Welcome to MalwareRemoval.com,
What if we told you that you could get malware removal help from experts, and that it was 100% free? MalwareRemoval.com provides free support for people with infected computers. Our help, and the tools we use are always 100% free. No hidden catch. We simply enjoy helping others. You enjoy a clean, safe computer.

Malware Removal Instructions

Backdoor programme found during Antivir Scan-BDS/Papras.aak

MalwareRemoval.com provides free support for people with infected computers. Using plain language that anyone can understand, our community of volunteer experts will walk you through each step.

Backdoor programme found during Antivir Scan-BDS/Papras.aak

Unread postby jdr 275 » January 5th, 2011, 8:07 am

After booting my computer this morning I received am acoustic warning followed by a pop up from Antivir warning me that an cognitive sample from the malware BDS/Papras.aak has been found in my system. As I am not sure that I will be able to remove this from my system, and a formation is the least favourite solution, I would be grateful for any assistance and help from experts.
Thank you, I am looking forward to your reply.

Please find required information below.

:P

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 12:41:53, on 05.01.2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Avira\AntiVir Desktop\avshadow.exe
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Desktop Search\WindowsSearch.exe
C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
c:\programme\avira\antivir desktop\avcenter.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\msiexec.exe
C:\Programme\Trend Micro\HijackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/webhp?rls=ig
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = 192.168.2.32
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: Download Manager Browser Helper Object - {19C8E43B-07B3-49CB-BFFC-6777B593E6F8} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
O2 - BHO: (no name) - {D032570A-5F63-4812-A094-87D007C23012} - (no file)
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: DSL-Manager.lnk = C:\Programme\DSL-Manager\DslMgr.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: DSL-Manager.lnk = C:\Programme\DSL-Manager\DslMgr.exe (User 'Default user')
O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Global Startup: Windows Desktop Search.lnk = C:\Programme\Windows Desktop Search\WindowsSearch.exe
O4 - Global Startup: Zahlungserinnerung.lnk = C:\HCW\wzed.exe
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/200 ... oader5.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Shar ... vSniff.cab
O16 - DPF: {2EF3FB47-7B1E-4536-BA4D-51427BD45DFA} (Snapfish Drag and Drop upload plugin) - http://www.pixaco.de/static/download/pi ... upload.cab
O16 - DPF: {474F00F5-3853-492C-AC3A-476512BBC336} (UploadListView Class) - http://picasaweb.google.com/s/v/17.17/uploader2.cab
O16 - DPF: {5C6698D9-7BE4-4122-8EC5-291D84DBD4A0} (Facebook Photo Uploader 4 Control) - http://upload.facebook.com/controls/Fac ... oader3.cab
O16 - DPF: {5F8469B4-B055-49DD-83F7-62B522420ECC} (Facebook Photo Uploader Control) - http://upload.facebook.com/controls/Fac ... loader.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://icq.oberon-media.com/Gameshell/G ... meHost.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{07001AE9-9804-49CE-BF81-1805CAC2EE49}: NameServer = 93.188.164.75,93.188.166.225
O17 - HKLM\System\CCS\Services\Tcpip\..\{7CAEFA61-3C40-4EDD-A5BC-DDBC32F9FF24}: NameServer = 93.188.164.75,93.188.166.225
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 93.188.164.75,93.188.166.225
O17 - HKLM\System\CS1\Services\Tcpip\..\{07001AE9-9804-49CE-BF81-1805CAC2EE49}: NameServer = 93.188.164.75,93.188.166.225
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 93.188.164.75,93.188.166.225
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Hotspot Manager (HotSpotFSvc) - Unknown owner - C:\Programme\Gemeinsame Dateien\T-COM\HotspotMgr\HotSpotFSvc.exe (file missing)
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: ServiceLayer - Nokia - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: DSL-Manager (TDslMgrService) - T-Systems Enterprise Services GmbH - C:\Programme\DSL-Manager\DslMgrSvc.exe

