| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Win32.Backdoor.Papras/AWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
| |
13.09.2010, 18:50
| #1 |
 |  Win32.Backdoor.Papras/A AVIRA Schlüssel Hinweis gerade erst gelesen ;-) mehr später- Geändert von sanne2010 (13.09.2010 um 18:56 Uhr) |
|
13.09.2010, 19:54
| #2 |
| | Win32.Backdoor.Papras/A Hier 2 Logs von cofi.
__________________Beim ersten Mal war plötzl.keine Webverbindung für den Wiederherstell.konselen-Dwld verfügbar. Beim 2 erfolgl.Versuch, nach Dwld., gab WIN einen blauen Bildschirm mit einer Treiberfehlermeldung aus zu mbr.sys. Nach Neustart klappte es dann. 1. log Code:
ATTFilter ComboFix 10-09-12.04 - time traveler 13.09.2010 20:06:31.1.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.2039.1397 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\time traveler\Desktop\cofi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}
Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\dokumente und einstellungen\All Users\Anwendungsdaten\hpe1.dll
c:\dokumente und einstellungen\All Users\Anwendungsdaten\hpe5F.dll
c:\dokumente und einstellungen\time traveler\Anwendungsdaten\PriceGong
c:\dokumente und einstellungen\time traveler\Anwendungsdaten\PriceGong\Data\1.xml
c:\dokumente und einstellungen\time traveler\Anwendungsdaten\PriceGong\Data\a.xml
c:\dokumente und einstellungen\time traveler\Anwendungsdaten\PriceGong\Data\b.xml
c:\dokumente und einstellungen\time traveler\Anwendungsdaten\PriceGong\Data\c.xml
c:\dokumente und einstellungen\time traveler\Anwendungsdaten\PriceGong\Data\d.xml
c:\dokumente und einstellungen\time traveler\Anwendungsdaten\PriceGong\Data\e.xml
c:\dokumente und einstellungen\time traveler\Anwendungsdaten\PriceGong\Data\f.xml
c:\dokumente und einstellungen\time traveler\Anwendungsdaten\PriceGong\Data\g.xml
c:\dokumente und einstellungen\time traveler\Anwendungsdaten\PriceGong\Data\h.xml
c:\dokumente und einstellungen\time traveler\Anwendungsdaten\PriceGong\Data\i.xml
c:\dokumente und einstellungen\time traveler\Anwendungsdaten\PriceGong\Data\J.xml
c:\dokumente und einstellungen\time traveler\Anwendungsdaten\PriceGong\Data\k.xml
c:\dokumente und einstellungen\time traveler\Anwendungsdaten\PriceGong\Data\l.xml
c:\dokumente und einstellungen\time traveler\Anwendungsdaten\PriceGong\Data\m.xml
c:\dokumente und einstellungen\time traveler\Anwendungsdaten\PriceGong\Data\mru.xml
c:\dokumente und einstellungen\time traveler\Anwendungsdaten\PriceGong\Data\n.xml
c:\dokumente und einstellungen\time traveler\Anwendungsdaten\PriceGong\Data\o.xml
c:\dokumente und einstellungen\time traveler\Anwendungsdaten\PriceGong\Data\p.xml
c:\dokumente und einstellungen\time traveler\Anwendungsdaten\PriceGong\Data\q.xml
c:\dokumente und einstellungen\time traveler\Anwendungsdaten\PriceGong\Data\r.xml
c:\dokumente und einstellungen\time traveler\Anwendungsdaten\PriceGong\Data\s.xml
c:\dokumente und einstellungen\time traveler\Anwendungsdaten\PriceGong\Data\t.xml
c:\dokumente und einstellungen\time traveler\Anwendungsdaten\PriceGong\Data\u.xml
c:\dokumente und einstellungen\time traveler\Anwendungsdaten\PriceGong\Data\v.xml
c:\dokumente und einstellungen\time traveler\Anwendungsdaten\PriceGong\Data\w.xml
c:\dokumente und einstellungen\time traveler\Anwendungsdaten\PriceGong\Data\x.xml
c:\dokumente und einstellungen\time traveler\Anwendungsdaten\PriceGong\Data\y.xml
c:\dokumente und einstellungen\time traveler\Anwendungsdaten\PriceGong\Data\z.xml
c:\dokumente und einstellungen\time traveler\Eigene Dateien\cc_20100909_194117.reg
C:\install.exe
C:\Thumbs.db
.
((((((((((((((((((((((( Dateien erstellt von 2010-08-13 bis 2010-09-13 ))))))))))))))))))))))))))))))
.
