|
Plagegeister aller Art und deren Bekämpfung: Avira meldet: 'BDS/Papras.PF'Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
06.09.2010, 13:07 | #1 |
| Avira meldet: 'BDS/Papras.PF' Ich erhalte ständig diese Meldung, aber trotz Funktion "Entfernen" erscheint sie wieder Anbei diverse Log-Files (ich hoffe, ich habe alles wie gefordert anonymisiert ...) |
06.09.2010, 14:56 | #2 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Avira meldet: 'BDS/Papras.PF'Zitat:
Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!
__________________ |
06.09.2010, 16:45 | #3 |
| Avira meldet: 'BDS/Papras.PF' Hallo Cosinus,
__________________hier die Log-Datei vom Voll-Scan ________________________________________ Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4554 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 06.09.2010 17:15:47 mbam-log-2010-09-06 (17-15-47).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|) Durchsuchte Objekte: 196714 Laufzeit: 47 Minute(n), 55 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) ________________________________________ Gruß rauke P.S. Bin heute nicht mehr on, morgen früh wieder |
06.09.2010, 18:31 | #4 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Avira meldet: 'BDS/Papras.PF' Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!! Code:
ATTFilter :OTL SRV - (Dmlomrvnupv) -- File not found IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = 192.168.11.11:3128 O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found. [2010.09.01 19:55:30 | 000,046,592 | -H-- | M] () -- C:\WINDOWS\System32\expaeset.dll :Commands [purity] [resethosts] [emptytemp] Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.
__________________ Logfiles bitte immer in CODE-Tags posten |
07.09.2010, 07:24 | #5 |
| Avira meldet: 'BDS/Papras.PF' Hier das Log-File von OTL ____________________________ All processes killed ========== OTL ========== Service Dmlomrvnupv stopped successfully! Service Dmlomrvnupv deleted successfully! File File not found not found. HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyServer| /E : value set successfully! Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\\{2318C2B1-4965-11D4-9B18-009027A5CD4F} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2318C2B1-4965-11D4-9B18-009027A5CD4F}\ not found. Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{EF99BD32-C1FB-11D2-892F-0090271D4F88} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EF99BD32-C1FB-11D2-892F-0090271D4F88}\ deleted successfully. File C:\WINDOWS\System32\expaeset.dll not found. ========== COMMANDS ========== C:\WINDOWS\System32\drivers\etc\Hosts moved successfully. HOSTS file reset successfully [EMPTYTEMP] User: Default User ->Temp folder emptied: 0 bytes User: All Users User: NetworkService ->Temp folder emptied: 0 bytes User: LocalService ->Temp folder emptied: 66016 bytes User: xxxx ->Temp folder emptied: 2918 bytes ->Java cache emptied: 226664 bytes ->FireFox cache emptied: 40565443 bytes ->Flash cache emptied: 1170589 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 109681 bytes %systemroot%\System32 .tmp files removed: 2951 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 37311923 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 76,00 mb OTL by OldTimer - Version 3.2.11.0 log created on 09072010_081526 Files\Folders moved on Reboot... Registry entries deleted on Reboot... ________________________________________ Gruß rauke |
07.09.2010, 09:52 | #6 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Avira meldet: 'BDS/Papras.PF' Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
__________________ --> Avira meldet: 'BDS/Papras.PF' |
07.09.2010, 12:48 | #7 |
| Avira meldet: 'BDS/Papras.PF' Hallo Arne, hier das neue Log-File Gruß rauke |
07.09.2010, 13:27 | #8 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Avira meldet: 'BDS/Papras.PF'Zitat:
Bitte erstmal nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus Anschließend den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus. Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen. Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt.
