| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Data Recovery - S.M.A.R.T. Check/Repair write fault errorWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
12.07.2012, 13:24
| #1 |
| |  Data Recovery - S.M.A.R.T. Check/Repair write fault error Hallo zusammen, seit heute Nacht taucht beim Starten meines PCs immer dieses Systemfehlermeldung "write fault error" auf. Dazu erscheint ein Data Recovery Scanner. Vermutlich ist dieses durch einen Drive-by-Download auf meinen PC gelangt. Auf Laufwerke und installierte Programm kann ich nicht zu greiffen, da diese mir nicht angezeigt werden. Durch den Antivir-Scan wurde mir aber angezeigt, dass die noch vorhanden sind. Leider schafft mein Antivir (Freeware) das nicht. PS: Daten konnte ich durch "unhide" wieder sichtbar machen und sichern. Sind halt meine kompletten Bewerbungsunterlagen. U.a. auch welche, die heute Abend noch raus müssen. Nach Neustart sind diese allerdings wieder weg. Für Hilfe wäre ich sehr dankbar. MfG Carphunter Code:
ATTFilter Malwarebytes Anti-Malware 1.62.0.1300 www.malwarebytes.org Datenbank Version: v2012.07.12.08 Windows XP Service Pack 3 x86 NTFS Internet Explorer 6.0.2900.3264 Andreas :: ANDREAS-0W5ECG4 [Administrator] 12.07.2012 15:09:36 mbam-log-2012-07-12 (15-58-31).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|) Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 253121 Laufzeit: 48 Minute(n), 49 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 7 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowControlPanel (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Keine Aktion durchgeführt. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowHelp (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Keine Aktion durchgeführt. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyComputer (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Keine Aktion durchgeführt. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyDocs (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Keine Aktion durchgeführt. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowRun (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Keine Aktion durchgeführt. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowSearch (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Keine Aktion durchgeführt. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|NoDesktop (PUM.Hidden.Desktop) -> Bösartig: (1) Gut: (0) -> Keine Aktion durchgeführt. Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 1 C:\Dokumente und Einstellungen\Andreas\Desktop\Data_Recovery.lnk (Rogue.FakeHDD) -> Keine Aktion durchgeführt. (Ende) Jetzt läuft dann erstmal OTL. Geändert von Carphunter (12.07.2012 um 13:36 Uhr) |
|
13.07.2012, 20:06
| #2 |
| /// Malware-holic   | Data Recovery - S.M.A.R.T. Check/Repair write fault error ok dann poste otl logs.
__________________
__________________ |
|
14.07.2012, 17:03
| #3 |
| | Data Recovery - S.M.A.R.T. Check/Repair write fault error Hallo Markus!
__________________Vielen Dank für Deine Hilfe. Code:
ATTFilter OTL logfile created on: 14.07.2012 17:52:06 - Run 3 OTL by OldTimer - Version 3.2.53.1 Folder = C:\Dokumente und Einstellungen\Andreas\Desktop Windows XP Home Edition Service Pack 3, v.3264 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.3264) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 1,93 Gb Total Physical Memory | 1,64 Gb Available Physical Memory | 84,71% Memory free 3,78 Gb Paging File | 3,68 Gb Available in Paging File | 97,27% Paging File free Paging file location(s): C:\pagefile.sys 2046 4092 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 127,99 Gb Total Space | 77,24 Gb Free Space | 60,35% Space Free | Partition Type: NTFS Drive D: | 5,74 Gb Total Space | 0,00 Gb Free Space | 0,00% Space Free | Partition Type: UDF Drive E: | 15,11 Gb Total Space | 14,96 Gb Free Space | 99,06% Space Free | Partition Type: FAT32 Computer Name: ANDREAS-0W5ECG4 | User Name: Andreas | Logged in as Administrator. Boot Mode: SafeMode with Networking | Scan Mode: Current user Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - [2012.07.12 15:22:06 | 000,595,968 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Andreas\Desktop\OTL.exe PRC - [2007.12.01 02:48:18 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe ========== Modules (No Company Name) ========== MOD - [2009.02.27 17:41:26 | 000,311,296 | ---- | M] () -- C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\pdfshell.DEU ========== Win32 Services (SafeList) ========== SRV - File not found [On_Demand | Stopped] -- %SystemRoot%\System32\appmgmts.dll -- (AppMgmt) SRV - [2012.06.17 15:44:46 | 003,069,752 | ---- | M] (Emsisoft GmbH) [Auto | Stopped] -- C:\Programme\Emsisoft Anti-Malware\a2service.exe -- (a2AntiMalware) SRV - [2012.05.11 18:01:37 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Stopped] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService) SRV - [2012.05.11 18:01:35 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Stopped] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService) SRV - [2012.04.05 14:09:38 | 000,161,664 | ---- | M] (Oracle Corporation) [Auto | Stopped] -- C:\Programme\Java\jre7\bin\jqs.exe -- (JavaQuickStarterService) SRV - [2012.04.04 16:18:46 | 000,253,600 | ---- | M] (Adobe Systems Incorporated) [On_Demand | Stopped] -- C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe -- (AdobeFlashPlayerUpdateSvc) SRV - [2011.07.20 05:18:24 | 000,440,696 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE -- (odserv) SRV - [2006.10.26 14:03:08 | 000,145,184 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose) ========== Driver Services (SafeList) ========== DRV - File not found [Kernel | On_Demand | Stopped] -- -- (WDICA) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDRFRAME) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDRELI) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDFRAME) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDCOMP) DRV - File not found [Kernel | System | Stopped] -- -- (PCIDump) DRV - File not found [Kernel | System | Stopped] -- -- (lbrtfdc) DRV - File not found [Kernel | System | Stopped] -- -- (i2omgmt) DRV - File not found [Kernel | System | Stopped] -- -- (Changer) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btwhid.sys -- (btwhid) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btwdndis.sys -- (BTWDNDIS) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btport.sys -- (BTDriver) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\btaudio.sys -- (btaudio) DRV - [2012.05.11 18:01:38 | 000,137,928 | ---- | M] (Avira GmbH) [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb) DRV - [2012.05.11 18:01:38 | 000,083,392 | ---- | M] (Avira GmbH) [File_System | Auto | Stopped] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt) DRV - [2012.04.30 18:45:28 | 000,054,072 | ---- | M] (Emsisoft GmbH) [File_System | On_Demand | Stopped] -- C:\Programme\Emsisoft Anti-Malware\a2accx86.sys -- (a2acc) DRV - [2011.10.11 15:00:01 | 000,036,000 | ---- | M] (Avira GmbH) [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\avkmgr.sys -- (avkmgr) DRV - [2011.05.19 14:10:34 | 000,017,904 | ---- | M] (Emsi Software GmbH) [Kernel | System | Stopped] -- C:\Programme\Emsisoft Anti-Malware\a2ddax86.sys -- (A2DDA) DRV - [2010.06.17 15:14:27 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv) DRV - [2008.11.05 19:09:50 | 001,343,616 | R--- | M] (Atheros Communications, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\athw.sys -- (AR5416) DRV - [2008.03.19 14:26:24 | 000,175,104 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\b57xp32.sys -- (b57w2k) DRV - [2008.01.30 12:28:36 | 004,725,760 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 ========== FireFox ========== FF - prefs.js..browser.startup.homepage: "hxxp://www.google.de/" FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_2_202_228.dll () FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Programme\Google\Google Earth\plugin\npgeplugin.dll (Google) FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation) FF - HKLM\Software\MozillaPlugins\@microsoft.com/OfficeLive,version=1.5: C:\Programme\Microsoft\Office Live\npOLW.dll (Microsoft Corp.) FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Programme\Google\Update\1.3.21.115\npGoogleUpdate3.dll (Google Inc.) FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Programme\Google\Update\1.3.21.115\npGoogleUpdate3.dll (Google Inc.) FF - HKLM\Software\MozillaPlugins\@videolan.org/vlc,version=2.0.1: C:\Programme\VideoLAN\VLC\npvlc.dll (VideoLAN) FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{336D0C35-8A85-403a-B9D2-65C292C39087}: C:\Programme\Web Assistant\Firefox [2012.06.16 22:46:40 | 000,000,000 | ---D | M] [2012.06.03 08:52:06 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\Mozilla\Extensions [2012.06.16 22:46:43 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\Mozilla\Firefox\Profiles\6oraf661.default\extensions [2012.06.16 22:46:44 | 000,000,000 | ---D | M] (incredibar.com) -- C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\Mozilla\Firefox\Profiles\6oraf661.default\extensions\ffxtlbr@incredibar.com O1 HOSTS File: ([2001.08.18 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated) O2 - BHO: (Web Assistant) - {336D0C35-8A85-403a-B9D2-65C292C39087} - C:\Programme\Web Assistant\Extension32.dll () O2 - BHO: (Incredibar.com Helper Object) - {6E13DDE1-2B6E-46CE-8B66-DC8BF36F6B99} - C:\Programme\Incredibar.com\incredibar\1.5.11.14\bh\incredibar.dll (Montera Technologeis LTD) O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre7\bin\jp2ssv.dll (Oracle Corporation) O3 - HKLM\..