| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: windows - Delayed Write FailedWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
| |
13.02.2012, 18:12
| #1 |
 |  windows - Delayed Write Failed So, ich hab das Prozedere am Samstag gemacht. Da nach dem Neustart wieder Warnungen von Malware da waren, hab ich gleich nochmal durchlaufen lassen. Malwarebytes Anti-Malware (Test) 1.60.1.1000 www.malwarebytes.org Datenbank Version: v2012.02.11.05 Windows XP Service Pack 3 x86 NTFS Internet Explorer 8.0.6001.18702 Admin :: HBSPC01 [Administrator] Schutz: Aktiviert 11.02.2012 17:00:53 mbam-log-2012-02-11 (17-00-53).txt Art des Suchlaufs: Quick-Scan Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 202936 Laufzeit: 4 Minute(n), 1 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 1 C:\WINDOWS\system32\trioservice.dll (RootKit.0Access.H) -> Löschen bei Neustart. Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 6 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowControlPanel (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowHelp (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyComputer (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyDocs (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowRun (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowSearch (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt. Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 1 C:\WINDOWS\system32\trioservice.dll (RootKit.0Access.H) -> Löschen bei Neustart. (Ende) Malwarebytes Anti-Malware (Test) 1.60.1.1000 www.malwarebytes.org Datenbank Version: v2012.02.11.05 Windows XP Service Pack 3 x86 NTFS Internet Explorer 8.0.6001.18702 Admin :: HBSPC01 [Administrator] Schutz: Aktiviert 11.02.2012 17:20:42 mbam-log-2012-02-11 (17-20-42).txt Art des Suchlaufs: Quick-Scan Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 203024 Laufzeit: 7 Minute(n), 59 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 0 (Keine bösartigen Objekte gefunden) (Ende) Malwarebytes Anti-Malware (Test) 1.60.1.1000 www.malwarebytes.org Datenbank Version: v2012.02.12.02 Windows XP Service Pack 3 x86 NTFS Internet Explorer 8.0.6001.18702 Admin :: HBSPC01 [Administrator] Schutz: Aktiviert 12.02.2012 21:54:59 mbam-log-2012-02-12 (21-54-59).txt Art des Suchlaufs: Quick-Scan Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 203295 Laufzeit: 3 Minute(n), 34 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 1 C:\WINDOWS\system32\tm_cfw.dll (RootKit.0Access.H) -> Löschen bei Neustart. Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 25 C:\WINDOWS\system32\tm_cfw.dll (RootKit.0Access.H) -> Löschen bei Neustart. C:\WINDOWS\system32\aegisp.dll (RootKit.0Access.H) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\WINDOWS\system32\agnwifi.dll (RootKit.0Access.H) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\WINDOWS\system32\citrixxteserver.dll (RootKit.0Access.H) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\WINDOWS\system32\DgiVecp.dll (RootKit.0Access.H) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\WINDOWS\system32\diskeeper.dll (RootKit.0Access.H) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\WINDOWS\system32\HPFECP20.dll (RootKit.0Access.H) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\WINDOWS\system32\jsdaemon.dll (RootKit.0Access.H) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\WINDOWS\system32\mpfservice.dll (RootKit.0Access.H) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\WINDOWS\system32\netsvc.dll (RootKit.0Access.H) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\WINDOWS\system32\nimcdldu.dll (RootKit.0Access.H) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\WINDOWS\system32\ntfs.dll (RootKit.0Access.H) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\WINDOWS\system32\nvidesm.dll (RootKit.0Access.H) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\WINDOWS\system32\pcx1nd5.dll (RootKit.0Access.H) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\WINDOWS\system32\ProcObsrv.dll (RootKit.0Access.H) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\WINDOWS\system32\qbreminderflash.dll (RootKit.0Access.H) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\WINDOWS\system32\rdbss.dll (RootKit.0Access.H) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\WINDOWS\system32\SaiU040B.dll (RootKit.0Access.H) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\WINDOWS\system32\ScFBPNT3.dll (RootKit.0Access.H) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\WINDOWS\system32\sqlagent$soshome22.dll (RootKit.0Access.H) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\WINDOWS\system32\swwd.dll (RootKit.0Access.H) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\WINDOWS\system32\webclient.dll (RootKit.0Access.H) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\WINDOWS\system32\WGX.dll (RootKit.0Access.H) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\WINDOWS\system32\wlluc48.dll (RootKit.0Access.H) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\WINDOWS\system32\ikfilesec.dll (RootKit.0Access.H) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) luk |
|
13.02.2012, 18:18
| #2 |
  | windows - Delayed Write Failed Hi,
__________________das ist leider nur die halbe Miete: TDSS-Killer Download und Anweisung unter: Wie werden Schadprogramme der Familie Rootkit.Win32.TDSS bekämpft? Entpacke alle Dateien in einem eigenen Verzeichnis (z. B: C:\TDSS)! Aufruf über den Explorer duch Doppelklick auf die TDSSKiller.exe. Nach dem Start erscheint ein Fenster, dort dann "Start Scan". Wenn der Scan fertig ist bitte "Report" anwählen. Es öffnet sich ein Fenster, den Text abkopieren und hier posten... Da beim letzten Mal der auch nicht alles geschafft hat: Combofix Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Antivierenlösung komplett auschalten und zwar so, dass sie sich auch nach einem Reboot NICHT einschaltet! Achtung: In einigen wenigen Fällen kann es vorkommen, das der Rechner nicht mehr booten kann und Neuaufgesetzt werden muß! Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report (ComboFix.txt) angezeigt, den bitte kopieren und in deinem Thread einfuegen. chris
__________________ |
|
13.02.2012, 19:28
| #3 |
| | windows - Delayed Write Failed ich habe die beiden Programme jetzt auch ausgeführt.
__________________Der TDSS Killer hat mich zu einem Neustart aufgefordert. Ich dachte, dass er das Log nachher erstellt, wie das die andern Programme auch gemacht haben. Dieser Log fehlt jetzt leider. Der von Combo-Fix ist hier: Combofix Logfile: Code:
ATTFilter ComboFix 12-02-13.01 - Admin 13.02.2012 18:56:58.1.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.3004.2630 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Admin\Eigene Dateien\Downloads\ComboFix.exe
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\All Users\Anwendungsdaten\3H0P2cNf8J3BvA
c:\windows\$NtUninstallKB58459$\2903656777\@
c:\windows\$NtUninstallKB58459$\2903656777\cfg.ini
c:\windows\$NtUninstallKB58459$\2903656777\Desktop.ini
c:\windows\$NtUninstallKB58459$\2903656777\L\mrwngsyf
c:\windows\$NtUninstallKB58459$\2903656777\twl.dll
c:\windows\$NtUninstallKB58459$\2903656777\U\00000001.@
c:\windows\$NtUninstallKB58459$\2903656777\U\00000002.@
c:\windows\$NtUninstallKB58459$\2903656777\U\00000004.@
c:\windows\$NtUninstallKB58459$\2903656777\U\80000000.@
c:\windows\$NtUninstallKB58459$\2903656777\U\80000004.@
c:\windows\$NtUninstallKB58459$\2903656777\U\80000032.@
c:\windows\$NtUninstallKB58459$\2903656777\version
c:\windows\$NtUninstallKB58459$\87413221
c:\windows\IsUn0407.exe
c:\windows\iun6002.exe
c:\windows\system32\Cache
c:\windows\system32\Cache\272512937d9e61a4.fb
c:\windows\system32\Cache\287204568329e189.fb
c:\windows\system32\Cache\28bc8f716fd76a47.fb
c:\windows\system32\Cache\2c53092c95605355.fb
c:\windows\system32\Cache\3917078cb68ec657.fb
c:\windows\system32\Cache\590ba23ce359fd0c.fb
c:\windows\system32\Cache\610289e025a3ee9a.fb
c:\windows\system32\Cache\651c5d3cdbfb8bd1.fb
c:\windows\system32\Cache\6c59ac5e7e7a3ad0.fb
c:\windows\system32\Cache\a8556537add6dfc5.fb
c:\windows\system32\Cache\ad10a52aff5e038d.fb
c:\windows\system32\Cache\c4d28dca2e7648be.fb
c:\windows\system32\Cache\d201ef9910cd39de.fb
c:\windows\system32\Cache\d2e94710a5708128.fb
c:\windows\system32\Cache\d79b9dfe81484ec4.fb
c:\windows\system32\Cache\e0de16f883bea794.fb
c:\windows\system32\Cache\ec618af52cd76bfa.fb
c:\windows\system32\drivers\etc\hosts.ics
c:\windows\system32\drivers\FSC__PI__LIFEBOOK E8420__FUJITSU_FJNB1E8__Version 3.03_FSC - 3030000_Version 3.03 .MRK
.
