| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Win32.Backdoor.Papras/AWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
09.09.2010, 20:49
| #1 |
 |  Win32.Backdoor.Papras/A Hallo, die Google Suche hat mich hierher geführt und ich habe bereits die Threads zu dem o.g. Trojaner gelesen. Da ich zuvor selbst aktiv war, weiß ich nicht, wie ich prüfend weiter machen sollte. Hatte zuvor mit Trendmicro Housecall gearbeitet und dann schon OTL ausgeführt; scheinbar hatte Trendmicro den Papras nicht entfernt. Gestern abend habe ich mir auf der Adobe-Site eine Testversion von Photoshop geladen und genau zu diesem Zeitpunkt ist die Datei igfxipv6.dll im Windows-Ordner System 32 erstellt worden. Weder die WinFirewall, noch Antivir oder AdAware haben gestern etwas angezeigt. Erst heute beim OnlineBanking erschien ein mir sehr dubioses TAN-AbfrageFeld, das sich zudem austricksen lies. Danach meldete AdAware den Win32.Backdoor.Papras/A. Gut, dass meine Bank nicht mehr mit TANs arbeitet. Die Meldung von AdAware: Code:
ATTFilter Logfile created: 09.09.2010 17:48:27
Ad-Aware version: 8.2.6
User performing scan: time traveler
*********************** Definitions database information ***********************
Lavasoft definition file: 149.391
Genotype definition file version: 2010/08/31 14:13:17
******************************** Scan results: *********************************
Scan profile name: Intelligenter Scan (ID: smart)
Objects scanned: 103049
Objects detected: 1
Type Detected
==========================
Processes.......: 1
Registry entries: 0
Hostfile entries: 0
Files...........: 0
Folders.........: 0
LSPs............: 0
Cookies.........: 0
Browser hijacks.: 0
MRU objects.....: 0
Quarantined items:
Description: c:\windows\system32\igfxipv6.dll Family Name: Win32.Backdoor.Papras/A Engine: 1 Clean status: Reboot required Item ID: 0 Family ID: 0
Scan and cleaning complete: Finished correctly after 784 seconds
*********************************** Settings ***********************************
Scan profile:
ID: smart, enabled:1, value: Intelligenter Scan
ID: folderstoscan, enabled:1, value:
ID: useantivirus, enabled:1, value: true
ID: sections, enabled:1
ID: scancriticalareas, enabled:1, value: true
ID: scanrunningapps, enabled:1, value: true
ID: scanregistry, enabled:1, value: true
ID: scanlsp, enabled:1, value: true
ID: scanads, enabled:1, value: false
ID: scanhostsfile, enabled:1, value: false
ID: scanmru, enabled:1, value: false
ID: scanbrowserhijacks, enabled:1, value: true
ID: scantrackingcookies, enabled:1, value: true
ID: closebrowsers, enabled:1, value: false
ID: filescanningoptions, enabled:1
ID: archives, enabled:1, value: false
ID: onlyexecutables, enabled:1, value: true
ID: skiplargerthan, enabled:1, value: 20480
ID: scanrootkits, enabled:1, value: true
ID: rootkitlevel, enabled:1, value: mild, domain: medium,mild,strict
ID: usespywareheuristics, enabled:1, value: true
Scan global:
ID: global, enabled:1
ID: addtocontextmenu, enabled:1, value: true
ID: playsoundoninfection, enabled:1, value: false
ID: soundfile, enabled:0, value: *to be filled in automatically*\alert.wav
Scheduled scan settings:
<Empty>
Update settings:
ID: updates, enabled:1
ID: launchthreatworksafterscan, enabled:1, value: off, domain: normal,off,silently
ID: deffiles, enabled:1, value: downloadandinstall, domain: dontcheck,downloadandinstall
ID: licenseandinfo, enabled:1, value: downloadandinstall, domain: dontcheck,downloadandinstall
ID: schedules, enabled:1, value: true
ID: updatedaily1, enabled:1, value: Daily 1
ID: time, enabled:1, value: Wed Mar 24 18:54:00 2010
ID: frequency, enabled:1, value: daily, domain: daily,monthly,once,systemstart,weekly
ID: weekdays, enabled:1
ID: monday, enabled:1, value: false
ID: tuesday, enabled:1, value: false
ID: wednesday, enabled:1, value: false
ID: thursday, enabled:1, value: false
ID: friday, enabled:1, value: false