2010-09-11 17:47 . 2010-09-11 17:47 -------- dc-h--w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{ECC164E0-3133-4C70-A831-F08DB2940F70}
2010-09-11 17:47 . 2010-08-12 12:16 2979848 -c--a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{ECC164E0-3133-4C70-A831-F08DB2940F70}\Ad-AwareInstall.exe
2010-09-11 15:41 . 2010-09-11 15:41 -------- d-----w- c:\dokumente und einstellungen\time traveler\Lokale Einstellungen\Anwendungsdaten\Sunbelt Software
2010-09-09 20:15 . 2010-09-09 20:15 -------- d-----w- c:\dokumente und einstellungen\time traveler\Anwendungsdaten\Malwarebytes
2010-09-09 20:14 . 2010-04-29 10:19 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-09-09 20:14 . 2010-09-09 20:14 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-09-09 20:14 . 2010-09-09 20:14 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-09-09 20:14 . 2010-04-29 10:19 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-09-09 19:06 . 2010-09-09 19:06 -------- d-----w- C:\_OTL
2010-09-09 16:49 . 2010-09-13 17:26 -------- d-----w- c:\programme\CCleaner
2010-09-09 16:45 . 2010-09-09 16:45 -------- d-----w- C:\adobeTemp
2010-09-08 20:36 . 2010-09-08 20:52 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\regid.1986-12.com.adobe
2010-09-06 17:30 . 2010-09-06 17:30 144696 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\RunAsUser\RUNASUSERPROCESS.exe
2010-09-01 21:28 . 2010-09-13 18:05 -------- d-----w- c:\programme\Gemeinsame Dateien\Akamai
2010-08-15 14:02 . 2010-08-15 14:02 -------- d-----w- c:\programme\Windows Media Connect 2
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-12 09:32 . 2008-10-14 19:47 -------- d-----w- c:\programme\phase5
2010-09-12 06:52 . 2009-01-08 22:16 1 ----a-w- c:\dokumente und einstellungen\time traveler\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-09-11 15:09 . 2010-08-08 09:55 456200 ----a-w- c:\dokumente und einstellungen\time traveler\Anwendungsdaten\Real\Update\setup3.12\setup.exe
2010-09-09 16:45 . 2007-06-08 13:30 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe
2010-09-09 15:44 . 2008-03-28 16:56 85456 ----a-w- c:\dokumente und einstellungen\time traveler\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-09-08 20:39 . 2007-06-08 13:25 85456 ----a-w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-09-07 20:29 . 2008-03-29 18:36 -------- d-----w- c:\programme\Mozilla Thunderbird
2010-09-07 20:20 . 2009-11-23 21:39 -------- d-----w- c:\dokumente und einstellungen\time traveler\Anwendungsdaten\Skype
2010-09-06 17:30 . 2010-07-03 17:14 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX
2010-08-25 19:56 . 2008-03-29 18:40 -------- d-----w- c:\dokumente und einstellungen\time traveler\Anwendungsdaten\Thunderbird
2010-08-17 19:53 . 2010-06-19 21:03 -------- d-----w- c:\programme\Free FLV Converter
2010-08-17 19:49 . 2010-03-22 22:47 -------- d-----w- c:\dokumente und einstellungen\time traveler\Anwendungsdaten\FreeFLVConverter
2010-08-12 19:01 . 2007-06-08 12:48 -------- d-----w- c:\programme\Apoint2K
2010-08-12 18:49 . 2010-08-12 18:49 0 ---ha-w- c:\windows\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf
2010-08-12 18:49 . 2010-08-12 18:49 0 ---ha-w- c:\windows\system32\drivers\Msft_Kernel_Apfiltr_01005.Wdf
2010-08-12 17:46 . 2007-06-08 11:34 516788 ----a-w- c:\windows\system32\perfh007.dat
2010-08-12 17:46 . 2007-06-08 11:34 108670 ----a-w- c:\windows\system32\perfc007.dat
2010-08-12 12:15 . 2010-03-24 17:54 64288 ----a-w- c:\windows\system32\drivers\Lbd.sys
2010-08-11 21:50 . 2010-03-22 22:47 307200 ----a-w- c:\windows\system32\TubeFinder.exe
2010-08-06 20:37 . 2010-08-05 19:03 -------- d-----w- c:\dokumente und einstellungen\time traveler\Anwendungsdaten\Web-Recherche
2010-08-05 19:05 . 2010-08-05 19:03 -------- d-----w- c:\programme\Web-Recherche
2010-07-28 20:11 . 2010-02-25 21:35 -------- d-----w- c:\programme\DVDVideoSoft
2010-07-09 14:17 . 2010-07-03 17:23 57344 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\RunAsUser\RUNASUSERPROCESS.dll
2010-07-09 14:08 . 2010-07-09 14:08 57715 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\Player\Uninstaller.exe
2010-07-09 14:08 . 2010-07-09 14:08 56765 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\DivXPlusShortcuts\Uninstaller.exe
2010-07-09 14:08 . 2010-07-09 14:08 84054 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\TransferWizard\Uninstaller.exe
2010-07-09 14:08 . 2010-07-09 14:08 54153 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\DFXPlugin\Uninstaller.exe
2010-07-09 14:05 . 2010-07-03 17:22 1062184 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\Setup\Resource.dll
2010-07-09 14:05 . 2010-07-03 17:22 895256 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\Setup\DivXSetup.exe
2010-07-03 17:22 . 2010-07-03 17:22 56997 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\WebPlayer\Uninstaller.exe
2010-07-03 17:22 . 2010-07-03 17:22 53600 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\Update\Uninstaller.exe
2010-07-03 17:22 . 2010-07-03 17:22 57054 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\DSDesktopComponents\Uninstaller.exe
2010-07-03 17:22 . 2010-07-03 17:22 54166 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\DSAVCDecoder\Uninstaller.exe
2010-07-03 17:22 . 2010-07-03 17:22 57532 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\DSASPDecoder\Uninstaller.exe
2010-07-03 17:22 . 2010-07-03 17:22 56458 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\DivXDecoderShortcut\Uninstaller.exe
2010-07-03 17:22 . 2010-07-03 17:22 54174 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\DSAACDecoder\Uninstaller.exe
2010-07-03 17:22 . 2010-07-03 17:22 54128 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\Converter\Uninstaller.exe
2010-07-03 17:22 . 2010-07-03 17:22 54644 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\TranscodeEngine\Uninstaller.exe