\Toolbar: (Incredibar Toolbar) - {F9639E4A-801B-4843-AEE3-03D9DA199E77} - C:\Programme\Incredibar.com\incredibar\1.5.11.14\incredibarTlbr.dll (Montera Technologeis LTD) O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated) O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\Alcmtr.exe (Realtek Semiconductor Corp.) O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG) O4 - HKLM..\Run: [iYHJOPyUiWL.exe] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\iYHJOPyUiWL.exe (PQQ) O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.) O4 - HKCU..\Run: [ANT Agent] C:\Programme\Garmin\ANT Agent\ANT Agent.exe (GARMIN Corp.) O4 - HKCU..\Run: [gStart] C:\Garmin\gStart.exe (GARMIN Corp.) O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Recovery present O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} hxxp://go.microsoft.com/fwlink/?linkid=39204 (Windows Genuine Advantage Validation Tool) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_03-windows-i586.cab (Java Plug-in 1.7.0_03) O16 - DPF: {CAFEEFAC-0017-0000-0003-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_03-windows-i586.cab (Java Plug-in 1.7.0_03) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_03-windows-i586.cab (Java Plug-in 1.7.0_03) O16 - DPF: Microsoft XML Parser for Java file://C:\WINDOWS\Java\classes\xmldso.cab (Reg Error: Key error.) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1 O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{970544A1-C352-4877-A79E-379DC93DF545}: DhcpNameServer = 192.168.2.1 O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation) O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation) O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2012.04.02 20:00:18 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O32 - AutoRun File - [2005.03.30 12:04:10 | 000,000,081 | R--- | M] () - D:\Autorun.inf -- [ UDF ] O33 - MountPoints2\D\Shell - "" = AutoRun O33 - MountPoints2\D\Shell\AutoRun - "" = Auto&Play O33 - MountPoints2\D\Shell\AutoRun\command - "" = D:\0data\cbs.exe -- [2010.06.11 12:43:34 | 003,488,256 | R--- | M] () O34 - HKLM BootExecute: (autocheck autochk *) O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3) O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2) ========== Files/Folders - Created Within 30 Days ========== [2012.07.14 17:28:02 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Andreas\Recent [2012.07.12 15:22:04 | 000,595,968 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Andreas\Desktop\OTL.exe [2012.07.12 14:05:51 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Emsisoft Anti-Malware [2012.07.12 14:05:08 | 000,000,000 | ---D | C] -- C:\Programme\Emsisoft Anti-Malware [2012.07.12 14:05:08 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Andreas\Eigene Dateien\Anti-Malware [2012.07.12 13:57:54 | 139,009,208 | ---- | C] (Emsisoft GmbH ) -- C:\Dokumente und Einstellungen\Andreas\Desktop\EmsisoftAntiMalwareSetup.exe [2012.07.12 13:31:21 | 000,000,000 | ---D | C] -- C:\TDSSKiller_Quarantine [2012.07.12 12:27:08 | 000,399,264 | ---- | C] (Bleeping Computer, LLC) -- C:\Dokumente und Einstellungen\Andreas\Desktop\unhide.exe [2012.07.12 12:26:59 | 002,135,640 | ---- | C] (Kaspersky Lab ZAO) -- C:\Dokumente und Einstellungen\Andreas\Desktop\hubert.exe [2012.07.12 10:45:20 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware [2012.07.12 10:45:19 | 000,022,344 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys [2012.07.12 10:45:19 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware [2012.07.12 00:28:07 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Andreas\Eigene Dateien\Neuer Ordner [2012.07.12 00:24:33 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Andreas\Startmenü\Programme\Data Recovery [2012.07.12 00:24:14 | 000,251,640 | ---- | C] (PQQ) -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\f4OqaoSvLJxRI1.exe [2012.07.12 00:13:17 | 000,344,824 | ---- | C] (PQQ) -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\iYHJOPyUiWL.exe [2012.07.08 20:30:50 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\Imperium Romanum [2012.07.02 00:57:55 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\Tropico 3 [2012.07.02 00:57:36 | 001,846,632 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\D3DCompiler_41.dll [2012.07.02 00:57:36 | 000,453,456 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\d3dx10_41.dll [2012.07.02 00:57:35 | 004,178,264 