Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: TR/Atraps.Gen2 - Infektion

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 07.10.2012, 15:13   #1
fvr1234
 
TR/Atraps.Gen2 - Infektion - Standard

TR/Atraps.Gen2 - Infektion



Hallo,

auch ich habe mir den TR/Atraps.Gen2 eingefangen.

Die Report-Datei ist weiter unten, ebenfalls den Vollständigen Scan

Im Anschluss noch den Malware-Bytes-vollständiger Scan

Vielen Dank für Support!

Fehler Report Antivir

Code:
ATTFilter
 
Avira Free Antivirus
Erstellungsdatum der Reportdatei: Sonntag, 7. Oktober 2012  12:38


Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira AntiVir Personal - Free Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows 7 Home Premium
Windowsversion : (plain)  [6.1.7600]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : INTERNET

Versionsinformationen:
BUILD.DAT      : 13.0.0.2688    48279 Bytes  28.09.2012 10:06:00
AVSCAN.EXE     : 13.4.0.190    625440 Bytes  26.09.2012 13:58:14
AVSCANRC.DLL   : 13.4.0.163     64800 Bytes  19.09.2012 17:20:53
LUKE.DLL       : 13.4.0.184     66848 Bytes  25.09.2012 09:00:15
AVSCPLR.DLL    : 13.4.0.190     93984 Bytes  26.09.2012 13:58:22
AVREG.DLL      : 13.4.0.180    245536 Bytes  24.09.2012 11:05:45
avlode.dll     : 13.4.0.202    419616 Bytes  05.10.2012 16:50:25
avlode.rdf     : 13.0.0.24       7196 Bytes  27.09.2012 09:30:38
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 13:50:29
VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 13:50:31
VBASE002.VDF   : 7.11.19.170 14374912 Bytes  20.12.2011 13:50:34
VBASE003.VDF   : 7.11.21.238  4472832 Bytes  01.02.2012 13:50:36
VBASE004.VDF   : 7.11.26.44   4329472 Bytes  28.03.2012 13:50:37
VBASE005.VDF   : 7.11.34.116  4034048 Bytes  29.06.2012 13:42:40
VBASE006.VDF   : 7.11.41.250  4902400 Bytes  06.09.2012 13:42:40
VBASE007.VDF   : 7.11.41.251     2048 Bytes  06.09.2012 13:42:40
VBASE008.VDF   : 7.11.41.252     2048 Bytes  06.09.2012 13:42:40
VBASE009.VDF   : 7.11.41.253     2048 Bytes  06.09.2012 13:42:40
VBASE010.VDF   : 7.11.41.254     2048 Bytes  06.09.2012 13:42:40
VBASE011.VDF   : 7.11.41.255     2048 Bytes  06.09.2012 13:42:40
VBASE012.VDF   : 7.11.42.0       2048 Bytes  06.09.2012 13:42:40
VBASE013.VDF   : 7.11.42.1       2048 Bytes  06.09.2012 13:42:40
VBASE014.VDF   : 7.11.42.65    203264 Bytes  09.09.2012 13:42:40
VBASE015.VDF   : 7.11.42.125   156672 Bytes  11.09.2012 13:42:40
VBASE016.VDF   : 7.11.42.171   187904 Bytes  12.09.2012 13:42:40
VBASE017.VDF   : 7.11.42.235   141312 Bytes  13.09.2012 13:42:40
VBASE018.VDF   : 7.11.43.35    133632 Bytes  15.09.2012 13:42:40
VBASE019.VDF   : 7.11.43.89    129024 Bytes  18.09.2012 13:42:40
VBASE020.VDF   : 7.11.43.141   130560 Bytes  19.09.2012 17:02:38
VBASE021.VDF   : 7.11.43.187   121856 Bytes  21.09.2012 07:40:42
VBASE022.VDF   : 7.11.43.251   147456 Bytes  24.09.2012 08:56:45
VBASE023.VDF   : 7.11.44.43    152064 Bytes  25.09.2012 08:31:00
VBASE024.VDF   : 7.11.44.103   165888 Bytes  27.09.2012 12:16:14
VBASE025.VDF   : 7.11.44.167   160256 Bytes  30.09.2012 16:50:12
VBASE026.VDF   : 7.11.44.223   199680 Bytes  02.10.2012 16:50:13
VBASE027.VDF   : 7.11.45.29    196096 Bytes  04.10.2012 16:50:13
VBASE028.VDF   : 7.11.45.30      2048 Bytes  04.10.2012 16:50:13
VBASE029.VDF   : 7.11.45.31      2048 Bytes  04.10.2012 16:50:13
VBASE030.VDF   : 7.11.45.32      2048 Bytes  04.10.2012 16:50:13
VBASE031.VDF   : 7.11.45.58     66560 Bytes  05.10.2012 16:50:13
Engineversion  : 8.2.10.182
AEVDF.DLL      : 8.1.2.10      102772 Bytes  19.09.2012 13:42:55
AESCRIPT.DLL   : 8.1.4.60      463227 Bytes  05.10.2012 16:50:23
AESCN.DLL      : 8.1.9.2       131444 Bytes  26.09.2012 13:54:07
AESBX.DLL      : 8.2.5.12      606578 Bytes  28.08.2012 15:58:06
AERDL.DLL      : 8.1.9.15      639348 Bytes  27.08.2012 13:50:15
AEPACK.DLL     : 8.3.0.38      811382 Bytes  05.10.2012 16:50:23
AEOFFICE.DLL   : 8.1.2.48      201082 Bytes  24.09.2012 13:06:59
AEHEUR.DLL     : 8.1.4.114    5353847 Bytes  05.10.2012 16:50:21
AEHELP.DLL     : 8.1.25.0      258423 Bytes  05.10.2012 16:50:15
AEGEN.DLL      : 8.1.5.38      434548 Bytes  26.09.2012 13:54:07
AEEXP.DLL      : 8.2.0.4       115060 Bytes  05.10.2012 16:50:24
AEEMU.DLL      : 8.1.3.2       393587 Bytes  19.09.2012 13:42:55
AECORE.DLL     : 8.1.28.2      201079 Bytes  26.09.2012 13:54:07
AEBB.DLL       : 8.1.1.0        53618 Bytes  27.08.2012 13:50:12
AVWINLL.DLL    : 13.4.0.163     25888 Bytes  19.09.2012 17:09:30
AVPREF.DLL     : 13.4.0.163     50464 Bytes  19.09.2012 17:07:51
AVREP.DLL      : 13.4.0.163    177952 Bytes  19.09.2012 17:08:15
AVARKT.DLL     : 13.4.0.184    260384 Bytes  25.09.2012 08:51:51
AVEVTLOG.DLL   : 13.4.0.185    167200 Bytes  25.09.2012 08:52:37
SQLITE3.DLL    : 3.7.0.1       397088 Bytes  19.09.2012 17:17:40
AVSMTP.DLL     : 13.4.0.163     62240 Bytes  19.09.2012 17:08:54
NETNT.DLL      : 13.4.0.163     15648 Bytes  19.09.2012 17:16:26
RCIMAGE.DLL    : 13.4.0.163   4780832 Bytes  19.09.2012 17:21:16
RCTEXT.DLL     : 13.4.0.163     68384 Bytes  19.09.2012 17:21:16

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: AVGuardAsyncScan
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_5071541e\guard_slideup.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: vollständig

Beginn des Suchlaufs: Sonntag, 7. Oktober 2012  12:38

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '103' Modul(e) wurden durchsucht
Durchsuche Prozess 'AUDIODG.EXE' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'sppsvc.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '76' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'dpupdchk.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'ONENOTEM.EXE' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '98' Modul(e) wurden durchsucht
Durchsuche Prozess 'ipoint.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLanGUI.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'DDMService.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'DivXUpdate.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'VDeck.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '144' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskhost.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'WUDFHost.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvSCPAPISvr.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'WlanNetService.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '82' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '82' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '72' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvvsvc.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'NvXDSync.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '78' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '125' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '104' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvvsvc.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\$Recycle.Bin\S-1-5-18\$a3af7ee3cc32202eeb79a26dcf13d70f\U\000000cb.@'
C:\$Recycle.Bin\S-1-5-18\$a3af7ee3cc32202eeb79a26dcf13d70f\U\000000cb.@
  [FUND]      Ist das Trojanische Pferd TR/Sirefef.A.37
Beginne mit der Suche in 'C:\$Recycle.Bin\S-1-5-18\$a3af7ee3cc32202eeb79a26dcf13d70f\U\80000000.@'
C:\$Recycle.Bin\S-1-5-18\$a3af7ee3cc32202eeb79a26dcf13d70f\U\80000000.@
  [FUND]      Ist das Trojanische Pferd TR/ATRAPS.Gen
Beginne mit der Suche in 'C:\$Recycle.Bin\S-1-5-18\$a3af7ee3cc32202eeb79a26dcf13d70f\n'
C:\$Recycle.Bin\S-1-5-18\$a3af7ee3cc32202eeb79a26dcf13d70f\n
  [FUND]      Ist das Trojanische Pferd TR/ZAccess.EB.17

Beginne mit der Desinfektion:
C:\$Recycle.Bin\S-1-5-18\$a3af7ee3cc32202eeb79a26dcf13d70f\n
  [FUND]      Ist das Trojanische Pferd TR/ZAccess.EB.17
  [WARNUNG]   Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
  [WARNUNG]   Die Datei konnte nicht gelöscht werden!
  [HINWEIS]   Die Datei wurde zum Löschen nach einem Neustart markiert.
  [HINWEIS]   Für die abschliessende Reparatur wird ein Neustart des Computers eingeleitet.
C:\$Recycle.Bin\S-1-5-18\$a3af7ee3cc32202eeb79a26dcf13d70f\U\80000000.@
  [FUND]      Ist das Trojanische Pferd TR/ATRAPS.Gen
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '1dce8ade.qua' verschoben!
C:\$Recycle.Bin\S-1-5-18\$a3af7ee3cc32202eeb79a26dcf13d70f\U\000000cb.@
  [FUND]      Ist das Trojanische Pferd TR/Sirefef.A.37
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '7bf9c51c.qua' verschoben!


Ende des Suchlaufs: Sonntag, 7. Oktober 2012  12:43
Benötigte Zeit: 00:11 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

      0 Verzeichnisse wurden überprüft
    508 Dateien wurden geprüft
      3 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      2 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
    505 Dateien ohne Befall
      0 Archive wurden durchsucht
      1 Warnungen
      3 Hinweise


Die Suchergebnisse werden an den Guard übermittelt.
Die Reparaturanweisungen wurden in die Datei 'C:\avrescue\rescue.avp' geschrieben.
         