2010-07-03 17:21 . 2010-07-03 17:21 57409 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\ControlPanel\Uninstaller.exe
2010-07-03 17:21 . 2010-07-03 17:21 54101 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\MPEG2Plugin\Uninstaller.exe
2010-07-03 17:21 . 2010-07-03 17:21 52963 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\MSVC80CRTRedist\Uninstaller.exe
2010-07-03 17:21 . 2010-07-03 17:21 54073 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\Qt4.5\Uninstaller.exe
2010-07-03 17:21 . 2010-07-03 17:21 56969 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\ASPEncoder\Uninstaller.exe
2010-06-30 12:28 . 2007-06-08 11:34 149504 ----a-w- c:\windows\system32\schannel.dll
2010-06-24 12:22 . 2007-06-08 11:34 916480 ----a-w- c:\windows\system32\wininet.dll
2010-06-24 09:02 . 2007-06-08 11:34 1852032 ----a-w- c:\windows\system32\win32k.sys
2010-06-21 15:27 . 2007-06-08 11:34 354304 ----a-w- c:\windows\system32\drivers\srv.sys
2010-06-19 16:57 . 2010-03-24 19:21 15880 ----a-w- c:\windows\system32\lsdelete.exe
2010-06-17 20:58 . 2010-04-12 16:30 1824 ----a-w- c:\windows\pchealth\helpctr\Config\incstore.bin
2010-06-17 14:03 . 2007-06-08 11:34 80384 ----a-w- c:\windows\system32\iccvid.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TOSCDSPD"="c:\programme\TOSHIBA\TOSCDSPD\toscdspd.exe" [2005-04-12 65536]
"Sony Ericsson PC Suite"="c:\programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" [2009-09-24 434176]
"ccleaner"="c:\programme\CCleaner\ccleaner.exe" [2010-08-26 1779512]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ThpSrv"="c:\windows\system32\thpsrv" [X]
"RTHDCPL"="RTHDCPL.EXE" [2007-03-13 16125440]
"00THotkey"="c:\windows\system32\00THotkey.exe" [2006-08-11 253952]
"000StTHK"="000StTHK.exe" [2001-06-23 24576]
"Apoint"="c:\programme\Apoint2K\Apoint.exe" [2007-12-15 184320]
"SmoothView"="c:\programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe" [2007-05-11 143360]
"TPSODDCtl"="TPSODDCtl.exe" [2007-04-20 102400]
"TPSMain"="TPSMain.exe" [2007-04-20 299008]
"TMERzCtl.EXE"="c:\programme\TOSHIBA\TME3\TMERzCtl.EXE" [2006-09-01 90112]
"TMESRV.EXE"="c:\programme\TOSHIBA\TME3\TMESRV31.EXE" [2006-01-19 118784]
"TOSDCR"="TOSDCR.EXE" [2005-12-12 57344]
"TosHKCW.exe"="c:\programme\TOSHIBA\Wireless Hotkey\TosHKCW.exe" [2005-05-17 49152]
"TAudEffect"="c:\programme\TOSHIBA\TAudEffect\TAudEff.exe" [2006-08-09 344144]
"TFncKy"="TFncKy.exe" [BU]
"DDWMon"="c:\programme\TOSHIBA\TOSHIBA Direct Disc Writer\\ddwmon.exe" [2007-04-26 495616]
"PSQLLauncher"="c:\programme\Protector Suite QL\launcher.exe" [2006-05-05 30208]
"topi"="c:\programme\TOSHIBA\Toshiba Online Product Information\topi.exe" [2007-04-02 577536]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-04-09 138008]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-04-09 162584]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-04-09 138008]
"TFNF5"="TFNF5.exe" [2006-04-11 622592]
"DpUtil"="c:\programme\TOSHIBA\DualPointUtility\TEDTray.exe" [2005-08-08 155648]
"snpstd3"="c:\windows\vsnpstd3.exe" [2006-09-19 827392]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-06-18 185896]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792]
"AdobeAAMUpdater-1.0"="c:\programme\Gemeinsame Dateien\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe" [2010-03-06 500208]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\psfus]
2006-05-05 15:48 40448 ----a-w- c:\windows\system32\psqlpwd.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\TosBtNP]
2006-07-22 02:54 65536 ----a-w- c:\windows\system32\TosBtNP.dll
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Notification Packages REG_MULTI_SZ scecli psqlpwd
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^McAfee Security Scan Plus.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\McAfee Security Scan Plus.lnk
backup=c:\windows\pss\McAfee Security Scan Plus.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2008-10-14 23:04 39792 ----a-w- c:\programme\Adobe\Reader 8.0\Reader\reader_sl.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DivXUpdate]
2010-06-03 00:50 1144104 ----a-w- c:\programme\DivX\DivX Update\DivXUpdate.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PDFPrint]
2010-03-11 08:02 208528 ----a-w- c:\programme\pdf24\pdf24.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2008-05-27 08:50 413696 ----a-w- c:\programme\QuickTime\QTTask.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
2008-06-18 19:55 185896 ----a-w- c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"Macromedia Licensing Service"=3 (0x3)
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Programme\\WS_FTP\\WS_FTP95.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Real\\RealPlayer\\realplay.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:*:Disabled:@xpsp2res.dll,-22009
"1033:TCP"= 1033:TCP:Akamai NetSession Interface
"5000:UDP"= 5000:UDP:Akamai NetSession Interface
R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [24.03.2010 19:54 64288]
R0 Thpdrv;TOSHIBA HDD Protection Driver;c:\windows\system32\drivers\thpdrv.sys [27.04.2007 10:19 21120]
R0 Thpevm;TOSHIBA HDD Protection - Shock Sensor Driver;c:\windows\system32\drivers\Thpevm.sys [09.03.2007 15:23 6528]
R1 TMEI3E;TMEI3E;c:\windows\system32\drivers\TMEI3E.sys [08.06.2007 15:11 5888]
R2 Akamai;Akamai NetSession Interface;c:\windows\System32\svchost.exe -k Akamai [08.06.2007 13:34 14336]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [21.03.2010 14:27 135336]
R2 FdRedir;FdRedir;c:\programme\Gemeinsame Dateien\Protector Suite QL\Drivers\FdRedir.sys [05.05.2006 18:00 13568]
R2 FileDisk2;FileDisk Protector Kernel Driver;c:\programme\Gemeinsame Dateien\Protector Suite QL\Drivers\filedisk.sys [05.05.2006 17:59 33024]