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\D3DX9_41.dll [2012.07.02 00:57:35 | 000,517,448 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\XAudio2_4.dll [2012.07.02 00:57:35 | 000,069,448 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\XAPOFX1_3.dll [2012.07.02 00:57:34 | 000,235,352 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\xactengine3_4.dll [2012.07.02 00:57:34 | 000,022,360 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\X3DAudio1_6.dll [2012.07.02 00:57:33 | 004,379,984 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\D3DX9_40.dll [2012.07.02 00:57:33 | 002,036,576 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\D3DCompiler_40.dll [2012.07.02 00:57:33 | 000,452,440 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\d3dx10_40.dll [2012.07.02 00:57:32 | 000,514,384 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\XAudio2_3.dll [2012.07.02 00:57:32 | 000,070,992 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\XAPOFX1_2.dll [2012.07.02 00:57:31 | 000,235,856 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\xactengine3_3.dll [2012.07.02 00:57:31 | 000,023,376 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\X3DAudio1_5.dll [2012.07.02 00:57:30 | 000,509,448 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\XAudio2_2.dll [2012.07.02 00:57:30 | 000,068,616 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\XAPOFX1_1.dll [2012.07.02 00:57:29 | 000,238,088 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\xactengine3_2.dll [2012.07.02 00:57:28 | 003,851,784 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\D3DX9_39.dll [2012.07.02 00:57:28 | 001,493,528 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\D3DCompiler_39.dll [2012.07.02 00:57:28 | 000,467,984 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\d3dx10_39.dll [2012.07.02 00:57:27 | 000,507,400 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\XAudio2_1.dll [2012.07.02 00:57:27 | 000,065,032 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\XAPOFX1_0.dll [2012.07.02 00:57:26 | 000,238,088 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\xactengine3_1.dll [2012.07.02 00:57:26 | 000,025,608 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\X3DAudio1_4.dll [2012.07.02 00:57:25 | 003,850,760 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\D3DX9_38.dll [2012.07.02 00:57:25 | 001,491,992 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\D3DCompiler_38.dll [2012.07.02 00:57:25 | 000,467,984 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\d3dx10_38.dll [2012.07.02 00:57:24 | 000,479,752 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\XAudio2_0.dll [2012.07.02 00:57:23 | 000,238,088 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\xactengine3_0.dll [2012.07.02 00:57:23 | 000,025,608 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\X3DAudio1_3.dll [2012.07.02 00:57:22 | 003,786,760 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\D3DX9_37.dll [2012.07.02 00:57:22 | 001,420,824 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\D3DCompiler_37.dll [2012.07.02 00:57:22 | 000,462,864 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\d3dx10_37.dll [2012.07.02 00:57:21 | 000,267,272 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\xactengine2_10.dll [2012.07.02 00:57:20 | 003,734,536 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\d3dx9_36.dll [2012.07.02 00:57:20 | 001,374,232 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\D3DCompiler_36.dll [2012.07.02 00:57:20 | 000,444,776 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\d3dx10_36.dll [2012.07.02 00:57:19 | 001,358,192 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\D3DCompiler_35.dll [2012.07.02 00:57:19 | 000,444,776 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\d3dx10_35.dll [2012.07.02 00:57:19 | 000,267,112 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\xactengine2_9.dll [2012.07.02 00:57:18 | 003,727,720 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\d3dx9_35.dll [2012.07.02 00:57:17 | 001,124,720 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\D3DCompiler_34.dll [2012.07.02 00:57:17 | 000,443,752 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\d3dx10_34.dll [2012.07.02 00:57:17 | 000,266,088 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\xactengine2_8.dll [2012.07.02 00:57:17 | 000,017,928 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\X3DAudio1_2.dll [2012.07.02 00:57:16 | 003,497,832 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\d3dx9_34.dll [2012.07.02 00:57:14 | 000,261,480 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\xactengine2_7.dll [2012.07.02 00:57:13 | 001,123,696 