f5459912-d081-11de-a359-0018f3fae11d}\Shell\AutoRun\command - "" = F:\installer.exe
O33 - MountPoints2\{f5459912-d081-11de-a359-0018f3fae11d}\Shell\verb\command - "" = F:\installer.exe
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012.08.07 23:18:29 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Schira_\Recent
[2012.08.07 23:01:50 | 000,596,480 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Schira_\Desktop\OTL.exe
[2012.08.07 18:19:20 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Schira_\Anwendungsdaten\Avira
[2012.08.07 18:13:58 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Avira
[2012.08.07 18:11:10 | 000,028,520 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\ssmdrv.sys
[2012.08.07 18:10:34 | 000,137,928 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avipbb.sys
[2012.08.07 18:10:34 | 000,083,392 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntflt.sys
[2012.08.07 18:10:34 | 000,036,000 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avkmgr.sys
[2012.08.07 18:08:58 | 000,000,000 | ---D | C] -- C:\Programme\Avira
[2012.08.07 18:08:58 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
[2012.08.07 16:21:30 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\pwpuzitwhdcibcs
[2012.08.03 18:56:53 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\NtmsData
[2012.08.03 18:29:58 | 000,000,000 | ---D | C] -- C:\Programme\Mozilla Maintenance Service
[2012.08.03 18:29:55 | 000,000,000 | ---D | C] -- C:\Programme\Mozilla Firefox
[2012.08.03 18:11:48 | 000,000,000 | ---D | C] -- C:\Programme\xp-AntiSpy
[2012.08.03 18:11:48 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Schira_\Startmenü\Programme\xp-AntiSpy
[2012.07.31 12:15:16 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Dokumente\microsoft
[2012.07.30 21:58:38 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Schira_\Desktop\Mama Geburtstag
[2012.07.17 15:46:57 | 000,015,104 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\usbscan.sys
[2012.07.17 15:46:57 | 000,005,632 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\ptpusb.dll
[2012.07.17 15:46:55 | 000,159,232 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\ptpusd.dll
[5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[2 C:\Programme\*.tmp files -> C:\Programme\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2012.08.07 23:24:31 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2012.08.07 23:22:58 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2012.08.07 18:13:58 | 000,001,671 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Avira Control Center.lnk
[2012.08.07 16:21:31 | 000,000,051 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\qwbtqfllxkfropg
[2012.08.07 16:21:24 | 000,061,440 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ubzulppo.exe
[2012.08.07 16:21:24 | 000,061,440 | ---- | M] () -- C:\Dokumente und Einstellungen\Schira_\ms.exe
[2012.08.07 13:03:47 | 000,002,503 | ---- | M] () -- C:\Dokumente und Einstellungen\Schira_\Desktop\Microsoft Office Word 2007 (2).lnk
[2012.08.04 22:01:00 | 000,000,069 | ---- | M] () -- C:\WINDOWS\NeroDigital.ini
[2012.08.04 20:59:44 | 000,596,480 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Schira_\Desktop\OTL.exe
[2012.08.03 18:29:59 | 000,000,696 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Mozilla Firefox.lnk
[2012.08.03 18:11:49 | 000,001,544 | ---- | M] () -- C:\Dokumente und Einstellungen\Schira_\Desktop\xp-AntiSpy.lnk
[2012.08.03 13:36:38 | 000,001,777 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Google Chrome.lnk
[2012.08.01 07:31:03 | 003,320,673 | ---- | M] () -- C:\Dokumente und Einstellungen\Schira_\Desktop\Köther_2009_Diplomarbeit_ToM-Eyes-Test_Hamburg.pdf
[2012.07.23 11:26:29 | 000,225,339 | ---- | M] () -- C:\Dokumente und Einstellungen\Schira_\Desktop\Ausschreibung PA_Servicebüro DD.pdf