R2 smihlp;SMI helper driver;c:\programme\Protector Suite QL\smihlp.sys [05.05.2006 17:33 3456]
R2 tdudf;TOSHIBA UDF File System Driver;c:\windows\system32\drivers\tdudf.sys [26.03.2007 12:22 105856]
R2 Tmesrv;Tmesrv3;c:\programme\TOSHIBA\TME3\TMESRV31.exe [08.06.2007 15:11 118784]
R2 trudf;TOSHIBA DVD-RAM UDF File System Driver;c:\windows\system32\drivers\trudf.sys [19.02.2007 12:15 134016]
R3 AVMDSLPPPOE;AVM DSL PPPoE CAPI Treiber;c:\windows\system32\drivers\avmdsloe.sys [12.09.2006 02:07 45952]
R3 AVMNDSL;AVM DSL NDIS WAN CAPI Treiber;c:\windows\system32\drivers\avmndsl.sys [12.09.2006 02:07 39440]
R3 IFXTPM;IFXTPM;c:\windows\system32\drivers\ifxtpm.sys [08.06.2007 15:22 35968]
R3 seehcri;Sony Ericsson seehcri Device Driver;c:\windows\system32\drivers\seehcri.sys [06.10.2009 21:25 27632]
R3 TEchoCan;Toshiba Audio Effect;c:\windows\system32\drivers\TEchoCan.sys [08.06.2007 15:13 435072]
S2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programme\Lavasoft\Ad-Aware\AAWService.exe [12.08.2010 14:15 1355928]
S2 OMSI download service;Sony Ericsson OMSI download service;c:\programme\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe [11.12.2009 18:06 90112]
S3 dsltestSp5;dsltestSp5 NDIS Protocol Driver;c:\windows\system32\drivers\DslTestSp5.sys [15.09.2008 19:48 26816]
S3 FDLUBASE;AVM FRITZ!Card DSL SL USB (WinXP/2000);c:\windows\system32\drivers\fdlubase.sys [12.09.2006 02:07 704128]
S3 SwitchBoard;SwitchBoard;c:\programme\Gemeinsame Dateien\Adobe\SwitchBoard\SwitchBoard.exe [19.02.2010 13:37 517096]
S3 TSMPacket;DSL-Manager Service;c:\windows\system32\DRIVERS\tsmpkt.sys --> c:\windows\system32\DRIVERS\tsmpkt.sys [?]
S4 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [17.01.2010 23:20 135664]
S4 McComponentHostService;McAfee Security Scan Component Host Service;c:\programme\McAfee Security Scan\2.0.181\McCHSvc.exe [15.01.2010 14:49 227232]
--- Andere Dienste/Treiber im Speicher ---
*Deregistered* - Lavasoft Kernexplorer
*Deregistered* - uphcleanhlp
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
Akamai REG_MULTI_SZ Akamai
.
Inhalt des "geplante Tasks" Ordners
2010-09-11 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2010-08-12 18:06]
2010-09-12 c:\windows\Tasks\AdobeAAMUpdater-1.0-TOSHIBA1-time traveler.job
- c:\programme\Gemeinsame Dateien\Adobe\OOBE\PDApp\UWA\updaterstartuputility.exe [2010-09-08 01:44]
2010-09-13 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-01-17 21:20]
2010-09-13 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-01-17 21:20]
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Settings,ProxyOverride = *.local
IE: &Citavi Picker... - file://c:\programme\Internet Explorer\PLUGINS\Citavi Picker\ShowContextMenu.html
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Web-Recherche: Bild speichern - c:\progra~1\WEB-RE~1\wrshell.dll/#101
IE: Web-Recherche: Bild speichern unter... - c:\progra~1\WEB-RE~1\wrshell.dll/#108
IE: Web-Recherche: Link-Adresse speichern unter... - c:\progra~1\WEB-RE~1\wrshell.dll/#110
IE: Web-Recherche: Markierte Ziele speichern unter... - c:\progra~1\WEB-RE~1\wrshell.dll/#111
IE: Web-Recherche: Markierung speichern - c:\progra~1\WEB-RE~1\wrshell.dll/#104
IE: Web-Recherche: Markierung speichern unter... - c:\progra~1\WEB-RE~1\wrshell.dll/#109
IE: Web-Recherche: Seitenbereich (Frame) speichern - c:\progra~1\WEB-RE~1\wrshell.dll/#102
IE: Web-Recherche: Seitenbereich (Frame) speichern unter... - c:\progra~1\WEB-RE~1\wrshell.dll/#106
IE: Web-Recherche: Ziel speichern - c:\progra~1\WEB-RE~1\wrshell.dll/#103
IE: Web-Recherche: Ziel speichern unter... - c:\progra~1\WEB-RE~1\wrshell.dll/#107
FF - ProfilePath - c:\dokumente und einstellungen\time traveler\Anwendungsdaten\Mozilla\Firefox\Profiles\5tqyu4dh.default\
FF - prefs.js: browser.search.defaulturl -
FF - prefs.js: browser.search.selectedEngine -
FF - prefs.js: browser.startup.homepage - www.google.de
FF - component: c:\dokumente und einstellungen\time traveler\Anwendungsdaten\Mozilla\Firefox\Profiles\5tqyu4dh.default\extensions\webresearch@macropool.com\components\nsWebResearch.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nppl3260.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprjplug.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprpjplug.dll
FF - plugin: c:\programme\DivX\DivX Plus Web Player\npdivx32.dll
FF - plugin: c:\programme\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\programme\Google\Update\1.2.183.23\npGoogleOneClick8.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-09-13 20:11
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Akamai]
"ServiceDll"="C:/Programme/Gemeinsame Dateien/Akamai/rswin_3746.dll"
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Akamai]
"ServiceDll"="C:/Programme/Gemeinsame Dateien/Akamai/rswin_3746.dll"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_USERS\S-1-5-21-1737362206-2507374106-1611427970-1008\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:22,9a,2d,ca,97,46,61,79,0b,a7,a4,bc,86,da,9d,c7,c7,12,f6,51,a5,8d,18,
8d,7f,80,f8,7e,a0,bc,8b,55,32,46,4f,75,cf,20,14,28,5a,6b,a2,fd,b1,fd,a5,71,\
"??"=hex:5e,ae,8b,39,4d,e9,fe,b6,93,1f,88,d5,46,17,a5,ae
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'winlogon.exe'(1292)
c:\windows\system32\vrlogon.dll
c:\windows\system32\psqlpwd.dll
c:\programme\Protector Suite QL\infra.dll
c:\programme\Protector Suite QL\homefus2.dll
c:\windows\system32\biologon.dll
c:\programme\Protector Suite QL\homepass.dll
c:\programme\Protector Suite QL\bio.dll
c:\programme\Protector Suite QL\remote.dll
c:\programme\Protector Suite QL\crypto.dll
c:\programme\Protector Suite QL\biokmd.dll
c:\programme\Protector Suite QL\mysafe.dll
- - - - - - - > 'lsass.exe'(1348)
c:\windows\system32\psqlpwd.dll
c:\programme\Protector Suite QL\infra.dll
c:\programme\Protector Suite QL\homefus2.dll
.