ID: saturday, enabled:1, value: false
ID: sunday, enabled:1, value: false
ID: monthly, enabled:1, value: 1, minvalue: 1, maxvalue: 31
ID: scanprofile, enabled:1, value:
ID: auto_deal_with_infections, enabled:1, value: false
ID: updatedaily2, enabled:1, value: Daily 2
ID: time, enabled:1, value: Wed Mar 24 00:54:00 2010
ID: frequency, enabled:1, value: daily, domain: daily,monthly,once,systemstart,weekly
ID: weekdays, enabled:1
ID: monday, enabled:1, value: false
ID: tuesday, enabled:1, value: false
ID: wednesday, enabled:1, value: false
ID: thursday, enabled:1, value: false
ID: friday, enabled:1, value: false
ID: saturday, enabled:1, value: false
ID: sunday, enabled:1, value: false
ID: monthly, enabled:1, value: 1, minvalue: 1, maxvalue: 31
ID: scanprofile, enabled:1, value:
ID: auto_deal_with_infections, enabled:1, value: false
ID: updatedaily3, enabled:1, value: Daily 3
ID: time, enabled:1, value: Wed Mar 24 06:54:00 2010
ID: frequency, enabled:1, value: daily, domain: daily,monthly,once,systemstart,weekly
ID: weekdays, enabled:1
ID: monday, enabled:1, value: false
ID: tuesday, enabled:1, value: false
ID: wednesday, enabled:1, value: false
ID: thursday, enabled:1, value: false
ID: friday, enabled:1, value: false
ID: saturday, enabled:1, value: false
ID: sunday, enabled:1, value: false
ID: monthly, enabled:1, value: 1, minvalue: 1, maxvalue: 31
ID: scanprofile, enabled:1, value:
ID: auto_deal_with_infections, enabled:1, value: false
ID: updatedaily4, enabled:1, value: Daily 4
ID: time, enabled:1, value: Wed Mar 24 12:54:00 2010
ID: frequency, enabled:1, value: daily, domain: daily,monthly,once,systemstart,weekly
ID: weekdays, enabled:1
ID: monday, enabled:1, value: false
ID: tuesday, enabled:1, value: false
ID: wednesday, enabled:1, value: false
ID: thursday, enabled:1, value: false
ID: friday, enabled:1, value: false
ID: saturday, enabled:1, value: false
ID: sunday, enabled:1, value: false
ID: monthly, enabled:1, value: 1, minvalue: 1, maxvalue: 31
ID: scanprofile, enabled:1, value:
ID: auto_deal_with_infections, enabled:1, value: false
ID: updateweekly1, enabled:1, value: Weekly
ID: time, enabled:1, value: Wed Mar 24 18:54:00 2010
ID: frequency, enabled:1, value: weekly, domain: daily,monthly,once,systemstart,weekly
ID: weekdays, enabled:1
ID: monday, enabled:1, value: false
ID: tuesday, enabled:1, value: false
ID: wednesday, enabled:1, value: true
ID: thursday, enabled:1, value: false
ID: friday, enabled:1, value: false
ID: saturday, enabled:1, value: true
ID: sunday, enabled:1, value: false
ID: monthly, enabled:1, value: 1, minvalue: 1, maxvalue: 31
ID: scanprofile, enabled:1, value:
ID: auto_deal_with_infections, enabled:1, value: false
Appearance settings:
ID: appearance, enabled:1
ID: skin, enabled:1, value: default.egl, reglocation: HKEY_LOCAL_MACHINE\SOFTWARE\Lavasoft\Ad-Aware\Resource
ID: showtrayicon, enabled:1, value: true
ID: autoentertainmentmode, enabled:1, value: true
ID: guimode, enabled:1, value: mode_simple, domain: mode_advanced,mode_simple
ID: language, enabled:1, value: de, reglocation: HKEY_LOCAL_MACHINE\SOFTWARE\Lavasoft\Ad-Aware\Language
Realtime protection settings:
ID: realtime, enabled:1
ID: infomessages, enabled:1, value: onlyimportant, domain: display,dontnotify,onlyimportant
ID: layers, enabled:1
ID: useantivirus, enabled:1, value: true
ID: usespywareheuristics, enabled:1, value: true
ID: modules, enabled:1
ID: processprotection, enabled:1, value: true
ID: onaccessprotection, enabled:1, value: true
ID: registryprotection, enabled:1, value: true
ID: networkprotection, enabled:1, value: true
****************************** System information ******************************
Computer name: TOSHIBA1
Processor name: Intel(R) Core(TM)2 Duo CPU T5470 @ 1.60GHz
Processor identifier: x86 Family 6 Model 15 Stepping 13
Processor speed: ~1596MHZ
