|
Plagegeister aller Art und deren Bekämpfung: BDS/Papras.pk durch AntiVir in mounkeys.dll gefundenWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
10.09.2010, 19:17 | #1 |
| BDS/Papras.pk durch AntiVir in mounkeys.dll gefunden Hallo, zunächst mal Hut ab für Euer Forum und vielen Dank vorab für die Hilfe die ich hier hoffentliche bekommen kann. Mein Rechner hat 1 oder 2 Probleme: 1. Vor einigen Tagen erklang beim Hochfahren erstmals ein mechanischen Geräusch, so eine Art Klicken, das sich in das Rattern der Festplatte untermischte. Dann trat das Geräusch zweimal beim Hochfahren auf, in der Folge auch beim Starten der Programme Outlook und Internet Explorer (nur beim erstmaligen Programmstart nach dem Hochfahren!). 2. Ungefähr zeitgleich meldete AntiVir erstmalig den Fund des Trojaners BDS/Papras.dll im Ordner system32, Datei mounkeys.dll. Erst nur einzeln, ließ sich nicht entfernen o. ä., dann jeweils mehrfach beim Programmstart Outlook und Internet Explorer. Gestern fuhr der Rechner offensichtlich nicht richtig hoch, Desktop wurde angezeigt, aber kein Programm ließ sich starten (es fehlte beim Hochfahren auch das Klicken), erst im abgesicherten Modus war ein Programmzugriff möglich, anschließend auch wieder im Normalmodus (dann auch wieder mit Klicken beim Hochfahren). Falls es sich auch um ein physikalisches Problem handelt, macht eine Datensicherung wohl keinen Sinn, solange Dateien infiziert sind, oder? Systemcheck mit Malwarebytes und OTL habe ich gemacht: Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4590 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 10.09.2010 19:25:43 mbam-log-2010-09-10 (19-25-43).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|) Durchsuchte Objekte: 174965 Laufzeit: 41 Minute(n), 38 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 4 Infizierte Dateiobjekte der Registrierung: 2 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\host (Malware.Trace) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\id (Malware.Trace) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\services (Worm.Spambot) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Services\del (Malware.Trace) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) __ _______________________________________________________________ _________________________________________________________________ OTL Logfile: Code:
ATTFilter OTL Extras logfile created on: 10.09.2010 19:35:30 - Run 1 OTL by OldTimer - Version 3.2.11.0 Folder = C:\Z\4 Software\Programme\13 Virensuche Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 767,00 Mb Total Physical Memory | 326,00 Mb Available Physical Memory | 42,00% Memory free 2,00 Gb Paging File | 1,00 Gb Available in Paging File | 75,00% Paging File free Paging file location(s): C:\pagefile.sys 1150 1890 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 76,33 Gb Total Space | 46,91 Gb Free Space | 61,46% Space Free | Partition Type: NTFS D: Drive not present or media not loaded E: Drive not present or media not loaded F: Drive not present or media not loaded G: Drive not present or media not loaded H: Drive not present or media not loaded I: Drive not present or media not loaded Computer Name: USER-BF0A0EFD10 Current User Name: User Logged in as Administrator. Current Boot Mode: Normal Scan Mode: Current user Company Name Whitelist: Off Skip Microsoft Files: Off File Age = 30 Days Output = Minimal ========== Extra Registry (SafeList) ========== ========== File Associations ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>] ========== Shell Spawning ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command] batfile [open] -- "%1" %* cmdfile [open] -- "%1" %* comfile [open] -- "%1" %* exefile [open] -- "%1" %* htmlfile [edit] -- "C:\Programme\Microsoft Office\OFFICE11\msohtmed.exe" %1 (Microsoft Corporation) htmlfile [print] -- "C:\Programme\Microsoft Office\OFFICE11\msohtmed.exe" /p %1 (Microsoft Corporation) piffile [open] -- "%1" %* regfile [merge] -- Reg Error: Key error. scrfile [config] -- "%1" scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation) scrfile [open] -- "%1" /S txtfile [edit] -- Reg Error: Key error. Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1 Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation) Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation) Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) ========== Security Center Settings ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] "FirstRunDisabled" = 1 "AntiVirusDisableNotify" = 0 "AntiVirusOverride" = 0 "FirewallOverride" = 1 "FirewallDisableNotify" = 0 "UpdatesDisableNotify" = 0 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] ========== Authorized Applications List ========== [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\Programme\InterVideo\DVD6\WinDVD.exe" = C:\Programme\InterVideo\DVD6\WinDVD.exe:*:Disabled:WinDVD -- (InterVideo Inc.) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}" = PDFCreator "{20C45B32-5AB6-46A4-94EF-58950CAF05E5}" = EPSON Attach To Email "{26A24AE4-039D-4CA4-87B4-2F83216016FF}" = Java(TM) 6 Update 17 "{2A88F1BF-7041-4E42-84B1-6B4ACB83AC64}" = EPSON Scan Assistant "{2EB81825-E9EE-44F4-8F51-1240C3898DC6}" = EPSON File Manager "{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP "{67EDD823-135A-4D59-87BD-950616D6E857}" = EPSON Copy Utility 3 "{6ACA2FD2-4C4A-42F3-AFB5-7B433BBDF6DB}" = InterVideo WinDVD 6 "{7F14F68C-17FA-4F88-B3FD-7F449C1EBF32}" = EPSON Web-To-Page "{81A6F461-0DBA-4F12-B56F-0E977EC10576}_is1" = PDF24 Creator "{8DAC1AE4-33D1-4A78-8A42-00E09EDECC3E}" = Camera RAW Plug-In for EPSON Creativity Suite "{90110407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003 "{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 "{AC76BA86-7AD7-1031-7B44-A81300000003}" = Adobe Reader 8.1.4 - Deutsch "{B66E665A-DF96-4C38-9422-C7F74BC1B4E5}" = EPSON Easy Photo Print "{E0F252A6-DE85-4E93-A93B-DFC3537B3965}" = WG111v2 Configuration Utility "7-Zip" = 7-Zip 4.65 "Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX "ATI Display Driver" = ATI Display Driver "Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus "CTDVDAudio Plugin" = Creative DVD Audio Plugin for Audigy Series "CX4300_5500_DX4400 Handbuch" = CX4300_5500_DX4400 Handbuch "EPSON Printer and Utilities" = EPSON-Drucker-Software "EPSON Scanner" = EPSON Scan "Free FLV Converter_is1" = Free FLV Converter V 6.7.1 "IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs "ie7" = Windows Internet Explorer 7 "ie8" = Windows Internet Explorer 8 "InstallShield_{20C45B32-5AB6-46A4-94EF-58950CAF05E5}" = EPSON Attach To Email "Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware "MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP "Nero - Burning Rom!UninstallKey" = Nero 6 Ultra Edition "NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs "PCI Audio Driver" = PCI Audio Driver "Windows Media Format Runtime" = Windows Media Format 11 runtime "Windows XP Service Pack" = Windows XP Service Pack 3 "WMFDist11" = Windows Media Format 11 runtime "Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0 ========== Last 10 Event Log Errors ========== [ Application Events ] Error - 09.09.2010 17:07:41 | Computer Name = USER-BF0A0EFD10 | Source = EventSystem | ID = 4609 Description = Das COM+-Ereignissystem hat einen ungültigen Rückgabecode während der internen Verarbeitung erkannt. HRESULT war 8007043C von Zeile 44 von d:\comxp_sp3\com\com1x\src\events\tier1\eventsystemobj.cpp. Wenden Sie sich an den Microsoft-Produktsuppor [ System Events ] Error - 09.09.2010 17:07:35 | Computer Name = USER-BF0A0EFD10 | Source = Service Control Manager | ID = 7001 Description = Der Dienst "IPSEC-Dienste" ist vom Dienst "IPSEC-Treiber" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde: %%31 Error - 09.09.2010 17:07:35 | Computer Name = USER-BF0A0EFD10 | Source = Service Control Manager | ID = 7026 Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen: AFD AmdK7 avgio avipbb Fips IPSec MRxSmb NetBIOS NetBT RasAcd Rdbss ssmdrv Tcpip Error - 09.09.2010 17:07:41 | Computer Name = USER-BF0A0EFD10 | Source = DCOM | ID = 10005 Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "EventSystem" mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {1BE1F766-5536-11D1-B726-00C04FB926AF} Error - 09.09.2010 17:08:23 | Computer Name = USER-BF0A0EFD10 | Source = DCOM | ID = 10005 Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc" mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {A1F4E726-8CF1-11D1-BF92-0060081ED811} Error - 09.09.2010 17:09:17 | Computer Name = USER-BF0A0EFD10 | Source = DCOM | ID = 10005 Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc" mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {A1F4E726-8CF1-11D1-BF92-0060081ED811} Error - 09.09.2010 17:21:04 | Computer Name = USER-BF0A0EFD10 | Source = DCOM | ID = 10005 Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc" mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {A1F4E726-8CF1-11D1-BF92-0060081ED811} Error - 09.09.2010 17:24:08 | Computer Name = USER-BF0A0EFD10 | Source = DCOM | ID = 10005 Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc" mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {A1F4E726-8CF1-11D1-BF92-0060081ED811} Error - 09.09.2010 17:24:24 | Computer Name = USER-BF0A0EFD10 | Source = DCOM | ID = 10005 Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "wuauserv" mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {E60687F7-01A1-40AA-86AC-DB1CBF673334} Error - 09.09.2010 17:32:23 | Computer Name = USER-BF0A0EFD10 | Source = DCOM | ID = 10005 Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "EventSystem" mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {1BE1F766-5536-11D1-B726-00C04FB926AF} Error - 10.09.2010 11:55:32 | Computer Name = USER-BF0A0EFD10 | Source = Dhcp | ID = 1002 Description = Die IP-Adresslease 192.168.2.32 für die Netzwerkkarte mit der Netzwerkadresse 00146CEF38D6 wurde durch den DHCP-Server 192.168.2.1 abgelehnt (der DHCP-Server hat eine DHCPNACK-Meldung gesendet). < End of report > ______________________________________________________________ _________________________________________________________________ OTL Logfile: Code:
ATTFilter OTL logfile created on: 10.09.2010 19:35:30 - Run 1 OTL by OldTimer - Version 3.2.11.0 Folder = C:\Z\4 Software\Programme\13 Virensuche Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 767,00 Mb Total Physical Memory | 326,00 Mb Available Physical Memory | 42,00% Memory free 2,00 Gb Paging File | 1,00 Gb Available in Paging File | 75,00% Paging File free Paging file location(s): C:\pagefile.sys 1150 1890 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 76,33 Gb Total Space | 46,91 Gb Free Space | 61,46% Space Free | Partition Type: NTFS D: Drive not present or media not loaded E: Drive not present or media not loaded F: Drive not present or media not loaded G: Drive not present or media not loaded H: Drive not present or media not loaded I: Drive not present or media not loaded Computer Name: USER-BF0A0EFD10 Current User Name: User Logged in as Administrator. Current Boot Mode: Normal Scan Mode: Current user Company Name Whitelist: Off Skip Microsoft Files: Off File Age = 30 Days Output = Minimal ========== Processes (SafeList) ========== PRC - C:\Z\4 Software\Programme\13 Virensuche\OTL.exe (OldTimer Tools) PRC - C:\Programme\Malwarebytes' Anti-Malware\mbam.exe (Malwarebytes Corporation) PRC - C:\Programme\pdf24\pdf24.exe (Geek Software GmbH) PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH) PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation) PRC - C:\WINDOWS\SOUNDMAN.EXE (Realtek Semiconductor Corp.) PRC - C:\WINDOWS\system32\spool\drivers\w32x86\3\E_FATICAE.EXE (SEIKO EPSON CORPORATION) PRC - C:\Programme\NETGEAR\WG111v2 Configuration Utility\RtWLan.exe () PRC - C:\Programme\NETGEAR\WG111v2 Configuration Utility\RtlWake.exe () PRC - C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE (Microsoft Corporation) PRC - C:\WINDOWS\mixer.exe (C-Media Electronic Inc. (www.cmedia.com.tw)) ========== Modules (SafeList) ========== MOD - C:\Z\4 Software\Programme\13 Virensuche\OTL.exe (OldTimer Tools) MOD - C:\WINDOWS\system32\msscript.ocx (Microsoft Corporation) ========== Win32 Services (SafeList) ========== SRV - (HidServ) -- C:\WINDOWS\System32\hidserv.dll File not found SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH) SRV - (ose) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation) SRV - (MDM) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE (Microsoft Corporation) ========== Driver Services (SafeList) ========== DRV - (MBAMSwissArmy) -- C:\WINDOWS\system32\drivers\mbamswissarmy.sys (Malwarebytes Corporation) DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH) DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH) DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH) DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH) DRV - (VIAudio) VIA AC'97 Audio Controller (WDM) -- C:\WINDOWS\system32\drivers\viaudio.sys (VIA Technologies, Inc.) DRV - (ati2mtag) -- C:\WINDOWS\system32\drivers\ati2mtag.sys (ATI Technologies Inc.) DRV - (gameenum) -- C:\WINDOWS\system32\drivers\gameenum.sys (Microsoft Corporation) DRV - (ALCXWDM) Service for Realtek AC97 Audio (WDM) -- C:\WINDOWS\system32\drivers\ALCXWDM.SYS (Realtek Semiconductor Corp.) DRV - (RTL8023xp) -- C:\WINDOWS\system32\drivers\Rtnicxp.sys (Realtek Semiconductor Corporation ) DRV - (RTLWUSB) -- C:\WINDOWS\system32\drivers\wg111v2.sys (NETGEAR Inc.) DRV - (ati2mtaa) -- C:\WINDOWS\system32\drivers\ati2mtaa.sys (ATI Technologies Inc.) DRV - (SISNIC) -- C:\WINDOWS\system32\drivers\sisnic.sys (SiS Corporation) DRV - (rtl8139) NT-Treiber für Realtek RTL8139(A/B/C) -- C:\WINDOWS\system32\drivers\RTL8139.sys (Realtek Semiconductor Corporation) DRV - (cmpci) C-Media PCI Audio Driver (WDM) -- C:\WINDOWS\system32\drivers\cmaudio.sys (C-Media Inc) DRV - (SjyPkt) -- C:\WINDOWS\system32\drivers\SjyPkt.sys (Windows (R) 2000 DDK provider) DRV - (G400) -- C:\WINDOWS\system32\drivers\G400m.sys (Matrox Graphics Inc.) DRV - (ms_mpu401) -- C:\WINDOWS\system32\drivers\msmpu401.sys (Microsoft Corporation) DRV - (ac97intc) Intel(r) 82801 Audiotreiber-Installationsdienst (WDM) -- C:\WINDOWS\system32\drivers\ac97intc.sys (Intel Corporation) DRV - (fpcibase) -- C:\WINDOWS\system32\drivers\fpcibase.sys (AVM GmbH) DRV - (AVMWAN) -- C:\WINDOWS\system32\drivers\avmwan.sys (AVM GmbH) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/ IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 O1 HOSTS File: ([2004.08.08 20:54:43 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated) O2 - BHO: (EpsonToolBandKicker Class) - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\epson\EPSON Web-To-Page\EPSON Web-To-Page.dll (SEIKO EPSON CORPORATION) O3 - HKLM\..\Toolbar: (EPSON Web-To-Page) - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\epson\EPSON Web-To-Page\EPSON Web-To-Page.dll (SEIKO EPSON CORPORATION) O3 - HKCU\..