Zeit der Fertigstellung: 2010-09-13 20:13:18
ComboFix-quarantined-files.txt 2010-09-13 18:13
Vor Suchlauf: 20 Verzeichnis(se), 108.981.932.032 Bytes frei
Nach Suchlauf: 22 Verzeichnis(se), 108.985.135.104 Bytes frei
- - End Of File - - DAF3A551690180CA81956349CB4C01EC
Code:
ATTFilter ComboFix 10-09-12.04 - time traveler 13.09.2010 20:36:36.2.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.2039.1437 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\time traveler\Desktop\cofi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}
.
((((((((((((((((((((((( Dateien erstellt von 2010-08-13 bis 2010-09-13 ))))))))))))))))))))))))))))))
.
2010-09-11 17:47 . 2010-09-11 17:47 -------- dc-h--w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{ECC164E0-3133-4C70-A831-F08DB2940F70}
2010-09-11 17:47 . 2010-08-12 12:16 2979848 -c--a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{ECC164E0-3133-4C70-A831-F08DB2940F70}\Ad-AwareInstall.exe
2010-09-11 15:41 . 2010-09-11 15:41 -------- d-----w- c:\dokumente und einstellungen\time traveler\Lokale Einstellungen\Anwendungsdaten\Sunbelt Software
2010-09-09 20:15 . 2010-09-09 20:15 -------- d-----w- c:\dokumente und einstellungen\time traveler\Anwendungsdaten\Malwarebytes
2010-09-09 20:14 . 2010-04-29 10:19 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-09-09 20:14 . 2010-09-09 20:14 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-09-09 20:14 . 2010-09-09 20:14 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-09-09 20:14 . 2010-04-29 10:19 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-09-09 19:06 . 2010-09-09 19:06 -------- d-----w- C:\_OTL
2010-09-09 16:49 . 2010-09-13 17:26 -------- d-----w- c:\programme\CCleaner
2010-09-09 16:45 . 2010-09-09 16:45 -------- d-----w- C:\adobeTemp
2010-09-08 20:36 . 2010-09-08 20:52 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\regid.1986-12.com.adobe
2010-09-06 17:30 . 2010-09-06 17:30 144696 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\RunAsUser\RUNASUSERPROCESS.exe
2010-09-01 21:28 . 2010-09-13 18:34 -------- d-----w- c:\programme\Gemeinsame Dateien\Akamai
2010-08-15 14:02 . 2010-08-15 14:02 -------- d-----w- c:\programme\Windows Media Connect 2
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-12 09:32 . 2008-10-14 19:47 -------- d-----w- c:\programme\phase5
2010-09-12 06:52 . 2009-01-08 22:16 1 ----a-w- c:\dokumente und einstellungen\time traveler\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-09-11 15:09 . 2010-08-08 09:55 456200 ----a-w- c:\dokumente und einstellungen\time traveler\Anwendungsdaten\Real\Update\setup3.12\setup.exe
2010-09-09 16:45 . 2007-06-08 13:30 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe
2010-09-09 15:44 . 2008-03-28 16:56 85456 ----a-w- c:\dokumente und einstellungen\time traveler\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-09-08 20:39 . 2007-06-08 13:25 85456 ----a-w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-09-07 20:29 . 2008-03-29 18:36 -------- d-----w- c:\programme\Mozilla Thunderbird
2010-09-07 20:20 . 2009-11-23 21:39 -------- d-----w- c:\dokumente und einstellungen\time traveler\Anwendungsdaten\Skype
2010-09-06 17:30 . 2010-07-03 17:14 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX
2010-08-25 19:56 . 2008-03-29 18:40 -------- d-----w- c:\dokumente und einstellungen\time traveler\Anwendungsdaten\Thunderbird
2010-08-17 19:53 . 2010-06-19 21:03 -------- d-----w- c:\programme\Free FLV Converter
2010-08-17 19:49 . 2010-03-22 22:47 -------- d-----w- c:\dokumente und einstellungen\time traveler\Anwendungsdaten\FreeFLVConverter
2010-08-12 19:01 . 2007-06-08 12:48 -------- d-----w- c:\programme\Apoint2K
2010-08-12 18:49 . 2010-08-12 18:49 0 ---ha-w- c:\windows\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf
2010-08-12 18:49 . 2010-08-12 18:49 0 ---ha-w- c:\windows\system32\drivers\Msft_Kernel_Apfiltr_01005.Wdf
2010-08-12 17:46 . 2007-06-08 11:34 516788 ----a-w- c:\windows\system32\perfh007.dat
2010-08-12 17:46 . 2007-06-08 11:34 108670 ----a-w- c:\windows\system32\perfc007.dat
2010-08-12 12:15 . 2010-03-24 17:54 64288 ----a-w- c:\windows\system32\drivers\Lbd.sys
2010-08-11 21:50 . 2010-03-22 22:47 307200 ----a-w- c:\windows\system32\TubeFinder.exe
2010-08-06 20:37 . 2010-08-05 19:03 -------- d-----w- c:\dokumente und einstellungen\time traveler\Anwendungsdaten\Web-Recherche
2010-08-05 19:05 . 2010-08-05 19:03 -------- d-----w- c:\programme\Web-Recherche
2010-07-28 20:11 . 2010-02-25 21:35 -------- d-----w- c:\programme\DVDVideoSoft
2010-07-09 14:17 . 2010-07-03 17:23 57344 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\RunAsUser\RUNASUSERPROCESS.dll
