Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Data Recovery - S.M.A.R.T. Check/Repair write fault error (https://www.trojaner-board.de/119269-data-recovery-s-m-a-r-t-check-repair-write-fault-error.html)

Carphunter 12.07.2012 13:24
Data Recovery - S.M.A.R.T. Check/Repair write fault error
 
Hallo zusammen,

seit heute Nacht taucht beim Starten meines PCs immer dieses Systemfehlermeldung "write fault error" auf. Dazu erscheint ein Data Recovery Scanner. Vermutlich ist dieses durch einen Drive-by-Download auf meinen PC gelangt.

Auf Laufwerke und installierte Programm kann ich nicht zu greiffen, da diese mir nicht angezeigt werden. Durch den Antivir-Scan wurde mir aber angezeigt, dass die noch vorhanden sind.

Leider schafft mein Antivir (Freeware) das nicht.

PS: Daten konnte ich durch "unhide" wieder sichtbar machen und sichern. Sind halt meine kompletten Bewerbungsunterlagen. U.a. auch welche, die heute Abend noch raus müssen.
Nach Neustart sind diese allerdings wieder weg.

Für Hilfe wäre ich sehr dankbar.

MfG Carphunter

Code:
Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.07.12.08

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 6.0.2900.3264
Andreas :: ANDREAS-0W5ECG4 [Administrator]

12.07.2012 15:09:36
mbam-log-2012-07-12 (15-58-31).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 253121
Laufzeit: 48 Minute(n), 49 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 7
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowControlPanel (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowHelp (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyComputer (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyDocs (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowRun (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowSearch (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|NoDesktop (PUM.Hidden.Desktop) -> Bösartig: (1) Gut: (0) -> Keine Aktion durchgeführt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Dokumente und Einstellungen\Andreas\Desktop\Data_Recovery.lnk (Rogue.FakeHDD) -> Keine Aktion durchgeführt.

(Ende)
Habe natürlich erstmal alle Objekte versucht zu entfernen.

Jetzt läuft dann erstmal OTL.

markusg 13.07.2012 20:06
ok dann poste otl logs.

Carphunter 14.07.2012 17:03
Hallo Markus!
Vielen Dank für Deine Hilfe.

Code:
OTL logfile created on: 14.07.2012 17:52:06 - Run 3
OTL by OldTimer - Version 3.2.53.1    Folder = C:\Dokumente und Einstellungen\Andreas\Desktop
Windows XP Home Edition Service Pack 3, v.3264 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.3264)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1,93 Gb Total Physical Memory | 1,64 Gb Available Physical Memory | 84,71% Memory free
3,78 Gb Paging File | 3,68 Gb Available in Paging File | 97,27% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 127,99 Gb Total Space | 77,24 Gb Free Space | 60,35% Space Free | Partition Type: NTFS
Drive D: | 5,74 Gb Total Space | 0,00 Gb Free Space | 0,00% Space Free | Partition Type: UDF
Drive E: | 15,11 Gb Total Space | 14,96 Gb Free Space | 99,06% Space Free | Partition Type: FAT32
 
Computer Name: ANDREAS-0W5ECG4 | User Name: Andreas | Logged in as Administrator.
Boot Mode: SafeMode with Networking | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2012.07.12 15:22:06 | 000,595,968 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Andreas\Desktop\OTL.exe
PRC - [2007.12.01 02:48:18 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
 
 
========== Modules (No Company Name) ==========
 
MOD - [2009.02.27 17:41:26 | 000,311,296 | ---- | M] () -- C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\pdfshell.DEU
 