[2012.07.18 19:22:56 | 090,199,272 | ---- | M] () -- C:\Dokumente und Einstellungen\Schira_\Desktop\avira_free_antivirus_de.exe
[2012.07.18 18:04:42 | 000,137,928 | ---- | M] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avipbb.sys
[2012.07.18 18:04:42 | 000,083,392 | ---- | M] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntflt.sys
[2012.07.18 18:04:42 | 000,036,000 | ---- | M] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avkmgr.sys
[2012.07.18 13:39:42 | 000,001,086 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore1cd64da582ccde.job
[2012.07.11 18:09:14 | 023,601,448 | ---- | M] () -- C:\Dokumente und Einstellungen\Schira_\Eigene Dateien\Lissie - _Bully_ LIVE.mp4
[5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[2 C:\Programme\*.tmp files -> C:\Programme\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2012.08.07 22:48:30 | 000,232,960 | ---- | C] () -- C:\WINDOWS\Installer\{6fdabaa1-bcc5-aa5f-4b9a-17b06782fd88}\U\00000008.@
[2012.08.07 22:48:27 | 000,092,160 | ---- | C] () -- C:\WINDOWS\Installer\{6fdabaa1-bcc5-aa5f-4b9a-17b06782fd88}\U\80000032.@
[2012.08.07 22:48:27 | 000,000,804 | ---- | C] () -- C:\WINDOWS\Installer\{6fdabaa1-bcc5-aa5f-4b9a-17b06782fd88}\L\00000004.@
[2012.08.07 22:48:02 | 000,013,312 | ---- | C] () -- C:\WINDOWS\Installer\{6fdabaa1-bcc5-aa5f-4b9a-17b06782fd88}\U\80000000.@
[2012.08.07 22:48:02 | 000,002,048 | ---- | C] () -- C:\WINDOWS\Installer\{6fdabaa1-bcc5-aa5f-4b9a-17b06782fd88}\U\00000004.@
[2012.08.07 22:48:02 | 000,001,632 | ---- | C] () -- C:\WINDOWS\Installer\{6fdabaa1-bcc5-aa5f-4b9a-17b06782fd88}\U\000000cb.@
[2012.08.07 18:13:58 | 000,001,671 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Avira Control Center.lnk
[2012.08.07 18:02:26 | 090,199,272 | ---- | C] () -- C:\Dokumente und Einstellungen\Schira_\Desktop\avira_free_antivirus_de.exe
[2012.08.07 16:21:31 | 000,061,440 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ubzulppo.exe
[2012.08.07 16:21:26 | 000,000,051 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\qwbtqfllxkfropg
[2012.08.07 16:21:24 | 000,061,440 | ---- | C] () -- C:\Dokumente und Einstellungen\Schira_\ms.exe
[2012.08.03 18:29:59 | 000,000,702 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Mozilla Firefox.lnk
[2012.08.03 18:29:59 | 000,000,696 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Mozilla Firefox.lnk
[2012.08.03 18:11:49 | 000,001,544 | ---- | C] () -- C:\Dokumente und Einstellungen\Schira_\Desktop\xp-AntiSpy.lnk
[2012.08.01 07:30:54 | 003,320,673 | ---- | C] () -- C:\Dokumente und Einstellungen\Schira_\Desktop\Köther_2009_Diplomarbeit_ToM-Eyes-Test_Hamburg.pdf
[2012.07.23 11:26:28 | 000,225,339 | ---- | C] () -- C:\Dokumente und Einstellungen\Schira_\Desktop\Ausschreibung PA_Servicebüro DD.pdf
[2012.07.18 13:39:42 | 000,001,086 | ---- | C] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore1cd64da582ccde.job
[2012.07.11 18:07:51 | 023,601,448 | ---- | C] () -- C:\Dokumente und Einstellungen\Schira_\Eigene Dateien\Lissie - _Bully_ LIVE.mp4
[2011.05.30 23:38:51 | 000,025,713 | ---- | C] () -- C:\WINDOWS\CSTBox.INI
[2009.03.22 12:05:17 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\LauncherAccess.dt
[2008.11.26 11:54:23 | 000,000,140 | ---- | C] () -- C:\Dokumente und Einstellungen\Schira_\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2008.10.31 01:19:27 | 000,034,816 | ---- | C] () -- C:\Dokumente und Einstellungen\Schira_\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2008.10.30 03:00:55 | 000,002,256 | -H-- | C] () -- C:\Dokumente und Einstellungen\Schira_\Anwendungsdaten\xpy.ini
[2006.02.28 14:00:00 | 000,002,048 | -HS- | C] () -- C:\WINDOWS\Installer\{6fdabaa1-bcc5-aa5f-4b9a-17b06782fd88}\@
[2006.02.28 14:00:00 | 000,002,048 | -HS- | C] () -- C:\Dokumente und Einstellungen\Schira_\Lokale Einstellungen\Anwendungsdaten\{6fdabaa1-bcc5-aa5f-4b9a-17b06782fd88}\@
 