2010-07-09 14:08 . 2010-07-09 14:08 57715 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\Player\Uninstaller.exe
2010-07-09 14:08 . 2010-07-09 14:08 56765 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\DivXPlusShortcuts\Uninstaller.exe
2010-07-09 14:08 . 2010-07-09 14:08 84054 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\TransferWizard\Uninstaller.exe
2010-07-09 14:08 . 2010-07-09 14:08 54153 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\DFXPlugin\Uninstaller.exe
2010-07-09 14:05 . 2010-07-03 17:22 1062184 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\Setup\Resource.dll
2010-07-09 14:05 . 2010-07-03 17:22 895256 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\Setup\DivXSetup.exe
2010-07-03 17:22 . 2010-07-03 17:22 56997 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\WebPlayer\Uninstaller.exe
2010-07-03 17:22 . 2010-07-03 17:22 53600 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\Update\Uninstaller.exe
2010-07-03 17:22 . 2010-07-03 17:22 57054 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\DSDesktopComponents\Uninstaller.exe
2010-07-03 17:22 . 2010-07-03 17:22 54166 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\DSAVCDecoder\Uninstaller.exe
2010-07-03 17:22 . 2010-07-03 17:22 57532 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\DSASPDecoder\Uninstaller.exe
2010-07-03 17:22 . 2010-07-03 17:22 56458 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\DivXDecoderShortcut\Uninstaller.exe
2010-07-03 17:22 . 2010-07-03 17:22 54174 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\DSAACDecoder\Uninstaller.exe
2010-07-03 17:22 . 2010-07-03 17:22 54128 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\Converter\Uninstaller.exe
2010-07-03 17:22 . 2010-07-03 17:22 54644 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\TranscodeEngine\Uninstaller.exe
2010-07-03 17:21 . 2010-07-03 17:21 57409 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\ControlPanel\Uninstaller.exe
2010-07-03 17:21 . 2010-07-03 17:21 54101 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\MPEG2Plugin\Uninstaller.exe
2010-07-03 17:21 . 2010-07-03 17:21 52963 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\MSVC80CRTRedist\Uninstaller.exe
2010-07-03 17:21 . 2010-07-03 17:21 54073 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\Qt4.5\Uninstaller.exe
2010-07-03 17:21 . 2010-07-03 17:21 56969 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\ASPEncoder\Uninstaller.exe
2010-06-30 12:28 . 2007-06-08 11:34 149504 ----a-w- c:\windows\system32\schannel.dll
2010-06-24 12:22 . 2007-06-08 11:34 916480 ----a-w- c:\windows\system32\wininet.dll
2010-06-24 09:02 . 2007-06-08 11:34 1852032 ----a-w- c:\windows\system32\win32k.sys
2010-06-21 15:27 . 2007-06-08 11:34 354304 ----a-w- c:\windows\system32\drivers\srv.sys
2010-06-19 16:57 . 2010-03-24 19:21 15880 ----a-w- c:\windows\system32\lsdelete.exe
2010-06-17 20:58 . 2010-04-12 16:30 1824 ----a-w- c:\windows\pchealth\helpctr\Config\incstore.bin
2010-06-17 14:03 . 2007-06-08 11:34 80384 ----a-w- c:\windows\system32\iccvid.dll
.
((((((((((((((((((((((((((((( SnapShot@2010-09-13_18.11.23 )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-09-13 18:33 . 2010-09-13 18:33 16384 c:\windows\Temp\Perflib_Perfdata_9f8.dat
+ 2010-09-13 18:33 . 2010-09-13 18:33 16384 c:\windows\Temp\Perflib_Perfdata_968.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TOSCDSPD"="c:\programme\TOSHIBA\TOSCDSPD\toscdspd.exe" [2005-04-12 65536]
"Sony Ericsson PC Suite"="c:\programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" [2009-09-24 434176]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ThpSrv"="c:\windows\system32\thpsrv" [X]
"RTHDCPL"="RTHDCPL.EXE" [2007-03-13 16125440]
"00THotkey"="c:\windows\system32\00THotkey.exe" [2006-08-11 253952]
"000StTHK"="000StTHK.exe" [2001-06-23 24576]
"Apoint"="c:\programme\Apoint2K\Apoint.exe" [2007-12-15 184320]
"SmoothView"="c:\programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe" [2007-05-11 143360]
"TPSODDCtl"="TPSODDCtl.exe" [2007-04-20 102400]
"TPSMain"="TPSMain.exe" [2007-04-20 299008]
"TMERzCtl.EXE"="c:\programme\TOSHIBA\TME3\TMERzCtl.EXE" [2006-09-01 90112]
"TMESRV.EXE"="c:\programme\TOSHIBA\TME3\TMESRV31.EXE" [2006-01-19 118784]
"TOSDCR"="TOSDCR.EXE" [2005-12-12 57344]
"TosHKCW.exe"="c:\programme\TOSHIBA\Wireless Hotkey\TosHKCW.exe" [2005-05-17 49152]
"TAudEffect"="c:\programme\TOSHIBA\TAudEffect\TAudEff.exe" [2006-08-09 344144]
"TFncKy"="TFncKy.exe" [BU]
"DDWMon"="c:\programme\TOSHIBA\TOSHIBA Direct Disc Writer\\ddwmon.exe" [2007-04-26 495616]
"PSQLLauncher"="c:\programme\Protector Suite QL\launcher.exe" [2006-05-05 30208]