 
========== Win32 Services (SafeList) ==========
 
SRV - File not found [On_Demand | Stopped] -- %SystemRoot%\System32\appmgmts.dll -- (AppMgmt)
SRV - [2012.06.17 15:44:46 | 003,069,752 | ---- | M] (Emsisoft GmbH) [Auto | Stopped] -- C:\Programme\Emsisoft Anti-Malware\a2service.exe -- (a2AntiMalware)
SRV - [2012.05.11 18:01:37 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Stopped] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2012.05.11 18:01:35 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Stopped] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2012.04.05 14:09:38 | 000,161,664 | ---- | M] (Oracle Corporation) [Auto | Stopped] -- C:\Programme\Java\jre7\bin\jqs.exe -- (JavaQuickStarterService)
SRV - [2012.04.04 16:18:46 | 000,253,600 | ---- | M] (Adobe Systems Incorporated) [On_Demand | Stopped] -- C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe -- (AdobeFlashPlayerUpdateSvc)
SRV - [2011.07.20 05:18:24 | 000,440,696 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE -- (odserv)
SRV - [2006.10.26 14:03:08 | 000,145,184 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (WDICA)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRELI)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDCOMP)
DRV - File not found [Kernel | System | Stopped] --  -- (PCIDump)
DRV - File not found [Kernel | System | Stopped] --  -- (lbrtfdc)
DRV - File not found [Kernel | System | Stopped] --  -- (i2omgmt)
DRV - File not found [Kernel | System | Stopped] --  -- (Changer)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btwhid.sys -- (btwhid)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btwdndis.sys -- (BTWDNDIS)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btport.sys -- (BTDriver)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\btaudio.sys -- (btaudio)
DRV - [2012.05.11 18:01:38 | 000,137,928 | ---- | M] (Avira GmbH) [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2012.05.11 18:01:38 | 000,083,392 | ---- | M] (Avira GmbH) [File_System | Auto | Stopped] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2012.04.30 18:45:28 | 000,054,072 | ---- | M] (Emsisoft GmbH) [File_System | On_Demand | Stopped] -- C:\Programme\Emsisoft Anti-Malware\a2accx86.sys -- (a2acc)
DRV - [2011.10.11 15:00:01 | 000,036,000 | ---- | M] (Avira GmbH) [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\avkmgr.sys -- (avkmgr)
DRV - [2011.05.19 14:10:34 | 000,017,904 | ---- | M] (Emsi Software GmbH) [Kernel | System | Stopped] -- C:\Programme\Emsisoft Anti-Malware\a2ddax86.sys -- (A2DDA)
DRV - [2010.06.17 15:14:27 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2008.11.05 19:09:50 | 001,343,616 | R--- | M] (Atheros Communications, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\athw.sys -- (AR5416)
DRV - [2008.03.19 14:26:24 | 000,175,104 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\b57xp32.sys -- (b57w2k)
DRV - [2008.01.30 12:28:36 | 004,725,760 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
 
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.startup.homepage: "hxxp://www.google.de/"
 
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_2_202_228.dll ()
FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Programme\Google\Google Earth\plugin\npgeplugin.dll (Google)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/OfficeLive,version=1.5: C:\Programme\Microsoft\Office Live\npOLW.dll (Microsoft Corp.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Programme\Google\Update\1.3.21.115\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Programme\Google\Update\1.3.21.115\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@videolan.org/vlc,version=2.0.1: C:\Programme\VideoLAN\VLC\npvlc.dll (VideoLAN)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{336D0C35-8A85-403a-B9D2-65C292C39087}: C:\Programme\Web Assistant\Firefox [2012.06.16 22:46:40 | 000,000,000 | ---D | M]
 
[2012.06.03 08:52:06 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\Mozilla\Extensions
[2012.06.16 22:46:43 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\Mozilla\Firefox\Profiles\6oraf661.default\extensions
[2012.06.16 22:46:44 | 000,000,000 | ---D | M] (incredibar.com) -- C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\Mozilla\Firefox\Profiles\6oraf661.default\extensions\ffxtlbr@incredibar.com
 