Raw info: processorarchitecture 0, processortype 586, processorlevel 6, processor revision 3853, number of processors 2, processor features: [MMX,SSE,SSE2]
Physical memory available: 1454063616 bytes
Physical memory total: 2137747456 bytes
Virtual memory available: 2004922368 bytes
Virtual memory total: 2147352576 bytes
Memory load: 31%
Microsoft Windows XP Home Edition Service Pack 3 (build 2600)
Windows startup mode:
Running processes:
PID: 780 name: \SystemRoot\System32\smss.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1092 name: \??\C:\WINDOWS\system32\csrss.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1116 name: \??\C:\WINDOWS\system32\winlogon.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1160 name: C:\WINDOWS\system32\services.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1172 name: C:\WINDOWS\system32\lsass.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1380 name: C:\WINDOWS\system32\svchost.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1424 name: C:\WINDOWS\system32\svchost.exe owner: NETZWERKDIENST domain: NT-AUTORITÄT
PID: 1464 name: C:\WINDOWS\System32\svchost.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1608 name: C:\WINDOWS\system32\svchost.exe owner: NETZWERKDIENST domain: NT-AUTORITÄT
PID: 1824 name: C:\WINDOWS\system32\svchost.exe owner: LOKALER DIENST domain: NT-AUTORITÄT
PID: 1860 name: C:\Programme\Lavasoft\Ad-Aware\AAWService.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1956 name: C:\WINDOWS\system32\spoolsv.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 2004 name: C:\Programme\Avira\AntiVir Desktop\sched.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 2040 name: C:\WINDOWS\system32\svchost.exe owner: LOKALER DIENST domain: NT-AUTORITÄT
PID: 264 name: C:\WINDOWS\system32\agrsmsvc.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 288 name: C:\WINDOWS\System32\svchost.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 304 name: C:\Programme\Avira\AntiVir Desktop\avguard.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 324 name: C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 380 name: C:\Programme\Java\jre6\bin\jqs.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 652 name: C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 672 name: C:\WINDOWS\system32\HPZipm12.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 792 name: C:\WINDOWS\system32\svchost.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 924 name: C:\WINDOWS\system32\ThpSrv.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 936 name: C:\Programme\TOSHIBA\TME3\Tmesrv31.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1004 name: C:\WINDOWS\system32\TODDSrv.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1088 name: C:\Programme\UPHClean\uphclean.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1552 name: C:\Programme\Avira\AntiVir Desktop\avshadow.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1652 name: C:\WINDOWS\system32\wuauclt.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 2056 name: C:\WINDOWS\system32\wbem\wmiapsrv.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 2072 name: C:\WINDOWS\System32\alg.exe owner: LOKALER DIENST domain: NT-AUTORITÄT
PID: 2092 name: C:\WINDOWS\system32\wbem\unsecapp.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 2100 name: C:\WINDOWS\system32\wbem\wmiprvse.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 2580 name: C:\WINDOWS\system32\wscntfy.exe owner: time traveler domain: TOSHIBA1
PID: 2712 name: C:\Programme\Google\Update\GoogleUpdate.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 2792 name: C:\WINDOWS\Explorer.EXE owner: time traveler domain: TOSHIBA1
PID: 3036 name: C:\WINDOWS\RTHDCPL.EXE owner: time traveler domain: TOSHIBA1
PID: 3100 name: C:\WINDOWS\system32\00THotkey.exe owner: time traveler domain: TOSHIBA1
PID: 3160 name: C:\Programme\Apoint2K\Apoint.exe owner: time traveler domain: TOSHIBA1