\Toolbar\WebBrowser: (EPSON Web-To-Page) - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\epson\EPSON Web-To-Page\EPSON Web-To-Page.dll (SEIKO EPSON CORPORATION) O4 - HKLM..\Run: [Adobe Reader Speed Launcher] C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe (Adobe Systems Incorporated) O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) O4 - HKLM..\Run: [C-Media Mixer] C:\WINDOWS\mixer.exe (C-Media Electronic Inc. (www.cmedia.com.tw)) O4 - HKLM..\Run: [KernelFaultCheck] File not found O4 - HKLM..\Run: [ Malwarebytes Anti-Malware (reboot)] C:\Programme\Malwarebytes' Anti-Malware\mbam.exe (Malwarebytes Corporation) O4 - HKLM..\Run: [PDFPrint] C:\Programme\pdf24\pdf24.exe (Geek Software GmbH) O4 - HKLM..\Run: [SoundMan] C:\WINDOWS\SOUNDMAN.EXE (Realtek Semiconductor Corp.) O4 - HKCU..\Run: [EPSON Stylus DX4400 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICAE.EXE (SEIKO EPSON CORPORATION) O4 - HKLM..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation) O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\WG111v2 Smart Wizard Wireless Setting.lnk = C:\Programme\NETGEAR\WG111v2 Configuration Utility\RtlWake.exe () O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 0 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1254147640196 (WUWebControl Class) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17) O16 - DPF: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17) O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1 O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL (Microsoft Corporation) O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation) O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation) O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.) O20 - Winlogon\Notify\WgaLogon: DllName - WgaLogon.dll - File not found O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2007.03.10 11:25:36 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O34 - HKLM BootExecute: (autocheck autochk *) - File not found O34 - HKLM BootExecute: (sprestrt) - C:\WINDOWS\System32\sprestrt.exe (Microsoft Corporation) O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O36 - AppCertDlls: evenaint - (C:\WINDOWS\system32\mounkeys.dll) - C:\WINDOWS\System32\mounkeys.dll File not found O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ========== Files/Folders - Created Within 30 Days ========== [2010.09.10 18:30:44 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Malwarebytes [2010.09.10 18:30:21 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys [2010.09.10 18:30:19 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes [2010.09.10 18:30:18 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys [2010.09.10 18:30:18 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware [4 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] [10 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2010.09.10 19:31:14 | 000,054,016 | ---- | M] () -- C:\WINDOWS\System32\drivers\nfvsxyyc.sys [2010.09.10 17:55:21 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT [2010.09.10 17:55:18 | 000,044,964 | ---- | M] () -- C:\WINDOWS\System32\ativvaxx.cap [2010.09.10 17:55:18 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2010.09.10 17:55:16 | 804,835,328 | -HS- | M] () -- C:\hiberfil.sys [2010.09.09 23:36:56 | 003,932,160 | -H-- | M] () -- C:\Dokumente und Einstellungen\User\NTUSER.DAT [2010.09.09 23:36:56 | 000,000,300 | -HS- | M] () -- C:\Dokumente und Einstellungen\User\ntuser.ini [2010.09.09 23:36:39 | 004,297,130 | -H-- | M] () -- C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\IconCache.db [2010.09.09 21:02:50 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2010.09.05 22:08:37 | 000,000,116 | ---- | M] () -- C:\WINDOWS\NeroDigital.ini [2010.09.05 21:45:50 | 000,046,592 | ---- | M] () -- C:\WINDOWS\System32\mounkeys.VIR [2010.09.05 11:43:47 | 804,868,096 | ---- | M] () -- C:\WINDOWS\MEMORY.DMP [2010.09.05 11:31:05 | 000,104,448 | ---- | M] () -- C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2010.08.12 22:25:40 | 000,241,536 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT [2010.08.12 19:59:23 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK [4 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] [10 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] ========== Files Created - No Company Name ========== [2010.09.10 19:31:14 | 000,054,016 | ---- | C] () -- C:\WINDOWS\System32\drivers\nfvsxyyc.sys [2010.09.09 23:33:11 | 804,835,328 | -HS- | C] () -- C:\hiberfil.sys [2010.09.05 21:45:50 | 000,046,592 | ---- | C] () -- C:\WINDOWS\System32\mounkeys.VIR [2009.10.11 21:50:25 | 000,000,000 | ---- | C] () -- C:\WINDOWS\iPlayer.INI [2009.10.11 12:39:02 | 000,000,116 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini [2009.10.07 20:48:59 | 000,104,448 | ---- | C] () -- C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2009.09.30 12:41:38 | 000,000,097 | ---- | C] () -- C:\WINDOWS\System32\PICSDK.ini [2009.09.30 12:39:36 | 000,000,027 | ---- | C] () -- C:\WINDOWS\CDE DX4400DEFGIPS.ini [2008.09.20 11:35:02 | 000,000,025 | ---- | C] () -- C:\WINDOWS\mixerdef.ini [2008.09.19 16:03:09 | 000,116,224 | ---- | C] () -- C:\WINDOWS\System32\pdfcmnnt.dll [2007.09.04 10:10:36 | 000,003,972 | ---- | C] () -- C:\WINDOWS\System32\drivers\PciBus.sys [2007.03.10 12:36:43 | 000,204,800 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeW7.dll [2007.03.10 12:36:43 | 000,200,704 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeA6.dll [2007.03.10 12:36:43 | 000,192,512 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeP6.dll [2007.03.10 12:36:43 | 000,192,512 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeM6.dll [2007.03.10 12:36:43 | 000,188,416 | ---- | C] () -- C:\WINDOWS\System32\IVIresizePX.dll [2007.03.10 12:36:43 | 000,020,480 | ---- | C] () -- C:\WINDOWS\System32\IVIresize.dll [2007.03.10 12:36:16 | 000,122,880 | ---- | C] () -- C:\WINDOWS\System32\cddvdint.dll [2007.03.10 12:30:49 | 000,000,305 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\addr_file.html [2007.03.10 12:25:57 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI [2004.09.07 15:23:16 | 000,156,672 | ---- | C] () -- C:\WINDOWS\System32\RTLCPAPI.dll [2003.02.20 17:53:42 | 000,005,702 | ---- | C] () -- C:\WINDOWS\System32\OUTLPERF.INI ========== LOP Check ========== [2009.09.30 12:41:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EPSON [2009.09.30 12:44:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\UDL [2010.01.05 22:29:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\EPSON [2009.10.08 23:48:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\FreeFLVConverter [2007.03.10 12:40:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\InterVideo ========== Purity Check ========== < End of report > |
11.09.2010, 15:12 | #2 |
/// Winkelfunktion /// TB-Süch-Tiger™ | BDS/Papras.pk durch AntiVir in mounkeys.dll gefunden Hallo,
__________________hast Du noch in Erinnerung wann das Problem mit dem Schädling auftrat? Hast Du rein zufällig unmittelbar davor was von Adobe, also den Reader oder Flashplayer, aktualisiert? Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code:
ATTFilter :OTL O36 - AppCertDlls: evenaint - (C:\WINDOWS\system32\mounkeys.dll) - C:\WINDOWS\System32\mounkeys.dll File not found [2010.09.10 19:31:14 | 000,054,016 | ---- | M] () -- C:\WINDOWS\System32\drivers\nfvsxyyc.sys [2010.09.05 21:45:50 | 000,046,592 | ---- | M] () -- C:\WINDOWS\System32\mounkeys.VIR :Commands [purity] [resethosts] [emptytemp] Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.