Infizierte Kopie von c:\windows\system32\drivers\serial.sys wurde gefunden und desinfiziert
Kopie von - The cat found it :) wurde wiederhergestellt
.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_AMSERVICE
-------\Service_AMService
.
.
((((((((((((((((((((((( Dateien erstellt von 2012-01-13 bis 2012-02-13 ))))))))))))))))))))))))))))))
.
.
2012-02-13 18:04 . 2001-08-18 03:35 35913 ----a-w- c:\windows\system32\drivers\smcirda.sys
2012-02-13 18:04 . 2001-08-18 03:35 35913 ----a-w- c:\windows\system32\dllcache\smcirda.sys
2012-02-13 18:04 . 2001-08-17 11:13 27165 ----a-w- c:\windows\system32\drivers\fetnd5.sys
2012-02-13 18:04 . 2001-08-17 11:13 27165 ----a-w- c:\windows\system32\dllcache\fetnd5.sys
2012-02-13 17:54 . 2008-04-14 12:00 65536 ----a-w- c:\windows\system32\drivers\serial.sys
2012-02-13 17:27 . 2012-02-13 17:27 -------- d-----w- C:\TDSSKiller_Quarantine
2012-02-13 16:49 . 2012-02-13 16:49 -------- d-----w- c:\programme\Gemeinsame Dateien\Skype
2012-02-13 16:49 . 2012-02-13 16:49 -------- d-----r- c:\programme\Skype
2012-02-11 17:24 . 2012-02-08 20:31 134104 ----a-w- c:\programme\Mozilla Firefox\components\browsercomps.dll
2012-02-11 15:59 . 2012-02-11 15:59 -------- d-----w- c:\dokumente und einstellungen\Admin\Anwendungsdaten\Malwarebytes
2012-02-11 15:59 . 2012-02-11 15:59 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2012-02-11 15:59 . 2012-02-11 15:59 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2012-02-11 15:59 . 2011-12-10 14:24 20464 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-02-11 15:48 . 2012-02-11 15:48 -------- d-----w- C:\_OTL
2012-02-11 15:00 . 2012-02-11 15:00 -------- d-sh--w- c:\dokumente und einstellungen\NetworkService\IETldCache
2012-02-10 20:42 . 2012-02-13 17:48 0 --sha-w- c:\windows\system32\dds_trash_log.cmd
2012-02-09 21:55 . 2012-02-09 21:55 -------- d-----w- c:\dokumente und einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\Facebook
2012-01-26 18:15 . 2012-02-13 06:51 -------- d-----w- c:\dokumente und einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\Thunderbird
2012-01-26 18:15 . 2012-01-26 18:15 -------- d-----w- c:\dokumente und einstellungen\Admin\Anwendungsdaten\Thunderbird
2012-01-26 18:15 . 2012-02-11 20:46 -------- d-----w- c:\programme\Mozilla Thunderbird
2012-01-19 16:02 . 2012-02-08 20:31 45016 ----a-w- c:\programme\Mozilla Firefox\mozutils.dll
2012-01-19 16:02 . 2012-02-08 17:12 626688 ----a-w- c:\programme\Mozilla Firefox\msvcr80.dll
2012-01-19 16:02 . 2012-02-08 17:12 548864 ----a-w- c:\programme\Mozilla Firefox\msvcp80.dll
2012-01-19 16:02 . 2012-02-08 17:12 479232 ----a-w- c:\programme\Mozilla Firefox\msvcm80.dll
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-11-25 21:57 . 2008-06-24 18:38 293888 ----a-w- c:\windows\system32\winsrv.dll
2011-11-23 14:40 . 2008-06-24 18:38 1859712 ----a-w- c:\windows\system32\win32k.sys
2011-11-20 06:12 . 2008-06-24 18:38 61952 ----a-w- c:\windows\system32\packager.exe
2011-11-16 14:21 . 2008-06-24 18:38 354816 ----a-w- c:\windows\system32\winhttp.dll
2011-11-16 14:21 . 2008-06-24 18:38 152064 ----a-w- c:\windows\system32\schannel.dll
2012-02-08 20:31 . 2012-02-11 17:24 134104 ----a-w- c:\programme\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{a1137e37-cecc-4cbb-ba8f-e598748d4bd3}"= "c:\programme\MovaviDE\prxtbMov0.dll" [2011-05-09 176936]
.