--
End of file - 10241 bytes



7digital Download Manager
7digital Download Manager
AC3File (remove only)
Adobe AIR
Adobe AIR
Adobe Flash Player 10 ActiveX
Adobe Flash Player 10 Plugin
Adobe Reader 7.0.7 - Deutsch
AnyDVD
Apple Application Support
Apple Software Update
ATI - Dienstprogramm zur Deinstallation der Software
ATI Control Panel
ATI Display Driver
Avira AntiVir Personal - Free Antivirus
BitTorrent
CCleaner
Command & Conquer Alarmstufe Rot 2
Command && Conquer Alarmstufe Rot 2 - Yuris Rache
Command &&& Conquer Red Alert 2 - Yuri's Revenge - Purple Alert
DSL-Manager
DVD Shrink 3.2
Flickr Uploadr 3.0.5
Google Earth
Google Toolbar for Firefox
HiJackThis
Home cash
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)
Hotfix for Windows Media Format 11 SDK (KB929399)
Hotfix für Windows Internet Explorer 7 (KB947864)
Hotfix für Windows Media Player 11 (KB939683)
Hotfix für Windows XP (KB952287)
Hotfix für Windows XP (KB961118)
Hotfix für Windows XP (KB970653-v3)
Hotfix für Windows XP (KB976098-v2)
Hotfix für Windows XP (KB979306)
Hotfix für Windows XP (KB981793)
HP Deskjet 5900 series
HP Extended Capabilities 5.0
HP Image Zone 5.0
HP Imaging Device Functions 5.0
HP Software Update
HP Solution Center & Imaging Support Tools 5.0
HP Update
ICQ Toolbar
ICQ6.5
Image Resizer Powertoy for Windows XP
IMAPSize 0.3.7
InterVideo FilterSDK for Techno Trend
Iomega Product Registration
iTunes
J2SE Runtime Environment 5.0 Update 10
J2SE Runtime Environment 5.0 Update 11
J2SE Runtime Environment 5.0 Update 6
Java(TM) SE Runtime Environment 6 Update 1
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 German Language Pack
Microsoft .NET Framework 1.1 Security Update (KB979906)
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 3.0 Service Pack 2
Microsoft .NET Framework 3.5 SP1
Microsoft .NET Framework 3.5 SP1
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft Internationalized Domain Names Mitigation APIs
Microsoft Kernel-Mode Driver Framework Feature Pack 1.5
Microsoft Kernel-Mode Driver Framework Feature Pack 1.9
Microsoft National Language Support Downlevel APIs
Microsoft Office 2007 Service Pack 2 (SP2)
Microsoft Office 2007 Service Pack 2 (SP2)
Microsoft Office 2007 Service Pack 2 (SP2)
Microsoft Office 2007 Service Pack 2 (SP2)
Microsoft Office 2007 Service Pack 2 (SP2)
Microsoft Office 2007 Service Pack 2 (SP2)
Microsoft Office Excel MUI (German) 2007
Microsoft Office Home and Student 2007
Microsoft Office Home and Student 2007
Microsoft Office OneNote MUI (German) 2007
Microsoft Office PowerPoint MUI (German) 2007
Microsoft Office Proof (English) 2007
Microsoft Office Proof (French) 2007
Microsoft Office Proof (German) 2007
Microsoft Office Proof (Italian) 2007
Microsoft Office Proofing (German) 2007
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
Microsoft Office Shared MUI (German) 2007
Microsoft Office Word MUI (German) 2007
Microsoft SQL Server 2005 Compact Edition [ENU]
Microsoft User-Mode Driver Framework Feature Pack 1.9
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
Microsoft Visual J# .NET Redistributable Package 1.1
Mozilla Firefox (3.6.13)
Mozilla Thunderbird (3.1.2)
MSVC80_x86_v2
MSVC90_x86
MSXML 4.0 SP2 (KB936181)
MSXML 4.0 SP2 (KB954430)
MSXML 4.0 SP2 (KB973688)
Nero 8
Nero BurnRights
neroxml
Nokia Connectivity Cable Driver
Nokia Ovi Suite
Nokia Ovi Suite
Nokia Ovi Suite Software Updater
Ovi Desktop Sync Engine
OviMPlatform
PC Connectivity Solution
Picasa 3
Playlist tool
PowerDVD
QuickTime
Security Update for 2007 Microsoft Office System (KB2277947)
Security Update for 2007 Microsoft Office System (KB969559)
Security Update for 2007 Microsoft Office System (KB976321)
Security Update for 2007 Microsoft Office System (KB982312)
Security Update for 2007 Microsoft Office System (KB982331)
Security Update for CAPICOM (KB931906)
Security Update for CAPICOM (KB931906)
Security Update for Microsoft Office Excel 2007 (KB982308)
Security Update for Microsoft Office InfoPath 2007 (KB979441)
Security Update for Microsoft Office PowerPoint 2007 (KB982158)
Security Update for Microsoft Office system 2007 (972581)
Security Update for Microsoft Office system 2007 (KB974234)
Security Update for Microsoft Office Visio Viewer 2007 (KB973709)
Security Update for Microsoft Office Word 2007 (KB2251419)
Sicherheitsupdate für Windows Internet Explorer 7 (KB928090)
Sicherheitsupdate für Windows Internet Explorer 7 (KB929969)
Sicherheitsupdate für Windows Internet Explorer 7 (KB931768)
Sicherheitsupdate für Windows Internet Explorer 7 (KB933566)
Sicherheitsupdate für Windows Internet Explorer 7 (KB937143)
Sicherheitsupdate für Windows Internet Explorer 7 (KB938127)
Sicherheitsupdate für Windows Internet Explorer 7 (KB939653)
Sicherheitsupdate für Windows Internet Explorer 7 (KB942615)
Sicherheitsupdate für Windows Internet Explorer 7 (KB944533)
Sicherheitsupdate für Windows Internet Explorer 7 (KB950759)
Sicherheitsupdate für Windows Internet Explorer 7 (KB953838)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2183461)
Sicherheitsupdate für Windows Internet Explorer 8 (KB969897)
Sicherheitsupdate für Windows Internet Explorer 8 (KB971961)
Sicherheitsupdate für Windows Internet Explorer 8 (KB972260)
Sicherheitsupdate für Windows Internet Explorer 8 (KB974455)
Sicherheitsupdate für Windows Internet Explorer 8 (KB976325)
Sicherheitsupdate für Windows Internet Explorer 8 (KB978207)
Sicherheitsupdate für Windows Internet Explorer 8 (KB981332)
Sicherheitsupdate für Windows Internet Explorer 8 (KB982381)
Sicherheitsupdate für Windows Media Player (KB952069)
Sicherheitsupdate für Windows Media Player (KB954155)
Sicherheitsupdate für Windows Media Player (KB968816)
Sicherheitsupdate für Windows Media Player (KB973540)
Sicherheitsupdate für Windows Media Player (KB978695)
Sicherheitsupdate für Windows Media Player 10 (KB911565)
Sicherheitsupdate für Windows Media Player 10 (KB917734)
Sicherheitsupdate für Windows Media Player 10 (KB936782)
Sicherheitsupdate für Windows Media Player 11 (KB936782)
Sicherheitsupdate für Windows Media Player 11 (KB954154)
Sicherheitsupdate für Windows XP (KB2079403)
Sicherheitsupdate für Windows XP (KB2115168)
Sicherheitsupdate für Windows XP (KB2160329)
Sicherheitsupdate für Windows XP (KB2229593)
Sicherheitsupdate für Windows XP (KB2286198)
Sicherheitsupdate für Windows XP (KB923561)
Sicherheitsupdate für Windows XP (KB938464)
Sicherheitsupdate für Windows XP (KB941569)
Sicherheitsupdate für Windows XP (KB946648)
Sicherheitsupdate für Windows XP (KB950760)
Sicherheitsupdate für Windows XP (KB950762)
Sicherheitsupdate für Windows XP (KB950974)
Sicherheitsupdate für Windows XP (KB951066)
Sicherheitsupdate für Windows XP (KB951376)
Sicherheitsupdate für Windows XP (KB951376-v2)
Sicherheitsupdate für Windows XP (KB951698)
Sicherheitsupdate für Windows XP (KB951748)
Sicherheitsupdate für Windows XP (KB952004)
Sicherheitsupdate für Windows XP (KB952954)
Sicherheitsupdate für Windows XP (KB953839)
Sicherheitsupdate für Windows XP (KB954211)
Sicherheitsupdate für Windows XP (KB954459)
Sicherheitsupdate für Windows XP (KB954600)
Sicherheitsupdate für Windows XP (KB955069)
Sicherheitsupdate für Windows XP (KB956391)
Sicherheitsupdate für Windows XP (KB956572)
Sicherheitsupdate für Windows XP (KB956744)
Sicherheitsupdate für Windows XP (KB956802)
Sicherheitsupdate für Windows XP (KB956803)
Sicherheitsupdate für Windows XP (KB956841)
Sicherheitsupdate für Windows XP (KB956844)
Sicherheitsupdate für Windows XP (KB957095)
Sicherheitsupdate für Windows XP (KB957097)
Sicherheitsupdate für Windows XP (KB958644)
Sicherheitsupdate für Windows XP (KB958687)
Sicherheitsupdate für Windows XP (KB958690)
Sicherheitsupdate für Windows XP (KB958869)
Sicherheitsupdate für Windows XP (KB959426)
Sicherheitsupdate für Windows XP (KB960225)
Sicherheitsupdate für Windows XP (KB960715)
Sicherheitsupdate für Windows XP (KB960803)
Sicherheitsupdate für Windows XP (KB960859)
Sicherheitsupdate für Windows XP (KB961371)
Sicherheitsupdate für Windows XP (KB961373)
Sicherheitsupdate für Windows XP (KB961501)
Sicherheitsupdate für Windows XP (KB968537)
Sicherheitsupdate für Windows XP (KB969059)
Sicherheitsupdate für Windows XP (KB969898)
Sicherheitsupdate für Windows XP (KB969947)
Sicherheitsupdate für Windows XP (KB970238)
Sicherheitsupdate für Windows XP (KB970430)
Sicherheitsupdate für Windows XP (KB971468)
Sicherheitsupdate für Windows XP (KB971486)
Sicherheitsupdate für Windows XP (KB971557)
Sicherheitsupdate für Windows XP (KB971633)
Sicherheitsupdate für Windows XP (KB971657)
Sicherheitsupdate für Windows XP (KB972270)
Sicherheitsupdate für Windows XP (KB973346)
Sicherheitsupdate für Windows XP (KB973354)
Sicherheitsupdate für Windows XP (KB973507)
Sicherheitsupdate für Windows XP (KB973525)
Sicherheitsupdate für Windows XP (KB973869)
Sicherheitsupdate für Windows XP (KB973904)
Sicherheitsupdate für Windows XP (KB974112)
Sicherheitsupdate für Windows XP (KB974318)
Sicherheitsupdate für Windows XP (KB974392)
Sicherheitsupdate für Windows XP (KB974571)
Sicherheitsupdate für Windows XP (KB975025)
Sicherheitsupdate für Windows XP (KB975467)
Sicherheitsupdate für Windows XP (KB975560)
Sicherheitsupdate für Windows XP (KB975561)
Sicherheitsupdate für Windows XP (KB975562)
Sicherheitsupdate für Windows XP (KB975713)
Sicherheitsupdate für Windows XP (KB977165)
Sicherheitsupdate für Windows XP (KB977816)
Sicherheitsupdate für Windows XP (KB977914)
Sicherheitsupdate für Windows XP (KB978037)
Sicherheitsupdate für Windows XP (KB978251)
Sicherheitsupdate für Windows XP (KB978262)
Sicherheitsupdate für Windows XP (KB978338)
Sicherheitsupdate für Windows XP (KB978542)
Sicherheitsupdate für Windows XP (KB978601)
Sicherheitsupdate für Windows XP (KB978706)
Sicherheitsupdate für Windows XP (KB979309)
Sicherheitsupdate für Windows XP (KB979482)
Sicherheitsupdate für Windows XP (KB979559)
Sicherheitsupdate für Windows XP (KB979683)
Sicherheitsupdate für Windows XP (KB980195)
Sicherheitsupdate für Windows XP (KB980218)
Sicherheitsupdate für Windows XP (KB980232)
Sicherheitsupdate für Windows XP (KB980436)
Sicherheitsupdate für Windows XP (KB981852)
Sicherheitsupdate für Windows XP (KB981997)
Sicherheitsupdate für Windows XP (KB982214)
Sicherheitsupdate für Windows XP (KB982665)
SoundMAX
TheSkyX First Light Edition
T-Online 6.0
T-Online WLAN-Access Finder
Uninstall 1.0.0.1
Update for 2007 Microsoft Office System (KB967642)
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)
Update for Microsoft Office OneNote 2007 (KB980729)
Update für Windows Internet Explorer 8 (KB968220)
Update für Windows Internet Explorer 8 (KB976662)
Update für Windows Internet Explorer 8 (KB976749)
Update für Windows Internet Explorer 8 (KB980182)
Update für Windows XP (KB951072-v2)
Update für Windows XP (KB951978)
Update für Windows XP (KB955759)
Update für Windows XP (KB955839)
Update für Windows XP (KB967715)
Update für Windows XP (KB968389)
Update für Windows XP (KB971737)
Update für Windows XP (KB973687)
Update für Windows XP (KB973815)
USB Flachbettscanner
VCRedistSetup
VIA Integrated Setup Wizard
Videoload Manager 1.0.1095
VR-NetWorld
Wichtiges Update für Windows Media Player 11 (KB959772)
WinAce Archiver
Windows Desktop Search 3.01
Windows Feature Pack for Storage (32-bit) - IMAPI update for Blu-Ray
Windows Internet Explorer 8
Windows Media Format 11 runtime
Windows Media Format 11 runtime
Windows Media Player 11
Windows Media Player 11
Windows Media Player Firefox Plugin
Windows XP Service Pack 3
Windows-Treiberpaket - Nokia pccsmcfd (08/22/2008 7.0.0.0)
WinTV NOVA
jdr 275
Regular Member
 