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\D3DCompiler_33.dll [2012.07.02 00:57:13 | 000,443,752 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\d3dx10_33.dll [2012.07.02 00:57:07 | 003,495,784 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\d3dx9_33.dll [2012.07.02 00:57:06 | 000,255,848 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\xactengine2_6.dll [2012.07.02 00:56:38 | 000,000,000 | ---D | C] -- C:\WINDOWS\Logs [2012.07.02 00:50:22 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Andreas\Startmenü\Programme\Kalypso [2012.07.02 00:50:19 | 000,000,000 | ---D | C] -- C:\Programme\Kalypso [2012.06.23 00:16:07 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Andreas\Eigene Dateien\Wildlife Park 2 [2012.06.23 00:16:07 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\Wildlife Park 2 [2012.06.22 23:28:05 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Andreas\Eigene Dateien\Wildlife Park 2 - Crazy Zoo [2012.06.22 23:28:05 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\Wildlife Park 2 - Crazy Zoo [2012.06.22 22:40:38 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\DirectX [2012.06.22 22:40:30 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Andreas\Eigene Dateien\Wildlife Park 2 - Marine World [2012.06.22 22:40:30 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\Wildlife Park 2 - Marine World [2012.06.22 22:33:00 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Deep Silver [2012.06.16 22:46:43 | 000,000,000 | ---D | C] -- C:\Programme\Incredibar.com [2012.06.16 22:46:39 | 000,000,000 | ---D | C] -- C:\Programme\Web Assistant [6 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2012.07.14 17:30:20 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2012.07.14 17:28:41 | 000,000,847 | ---- | M] () -- C:\Dokumente und Einstellungen\Andreas\Desktop\Data_Recovery.lnk [2012.07.14 17:28:41 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\-f4OqaoSvLJxRI1 [2012.07.14 17:28:37 | 000,000,256 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\f4OqaoSvLJxRI1 [2012.07.14 17:27:42 | 000,001,088 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job [2012.07.12 17:26:03 | 000,001,092 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job [2012.07.12 16:36:16 | 000,000,884 | ---- | M] () -- C:\WINDOWS\tasks\Adobe Flash Player Updater.job [2012.07.12 15:22:06 | 000,595,968 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Andreas\Desktop\OTL.exe [2012.07.12 15:08:40 | 000,000,144 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\-f4OqaoSvLJxRI1r [2012.07.12 15:08:34 | 000,000,756 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk [2012.07.12 14:49:33 | 000,023,040 | ---- | M] () -- C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2012.07.12 14:09:02 | 139,009,208 | ---- | M] (Emsisoft GmbH ) -- C:\Dokumente und Einstellungen\Andreas\Desktop\EmsisoftAntiMalwareSetup.exe [2012.07.12 14:05:51 | 000,000,738 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Emsisoft Anti-Malware.lnk [2012.07.12 12:38:31 | 000,317,168 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat [2012.07.12 12:38:31 | 000,311,938 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat [2012.07.12 12:38:31 | 000,048,552 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat [2012.07.12 12:38:31 | 000,040,326 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat [2012.07.12 11:03:32 | 000,399,264 | ---- | M] (Bleeping Computer, LLC) -- C:\Dokumente und Einstellungen\Andreas\Desktop\unhide.exe [2012.07.12 11:03:00 | 002,135,640 | ---- | M] (Kaspersky Lab ZAO) -- C:\Dokumente und Einstellungen\Andreas\Desktop\hubert.exe [2012.07.12 10:51:22 | 001,012,656 | ---- | M] () -- C:\Dokumente und Einstellungen\Andreas\Desktop\rkill.com [2012.07.12 00:24:14 | 000,251,640 | ---- | M] (PQQ) -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\f4OqaoSvLJxRI1.exe [2012.07.12 00:11:02 | 000,344,824 | ---- | M] (PQQ) -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\iYHJOPyUiWL.exe [2012.07.08 20:25:34 | 000,000,818 | ---- | M] () -- C:\Dokumente und Einstellungen\Andreas\Desktop\Imperium Romanum.lnk [2012.07.07 01:51:57 | 000,013,702 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2012.07.03 13:46:44 | 000,022,344 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys [2012.07.02 00:50:22 | 000,000,761 | ---- | M] () -- C:\Dokumente und Einstellungen\Andreas\Desktop\Tropico 3.lnk [2012.06.29 15:43:02 | 001,136,906 | ---- | M] () -- C:\Dokumente und Einstellungen\Andreas\Eigene Dateien\TS13 2012_06_27_TOP-Protokoll-1.pdf [2012.06.22 22:39:54 | 000,001,788 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Marine World.lnk [2012.06.22 22:39:54 | 000,001,788 