Wie kann ich TR/atraps.gen entfernen

schnappi09 · 19.04.2009, 10:07

Hallo .Antivir findet immer den Trojaner :TR/ATRAPS.gen und kann ihn nicht entfernen. Ordner C:\ARK413.tmpkann auch nicht gelöscht werden. Bitte um Hilfe.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:08:26, on 19.04.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Belkin\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\htpatch.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\Programme\Belkin\Bluetooth Software\BTTray.exe
C:\Programme\Logitech\SetPoint\KEM.exe
C:\Programme\Slim Multimedia Keyboard\MagicKey.exe
C:\Programme\NETGEAR\WG111 Configuration Utility\WG111CFG.exe
C:\Programme\Slim Multimedia Keyboard\OSD.EXE
C:\Programme\Logitech\SetPoint\KHALMNPR.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Slim Multimedia Keyboard.lnk = C:\Programme\Slim Multimedia Keyboard\MagicKey.exe
O4 - Global Startup: Smart Wizard Wireless Settings.lnk = C:\Programme\NETGEAR\WG111 Configuration Utility\WG111CFG.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\Belkin\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6.5\ICQ.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\Belkin\Bluetooth Software\bin\btwdins.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 5111 bytes

**Sunny** · 19.04.2009, 10:14

Hallo schnappi09 und

Bitte zuerst die Anleitung für neue User abarbeiten -> Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?

Erst dann wird sich jemand deinem Problem annehmen!

schnappi09 · 19.04.2009, 10:49

Habe cc cleaner und spybot durchlaufen lassen. Ohne Erfolg .In anderen Beiträgen habe ich auch nichts gefunden, wasmir weiterhilft. Auch Google hilft nicht. Dieser Ordner C:\ARK413.tmp kann nicht gelöscht werden, ich weiss auch nicht ,wo er herkommt. Hilftwarscheinlich auch keine Systemwiederherstellung oder?
Bitte helft einem verzweifeltem unwissendem Danke.

.keNNy# · 19.04.2009, 10:56

Wie wärs wenn du einfach das tust was dir Sunny gesagt hat?
Er hat nichts von Spybot gesagt. Wenn du Punkt 2a-d abgearbeitet hast wird er dir auch weiterhelfen.

.keNNy#

**Sunny** · 19.04.2009, 10:56

Dateien Online überprüfen lassen:

Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code:

ATTFilter

C:\ARK413.tmp

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

schnappi09 · 19.04.2009, 11:39

Hier schon mal von Virustotal. Ich mache dann schon mal weiter.
Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.101 2009.04.19 -
AhnLab-V3 5.0.0.2 2009.04.18 -
AntiVir 7.9.0.148 2009.04.18 TR/ATRAPS.Gen
Antiy-AVL 2.0.3.1 2009.04.17 -
Authentium 5.1.2.4 2009.04.19 -
Avast 4.8.1335.0 2009.04.18 -
AVG 8.5.0.287 2009.04.18 -
BitDefender 7.2 2009.04.19 -
CAT-QuickHeal 10.00 2009.04.18 -
ClamAV 0.94.1 2009.04.19 -
Comodo 1121 2009.04.19 -
DrWeb 4.44.0.09170 2009.04.19 -
eSafe 7.0.17.0 2009.04.13 -
eTrust-Vet 31.6.6455 2009.04.14 -
F-Prot 4.4.4.56 2009.04.19 -
F-Secure 8.0.14470.0 2009.04.19 -
Fortinet 3.117.0.0 2009.04.19 -
GData 19 2009.04.19 -
Ikarus T3.1.1.49.0 2009.04.19 -
K7AntiVirus 7.10.707 2009.04.17 -
Kaspersky 7.0.0.125 2009.04.19 -
McAfee 5588 2009.04.18 -
McAfee+Artemis 5588 2009.04.18 -
McAfee-GW-Edition 6.7.6 2009.04.19 Trojan.ATRAPS.Gen
Microsoft 1.4502 2009.04.19 -
NOD32 4019 2009.04.18 -
Norman 6.00.06 2009.04.17 -
nProtect 2009.1.8.0 2009.04.19 -
Panda 10.0.0.14 2009.04.19 -
PCTools 4.4.2.0 2009.04.17 -
Prevx1 V2 2009.04.19 -
Rising 21.25.62.00 2009.04.19 -
Sophos 4.40.0 2009.04.19 -
Sunbelt 3.2.1858.2 2009.04.18 -
Symantec 1.4.4.12 2009.04.19 -
TheHacker 6.3.4.0.309 2009.04.16 -
TrendMicro 8.700.0.1004 2009.04.17 -
VBA32 3.12.10.2 2009.04.12 -
ViRobot 2009.4.18.1685 2009.04.18 -
VirusBuster 4.6.5.0 2009.04.18 -
weitere Informationen
File size: 73815 bytes
MD5...: 9bf32c08389af8c6e222178004f34d71
SHA1..: 948b382a8c7c23eb25334fa0356a7de798431211
SHA256: 4025db27355f9064a782513250a5e808113074dd946b6be7934b447cb929f115
SHA512: 721ec4c12ecab719afb3d9bb001883200d8eda4f62933734aa939eeb97dcd036
6efb4bd20caeeab5fdfa06b00a507f3606b5302c95c0cc95f68f781b04bb5d45
ssdeep: 1536:yYj4D4UcyMWfi1ymTMOQ2ioMy+3LejLoZ+ikvqXYKC04YR:yYEEUclB1yt7
/T3SjMb4qXYKC0/R
PEiD..: Armadillo v1.xx - v2.xx
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x3f57
timedatestamp.....: 0x3b3aae17 (Thu Jun 28 04:09:59 2001)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xbba2 0xc000 6.50 e3ad46b9eafab94bf6bd9f8c53d82b9e
.rdata 0xd000 0x191c 0x2000 4.55 00aa16e768ea8686a83996f0f2782a17
.data 0xf000 0x3330 0x2000 3.74 f84b4d66002b0a0e56d9db6068dd6a79
.reloc 0x13000 0xf84 0x1000 6.62 c554fbfd54a912e281ec464e16191c6b