O1 HOSTS File: ([2001.08.18 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1      localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Web Assistant) - {336D0C35-8A85-403a-B9D2-65C292C39087} - C:\Programme\Web Assistant\Extension32.dll ()
O2 - BHO: (Incredibar.com Helper Object) - {6E13DDE1-2B6E-46CE-8B66-DC8BF36F6B99} - C:\Programme\Incredibar.com\incredibar\1.5.11.14\bh\incredibar.dll (Montera Technologeis LTD)
O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre7\bin\jp2ssv.dll (Oracle Corporation)
O3 - HKLM\..\Toolbar: (Incredibar Toolbar) - {F9639E4A-801B-4843-AEE3-03D9DA199E77} - C:\Programme\Incredibar.com\incredibar\1.5.11.14\incredibarTlbr.dll (Montera Technologeis LTD)
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\Alcmtr.exe (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
O4 - HKLM..\Run: [iYHJOPyUiWL.exe] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\iYHJOPyUiWL.exe (PQQ)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKCU..\Run: [ANT Agent] C:\Programme\Garmin\ANT Agent\ANT Agent.exe (GARMIN Corp.)
O4 - HKCU..\Run: [gStart] C:\Garmin\gStart.exe (GARMIN Corp.)
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Recovery present
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} hxxp://go.microsoft.com/fwlink/?linkid=39204 (Windows Genuine Advantage Validation Tool)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_03-windows-i586.cab (Java Plug-in 1.7.0_03)
O16 - DPF: {CAFEEFAC-0017-0000-0003-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_03-windows-i586.cab (Java Plug-in 1.7.0_03)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_03-windows-i586.cab (Java Plug-in 1.7.0_03)
O16 - DPF: Microsoft XML Parser for Java file://C:\WINDOWS\Java\classes\xmldso.cab (Reg Error: Key error.)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{970544A1-C352-4877-A79E-379DC93DF545}: DhcpNameServer = 192.168.2.1
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2012.04.02 20:00:18 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2005.03.30 12:04:10 | 000,000,081 | R--- | M] () - D:\Autorun.inf -- [ UDF ]
O33 - MountPoints2\D\Shell - "" = AutoRun
O33 - MountPoints2\D\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\D\Shell\AutoRun\command - "" = D:\0data\cbs.exe -- [2010.06.11 12:43:34 | 003,488,256 | R--- | M] ()
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012.07.14 17:28:02 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Andreas\Recent
[2012.07.12 15:22:04 | 000,595,968 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Andreas\Desktop\OTL.exe
[2012.07.12 14:05:51 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Emsisoft Anti-Malware
[2012.07.12 14:05:08 | 000,000,000 | ---D | C] -- C:\Programme\Emsisoft Anti-Malware
[2012.07.12 14:05:08 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Andreas\Eigene Dateien\Anti-Malware
[2012.07.12 13:57:54 | 139,009,208 | ---- | C] (Emsisoft GmbH                                              ) -- C:\Dokumente und Einstellungen\Andreas\Desktop\EmsisoftAntiMalwareSetup.exe
[2012.07.12 13:31:21 | 000,000,000 | ---D | C] -- C:\TDSSKiller_Quarantine
[2012.07.12 12:27:08 | 000,399,264 | ---- | C] (Bleeping Computer, LLC) -- C:\Dokumente und Einstellungen\Andreas\Desktop\unhide.exe
[2012.07.12 12:26:59 | 002,135,640 | ---- | C] (Kaspersky Lab ZAO) -- C:\Dokumente und Einstellungen\Andreas\Desktop\hubert.exe
[2012.07.12 10:45:20 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware
[2012.07.12 10:45:19 | 000,022,344 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2012.07.12 10:45:19 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2012.07.12 00:28:07 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Andreas\Eigene Dateien\Neuer Ordner
[2012.07.12 00:24:33 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Andreas\Startmenü\Programme\Data Recovery
[2012.07.12 00:24:14 | 000,251,640 | ---- | C] (PQQ) -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\f4OqaoSvLJxRI1.exe
[2012.07.12 00:13:17 | 000,344,824 | ---- | C] (PQQ) -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\iYHJOPyUiWL.exe
[2012.07.08 20:30:50 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\Imperium Romanum
[2012.07.02 00:57:55 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\Tropico 3
[2012.07.02 00:57:36 | 001,846,632 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\D3DCompiler_41.dll