[HKEY_CLASSES_ROOT\clsid\{a1137e37-cecc-4cbb-ba8f-e598748d4bd3}]
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{a1137e37-cecc-4cbb-ba8f-e598748d4bd3}]
2011-05-09 09:49 176936 ----a-w- c:\programme\MovaviDE\prxtbMov0.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{a1137e37-cecc-4cbb-ba8f-e598748d4bd3}"= "c:\programme\MovaviDE\prxtbMov0.dll" [2011-05-09 176936]
.
[HKEY_CLASSES_ROOT\clsid\{a1137e37-cecc-4cbb-ba8f-e598748d4bd3}]
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{A1137E37-CECC-4CBB-BA8F-E598748D4BD3}"= "c:\programme\MovaviDE\prxtbMov0.dll" [2011-05-09 176936]
.
[HKEY_CLASSES_ROOT\clsid\{a1137e37-cecc-4cbb-ba8f-e598748d4bd3}]
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" [2008-02-28 1828136]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2010-06-30 39408]
"Facebook Update"="c:\dokumente und einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\Facebook\Update\FacebookUpdate.exe" [2012-02-09 137536]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2012-01-31 17147528]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IAAnotif"="c:\programme\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2008-05-07 178712]
"RTHDCPL"="RTHDCPL.EXE" [2008-04-10 16861184]
"SoundMan"="SOUNDMAN.EXE" [2006-07-21 86016]
"AlcWzrd"="ALCWZRD.EXE" [2006-05-04 2808832]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-06-10 170520]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-06-10 141848]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2008-04-10 1040384]
"PSUtility"="c:\addon\Fujitsu\PSUtility\TrayManager.exe" [2008-04-17 118784]
"TvOutSwitch"="c:\addon\Fujitsu\DispSwitch\DispSwitchLauncher.exe" [2008-04-02 102400]
"LoadFUJ02E3"="c:\programme\Fujitsu\FUJ02E3\FUJ02E3.exe" [2008-01-31 88616]
"SSUtility"="c:\addon\Fujitsu\SSUtility\FJSSDMN.exe" [2006-07-22 233472]
"IndicatorUtility"="c:\programme\Fujitsu\Fujitsu Hotkey Utility\IndicatorUty.exe" [2006-04-20 90112]
"LoadFujitsuQuickTouch"="c:\addon\Fujitsu\Application Panel\QuickTouch.exe" [2005-07-21 353792]
"LoadBtnHnd"="c:\programme\Fujitsu\BtnHnd\BtnHnd.exe" [2005-07-21 61440]
"FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2009-07-15 371712]
"HP Software Update"="c:\programme\HP\HP Software Update\HPWuSchd2.exe" [2004-09-13 49152]
"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe" [2008-03-25 570664]
"NBKeyScan"="c:\programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2008-02-18 2221352]
"Adobe Photo Downloader"="c:\programme\Adobe\Photoshop Elements 5.0\apdproxy.exe" [2006-09-14 61440]
"ITSecMng"="c:\programme\TOSHIBA\Bluetooth Toshiba Stack\ItSecMng.exe" [2007-09-28 75136]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2012-01-03 37296]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-02 843712]
"Malwarebytes' Anti-Malware"="c:\programme\Malwarebytes' Anti-Malware\mbamgui.exe" [2012-01-13 460872]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"AvgUninstallURL"="start hxxp://www.avg.com/ww.special-uninstallation-feedback-app?lic=OQBBAFYARgBSAEUARQAtAFYAMwBaAEMAOQAtAEUASwBBAFIAUwAtADYAUgBXAEcAQQAtAEEAQQBUAEMAVQAtAFYAUAA5AEYATgA&inst=NwA3AC0ANAAzADAANgAzADcAOAA5ADYALQBYAEwAKwAxAC0AVAA1AC0AQgBBAFIAOQBPACsAMQAtAEYATAArADkALQBYAE8AMwA2ACsAMQAtAFgATwA5ACsAMQAtAEQARABUACsAMQA4ADMANQA0AC0ARABEADkAMABGACsAMQAtAFMAVAA5ADAARgBBAFAAUAArADEALQBGADkAMABUAEIAKwAyAA&prod=90&ver=9.0.894" [?]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\PSUTY]
2008-04-17 12:00 32768 ----a-r- c:\windows\system32\PSUWNP.dll
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 nwprovau
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Programme\\Google\\Google Earth\\plugin\\geplugin.exe"=
"c:\\Programme\\Google\\Google Earth\\client\\googleearth.exe"=
"c:\\Dokumente und Einstellungen\\Admin\\Lokale Einstellungen\\Anwendungsdaten\\Facebook\\Video\\Skype\\FacebookVideoCalling.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
.