"topi"="c:\programme\TOSHIBA\Toshiba Online Product Information\topi.exe" [2007-04-02 577536]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-04-09 138008]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-04-09 162584]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-04-09 138008]
"TFNF5"="TFNF5.exe" [2006-04-11 622592]
"DpUtil"="c:\programme\TOSHIBA\DualPointUtility\TEDTray.exe" [2005-08-08 155648]
"snpstd3"="c:\windows\vsnpstd3.exe" [2006-09-19 827392]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-06-18 185896]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792]
"AdobeAAMUpdater-1.0"="c:\programme\Gemeinsame Dateien\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe" [2010-03-06 500208]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\psfus]
2006-05-05 15:48 40448 ----a-w- c:\windows\system32\psqlpwd.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\TosBtNP]
2006-07-22 02:54 65536 ----a-w- c:\windows\system32\TosBtNP.dll
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Notification Packages REG_MULTI_SZ scecli psqlpwd
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^McAfee Security Scan Plus.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\McAfee Security Scan Plus.lnk
backup=c:\windows\pss\McAfee Security Scan Plus.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2008-10-14 23:04 39792 ----a-w- c:\programme\Adobe\Reader 8.0\Reader\reader_sl.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DivXUpdate]
2010-06-03 00:50 1144104 ----a-w- c:\programme\DivX\DivX Update\DivXUpdate.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PDFPrint]
2010-03-11 08:02 208528 ----a-w- c:\programme\pdf24\pdf24.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2008-05-27 08:50 413696 ----a-w- c:\programme\QuickTime\QTTask.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
2008-06-18 19:55 185896 ----a-w- c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"Macromedia Licensing Service"=3 (0x3)
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Programme\\WS_FTP\\WS_FTP95.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Real\\RealPlayer\\realplay.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:*:Disabled:@xpsp2res.dll,-22009
"1033:TCP"= 1033:TCP:Akamai NetSession Interface
"5000:UDP"= 5000:UDP:Akamai NetSession Interface
R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [24.03.2010 19:54 64288]
R0 Thpdrv;TOSHIBA HDD Protection Driver;c:\windows\system32\drivers\thpdrv.sys [27.04.2007 10:19 21120]
R0 Thpevm;TOSHIBA HDD Protection - Shock Sensor Driver;c:\windows\system32\drivers\Thpevm.sys [09.03.2007 15:23 6528]
R1 TMEI3E;TMEI3E;c:\windows\system32\drivers\TMEI3E.sys [08.06.2007 15:11 5888]
R2 Akamai;Akamai NetSession Interface;c:\windows\System32\svchost.exe -k Akamai [08.06.2007 13:34 14336]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [21.03.2010 14:27 135336]
R2 FdRedir;FdRedir;c:\programme\Gemeinsame Dateien\Protector Suite QL\Drivers\FdRedir.sys [05.05.2006 18:00 13568]
R2 FileDisk2;FileDisk Protector Kernel Driver;c:\programme\Gemeinsame Dateien\Protector Suite QL\Drivers\filedisk.sys [05.05.2006 17:59 33024]
R2 smihlp;SMI helper driver;c:\programme\Protector Suite QL\smihlp.sys [05.05.2006 17:33 3456]
R2 tdudf;TOSHIBA UDF File System Driver;c:\windows\system32\drivers\tdudf.sys [26.03.2007 12:22 105856]
R2 Tmesrv;Tmesrv3;c:\programme\TOSHIBA\TME3\TMESRV31.exe [08.06.2007 15:11 118784]
R2 trudf;TOSHIBA DVD-RAM UDF File System Driver;c:\windows\system32\drivers\trudf.sys [19.02.2007 12:15 134016]
R3 AVMDSLPPPOE;AVM DSL PPPoE CAPI Treiber;c:\windows\system32\drivers\avmdsloe.sys [12.09.2006 02:07 45952]
R3 AVMNDSL;AVM DSL NDIS WAN CAPI Treiber;c:\windows\system32\drivers\avmndsl.sys [12.09.2006 02:07 39440]
R3 IFXTPM;IFXTPM;c:\windows\system32\drivers\ifxtpm.sys [08.06.2007 15:22 35968]
R3 seehcri;Sony Ericsson seehcri Device Driver;c:\windows\system32\drivers\seehcri.sys [06.10.2009 21:25 27632]
R3 TEchoCan;Toshiba Audio Effect;c:\windows\system32\drivers\TEchoCan.sys [08.06.2007 15:13 435072]
S2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programme\Lavasoft\Ad-Aware\AAWService.exe [12.08.2010 14:15 1355928]
S2 OMSI download service;Sony Ericsson OMSI download service;c:\programme\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe [11.12.2009 18:06 90112]
S3 dsltestSp5;dsltestSp5 NDIS Protocol Driver;c:\windows\system32\drivers\DslTestSp5.sys [15.09.2008 19:48 26816]
S3 FDLUBASE;AVM FRITZ!Card DSL SL USB (WinXP/2000);c:\windows\system32\drivers\fdlubase.sys [12.09.2006 02:07 704128]
S3 SwitchBoard;SwitchBoard;c:\programme\Gemeinsame Dateien\Adobe\SwitchBoard\SwitchBoard.exe [19.02.2010 13:37 517096]
S3 TSMPacket;DSL-Manager Service;c:\windows\system32\DRIVERS\tsmpkt.sys --> c:\windows\system32\DRIVERS\tsmpkt.sys [?]