[2012.07.02 00:57:36 | 000,453,456 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\d3dx10_41.dll
[2012.07.02 00:57:35 | 004,178,264 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\D3DX9_41.dll
[2012.07.02 00:57:35 | 000,517,448 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\XAudio2_4.dll
[2012.07.02 00:57:35 | 000,069,448 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\XAPOFX1_3.dll
[2012.07.02 00:57:34 | 000,235,352 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\xactengine3_4.dll
[2012.07.02 00:57:34 | 000,022,360 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\X3DAudio1_6.dll
[2012.07.02 00:57:33 | 004,379,984 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\D3DX9_40.dll
[2012.07.02 00:57:33 | 002,036,576 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\D3DCompiler_40.dll
[2012.07.02 00:57:33 | 000,452,440 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\d3dx10_40.dll
[2012.07.02 00:57:32 | 000,514,384 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\XAudio2_3.dll
[2012.07.02 00:57:32 | 000,070,992 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\XAPOFX1_2.dll
[2012.07.02 00:57:31 | 000,235,856 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\xactengine3_3.dll
[2012.07.02 00:57:31 | 000,023,376 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\X3DAudio1_5.dll
[2012.07.02 00:57:30 | 000,509,448 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\XAudio2_2.dll
[2012.07.02 00:57:30 | 000,068,616 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\XAPOFX1_1.dll
[2012.07.02 00:57:29 | 000,238,088 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\xactengine3_2.dll
[2012.07.02 00:57:28 | 003,851,784 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\D3DX9_39.dll
[2012.07.02 00:57:28 | 001,493,528 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\D3DCompiler_39.dll
[2012.07.02 00:57:28 | 000,467,984 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\d3dx10_39.dll
[2012.07.02 00:57:27 | 000,507,400 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\XAudio2_1.dll
[2012.07.02 00:57:27 | 000,065,032 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\XAPOFX1_0.dll
[2012.07.02 00:57:26 | 000,238,088 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\xactengine3_1.dll
[2012.07.02 00:57:26 | 000,025,608 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\X3DAudio1_4.dll
[2012.07.02 00:57:25 | 003,850,760 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\D3DX9_38.dll
[2012.07.02 00:57:25 | 001,491,992 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\D3DCompiler_38.dll
[2012.07.02 00:57:25 | 000,467,984 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\d3dx10_38.dll
[2012.07.02 00:57:24 | 000,479,752 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\XAudio2_0.dll
[2012.07.02 00:57:23 | 000,238,088 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\xactengine3_0.dll
[2012.07.02 00:57:23 | 000,025,608 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\X3DAudio1_3.dll
[2012.07.02 00:57:22 | 003,786,760 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\D3DX9_37.dll
[2012.07.02 00:57:22 | 001,420,824 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\D3DCompiler_37.dll
[2012.07.02 00:57:22 | 000,462,864 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\d3dx10_37.dll
[2012.07.02 00:57:21 | 000,267,272 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\xactengine2_10.dll
[2012.07.02 00:57:20 | 003,734,536 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\d3dx9_36.dll
[2012.07.02 00:57:20 | 001,374,232 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\D3DCompiler_36.dll
[2012.07.02 00:57:20 | 000,444,776 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\d3dx10_36.dll
[2012.07.02 00:57:19 | 001,358,192 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\D3DCompiler_35.dll
[2012.07.02 00:57:19 | 000,444,776 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\d3dx10_35.dll
[2012.07.02 00:57:19 | 000,267,112 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\xactengine2_9.dll
[2012.07.02 00:57:18 | 003,727,720 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\d3dx9_35.dll
[2012.07.02 00:57:17 | 001,124,720 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\D3DCompiler_34.dll
[2012.07.02 00:57:17 | 000,443,752 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\d3dx10_34.dll
[2012.07.02 00:57:17 | 000,266,088 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\xactengine2_8.dll