( 4 imports )
> KERNEL32.dll: GetCurrentDirectoryA, Sleep, SetSystemPowerState, WinExec, GetWindowsDirectoryA, GetSystemDirectoryA, FreeLibrary, GetProcAddress, LoadLibraryA, SetCurrentDirectoryA, GetVersionExA, DeleteFileA, WriteFile, GetTempPathA, GlobalUnlock, GlobalLock, GlobalAlloc, ReadFile, GetFileSize, lstrcpyA, CreateProcessA, CreateFileA, GetModuleFileNameA, DeviceIoControl, ExpandEnvironmentStringsA, InterlockedIncrement, FatalAppExitA, ExitProcess, SetEnvironmentVariableA, CompareStringW, CompareStringA, FlushFileBuffers, GetLocaleInfoW, GetTimeZoneInformation, SetStdHandle, UnhandledExceptionFilter, SetFilePointer, GetUserDefaultLCID, EnumSystemLocalesA, GetLocaleInfoA, IsValidCodePage, IsValidLocale, RtlUnwind, IsBadWritePtr, VirtualAlloc, GetStringTypeW, GetStringTypeA, VirtualFree, HeapCreate, HeapDestroy, GetEnvironmentStringsW, InterlockedDecrement, CloseHandle, GetCommandLineA, GetVersion, GetCPInfo, GetACP, GetOEMCP, HeapFree, HeapAlloc, WideCharToMultiByte, MultiByteToWideChar, LCMapStringA, LCMapStringW, InitializeCriticalSection, DeleteCriticalSection, EnterCriticalSection, LeaveCriticalSection, GetEnvironmentStrings, SetLastError, TerminateProcess, GetCurrentProcess, HeapReAlloc, HeapSize, GetCurrentThreadId, TlsSetValue, TlsAlloc, TlsFree, GetStdHandle, TlsGetValue, GetLastError, GetCurrentThread, SetHandleCount, GetFileType, GetStartupInfoA, FreeEnvironmentStringsA, FreeEnvironmentStringsW
> USER32.dll: SendMessageA, WaitForInputIdle, FindWindowA, GetDesktopWindow, GetWindowLongA, GetForegroundWindow, OpenClipboard, EmptyClipboard, CloseClipboard, SetClipboardData, GetCursorPos, WindowFromPoint, RegisterWindowMessageA, ExitWindowsEx, MessageBoxA, mouse_event, GetDlgItem, IsWindowEnabled, keybd_event, PostMessageA, IsIconic, OpenIcon
> ADVAPI32.dll: RegQueryValueExA, RegOpenKeyA, RegCloseKey, RegCreateKeyA, RegSetValueExA
> SHELL32.dll: ShellExecuteA

( 1 exports )
_Keyboard@12
RDS...: NSRL Reference Data Set

schnappi09 · 19.04.2009, 12:05

So.
Combofix ausgeführt. Er hat auch etwas gelöscht und Antivir findet auch nichts mehr.
Bin ich jetzt "sauber"???