PID: 3312 name: C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe owner: time traveler domain: TOSHIBA1
PID: 3468 name: C:\WINDOWS\system32\TPSBattM.exe owner: time traveler domain: TOSHIBA1
PID: 3476 name: C:\Programme\TOSHIBA\TME3\TMERzCtl.EXE owner: time traveler domain: TOSHIBA1
PID: 3512 name: C:\Programme\Apoint2K\HidFind.exe owner: time traveler domain: TOSHIBA1
PID: 3588 name: C:\Programme\Apoint2K\Apntex.exe owner: time traveler domain: TOSHIBA1
PID: 3692 name: C:\Programme\TOSHIBA\Wireless Hotkey\TosHKCW.exe owner: time traveler domain: TOSHIBA1
PID: 3808 name: C:\Programme\TOSHIBA\TAudEffect\TAudEff.exe owner: time traveler domain: TOSHIBA1
PID: 3860 name: C:\Programme\TOSHIBA\TME3\TMEEJME.EXE owner: time traveler domain: TOSHIBA1
PID: 3868 name: C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe owner: time traveler domain: TOSHIBA1
PID: 3896 name: C:\Programme\TOSHIBA\TOSHIBA Direct Disc Writer\ddwmon.exe owner: time traveler domain: TOSHIBA1
PID: 4004 name: C:\Programme\Protector Suite QL\psqltray.exe owner: time traveler domain: TOSHIBA1
PID: 364 name: C:\WINDOWS\system32\thpsrv.exe owner: time traveler domain: TOSHIBA1
PID: 764 name: C:\WINDOWS\system32\hkcmd.exe owner: time traveler domain: TOSHIBA1
PID: 1320 name: C:\WINDOWS\system32\igfxpers.exe owner: time traveler domain: TOSHIBA1
PID: 424 name: C:\WINDOWS\system32\TFNF5.exe owner: time traveler domain: TOSHIBA1
PID: 296 name: C:\WINDOWS\system32\igfxsrvc.exe owner: time traveler domain: TOSHIBA1
PID: 2516 name: C:\Programme\TOSHIBA\DualPointUtility\TEDTray.exe owner: time traveler domain: TOSHIBA1
PID: 2196 name: C:\WINDOWS\vsnpstd3.exe owner: time traveler domain: TOSHIBA1
PID: 2540 name: C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe owner: time traveler domain: TOSHIBA1
PID: 2556 name: C:\Programme\pdf24\pdf24.exe owner: time traveler domain: TOSHIBA1
PID: 2984 name: C:\Programme\Avira\AntiVir Desktop\avgnt.exe owner: time traveler domain: TOSHIBA1
PID: 2896 name: C:\WINDOWS\system32\igfxext.exe owner: time traveler domain: TOSHIBA1
PID: 2676 name: C:\Programme\DivX\DivX Update\DivXUpdate.exe owner: time traveler domain: TOSHIBA1
PID: 2388 name: C:\WINDOWS\system32\ctfmon.exe owner: time traveler domain: TOSHIBA1
PID: 3104 name: C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe owner: time traveler domain: TOSHIBA1
PID: 3084 name: C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE owner: time traveler domain: TOSHIBA1
PID: 3136 name: C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe owner: time traveler domain: TOSHIBA1
PID: 3684 name: C:\Programme\McAfee Security Scan\2.0.181\SSScheduler.exe owner: time traveler domain: TOSHIBA1
PID: 1224 name: C:\Programme\Mozilla Firefox\firefox.exe owner: time traveler domain: TOSHIBA1
PID: 1508 name: C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe owner: time traveler domain: TOSHIBA1
PID: 5748 name: C:\Programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe owner: time traveler domain: TOSHIBA1
Startup items:
Name: {438755C2-A8BA-11D1-B96B-00A0C90312E1}
imagepath: Browseui preloader
Name: {8C7461EF-2B13-11d2-BE35-3078302C2030}
imagepath: Component Categories cache daemon
Name: PostBootReminder
imagepath: {7849596a-48ea-486e-8937-a2a3009f31a9}
Name: CDBurn
imagepath: {fbeb8a05-beee-4442-804e-409d6c4515e9}
Name: WebCheck
imagepath: {E6FB5E20-DE35-11CF-9C87-00AA005127ED}
Name: SysTray
imagepath: {35CEC8A3-2BE6-11D2-8773-92E220524153}
Name: WPDShServiceObj
imagepath: {AAA288BA-9A4C-45B0-95D7-94D524869DB5}
Name: RTHDCPL
imagepath: RTHDCPL.EXE
Name: Alcmtr
imagepath: ALCMTR.EXE
Name: 00THotkey
imagepath: C:\WINDOWS\system32\00THotkey.exe
Name: 000StTHK
imagepath: 000StTHK.exe
Name: Apoint
imagepath: C:\Programme\Apoint2K\Apoint.exe
Name: SmoothView
imagepath: C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