Posts: 20
Joined: January 5th, 2011, 7:29 am
Advertisement
Register to Remove

Re: Backdoor programme found during Antivir Scan-BDS/Papras.

Unread postby askey127 » January 8th, 2011, 8:33 am

Hi jdr 275,
There are quite a large number of things to do here.
Please do them in the sequence as listed.
-----------------------------------------------
Please Note Our Policy on the Use of P2P (Person to Person / Peer to Peer) file sharing programs
It is posted here: http://malwareremoval.com/forum/viewtopic.php?p=491394#p491394
As a condition of receiving our help, I have included the P2P program BitTorrent in the removal instructions below, so we are not wasting our time.
If you have used this, you can be fairly confident this is a principal reason your computer is infected

It's really important, if you value your PC at all, to stay away from P2P file sharing programs, like utorrent, Bittorrent, Azureus, Frostwire, Limewire, Vuze, Shareaza, Bitlord.
(Limewire has just been shut down by the courts).
Criminals have "planted" thousands of infections in the "free" shared files. Some of the recent infections can ruin the operation of your machine.
-----------------------------------------------
Older versions such as your current "Adobe Reader 7.0.7 - Deutsch" are vulnerable to infection.
You need to have at least version 9.4, as per the following instructions.
We will also update your Java.
-----------------------------------------------------------
Remove Registry items with HighjackThis. Start HijackThis.
Click Do System Scan Only. When the Scan is complete, Check the following entries:
(Some of these lines may be missing)

O17 - HKLM\System\CCS\Services\Tcpip\..\{07001AE9-9804-49CE-BF81-1805CAC2EE49}: NameServer = 93.188.164.75,93.188.166.225
O17 - HKLM\System\CCS\Services\Tcpip\..\{7CAEFA61-3C40-4EDD-A5BC-DDBC32F9FF24}: NameServer = 93.188.164.75,93.188.166.225
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 93.188.164.75,93.188.166.225
O17 - HKLM\System\CS1\Services\Tcpip\..\{07001AE9-9804-49CE-BF81-1805CAC2EE49}: NameServer = 93.188.164.75,93.188.166.225
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 93.188.164.75,93.188.166.225

Make sure Every other window except HJT is closed (No other tabs showing in the bottom tray), and Click Fix Checked
Click the "X" in the upper right corner of the HiJackThis window to close it.
-----------------------------------------------------------
REBOOT (RESTART) Your Machine
-----------------------------------------------------------
Remove Programs Using Control Panel
From Start, Settings, Control Panel or Start, Control Panel, click Add/Remove Programs.
Highlight each Entry, as follows, one by one, if it exists, and choose Remove :

Adobe Reader 7.0.7 - Deutsch
BitTorrent
J2SE Runtime Environment 5.0 Update 10
J2SE Runtime Environment 5.0 Update 11
J2SE Runtime Environment 5.0 Update 6
Java(TM) SE Runtime Environment 6 Update 1

Take extra care in answering questions posed by any Uninstaller.
------------------------------------------------------------
Download the latest version of Adobe Reader from here: http://www.chip.de/downloads/Adobe-Reader_12998358.html
Install it on your system.
------------------------------------------------------------
Download and Install the latest version of Java Runtime Environment from here : http://java.sun.com/javase/downloads/index.jsp, and install it to your computer.
In the first section on the page, labeled JDK 6 Update 23 (JDK or JRE), click on the button labeled Download JRE. Do NOT choose the button labeled "Download JDK".
Select the Platform Windows and check the box to agree to the license.
Choose the Windows Offline installation version and click on the link.
Download it, choose Save, and save it to your desktop.
Then doubleclick it on your desktop, and it will install the newest version of Java for you to use.
You can then remove the Installer from your desktop.
-----------------------------------------------
Get Last Avira Report
Right click the red umbrella icon in the system tray and click Start Antivir
In the left pane, click Overview, then click Reports
There wil be reports titled Update and reports titled Scan. Find the most recent report in the list titled Scan
Click on the Report File button, or Right click the report and choose Display Report.
The report contents will come up in Notepad. Highlight the entire report (Ctrl+A) and copy to the clipboard (Ctrl+C).
Paste the contents (Ctrl+V) into your next reply.

Let me know if you were able to do all the tasks.
askey127
User avatar
askey127
Admin/Teacher
Admin/Teacher
 
Posts: 13906
Joined: April 17th, 2005, 3:25 pm
Location: New Hampshire USA

Re: Backdoor programme found during Antivir Scan-BDS/Papras.