__________________ Logfiles bitte immer in CODE-Tags posten |
09.09.2010, 08:32 | #10 |
| Avira meldet: 'BDS/Papras.PF' Hallo Cosinus, ist wegen des Virus noch was zu tun? Und ich soll wohl noch etwas ändern, sagst Du mir noch wie? Danke und Gruß rauke |
09.09.2010, 13:08 | #11 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Avira meldet: 'BDS/Papras.PF' Sry hab Deinen Strang übersehen. Asche auf mein Haupt Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
__________________ Logfiles bitte immer in CODE-Tags posten |
09.09.2010, 14:06 | #12 |
| Avira meldet: 'BDS/Papras.PF' Hallo Cosinus, na dann war es ja gut, dass ich nachgehakt habe ;-) _________________________________________ MBRCheck, version 1.2.3 (c) 2010, AD Command-line: Windows Version: Windows XP Home Edition Windows Information: Service Pack 3 (build 2600) Logical Drives Mask: 0x0000003c \\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`bbc57e00 (FAT32) \\.\D: --> \\.\PhysicalDrive0 at offset 0x0000000b`fc146200 (FAT32) Size Device Name MBR Status -------------------------------------------- 93 GB \\.\PhysicalDrive0 Unknown MBR code SHA1: BEA90D9A447A4AF731FA0CC4A45E68FA2DFCAE6E Found non-standard or infected MBR. Enter 'Y' and hit ENTER for more options, or 'N' to exit: _________________________________________ |
09.09.2010, 14:08 | #13 |
| Avira meldet: 'BDS/Papras.PF' aaahhhh, ich glaube Du wolltest das hier: _________________ MBRCheck, version 1.2.3 (c) 2010, AD Command-line: Windows Version: Windows XP Home Edition Windows Information: Service Pack 3 (build 2600) Logical Drives Mask: 0x0000003c Kernel Drivers (total 139): 0x804D7000 \WINDOWS\system32\ntoskrnl.exe 0x806EF000 \WINDOWS\system32\hal.dll 0xF8BB7000 \WINDOWS\system32\KDCOM.DLL 0xF8AC7000 \WINDOWS\system32\BOOTVID.dll 0xF8670000 d347bus.sys 0xF8641000 ACPI.sys 0xF8BB9000 \WINDOWS\system32\DRIVERS\WMILIB.SYS 0xF8630000 pci.sys 0xF86B7000 isapnp.sys 0xF86C7000 ohci1394.sys 0xF86D7000 \WINDOWS\system32\DRIVERS\1394BUS.SYS 0xF8ACB000 compbatt.sys 0xF8ACF000 \WINDOWS\system32\DRIVERS\BATTC.SYS 0xF8C7F000 pciide.sys 0xF8937000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS 0xF8BBB000 intelide.sys 0xF8612000 pcmcia.sys 0xF86E7000 MountMgr.sys 0xF85F3000 ftdisk.sys 0xF8AD3000 ACPIEC.sys 0xF8C80000 \WINDOWS\system32\DRIVERS\OPRGHDLR.SYS 0xF893F000 PartMgr.sys 0xF86F7000 VolSnap.sys 0xF85DB000 0xF8BBD000 d347prt.sys 0xF85C3000 \WINDOWS\System32\Drivers\SCSIPORT.SYS 0xF8707000 disk.sys 0xF8717000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS 0xF85A3000 fltmgr.sys 0xF8591000 sr.sys 0xF856D000 Fastfat.sys 0xF8556000 KSecDD.sys 0xF8529000 NDIS.sys 0xF850F000 Mup.sys 0xF8727000 agp440.sys 