R0 FJGSDisk;G-Sensor Application Filter Driver;c:\windows\system32\drivers\FJGSDisk.sys [27.07.2009 15:22 7168]
R2 HWDeviceService.exe;HWDeviceService.exe;c:\dokumente und einstellungen\All Users\Anwendungsdaten\DatacardService\HWDeviceService.exe -/service --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\DatacardService\HWDeviceService.exe -/service [?]
R2 MBAMService;MBAMService;c:\programme\Malwarebytes' Anti-Malware\mbamservice.exe [11.02.2012 16:59 652360]
R3 e1yexpress;Intel(R) Gigabit Network Connections Driver;c:\windows\system32\drivers\e1y5132.sys [27.07.2009 15:11 244368]
R3 FUJ02E3;Fujitsu FUJ02E3 Device Driver;c:\windows\system32\drivers\fuj02e3.sys [27.07.2009 15:11 4864]
R3 huawei_enumerator;huawei_enumerator;c:\windows\system32\drivers\ew_jubusenum.sys [13.09.2011 18:57 73216]
R3 IFXTPM;IFXTPM;c:\windows\system32\drivers\ifxtpm.sys [27.07.2009 15:12 41216]
R3 IntcHdmiAddService;Intel(R) High Definition Audio HDMI Service;c:\windows\system32\drivers\IntcHdmi.sys [27.07.2009 15:11 108032]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [11.02.2012 16:59 20464]
R3 O2MDRDR;O2MDRDR;c:\windows\system32\drivers\o2media.sys [27.07.2009 15:12 47448]
R3 O2SDRDR;O2SDRDR;c:\windows\system32\drivers\o2sd.sys [27.07.2009 15:12 41560]
R3 seehcri;Sony Ericsson seehcri Device Driver;c:\windows\system32\drivers\seehcri.sys [18.02.2010 11:50 27632]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [23.06.2010 10:27 136176]
S2 Mobile Partner. RunOuc;Mobile Partner. OUC;c:\programme\Mobile Partner\UpdateDog\ouc.exe [16.11.2011 06:46 218624]
S2 SkypeUpdate;Skype Updater;c:\programme\Skype\Updater\Updater.exe [31.01.2012 15:09 158856]
S2 TomTomHOMEService;TomTomHOMEService;f:\tomtom home 2\TomTomHOMEService.exe --> f:\tomtom home 2\TomTomHOMEService.exe [?]
S3 brfilt;Brother MFC-Filtertreiber;c:\windows\system32\drivers\BrFilt.sys [09.09.2009 07:05 2944]
S3 BrSerWDM;Brother WDM-Treiber (seriell);c:\windows\system32\drivers\BrSerWdm.sys [09.09.2009 07:05 60416]
S3 BrUsbMdm;Brother MFC-nur-Fax-Modem (USB);c:\windows\system32\drivers\BrUsbMdm.sys [09.09.2009 07:05 11008]
S3 BrUsbScn;Brother MFC-Scannertreiber (USB);c:\windows\system32\drivers\BrUsbScn.sys [09.09.2009 07:05 10368]
S3 ew_hwusbdev;Huawei MobileBroadband USB PNP Device;c:\windows\system32\drivers\ew_hwusbdev.sys [13.09.2011 18:57 102784]
S3 ggflt;SEMC USB Flash Driver Filter;c:\windows\system32\drivers\ggflt.sys [18.02.2010 11:50 13224]
S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\Google\Update\GoogleUpdate.exe [23.06.2010 10:27 136176]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
getPlusHelper REG_MULTI_SZ getPlusHelper
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
se26unic
sbcssvc
W8335XP
Intel_MIPMNMP
WscNetDr
mcods
houdinilicenseserver
Rawwan
mcsysmon
msi_wlan_service
MSMQTriggers
useraccess7
papyjoy
dm1service
btwavdt
AsIO
PSI_SVC_2
ccpwdsvc
cmdagent
sscdserd
wmp54gssvc
VX3000
SPFDRV
mqdmserd
hap16v2k
UPATC
monfilt
s3ssavage
LUsbFilt
euq_monitor
DSI_SiUSBXp_3_1
VRADFIL
ndassvc
MailService
ZSMC301b
DCamUSBMke
hidir
lxcgcustomerconnect
dtscsi
maxbackserviceint
pwisvc
MSFWDrv
mps9
hcf_msft
hsxhwazl
imagedrv
qkbfiltr
sandboxu
gagp30kx
.