Vollständiger Scan Antivir

Code:
ATTFilter
 

Avira Free Antivirus
Erstellungsdatum der Reportdatei: Sonntag, 7. Oktober 2012  12:46


Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira AntiVir Personal - Free Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows 7 Home Premium
Windowsversion : (plain)  [6.1.7600]
Boot Modus     : Normal gebootet
Benutzername   : von Restorff
Computername   : INTERNET

Versionsinformationen:
BUILD.DAT      : 13.0.0.2693          Bytes  01.10.2012 17:25:00
AVSCAN.EXE     : 13.4.0.200    625952 Bytes  07.10.2012 10:45:18
AVSCANRC.DLL   : 13.4.0.163     64800 Bytes  19.09.2012 17:20:53
LUKE.DLL       : 13.4.0.184     66848 Bytes  25.09.2012 09:00:15
AVSCPLR.DLL    : 13.4.0.190     93984 Bytes  26.09.2012 13:58:22
AVREG.DLL      : 13.4.0.180    245536 Bytes  24.09.2012 11:05:45
avlode.dll     : 13.4.0.202    419616 Bytes  05.10.2012 16:50:25
avlode.rdf     : 13.0.0.24       7196 Bytes  27.09.2012 09:30:38
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 13:50:29
VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 13:50:31
VBASE002.VDF   : 7.11.19.170 14374912 Bytes  20.12.2011 13:50:34
VBASE003.VDF   : 7.11.21.238  4472832 Bytes  01.02.2012 13:50:36
VBASE004.VDF   : 7.11.26.44   4329472 Bytes  28.03.2012 13:50:37
VBASE005.VDF   : 7.11.34.116  4034048 Bytes  29.06.2012 13:42:40
VBASE006.VDF   : 7.11.41.250  4902400 Bytes  06.09.2012 13:42:40
VBASE007.VDF   : 7.11.41.251     2048 Bytes  06.09.2012 13:42:40
VBASE008.VDF   : 7.11.41.252     2048 Bytes  06.09.2012 13:42:40
VBASE009.VDF   : 7.11.41.253     2048 Bytes  06.09.2012 13:42:40
VBASE010.VDF   : 7.11.41.254     2048 Bytes  06.09.2012 13:42:40
VBASE011.VDF   : 7.11.41.255     2048 Bytes  06.09.2012 13:42:40
VBASE012.VDF   : 7.11.42.0       2048 Bytes  06.09.2012 13:42:40
VBASE013.VDF   : 7.11.42.1       2048 Bytes  06.09.2012 13:42:40
VBASE014.VDF   : 7.11.42.65    203264 Bytes  09.09.2012 13:42:40
VBASE015.VDF   : 7.11.42.125   156672 Bytes  11.09.2012 13:42:40
VBASE016.VDF   : 7.11.42.171   187904 Bytes  12.09.2012 13:42:40
VBASE017.VDF   : 7.11.42.235   141312 Bytes  13.09.2012 13:42:40
VBASE018.VDF   : 7.11.43.35    133632 Bytes  15.09.2012 13:42:40
VBASE019.VDF   : 7.11.43.89    129024 Bytes  18.09.2012 13:42:40
VBASE020.VDF   : 7.11.43.141   130560 Bytes  19.09.2012 17:02:38
VBASE021.VDF   : 7.11.43.187   121856 Bytes  21.09.2012 07:40:42
VBASE022.VDF   : 7.11.43.251   147456 Bytes  24.09.2012 08:56:45
VBASE023.VDF   : 7.11.44.43    152064 Bytes  25.09.2012 08:31:00
VBASE024.VDF   : 7.11.44.103   165888 Bytes  27.09.2012 12:16:14
VBASE025.VDF   : 7.11.44.167   160256 Bytes  30.09.2012 16:50:12
VBASE026.VDF   : 7.11.44.223   199680 Bytes  02.10.2012 16:50:13
VBASE027.VDF   : 7.11.45.29    196096 Bytes  04.10.2012 16:50:13
VBASE028.VDF   : 7.11.45.30      2048 Bytes  04.10.2012 16:50:13
VBASE029.VDF   : 7.11.45.31      2048 Bytes  04.10.2012 16:50:13
VBASE030.VDF   : 7.11.45.32      2048 Bytes  04.10.2012 16:50:13
VBASE031.VDF   : 7.11.45.72    104960 Bytes  06.10.2012 10:45:14
Engineversion  : 8.2.10.182
AEVDF.DLL      : 8.1.2.10      102772 Bytes  19.09.2012 13:42:55
AESCRIPT.DLL   : 8.1.4.60      463227 Bytes  05.10.2012 16:50:23
AESCN.DLL      : 8.1.9.2       131444 Bytes  26.09.2012 13:54:07
AESBX.DLL      : 8.2.5.12      606578 Bytes  28.08.2012 15:58:06
AERDL.DLL      : 8.1.9.15      639348 Bytes  27.08.2012 13:50:15
AEPACK.DLL     : 8.3.0.38      811382 Bytes  05.10.2012 16:50:23
AEOFFICE.DLL   : 8.1.2.48      201082 Bytes  24.09.2012 13:06:59
AEHEUR.DLL     : 8.1.4.114    5353847 Bytes  05.10.2012 16:50:21
AEHELP.DLL     : 8.1.25.0      258423 Bytes  05.10.2012 16:50:15
AEGEN.DLL      : 8.1.5.38      434548 Bytes  26.09.2012 13:54:07
AEEXP.DLL      : 8.2.0.4       115060 Bytes  05.10.2012 16:50:24
AEEMU.DLL      : 8.1.3.2       393587 Bytes  19.09.2012 13:42:55
AECORE.DLL     : 8.1.28.2      201079 Bytes  26.09.2012 13:54:07
AEBB.DLL       : 8.1.1.0        53618 Bytes  27.08.2012 13:50:12
AVWINLL.DLL    : 13.4.0.163     25888 Bytes  19.09.2012 17:09:30
AVPREF.DLL     : 13.4.0.163     50464 Bytes  19.09.2012 17:07:51
AVREP.DLL      : 13.4.0.163    177952 Bytes  19.09.2012 17:08:15
AVARKT.DLL     : 13.4.0.184    260384 Bytes  25.09.2012 08:51:51
AVEVTLOG.DLL   : 13.4.0.185    167200 Bytes  25.09.2012 08:52:37
SQLITE3.DLL    : 3.7.0.1       397088 Bytes  19.09.2012 17:17:40
AVSMTP.DLL     : 13.4.0.163     62240 Bytes  19.09.2012 17:08:54
NETNT.DLL      : 13.4.0.163     15648 Bytes  19.09.2012 17:16:26
RCIMAGE.DLL    : 13.4.0.163   4780832 Bytes  19.09.2012 17:21:16
RCTEXT.DLL     : 13.4.0.163     68384 Bytes  19.09.2012 17:21:16

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\Program Files\Avira\AntiVir Desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, 
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Sonntag, 7. Oktober 2012  12:46

Der Suchlauf über die Masterbootsektoren wird begonnen:

Der Suchlauf über die Bootsektoren wird begonnen:

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_LOCAL_MACHINE\System\ControlSet002\Control\Session Manager\PendingFileRenameOperations
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet002\services\Tcpip\Parameters\Interfaces\{579CF633-24C2-4EAF-9706-04286777A8A9}\DhcpIPAddress
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet002\services\Tcpip\Parameters\Interfaces\{579CF633-24C2-4EAF-9706-04286777A8A9}\DhcpSubnetMask
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet002\services\Tcpip\Parameters\Interfaces\{579CF633-24C2-4EAF-9706-04286777A8A9}\DhcpServer
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet002\services\Tcpip\Parameters\Interfaces\{579CF633-24C2-4EAF-9706-04286777A8A9}\DhcpInterfaceOptions
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-599126093-1068259136-831876493-1000\Software\Avira\AntiVir Desktop\profDataStr
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-599126093-1068259136-831876493-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache\MSHist012012091020120917
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '104' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '128' Modul(e) wurden durchsucht
Durchsuche Prozess 'dpupdchk.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'ONENOTEM.EXE' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '98' Modul(e) wurden durchsucht
Durchsuche Prozess 'ipoint.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLanGUI.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'DDMService.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'DivXUpdate.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'VDeck.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '159' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskhost.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '31' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1470' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\Windows\assembly\GAC\Desktop.ini
  [FUND]      Ist das Trojanische Pferd TR/ATRAPS.Gen2

Beginne mit der Desinfektion:
C:\Windows\assembly\GAC\Desktop.ini
  [FUND]      Ist das Trojanische Pferd TR/ATRAPS.Gen2
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '579ec41d.qua' verschoben!


Ende des Suchlaufs: Sonntag, 7. Oktober 2012  13:51
Benötigte Zeit:  1:04:01 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  20567 Verzeichnisse wurden überprüft
 433579 Dateien wurden geprüft
      1 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      1 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 433578 Dateien ohne Befall
   6766 Archive wurden durchsucht
      0 Warnungen
      8 Hinweise
 397609 Objekte wurden beim Rootkitscan durchsucht
      7 Versteckte Objekte wurden gefunden
         
Malware-Bytes (vollständiger Scan)

Code:
ATTFilter
  Malwarebytes Anti-Malware 1.65.0.1400
www.malwarebytes.org

Datenbank Version: v2012.10.07.02

Windows 7 x86 NTFS
Internet Explorer 9.0.8112.16421
von Restorff :: INTERNET [Administrator]

07.10.2012 14:00:54
mbam-log-2012-10-07 (14-00-54).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|F:\|G:\|H:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 330155
Laufzeit: 1 Stunde(n), 16 Minute(n), 10 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 2
HKCR\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32| (Trojan.0Access) -> Bösartig: (C:\$Recycle.Bin\S-1-5-18\$a3af7ee3cc32202eeb79a26dcf13d70f\n.) Gut: (fastprox.dll) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCR\CLSID\{FBEB8A05-BEEE-4442-804E-409D6C4515E9}\InProcServer32| (Trojan.0Access) -> Bösartig: (C:\$Recycle.Bin\S-1-5-21-599126093-1068259136-831876493-1000\$a3af7ee3cc32202eeb79a26dcf13d70f\n.) Gut: (shell32.dll) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\$Recycle.Bin\S-1-5-18\$a3af7ee3cc32202eeb79a26dcf13d70f\U\00000008.@ (Trojan.Dropper.BCMiner) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         

Alt 07.10.2012, 17:53   #2
DerJazzer
/// Malwareteam
 
TR/Atraps.Gen2 - Infektion - Standard

TR/Atraps.Gen2 - Infektion





Ich habe dein Thema in Arbeit und melde mich so schnell als möglich mit weiteren Anweisungen.

Bitte beachte, dass alle meine Antworten zuerst von einem Ausbilder freigegeben werden müssen, bevor ich diese hier posten darf. Dies garantiert, dass Du Hilfe von einem ausgebildeten Helfer bekommst.

Ich bedanke mich für deine Geduld
__________________

__________________

Alt 07.10.2012, 18:28   #3
DerJazzer
/// Malwareteam
 
TR/Atraps.Gen2 - Infektion - Standard

TR/Atraps.Gen2 - Infektion



Hallo und

Ich bin Christoph und möchte dir bei deinem Problem helfen.
Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.
  • Bitte arbeite alle Schritte der Reihe nach ab.
  • Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
  • Nur Scans durchführen zu denen Du von einem Helfer aufgefordert wirst.
  • Bitte kein Crossposting (Posten in mehreren Foren).
  • Installiere oder Deinstalliere während der Bereinigung keine Software außer Du wurdest dazu aufgefordert.
  • Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
  • Poste die Logfiles direkt in deinen Thread. Nicht anhängen außer ich fordere Dich dazu auf. Erschwert mir nämlich das Auswerten.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass dein PC clean ist.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Schritt 1

Befolge bitte die hier geschilderten Anweisungen und poste die geforderten Logfiles.