Name: TPSODDCtl
imagepath: TPSODDCtl.exe
Name: TPSMain
imagepath: TPSMain.exe
Name: TMERzCtl.EXE
imagepath: C:\Programme\TOSHIBA\TME3\TMERzCtl.EXE /Service
Name: TMESRV.EXE
imagepath: C:\Programme\TOSHIBA\TME3\TMESRV31.EXE /Logon
Name: TOSDCR
imagepath: TOSDCR.EXE
Name: TosHKCW.exe
imagepath: "C:\Programme\TOSHIBA\Wireless Hotkey\TosHKCW.exe"
Name: TAudEffect
imagepath: C:\Programme\TOSHIBA\TAudEffect\TAudEff.exe /run
Name: TFncKy
imagepath: TFncKy.exe
Name: DDWMon
imagepath: C:\Programme\TOSHIBA\TOSHIBA Direct Disc Writer\\ddwmon.exe
Name: PSQLLauncher
imagepath: "C:\Programme\Protector Suite QL\launcher.exe" /startup
Name: topi
imagepath: C:\Programme\TOSHIBA\Toshiba Online Product Information\topi.exe -startup
Name: ThpSrv
imagepath: C:\WINDOWS\system32\thpsrv /logon
Name: IgfxTray
imagepath: C:\WINDOWS\system32\igfxtray.exe
Name: HotKeysCmds
imagepath: C:\WINDOWS\system32\hkcmd.exe
Name: Persistence
imagepath: C:\WINDOWS\system32\igfxpers.exe
Name: TFNF5
imagepath: TFNF5.exe
Name: DpUtil
imagepath: C:\Programme\TOSHIBA\DualPointUtility\TEDTray.exe
Name: snpstd3
imagepath: C:\WINDOWS\vsnpstd3.exe
Name: TkBellExe
imagepath: "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
Name: PDFPrint
imagepath: C:\Programme\pdf24\pdf24.exe
Name: avgnt
imagepath: "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
Name: SunJavaUpdateSched
imagepath: "C:\Programme\Java\jre6\bin\jusched.exe"
Name: DivXUpdate
imagepath: "C:\Programme\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW
Name: AdobeAAMUpdater-1.0
imagepath: "C:\Programme\Gemeinsame Dateien\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe"
Name: SwitchBoard
imagepath: C:\Programme\Gemeinsame Dateien\Adobe\SwitchBoard\SwitchBoard.exe
Name: AdobeCS5ServiceManager
imagepath: "C:\Programme\Gemeinsame Dateien\Adobe\CS5ServiceManager\CS5ServiceManager.exe" -launchedbylogin
Name: CTFMON.EXE
imagepath: C:\WINDOWS\system32\CTFMON.EXE
Name:
imagepath: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
Name:
location: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\McAfee Security Scan Plus.lnk
imagepath: C:\Programme\McAfee Security Scan\2.0.181\SSScheduler.exe
Bootexecute items:
Name:
imagepath: autocheck autochk *
Name:
imagepath: lsdelete
Running services:
Name: AgereModemAudio
displayname: Agere Modem Call Progress Audio
Name: Akamai
displayname: Akamai NetSession Interface
Name: ALG
displayname: Gatewaydienst auf Anwendungsebene
Name: AntiVirSchedulerService
displayname: Avira AntiVir Planer
Name: AntiVirService
displayname: Avira AntiVir Guard
Name: AudioSrv
displayname: Windows Audio
Name: BITS
displayname: Intelligenter Hintergrundübertragungsdienst
Name: Browser
displayname: Computerbrowser
Name: CFSvcs
displayname: ConfigFree Service
Name: CryptSvc
displayname: Kryptografiedienste
Name: DcomLaunch
displayname: DCOM-Server-Prozessstart
Name: Dhcp
displayname: DHCP-Client
Name: dmserver
displayname: Verwaltung logischer Datenträger
Name: Dnscache
displayname: DNS-Client
Name: ERSvc
displayname: Fehlerberichterstattungsdienst
Name: Eventlog
displayname: Ereignisprotokoll
Name: EventSystem
displayname: COM+-Ereignissystem
Name: helpsvc
displayname: Hilfe und Support
Name: JavaQuickStarterService
displayname: Java Quick Starter
Name: lanmanserver
displayname: Server
Name: lanmanworkstation
displayname: Arbeitsstationsdienst
Name: Lavasoft Ad-Aware Service
displayname: Lavasoft Ad-Aware Service
Name: LmHosts
displayname: TCP/IP-NetBIOS-Hilfsprogramm
Name: Netman
displayname: Netzwerkverbindungen
Name: Nla
displayname: NLA (Network Location Awareness)
Name: OMSI download service
displayname: Sony Ericsson OMSI download service
Name: PlugPlay
displayname: Plug & Play
Name: Pml Driver HPZ12
displayname: Pml Driver HPZ12
Name: PolicyAgent
displayname: IPSEC-Dienste
Name: ProtectedStorage
displayname: Geschützter Speicher
Name: RasMan