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Crazy Zoo.lnk [2012.06.22 22:39:54 | 000,001,742 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Wildlife Park 2.lnk [2012.06.16 22:46:44 | 000,000,450 | ---- | M] () -- C:\user.js [6 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files Created - No Company Name ========== [2012.07.14 17:28:41 | 000,000,847 | ---- | C] () -- C:\Dokumente und Einstellungen\Andreas\Desktop\Data_Recovery.lnk [2012.07.12 15:08:40 | 000,000,144 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\-f4OqaoSvLJxRI1r [2012.07.12 15:08:40 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\-f4OqaoSvLJxRI1 [2012.07.12 14:05:51 | 000,000,738 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Emsisoft Anti-Malware.lnk [2012.07.12 11:05:04 | 001,012,656 | ---- | C] () -- C:\Dokumente und Einstellungen\Andreas\Desktop\rkill.com [2012.07.12 10:45:20 | 000,000,756 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk [2012.07.12 00:24:27 | 000,000,256 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\f4OqaoSvLJxRI1 [2012.07.08 20:25:34 | 000,000,818 | ---- | C] () -- C:\Dokumente und Einstellungen\Andreas\Desktop\Imperium Romanum.lnk [2012.07.02 00:50:22 | 000,000,761 | ---- | C] () -- C:\Dokumente und Einstellungen\Andreas\Desktop\Tropico 3.lnk [2012.06.29 15:43:02 | 001,136,906 | ---- | C] () -- C:\Dokumente und Einstellungen\Andreas\Eigene Dateien\TS13 2012_06_27_TOP-Protokoll-1.pdf [2012.06.22 22:39:54 | 000,001,788 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Marine World.lnk [2012.06.22 22:39:54 | 000,001,788 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Crazy Zoo.lnk [2012.06.22 22:39:54 | 000,001,742 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Wildlife Park 2.lnk [2012.06.16 22:46:44 | 000,000,450 | ---- | C] () -- C:\user.js [2012.06.10 20:17:44 | 000,354,816 | ---- | C] () -- C:\WINDOWS\System32\psisdecd.dll [2012.04.21 22:06:45 | 000,056,320 | ---- | C] () -- C:\WINDOWS\System32\iyvu9_32.dll [2012.04.21 22:04:26 | 000,010,240 | ---- | C] () -- C:\WINDOWS\System32\vidx16.dll [2012.04.20 21:59:21 | 000,284,160 | ---- | C] () -- C:\WINDOWS\unin0407.exe [2012.04.11 13:35:55 | 000,000,664 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat [2012.04.05 14:43:30 | 000,147,456 | ---- | C] () -- C:\WINDOWS\System32\RtlCPAPI.dll [2012.04.05 14:15:42 | 000,049,152 | ---- | C] () -- C:\WINDOWS\System32\ChCfg.exe [2012.04.04 13:25:22 | 000,147,456 | R--- | C] () -- C:\WINDOWS\System32\igfxCoIn_v4957.dll [2012.04.04 13:25:20 | 001,991,464 | R--- | C] () -- C:\WINDOWS\System32\igkrng500.bin [2012.04.04 13:25:20 | 000,432,400 | R--- | C] () -- C:\WINDOWS\System32\igcompkrng500.bin [2012.04.02 23:26:16 | 000,000,008 | RHS- | C] () -- C:\WINDOWS\System32\Desktop_.ini [2012.04.02 22:31:18 | 000,000,852 | R--- | C] () -- C:\WINDOWS\System32\drivers\RTKHDRC0.dat [2012.04.02 22:31:18 | 000,000,520 | R--- | C] () -- C:\WINDOWS\System32\drivers\RTEQEX1.dat [2012.04.02 22:31:18 | 000,000,520 | R--- | C] () -- C:\WINDOWS\System32\drivers\RTEQEX0.dat [2012.04.02 22:31:18 | 000,000,008 | R--- | C] () -- C:\WINDOWS\System32\drivers\rtkhdaud.dat [2012.04.02 22:11:06 | 000,081,920 | ---- | C] () -- C:\WINDOWS\System32\ieencode.dll [2012.04.02 21:58:14 | 000,001,788 | ---- | C] () -- C:\WINDOWS\System32\dcache.bin [2012.04.02 21:56:15 | 000,006,550 | ---- | C] () -- C:\WINDOWS\jautoexp.dat [2012.04.02 20:50:59 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI [2012.04.02 20:50:02 | 000,145,216 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT [2012.04.02 20:21:37 | 000,023,040 | ---- | C] () -- C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2012.04.02 20:01:55 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat [2012.04.02 19:57:29 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat < End of report > |
|
14.07.2012, 18:48
| #4 | |
| /// Malware-holic | Data Recovery - S.M.A.R.T. Check/Repair write fault error hi lade unhide: Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.Downloade dir bitte Combofix von einem dieser Downloadspiegel Link 1 Link 2 WICHTIG - Speichere Combofix auf deinem Desktop
Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort. Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten Zitat:
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
15.07.2012, 15:19
| #5 |
| | Data Recovery - S.M.A.R.T. Check/Repair write fault error Hallo Markus, anbei das combofix-Log Code:
ATTFilter ComboFix 12-07-14.01 - Administrator 15.07.2012 15:07:57.1.2 - x86 MINIMAL
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1977.1744 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Administrator.ANDREAS-0W5ECG4\Desktop\ComboFix.exe
.
Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\All Users\Anwendungsdaten\f4OqaoSvLJxRI1
c:\dokumente und einstellungen\All Users\Anwendungsdaten\f4OqaoSvLJxRI1.exe
c:\dokumente und einstellungen\All Users\Anwendungsdaten\iYHJOPyUiWL.exe
c:\dokumente und einstellungen\Andreas\Anwendungsdaten\Help\coredb\storage
c:\dokumente und einstellungen\Andreas\Desktop\Data_Recovery.lnk
c:\programme\Incredibar.com
c:\programme\Incredibar.com\incredibar\1.5.11.14\bh\incredibar.dll
c:\programme\Incredibar.com\incredibar\1.5.11.14\incredibarApp.dll
c:\programme\Incredibar.com\incredibar\1.5.11.14\incredibarEng.dll
c:\programme\Incredibar.com\incredibar\1.5.11.14\incredibarsrv.exe
c:\programme\Incredibar.com\incredibar\1.5.11.14\incredibarTlbr.dll
c:\programme\Incredibar.com\incredibar\1.5.11.14\uninstall.exe
c:\programme\Web Assistant\ExTEnsion32.dll
c:\windows\system32\Desktop_.ini
c:\windows\system32\dllcache\dlimport.exe
c:\windows\system32\drivers\etc\hosts.ics
c:\windows\unin0407.exe
.
.
((((((((((((((((((((((( Dateien erstellt von 2012-06-15 bis 2012-07-15 ))))))))))))))))))))))))))))))
.
.
2012-07-13 13:25 . 2012-07-15 12:49 -------- d-----w- c:\dokumente und einstellungen\Administrator.ANDREAS-0W5ECG4
2012-07-12 12:05 . 2012-07-15 12:54 -------- d-----w- c:\programme\Emsisoft Anti-Malware
2012-07-12 11:31 . 2012-07-12 11:31 -------- d-----w- C:\TDSSKiller_Quarantine
2012-07-12 08:45 . 2012-07-12 13:08 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2012-07-12 08:45 . 2012-07-03 11:46 22344 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-07-08 18:30 . 2012-07-08 18:30 -------- d--h--w- c:\dokumente und einstellungen\Andreas\Anwendungsdaten\Imperium Romanum
2012-07-01 22:56 . 2012-07-12 13:58 -------- d-----w- c:\windows\Logs
2012-07-01 22:50 . 2012-07-01 22:50 -------- d-----w- c:\programme\Kalypso
2012-06-22 22:16 . 2012-06-22 22:16 -------- d--h--w- c:\dokumente und einstellungen\Andreas\Anwendungsdaten\Wildlife Park 2
2012-06-22 21:28 . 2012-06-22 21:28 -------- d--h--w- c:\dokumente und einstellungen\Andreas\Anwendungsdaten\Wildlife Park 2 - Crazy Zoo
2012-06-22 20:40 . 2012-06-22 20:40 -------- d-----w- c:\programme\Gemeinsame Dateien\DirectX
2012-06-22 20:40 . 2012-06-22 20:40 -------- d--h--w- c:\dokumente und einstellungen\Andreas\Anwendungsdaten\Wildlife Park 2 - Marine World
2012-06-22 20:32 . 2004-07-15 22:20 733184 ----a-w- c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\10\01\Intel32\iKernel.dll
2012-06-22 20:32 . 2004-07-15 22:20 69715 ----a-w- c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\10\01\Intel32\ctor.dll
2012-06-22 20:32 . 2004-07-15 22:19 266240 ----a-w- c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\10\01\Intel32\iscript.dll
2012-06-22 20:32 . 2004-07-15 22:18 172032 ----a-w- c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\10\01\Intel32\iuser.dll
2012-06-22 20:32 . 2004-07-15 22:18 5632 ----a-w- c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\10\01\Intel32\DotNetInstaller.exe
2012-06-22 20:32 . 2012-06-22 20:32 180356 ----a-w- c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\10\01\Intel32\iGdi.dll
2012-06-22 20:32 . 2012-06-22 20:32 303236 ----a-w- c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\10\01\Intel32\setup.dll
2012-06-16 20:46 . 2012-06-16 20:46 450 ----a-w- C:\user.js
2012-06-16 20:46 . 2012-07-15 13:53 -------- d-----w- c:\programme\Web Assistant
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-06-02 13:19 . 2012-04-02 20:11 329240 ----a-w- c:\windows\system32\wucltui.dll
2012-06-02 13:19 . 2012-04-02 20:11 219160 ----a-w- c:\windows\system32\wuaucpl.cpl
2012-06-02 13:19 . 2012-04-02 20:11 210968 ----a-w- c:\windows\system32\wuweb.dll
2012-06-02 13:19 . 2009-08-06 17:24 18456 ----a-w- c:\windows\system32\wuaueng.dll.mui
2012-06-02 13:19 . 2009-08-06 17:24 15896 ----a-w- c:\windows\system32\wuapi.dll.mui
2012-06-02 13:19 . 2012-04-02 20:11 35864 ----a-w- c:\windows\system32\wups.dll