Bitte poste in deiner nächsten Antwort
  • OTL.txt & Extras.txt
  • Gmer.txt
__________________
__________________

Alt 07.10.2012, 20:58   #4
fvr1234
 
TR/Atraps.Gen2 - Infektion - Standard

TR/Atraps.Gen2 - Infektion



Hallo Christoph,

vielen Dank für Deine rasche Reaktion.
2 Anmerkungen: ich habe den OTL 2x ausgeführt, da ich zunächst einen vollständigen Scan gemacht habe, beim 2. Suchlauf kam keine Extras mehr; daher habe ich die urspr. Extras (Run1), aber den OTL-Quickscan gepostet (deswegen steht hier Run 2).
Weiterhin habe ich diesen Rechner vor einem halben Jahr von einem Freund übernommen, der in die Staaten gezogen ist; daher bitte auch Info, falls irgendwas drauf sein sollte, weswegen Du mir nicht weiterhelfen würdest; von meiner Seite aus gab es hier keinerlei illegale Aktivitäten, ich habe mich nur bisher mit diesem Thema noch nicht beschäftigt (aber jetzt in Euren Regeln gelesen).

VG
(ebenfalls) Christoph :-)

OTL

OTL Logfile:
Code:
ATTFilter
OTL logfile created on: 07.10.2012 20:05:37 - Run 2
OTL by OldTimer - Version 3.2.69.0     Folder = C:\Users\***\Desktop\Downloads
 Home Premium Edition  (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3,44 Gb Total Physical Memory | 2,36 Gb Available Physical Memory | 68,64% Memory free
7,37 Gb Paging File | 6,16 Gb Available in Paging File | 83,55% Paging File free
Paging file location(s): c:\pagefile.sys 4032 4032 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 596,04 Gb Total Space | 14,20 Gb Free Space | 2,38% Space Free | Partition Type: NTFS
 
Computer Name: INTERNET | User Name: *** | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - C:\Users\***\Desktop\Downloads\OTL.exe (OldTimer Tools)
PRC - C:\Windows\System32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe (Adobe Systems, Inc.)
PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira Operations GmbH & Co. KG)
PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira Operations GmbH & Co. KG)
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira Operations GmbH & Co. KG)
PRC - C:\Programme\Microsoft IntelliPoint\ipoint.exe (Microsoft Corporation)
PRC - C:\Programme\Microsoft IntelliPoint\dpupdchk.exe (Microsoft Corporation)
PRC - C:\Programme\DivX\DivX Update\DivXUpdate.exe ()
PRC - C:\Programme\DivX\DivX Plus Web Player\DDMService.exe (DivX, LLC)
PRC - C:\Programme\NVIDIA Corporation\Display\NvXDSync.exe (NVIDIA Corporation)
PRC - C:\Programme\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe (NVIDIA Corporation)
PRC - C:\Programme\VIA\VIAudioi\VDeck\VDeck.exe (VIA)
PRC - C:\Windows\explorer.exe (Microsoft Corporation)
PRC - C:\Programme\Windows Media Player\wmpnetwk.exe (Microsoft Corporation)
PRC - C:\Windows\System32\taskhost.exe (Microsoft Corporation)
PRC - C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE (Microsoft Corporation)
PRC - C:\Programme\avmwlanstick\WLanGUI.exe (AVM Berlin)
PRC - C:\Programme\avmwlanstick\WLanNetService.exe (AVM Berlin)
 
 
========== Modules (No Company Name) ==========
 
MOD - C:\Windows\System32\Macromed\Flash\NPSWF32_11_4_402_278.dll ()
MOD - C:\Programme\Mozilla Firefox\mozjs.dll ()
MOD - C:\Programme\DivX\DivX Update\DivXUpdateCheck.dll ()
MOD - C:\Programme\DivX\DivX Update\DivXUpdate.exe ()
MOD - C:\Programme\WinRAR\RarExt.dll ()
MOD - C:\Programme\VIA\VIAudioi\VDeck\skin.dll ()
MOD - C:\Programme\IZArc\IZArcCM.dll ()
MOD - C:\Programme\VIA\VIAudioi\VDeck\Dts2ApoApi.dll ()
MOD - C:\Programme\VIA\VIAudioi\VDeck\QsApoApi.dll ()
MOD - C:\Programme\VIA\VIAudioi\VDeck\VMicApi.dll ()
 
 
========== Services (SafeList) ==========
 
SRV - (AdobeFlashPlayerUpdateSvc) -- C:\Windows\System32\Macromed\Flash\FlashPlayerUpdateService.exe (Adobe Systems Incorporated)
SRV - (MozillaMaintenance) -- C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe (Mozilla Foundation)
SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira Operations GmbH & Co. KG)
SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira Operations GmbH & Co. KG)
SRV - (SkypeUpdate) -- C:\Programme\Skype\Updater\Updater.exe (Skype Technologies)
SRV - (odserv) -- C:\Programme\Common Files\microsoft shared\OFFICE12\ODSERV.EXE (Microsoft Corporation)
SRV - (Stereo Service) -- C:\Programme\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe (NVIDIA Corporation)
SRV - (SensrSvc) -- C:\Windows\System32\sensrsvc.dll (Microsoft Corporation)
SRV - (WMPNetworkSvc) -- C:\Programme\Windows Media Player\wmpnetwk.exe (Microsoft Corporation)
SRV - (AVM WLAN Connection Service) -- C:\Programme\avmwlanstick\WLanNetService.exe (AVM Berlin)
SRV - (ose) -- C:\Programme\Common Files\microsoft shared\Source Engine\OSE.EXE (Microsoft Corporation)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (avkmgr) -- C:\Windows\System32\drivers\avkmgr.sys (Avira Operations GmbH & Co. KG)
DRV - (avipbb) -- C:\Windows\System32\drivers\avipbb.sys (Avira Operations GmbH & Co. KG)
DRV - (avgntflt) -- C:\Windows\System32\drivers\avgntflt.sys (Avira Operations GmbH & Co. KG)
DRV - (ssmdrv) -- C:\Windows\System32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (hwpsgt) -- C:\Windows\System32\drivers\hwpsgt.sys ()
DRV - (lemsgt) -- C:\Windows\System32\drivers\lemsgt.sys ()
DRV - (nvlddmkm) -- C:\Windows\System32\drivers\nvlddmkm.sys (NVIDIA Corporation)
DRV - (VIAHdAudAddService) -- C:\Windows\System32\drivers\viahduaa.sys (VIA Technologies, Inc.)
DRV - (fwlanusbn) -- C:\Windows\System32\drivers\fwlanusbn.sys (AVM GmbH)
DRV - (avmeject) -- C:\Windows\System32\drivers\avmeject.sys (AVM Berlin)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 93 B9 86 E0 47 AB CB 01  [binary data]
IE - HKCU\..\SearchScopes,DefaultScope = {4CA9DA25-8170-4F5B-8DCF-7245C3B41C8F}
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKCU\..\SearchScopes\{4CA9DA25-8170-4F5B-8DCF-7245C3B41C8F}: "URL" = hxxp://www.google.de/search?q={searchTerms}
IE - HKCU\..\SearchScopes\{5FE34295-440B-4E28-B513-A1681BE7AC04}: "URL" = hxxp://de.wikipedia.org/w/index.php?title=Spezial:Suche&search={searchTerms}
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.startup.homepage: "hxxp://www.google.de/"
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}:6.0.23
FF - prefs.js..extensions.enabledItems: {ACAA314B-EEBA-48e4-AD47-84E31C44796C}:1.0.1
FF - prefs.js..extensions.enabledItems: {23fcfd51-4958-4f00-80a3-ae97e717ed8b}:2.1.0.900
FF - prefs.js..extensions.enabledItems: {6904342A-8307-11DF-A508-4AE2DFD72085}:2.1.0.900
FF - user.js - File not found
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32_11_4_402_278.dll ()
FF - HKLM\Software\MozillaPlugins\@adobe.com/ShockwavePlayer: C:\Windows\system32\Adobe\Director\np32dsw_1166636.dll (Adobe Systems, Inc.)
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Browser Plugin,version=1.0.0: C:\Program Files\DivX\DivX Plus Web Player\npdivx32.dll (DivX, LLC)
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX OVS Helper,version=1.0.0: C:\Program Files\DivX\DivX OVS Helper\npovshelper.dll (DivX, LLC.)
FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Program Files\Google\Google Earth\plugin\npgeplugin.dll (Google)
FF - HKLM\Software\MozillaPlugins\@google.com/npPicasa3,version=3.0.0: C:\Program Files\Google\Picasa3\npPicasa3.dll (Google, Inc.)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Program Files\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@nvidia.com/3DVision: C:\Program Files\NVIDIA Corporation\3D Vision\npnv3dv.dll (NVIDIA Corporation)
FF - HKLM\Software\MozillaPlugins\@nvidia.com/3DVisionStreaming: C:\Program Files\NVIDIA Corporation\3D Vision\npnv3dvstreaming.dll (NVIDIA Corporation)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{23fcfd51-4958-4f00-80a3-ae97e717ed8b}: C:\Program Files\DivX\DivX Plus Web Player\firefox\html5video [2011.01.23 11:10:14 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{6904342A-8307-11DF-A508-4AE2DFD72085}: C:\Program Files\DivX\DivX Plus Web Player\firefox\wpa [2011.01.23 11:10:15 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 15.0.1\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2012.09.29 19:18:07 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 15.0.1\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2011.05.13 12:38:50 | 000,000,000 | ---D | M]
FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Firefox 15.0.1\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2012.09.29 19:18:07 | 000,000,000 | ---D | M]
FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Firefox 15.0.1\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2011.05.13 12:38:50 | 000,000,000 | ---D | M]
 