========== LOP Check ==========
 
[2010.11.15 12:32:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Windows Desktop Search
[2010.05.18 14:03:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ICQ
[2010.01.14 20:07:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IEConfiguration1und1
[2012.08.07 16:21:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\pwpuzitwhdcibcs
[2011.12.30 12:13:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\tmp
[2009.03.22 12:07:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Schira_\Anwendungsdaten\ConvertTemp
[2008.10.31 10:00:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Schira_\Anwendungsdaten\OpenOffice.org
[2012.08.03 17:19:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Schira_\Anwendungsdaten\Samsung
[2009.02.16 22:07:07 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Schira_\Anwendungsdaten\Silver Style Entertainment
[2008.10.30 16:40:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Schira_\Anwendungsdaten\Teleca
[2009.03.22 12:07:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Schira_\Anwendungsdaten\Temporary
[2009.03.22 12:07:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Schira_\Anwendungsdaten\TransRender
[2009.02.21 17:47:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Schira_\Anwendungsdaten\Windows Search
[2010.11.16 10:29:33 | 000,000,262 | ---- | M] () -- C:\WINDOWS\Tasks\WGASetup.job
 
========== Purity Check ==========
< End of report >

Vielen Dank für die Hilfe.

markusg · 07.08.2012, 23:45

hi
wenn du deinen nutzernamen geendert hast, passe ihn im script an

dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user.
wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts.

• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.

Code:

ATTFilter

:OTL
O4 - HKU\S-1-5-21-1343024091-2139871995-839522115-1003..\Run: [ubzulppohkvtssj] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ubzulppo.exe ()
 :Files
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ubzulppo.exe
[2012.08.07 16:21:31 | 000,000,051 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\qwbtqfllxkfropg
[2012.08.07 16:21:24 | 000,061,440 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ubzulppo.exe
[2012.08.07 16:21:24 | 000,061,440 | ---- | M] () -- C:\Dokumente und Einstellungen\Schira_\ms.exe

:Commands
[Reboot]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.
starte in den normalen modus.

falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang
in den Thread posten!
für eine weitere analyse benötige ich mal folgendes.
C:\Dokumente und Einstellungen\name\Anwendungsdaten\Sun\Java\Deployment\cache

dort rechtsklick auf den ordner cache, diesen mit winrar oder einem anderen programm packen, und im upload channel hochladen bitte
Trojaner-Board Upload Channel
wenn dies erledigt ist, bittemelden.

BKA Trojaner 1.13 entfernen unter Windows XP

Log-Analyse und Auswertung: BKA Trojaner 1.13 entfernen unter Windows XP

BKA Trojaner 1.13 entfernen unter Windows XP

BKA Trojaner 1.13 entfernen unter Windows XP

Ähnliche Themen: BKA Trojaner 1.13 entfernen unter Windows XP