Unread postby jdr 275 » January 8th, 2011, 2:21 pm

Hi askey127

Thanks for your help.Yes I was able to carry out all the tasks listed in your post.
One point that I am not sure on , do you require a scan report prior to the changes or after. I have pasted a report below prior to the changes carried out today. Please let me know if you need to see a report from today(after the changes)


:mrgreen: :cheers:



vira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 5. Januar 2011 12:01

Es wird nach 2327795 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : Papa
Computername : XP-7B8DE3E8A570

Versionsinformationen:
BUILD.DAT : 10.0.0.609 31824 Bytes 13.12.2010 09:29:00
AVSCAN.EXE : 10.0.3.5 435368 Bytes 09.12.2010 14:22:37
AVSCAN.DLL : 10.0.3.0 56168 Bytes 19.04.2010 16:48:33
LUKE.DLL : 10.0.3.2 104296 Bytes 09.12.2010 14:22:38
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 09:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 14:45:47
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 09:32:21
VBASE002.VDF : 7.11.0.1 2048 Bytes 14.12.2010 09:32:21
VBASE003.VDF : 7.11.0.2 2048 Bytes 14.12.2010 09:32:21
VBASE004.VDF : 7.11.0.3 2048 Bytes 14.12.2010 09:32:21
VBASE005.VDF : 7.11.0.4 2048 Bytes 14.12.2010 09:32:21
VBASE006.VDF : 7.11.0.5 2048 Bytes 14.12.2010 09:32:22
VBASE007.VDF : 7.11.0.6 2048 Bytes 14.12.2010 09:32:22
VBASE008.VDF : 7.11.0.7 2048 Bytes 14.12.2010 09:32:22
VBASE009.VDF : 7.11.0.8 2048 Bytes 14.12.2010 09:32:22
VBASE010.VDF : 7.11.0.9 2048 Bytes 14.12.2010 09:32:22
VBASE011.VDF : 7.11.0.10 2048 Bytes 14.12.2010 09:32:23
VBASE012.VDF : 7.11.0.11 2048 Bytes 14.12.2010 09:32:23
VBASE013.VDF : 7.11.0.52 128000 Bytes 16.12.2010 09:32:23
VBASE014.VDF : 7.11.0.91 226816 Bytes 20.12.2010 14:33:29
VBASE015.VDF : 7.11.0.122 136192 Bytes 21.12.2010 11:51:40
VBASE016.VDF : 7.11.0.156 122880 Bytes 24.12.2010 11:51:41
VBASE017.VDF : 7.11.0.185 146944 Bytes 27.12.2010 11:19:25
VBASE018.VDF : 7.11.0.228 132608 Bytes 30.12.2010 08:26:52
VBASE019.VDF : 7.11.1.5 148480 Bytes 03.01.2011 10:58:27
VBASE020.VDF : 7.11.1.6 2048 Bytes 03.01.2011 10:58:28
VBASE021.VDF : 7.11.1.7 2048 Bytes 03.01.2011 10:58:28
VBASE022.VDF : 7.11.1.8 2048 Bytes 03.01.2011 10:58:28
VBASE023.VDF : 7.11.1.9 2048 Bytes 03.01.2011 10:58:28
VBASE024.VDF : 7.11.1.10 2048 Bytes 03.01.2011 10:58:28
VBASE025.VDF : 7.11.1.11 2048 Bytes 03.01.2011 10:58:28
VBASE026.VDF : 7.11.1.12 2048 Bytes 03.01.2011 10:58:28
VBASE027.VDF : 7.11.1.13 2048 Bytes 03.01.2011 10:58:28
VBASE028.VDF : 7.11.1.14 2048 Bytes 03.01.2011 10:58:28
VBASE029.VDF : 7.11.1.15 2048 Bytes 03.01.2011 10:58:28
VBASE030.VDF : 7.11.1.16 2048 Bytes 03.01.2011 10:58:28
VBASE031.VDF : 7.11.1.28 93184 Bytes 05.01.2011 10:58:29
Engineversion : 8.2.4.134
AEVDF.DLL : 8.1.2.1 106868 Bytes 31.07.2010 14:18:55
AESCRIPT.DLL : 8.1.3.51 1286524 Bytes 30.12.2010 11:20:20
AESCN.DLL : 8.1.7.2 127349 Bytes 23.11.2010 14:39:02
AESBX.DLL : 8.1.3.2 254324 Bytes 23.11.2010 14:39:03
AERDL.DLL : 8.1.9.2 635252 Bytes 23.09.2010 08:32:03
AEPACK.DLL : 8.2.4.7 512375 Bytes 30.12.2010 11:20:12
AEOFFICE.DLL : 8.1.1.10 201084 Bytes 23.11.2010 14:39:02
AEHEUR.DLL : 8.1.2.60 3158392 Bytes 30.12.2010 11:20:06
AEHELP.DLL : 8.1.16.0 246136 Bytes 07.12.2010 14:29:38
AEGEN.DLL : 8.1.5.0 397685 Bytes 07.12.2010 14:29:38
AEEMU.DLL : 8.1.3.0 393589 Bytes 23.11.2010 14:38:56
AECORE.DLL : 8.1.19.0 196984 Bytes 07.12.2010 14:29:37
AEBB.DLL : 8.1.1.0 53618 Bytes 24.04.2010 12:02:09
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 09:59:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 09:59:07
AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 14:47:40
AVREG.DLL : 10.0.3.2 53096 Bytes 04.11.2010 14:41:24
AVSCPLR.DLL : 10.0.3.2 84328 Bytes 09.12.2010 14:22:38
AVARKT.DLL : 10.0.22.6 231784 Bytes 09.12.2010 14:22:36
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 07:53:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 10:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 13:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 12:40:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 11:10:08
RCTEXT.DLL : 10.0.58.0 98152 Bytes 04.11.2010 14:41:23

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Schnelle Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\quicksysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: quarantäne
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Intelligente Dateiauswahl
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Mittwoch, 5. Januar 2011 12:01

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ONENOTEM.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WindowsSearch.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'atiptaxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchFilterHost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchProtocolHost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SMAgent.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPZipm12.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NBService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MZCCntrl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICQ Service.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
C:\WINDOWS\system32\automstp.dll
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Papras.aak
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26003
[WARNUNG] Die Datei konnte nicht gelöscht werden!
[HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
[HINWEIS] Eine Instanz der ARK Library läuft bereits.
[WARNUNG] Die Datei wurde ignoriert.

Die Registry wurde durchsucht ( '479' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\Dokumente und Einstellungen\Papa'


Ende des Suchlaufs: Mittwoch, 5. Januar 2011 12:13
Benötigte Zeit: 11:53 Minute(n)

Der Suchlauf wurde abgebrochen!

760 Verzeichnisse wurden überprüft
49811 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
49810 Dateien ohne Befall
536 Archive wurden durchsucht
1 Warnungen
1 Hinweise
jdr 275
Regular Member
 
Posts: 20
Joined: January 5th, 2011, 7:29 am

Re: Backdoor programme found during Antivir Scan-BDS/Papras.

Unread postby askey127 » January 8th, 2011, 4:01 pm

jdr 275,
That scan log done before the changes is just fine.

Would you be so kind as to translate the comments below into English?
I need to know the final disposition of the infected file. Was it quarantined or ignored?
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Papras.aak
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26003
[WARNUNG] Die Datei konnte nicht gelöscht werden!
[HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
[HINWEIS] Eine Instanz der ARK Library läuft bereits.
[WARNUNG] Die Datei wurde ignoriert.

Thanks
askey127
User avatar
askey127
Admin/Teacher
Admin/Teacher
 
Posts: 13906
Joined: April 17th, 2005, 3:25 pm
Location: New Hampshire USA

Re: Backdoor programme found during Antivir Scan-BDS/Papras.

Unread postby jdr 275 » January 9th, 2011, 5:46 am

Hi askey127.

Here´s the translation as requested.

[FINDING]Includes a recognition pattern of the (dangerous) Backdoorprogrammes BDS/Papras.aak.
[WARNING]While attempting to make a backup copy of the file,an error occured and the file was not erased. Error number: 26003
[WARNING] The file could not be erased.
[INDICATOR]Will attempt to carry out the action with the help of the ARK Library.
[INDICATOR]An entity of the ARK Library is already running.
[WARNING] The file was ignored.
jdr 275
Regular Member
 
Posts: 20
Joined: January 5th, 2011, 7:29 am

Re: Backdoor programme found during Antivir Scan-BDS/Papras.