[2011.01.03 18:34:22 | 000,000,000 | ---D | M] (No name found) -- C:\Users\von Restorff\AppData\Roaming\mozilla\Extensions
[2012.05.07 13:56:26 | 000,000,000 | ---D | M] (No name found) -- C:\Users\von Restorff\AppData\Roaming\mozilla\Firefox\Profiles\aruhtee8.default\extensions
[2011.02.10 19:29:03 | 000,000,000 | ---D | M] ("DVDVideoSoft Menu") -- C:\Users\von Restorff\AppData\Roaming\mozilla\Firefox\Profiles\aruhtee8.default\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}
[2012.03.07 22:47:11 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2012.09.29 19:18:07 | 000,266,720 | ---- | M] (Mozilla Foundation) -- C:\Program Files\mozilla firefox\components\browsercomps.dll
[2011.01.04 13:01:30 | 000,472,808 | ---- | M] (Sun Microsystems, Inc.) -- C:\Program Files\mozilla firefox\plugins\npdeployJava1.dll
[2012.06.21 21:29:58 | 000,001,392 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\amazondotcom-de.xml
[2012.09.29 19:18:06 | 000,002,465 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\bing.xml
[2012.06.21 21:29:58 | 000,001,153 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\eBay-de.xml
[2012.06.21 21:29:58 | 000,006,805 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\leo_ende_de.xml
[2012.06.21 21:29:58 | 000,001,178 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\wikipedia-de.xml
[2012.06.21 21:29:58 | 000,001,105 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2011.01.27 22:22:03 | 000,000,822 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O1 - Hosts: ::1             localhost
O2 - BHO: (DivX Plus Web Player HTML5 <video>) - {326E768D-4182-46FD-9C16-1449A49795F4} - C:\Programme\DivX\DivX Plus Web Player\npdivx32.dll (DivX, LLC)
O2 - BHO: (DivX HiQ) - {593DDEC6-7468-4cdd-90E1-42DADAA222E9} - C:\Programme\DivX\DivX Plus Web Player\npdivx32.dll (DivX, LLC)
O2 - BHO: (Skype Plug-In) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O4 - HKLM..\Run: [avgnt] C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
O4 - HKLM..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\WLanGUI.exe (AVM Berlin)
O4 - HKLM..\Run: [DivX Download Manager] C:\Program Files\DivX\DivX Plus Web Player\DDmService.exe (DivX, LLC)
O4 - HKLM..\Run: [DivXUpdate] C:\Program Files\DivX\DivX Update\DivXUpdate.exe ()
O4 - HKLM..\Run: [HDAudDeck] C:\Program Files\VIA\VIAudioi\VDeck\VDeck.exe (VIA)
O4 - Startup: C:\Users\***\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE (Microsoft Corporation)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: PromptOnSecureDesktop = 0
O8 - Extra context menu item: add to &BOM - C:\\PROGRA~1\\BIET-O~1\\\\AddToBOM.hta ()
O8 - Extra context menu item: Add to Google Photos Screensa&ver - C:\Windows\System32\GPhotos.scr (Google Inc.)
O8 - Extra context menu item: Free YouTube to MP3 Converter - C:\Users\***\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm ()
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - C:\Programme\Microsoft Office\Office12\EXCEL.EXE (Microsoft Corporation)
O9 - Extra Button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office12\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office12\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra Button: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O9 - Extra 'Tools' menuitem : Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O9 - Extra Button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Programme\Microsoft Office\Office12\REFIEBAR.DLL (Microsoft Corporation)
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - %SystemRoot%\system32\pnrpnsp.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - %SystemRoot%\system32\pnrpnsp.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - %SystemRoot%\system32\pnrpnsp.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000004 - %SystemRoot%\system32\pnrpnsp.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000005 - %SystemRoot%\system32\pnrpnsp.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000006 - %SystemRoot%\system32\pnrpnsp.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000007 - %SystemRoot%\system32\pnrpnsp.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000008 - %SystemRoot%\system32\pnrpnsp.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000009 - %SystemRoot%\system32\pnrpnsp.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000010 - %SystemRoot%\system32\pnrpnsp.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000011 - %SystemRoot%\system32\pnrpnsp.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000012 - %SystemRoot%\system32\pnrpnsp.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000013 - %SystemRoot%\system32\pnrpnsp.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000014 - %SystemRoot%\system32\pnrpnsp.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000015 - %SystemRoot%\system32\pnrpnsp.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000016 - %SystemRoot%\system32\pnrpnsp.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000017 - %SystemRoot%\system32\pnrpnsp.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000018 - %SystemRoot%\system32\pnrpnsp.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000019 - %SystemRoot%\system32\pnrpnsp.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000020 - %SystemRoot%\system32\pnrpnsp.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000021 - %SystemRoot%\system32\pnrpnsp.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000022 - %SystemRoot%\system32\pnrpnsp.dll File not found
O13 - gopher Prefix: missing
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab (Java Plug-in 1.6.0_23)
O16 - DPF: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab (Java Plug-in 1.6.0_23)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab (Java Plug-in 1.6.0_23)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/flashplayer/current/swflash.cab (Shockwave Flash Object)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{579CF633-24C2-4EAF-9706-04286777A8A9}: DhcpNameServer = 192.168.178.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{CDA25805-4ABA-48E7-A52C-05F0C734C2A4}: DhcpNameServer = 192.168.1.1
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Common Files\microsoft shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Common Files\Skype\Skype4COM.dll (Skype Technologies)
O18 - Protocol\Handler\skype-ie-addon-data {91774881-D725-4E58-B298-07617B9B86A8} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Common Files\microsoft shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\System32\userinit.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) - C:\Windows\System32\SystemPropertiesPerformance.exe (Microsoft Corporation)
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.06.10 23:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O33 - MountPoints2\{37289f5c-047e-11e1-bba4-0025224a88f4}\Shell - "" = AutoRun
O33 - MountPoints2\{37289f5c-047e-11e1-bba4-0025224a88f4}\Shell\AutoRun\command - "" = I:\pushinst.exe
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
O38 - SubSystems\\Windows: (ServerDll=sxssrv,4)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012.10.07 13:08:41 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes' Anti-Malware
[2012.10.07 13:08:39 | 000,022,856 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbam.sys
[2012.10.07 13:08:38 | 000,000,000 | ---D | C] -- C:\Program Files\Malwarebytes' Anti-Malware
[2012.10.05 18:55:02 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Roaming\Avira
[2012.10.05 18:49:31 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Avira
[2012.10.05 18:49:11 | 000,028,520 | ---- | C] (Avira GmbH) -- C:\Windows\System32\drivers\ssmdrv.sys
[2012.10.05 18:49:10 | 000,134,184 | ---- | C] (Avira Operations GmbH & Co. KG) -- C:\Windows\System32\drivers\avipbb.sys
[2012.10.05 18:49:10 | 000,083,792 | ---- | C] (Avira Operations GmbH & Co. KG) -- C:\Windows\System32\drivers\avgntflt.sys
[2012.10.05 18:49:10 | 000,036,552 | ---- | C] (Avira Operations GmbH & Co. KG) -- C:\Windows\System32\drivers\avkmgr.sys
[2012.10.05 18:48:54 | 000,000,000 | ---D | C] -- C:\ProgramData\Avira
[2012.10.05 18:48:54 | 000,000,000 | ---D | C] -- C:\Program Files\Avira
[2012.10.02 12:10:21 | 000,000,000 | ---D | C] -- C:\Users\***\Desktop\2012-10-02 September 2012
[2012.09.28 19:26:36 | 000,000,000 | ---D | C] -- C:\Users\***\Desktop\2012-09-28 Mami Sep 2012
[2012.09.18 00:09:04 | 000,000,000 | ---D | C] -- C:\Windows\System32\Adobe
[2012.09.13 03:31:21 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Skype
[2012.09.13 03:31:21 | 000,000,000 | ---D | C] -- C:\Program Files\Common Files\Skype
[2012.09.12 13:01:38 | 000,000,000 | ---D | C] -- C:\Users\***\Desktop\2012-09-12 september 2012
 
========== Files - Modified Within 30 Days ==========
 
[2012.10.07 19:50:30 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2012.10.07 19:50:22 | 2767,519,744 | -HS- | M] () -- C:\hiberfil.sys
[2012.10.07 19:49:48 | 000,009,776 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
[2012.10.07 19:49:48 | 000,009,776 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
[2012.10.07 19:10:00 | 000,000,884 | ---- | M] () -- C:\Windows\tasks\Adobe Flash Player Updater.job
[2012.10.07 13:09:36 | 000,001,085 | ---- | M] () -- C:\Users\***\Desktop\ Malwarebytes Anti-Malware .lnk
[2012.10.07 13:08:42 | 000,001,067 | ---- | M] () -- C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
[2012.10.05 18:49:31 | 000,001,940 | ---- | M] () -- C:\Users\Public\Desktop\Avira Control Center.lnk
[2012.09.28 19:26:29 | 000,653,928 | ---- | M] () -- C:\Windows\System32\perfh007.dat
[2012.09.28 19:26:29 | 000,615,810 | ---- | M] () -- C:\Windows\System32\perfh009.dat
[2012.09.28 19:26:29 | 000,129,800 | ---- | M] () -- C:\Windows\System32\perfc007.dat
[2012.09.28 19:26:29 | 000,106,190 | ---- | M] () -- C:\Windows\System32\perfc009.dat
[2012.09.26 14:22:28 | 001,362,737 | ---- | M] () -- C:\Users\***\Desktop\martina.png
[2012.09.24 09:58:11 | 000,036,552 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Windows\System32\drivers\avkmgr.sys
[2012.09.13 10:58:24 | 000,134,184 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Windows\System32\drivers\avipbb.sys
[2012.09.13 10:58:17 | 000,083,792 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Windows\System32\drivers\avgntflt.sys
 
========== Files Created - No Company Name ==========
 
[2012.10.07 13:09:36 | 000,001,085 | ---- | C] () -- C:\Users\***\Desktop\ Malwarebytes Anti-Malware .lnk
[2012.10.07 13:08:42 | 000,001,067 | ---- | C] () -- C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
[2012.10.05 18:49:31 | 000,001,940 | ---- | C] () -- C:\Users\Public\Desktop\Avira Control Center.lnk
[2012.09.26 10:44:23 | 001,362,737 | ---- | C] () -- C:\Users\***\Desktop\martina.png
[2011.11.01 13:41:17 | 000,015,573 | ---- | C] () -- C:\Windows\System32\drivers\fwlanusbn.bin
[2011.05.15 17:03:08 | 000,015,873 | ---- | C] () -- C:\Windows\System32\Inetde.dll
[2011.02.22 15:37:07 | 000,137,344 | ---- | C] () -- C:\Windows\System32\drivers\hwpsgt.sys
[2011.02.22 15:36:57 | 000,009,472 | ---- | C] () -- C:\Windows\System32\drivers\lemsgt.sys
[2011.01.12 20:45:56 | 000,004,608 | ---- | C] () -- C:\Users\***\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2011.01.11 19:37:50 | 000,000,085 | -HS- | C] () -- C:\ProgramData\.zreglib
[2011.01.03 18:34:17 | 000,000,000 | ---- | C] () -- C:\Windows\nsreg.dat
[2011.01.03 15:04:46 | 000,073,728 | ---- | C] () -- C:\Windows\System32\RtNicProp32.dll
 
========== ZeroAccess Check ==========
 
[2009.07.14 06:42:31 | 000,000,227 | RHS- | M] () -- C:\Windows\assembly\Desktop.ini
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]
"ThreadingModel" = Both
"" = shell32.dll -- [2012.06.09 06:46:56 | 012,868,608 | ---- | M] (Microsoft Corporation)
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\system32\shell32.dll -- [2012.06.09 06:46:56 | 012,868,608 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = fastprox.dll -- [2009.07.14 03:15:20 | 000,605,696 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]
"" = %systemroot%\system32\wbem\wbemess.dll -- [2009.07.14 03:16:17 | 000,342,528 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both
 
========== LOP Check ==========
 
[2011.02.22 15:41:09 | 000,000,000 | ---D | M] -- C:\Users\***\AppData\Roaming\Ascaron Entertainment
[2012.04.14 21:30:13 | 000,000,000 | ---D | M] -- C:\Users\***\AppData\Roaming\BOM
[2012.03.08 10:44:38 | 000,000,000 | ---D | M] -- C:\Users\***\AppData\Roaming\Canneverbe Limited
[2011.02.10 19:29:02 | 000,000,000 | ---D | M] -- C:\Users\***\AppData\Roaming\DVDVideoSoftIEHelpers
[2012.03.11 12:00:07 | 000,000,000 | ---D | M] -- C:\Users\***\AppData\Roaming\HandBrake
[2011.01.23 11:10:16 | 000,000,000 | ---D | M] -- C:\Users\***\AppData\Roaming\Local
[2011.01.13 14:31:13 | 000,000,000 | ---D | M] -- C:\Users\***\AppData\Roaming\TuneUp Software
 