0xF8747000 \SystemRoot\system32\DRIVERS\intelppm.sys 0xF8331000 \SystemRoot\system32\DRIVERS\ati2mtag.sys 0xF831D000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS 0xF8967000 \SystemRoot\system32\DRIVERS\usbuhci.sys 0xF82F9000 \SystemRoot\system32\DRIVERS\USBPORT.SYS 0xF896F000 \SystemRoot\system32\DRIVERS\usbehci.sys 0xF8757000 \SystemRoot\system32\DRIVERS\bcm4sbxp.sys 0xF7FE9000 \SystemRoot\system32\DRIVERS\w29n51.sys 0xF8767000 \SystemRoot\system32\DRIVERS\nic1394.sys 0xF7FD8000 \SystemRoot\system32\drivers\tifm21.sys 0xF8777000 \SystemRoot\system32\DRIVERS\i8042prt.sys 0xF8977000 \SystemRoot\system32\DRIVERS\kbdclass.sys 0xF7FAA000 \SystemRoot\system32\DRIVERS\SynTP.sys 0xF8BBF000 \SystemRoot\system32\DRIVERS\USBD.SYS 0xF897F000 \SystemRoot\system32\DRIVERS\mouclass.sys 0xF8BC1000 \SystemRoot\system32\DRIVERS\SMBHC.sys 0xF8BC3000 \SystemRoot\system32\DRIVERS\SMBCLASS.SYS 0xF8787000 \SystemRoot\system32\DRIVERS\imapi.sys 0xF8797000 \SystemRoot\System32\Drivers\cdrbsdrv.SYS 0xF8B5B000 \SystemRoot\system32\drivers\pfc.sys 0xF87A7000 \SystemRoot\system32\DRIVERS\cdrom.sys 0xF87B7000 \SystemRoot\system32\DRIVERS\redbook.sys 0xF7F87000 \SystemRoot\system32\DRIVERS\ks.sys 0xF8BC5000 \SystemRoot\system32\DRIVERS\NTIDrvr.sys 0xF7F43000 \SystemRoot\system32\drivers\camchal.sys 0xF7EFB000 \SystemRoot\system32\drivers\camcaud.sys 0xF7ED7000 \SystemRoot\system32\drivers\portcls.sys 0xF87C7000 \SystemRoot\system32\drivers\drmk.sys 0xF7EA6000 \SystemRoot\system32\DRIVERS\HSFHWICH.sys 0xF7DA7000 \SystemRoot\system32\DRIVERS\HSF_DP.sys 0xF7D00000 \SystemRoot\system32\DRIVERS\HSF_CNXT.sys 0xF8987000 \SystemRoot\System32\Drivers\Modem.SYS 0xF8461000 \SystemRoot\system32\DRIVERS\audstub.sys 0xF898F000 \SystemRoot\system32\DRIVERS\rasirda.sys 0xF8997000 \SystemRoot\system32\DRIVERS\TDI.SYS 0xF87D7000 \SystemRoot\system32\DRIVERS\rasl2tp.sys 0xF8B67000 \SystemRoot\system32\DRIVERS\ndistapi.sys 0xF7CC1000 \SystemRoot\system32\DRIVERS\ndiswan.sys 0xF87E7000 \SystemRoot\system32\DRIVERS\raspppoe.sys 0xF87F7000 \SystemRoot\system32\DRIVERS\raspptp.sys 0xF899F000 \SystemRoot\system32\DRIVERS\ptilink.sys 0xF89A7000 \SystemRoot\system32\DRIVERS\raspti.sys 0xF8807000 \SystemRoot\system32\DRIVERS\termdd.sys 0xF8BC7000 \SystemRoot\system32\DRIVERS\swenum.sys 0xF7BC3000 \SystemRoot\system32\DRIVERS\update.sys 0xF8B73000 \SystemRoot\system32\DRIVERS\mssmbios.sys 0xF89AF000 \SystemRoot\system32\DRIVERS\WSUSBDMAN.sys 0xF8B7B000 \SystemRoot\system32\DRIVERS\SMBBATT.sys 0xF8817000 \SystemRoot\System32\Drivers\NDProxy.SYS 0xF8847000 \SystemRoot\system32\DRIVERS\usbhub.sys 0xF8867000 \??