[2012.07.02 00:57:17 | 000,017,928 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\X3DAudio1_2.dll
[2012.07.02 00:57:16 | 003,497,832 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\d3dx9_34.dll
[2012.07.02 00:57:14 | 000,261,480 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\xactengine2_7.dll
[2012.07.02 00:57:13 | 001,123,696 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\D3DCompiler_33.dll
[2012.07.02 00:57:13 | 000,443,752 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\d3dx10_33.dll
[2012.07.02 00:57:07 | 003,495,784 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\d3dx9_33.dll
[2012.07.02 00:57:06 | 000,255,848 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\xactengine2_6.dll
[2012.07.02 00:56:38 | 000,000,000 | ---D | C] -- C:\WINDOWS\Logs
[2012.07.02 00:50:22 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Andreas\Startmenü\Programme\Kalypso
[2012.07.02 00:50:19 | 000,000,000 | ---D | C] -- C:\Programme\Kalypso
[2012.06.23 00:16:07 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Andreas\Eigene Dateien\Wildlife Park 2
[2012.06.23 00:16:07 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\Wildlife Park 2
[2012.06.22 23:28:05 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Andreas\Eigene Dateien\Wildlife Park 2 - Crazy Zoo
[2012.06.22 23:28:05 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\Wildlife Park 2 - Crazy Zoo
[2012.06.22 22:40:38 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\DirectX
[2012.06.22 22:40:30 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Andreas\Eigene Dateien\Wildlife Park 2 - Marine World
[2012.06.22 22:40:30 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\Wildlife Park 2 - Marine World
[2012.06.22 22:33:00 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Deep Silver
[2012.06.16 22:46:43 | 000,000,000 | ---D | C] -- C:\Programme\Incredibar.com
[2012.06.16 22:46:39 | 000,000,000 | ---D | C] -- C:\Programme\Web Assistant
[6 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2012.07.14 17:30:20 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2012.07.14 17:28:41 | 000,000,847 | ---- | M] () -- C:\Dokumente und Einstellungen\Andreas\Desktop\Data_Recovery.lnk
[2012.07.14 17:28:41 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\-f4OqaoSvLJxRI1
[2012.07.14 17:28:37 | 000,000,256 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\f4OqaoSvLJxRI1
[2012.07.14 17:27:42 | 000,001,088 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2012.07.12 17:26:03 | 000,001,092 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2012.07.12 16:36:16 | 000,000,884 | ---- | M] () -- C:\WINDOWS\tasks\Adobe Flash Player Updater.job
[2012.07.12 15:22:06 | 000,595,968 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Andreas\Desktop\OTL.exe
[2012.07.12 15:08:40 | 000,000,144 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\-f4OqaoSvLJxRI1r
[2012.07.12 15:08:34 | 000,000,756 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes Anti-Malware.lnk
[2012.07.12 14:49:33 | 000,023,040 | ---- | M] () -- C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2012.07.12 14:09:02 | 139,009,208 | ---- | M] (Emsisoft GmbH                                              ) -- C:\Dokumente und Einstellungen\Andreas\Desktop\EmsisoftAntiMalwareSetup.exe
[2012.07.12 14:05:51 | 000,000,738 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Emsisoft Anti-Malware.lnk
[2012.07.12 12:38:31 | 000,317,168 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2012.07.12 12:38:31 | 000,311,938 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2012.07.12 12:38:31 | 000,048,552 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2012.07.12 12:38:31 | 000,040,326 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2012.07.12 11:03:32 | 000,399,264 | ---- | M] (Bleeping Computer, LLC) -- C:\Dokumente und Einstellungen\Andreas\Desktop\unhide.exe
[2012.07.12 11:03:00 | 002,135,640 | ---- | M] (Kaspersky Lab ZAO) -- C:\Dokumente und Einstellungen\Andreas\Desktop\hubert.exe
[2012.07.12 10:51:22 | 001,012,656 | ---- | M] () -- C:\Dokumente und Einstellungen\Andreas\Desktop\rkill.com
[2012.07.12 00:24:14 | 000,251,640 | ---- | M] (PQQ) -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\f4OqaoSvLJxRI1.exe
[2012.07.12 00:11:02 | 000,344,824 | ---- | M] (PQQ) -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\iYHJOPyUiWL.exe