========== Purity Check ==========
 
 

< End of report >
         
--- --- ---
[/code]

Extras OTL Logfile:
Code:
ATTFilter
OTL Extras logfile created on: 07.10.2012 19:57:51 - Run 1
OTL by OldTimer - Version 3.2.69.0     Folder = C:\Users\***\Desktop\Downloads
 Home Premium Edition  (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3,44 Gb Total Physical Memory | 2,45 Gb Available Physical Memory | 71,41% Memory free
7,37 Gb Paging File | 6,27 Gb Available in Paging File | 85,05% Paging File free
Paging file location(s): c:\pagefile.sys 4032 4032 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 596,04 Gb Total Space | 14,20 Gb Free Space | 2,38% Space Free | Partition Type: NTFS
 
Computer Name: INTERNET | User Name: *** | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- C:\Windows\System32\control.exe (Microsoft Corporation)
.hlp [@ = hlpfile] -- C:\Windows\winhlp32.exe (Microsoft Corporation)
 
[HKEY_USERS\S-1-5-21-599126093-1068259136-831876493-1000\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation)
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
hlpfile [open] -- %SystemRoot%\winhlp32.exe %1 (Microsoft Corporation)
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Program Files\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [OneNote.Open] -- C:\PROGRA~1\MICROS~2\Office12\ONENOTE.EXE "%L" (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Program Files\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [explore] -- Reg Error: Value error.
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"cval" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"VistaSp1" = Reg Error: Unknown registry data type -- File not found
"AntiVirusOverride" = 0
"AntiSpywareOverride" = 0
"FirewallOverride" = 0
 
========== Firewall Settings ==========
 
========== Authorized Applications List ==========
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{20D4A895-748C-4D88-871C-FDB1695B0169}" = Platform
"{26A24AE4-039D-4CA4-87B4-2F83216023FF}" = Java(TM) 6 Update 23
"{3C3901C5-3455-3E0A-A214-0B093A5070A6}" = Microsoft .NET Framework 4 Client Profile
"{3D3E663D-4E7E-4577-A560-7ECDDD45548A}" = PVSonyDll
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{5EE7D259-D137-4438-9A5F-42F432EC0421}" = VC80CRTRedist - 8.0.50727.4053
"{612C34C7-5E90-47D8-9B5C-0F717DD82726}" = swMSM
"{7E265513-8CDA-4631-B696-F40D983F3B07}_is1" = CDBurnerXP
"{86CE85E6-DBAC-3FFD-B977-E4B79F83C909}" = Microsoft Visual C++ 2008 Redistributable - KB2467174 - x86 9.0.30729.5570
"{8833FFB6-5B0C-4764-81AA-06DFEED9A476}" = Realtek Ethernet Controller  Driver
"{90120000-0016-0407-0000-0000000FF1CE}" = Microsoft Office Excel MUI (German) 2007
"{90120000-0016-0407-0000-0000000FF1CE}_HOMESTUDENTR_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-0018-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (German) 2007
"{90120000-0018-0407-0000-0000000FF1CE}_HOMESTUDENTR_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-001B-0407-0000-0000000FF1CE}" = Microsoft Office Word MUI (German) 2007
"{90120000-001B-0407-0000-0000000FF1CE}_HOMESTUDENTR_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2007
"{90120000-001F-0407-0000-0000000FF1CE}_HOMESTUDENTR_{928D7B99-2BEA-49F9-83B8-20FA57860643}" = Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)
"{90120000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2007
"{90120000-001F-0409-0000-0000000FF1CE}_HOMESTUDENTR_{1FF96026-A04A-4C3E-B50A-BB7022654D0F}" = Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)
"{90120000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2007
"{90120000-001F-040C-0000-0000000FF1CE}_HOMESTUDENTR_{71F055E8-E2C6-4214-BB3D-BFE03561B89E}" = Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)
"{90120000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2007
"{90120000-001F-0410-0000-0000000FF1CE}_HOMESTUDENTR_{A23BFC95-4A73-410F-9248-4C2B48E38C49}" = Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)
"{90120000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2007
"{90120000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2007
"{90120000-006E-0407-0000-0000000FF1CE}_HOMESTUDENTR_{A6353E8F-5B8D-47CC-8737-DFF032ED3973}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-00A1-0407-0000-0000000FF1CE}" = Microsoft Office OneNote MUI (German) 2007
"{90120000-00A1-0407-0000-0000000FF1CE}_HOMESTUDENTR_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{91120000-002F-0000-0000-0000000FF1CE}" = Microsoft Office Home and Student 2007
"{91120000-002F-0000-0000-0000000FF1CE}_HOMESTUDENTR_{6E107EB7-8B55-48BF-ACCB-199F86A2CD93}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{942E5031-2BD6-4C1B-918C-C8A1CBAE7B8C}" = Microsoft IntelliPoint 8.2
"{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting
"{97C82B44-D408-4F14-9252-47FC1636D23E}_is1" = IZArc 4.1
"{9BE518E6-ECC6-35A9-88E4-87755C07200F}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161
"{AC76BA86-7AD7-1031-7B44-AA0000000001}" = Adobe Reader X - Deutsch
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.3DVision" = NVIDIA 3D Vision Treiber 260.99
"{B2FE1952-0186-46c3-BAEC-A80AA35AC5B8}_Display.ControlPanel" = NVIDIA Systemsteuerung 260.99
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.Driver" = NVIDIA Grafiktreiber 260.99
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.PhysX" = NVIDIA PhysX-Systemsoftware 9.10.0514
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_installer" = NVIDIA Install Application
"{B9DB4C76-01A4-46D5-8910-F7AA6376DBAF}" = NVIDIA PhysX
"{C768790F-04FB-11E0-9B2C-001AA037B01E}" = Google Earth
"{CD95D125-2992-4858-B3EF-5F6FB52FBAD6}" = Skype Toolbars
"{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.10
"{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}" = Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219
"{F750C986-5310-3A5A-95F8-4EC71C8AC01C}" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Adobe Shockwave Player" = Adobe Shockwave Player 11.6
"Avira AntiVir Desktop" = Avira Free Antivirus
"AVMWLANCLI" = AVM FRITZ!WLAN
"Biet-O-Matic v2.12.0" = Biet-O-Matic v2.12.0
"CloneDVD.exe_is1" = CloneDVD 3.9.1
"CloneDVD2" = CloneDVD2
"DivX Setup.divx.com" = DivX-Setup
"Free Audio CD Burner_is1" = Free Audio CD Burner version 1.4.7
"Free YouTube to MP3 Converter_is1" = Free YouTube to MP3 Converter version 3.9.33
"HOMESTUDENTR" = Microsoft Office Home and Student 2007
"InstallShield_{20D4A895-748C-4D88-871C-FDB1695B0169}" = VIA Plattform-Geräte-Manager
"JDownloader" = JDownloader
"Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware Version 1.65.0.1400
"Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile
"Microsoft .NET Framework 4 Client Profile DEU Language Pack" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"Microsoft IntelliPoint 8.2" = Microsoft IntelliPoint 8.2
"Mozilla Firefox 15.0.1 (x86 de)" = Mozilla Firefox 15.0.1 (x86 de)
"MozillaMaintenanceService" = Mozilla Maintenance Service
"NVIDIAStereo" = NVIDIA Stereoscopic 3D Driver
"Picasa 3" = Picasa 3
"SystemRequirementsLab" = System Requirements Lab
"Uninstall_is1" = Uninstall 1.0.0.1
"Vermeer 2_is1" = Vermeer 2
"VLC media player" = VLC media player 1.1.5
"WinRAR archiver" = WinRAR
 
========== Last 20 Event Log Errors ==========
 
[ Application Events ]
Error - 05.10.2012 14:54:21 | Computer Name = Internet | Source = Software Protection Platform Service | ID = 8198
Description = Fehler bei der Lizenzaktivierung (slui.exe). Fehlercode:  0x800401F9
 
Error - 05.10.2012 14:54:21 | Computer Name = Internet | Source = Winlogon | ID = 4103
Description = Fehler bei der Windows-Lizenzaktivierung. Fehler 0x00000000.
 
Error - 07.10.2012 06:07:11 | Computer Name = Internet | Source = Software Protection Platform Service | ID = 8198
Description = Fehler bei der Lizenzaktivierung (slui.exe). Fehlercode:  0x800401F9
 
Error - 07.10.2012 06:07:11 | Computer Name = Internet | Source = Winlogon | ID = 4103
Description = Fehler bei der Windows-Lizenzaktivierung. Fehler 0x00000000.
 
Error - 07.10.2012 06:44:15 | Computer Name = Internet | Source = Software Protection Platform Service | ID = 8198
Description = Fehler bei der Lizenzaktivierung (slui.exe). Fehlercode:  0x800401F9
 
Error - 07.10.2012 06:44:15 | Computer Name = Internet | Source = Winlogon | ID = 4103
Description = Fehler bei der Windows-Lizenzaktivierung. Fehler 0x00000000.
 
Error - 07.10.2012 13:00:00 | Computer Name = Internet | Source = Windows Backup | ID = 4103
Description = 
 
Error - 07.10.2012 13:49:18 | Computer Name = Internet | Source = EventSystem | ID = 4621
Description = 
 
Error - 07.10.2012 13:50:57 | Computer Name = Internet | Source = Software Protection Platform Service | ID = 8198
Description = Fehler bei der Lizenzaktivierung (slui.exe). Fehlercode:  0x800401F9
 
Error - 07.10.2012 13:50:57 | Computer Name = Internet | Source = Winlogon | ID = 4103
Description = Fehler bei der Windows-Lizenzaktivierung. Fehler 0x00000000.
 
[ System Events ]
Error - 09.03.2012 08:16:52 | Computer Name = Internet | Source = Microsoft-Windows-Kernel-Processor-Power | ID = 6
Description = Einige Funktionen zur Energieverwaltung im Leistungsstatus wurden 
im Prozessor aufgrund eines bekannten Firmwareproblems deaktiviert. Wenden Sie sich
 an den Computerhersteller, um aktualisierte Firmware zu erhalten.
 
Error - 09.03.2012 15:36:55 | Computer Name = Internet | Source = Microsoft-Windows-Kernel-Processor-Power | ID = 6
Description = Einige Funktionen zur Energieverwaltung im Leistungsstatus wurden 
im Prozessor aufgrund eines bekannten Firmwareproblems deaktiviert. Wenden Sie sich
 an den Computerhersteller, um aktualisierte Firmware zu erhalten.
 
Error - 10.03.2012 04:42:18 | Computer Name = Internet | Source = Microsoft-Windows-Kernel-Processor-Power | ID = 6
Description = Einige Funktionen zur Energieverwaltung im Leistungsstatus wurden 
im Prozessor aufgrund eines bekannten Firmwareproblems deaktiviert. Wenden Sie sich
 an den Computerhersteller, um aktualisierte Firmware zu erhalten.
 
Error - 10.03.2012 08:59:05 | Computer Name = Internet | Source = Microsoft-Windows-Kernel-Processor-Power | ID = 6
Description = Einige Funktionen zur Energieverwaltung im Leistungsstatus wurden 
im Prozessor aufgrund eines bekannten Firmwareproblems deaktiviert. Wenden Sie sich
 an den Computerhersteller, um aktualisierte Firmware zu erhalten.
 