S4 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [17.01.2010 23:20 135664]
S4 McComponentHostService;McAfee Security Scan Component Host Service;c:\programme\McAfee Security Scan\2.0.181\McCHSvc.exe [15.01.2010 14:49 227232]
--- Andere Dienste/Treiber im Speicher ---
*Deregistered* - uphcleanhlp
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
Akamai REG_MULTI_SZ Akamai
.
Inhalt des "geplante Tasks" Ordners
2010-09-11 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2010-08-12 18:06]
2010-09-12 c:\windows\Tasks\AdobeAAMUpdater-1.0-TOSHIBA1-time traveler.job
- c:\programme\Gemeinsame Dateien\Adobe\OOBE\PDApp\UWA\updaterstartuputility.exe [2010-09-08 01:44]
2010-09-13 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-01-17 21:20]
2010-09-13 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-01-17 21:20]
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Settings,ProxyOverride = *.local
IE: &Citavi Picker... - file://c:\programme\Internet Explorer\PLUGINS\Citavi Picker\ShowContextMenu.html
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Web-Recherche: Bild speichern - c:\progra~1\WEB-RE~1\wrshell.dll/#101
IE: Web-Recherche: Bild speichern unter... - c:\progra~1\WEB-RE~1\wrshell.dll/#108
IE: Web-Recherche: Link-Adresse speichern unter... - c:\progra~1\WEB-RE~1\wrshell.dll/#110
IE: Web-Recherche: Markierte Ziele speichern unter... - c:\progra~1\WEB-RE~1\wrshell.dll/#111
IE: Web-Recherche: Markierung speichern - c:\progra~1\WEB-RE~1\wrshell.dll/#104
IE: Web-Recherche: Markierung speichern unter... - c:\progra~1\WEB-RE~1\wrshell.dll/#109
IE: Web-Recherche: Seitenbereich (Frame) speichern - c:\progra~1\WEB-RE~1\wrshell.dll/#102
IE: Web-Recherche: Seitenbereich (Frame) speichern unter... - c:\progra~1\WEB-RE~1\wrshell.dll/#106
IE: Web-Recherche: Ziel speichern - c:\progra~1\WEB-RE~1\wrshell.dll/#103
IE: Web-Recherche: Ziel speichern unter... - c:\progra~1\WEB-RE~1\wrshell.dll/#107
FF - ProfilePath - c:\dokumente und einstellungen\time traveler\Anwendungsdaten\Mozilla\Firefox\Profiles\5tqyu4dh.default\
FF - prefs.js: browser.search.defaulturl -
FF - prefs.js: browser.search.selectedEngine -
FF - prefs.js: browser.startup.homepage - www.google.de
FF - component: c:\dokumente und einstellungen\time traveler\Anwendungsdaten\Mozilla\Firefox\Profiles\5tqyu4dh.default\extensions\webresearch@macropool.com\components\nsWebResearch.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nppl3260.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprjplug.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprpjplug.dll
FF - plugin: c:\programme\DivX\DivX Plus Web Player\npdivx32.dll
FF - plugin: c:\programme\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\programme\Google\Update\1.2.183.23\npGoogleOneClick8.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-09-13 20:43
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Akamai]
"ServiceDll"="C:/Programme/Gemeinsame Dateien/Akamai/rswin_3746.dll"
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Akamai]
"ServiceDll"="C:/Programme/Gemeinsame Dateien/Akamai/rswin_3746.dll"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_USERS\S-1-5-21-1737362206-2507374106-1611427970-1008\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:22,9a,2d,ca,97,46,61,79,0b,a7,a4,bc,86,da,9d,c7,c7,12,f6,51,a5,8d,18,
8d,7f,80,f8,7e,a0,bc,8b,55,32,46,4f,75,cf,20,14,28,5a,6b,a2,fd,b1,fd,a5,71,\
"??"=hex:5e,ae,8b,39,4d,e9,fe,b6,93,1f,88,d5,46,17,a5,ae
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'winlogon.exe'(1284)
c:\windows\system32\vrlogon.dll
c:\windows\system32\psqlpwd.dll
c:\programme\Protector Suite QL\infra.dll
c:\programme\Protector Suite QL\homefus2.dll
c:\windows\system32\biologon.dll
c:\programme\Protector Suite QL\homepass.dll
c:\programme\Protector Suite QL\bio.dll
c:\programme\Protector Suite QL\remote.dll
c:\programme\Protector Suite QL\crypto.dll
c:\programme\Protector Suite QL\biokmd.dll
c:\programme\Protector Suite QL\mysafe.dll
- - - - - - - > 'lsass.exe'(1352)
c:\windows\system32\psqlpwd.dll
c:\programme\Protector Suite QL\infra.dll
c:\programme\Protector Suite QL\homefus2.dll
- - - - - - - > 'explorer.exe'(3940)
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
c:\windows\system32\TPwrCfg.DLL
c:\windows\system32\TPwrReg.dll
c:\windows\system32\TPSTrace.DLL
.
Zeit der Fertigstellung: 2010-09-13 20:44:43
ComboFix-quarantined-files.txt 2010-09-13 18:44
ComboFix2.txt 2010-09-13 18:13
Vor Suchlauf: 21 Verzeichnis(se), 106.837.626.880 Bytes frei
Nach Suchlauf: 22 Verzeichnis(se), 106.824.560.640 Bytes frei
- - End Of File - - 75621D830B9245F9C6B1DCEC357CF8AA
MERCI! Gruß, sanne |
|
| Themen zu Win32.Backdoor.Papras/A |
| antivir, avira, awareness, c:\windows\system32\services.exe, cpu, desktop, dubioses, ebanking, einstellungen, festplatte, firefox, firefox.exe, google, home, jusched.exe, launch, logfile, m.exe, mozilla, neustart, oldtimer, papras, photoshop, required, scan, sched.exe, security, security scan, services.exe, software, svchost.exe, system, system 32, trojaner, updates, windows xp, wuauclt.exe |
Hybrid-Darstellung