Unread postby askey127 » January 9th, 2011, 9:00 am

jdr 275,
-----------------------------------------------------------
Download and Run ComboFix
IMPORTANT NOTE: ComboFix is a VERY POWERFUL tool. DO NOT use it without guidance.
ComboFix uses very forceful tactics to remove malware from your system. Your antivirus software may warn you about the file.
You will need to disable all your antivirus software after downloading but BEFORE running ComboFix.
.
  • Download ComboFix from here
  • Rename it while saving the download to zzz.exe and save it to your Desktop. Do not try to rename it after it has been saved to your desktop, or the infection may prevent you from using it.
    **Note: It is important that it is saved directly to your desktop and run from the desktop, not from any other folder on your computer**
  • DISABLE AVIRA ANTIVIR
    Please navigate to the system tray on the bottom right hand corner and look for an open umbrella on red background (looks like this:Image )
    • Right click it and untick any of the options AntiVir Guard enable, Antivir Webguard enable, and Antivir Mailguard enable, that are present.
    • You should now see a closed umbrella on a red background (looks like this: Image )
    The AntiVir Guards are now disabled.
  • Now start ComboFix (zzz.exe)
  • The tool will check whether the Recovery Console is present on your system. If it is not, ComboFix will prompt you whether you would like to install it. (You would).
  • If it is not, make sure you are connected to the internet as ComboFix needs to download a file. When you are connected to the internet, click Yes and follow the prompts.
    When asked whether to continue scanning or to exit, click Yes to continue scanning (no need to disconnect from the internet as ComboFix breaks your internet connection for you).
  • It will run through about 50 procedures, then take a while to assemble its output log.
  • Do not touch the computer AT ALL while ComboFix is running.
  • When finished, the report will open. Post the log in your next reply, and then Reenable your AVG protection software
A copy of the log will be located here if you need it-> C:\ComboFix.txt
If you cannot connect to the internet after running ComboFix, unplug the cable you use to connect to the internet and plug it back in.

The Recovery Console produces a brief (2 second) black screen at bootup which allows an additional technical resource for repair in case of a major failure. In regular operation, you can ignore it.
askey127
User avatar
askey127
Admin/Teacher
Admin/Teacher
 
Posts: 13906
Joined: April 17th, 2005, 3:25 pm
Location: New Hampshire USA

Re: Backdoor programme found during Antivir Scan-BDS/Papras.

Unread postby jdr 275 » January 9th, 2011, 10:20 am

Hi askey127.

I conducted all instructions as requested. A rootkit was found and the system was rebooted prior to scanning.
It all ran well.
With the exception that once ComboFix was finished scanning no text report was opened and my desktop was inactive ( No task bar or icons).
I rebooted using the task manager and found the text report in C:
See below.

ComboFix 11-01-08.04 - Papa 09.01.2011 14:38:54.1.1 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1023.654 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Papa\Desktop\zzz.exe
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
/wow section - STAGE 50
Das System kann den angegebenen Pfad nicht finden.


(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

Infizierte Kopie von C:\WINDOWS\system32\drivers\disk.sys wurde gefunden und desinfiziert
Kopie von - Kitty had a snack :p wurde wiederhergestellt
.
((((((((((((((((((((((( Dateien erstellt von 2010-12-09 bis 2011-01-09 ))))))))))))))))))))))))))))))
.

2011-01-09 09:36:01 . 2010-09-18 06:52:56 953856 -c----w- C:\WINDOWS\system32\dllcache\mfc40u.dll
2011-01-09 09:35:59 . 2010-09-18 06:52:56 974848 -c----w- C:\WINDOWS\system32\dllcache\mfc42.dll
2011-01-09 09:35:46 . 2010-08-23 16:11:49 617472 -c----w- C:\WINDOWS\system32\dllcache\comctl32.dll
2011-01-09 09:34:23 . 2010-11-02 15:17:02 40960 -c----w- C:\WINDOWS\system32\dllcache\ndproxy.sys
2011-01-09 09:30:18 . 2010-10-11 14:59:30 45568 -c----w- C:\WINDOWS\system32\dllcache\wab.exe
2011-01-08 18:06:30 . 2011-01-08 18:06:30 -------- d-----w- C:\Programme\Gemeinsame Dateien\Java
2011-01-08 18:06:10 . 2011-01-08 18:05:46 472808 ----a-w- C:\Programme\Mozilla Firefox\plugins\npdeployJava1.dll
2011-01-08 18:06:10 . 2011-01-08 18:05:43 73728 ----a-w- C:\WINDOWS\system32\javacpl.cpl
2011-01-08 18:06:10 . 2011-01-08 18:05:42 472808 ----a-w- C:\WINDOWS\system32\deployJava1.dll
2011-01-05 11:40:51 . 2011-01-05 11:40:51 388096 ----a-r- C:\Dokumente und Einstellungen\Papa\Anwendungsdaten\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2010-12-21 15:42:50 . 2010-12-21 15:42:50 -------- d-sh--w- C:\Dokumente und Einstellungen\LocalService\IETldCache

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-06-10 19:10:00 339968]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2010-08-10 03:15:54 421888]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 10.0\Reader\Reader_sl.exe" [2010-11-10 11:49:36 35736]
"Adobe ARM"="C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-11-10 11:49:34 932288]
"SunJavaUpdateSched"="C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 10:44:46 248552]
jdr 275
Regular Member
 
Posts: 20
Joined: January 5th, 2011, 7:29 am

Re: Backdoor programme found during Antivir Scan-BDS/Papras.

Unread postby jdr 275 » January 9th, 2011, 12:48 pm

Hi askey127.

While away my AntiVir scanned the system and reported a virus .
Is this the same one or is my system full of malware.
I have attached the log report below and translated the relevent action.


Beginne mit der Desinfektion:
C:\Qoobox\Quarantine\C\WINDOWS\system32\Drivers\disk.sys.vir
[FUND] Ist das Trojanische Pferd TR/Rootkit.Gen3
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4fa1475a.qua' verschoben!

Start the disinfection
C:\Qoobox\Quarantine\C\WINDOWS\system32\Drivers\disk.sys.vir
[FINDING] Is the Trojan horse TR/Rootkit.Gen3
[INDICATOR] The file was shifted into the quarantine list under the name '4fa1475a.qua'!

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Sonntag, 9. Januar 2011 17:32

Es wird nach 2336006 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : XP-7B8DE3E8A570