Error - 10.03.2012 14:56:29 | Computer Name = Internet | Source = Microsoft-Windows-Kernel-Processor-Power | ID = 6
Description = Einige Funktionen zur Energieverwaltung im Leistungsstatus wurden 
im Prozessor aufgrund eines bekannten Firmwareproblems deaktiviert. Wenden Sie sich
 an den Computerhersteller, um aktualisierte Firmware zu erhalten.
 
Error - 11.03.2012 04:27:13 | Computer Name = Internet | Source = Microsoft-Windows-Kernel-Processor-Power | ID = 6
Description = Einige Funktionen zur Energieverwaltung im Leistungsstatus wurden 
im Prozessor aufgrund eines bekannten Firmwareproblems deaktiviert. Wenden Sie sich
 an den Computerhersteller, um aktualisierte Firmware zu erhalten.
 
Error - 11.03.2012 04:28:35 | Computer Name = Internet | Source = volsnap | ID = 393252
Description = Die Schattenkopien von Volume "C:" wurden abgebrochen, weil der Schattenkopiespeicher
 nicht auf ein benutzerdefiniertes Limit vergrößert werden konnte.
 
Error - 11.03.2012 05:40:45 | Computer Name = Internet | Source = Microsoft-Windows-Kernel-Processor-Power | ID = 6
Description = Einige Funktionen zur Energieverwaltung im Leistungsstatus wurden 
im Prozessor aufgrund eines bekannten Firmwareproblems deaktiviert. Wenden Sie sich
 an den Computerhersteller, um aktualisierte Firmware zu erhalten.
 
Error - 11.03.2012 16:47:24 | Computer Name = Internet | Source = Microsoft-Windows-Kernel-Processor-Power | ID = 6
Description = Einige Funktionen zur Energieverwaltung im Leistungsstatus wurden 
im Prozessor aufgrund eines bekannten Firmwareproblems deaktiviert. Wenden Sie sich
 an den Computerhersteller, um aktualisierte Firmware zu erhalten.
 
Error - 12.03.2012 03:11:54 | Computer Name = Internet | Source = Microsoft-Windows-Kernel-Processor-Power | ID = 6
Description = Einige Funktionen zur Energieverwaltung im Leistungsstatus wurden 
im Prozessor aufgrund eines bekannten Firmwareproblems deaktiviert. Wenden Sie sich
 an den Computerhersteller, um aktualisierte Firmware zu erhalten.
 
 
< End of report >
         
--- --- ---




GMER

GMER Logfile:
Code:
ATTFilter
GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2012-10-07 21:45:12
Windows 6.1.7600  Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-2 ST3640623AS rev.SD43
Running: ufjoqd1f.exe; Driver: C:\Users\VONRES~1\AppData\Local\Temp\kxdorpow.sys


---- System - GMER 1.0.15 ----

SSDT            8FCE0B9E                                                                                                             ZwCreateSection
SSDT            8FCE0BA8                                                                                                             ZwRequestWaitReplyPort
SSDT            8FCE0BA3                                                                                                             ZwSetContextThread
SSDT            8FCE0BAD                                                                                                             ZwSetSecurityObject
SSDT            8FCE0BB2                                                                                                             ZwSystemDebugControl
SSDT            8FCE0B3F                                                                                                             ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.text           ntoskrnl.exe!ZwRollbackTransaction + 13ED                                                                            830878A9 1 Byte  [06]
.text           ntoskrnl.exe!KiDispatchInterrupt + 5A2                                                                               830A72F2 19 Bytes  [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}
.text           ntoskrnl.exe!KeRemoveQueueEx + 14B7                                                                                  830AE684 4 Bytes  [9E, 0B, CE, 8F]
.text           ntoskrnl.exe!KeRemoveQueueEx + 1813                                                                                  830AE9E0 4 Bytes  [A8, 0B, CE, 8F]
.text           ntoskrnl.exe!KeRemoveQueueEx + 1857                                                                                  830AEA24 4 Bytes  [A3, 0B, CE, 8F]
.text           ntoskrnl.exe!KeRemoveQueueEx + 18D3                                                                                  830AEAA0 4 Bytes  [AD, 0B, CE, 8F]
.text           ntoskrnl.exe!KeRemoveQueueEx + 1927                                                                                  830AEAF4 4 Bytes  [B2, 0B, CE, 8F]
.text           ...                                                                                                                  
?               System32\drivers\xgap.sys                                                                                            Das System kann den angegebenen Pfad nicht finden. !
PAGE            spsys.sys!?SPRevision@@3PADA + 4F90                                                                                  9CF89000 290 Bytes  [8B, FF, 55, 8B, EC, 33, C0, ...]
PAGE            spsys.sys!?SPRevision@@3PADA + 50B3                                                                                  9CF89123 629 Bytes  [45, F8, 9C, FE, 05, 34, 45, ...]
PAGE            spsys.sys!?SPRevision@@3PADA + 5329                                                                                  9CF89399 101 Bytes  [6A, 28, 59, A5, 5E, C6, 03, ...]
PAGE            spsys.sys!?SPRevision@@3PADA + 538F                                                                                  9CF893FF 51 Bytes  [18, 5D, C2, 14, 00, 8B, FF, ...]
PAGE            spsys.sys!?SPRevision@@3PADA + 53C3                                                                                  9CF89433 96 Bytes  [F7, 9C, 85, C9, 7C, 18, 8D, ...]
PAGE            ...                                                                                                                  
.text           autochk.exe                                                                                                          001C11D8 4 Bytes  [09, 81, 21, 7D]
.text           autochk.exe                                                                                                          001C11DF 4 Bytes  [8C, 60, AB, 1B]
.text           autochk.exe                                                                                                          001C11E4 8 Bytes  [FF, FF, FF, 7F, FF, FF, FF, ...]
.text           autochk.exe                                                                                                          001C11EE 8 Bytes  [FF, 7F, FF, 7F, FF, 7F, FF, ...]
.text           autochk.exe                                                                                                          001C11FC 4 Bytes  [48, F1, 63, 02] {DEC EAX; INT1 ; ARPL [EDX], AX}
.text           ...                                                                                                                  