__________________ |
11.09.2010, 17:31 | #3 |
| BDS/Papras.pk durch AntiVir in mounkeys.dll gefunden Hallo,
__________________irgendwann war da mal ein Update vom Flashplayer. Kann ich zeitlich aber nicht mehr zuordnen. Habe den Fix gerade ausgeführt. AntiVir läuft standardmäßig im Hinmtergrund und hat beim Fix den Schädling wieder erkannt und versucht, den Zugriff zu verhindern. Hat das evtl Einfluss auf's Ergebnis gehabt? Sollen beim 'Beenden aller Programme' auch diejenigen rechts unten neben der Uhr deaktiviert werden? Hatte ich vorher nicht gemacht... Hier das Ergebnis: All processes killed ========== OTL ========== Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls\\evenaint:C:\WINDOWS\system32\mounkeys.dll deleted successfully. File C:\WINDOWS\System32\drivers\nfvsxyyc.sys not found. C:\WINDOWS\system32\mounkeys.VIR moved successfully. ========== COMMANDS ========== C:\WINDOWS\System32\drivers\etc\Hosts moved successfully. HOSTS file reset successfully [EMPTYTEMP] User: All Users User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: LocalService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: User ->Temp folder emptied: 204589210 bytes ->Temporary Internet Files folder emptied: 31807980 bytes ->Java cache emptied: 77019575 bytes ->Flash cache emptied: 60900 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 6363861 bytes %systemroot%\System32 .tmp files removed: 2833287 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 1674505 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 309,00 mb OTL by OldTimer - Version 3.2.11.0 log created on 09112010_181746 Files\Folders moved on Reboot... Registry entries deleted on Reboot... |
12.09.2010, 20:34 | #4 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | BDS/Papras.pk durch AntiVir in mounkeys.dll gefundenZitat:
Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
__________________ Logfiles bitte immer in CODE-Tags posten |
13.09.2010, 11:01 | #5 |
| BDS/Papras.pk durch AntiVir in mounkeys.dll gefunden Hallo, habe CCleaner und CF ausgeführt. Obwohl Avira deaktiviert war, gab's bei CF einen Warnhinweis. Programmausführung lief jedoch scheinbar reibungslos: Combofix Logfile: Code:
ATTFilter ComboFix 10-09-12.03 - User 13.09.2010 11:49:11.1.1 - x86 Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.767.493 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\User\Desktop\cofi.exe AV: AntiVir Desktop *On-access scanning enabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7} * Neuer Wiederherstellungspunkt wurde erstellt . ((((((((((((((((((((((( Dateien erstellt von 2010-08-13 bis 2010-09-13 )))))))))))))))))))))))))))))) . 2010-09-13 09:18 . 2010-09-13 09:18 -------- d-----w- c:\programme\CCleaner 2010-09-11 16:17 . 2010-09-11 16:17 -------- d-----w- C:\_OTL 2010-09-10 21:30 . 2010-09-10 21:30 -------- d-----w- c:\programme\Gemeinsame Dateien\Java 2010-09-10 21:29 . 2010-09-10 21:29 503808 ----a-w- c:\dokumente und einstellungen\User\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-617e7b85-n\msvcp71.dll 2010-09-10 21:29 . 2010-09-10 21:29 499712 ----a-w- c:\dokumente und einstellungen\User\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-617e7b85-n\jmc.dll 2010-09-10 21:29 . 2010-09-10 21:29 348160 ----a-w- c:\dokumente und einstellungen\User\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-617e7b85-n\msvcr71.dll 2010-09-10 21:29 . 2010-09-10 21:29 61440 ----a-w- c:\dokumente und einstellungen\User\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-5069e822-n\decora-sse.dll 2010-09-10 21:29 . 2010-09-10 21:29 12800 ----a-w- c:\dokumente und einstellungen\User\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-5069e822-n\decora-d3d.dll 2010-09-10 21:29 . 2010-07-17 03:00 423656 ----a-w- c:\windows\system32\deployJava1.dll 2010-09-10 16:30 . 2010-09-10 16:30 -------- d-----w- c:\dokumente und einstellungen\User\Anwendungsdaten\Malwarebytes 2010-09-10 16:30 . 2010-04-29 10:19 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2010-09-10 16:30 . 2010-09-10 16:30 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2010-09-10 16:30 . 2010-09-10 16:30 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2010-09-10 16:30 . 2010-04-29 10:19 20952 ----a-w- c:\windows\system32\drivers\mbam.sys . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-09-13 09:27 . 2009-12-24 11:32 -------- d-----w- c:\dokumente und einstellungen\User\Anwendungsdaten\Media Player Classic 2010-09-10 21:29 . 2009-10-31 09:12 -------- d-----w- c:\programme\Java 2010-06-30 12:28 . 2004-08-08 19:00 149504 ----a-w- c:\windows\system32\schannel.dll 2010-06-24 12:22 . 2004-08-08 19:01 916480 ----a-w- c:\windows\system32\wininet.dll 2010-06-24 09:02 . 2004-08-08 19:01 1852032 ----a-w- c:\windows\system32\win32k.sys 2010-06-21 15:27 . 2004-08-08 19:00 354304 ----a-w- c:\windows\system32\drivers\srv.sys 2010-06-17 14:03 . 2004-08-08 18:59 80384 ----a-w- c:\windows\system32\iccvid.dll . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SoundMan"="SOUNDMAN.EXE" [2007-03-10 77824] "C-Media Mixer"="Mixer.exe" [2002-10-09 1818624] "avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153] "Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-14 39792] "SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552] "PDFPrint"="c:\programme\pdf24\pdf24.exe" [2010-02-22 207504] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ WG111v2 Smart Wizard Wireless Setting.lnk - c:\programme\NETGEAR\WG111v2 Configuration Utility\RtlWake.exe [2009-9-28 745472] [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager] BootExecute REG_MULTI_SZ autocheck autochk *\0sprestrt [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk backup=c:\windows\pss\Adobe Reader - Schnellstart.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Synchronizer.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader Synchronizer.lnk backup=c:\windows\pss\Adobe Reader Synchronizer.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^InterVideo WinCinema Manager.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\InterVideo WinCinema Manager.lnk backup=c:\windows\pss\InterVideo WinCinema Manager.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] 2001-07-09 10:50 155648 ----a-w- c:\windows\system32\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\security center] "FirewallOverride"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\InterVideo\\DVD6\\WinDVD.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [28.09.2009 15:45 108289] R2 EAPPkt;Realtek EAPPkt Protocol;c:\windows\system32\drivers\EAPPkt.sys [28.09.2009 16:34 66048] R3 AVMWAN;AVM NDIS WAN CAPI-Treiber;c:\windows\system32\drivers\avmwan.sys [28.09.2007 08:31 37568] R3 RTLWUSB;NETGEAR WG111v2 54Mbps Wireless USB 2.0 Adapter NT Driver;c:\windows\system32\drivers\wg111v2.sys [28.09.2009 16:34 167808] R3 SjyPkt;SjyPkt;c:\windows\system32\drivers\SjyPkt.sys [28.09.2009 16:34 13532] S3 fpcibase;AVM ISDN-Controller FRITZ!Card PCI v2.0;c:\windows\system32\drivers\fpcibase.sys [28.09.2007 08:31 444416] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.google.de/ IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net Rootkit scan 2010-09-13 11:52 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}] @Denied: (A 2) (Everyone) @="FlashBroker" "LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe,-101" [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation] "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32] @="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe" [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}] @Denied: (A 2) (Everyone) @="IFlashBroker4" [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32] @="{00020424-0000-0000-C000-000000000046}" [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" "Version"="1.0" . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(700) c:\windows\system32\Ati2evxx.dll - - - - - - - > 'explorer.exe'(1464) c:\windows\system32\webcheck.dll c:\windows\system32\WPDShServiceObj.dll c:\windows\system32\PortableDeviceTypes.dll c:\windows\system32\PortableDeviceApi.dll . Zeit der Fertigstellung: 2010-09-13 11:54:31 ComboFix-quarantined-files.txt 2010-09-13 09:54 Vor Suchlauf: 8 Verzeichnis(se), 51.289.239.552 Bytes frei Nach Suchlauf: 9 Verzeichnis(se), 51.254.710.272 Bytes frei WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons UnsupportedDebug="do not select this" /debug multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect - - End Of File - - E24232B2B7C7B0626772844029066B92 Gruß Andre |
13.09.2010, 11:24 | #6 |
/// Winkelfunktion /// TB-Süch-Tiger™ | BDS/Papras.pk durch AntiVir in mounkeys.dll gefunden Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus Anschließend den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus. Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen. Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt.