Anbei das File von Combofix:

ComboFix 09-04-19.05 - Ich 19.04.2009 12:56.1 - NTFSx86
ausgeführt von:: c:\dokumente und einstellungen\Ich\Desktop\ComboFix.exe

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokume~1\Ich\LOKALE~1\Temp\IadHide4.dll

.
((((((((((((((((((((((( Dateien erstellt von 2009-03-19 bis 2009-04-19 ))))))))))))))))))))))))))))))
.

2009-04-19 09:33 . 2009-04-19 10:52 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-19 09:33 . 2009-04-19 09:33 -------- d-----w c:\programme\Spybot - Search & Destroy
2009-04-19 09:31 . 2009-04-19 09:30 16409960 ----a-w c:\programme\spybotsd162.exe
2009-04-19 09:20 . 2009-04-19 09:20 -------- d-----w c:\programme\CCleaner
2009-04-19 09:20 . 2009-04-19 09:20 3190688 ----a-w c:\programme\ccsetup218.exe
2009-04-19 09:08 . 2009-04-19 09:08 -------- d-----w c:\programme\Trend Micro
2009-04-19 09:07 . 2009-04-19 09:07 812344 ----a-w c:\programme\HJTInstall202.exe
2009-04-19 08:49 . 2008-12-18 23:53 -------- d-----w c:\programme\Slim Multimedia Keyboard
2009-04-10 12:44 . 2009-03-15 08:35 -------- d-----w c:\dokumente und einstellungen\Ich\Anwendungsdaten\uTorrent
2009-04-07 19:56 . 2001-08-18 14:00 48156 ----a-w c:\windows\system32\perfc007.dat
2009-04-07 19:56 . 2001-08-18 14:00 316594 ----a-w c:\windows\system32\perfh007.dat
2009-03-31 17:15 . 2008-12-19 00:26 -------- d-----w c:\dokumente und einstellungen\Ich\Anwendungsdaten\Skype
2009-03-31 17:14 . 2008-12-19 01:43 -------- d-----w c:\dokumente und einstellungen\Ich\Anwendungsdaten\skypePM
2009-03-19 09:47 . 2009-01-28 06:47 -------- d-----w c:\dokumente und einstellungen\Ich\Anwendungsdaten\vlc
2009-03-19 08:34 . 2009-03-19 08:34 -------- d-----w c:\dokumente und einstellungen\Ich\Anwendungsdaten\Ashampoo
2009-03-19 08:34 . 2009-03-19 08:34 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\ashampoo
2009-03-15 09:22 . 2009-03-15 09:22 14056 ----a-w c:\dokumente und einstellungen\Ich\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-03-03 18:14 . 2009-03-03 18:14 14056 ----a-w c:\dokumente und einstellungen\Ich\Anwendungsdaten\GDIPFONTCACHEV1.DAT
.

------- Sigcheck -------

[-] 2008-12-19 00:35 36864 18747FCB2508EEEC79415B32F63F3654 c:\windows\system32\ctfmon.exe
[-] 2008-12-19 00:35 36864 18747FCB2508EEEC79415B32F63F3654 c:\windows\system32\dllcache\ctfmon.exe