Versionsinformationen:
BUILD.DAT : 10.0.0.609 31824 Bytes 13.12.2010 09:29:00
AVSCAN.EXE : 10.0.3.5 435368 Bytes 09.12.2010 14:22:37
AVSCAN.DLL : 10.0.3.0 56168 Bytes 19.04.2010 16:48:33
LUKE.DLL : 10.0.3.2 104296 Bytes 09.12.2010 14:22:38
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 09:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 14:45:47
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 09:32:21
VBASE002.VDF : 7.11.0.1 2048 Bytes 14.12.2010 09:32:21
VBASE003.VDF : 7.11.0.2 2048 Bytes 14.12.2010 09:32:21
VBASE004.VDF : 7.11.0.3 2048 Bytes 14.12.2010 09:32:21
VBASE005.VDF : 7.11.0.4 2048 Bytes 14.12.2010 09:32:21
VBASE006.VDF : 7.11.0.5 2048 Bytes 14.12.2010 09:32:22
VBASE007.VDF : 7.11.0.6 2048 Bytes 14.12.2010 09:32:22
VBASE008.VDF : 7.11.0.7 2048 Bytes 14.12.2010 09:32:22
VBASE009.VDF : 7.11.0.8 2048 Bytes 14.12.2010 09:32:22
VBASE010.VDF : 7.11.0.9 2048 Bytes 14.12.2010 09:32:22
VBASE011.VDF : 7.11.0.10 2048 Bytes 14.12.2010 09:32:23
VBASE012.VDF : 7.11.0.11 2048 Bytes 14.12.2010 09:32:23
VBASE013.VDF : 7.11.0.52 128000 Bytes 16.12.2010 09:32:23
VBASE014.VDF : 7.11.0.91 226816 Bytes 20.12.2010 14:33:29
VBASE015.VDF : 7.11.0.122 136192 Bytes 21.12.2010 11:51:40
VBASE016.VDF : 7.11.0.156 122880 Bytes 24.12.2010 11:51:41
VBASE017.VDF : 7.11.0.185 146944 Bytes 27.12.2010 11:19:25
VBASE018.VDF : 7.11.0.228 132608 Bytes 30.12.2010 08:26:52
VBASE019.VDF : 7.11.1.5 148480 Bytes 03.01.2011 10:58:27
VBASE020.VDF : 7.11.1.37 156672 Bytes 07.01.2011 17:17:48
VBASE021.VDF : 7.11.1.38 2048 Bytes 07.01.2011 17:17:48
VBASE022.VDF : 7.11.1.39 2048 Bytes 07.01.2011 17:17:48
VBASE023.VDF : 7.11.1.40 2048 Bytes 07.01.2011 17:17:48
VBASE024.VDF : 7.11.1.41 2048 Bytes 07.01.2011 17:17:48
VBASE025.VDF : 7.11.1.42 2048 Bytes 07.01.2011 17:17:49
VBASE026.VDF : 7.11.1.43 2048 Bytes 07.01.2011 17:17:49
VBASE027.VDF : 7.11.1.44 2048 Bytes 07.01.2011 17:17:49
VBASE028.VDF : 7.11.1.45 2048 Bytes 07.01.2011 17:17:49
VBASE029.VDF : 7.11.1.46 2048 Bytes 07.01.2011 17:17:49
VBASE030.VDF : 7.11.1.47 2048 Bytes 07.01.2011 17:17:49
VBASE031.VDF : 7.11.1.57 58368 Bytes 07.01.2011 17:17:49
Engineversion : 8.2.4.140
AEVDF.DLL : 8.1.2.1 106868 Bytes 31.07.2010 14:18:55
AESCRIPT.DLL : 8.1.3.52 1282426 Bytes 08.01.2011 17:17:58
AESCN.DLL : 8.1.7.2 127349 Bytes 23.11.2010 14:39:02
AESBX.DLL : 8.1.3.2 254324 Bytes 23.11.2010 14:39:03
AERDL.DLL : 8.1.9.2 635252 Bytes 23.09.2010 08:32:03
AEPACK.DLL : 8.2.4.7 512375 Bytes 30.12.2010 11:20:12
AEOFFICE.DLL : 8.1.1.10 201084 Bytes 23.11.2010 14:39:02
AEHEUR.DLL : 8.1.2.64 3154294 Bytes 08.01.2011 17:17:55
AEHELP.DLL : 8.1.16.0 246136 Bytes 07.12.2010 14:29:38
AEGEN.DLL : 8.1.5.1 397683 Bytes 08.01.2011 17:17:51
AEEMU.DLL : 8.1.3.0 393589 Bytes 23.11.2010 14:38:56
AECORE.DLL : 8.1.19.0 196984 Bytes 07.12.2010 14:29:37
AEBB.DLL : 8.1.1.0 53618 Bytes 24.04.2010 12:02:09
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 09:59:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 09:59:07
AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 14:47:40
AVREG.DLL : 10.0.3.2 53096 Bytes 04.11.2010 14:41:24
AVSCPLR.DLL : 10.0.3.2 84328 Bytes 09.12.2010 14:22:38
AVARKT.DLL : 10.0.22.6 231784 Bytes 09.12.2010 14:22:36
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 07:53:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 10:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 13:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 12:40:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 11:10:08
RCTEXT.DLL : 10.0.58.0 98152 Bytes 04.11.2010 14:41:23

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: avguard_async_scan
Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\AVGUARD_4d67ec0d\guard_slideup.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Sonntag, 9. Januar 2011 17:32

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SMAgent.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPZipm12.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ONENOTEM.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WindowsSearch.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'atiptaxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NBService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MZCCntrl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICQ Service.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\Qoobox\Quarantine\C\WINDOWS\system32\Drivers\disk.sys.vir'
C:\Qoobox\Quarantine\C\WINDOWS\system32\Drivers\disk.sys.vir
[FUND] Ist das Trojanische Pferd TR/Rootkit.Gen3

Beginne mit der Desinfektion:
C:\Qoobox\Quarantine\C\WINDOWS\system32\Drivers\disk.sys.vir
[FUND] Ist das Trojanische Pferd TR/Rootkit.Gen3
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4fa1475a.qua' verschoben!


Ende des Suchlaufs: Sonntag, 9. Januar 2011 17:33
Benötigte Zeit: 00:00 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

0 Verzeichnisse wurden überprüft
38 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
37 Dateien ohne Befall
0 Archive wurden durchsucht
0 Warnungen
1 Hinweise


Die Suchergebnisse werden an den Guard übermittelt.
jdr 275
Regular Member
 
Posts: 20
Joined: January 5th, 2011, 7:29 am

Re: Backdoor programme found during Antivir Scan-BDS/Papras.

Unread postby askey127 » January 9th, 2011, 4:10 pm

jdr 275,
That Avira report is OK actually. It is just reporting on the quarantined files in the ComboFix "Jail".

Let's see if that bad file uncoverd earlier is still there:
-------------------------------------------------------------
  • Open a new Notepad window (Start>All programs>accessories>notepad). Choose File, New.
  • Highlight the contents of the codebox below and press Ctrl+C to copy it to the clipboard. Do Not copy the word "Code".
    Code: Select all
    File::
    C:\WINDOWS\system32\automstp.dll
    
  • Paste the contents of the clipboard into the Notepad window by pressing Ctrl+V or Edit, Paste
  • Save it to your desktop as CFScript.txt

    Image
  • Now drag and drop the CFScript.txt icon onto combofix.exe (zzz.exe) as in the picture above, and follow the prompts.
  • Then post the resultant log, C:\ComboFix.txt, in your next reply.

askey127
User avatar
askey127
Admin/Teacher
Admin/Teacher
 
Posts: 13906
Joined: April 17th, 2005, 3:25 pm
Location: New Hampshire USA

Re: Backdoor programme found during Antivir Scan-BDS/Papras.

Unread postby jdr 275 » January 10th, 2011, 11:19 am

Hi askey127.

Here is the ComboFix.txt.



ComboFix 11-01-08.04 - Papa 10.01.2011 15:59:16.2.1 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1023.645 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Papa\Desktop\zzz.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Papa\Desktop\CFScript.txt
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}

FILE ::
"c:\windows\system32\automstp.dll"
.
/wow section - STAGE 50
Das System kann den angegebenen Pfad nicht finden.


(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\programme\ICQ6.5\ICQLRun.exe

.
((((((((((((((((((((((( Dateien erstellt von 2010-12-10 bis 2011-01-10 ))))))))))))))))))))))))))))))
.

2011-01-09 09:36 . 2010-09-18 06:52 953856 -c----w- c:\windows\system32\dllcache\mfc40u.dll
2011-01-09 09:35 . 2010-09-18 06:52 974848 -c----w- c:\windows\system32\dllcache\mfc42.dll
2011-01-09 09:35 . 2010-08-23 16:11 617472 -c----w- c:\windows\system32\dllcache\comctl32.dll
2011-01-09 09:34 . 2010-11-02 15:17 40960 -c----w- c:\windows\system32\dllcache\ndproxy.sys
2011-01-09 09:30 . 2010-10-11 14:59 45568 -c----w- c:\windows\system32\dllcache\wab.exe
2011-01-08 18:06 . 2011-01-08 18:06 -------- d-----w- c:\programme\Gemeinsame Dateien\Java
2011-01-08 18:06 . 2011-01-08 18:05 472808 ----a-w- c:\programme\Mozilla Firefox\plugins\npdeployJava1.dll
2011-01-08 18:06 . 2011-01-08 18:05 73728 ----a-w- c:\windows\system32\javacpl.cpl
2011-01-08 18:06 . 2011-01-08 18:05 472808 ----a-w- c:\windows\system32\deployJava1.dll
2011-01-05 11:40 . 2011-01-05 11:40 388096 ----a-r- c:\dokumente und einstellungen\Papa\Anwendungsdaten\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2010-12-21 15:42 . 2010-12-21 15:42 -------- d-sh--w- c:\dokumente und einstellungen\LocalService\IETldCache