__________________ --> BDS/Papras.pk durch AntiVir in mounkeys.dll gefunden |
13.09.2010, 16:03 | #7 |
| BDS/Papras.pk durch AntiVir in mounkeys.dll gefunden Hallo, hier die Ergebnisse: GMER Logfile: Code:
ATTFilter GMER 1.0.15.15281 - hxxp://www.gmer.net Rootkit scan 2010-09-13 16:35:53 Windows 5.1.2600 Service Pack 3 Running: 4plvn3ub.exe; Driver: C:\DOKUME~1\User\LOKALE~1\Temp\kwqiqfod.sys ---- System - GMER 1.0.15 ---- SSDT F7E0F9F6 ZwCreateKey SSDT F7E0F9EC ZwCreateThread SSDT F7E0F9FB ZwDeleteKey SSDT F7E0FA05 ZwDeleteValueKey SSDT F7E0FA0A ZwLoadKey SSDT F7E0F9D8 ZwOpenProcess SSDT F7E0F9DD ZwOpenThread SSDT F7E0FA14 ZwReplaceKey SSDT F7E0FA0F ZwRestoreKey SSDT F7E0FA00 ZwSetValueKey SSDT F7E0F9E7 ZwTerminateProcess ---- Kernel code sections - GMER 1.0.15 ---- .text C:\WINDOWS\system32\DRIVERS\ati2mtag.sys section is writeable [0xF70C4000, 0x1A3F84, 0xE8000020] ---- Devices - GMER 1.0.15 ---- AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) ---- EOF - GMER 1.0.15 ---- _________________________________________________________________ _________________________________________________________________ OSAM Logfile: Code:
ATTFilter Report of OSAM: Autorun Manager v5.0.11926.0 hxxp://www.online-solutions.ru/en/ Saved at 16:56:27 on 13.09.2010 OS: Windows XP Professional Service Pack 3 (Build 2600) Default Browser: Microsoft Corporation Internet Explorer 8.00.6001.18702 Scanner Settings [x] Rootkits detection (hidden registry) [x] Rootkits detection (hidden files) [x] Retrieve files information [x] Check Microsoft signatures Filters [ ] Trusted entries [ ] Empty entries [x] Hidden registry entries (rootkit activity) [x] Exclusively opened files [x] Not found files [x] Files without detailed information [x] Existing files [ ] Non-startable services [ ] Non-startable drivers [x] Active entries [x] Disabled entries [Control Panel Objects] -----( %SystemRoot%\system32 )----- "ALSNDMGR.CPL" - ? - C:\WINDOWS\system32\ALSNDMGR.CPL (File signed by Microsoft | File found, but it contains no detailed information) "javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )----- "Avira AntiVir Personal - Free Antivirus " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl "Avira AntiVir Personal – Free Antivirus " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl "Avira AntiVir PersonalEdition Classic" - ? - C:\PROGRA~1\ANTIVI~1\avconfig.cpl (File not found) [Drivers] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- "avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys "avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys "avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys "catchme" (catchme) - ? - C:\DOKUME~1\User\LOKALE~1\Temp\catchme.sys (File not found) "Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys (File not found) "ENTECH" (ENTECH) - "EnTech Taiwan" - C:\WINDOWS\system32\DRIVERS\ENTECH.sys "i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys (File not found) "lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys (File not found) "NETGEAR WG111v2 54Mbps Wireless USB 2.0 Adapter NT Driver" (RTLWUSB) - "NETGEAR Inc." - C:\WINDOWS\System32\DRIVERS\wg111v2.sys "PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys (File not found) "PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys (File not found) "PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys (File not found) "PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys (File not found) "PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys (File not found) "Realtek EAPPkt Protocol" (EAPPkt) - "Windows (R) 2000 DDK provider" - C:\WINDOWS\System32\DRIVERS\EAPPkt.sys "SjyPkt" (SjyPkt) - "Windows (R) 2000 DDK provider" - C:\WINDOWS\System32\Drivers\SjyPkt.sys "ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys "WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys (File not found) [Explorer] -----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )----- {F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll -----( HKLM\Software\Classes\Protocols\Filter )----- {807553E5-5146-11D5-A672-00B0D022E945} "text/xml" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL -----( HKLM\Software\Classes\Protocols\Handler )----- {32505114-5902-49B2-880A-1F7738E5A384} "Data Page Plugable Protocal mso-offdap11 Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\11\OWC11.DLL {3D9F03FA-7A94-11D3-BE81-0050048385D1} "Data Page Pluggable Protocol mso-offdap Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\10\OWC10.DLL {0A9007C0-4076-11D3-8789-0000F8105754} "Microsoft Infotech Storage Protocol for IE 4.0" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )----- {23170F69-40C1-278A-1000-000100020000} "7-Zip Shell Extension" - "Igor Pavlov" - C:\Programme\7-Zip\7-zip.dll {42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll (File not found) {853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? - (File not found | COM-object registry key not found) {42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\OFFICE11\msohev.dll {00020D75-0000-0000-C000-000000000046} "Microsoft Office Outlook" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL {0006F045-0000-0000-C000-000000000046} "Outlook-Dateisymbolerweiterung" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL {45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll {764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? - (File not found | COM-object registry key not found) {BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL [Internet Explorer] -----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )----- <binary data> "EPSON Web-To-Page" - "SEIKO EPSON CORPORATION" - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll ITBar7Height "ITBar7Height" - ? - (File not found | COM-object registry key not found) <binary data> "ITBar7Layout" - ? - (File not found | COM-object registry key not found) <binary data> "ITBarLayout" - ? - (File not found | COM-object registry key not found) -----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )----- {8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_21" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_21.