\C:\WINDOWS\system32\drivers\SSHDRV61.sys 0xF8BCD000 \SystemRoot\System32\Drivers\Fs_Rec.SYS 0xF8436000 \SystemRoot\System32\Drivers\Null.SYS 0xF8BCF000 \SystemRoot\System32\Drivers\Beep.SYS 0xF89CF000 \SystemRoot\System32\drivers\vga.sys 0xF8BD1000 \SystemRoot\System32\Drivers\mnmdd.SYS 0xF8BD3000 \SystemRoot\System32\DRIVERS\RDPCDD.sys 0xF89D7000 \SystemRoot\System32\Drivers\Msfs.SYS 0xF89DF000 \SystemRoot\System32\Drivers\Npfs.SYS 0xF8B9B000 \SystemRoot\system32\DRIVERS\rasacd.sys 0xEBB08000 \SystemRoot\system32\DRIVERS\ipsec.sys 0xF8877000 \SystemRoot\system32\DRIVERS\msgpc.sys 0xEBAAF000 \SystemRoot\system32\DRIVERS\tcpip.sys 0xEBA87000 \SystemRoot\system32\DRIVERS\netbt.sys 0xEBA65000 \SystemRoot\System32\drivers\afd.sys 0xF8887000 \SystemRoot\system32\DRIVERS\netbios.sys 0xEB99A000 \SystemRoot\system32\DRIVERS\rdbss.sys 0xEB92A000 \SystemRoot\system32\DRIVERS\mrxsmb.sys 0xF88A7000 \SystemRoot\System32\Drivers\Fips.SYS 0xEB904000 \SystemRoot\system32\DRIVERS\ipnat.sys 0xF88B7000 \SystemRoot\system32\DRIVERS\wanarp.sys 0xF88C7000 \SystemRoot\system32\DRIVERS\arp1394.sys 0xBA7C4000 \SystemRoot\system32\DRIVERS\ctxusbm.sys 0xBA7A2000 \SystemRoot\system32\DRIVERS\avipbb.sys 0xF8BD7000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys 0xF89E7000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS 0xF88F7000 \SystemRoot\System32\Drivers\Cdfs.SYS 0xBA78A000 \SystemRoot\System32\Drivers\dump_atapi.sys 0xF8BD9000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS 0xBF800000 \SystemRoot\System32\win32k.sys 0xF7CF8000 \SystemRoot\System32\drivers\Dxapi.sys 0xF89EF000 \SystemRoot\System32\watchdog.sys 0xBF000000 \SystemRoot\System32\drivers\dxg.sys 0xF8D40000 \SystemRoot\System32\drivers\dxgthk.sys 0xBF012000 \SystemRoot\System32\ati2dvag.dll 0xBF049000 \SystemRoot\System32\ati2cqag.dll 0xBF081000 \SystemRoot\System32\ati3duag.dll 0xBF282000 \SystemRoot\System32\ativvaxx.dll 0xBFFA0000 \SystemRoot\System32\ATMFD.DLL 0xBA635000 \SystemRoot\system32\DRIVERS\avgntflt.sys 0xBA52F000 \SystemRoot\system32\DRIVERS\irda.sys 0xBA676000 \SystemRoot\system32\DRIVERS\ndisuio.sys 0xBA39A000 \SystemRoot\system32\DRIVERS\mrxdav.sys 0xBA2E2000 \SystemRoot\system32\DRIVERS\mdmxsdk.sys 0xBA2DE000 \??\C:\WINDOWS\system32\drivers\PfModNT.sys 0xBA13B000 \SystemRoot\system32\DRIVERS\srv.sys 0xB9D3E000 \SystemRoot\system32\drivers\wdmaud.sys 0xB9E1B000 \SystemRoot\system32\drivers\sysaudio.sys 0xB9FBB000 \??