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-12-20 14:23 . 2009-07-15 18:07 135096 ----a-w- c:\windows\system32\drivers\avipbb.sys
2010-11-23 14:39 . 2009-07-15 18:07 61960 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2010-11-18 18:12 . 2005-09-09 18:08 86016 ----a-w- c:\windows\system32\isign32.dll
2010-11-11 16:06 . 2010-11-11 16:06 536576 ----a-r- c:\dokumente und einstellungen\Papa\Anwendungsdaten\Microsoft\Installer\{ECE3188A-3B11-4332-B1B9-43FAA9A02626}\TheSkyX.exe_0B6E1533768448FFB9F15B3B99DC89D5.exe
2010-11-11 16:06 . 2010-11-11 16:06 536576 ----a-r- c:\dokumente und einstellungen\Papa\Anwendungsdaten\Microsoft\Installer\{ECE3188A-3B11-4332-B1B9-43FAA9A02626}\ARPPRODUCTICON.exe
2010-11-11 16:06 . 2010-11-11 16:06 49152 ----a-r- c:\dokumente und einstellungen\Papa\Anwendungsdaten\Microsoft\Installer\{ECE3188A-3B11-4332-B1B9-43FAA9A02626}\UNINST_Uninstall_T_0B6E1533768448FFB9F15B3B99DC89D5.exe
2010-11-06 00:21 . 2004-08-04 12:00 916480 ----a-w- c:\windows\system32\wininet.dll
2010-11-06 00:21 . 2004-08-04 12:00 43520 ----a-w- c:\windows\system32\licmgr10.dll
2010-11-06 00:21 . 2004-08-04 12:00 1469440 ----a-w- c:\windows\system32\inetcpl.cpl
2010-11-03 12:25 . 2004-08-04 12:00 385024 ----a-w- c:\windows\system32\html.iec
2010-11-02 15:17 . 2004-08-04 12:00 40960 ----a-w- c:\windows\system32\drivers\ndproxy.sys
2010-10-28 13:12 . 2004-08-04 12:00 290048 ----a-w- c:\windows\system32\atmfd.dll
2010-10-26 14:05 . 2004-08-04 12:00 1853440 ----a-w- c:\windows\system32\win32k.sys
.

((((((((((((((((((((((((((((( SnapShot@2011-01-09_13.50.39 )))))))))))))))))))))))))))))))))))))))))
.
+ 2011-01-10 14:54 . 2011-01-10 14:54 16384 c:\windows\Temp\Perflib_Perfdata_334.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-06-10 339968]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2010-08-10 421888]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 10.0\Reader\Reader_sl.exe" [2010-11-10 35736]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-11-10 932288]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\Default User\Startmen\Programme\Autostart\
DSL-Manager.lnk - c:\programme\DSL-Manager\DslMgr.exe [2008-1-12 1085440]

c:\dokumente und einstellungen\Default User\Startmen\Programme\Autostart\
DSL-Manager.lnk - c:\programme\DSL-Manager\DslMgr.exe [2008-1-12 1085440]

c:\dokumente und einstellungen\Gast\Startmen\Programme\Autostart\
DSL-Manager.lnk - c:\programme\DSL-Manager\DslMgr.exe [2008-1-12 1085440]
OpenOffice.org 2.3.lnk - c:\programme\OpenOffice.org 2.3\program\quickstart.exe [N/A]

c:\dokumente und einstellungen\Sabine\Startmen\Programme\Autostart\
DSL-Manager.lnk - c:\programme\DSL-Manager\DslMgr.exe [2008-1-12 1085440]

c:\dokumente und einstellungen\Samantha\Startmen\Programme\Autostart\
DSL-Manager.lnk - c:\programme\DSL-Manager\DslMgr.exe [2008-1-12 1085440]
OpenOffice.org 2.0.lnk - c:\programme\OpenOffice.org 2.0\program\quickstart.exe [N/A]
OpenOffice.org 2.1.lnk - c:\programme\OpenOffice.org 2.1\program\quickstart.exe [N/A]

c:\dokumente und einstellungen\Default User\Startmen\Programme\Autostart\
DSL-Manager.lnk - c:\programme\DSL-Manager\DslMgr.exe [2008-1-12 1085440]

c:\dokumente und einstellungen\Papa\Startmen\Programme\Autostart\
OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - c:\programme\Microsoft Office\Office12\ONENOTEM.EXE [2009-2-26 97680]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Windows Desktop Search.lnk - c:\programme\Windows Desktop Search\WindowsSearch.exe [2007-2-5 118784]
Zahlungserinnerung.lnk - c:\hcw\wzed.exe [2009-7-16 147456]

c:\dokumente und einstellungen\Default User\Startmen\Programme\Autostart\
DSL-Manager.lnk - c:\programme\DSL-Manager\DslMgr.exe [2008-1-12 1085440]

c:\dokumente und einstellungen\Default User\Startmen\Programme\Autostart\
DSL-Manager.lnk - c:\programme\DSL-Manager\DslMgr.exe [2008-1-12 1085440]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2007-02-05 294400]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WudfSvc]
@="Service"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\WINDOWS\\system32\\fxsclnt.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\Nero\\Nero8\\Nero Home\\NeroHome.exe"=
"c:\\Programme\\Nero\\Nero8\\Nero MediaHome\\NeroMediaHome.exe"=
"c:\\Programme\\Nero\\Nero8\\Nero MediaHome\\NMMediaServer.exe"=
"c:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Programme\\Hauppauge\\WinTV NOVA\\DVB-TV.exe"=
"c:\\Programme\\Windows Media Player\\wmplayer.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Nero\\Nero8\\Nero ShowTime\\ShowTime.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Nokia\\Service Layer\\A\\nsl_host_process.exe"=

R0 PzWDM;PzWDM;c:\windows\system32\drivers\PzWDM.sys [24.10.2007 15:47 15172]
R0 viasraid;viasraid;c:\windows\system32\drivers\viasraid.sys [09.09.2005 19:16 77312]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [15.07.2009 19:07 135336]
R2 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [23.10.2008 13:18 222456]
R2 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;c:\programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe [11.03.2007 18:55 61440]
R3 TSMPacket;DSL-Manager Service;c:\windows\system32\drivers\tsmpkt.sys [12.01.2008 18:36 13824]
R3 TTDVBLCD;TechnoTrend DVB PCI budget Driver;c:\windows\system32\drivers\ttdvblcd.sys [13.03.2007 16:36 65952]
S3 dsltestSp5;dsltestSp5 NDIS Protocol Driver;c:\windows\system32\drivers\DslTestSp5.sys [06.04.2008 16:30 26816]
S3 HotSpotFSvc;Hotspot Manager;"c:\programme\Gemeinsame Dateien\T-COM\HotspotMgr\HotSpotFSvc.exe" --> c:\programme\Gemeinsame Dateien\T-COM\HotspotMgr\HotSpotFSvc.exe [?]
S3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;c:\progra~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS [11.03.2007 18:55 17280]
S3 MIINPazX;MIINPazX NDIS Protocol Driver;c:\progra~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS [01.07.2007 17:55 17152]
S3 SetupNTGLM7X;SetupNTGLM7X;\??\d:\ntglm7x.sys --> d:\NTGLM7X.sys [?]
S3 TDslMgrService;DSL-Manager;c:\programme\DSL-Manager\DslMgrSvc.exe [06.04.2008 16:30 307200]
S3 ulisa;Telekom ISDN-Adapter (USB);c:\windows\system32\Drivers\ulisa.sys --> c:\windows\system32\Drivers\ulisa.sys [?]
.
Inhalt des "geplante Tasks" Ordners