[2012.07.08 20:25:34 | 000,000,818 | ---- | M] () -- C:\Dokumente und Einstellungen\Andreas\Desktop\Imperium Romanum.lnk
[2012.07.07 01:51:57 | 000,013,702 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2012.07.03 13:46:44 | 000,022,344 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2012.07.02 00:50:22 | 000,000,761 | ---- | M] () -- C:\Dokumente und Einstellungen\Andreas\Desktop\Tropico 3.lnk
[2012.06.29 15:43:02 | 001,136,906 | ---- | M] () -- C:\Dokumente und Einstellungen\Andreas\Eigene Dateien\TS13 2012_06_27_TOP-Protokoll-1.pdf
[2012.06.22 22:39:54 | 000,001,788 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Marine World.lnk
[2012.06.22 22:39:54 | 000,001,788 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Crazy Zoo.lnk
[2012.06.22 22:39:54 | 000,001,742 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Wildlife Park 2.lnk
[2012.06.16 22:46:44 | 000,000,450 | ---- | M] () -- C:\user.js
[6 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2012.07.14 17:28:41 | 000,000,847 | ---- | C] () -- C:\Dokumente und Einstellungen\Andreas\Desktop\Data_Recovery.lnk
[2012.07.12 15:08:40 | 000,000,144 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\-f4OqaoSvLJxRI1r
[2012.07.12 15:08:40 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\-f4OqaoSvLJxRI1
[2012.07.12 14:05:51 | 000,000,738 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Emsisoft Anti-Malware.lnk
[2012.07.12 11:05:04 | 001,012,656 | ---- | C] () -- C:\Dokumente und Einstellungen\Andreas\Desktop\rkill.com
[2012.07.12 10:45:20 | 000,000,756 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes Anti-Malware.lnk
[2012.07.12 00:24:27 | 000,000,256 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\f4OqaoSvLJxRI1
[2012.07.08 20:25:34 | 000,000,818 | ---- | C] () -- C:\Dokumente und Einstellungen\Andreas\Desktop\Imperium Romanum.lnk
[2012.07.02 00:50:22 | 000,000,761 | ---- | C] () -- C:\Dokumente und Einstellungen\Andreas\Desktop\Tropico 3.lnk
[2012.06.29 15:43:02 | 001,136,906 | ---- | C] () -- C:\Dokumente und Einstellungen\Andreas\Eigene Dateien\TS13 2012_06_27_TOP-Protokoll-1.pdf
[2012.06.22 22:39:54 | 000,001,788 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Marine World.lnk
[2012.06.22 22:39:54 | 000,001,788 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Crazy Zoo.lnk
[2012.06.22 22:39:54 | 000,001,742 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Wildlife Park 2.lnk
[2012.06.16 22:46:44 | 000,000,450 | ---- | C] () -- C:\user.js
[2012.06.10 20:17:44 | 000,354,816 | ---- | C] () -- C:\WINDOWS\System32\psisdecd.dll
[2012.04.21 22:06:45 | 000,056,320 | ---- | C] () -- C:\WINDOWS\System32\iyvu9_32.dll
[2012.04.21 22:04:26 | 000,010,240 | ---- | C] () -- C:\WINDOWS\System32\vidx16.dll
[2012.04.20 21:59:21 | 000,284,160 | ---- | C] () -- C:\WINDOWS\unin0407.exe
[2012.04.11 13:35:55 | 000,000,664 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat
[2012.04.05 14:43:30 | 000,147,456 | ---- | C] () -- C:\WINDOWS\System32\RtlCPAPI.dll
[2012.04.05 14:15:42 | 000,049,152 | ---- | C] () -- C:\WINDOWS\System32\ChCfg.exe
[2012.04.04 13:25:22 | 000,147,456 | R--- | C] () -- C:\WINDOWS\System32\igfxCoIn_v4957.dll
[2012.04.04 13:25:20 | 001,991,464 | R--- | C] () -- C:\WINDOWS\System32\igkrng500.bin
[2012.04.04 13:25:20 | 000,432,400 | R--- | C] () -- C:\WINDOWS\System32\igcompkrng500.bin
[2012.04.02 23:26:16 | 000,000,008 | RHS- | C] () -- C:\WINDOWS\System32\Desktop_.ini
[2012.04.02 22:31:18 | 000,000,852 | R--- | C] () -- C:\WINDOWS\System32\drivers\RTKHDRC0.dat
[2012.04.02 22:31:18 | 000,000,520 | R--- | C] () -- C:\WINDOWS\System32\drivers\RTEQEX1.dat
[2012.04.02 22:31:18 | 000,000,520 | R--- | C] () -- C:\WINDOWS\System32\drivers\RTEQEX0.dat
[2012.04.02 22:31:18 | 000,000,008 | R--- | C] () -- C:\WINDOWS\System32\drivers\rtkhdaud.dat
[2012.04.02 22:11:06 | 000,081,920 | ---- | C] () -- C:\WINDOWS\System32\ieencode.dll
[2012.04.02 21:58:14 | 000,001,788 | ---- | C] () -- C:\WINDOWS\System32\dcache.bin
[2012.04.02 21:56:15 | 000,006,550 | ---- | C] () -- C:\WINDOWS\jautoexp.dat
[2012.04.02 20:50:59 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2012.04.02 20:50:02 | 000,145,216 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2012.04.02 20:21:37 | 000,023,040 | ---- | C] () -- C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2012.04.02 20:01:55 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2012.04.02 19:57:29 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat

< End of report >

markusg 14.07.2012 18:48
hi
lade unhide:
http://filepony.de/download-unhide/
doppelklicken, dateien werden sichtbar
Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.
Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2


WICHTIG - Speichere Combofix auf deinem Desktop
  • Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.


Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Zitat:
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.

Carphunter 15.07.2012 15:19
Hallo Markus,

anbei das combofix-Log

Code:
ComboFix 12-07-14.01 - Administrator 15.07.2012  15:07:57.1.2 - x86 MINIMAL
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.1977.1744 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Administrator.ANDREAS-0W5ECG4\Desktop\ComboFix.exe
.
Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.
.
((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\All Users\Anwendungsdaten\f4OqaoSvLJxRI1
c:\dokumente und einstellungen\All Users\Anwendungsdaten\f4OqaoSvLJxRI1.exe
c:\dokumente und einstellungen\All Users\Anwendungsdaten\iYHJOPyUiWL.exe
c:\dokumente und einstellungen\Andreas\Anwendungsdaten\Help\coredb\storage
c:\dokumente und einstellungen\Andreas\Desktop\Data_Recovery.lnk
c:\programme\Incredibar.com
c:\programme\Incredibar.com\incredibar\1.5.11.14\bh\incredibar.dll
c:\programme\Incredibar.com\incredibar\1.5.11.14\incredibarApp.dll
c:\programme\Incredibar.com\incredibar\1.5.11.14\incredibarEng.dll
c:\programme\Incredibar.com\incredibar\1.5.11.14\incredibarsrv.exe
c:\programme\Incredibar.com\incredibar\1.5.11.14\incredibarTlbr.dll
c:\programme\Incredibar.com\incredibar\1.5.11.14\uninstall.exe
c:\programme\Web Assistant\ExTEnsion32.dll
c:\windows\system32\Desktop_.ini
c:\windows\system32\dllcache\dlimport.exe
c:\windows\system32\drivers\etc\hosts.ics
c:\windows\unin0407.exe
.
.
(((((((((((((((((((((((  Dateien erstellt von 2012-06-15 bis 2012-07-15  ))))))))))))))))))))))))))))))
.
.
2012-07-13 13:25 . 2012-07-15 12:49        --------        d-----w-        c:\dokumente und einstellungen\Administrator.ANDREAS-0W5ECG4
2012-07-12 12:05 . 2012-07-15 12:54        --------        d-----w-        c:\programme\Emsisoft Anti-Malware
2012-07-12 11:31 . 2012-07-12 11:31        --------        d-----w-        C:\TDSSKiller_Quarantine
2012-07-12 08:45 . 2012-07-12 13:08        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware
2012-07-12 08:45 . 2012-07-03 11:46        22344        ----a-w-        c:\windows\system32\drivers\mbam.sys
2012-07-08 18:30 . 2012-07-08 18:30        --------        d--h--w-        c:\dokumente und einstellungen\Andreas\Anwendungsdaten\Imperium Romanum
2012-07-01 22:56 . 2012-07-12 13:58        --------        d-----w-        c:\windows\Logs
2012-07-01 22:50 . 2012-07-01 22:50        --------        d-----w-        c:\programme\Kalypso
2012-06-22 22:16 . 2012-06-22 22:16        --------        d--h--w-        c:\dokumente und einstellungen\Andreas\Anwendungsdaten\Wildlife Park 2
2012-06-22 21:28 . 2012-06-22 21:28        --------        d--h--w-        c:\dokumente und einstellungen\Andreas\Anwendungsdaten\Wildlife Park 2 - Crazy Zoo
2012-06-22 20:40 . 2012-06-22 20:40        --------        d-----w-        c:\programme\Gemeinsame Dateien\DirectX
2012-06-22 20:40 . 2012-06-22 20:40        --------        d--h--w-        c:\dokumente und einstellungen\Andreas\Anwendungsdaten\Wildlife Park 2 - Marine World
2012-06-22 20:32 . 2004-07-15 22:20        733184        ----a-w-        c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\10\01\Intel32\iKernel.dll
2012-06-22 20:32 . 2004-07-15 22:20        69715        ----a-w-        c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\10\01\Intel32\ctor.dll
2012-06-22 20:32 . 2004-07-15 22:19        266240        ----a-w-        c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\10\01\Intel32\iscript.dll
2012-06-22 20:32 . 2004-07-15 22:18        172032        ----a-w-        c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\10\01\Intel32\iuser.dll
2012-06-22 20:32 . 2004-07-15 22:18        5632        ----a-w-        c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\10\01\Intel32\DotNetInstaller.exe
2012-06-22 20:32 . 2012-06-22 20:32        180356        ----a-w-        c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\10\01\Intel32\iGdi.dll
2012-06-22 20:32 . 2012-06-22 20:32        303236        ----a-w-        c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\10\01\Intel32\setup.dll
2012-06-16 20:46 . 2012-06-16 20:46        450        ----a-w-        C:\user.js