[-] 2005-10-28 14:57 1548288 23637FA716C7377DAE7E33EEDE8DB547 c:\windows\system32\sfcfiles.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LDM"="c:\programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe" [2008-12-18 20480]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HTpatch"="c:\windows\htpatch.exe" [2002-10-30 28672]
"SiSUSBRG"="c:\windows\SiSUSBrg.exe" [2002-07-12 106496]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-10-11 7286784]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2005-10-11 86016]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-13 266497]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2005-10-11 1519616]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-12-19 36864]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nlsf"="move" [X]
"nlhr"="c:\windows\System32\AdvPack.Dll" [2004-08-04 102400]
"tscuninstall"="c:\windows\system32\tscupgrd.exe" [2004-08-04 44544]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
BTTray.lnk - c:\programme\Belkin\Bluetooth Software\BTTray.exe [2005-8-25 577597]
Logitech Desktop Messenger.lnk - c:\programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe [2008-12-19 450560]
Logitech SetPoint.lnk - c:\programme\Logitech\SetPoint\KEM.exe [2008-12-19 581632]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]
Slim Multimedia Keyboard.lnk - c:\programme\Slim Multimedia Keyboard\MagicKey.exe [2008-12-19 163840]
Smart Wizard Wireless Settings.lnk - c:\programme\NETGEAR\WG111 Configuration Utility\WG111CFG.exe [2008-12-19 1077344]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoRecentDocsNetHood"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Logitech\\Desktop Messenger\\8876480\\Program\\backWeb-8876480.exe"=
"d:\\utorrent1.6.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

S1 kbfilter;Keyboard Filter Driver; [x]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - SISPORT
*Deregistered* - SiSPort

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\I]
\Shell\AutoRun\command - I:\LaunchU3.exe -a
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-Cmaudio - cmicnfg.cpl

.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uInternet Settings,ProxyOverride = localhost
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
IE: Senden an &Bluetooth - c:\programme\Belkin\Bluetooth Software\btsendto_ie_ctx.htm
FF - ProfilePath - c:\dokumente und einstellungen\Ich\Anwendungsdaten\Mozilla\Firefox\Profiles\d8hzn2qb.default\
FF - prefs.js: browser.startup.homepage - www.google.de
FF - component: c:\programme\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-19 13:00
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HTpatch = c:\windows\htpatch.exe?ows\CurrentVersion\Run???\???/??[???????[???[???????????????????[???[?C?????[$??????[????????????S??[????????m??[$??w????(???-??w???w????>??w???w???[????????d???b6?[%??[???[????"??[A??[???[.??wZ??[?3?[?3?[????st.I???????[????d???0=?[?K?[

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\PCANDIS5]
"ImagePath"="\??\c:\windows\system32\PCANDIS5.SYS"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\system\ControlSet001\Enum\LPTENUM\KyoceraFS-1000\5&ba5533d&0&LPT1.4]
@Denied: (C D) (Everyone)
"DeviceDesc"="Kyocera FS-1000"
"LocationInformation"="LPT1.4"
"Capabilities"=dword:00000040
"ConfigFlags"=dword:00000000
"HardwareID"=multi:"LPTENUM\\KyoceraFS-1000CDB9\00KyoceraFS-1000CDB9\00\00"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(2852)
c:\programme\Logitech\SetPoint\lgscroll.dll
c:\windows\system32\msi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\programme\Belkin\Bluetooth Software\bin\btwdins.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\rundll32.exe
c:\windows\system32\rundll32.exe
c:\programme\Slim Multimedia Keyboard\OSD.exe
c:\programme\Logitech\SetPoint\KHALMNPR.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-04-19 13:01 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-04-19 11:01

Vor Suchlauf: 8 Verzeichnis(se), 12.076.818.432 Bytes frei
Nach Suchlauf: 7 Verzeichnis(se), 12.099.682.304 Bytes frei

141

**Sunny** · 19.04.2009, 12:13

Malwarebytes' Anti-Malware

Lies dir die Entfernungsanleitung durch und lass alles entfernen was gefunden wurde:

Download von Malwarebytes' Anti-Malware

(nach dem scannen auf den Button klicken und Funde löschen lassen!)

Combofix Deinstallieren

Klick auf Start -> Ausführen -> eintippen combofix /U

Damit ist Combofix und alle weiteren Programme entfernt wurden.

schnappi09 · 19.04.2009, 12:45

Alles bestens, nix gefunden.

1000 Dank für die schnelle und kompetente Hilfe.:aplaus:

Gruss

19.04.2009, 10:14	#2
Sunny Administrator > Competence Manager	Wie kann ich TR/atraps.gen entfernen Hallo schnappi09 und Bitte zuerst die Anleitung für neue User abarbeiten -> Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten? Erst dann wird sich jemand deinem Problem annehmen! __________________ __________________

Wie kann ich TR/atraps.gen entfernen

Plagegeister aller Art und deren Bekämpfung: Wie kann ich TR/atraps.gen entfernen