2011-01-09 c:\windows\Tasks\HPpromotions journeysoftware.job
- c:\programme\hp\digital imaging\bin\hp promotions\journeysoftware\HPpromo.exe [2005-04-22 15:36]

2011-01-10 c:\windows\Tasks\User_Feed_Synchronization-{8FD25A4D-37B2-4FA6-AF70-9C819F9921D3}.job
- c:\windows\system32\msfeedssync.exe [2006-10-17 02:31]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/webhp?rls=ig
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uSearchURL,(Default) = hxxp://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~4\Office12\EXCEL.EXE/3000
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
DPF: {2EF3FB47-7B1E-4536-BA4D-51427BD45DFA} - hxxp://www.pixaco.de/static/download/pi ... upload.cab
FF - ProfilePath - c:\dokumente und einstellungen\Papa\Anwendungsdaten\Mozilla\Firefox\Profiles\etyxf8sd.default\
FF - prefs.js: browser.search.selectedEngine - Webster
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - prefs.js: network.proxy.type - 1
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: Firefox Synchronisation Extension: {A27F3FEF-1113-4cfb-A032-8E12D7D8EE70} - c:\programme\Nokia\Nokia Ovi Suite\Connectors\Bookmarks Connector\FirefoxExtension
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Ext: FoxTab: {ef4e370e-d9f0-4e00-b93e-a4f274cfdd5a} - %profile%\extensions\{ef4e370e-d9f0-4e00-b93e-a4f274cfdd5a}
FF - Ext: Delicious Bookmarks: {2fa4ed95-0317-4c6a-a74c-5f3e3912c1f9} - %profile%\extensions\{2fa4ed95-0317-4c6a-a74c-5f3e3912c1f9}
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKU-Default-Run-Picasa Media Detector - c:\programme\Picasa2\PicasaMediaDetector.exe
SafeBoot-WudfPf
SafeBoot-WudfRd



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-01-10 16:13
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"

[HKEY_LOCAL_MACHINE\software\mpDRM\LicenseStore*]
"CheckValue"=dword:a1d50f0d
"129D6DA1"="136EACF1"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1228)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2011-01-10 16:16:40
ComboFix-quarantined-files.txt 2011-01-10 15:16

Vor Suchlauf: 22 Verzeichnis(se), 105.466.159.104 Bytes frei
Nach Suchlauf: 23 Verzeichnis(se), 105.447.731.200 Bytes frei

- - End Of File - - DA2BBE4279DFAEDA6FC13B0710EE011F
jdr 275
Regular Member
 
Posts: 20
Joined: January 5th, 2011, 7:29 am

Re: Backdoor programme found during Antivir Scan-BDS/Papras.

Unread postby askey127 » January 10th, 2011, 12:47 pm

Looks quite good.
Please tell me how it's running.

You probably are aware of the situation as follows, but I will remind you anyway:
------------------------------------------------------
Warning - Compromised Data
Because the infection has had remote control access to all your Internet activities, you should assume that any data on it may have been stolen.
Take whatever precautions you think sensible about any financial (credit cards, banking, etc.), or other critical information that has been passed through or stored on the machine.
I would suggest changing all account names/numbers, and passwords for ANY accounts that have been used with the machine.
That includes not only banking, credit cards, and financial, but also website and e-mail accounts as well.
Normally you should not use the infected machine to make the changes. In this case, I think your machine is clean right now.
User avatar
askey127
Admin/Teacher
Admin/Teacher
 
Posts: 13906
Joined: April 17th, 2005, 3:25 pm
Location: New Hampshire USA

Re: Backdoor programme found during Antivir Scan-BDS/Papras.

Unread postby jdr 275 » January 10th, 2011, 1:50 pm

Hi askey127.

:cheers: :cheers: :cheers:

Everything appears to be running well thanks. I really appreciate your assistance during the last few days.
A really great support. Competent and friendly,with clearly understandable instructions.
I will not hesitate to recommend your site to friends.
I will also take your advise and avoid P2P in the future. I will also change all passwords used up till now.
What else can I do to protect my system ?
Obviously AntiVir is not enough.
From the software installed during your support, what can be removed ?
jdr 275
Regular Member
 
Posts: 20
Joined: January 5th, 2011, 7:29 am

Re: Backdoor programme found during Antivir Scan-BDS/Papras.

Unread postby askey127 » January 10th, 2011, 6:56 pm

jdr 275,
You can delete HiJackThis and Combofix (zzz.exe)
You can also delete the folder C:\Qoobox\
The \Qoobox\ folder is the Combofox Quarantine location. Be careful not to activate any files therein. Just delete.
I would suggest you keep Avira Antivir. It is an excellent antivirus.
If the "nag" screen is bothersome, you can get the inexpensive Antivir paid version, or replace it with Microsoft Security Essentials.
If you replace it, be sure to Uninstall Antivir when you Install Microsoft Security Essentials.
-----------------------------------------------------------
Replace the Current HOSTS File with MVPs
You can read about HOSTS files here : http://www.mvps.org/winhelp2002/hosts.htm

  • Disable DNS Client Service. This is necessary when installing a large HOSTS file.
    From Start, or Start, Run
    Type services.msc in the box and hit <Enter>
    Give permission to continue if necessary.
    Scroll down to DNS Client on the list, Right Click it and choose Properties.
    Under Service Status, click Stop. Wait until it reports the service stopped.
    Under Startup Type, choose Disabled.
    Then click Apply, OK

  • Use HostsXpert to Install the HOSTS File
    Download HostsXpert and unzip (extract) it to your computer, somewhere where you can find it.
    • Double click on HostsXpert.exe to launch the program. Give whatever Permissions are required.
    • In the bottom half of the left pane, click on File Handling
    • If the first button at the top is labeled Make Writeable?, click on it so the label changes to Make Read Only
    • Click third button from the bottom, labeled Download. A couple new buttons will appear at the top.
    • Click on the top button labeled MVPs Hosts and choose Replace
    • When asked to verify if you want to Replace present Hosts file, click OK.
    • When it finishes, click on File Handling again.
    • Click the button at the top labeled Make Read Only, so the label changes to Make Writeable?
    • Hit the X in the upper right corner to exit HostsXpert

-----------------------------------------------------------
Install WinPatrol - Download and Install the Free WinPatrol, and view Instructions here: http://www.winpatrol.com/winpatrol.html
- WinPatrol is an active program that drops a "Scotty Dog" icon into the system tray (right click to check/change status), allows you to monitor/edit startups, services, Browser helpers, and prompts for permission if any program tries to change your system.

Good Luck,
askey127
User avatar
askey127
Admin/Teacher
Admin/Teacher
 
Posts: 13906
Joined: April 17th, 2005, 3:25 pm
Location: New Hampshire USA

Re: Backdoor programme found during Antivir Scan-BDS/Papras.

Unread postby askey127 » January 14th, 2011, 8:37 am

As this issue appears to be resolved, this topic is now closed.

We are pleased we could help you resolve your computer's malware issues.

If you would like to make a comment or leave a compliment regarding the help you have received, please see Feedback for Our Helpers - Say "Thanks" Here.
User avatar
askey127
Admin/Teacher
Admin/Teacher
 
Posts: 13906
Joined: April 17th, 2005, 3:25 pm
Location: New Hampshire USA
Advertisement
Register to Remove


  • Similar Topics
    Replies
    Views
    Last post

Return to Infected? Virus, malware, adware, ransomware, oh my!



Who is online

Users browsing this forum: No registered users and 27 guests

Contact us:

Advertisements do not imply our endorsement of that product or service. Register to remove all ads. The forum is run by volunteers who donate their time and expertise. We make every attempt to ensure that the help and advice posted is accurate and will not cause harm to your computer. However, we do not guarantee that they are accurate and they are to be used at your own risk. All trademarks are the property of their respective owners.

Member site: UNITE Against Malware