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} "Java Plug-in 1.6.0_21" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_21.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_21" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_21.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab {D27CDB6E-AE6D-11CF-96B8-444553540000} "Shockwave Flash Object" - "Adobe Systems, Inc." - C:\WINDOWS\system32\Macromed\Flash\Flash10i.ocx / hxxp://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab -----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )----- {FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Recherchieren" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL -----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )----- <binary data> "EPSON Web-To-Page" - "SEIKO EPSON CORPORATION" - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )----- {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} "Adobe PDF Reader" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} "EpsonToolBandKicker Class" - "SEIKO EPSON CORPORATION" - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll {DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll {E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [Logon] -----( %AllUsersProfile%\Startmenü\Programme\Autostart )----- "desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini "WG111v2 Smart Wizard Wireless Setting.lnk" - ? - C:\Programme\NETGEAR\WG111v2 Configuration Utility\RtlWake.exe (Shortcut exists | File exists) -----( %UserProfile%\Startmenü\Programme\Autostart )----- "desktop.ini" - ? - C:\Dokumente und Einstellungen\User\Startmenü\Programme\Autostart\desktop.ini -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )----- "Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" "avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min "PDFPrint" - "Geek Software GmbH" - C:\Programme\pdf24\pdf24.exe "SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [Print Monitors] -----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )----- "Microsoft Document Imaging Writer Monitor" - "Microsoft Corporation" - C:\WINDOWS\system32\mdimon.dll "PDFCreator" - ? - C:\WINDOWS\system32\pdfcmnnt.dll (File found, but it contains no detailed information) [Services] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- "ATI Smart" (ATI Smart) - ? - C:\WINDOWS\system32\ati2sgag.exe "Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe "Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe "Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe "Machine Debug Manager" (MDM) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE "Office Source Engine" (ose) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [Winlogon] -----( HKCU\Control Panel\IOProcs )----- "MVB" - ? - mvfs32.dll (File not found) -----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )----- "WgaLogon" - ? - WgaLogon.dll (File not found) ===[ Logfile end ]=========================================[ Logfile end ]=== If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru _________________________________________________________________ _________________________________________________________________ Bootkit Remover (c) 2009 eSage Lab www.esagelab.com Program version: 1.2.0.0 OS Version: Microsoft Windows XP Professional Service Pack 3 (build 2600) System volume is \\.\C: \\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 Boot sector MD5 is: 5ddc20efcc4d1dab37c348c7db7289cf Size Device Name MBR Status -------------------------------------------- 76 GB \\.\PhysicalDrive0 Unknown boot code Unknown boot code has been found on some of your physical disks. To inspect the boot code manually, dump the master boot sector: remover.exe dump <device_name> [output_file] To disinfect the master boot sector, use the following command: remover.exe fix <device_name> Done; Press any key to quit... Gruß Andre |
13.09.2010, 19:36 | #8 |
/// Winkelfunktion /// TB-Süch-Tiger™ | BDS/Papras.pk durch AntiVir in mounkeys.dll gefunden Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
__________________ Logfiles bitte immer in CODE-Tags posten |
14.09.2010, 20:52 | #9 |
| BDS/Papras.pk durch AntiVir in mounkeys.dll gefunden Hallo, hier das Ergebnis: MBRCheck, version 1.2.3 (c) 2010, AD Command-line: Windows Version: Windows XP Professional Windows Information: Service Pack 3 (build 2600) Logical Drives Mask: 0x0000001d Kernel Drivers (total 123): 0x804D7000 \WINDOWS\system32\ntoskrnl.exe 0x806EF000 \WINDOWS\system32\hal.dll 0xF7D2F000 \WINDOWS\system32\KDCOM.DLL 0xF7C3F000 \WINDOWS\system32\BOOTVID.dll 0xF77DF000 ACPI.sys 0xF7D31000 \WINDOWS\system32\DRIVERS\WMILIB.SYS 0xF77CE000 pci.sys 0xF782F000 isapnp.sys 0xF783F000 ohci1394.sys 0xF784F000 \WINDOWS\system32\DRIVERS\1394BUS.SYS 0xF7DF7000 pciide.sys 0xF7AAF000 \WINDOWS\System32\DRIVERS\PCIIDEX.SYS 0xF7D33000 viaide.sys 0xF7D35000 intelide.sys 0xF785F000 MountMgr.sys 0xF77AF000 ftdisk.sys 0xF7D37000 dmload.sys 0xF7789000 dmio.sys 0xF7AB7000 PartMgr.sys 0xF786F000 VolSnap.sys 0xF7771000 atapi.sys 0xF787F000 disk.sys 0xF788F000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS 0xF7751000 fltmgr.sys 0xF773F000 sr.sys 0xF7728000 KSecDD.sys 0xF769B000 Ntfs.sys 0xF766E000 NDIS.sys 0xF789F000 uagp35.sys 0xF78AF000 viaagp.sys 0xF7654000 Mup.sys 0xF799F000 \SystemRoot\system32\DRIVERS\amdk7.sys 0xF70C3000 \SystemRoot\system32\DRIVERS\ati2mtag.sys 0xF70AF000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS 0xF7B1F000 \SystemRoot\system32\DRIVERS\fetnd5.sys 0xF7052000 \SystemRoot\system32\drivers\cmaudio.sys 0xF702E000 \SystemRoot\system32\drivers\portcls.sys 0xF79AF000 \SystemRoot\system32\drivers\drmk.sys 0xF700B000 \SystemRoot\system32\drivers\ks.sys 0xF7B27000 \SystemRoot\system32\DRIVERS\usbuhci.sys 0xF6FE7000 \SystemRoot\system32\DRIVERS\USBPORT.SYS 0xF7B2F000 \SystemRoot\system32\DRIVERS\usbehci.sys 0xF79BF000 \SystemRoot\system32\DRIVERS\i8042prt.sys 0xF7B37000 \SystemRoot\system32\DRIVERS\mouclass.sys 0xF7B3F000 \SystemRoot\system32\DRIVERS\kbdclass.sys 0xF7B47000 \SystemRoot\system32\DRIVERS\fdc.sys 0xF79CF000 \SystemRoot\system32\DRIVERS\serial.sys 0xF7CDF000 \SystemRoot\system32\DRIVERS\serenum.sys 0xF6FD3000 \SystemRoot\system32\DRIVERS\parport.sys 0xF79DF000 \SystemRoot\system32\DRIVERS\cdrom.sys 0xF79EF000 \SystemRoot\system32\DRIVERS\redbook.sys 0xF79FF000 \SystemRoot\system32\DRIVERS\imapi.sys 0xF7A0F000 \SystemRoot\system32\DRIVERS\avmwan.sys 0xF7E9B000 \SystemRoot\system32\DRIVERS\audstub.sys 0xF7A1F000 \SystemRoot\system32\DRIVERS\rasl2tp.sys 0xF7CEB000 \SystemRoot\system32\DRIVERS\ndistapi.sys 0xF6FBC000 \SystemRoot\system32\DRIVERS\ndiswan.sys 0xF7A2F000 \SystemRoot\system32\DRIVERS\raspppoe.sys 0xF7A3F000 \SystemRoot\system32\DRIVERS\raspptp.sys 0xF7B4F000 \SystemRoot\system32\DRIVERS\TDI.SYS 0xF6F0B000 \SystemRoot\system32\DRIVERS\psched.sys 0xF7A4F000 \SystemRoot\system32\DRIVERS\msgpc.sys 0xF7B57000 \SystemRoot\system32\DRIVERS\ptilink.sys 0xF7B5F000 \SystemRoot\system32\DRIVERS\raspti.sys 0xF6EDB000 \SystemRoot\system32\DRIVERS\rdpdr.sys 0xF7A9F000 \SystemRoot\system32\DRIVERS\termdd.sys 0xF7D4B000 \SystemRoot\system32\DRIVERS\swenum.sys 0xF6E55000 \SystemRoot\system32\DRIVERS\update.sys 0xF7D13000 \SystemRoot\system32\DRIVERS\mssmbios.sys 0xF78FF000 \SystemRoot\System32\Drivers\NDProxy.SYS 0xF790F000 \SystemRoot\system32\DRIVERS\usbhub.sys 0xF7D59000 \SystemRoot\system32\DRIVERS\USBD.SYS 0xF7B77000 \SystemRoot\system32\DRIVERS\flpydisk.sys 0xF7D63000 \SystemRoot\System32\Drivers\Fs_Rec.SYS 0xF7E11000 \SystemRoot\System32\Drivers\Null.SYS 0xF7D65000 \SystemRoot\System32\Drivers\Beep.SYS 0xF7B87000 \SystemRoot\System32\drivers\vga.sys 0xF7D67000 \SystemRoot\System32\Drivers\mnmdd.SYS 0xF7D69000 \SystemRoot\System32\DRIVERS\RDPCDD.sys 0xF7B8F000 \SystemRoot\System32\Drivers\Msfs.SYS 0xF7B97000 \SystemRoot\System32\Drivers\Npfs.SYS 0xF7CC3000 \SystemRoot\system32\DRIVERS\rasacd.sys 0xAA783000 \SystemRoot\system32\DRIVERS\ipsec.sys 0xAA72A000 \SystemRoot\system32\DRIVERS\tcpip.sys 0xAA702000 \SystemRoot\system32\DRIVERS\netbt.sys 0xAA6E0000 \SystemRoot\System32\drivers\afd.sys 0xF792F000 \SystemRoot\system32\DRIVERS\netbios.sys 0xF7B9F000 \SystemRoot\system32\DRIVERS\ssmdrv.sys 0xAA615000 \SystemRoot\system32\DRIVERS\rdbss.sys 0xAA5A5000 \SystemRoot\system32\DRIVERS\mrxsmb.sys 0xF795F000 \SystemRoot\System32\Drivers\Fips.SYS 0xAA57F000 \SystemRoot\system32\DRIVERS\ipnat.sys 0xAA563000 \SystemRoot\system32\DRIVERS\avipbb.sys 0xF797F000 \SystemRoot\system32\DRIVERS\wanarp.sys 0xF7D75000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys 0xF6FAC000 \SystemRoot\System32\Drivers\Cdfs.SYS 0xAA512000 \SystemRoot\system32\DRIVERS\wg111v2.sys 0xAA4FA000 \SystemRoot\System32\Drivers\dump_atapi.sys 0xF7D89000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS 0xBF800000 \SystemRoot\System32\win32k.sys 0xAA7D6000 \SystemRoot\System32\drivers\Dxapi.sys 0xF7BD7000 \SystemRoot\System32\watchdog.sys 0xBF000000 \SystemRoot\System32\drivers\dxg.sys 0xF7E80000 \SystemRoot\System32\drivers\dxgthk.sys 0xBF012000 \SystemRoot\System32\ati2dvag.dll 0xBF062000 \SystemRoot\System32\ati2cqag.dll 0xBF0EB000 \SystemRoot\System32\atikvmag.dll 0xBF158000 \SystemRoot\System32\atiok3x2.dll 0xBF19B000 \SystemRoot\System32\ati3duag.dll 0xBF583000 \SystemRoot\System32\ativvaxx.dll 0xA83CE000 \SystemRoot\system32\DRIVERS\avgntflt.sys 0xA8345000 \SystemRoot\system32\DRIVERS\EAPPkt.sys 0xA83C6000 \SystemRoot\system32\DRIVERS\ndisuio.sys 0xA8048000 \SystemRoot\system32\DRIVERS\mrxdav.sys 0xA7F43000 \SystemRoot\system32\drivers\wdmaud.sys 0xA80E5000 \SystemRoot\system32\drivers\sysaudio.sys 0xF7DB7000 \SystemRoot\System32\Drivers\ParVdm.SYS 0xA7B76000 \SystemRoot\system32\DRIVERS\srv.sys 0xA79EB000 \SystemRoot\System32\Drivers\Fastfat.SYS 0xA7752000 \SystemRoot\System32\Drivers\HTTP.sys 0xA773A000 \??\C:\WINDOWS\System32\Drivers\SjyPkt.sys 0xA74F4000 \SystemRoot\system32\drivers\kmixer.sys 0x7C910000 \WINDOWS\system32\ntdll.dll Processes (total 35): 0 System Idle Process 4 System 548 C:\WINDOWS\system32\smss.exe 664 csrss.exe 700 C:\WINDOWS\system32\winlogon.exe 860 C:\WINDOWS\system32\services.exe 872 C:\WINDOWS\system32\lsass.exe 1032 C:\WINDOWS\system32\ati2evxx.exe 1048 C:\WINDOWS\system32\svchost.exe 1120 svchost.exe 1160 C:\WINDOWS\system32\svchost.exe 1236 svchost.exe 1372 C:\WINDOWS\system32\ati2evxx.exe 1464 svchost.exe 1712 C:\WINDOWS\explorer.exe 1828 C:\WINDOWS\system32\spoolsv.exe 1872 C:\Programme\Avira\AntiVir Desktop\sched.exe 1884 C:\Programme\Avira\AntiVir Desktop\avguard.exe 1936 svchost.exe 1976 C:\WINDOWS\SOUNDMAN.EXE 1996 C:\WINDOWS\mixer.exe 2008 C:\Programme\Avira\AntiVir Desktop\avgnt.exe 2024 C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe 2040 C:\Programme\pdf24\pdf24.exe 128 C:\Programme\Messenger\msmsgs.exe 136 C:\WINDOWS\system32\ctfmon.exe 272 C:\Programme\NETGEAR\WG111v2 Configuration Utility\RtlWake.exe 344 C:\Programme\Java\jre6\bin\jqs.exe 644 C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE 824 C:\WINDOWS\system32\svchost.exe 2244 C:\WINDOWS\system32\wbem\wmiapsrv.exe 2308 C:\Programme\NETGEAR\WG111v2 Configuration Utility\RtWLan.exe 2352 alg.exe 2904 C:\WINDOWS\system32\wuauclt.exe 912 C:\Dokumente und Einstellungen\User\Desktop\MBRCheck.exe \\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS) PhysicalDrive0 Model Number: Maxtor6Y080P0, Rev: YAR41BW0 Size Device Name MBR Status -------------------------------------------- 76 GB \\.\PhysicalDrive0 Windows XP MBR code detected SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11 Done! Gruß Andre |
14.09.2010, 21:07 | #10 |
/// Winkelfunktion /// TB-Süch-Tiger™ | BDS/Papras.pk durch AntiVir in mounkeys.dll gefunden Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!!