2012-06-02 13:19 . 2012-04-02 19:58 97304 ----a-w- c:\windows\system32\cdm.dll
2012-06-02 13:19 . 2012-04-02 19:57 53784 ----a-w- c:\windows\system32\wuauclt.exe
2012-06-02 13:19 . 2009-08-06 17:24 45080 ----a-w- c:\windows\system32\wups2.dll
2012-06-02 13:19 . 2009-08-06 17:24 15896 ----a-w- c:\windows\system32\wuaucpl.cpl.mui
2012-06-02 13:19 . 2009-08-06 17:24 23576 ----a-w- c:\windows\system32\wucltui.dll.mui
2012-06-02 13:19 . 2012-04-02 20:11 577048 ----a-w- c:\windows\system32\wuapi.dll
2012-06-02 13:19 . 2012-04-02 19:57 1933848 ----a-w- c:\windows\system32\wuaueng.dll
2012-06-02 13:18 . 2012-04-21 11:21 275696 ----a-w- c:\windows\system32\mucltui.dll
2012-06-02 13:18 . 2012-04-21 11:21 214256 ----a-w- c:\windows\system32\muweb.dll
2012-06-02 13:18 . 2012-04-21 11:21 18160 ----a-w- c:\windows\system32\mucltui.dll.mui
2012-04-21 20:04 . 2012-04-21 20:04 4608 ----a-w- c:\windows\system32\w95inf32.dll
2012-04-21 20:04 . 2012-04-21 20:04 2272 ----a-w- c:\windows\system32\w95inf16.dll
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-06-17 150040]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-06-17 170520]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-06-17 141848]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2008-02-22 1032192]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2012-01-17 252296]
"RTHDCPL"="RTHDCPL.EXE" [2008-01-29 16859648]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-03 843712]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2007-12-01 15360]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\Java\\jre7\\bin\\javaw.exe"=
"c:\\Programme\\Spark\\Spark.exe"=
"c:\\Dokumente und Einstellungen\\Andreas\\Eigene Dateien\\UFOAI-2.3.1\\ufo.exe"=
.
S1 A2DDA;A2 Direct Disk Access Support Driver;\??\c:\programme\Emsisoft Anti-Malware\a2ddax86.sys --> c:\programme\Emsisoft Anti-Malware\a2ddax86.sys [?]
S2 gupdate;Google Update-Dienst (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [06.04.2012 17:16 116648]
S3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [04.04.2012 16:18 253600]
S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\Google\Update\GoogleUpdate.exe [06.04.2012 17:16 116648]
.
Inhalt des "geplante Tasks" Ordners
.
2012-07-12 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-04 14:18]
.
2012-07-15 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2012-04-06 15:16]
.
2012-07-12 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2012-04-06 15:16]
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Connection Wizard,ShellNext = hxxp://www.avira.de/personal-support
TCP: DhcpNameServer = 192.168.2.1
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKLM-Run-iYHJOPyUiWL.exe - c:\dokumente und einstellungen\All Users\Anwendungsdaten\iYHJOPyUiWL.exe
SafeBoot-04460888.sys
AddRemove-Hospital - c:\windows\unin0407.exe
AddRemove-incredibar - c:\programme\Incredibar.com\incredibar\1.5.11.14\uninstall.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-07-15 15:57
Windows 5.1.2600 Service Pack 3, v.3264 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-07-15 16:13:12
ComboFix-quarantined-files.txt 2012-07-15 14:12
.
Vor Suchlauf: 9 Verzeichnis(se), 83.145.691.136 Bytes frei
Nach Suchlauf: 10 Verzeichnis(se), 83.527.405.568 Bytes frei
.
- - End Of File - - 5CCA835E5F30FE1B05D532760306F856
|
|
17.07.2012, 23:19
| #6 |
| /// Malware-holic | Data Recovery - S.M.A.R.T. Check/Repair write fault error hi warum wurde der tdss kiler ausgeführt, wo ist der bericht?
__________________ --> Data Recovery - S.M.A.R.T. Check/Repair write fault error |
|
| Themen zu Data Recovery - S.M.A.R.T. Check/Repair write fault error |
| antivir, arten, beim starten, data, data recovery, drive-by-download, error, erschein, erscheint, freeware, hallo zusammen, heuristiks/extra, heuristiks/shuriken, heute, nacht, pcs, recovery, s.m.a.r.t., scan, schafft, starte, starten, taucht, vermutlich, write, write fault error, zusammen |
Linear-Darstellung