2012-06-16 20:46 . 2012-07-15 13:53        --------        d-----w-        c:\programme\Web Assistant
.
.
.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-06-02 13:19 . 2012-04-02 20:11        329240        ----a-w-        c:\windows\system32\wucltui.dll
2012-06-02 13:19 . 2012-04-02 20:11        219160        ----a-w-        c:\windows\system32\wuaucpl.cpl
2012-06-02 13:19 . 2012-04-02 20:11        210968        ----a-w-        c:\windows\system32\wuweb.dll
2012-06-02 13:19 . 2009-08-06 17:24        18456        ----a-w-        c:\windows\system32\wuaueng.dll.mui
2012-06-02 13:19 . 2009-08-06 17:24        15896        ----a-w-        c:\windows\system32\wuapi.dll.mui
2012-06-02 13:19 . 2012-04-02 20:11        35864        ----a-w-        c:\windows\system32\wups.dll
2012-06-02 13:19 . 2012-04-02 19:58        97304        ----a-w-        c:\windows\system32\cdm.dll
2012-06-02 13:19 . 2012-04-02 19:57        53784        ----a-w-        c:\windows\system32\wuauclt.exe
2012-06-02 13:19 . 2009-08-06 17:24        45080        ----a-w-        c:\windows\system32\wups2.dll
2012-06-02 13:19 . 2009-08-06 17:24        15896        ----a-w-        c:\windows\system32\wuaucpl.cpl.mui
2012-06-02 13:19 . 2009-08-06 17:24        23576        ----a-w-        c:\windows\system32\wucltui.dll.mui
2012-06-02 13:19 . 2012-04-02 20:11        577048        ----a-w-        c:\windows\system32\wuapi.dll
2012-06-02 13:19 . 2012-04-02 19:57        1933848        ----a-w-        c:\windows\system32\wuaueng.dll
2012-06-02 13:18 . 2012-04-21 11:21        275696        ----a-w-        c:\windows\system32\mucltui.dll
2012-06-02 13:18 . 2012-04-21 11:21        214256        ----a-w-        c:\windows\system32\muweb.dll
2012-06-02 13:18 . 2012-04-21 11:21        18160        ----a-w-        c:\windows\system32\mucltui.dll.mui
2012-04-21 20:04 . 2012-04-21 20:04        4608        ----a-w-        c:\windows\system32\w95inf32.dll
2012-04-21 20:04 . 2012-04-21 20:04        2272        ----a-w-        c:\windows\system32\w95inf16.dll
.
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-06-17 150040]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-06-17 170520]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-06-17 141848]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2008-02-22 1032192]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2012-01-17 252296]
"RTHDCPL"="RTHDCPL.EXE" [2008-01-29 16859648]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-03 843712]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2007-12-01 15360]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\Java\\jre7\\bin\\javaw.exe"=
"c:\\Programme\\Spark\\Spark.exe"=
"c:\\Dokumente und Einstellungen\\Andreas\\Eigene Dateien\\UFOAI-2.3.1\\ufo.exe"=
.
S1 A2DDA;A2 Direct Disk Access Support Driver;\??\c:\programme\Emsisoft Anti-Malware\a2ddax86.sys --> c:\programme\Emsisoft Anti-Malware\a2ddax86.sys [?]
S2 gupdate;Google Update-Dienst (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [06.04.2012 17:16 116648]
S3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [04.04.2012 16:18 253600]
S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\Google\Update\GoogleUpdate.exe [06.04.2012 17:16 116648]
.
Inhalt des "geplante Tasks" Ordners
.
2012-07-12 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-04 14:18]
.
2012-07-15 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2012-04-06 15:16]
.
2012-07-12 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2012-04-06 15:16]
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Connection Wizard,ShellNext = hxxp://www.avira.de/personal-support
TCP: DhcpNameServer = 192.168.2.1
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKLM-Run-iYHJOPyUiWL.exe - c:\dokumente und einstellungen\All Users\Anwendungsdaten\iYHJOPyUiWL.exe
SafeBoot-04460888.sys
AddRemove-Hospital - c:\windows\unin0407.exe
AddRemove-incredibar - c:\programme\Incredibar.com\incredibar\1.5.11.14\uninstall.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-07-15 15:57
Windows 5.1.2600 Service Pack 3, v.3264 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-07-15  16:13:12
ComboFix-quarantined-files.txt  2012-07-15 14:12
.
Vor Suchlauf: 9 Verzeichnis(se), 83.145.691.136 Bytes frei
Nach Suchlauf: 10 Verzeichnis(se), 83.527.405.568 Bytes frei
.
- - End Of File - - 5CCA835E5F30FE1B05D532760306F856

markusg 17.07.2012 23:19
hi
warum wurde der tdss kiler ausgeführt, wo ist der bericht?


Alle Zeitangaben in WEZ +1. Es ist jetzt 16:59 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131