__________________ Logfiles bitte immer in CODE-Tags posten |
15.09.2010, 22:00 | #11 |
| BDS/Papras.pk durch AntiVir in mounkeys.dll gefunden Hallo, hier die Protokolle: Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4621 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 15.09.2010 21:18:34 mbam-log-2010-09-15 (21-18-34).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|) Durchsuchte Objekte: 183904 Laufzeit: 39 Minute(n), 23 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) _________________________________________________________________ _________________________________________________________________ SUPERAntiSpyware Scan Log hxxp://www.superantispyware.com Generated 09/15/2010 at 10:38 PM Application Version : 4.43.1000 Core Rules Database Version : 5512 Trace Rules Database Version: 3324 Scan type : Complete Scan Total Scan Time : 00:50:40 Memory items scanned : 457 Memory threats detected : 0 Registry items scanned : 5852 Registry threats detected : 0 File items scanned : 50497 File threats detected : 39 Adware.Tracking Cookie C:\Dokumente und Einstellungen\User\Cookies\user@statcounter[2].txt C:\Dokumente und Einstellungen\User\Cookies\user@rts.pgmediaserve[1].txt C:\Dokumente und Einstellungen\User\Cookies\user@adultadworld[1].txt C:\Dokumente und Einstellungen\User\Cookies\user@partypoker[2].txt C:\Dokumente und Einstellungen\User\Cookies\user@tracking.hannoversche[1].txt C:\Dokumente und Einstellungen\User\Cookies\user@adbrite[2].txt C:\Dokumente und Einstellungen\User\Cookies\user@ads.medienhaus[1].txt C:\Dokumente und Einstellungen\User\Cookies\user@ad.zanox[1].txt C:\Dokumente und Einstellungen\User\Cookies\user@adviva[2].txt C:\Dokumente und Einstellungen\User\Cookies\user@traffictrack[1].txt C:\Dokumente und Einstellungen\User\Cookies\user@mediadakine[1].txt C:\Dokumente und Einstellungen\User\Cookies\user@clicksor[1].txt C:\Dokumente und Einstellungen\User\Cookies\user@webmasterplan[1].txt C:\Dokumente und Einstellungen\User\Cookies\user@de.sitestat[1].txt C:\Dokumente und Einstellungen\User\Cookies\user@apmebf[1].txt C:\Dokumente und Einstellungen\User\Cookies\user@imagevenue.advertserve[2].txt C:\Dokumente und Einstellungen\User\Cookies\user@tracking.mlsat02[1].txt C:\Dokumente und Einstellungen\User\Cookies\user@ad.yieldmanager[2].txt C:\Dokumente und Einstellungen\User\Cookies\user@adultfriendfinder[2].txt C:\Dokumente und Einstellungen\User\Cookies\user@content.yieldmanager[1].txt C:\Dokumente und Einstellungen\User\Cookies\user@ad2.adfarm1.adition[2].txt C:\Dokumente und Einstellungen\User\Cookies\user@im.banner.t-online[1].txt C:\Dokumente und Einstellungen\User\Cookies\user@tracking.quisma[2].txt C:\Dokumente und Einstellungen\User\Cookies\user@ad.adnet[1].txt C:\Dokumente und Einstellungen\User\Cookies\user@collective-media[1].txt C:\Dokumente und Einstellungen\User\Cookies\user@atdmt[1].txt C:\Dokumente und Einstellungen\User\Cookies\user@ero-advertising[1].txt C:\Dokumente und Einstellungen\User\Cookies\user@serving.xxxwebtraffic[2].txt C:\Dokumente und Einstellungen\User\Cookies\user@tradedoubler[1].txt C:\Dokumente und Einstellungen\User\Cookies\user@d.mediadakine[2].txt C:\Dokumente und Einstellungen\User\Cookies\user@zedo[2].txt C:\Dokumente und Einstellungen\User\Cookies\user@doubleclick[1].txt C:\Dokumente und Einstellungen\User\Cookies\user@mediaplex[1].txt C:\Dokumente und Einstellungen\User\Cookies\user@rotator.adjuggler[2].txt C:\Dokumente und Einstellungen\User\Cookies\user@adfarm1.adition[2].txt C:\Dokumente und Einstellungen\User\Cookies\user@specificclick[1].txt C:\Dokumente und Einstellungen\User\Cookies\user@ad4.adfarm1.adition[1].txt C:\Dokumente und Einstellungen\User\Cookies\user@myroitracking[2].txt C:\Dokumente und Einstellungen\User\Cookies\user@adsrv.admediate[1].txt Gruß Andre |
16.09.2010, 09:37 | #12 |
/// Winkelfunktion /// TB-Süch-Tiger™ | BDS/Papras.pk durch AntiVir in mounkeys.dll gefunden Sieht ok aus, da wurden nur Cookies gefunden. Noch Probleme oder weitere Funde in der Zwischenzeit?
__________________ Logfiles bitte immer in CODE-Tags posten |
17.09.2010, 18:59 | #13 |
| BDS/Papras.pk durch AntiVir in mounkeys.dll gefunden Hallo, weitere Funde gab's in der Zwischenzeit nicht mehr. Wie ist mit den ganzen Ant-Viren-Programmen denn nun umzugehen? Wieder deinstallieren? Welches kostenlose Anti-Viren-Programm ist in Verbindung mit welcher Firewall Deiner Erfahrung nach zu empfehlen, oder muss mann doch besser Geld für vernünftige Qualität ausgeben? Bisher habe ich Avira Antivir in der Free Version, scheint aber trotz automatischer Updates nicht ausreichend Schutz zu bieten. Das ursprüngliche Problem mit dem Klicken beim Hochfahren und beim erstmaligen Öffnen der Programme ist übrigens noch vorhanden. Wohl doch die Festplatte!? Gruß und vielen Dank nochmals Andre |
17.09.2010, 19:56 | #14 | ||||
/// Winkelfunktion /// TB-Süch-Tiger™ | BDS/Papras.pk durch AntiVir in mounkeys.dll gefundenZitat:
Zitat:
Zitat:
Halte Dich am besten grob an diese fünf Regeln: 1) Sei misstrauisch im Internet und v.a. bei unbekannten E-Mails, sei vorsichtig bei der Herausgabe persönlicher Daten!! 2) Halte Windows und alle verwendeten Programme immer aktuell 3) Führe regelmäßig Backups auf externe Medien durch 4) Arbeite mit eingeschränkten Rechten 5) Nutze sichere Programme wie zB Opera oder Firefox zum Surfen statt den IE, zum Mailen Thunderbird statt Outlook Express - E-Mails nur als reinen text anzeigen lassen Alles noch genauer erklärt steht hier => Kompromittierung unvermeidbar? Zitat:
__________________ Logfiles bitte immer in CODE-Tags posten |
Themen zu BDS/Papras.pk durch AntiVir in mounkeys.dll gefunden |
0x00000001, 7-zip, acroiehelper.dll, antivir, avgntflt.sys, avira, bho, components, converter, desktop, entfernen, error, festplatte, flash player, format, homepage, internet, internet explorer, location, logfile, netgear, object, oldtimer, otl logfile, otl.exe, plug-in, rattern, realtek, registry, rundll, saver, sched.exe, security, server, shell32.dll, software, starten, system, windows internet, windows internet explorer |