---- User code sections - GMER 1.0.15 ----

.text           C:\Program Files\Mozilla Firefox\firefox.exe[2448] ntdll.dll!wcsncmp + 33B                                           7777F420 7 Bytes  JMP 690C0C00 C:\Program Files\Mozilla Firefox\xul.dll (Mozilla Foundation)
.text           C:\Program Files\Mozilla Firefox\firefox.exe[2448] kernel32.dll!K32GetDeviceDriverBaseNameW + 16F                    75F2C057 7 Bytes  JMP 692F7B29 C:\Program Files\Mozilla Firefox\xul.dll (Mozilla Foundation)
.text           C:\Program Files\Mozilla Firefox\firefox.exe[2448] kernel32.dll!CloseHandle + 38                                     75F3058F 7 Bytes  JMP 692F7B4C C:\Program Files\Mozilla Firefox\xul.dll (Mozilla Foundation)
.text           C:\Program Files\Mozilla Firefox\firefox.exe[2448] kernel32.dll!GetExitCodeProcess + 2C                              75F330DD 7 Bytes  JMP 690C3FAC C:\Program Files\Mozilla Firefox\xul.dll (Mozilla Foundation)
.text           C:\Program Files\Mozilla Firefox\firefox.exe[2448] GDI32.dll!GetViewportOrgEx + 21C                                  75BB85EB 7 Bytes  JMP 692F7AAA C:\Program Files\Mozilla Firefox\xul.dll (Mozilla Foundation)
.text           C:\Program Files\Mozilla Firefox\plugin-container.exe[3144] USER32.dll!GetWindowInfo                                 77666A82 5 Bytes  JMP 69214536 C:\Program Files\Mozilla Firefox\xul.dll (Mozilla Foundation)
.text           C:\Program Files\Mozilla Firefox\plugin-container.exe[3144] USER32.dll!MenuItemFromPoint + F                         77684B36 7 Bytes  JMP 69214B35 C:\Program Files\Mozilla Firefox\xul.dll (Mozilla Foundation)
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] ntdll.dll!NtCreateFile + 6               777646B6 4 Bytes  [28, 00, 07, 00]
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] ntdll.dll!NtCreateFile + B               777646BB 1 Byte  [E2]
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] ntdll.dll!NtCreateKey + 6                777646F6 4 Bytes  [68, 01, 07, 00]
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] ntdll.dll!NtCreateKey + B                777646FB 1 Byte  [E2]
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] ntdll.dll!NtCreateMutant + 6             77764736 4 Bytes  [68, 02, 07, 00]
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] ntdll.dll!NtCreateMutant + B             7776473B 1 Byte  [E2]
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] ntdll.dll!NtCreateSection + 6            777647D6 4 Bytes  [A8, 02, 07, 00]
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] ntdll.dll!NtCreateSection + B            777647DB 1 Byte  [E2]
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] ntdll.dll!NtMapViewOfSection + B         77764D1B 1 Byte  [E2]
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] ntdll.dll!NtOpenFile + 6                 77764DC6 4 Bytes  [68, 00, 07, 00]
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] ntdll.dll!NtOpenFile + B                 77764DCB 1 Byte  [E2]
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] ntdll.dll!NtOpenKey + 6                  77764DF6 4 Bytes  [A8, 01, 07, 00]
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] ntdll.dll!NtOpenKey + B                  77764DFB 1 Byte  [E2]
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] ntdll.dll!NtOpenKeyEx + B                77764E0B 1 Byte  [E2]
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] ntdll.dll!NtOpenMutant + 6               77764E46 4 Bytes  [28, 02, 07, 00]
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] ntdll.dll!NtOpenMutant + B               77764E4B 1 Byte  [E2]
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] ntdll.dll!NtOpenProcess + 6              77764E76 1 Byte  [68]
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] ntdll.dll!NtOpenProcess + 6              77764E76 4 Bytes  [68, 03, 07, 00]
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] ntdll.dll!NtOpenProcess + B              77764E7B 1 Byte  [E2]
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] ntdll.dll!NtOpenProcessToken + 6         77764E86 1 Byte  [A8]
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] ntdll.dll!NtOpenProcessToken + 6         77764E86 4 Bytes  [A8, 03, 07, 00]
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] ntdll.dll!NtOpenProcessToken + B         77764E8B 1 Byte  [E2]
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] ntdll.dll!NtOpenProcessTokenEx + 6       77764E96 4 Bytes  [68, 04, 07, 00]
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] ntdll.dll!NtOpenProcessTokenEx + B       77764E9B 1 Byte  [E2]
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] ntdll.dll!NtOpenSection + B              77764EBB 1 Byte  [E2]
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] ntdll.dll!NtOpenThread + 6               77764EF6 1 Byte  [28]
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] ntdll.dll!NtOpenThread + 6               77764EF6 4 Bytes  [28, 03, 07, 00]
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] ntdll.dll!NtOpenThread + B               77764EFB 1 Byte  [E2]
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] ntdll.dll!NtOpenThreadToken + 6          77764F06 4 Bytes  [28, 04, 07, 00]
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] ntdll.dll!NtOpenThreadToken + B          77764F0B 1 Byte  [E2]
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] ntdll.dll!NtOpenThreadTokenEx + 6        77764F16 4 Bytes  [A8, 04, 07, 00]
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] ntdll.dll!NtOpenThreadTokenEx + B        77764F1B 1 Byte  [E2]
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] ntdll.dll!NtQueryAttributesFile + 6      77765026 4 Bytes  [A8, 00, 07, 00]
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] ntdll.dll!NtQueryAttributesFile + B      7776502B 1 Byte  [E2]
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] ntdll.dll!NtQueryFullAttributesFile + B  777650DB 1 Byte  [E2]
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] ntdll.dll!NtSetInformationFile + 6       77765726 4 Bytes  [28, 01, 07, 00]
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] ntdll.dll!NtSetInformationFile + B       7776572B 1 Byte  [E2]
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] ntdll.dll!NtSetInformationThread + 6     77765786 1 Byte  [E8]
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] ntdll.dll!NtSetInformationThread + B     7776578B 1 Byte  [E2]
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] ntdll.dll!NtUnmapViewOfSection + 6       77765AA6 4 Bytes  [28, 05, 07, 00]
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] ntdll.dll!NtUnmapViewOfSection + B       77765AAB 1 Byte  [E2]
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] kernel32.dll!CreateProcessW              75EE202D 5 Bytes  JMP 00010030 
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] kernel32.dll!CreateProcessA              75EE2062 5 Bytes  JMP 00010070 
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!SelectObject                   75BB61D0 5 Bytes  JMP 002105F0 
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!SetTextColor                   75BB6622 5 Bytes  JMP 00210A30 
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!SetBkMode                      75BB66CD 5 Bytes  JMP 002108F0 
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!DeleteObject                   75BB68B4 5 Bytes  JMP 002101B0 
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!DeleteDC                       75BB6A2C 5 Bytes  JMP 00210170 
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!ExtSelectClipRgn               75BB6C72 5 Bytes  JMP 002102F0 
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!SelectClipRgn                  75BB6D84 5 Bytes  JMP 002105B0 
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!GetDeviceCaps                  75BB6E03 5 Bytes  JMP 002103B0 
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!SetStretchBltMode              75BB73CE 5 Bytes  JMP 002106B0 
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!GetCurrentObject               75BB777C 5 Bytes  JMP 00210370 
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!GetTextMetricsW                75BB798F 5 Bytes  JMP 00210E30 
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!IntersectClipRect              75BB7CCA 5 Bytes  JMP 002103F0 
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!GetTextAlign                   75BB7D15 5 Bytes  JMP 00210D70 
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!SetTextAlign                   75BB7F92 5 Bytes  JMP 002109F0 
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!ExtTextOutW                    75BB8053 5 Bytes  JMP 00210970 
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!GetClipBox                     75BB81F2 5 Bytes  JMP 00210330 
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!MoveToEx                       75BB8A16 5 Bytes  JMP 00210470 
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!CreateDCA                      75BB9975 5 Bytes  JMP 002100B0 
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!RestoreDC                      75BB9A10 5 Bytes  JMP 00210530 
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!SaveDC                         75BB9AD2 5 Bytes  JMP 00210570 
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!StretchDIBits                  75BBAC38 5 Bytes  JMP 00210770 
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!GetTextFaceW                   75BBB4CC 5 Bytes  JMP 00210D30 
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!GetTextExtentPoint32W          75BBB535 5 Bytes  JMP 00210670 
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!GetFontData                    75BBB8E8 5 Bytes  JMP 00210C70 
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!CreateDCW                      75BBBD21 5 Bytes  JMP 002100F0 
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!CreateICW                      75BBC660 5 Bytes  JMP 00210130 
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!LineTo                         75BBCA20 5 Bytes  JMP 00210430 
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!SetWorldTransform              75BBCB42 5 Bytes  JMP 002106F0 
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!GetTextMetricsA                75BBCE46 5 Bytes  JMP 00210DF0 
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!Rectangle                      75BBF5BE 5 Bytes  JMP 002109B0 
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!SetICMMode                     75BBF8D4 5 Bytes  JMP 00210DB0 
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!ExtTextOutA                    75BC0158 5 Bytes  JMP 00210930 
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!GetTextExtentPoint32A          75BC08BB 5 Bytes  JMP 00210630 
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!Escape                         75BC0B0D 5 Bytes  JMP 00210270 
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!ExtEscape                      75BC3472 5 Bytes  JMP 002102B0 
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!GetTextFaceA                   75BC3E49 5 Bytes  JMP 00210CF0 
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!SetPolyFillMode                75BC6CE1 5 Bytes  JMP 00210B30 
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!SetMiterLimit                  75BC6E54 5 Bytes  JMP 00210B70 
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!ResetDCW                       75BD031C 5 Bytes  JMP 00210AB0 
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!EndPage                        75BD07CD 5 Bytes  JMP 00210230 
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!GetGlyphOutlineW               75BDC292 5 Bytes  JMP 00210CB0 
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!CreateScalableFontResourceW    75BDE8EF 5 Bytes  JMP 00210BB0 
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!AddFontResourceW               75BDECEB 5 Bytes  JMP 00210BF0 
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!RemoveFontResourceW            75BDF1E1 5 Bytes  JMP 00210C30 
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!AbortDoc                       75BE4D37 5 Bytes  JMP 00210030 
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!EndDoc                         75BE517E 5 Bytes  JMP 002101F0 
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!StartPage                      75BE5269 5 Bytes  JMP 00210730 
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!StartDocW                      75BE5BB6 5 Bytes  JMP 002107F0 
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!BeginPath                      75BE635D 5 Bytes  JMP 00210830 
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!SelectClipPath                 75BE63B4 5 Bytes  JMP 00210AF0 
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!CloseFigure                    75BE640F 5 Bytes  JMP 00210070 
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!EndPath                        75BE6466 5 Bytes  JMP 00210A70 
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!StrokePath                     75BE6699 5 Bytes  JMP 002107B0 
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!FillPath                       75BE6726 5 Bytes  JMP 00210870 
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!PolylineTo                     75BE6B94 5 Bytes  JMP 002104F0 
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!PolyBezierTo                   75BE6C25 5 Bytes  JMP 002104B0 
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] GDI32.dll!PolyDraw                       75BE6CD7 5 Bytes  JMP 002108B0 
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] USER32.dll!ActivateKeyboardLayout        7765817D 5 Bytes  JMP 002204F0 
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] USER32.dll!ScreenToClient                7765C1F2 7 Bytes  JMP 00220670 
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] USER32.dll!RegisterClipboardFormatA      7765E6B1 5 Bytes  JMP 002202F0 
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] USER32.dll!RegisterClipboardFormatW      7765EDFD 5 Bytes  JMP 002202B0 
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] USER32.dll!SetCursor                     776652EA 5 Bytes  JMP 00220530 
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] USER32.dll!MonitorFromWindow             7766590A 7 Bytes  JMP 00220630 
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] USER32.dll!PostMessageW                  77666225 5 Bytes  JMP 002205F0 
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] USER32.dll!IsWindowVisible               77666939 7 Bytes  JMP 002206B0 
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] USER32.dll!GetClientRect                 776674B1 7 Bytes  JMP 002205B0 
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] USER32.dll!MapWindowPoints               77667915 5 Bytes  JMP 00220570 
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] USER32.dll!GetParent                     77667AB3 7 Bytes  JMP 002206F0 
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] USER32.dll!SetClipboardData              77674979 5 Bytes  JMP 00220170 
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] USER32.dll!EmptyClipboard                77674A28 5 Bytes  JMP 00220130 
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] USER32.dll!GetClipboardData              77674B47 5 Bytes  JMP 00220030 
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] USER32.dll!EnumClipboardFormats          77674D98 5 Bytes  JMP 002201B0 
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] USER32.dll!GetClipboardFormatNameW       77677EB2 5 Bytes  JMP 00220230 
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] USER32.dll!SetClipboardViewer            77678F4D 5 Bytes  JMP 002204B0 
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] USER32.dll!GetClipboardFormatNameA       77678F61 5 Bytes  JMP 00220270 
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] USER32.dll!GetOpenClipboardWindow        7767902F 1 Byte  [E9]
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] USER32.dll!GetOpenClipboardWindow        7767902F 5 Bytes  JMP 002203F0 
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] USER32.dll!ChangeClipboardChain          77683425 5 Bytes  JMP 00220430 
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] USER32.dll!GetTopWindow                  77683A5D 7 Bytes  JMP 00220730 
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] USER32.dll!CloseClipboard                77685BA7 5 Bytes  JMP 002200B0 
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] USER32.dll!OpenClipboard                 77685BB9 5 Bytes  JMP 00220070 
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] USER32.dll!IsClipboardFormatAvailable    77685C3A 5 Bytes  JMP 002200F0 
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] USER32.dll!GetClipboardSequenceNumber    77685C4E 5 Bytes  JMP 00220330 
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] USER32.dll!GetClipboardOwner             77685C60 5 Bytes  JMP 00220370 
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] USER32.dll!CountClipboardFormats         77685DC9 5 Bytes  JMP 002201F0 
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] USER32.dll!SetCursorPos                  7769C1D8 5 Bytes  JMP 00220770 
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] USER32.dll!GetClipboardViewer            776B4B57 5 Bytes  JMP 00220470 
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] USER32.dll!GetPriorityClipboardFormat    776B4C59 5 Bytes  JMP 002203B0 
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] ole32.dll!OleSetClipboard                766DF2FE 5 Bytes  JMP 00230030 
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] ole32.dll!OleIsCurrentClipboard          766E2489 5 Bytes  JMP 00230070 
.text           C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_4_402_278.exe[3944] ole32.dll!OleGetClipboard                7670F825 5 Bytes  JMP 002300B0 

---- Devices - GMER 1.0.15 ----

Device          \Driver\ACPI_HAL \Device\00000046                                                                                    halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)

AttachedDevice  \Driver\volmgr \Device\HarddiskVolume1                                                                               fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume2                                                                               fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume3                                                                               fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume4                                                                               fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume5                                                                               fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume6                                                                               fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----
         
--- --- ---

Alt 08.10.2012, 06:08   #5
DerJazzer
/// Malwareteam
 
TR/Atraps.Gen2 - Infektion - Standard

TR/Atraps.Gen2 - Infektion



Hi Christoph

du scheinst Glück gehabt zu haben, die Logs sind sauber. Allerdings fehlt auf deinem System das Windows 7 Service Pack 1. Das müssen wir am Ende der Bereinigung noch installieren (aber erst, wenn ich dich dazu anweise ).



ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset


__________________
Keep Jazzing!

DerJazzer

Imperare sibi maximum imperium est. ©Seneca

Wenn du uns unterstützen möchtest | http://www.anaesthesist-werden.de/

Alt 08.10.2012, 08:55   #6
fvr1234
 
TR/Atraps.Gen2 - Infektion - Standard

TR/Atraps.Gen2 - Infektion



Eset: No threats found

Total scan time: 1h 29min

Alt 08.10.2012, 11:50   #7
DerJazzer
/// Malwareteam
 
TR/Atraps.Gen2 - Infektion - Standard

TR/Atraps.Gen2 - Infektion



Hi

Das hört sich doch gut an!

Dann müssen wir noch aufräumen und absichern:


Schritt 1

Bitte gehe zu Systemsteuerung -> System und Sicherheit -> Windows Update und klicke auf Nach Updates suchen (linke Spalte).
Lasse alle vorhandenen Updates installieren. Das System wird einen Neustart (oder auch mehrere - je nach Anzahl der Updates) verlangen. Lasse dies bitte zu.