\C:\WINDOWS\system32\Drivers\CO_Mon.sys 0xF8C05000 \SystemRoot\System32\Drivers\hiber_WMILIB.SYS 0xBA42F000 \SystemRoot\system32\DRIVERS\hidusb.sys 0xB9BE0000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS 0xB99D4000 \SystemRoot\system32\DRIVERS\mouhid.sys 0x7C910000 \WINDOWS\System32\ntdll.dll Processes (total 38): 0 System Idle Process 4 System 412 C:\WINDOWS\System32\SMSS.EXE 656 csrss.exe 684 C:\WINDOWS\System32\winlogon.exe 728 C:\WINDOWS\System32\services.exe 740 C:\WINDOWS\System32\lsass.exe 908 C:\WINDOWS\System32\Ati2evxx.exe 928 C:\WINDOWS\System32\svchost.exe 984 svchost.exe 1060 C:\WINDOWS\System32\svchost.exe 1136 svchost.exe 1216 svchost.exe 1432 C:\WINDOWS\System32\spoolsv.exe 1468 C:\Programme\Avira\AntiVir Desktop\sched.exe 1508 svchost.exe 1564 C:\Acer\eManager\anbmServ.exe 1588 C:\Programme\Avira\AntiVir Desktop\avguard.exe 1616 C:\WINDOWS\System32\bgsvcgen.exe 1656 svchost.exe 1676 C:\WINDOWS\System32\CTsvcCDA.EXE 1756 C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE 1912 C:\WINDOWS\System32\svchost.exe 1920 C:\Programme\Avira\AntiVir Desktop\avshadow.exe 1940 C:\Programme\VMware\VMware View\Client\bin\wsnm.exe 1104 ALG.EXE 888 C:\WINDOWS\EXPLORER.EXE 1040 C:\Programme\Synaptics\SynTP\SynTPLpr.exe 2072 C:\Programme\Synaptics\SynTP\SynTPEnh.exe 2104 C:\Programme\QuickTime\QTTASK.EXE 2128 C:\WINDOWS\System32\RUNDLL32.EXE 2200 C:\Programme\Avira\AntiVir Desktop\AVGNT.EXE 2212 C:\Programme\Citrix\ICA Client\concentr.exe 2340 C:\Programme\Citrix\ICA Client\wfcrun32.exe 2548 C:\Dokumente und Einstellungen\xx\Anwendungsdaten\Juniper Networks\Setup Client\JuniperSetupClient.exe 324 C:\WINDOWS\System32\ctfmon.exe 3468 C:\Programme\Mozilla Firefox\firefox.exe 244 C:\Dokumente und Einstellungen\xxx\Desktop\MBRCheck.exe \\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`bbc57e00 (FAT32) \\.\D: --> \\.\PhysicalDrive0 at offset 0x0000000b`fc146200 (FAT32) PhysicalDrive0 Model Number: ST9100823A, Rev: 3.01 Size Device Name MBR Status -------------------------------------------- 93 GB \\.\PhysicalDrive0 Unknown MBR code SHA1: BEA90D9A447A4AF731FA0CC4A45E68FA2DFCAE6E Found non-standard or infected MBR. Enter 'Y' and hit ENTER for more options, or 'N' to exit: ____________ |
09.09.2010, 17:44 | #14 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Avira meldet: 'BDS/Papras.PF' Starte den Rechner neu und wähl im Bootmenü die Wiederherstellungskonsole. Tipp dort den Befehl fixmbr ein (dann Enter, mit j bestätigen) danach den Befehl fixboot (dann Enter, mit j bestätigen) Mit exit (dann enter drücken) wird der Rechner neu gestartet. Führe im normalen Windows MBRCheck nochmals aus und poste das neue Log.
__________________ Logfiles bitte immer in CODE-Tags posten |
09.09.2010, 19:01 | #15 |
| Avira meldet: 'BDS/Papras.PF' Hier das neue Log-File Gruß rauke |
Themen zu Avira meldet: 'BDS/Papras.PF' |
avira, diverse, entferne, entfernen, erhalte, erschein, erscheint, funktion, hoffe, log-files, melde, meldet, meldung, trotz |