displayname: RAS-Verbindungsverwaltung
Name: RemoteRegistry
displayname: Remote-Registrierung
Name: RpcSs
displayname: Remoteprozeduraufruf (RPC)
Name: SamSs
displayname: Sicherheitskontenverwaltung
Name: Schedule
displayname: Taskplaner
Name: seclogon
displayname: Sekundäre Anmeldung
Name: SENS
displayname: Systemereignisbenachrichtigung
Name: SharedAccess
displayname: Windows-Firewall/Gemeinsame Nutzung der Internetverbindung
Name: ShellHWDetection
displayname: Shellhardwareerkennung
Name: Spooler
displayname: Druckwarteschlange
Name: srservice
displayname: Systemwiederherstellungsdienst
Name: SSDPSRV
displayname: SSDP-Suchdienst
Name: stisvc
displayname: Windows-Bilderfassung (WIA)
Name: TapiSrv
displayname: Telefonie
Name: TermService
displayname: Terminaldienste
Name: Themes
displayname: Designs
Name: Thpsrv
displayname: TOSHIBA Festplattenschutz
Name: Tmesrv
displayname: Tmesrv3
Name: TODDSrv
displayname: TOSHIBA Optical Disc Drive Service
Name: TrkWks
displayname: Überwachung verteilter Verknüpfungen (Client)
Name: UPHClean
displayname: User Profile Hive Cleanup
Name: W32Time
displayname: Windows-Zeitgeber
Name: WebClient
displayname: WebClient
Name: winmgmt
displayname: Windows-Verwaltungsinstrumentation
Name: WmiApSrv
displayname: WMI-Leistungsadapter
Name: wscsvc
displayname: Sicherheitscenter
Name: wuauserv
displayname: Automatische Updates
Name: WZCSVC
displayname: Konfigurationsfreie drahtlose Verbindung
Code:
ATTFilter All processes killed
========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls\\drmustat not found.
File C:\WINDOWS\system32\evenrcp.dll not found.
========== FILES ==========
File\Folder C:\WINDOWS\system32\evenrcp.dll not found.
========== COMMANDS ==========
[EMPTYFLASH]
User: Administrator
User: All Users
User: Default User
->Flash cache emptied: 0 bytes
User: Heide
->Flash cache emptied: 689 bytes
User: LocalService
User: NetworkService
User: time traveler
->Flash cache emptied: 1934280 bytes
Total Flash Files Cleaned = 2,00 mb
[EMPTYTEMP]
User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32768 bytes
User: All Users
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 43170 bytes
->Flash cache emptied: 0 bytes
User: Heide
->Temp folder emptied: 604876 bytes
->Temporary Internet Files folder emptied: 34542 bytes
->FireFox cache emptied: 34178419 bytes
->Flash cache emptied: 0 bytes
User: LocalService
->Temp folder emptied: 65536 bytes
->Temporary Internet Files folder emptied: 376424 bytes
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
User: time traveler
->Temp folder emptied: 726121164 bytes
->Temporary Internet Files folder emptied: 1660281 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 22145407 bytes
->Apple Safari cache emptied: 0 bytes
->Flash cache emptied: 0 bytes
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 19569 bytes
%systemroot%\System32 .tmp files removed: 2676103 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 205264837 bytes
RecycleBin emptied: 1278697 bytes
Total Files Cleaned = 948,00 mb
OTL by OldTimer - Version 3.2.11.0 log created on 09092010_210646
Files\Folders moved on Reboot...
File\Folder C:\WINDOWS\temp\Perflib_Perfdata_120.dat not found!
Registry entries deleted on Reboot...
Vielen Danke, Sanne P.S.: Mit dem CCleaner hatte ich zuvor auch gearbeitet. P.P.S.: Ein Screenshot der Fake-Tan-Abfrage  Geändert von sanne2010 (09.09.2010 um 21:03 Uhr) Grund: Ergänzung |
| Themen zu Win32.Backdoor.Papras/A |
| antivir, avira, awareness, c:\windows\system32\services.exe, cpu, desktop, dubioses, ebanking, einstellungen, festplatte, firefox, firefox.exe, google, home, jusched.exe, launch, logfile, m.exe, mozilla, neustart, oldtimer, papras, photoshop, required, scan, sched.exe, security, security scan, services.exe, software, svchost.exe, system, system 32, trojaner, updates, windows xp, wuauclt.exe |
Baum-Darstellung