Schritt 2

Dein Java ist nicht mehr aktuell. Ältere Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.
  • Downloade dir bitte die neueste Java-Version von hier
  • Speichere die jxpiinstall.exe
  • Schließe alle laufenden Programme. Speziell deinen Browser.
  • Starte die jxpiinstall.exe. Diese wird den Installer für die neueste Java Version ( Java 7 Update 7 ) herunterladen.
  • Entferne den Haken bei "Installieren Sie die Ask-Toolbar ..." während der Installation.
  • Wenn die Installation beendet wurde
    Start --> Systemsteuerung --> Programme und deinstalliere alle älteren Java Versionen.
  • Starte deinen Rechner neu sobald alle älteren Versionen deinstalliert wurden.
Nach dem Neustart
  • Öffne erneut die Systemsteuerung --> Programme und klicke auf das Java Symbol.
  • Im Reiter Allgemein, klicke unter Temporäre Internetdateien auf Einstellungen.
  • Klicke auf Dateien löschen....
  • Gehe sicher das überall ein Haken gesetzt ist und klicke OK.
  • Klicke erneut OK.


Schritt 3

VLC-Update:
  • Lade dir die neuste Version des VLC von Hier herunter und installiere sie.
  • Wenn der Installationsassistent fragt, ob er die alte Version deinstallieren soll, lasse dies bitte zu.
ACHTUNG!
Den VLC immer von videolan.org herunterladen. Die Seite vlc.de ist ein Fake und installiert bei der Installation eines Setups von dort Adware mit!
-> Es ist leider schon geschehen? Abhilfe schafft diese Anleitung: http://www.trojaner-board.de/125206-...tml#post931543



Schritt 4


OTL-CleanUp


Starte bitte OTL und klicke auf Bereinigung.
Dies wird die meisten Tools entfernen, die wir zur Bereinigung benötigt haben. Sollte etwas bestehen bleiben, bitte mit Rechtsklick --> Löschen entfernen.


Schritt 5

Hier noch ein paar Tipps zur Absicherung deines Systems.


Ich kann garnicht zu oft erwähnen, wie wichtig es ist, dass dein System Up to Date ist.
  • Bitte überprüfe, ob dein System Windows Updates automatisch herunter lädt
  • Windows Updates
    • Windows XP: Start --> Systemsteuerung --> Doppelklick auf Automatische Updates
    • Windows Vista / 7: Start --> Systemsteuerung --> System und Sicherheit --> Automatische Updates aktivieren oder deaktivieren
  • Gehe sicher, dass die automatischen Updates aktiviert sind.
  • Software Updates
    Installierte Software kann ebenfalls Sicherheitslücken haben, welche Malware nutzen kann, um dein System zu infizieren.
    Um deine Installierte Software up to date zu halten, empfehle ich dir Secunia Online Software.


Anti- Viren Software
  • Gehe sicher immer eine Anti Viren Software installiert zu haben und dass diese auch up to date ist. Es ist nämlich nutzlos wenn diese out of date sind.


Zusätzlicher Schutz
  • MalwareBytes Anti Malware
    Dies ist eines der besten Anti-Malware Tools auf dem Markt. Es ist ein On- Demand Scan Tool, welches viele aktuelle Malware erkennt und auch entfernt.
    Update das Tool und lass es einmal in der Woche laufen. Die Kaufversion bietet zudem noch einen Hintergrundwächter.
    Ein Tutorial zur Verwendung findest Du hier.
  • WinPatrol
    Diese Software macht einen Snapshot deines Systems und warnt dich vor eventuellen Änderungen. Downloade dir die Freeware Version von hier.


Sicheres Browsen
  • SpywareBlaster
    Eine kurze Einführung findest du Hier
  • MVPs hosts file
    Ein Tutorial findest Du hier. Leider habe ich bis jetzt kein deutschsprachiges gefunden.
  • WOT (Web of trust)
    Dieses AddOn warnt Dich, bevor Du eine als schädlich gemeldete Seite besuchst.


Alternative Browser

Andere Browser tendieren zu etwas mehr Sicherheit als der IE, da diese keine Active X Elemente verwenden. Diese können von Spyware zur Infektion deines Systems missbraucht werden.
  • Opera
  • Mozilla Firefox.
    • Hinweis: Für diesen Browser habe ich hier ein paar nützliche Add Ons
    • NoScript
      Dieses AddOn blockt JavaScript, Java, Flash und andere Plugins. Sie werden nur dann ausgeführt, wenn Du es bestätigst.
    • AdblockPlus
      Dieses AddOn blockt die meisten Werbung von selbst. Ein Rechtsklick auf den Banner um diesen zu AdBlockPlus hinzu zu fügen reicht und dieser wird nicht mehr geladen.
      Es spart außerdem Downloadkapazität.

Performance
Bereinige regelmäßig deine Temp Files. Ich empfehle hierzu TFC
Halte dich fern von jedlichen Registry Cleanern.
Diese schaden deinem System mehr als sie helfen. Hier ein paar (englische) Links
Miekemoes Blogspot ( MVP )
Bill Castner ( MVP )



Don'ts
  • Klicke nicht auf alles, nur weil es Dich dazu auffordert und schön bunt ist.
  • Verwende keine peer to peer oder Filesharing Software (Emule, uTorrent,..)
  • Lass die Finger von Cracks, Keygens, Serials oder anderer illegaler Software.
  • Öffne keine Anhänge von Dir nicht bekannten Emails. Achte vor allem auf die Dateiendung wie z. B. deinFoto.jpg.exe oder (aus aktuellem Anlass) angebliche Rechnungen im ZIP- oder Exe-Format
Nun bleibt mir nur noch dir viel Spaß beim sicheren Surfen zu wünschen.

Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, sodass ich diesen Thread aus meinen Abos löschen kann.
__________________
Keep Jazzing!

DerJazzer

Imperare sibi maximum imperium est. ©Seneca

Wenn du uns unterstützen möchtest | http://www.anaesthesist-werden.de/

Alt 12.10.2012, 12:32   #8
DerJazzer
/// Malwareteam
 
TR/Atraps.Gen2 - Infektion - Standard

TR/Atraps.Gen2 - Infektion



Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen schicke mir bitte eine PM.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen.
__________________
Keep Jazzing!

DerJazzer

Imperare sibi maximum imperium est. ©Seneca

Wenn du uns unterstützen möchtest | http://www.anaesthesist-werden.de/

Antwort

Themen zu TR/Atraps.Gen2 - Infektion
00000008.@, administrator, anschluss, antivir, audiodg.exe, desktop, explorer.exe, fehler, home, lsass.exe, löschen, malwarebytes, microsoft, modul, namen, neustart, programm, prozesse, recycle.bin, registry, services.exe, software, svchost.exe, taskhost.exe, temp, tr/sirefef.a., vdeck.exe, warnung, windows, winlogon.exe, wmp




Ähnliche Themen: TR/Atraps.Gen2 - Infektion


  1. Trojaner: tr/atraps.gen2, tr/atraps.gen, tr/atraps.gen3, tr/atraps.gen4, tr/atraps.gen5, tr/atraps.gen7 und services.exe virus
    Plagegeister aller Art und deren Bekämpfung - 11.01.2013 (29)
  2. TR/ATRAPS.Gen und TR/ATRAPS.Gen2 von Avira gemeldet und dort nicht zu entfernen
    Log-Analyse und Auswertung - 10.10.2012 (13)
  3. Trojaner Befall TR/ATRAPS.GEN ,TR/ATRAPS.GEN2 , TR/Cutwail.jhg , TR/ZAccess.H , TR/Sirefef.A.37
    Plagegeister aller Art und deren Bekämpfung - 08.10.2012 (17)
  4. TR/ATRAPS.Gen2 und TR/ATRAPS.Gen wird alle paar Minuten von Antivir gemeldet
    Plagegeister aller Art und deren Bekämpfung - 21.08.2012 (22)
  5. Avira: 800000cb.@ TR/ATRAPS.Gen und TR/ATRAPS.Gen2 in C:\Windows\Installer\.. und weitere Pfaden
    Plagegeister aller Art und deren Bekämpfung - 16.08.2012 (25)
  6. antivir meldet alle paar minuten den fund TR/ATRAPS.Gen und TR/ATRAPS.Gen2
    Log-Analyse und Auswertung - 01.08.2012 (4)
  7. Von Avira gefundene Trojaner - TR/Crypt.ZPACK.Gen, TR/ATRAPS.Gen, TR/ATRAPS.Gen2 und BDS/ZAccess.T
    Log-Analyse und Auswertung - 27.07.2012 (25)
  8. Viren,BDS/ZAccess.T,TR/ATRAPS.gen,TR/ATRAPS.gen2 in C:/Dokumente/Einstellungen/Administrator..
    Alles rund um Windows - 22.07.2012 (1)
  9. Trojaner TR/ATRAPS.gen und TR/ATRAPS.Gen2 lässt sich nicht entfernen
    Plagegeister aller Art und deren Bekämpfung - 14.07.2012 (30)
  10. Trojaner Atraps.Gen, Atraps.Gen2 und Sirefef.AB.20 - gelöscht, aber auch sicher?
    Log-Analyse und Auswertung - 14.07.2012 (23)
  11. TR/ATRAPS.GEN, TR/ATRAPS.Gen2 6 seit ein paar Minuten auch noch ein Sirefef.P.528
    Plagegeister aller Art und deren Bekämpfung - 13.07.2012 (1)
  12. Antivir findet 4 Trojaner: TR/ATRAPS.Gen, TR/ATRAPS.Gen2, Sirefef.P.342, Dldr.Phdet.E.41
    Log-Analyse und Auswertung - 11.07.2012 (1)
  13. Nach Befall tr/atraps.gen tr/atraps.gen2 formatiert - Computer startet selbständig neu
    Log-Analyse und Auswertung - 09.07.2012 (1)
  14. Virus (Rootkit.0Access, TR/ATRAPS.Gen, TR/ATRAPS.Gen2) entfernt; tatsächlich clean?
    Plagegeister aller Art und deren Bekämpfung - 04.07.2012 (7)
  15. Avira ANtivir meldet Befall durch: tr/atraps.gen & tr atraps.gen2
    Plagegeister aller Art und deren Bekämpfung - 03.07.2012 (3)
  16. Und noch einer: Trojaner TR/ATRAPS.Gen2 und TR/ATRAPS.Gen und W32/Patched.UA HILFE!!!
    Log-Analyse und Auswertung - 28.06.2012 (7)
  17. Antivir meldet ständig wiederholten Fund von TR/ATRAPS.Gen, TR/ATRAPS.Gen2
    Plagegeister aller Art und deren Bekämpfung - 03.06.2012 (1)

Zum Thema TR/Atraps.Gen2 - Infektion - Hallo, auch ich habe mir den TR/Atraps.Gen2 eingefangen. Die Report-Datei ist weiter unten, ebenfalls den Vollständigen Scan Im Anschluss noch den Malware-Bytes-vollständiger Scan Vielen Dank für Support! Fehler Report Antivir - TR/Atraps.Gen2 - Infektion...
Archiv
Du betrachtest: TR/Atraps.Gen2 - Infektion auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.