Inhalt des "geplante Tasks" Ordners
.
2012-02-12 c:\windows\Tasks\FacebookUpdateTaskUserS-1-5-21-2314300672-2348332469-2437391780-1005Core.job
- c:\dokumente und einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\Facebook\Update\FacebookUpdate.exe [2012-02-09 21:55]
.
2012-02-13 c:\windows\Tasks\FacebookUpdateTaskUserS-1-5-21-2314300672-2348332469-2437391780-1005UA.job
- c:\dokumente und einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\Facebook\Update\FacebookUpdate.exe [2012-02-09 21:55]
.
2012-02-13 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-06-23 09:27]
.
2012-02-13 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-06-23 09:27]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.ch/
IE: Nach Microsoft E&xel exportieren - c:\progra~1\Office\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.1.1
FF - ProfilePath - c:\dokumente und einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\yorhhorz.default\
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
WebBrowser-{CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
WebBrowser-{E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - (no file)
HKCU-Run-updateMgr - c:\programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe
HKCU-Run-TomTomHOME.exe - f:\tomtom home 2\TomTomHOMERunner.exe
HKLM-Run-ROC_roc_dec12 - c:\programme\AVG Secure Search\ROC_roc_dec12.exe
AddRemove-Microsoft Interactive Training - c:\windows\IsUn0407.exe
AddRemove-TomTom HOME - f:\tomtom home 2\Uninstall TomTom HOME.exe
AddRemove-ZPrint Software 7.6 - c:\windows\iun6002.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-02-13 19:04
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
.
c:\windows\$NtUninstallKB58459$:SummaryInformation 0 bytes hidden from API
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 1
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(1004)
c:\windows\system32\PSUWNP.dll
.
- - - - - - - > 'explorer.exe'(2612)
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\System32\SCardSvr.exe
c:\programme\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe
c:\dokumente und einstellungen\All Users\Anwendungsdaten\EPSON\EPW!3 SSRP\E_S40RP7.EXE
c:\dokumente und einstellungen\All Users\Anwendungsdaten\DatacardService\HWDeviceService.exe
c:\programme\Intel\Intel Matrix Storage Manager\IAANTMon.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Mobile Partner\OnlineUpdate\ouc.exe
c:\programme\Nero\Nero8\Nero BackItUp\NBService.exe
c:\windows\system32\IoctlSvc.exe
c:\programme\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\wscntfy.exe
c:\windows\RTHDCPL.EXE
c:\windows\SOUNDMAN.EXE
c:\windows\system32\igfxsrvc.exe
c:\programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-02-13 19:08:01 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2012-02-13 18:07
.
Vor Suchlauf: 13 Verzeichnis(se), 278'202'068'992 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 278'788'435'968 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
.
- - End Of File - - 26F3439A21213DD2E112445BAFC11A24
|
|
13.02.2012, 19:45
| #4 |
| | windows - Delayed Write Failed Hi, combofix hat was erwischt, brauche unbedingt das log vom killer... prüfe das Verzeichnis wo Du ihn hinkopiert hast auf eine testdatei... was ist im Verzeichnis "C:\TDSSKiller_Quarantine"... (nichts ausführen!)... chris
__________________  Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden  ) |
|
13.02.2012, 19:53
| #5 |
| | windows - Delayed Write Failed da sind leider nur *.ini und *.dta Dateien drin |
|
13.02.2012, 19:58
| #6 |
| | windows - Delayed Write Failed Hi, schade... wie verhält sich der Rechner, gibt es noch Umleitungen? Sonst lassen wir noch einen von der Leine... chris
__________________ --> windows - Delayed Write Failed |
|
13.02.2012, 20:05
| #7 |
| | windows - Delayed Write Failed als ich von Google auf Trojaner-Board wollte, kam ne Umleitung auf ne andere HP das hatte ich aber vorher nicht, oder hat mich malware einfach davor geschützt? |
|
| Themen zu windows - Delayed Write Failed |
| abend, ahnung, antivirenprogramm, anwendungsprogramme, ausser, chat, desktop, error, facebook, failed, fenster, file, gestern, guten, hardware, lösung, professional, programm, schnell, system, system 32, this, titel, windows, windows - delayed write failed |
Hybrid-Darstellung
