|
Log-Analyse und Auswertung: Windows Ordner in Nicht-System-PartitionWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
16.07.2009, 22:56 | #1 |
| Windows Ordner in Nicht-System-Partition Guten Abend! Ich habe einen Ordner namens Windows auf meiner D Partition (System ist auf C), der mir ein wenig Kopfschmerzen bereitet. AntiVir gibt bei jedem Scan nen Haufen Warnungen aus, da es die Dateien, welche sich in diesem Ordner befinden, nicht öffnen kann. Eine Datei namens corpol.dll, welche sich in dem Unterordner mit der kryptischen Bezeichnung "976c9832ecef58633b63784e52891697" befindet, wird sogar durch die Heuristik als verdächtig eingestuft. Bei dem Versuch die Daten des Ordners zu kopieren kommt immer "Zugriff verweigert" (AUCH im abgesicherten Modus!). Mein PC ist ein Medion Computer aus dem Jahre 2006 (MD8800). Ob der Ordner sich schon immer dort befand kann ich nicht genau sagen, allerdings kommen die ganzen Warnmeldungen seitens AntiVir erst seit kurzem. Selbst der Versuch die Dateien in die Quarantäne zu kopieren scheitert. Die Ordnerstruktur sieht wie folgt aus: D:\Windows\
Alle Ordner (bis auf "c++") wurden das letzte Mal Mitte/Ende 2006 geändert, daher hoffe ich, dass es u.U. was von Medion selbst sein könnte, aber die ganzen AntiVir Meldungen haben mich schon sehr verunsichert, was mich dazu veranlasst hat hier einen Thread aufzumachen. Ich hoffe ihr könnt mir weiterhelfen. Vielleicht hat ja sogar jemand den gleichen/ähnlichen PC und kann dazu etwas sagen. Anbei ein HijackThis Log. Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 23:15:29, on 16.07.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\Programme\LSI SoftModem\agrsmsvc.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\CodeGear\RAD Studio\6.0\bin\BSQLServer.exe C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\System32\TUProgSt.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\WINDOWS\Explorer.EXE C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\Programme\Java\jre6\bin\jusched.exe C:\WINDOWS\ALCFDRTM.EXE C:\WINDOWS\system32\CmUCReye.exe C:\Programme\Medion Info Display\MdionLCM.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Logitech\SetPoint\SetPoint.exe C:\WINDOWS\System32\svchost.exe C:\Programme\RALINK\Common\RaUI.exe C:\Programme\RivaTuner v2.24\RivaTuner.exe C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE C:\programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = localhost:8118 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [AlcFDMonitor] C:\WINDOWS\ALCFDRTM.EXE O4 - HKLM\..\Run: [CmUCRRun] C:\WINDOWS\system32\CmUCReye.exe O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe O4 - HKLM\..\Run: [MedionVFD] "C:\Programme\Medion Info Display\MdionLCM.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: Logitech . Produktregistrierung.lnk = C:\Programme\Gemeinsame Dateien\Logishrd\eReg\SetPoint\eReg.exe O4 - Startup: RivaTuner.lnk = C:\Programme\RivaTuner v2.24\RivaTuner.exe O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Programme\RALINK\Common\RaUI.exe O8 - Extra context menu item: An vorhandene PDF-Datei anfügen - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Linkziel an vorhandene PDF-Datei anhängen - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Linkziel in Adobe PDF konvertieren - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O10 - Unknown file in Winsock LSP: c:\programme\vmware\vmware player\vsocklib.dll O10 - Unknown file in Winsock LSP: c:\programme\vmware\vmware player\vsocklib.dll O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1241449536843 O16 - DPF: {CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA} - O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Programme\LSI SoftModem\agrsmsvc.exe O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: BlackfishSQL - CodeGear - C:\Programme\CodeGear\RAD Studio\6.0\bin\BSQLServer.exe O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe (file missing) O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe (file missing) O23 - Service: CyberLink Media Library Service - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe (file missing) O23 - Service: FrameManager Service - Samsung India Software Center - C:\Programme\Samsung\FrameManager\sam_service.exe O23 - Service: GEARSecurity - Unknown owner - C:\WINDOWS\System32\GEARSec.exe (file missing) O23 - Service: Google Update Service (gupdate1c9d6f3ee7036c) (gupdate1c9d6f3ee7036c) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTServ.exe O23 - Service: Maxtor Service (Maxtor Sync Service) - Seagate Technology LLC - C:\Programme\Maxtor\Sync\SyncServices.exe O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing) O23 - Service: npkcmsvc - INCA Internet Co., Ltd. - C:\WINDOWS\system32\npkcmsvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe (file missing) O23 - Service: SiSoftware Deployment Agent Service (SandraAgentSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2009.SP3c\RpcAgentSrv.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe O23 - Service: VMware Agent Service (ufad-ws60) - VMware, Inc. - C:\Programme\VMware\VMware Player\vmware-ufad.exe O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Player\vmware-authd.exe O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe -- End of file - 10348 bytes |
07.08.2009, 22:33 | #2 |
| Windows Ordner in Nicht-System-Partition Hey, ich sehe gerade das niemand antwortet.
__________________Ich selbst bin aber eigendlich auch nur "Opfer" :P. Da nichts von D:\ ausgeht würde ich erstmal denken das nichts aktiv läuft, wobei es da sicher Mittel und Wege gäbe, hast du schonmal Experimente gewagt wie das kurzzeitige auskoppeln don "D:" ? Du könntest sie auch formatieren (eventuell vorher Daten auf C:\ usw. retten) dban kann übrigens auch Systemplatten formatieren, da müsstest du dann nur aufpassen das du nur d:\ löscht. Achso und es gab doch hier ein Tool, das zeigt was in letzter Zeit installiert wurde usw. Seid wann gibt es denn diesen Ordner? Bzw. Hattest du den PC schon vorher? Gruß, Shaddow. P.S.: Aber bevor du an die Dateien gehst warte lieber ab was ein erfahrener User dazu meint, vielleicht ist es ja wirklich ungefährlich oder du hast ein zweites OS drauf. (Falls das geht) |
14.08.2009, 16:05 | #3 |
| Windows Ordner in Nicht-System-Partition Danke für die Antwort.. wenigstens einer reagiert mal drauf
__________________Diese gewagten Versuche mit auskoppeln etc. wollte ich eigentlich nicht durchführen. Formatieren u.U. schon, aber auch nicht in naher Zukunft, da sonst eigentlich noch alles ok ist. Den PC hab ich seit 3 Jahren und seitdem einmal formatiert, wobei dabei nur die Daten auf C:\ gelöscht werden (Medion Recovery Dings xD). Ich hatte vor kurzem Ubuntu als Programm installiert (per Wubi), allerdings ist das ja eher unwahrscheinlich, dass es daran liegt, weil die Ordner Änderungsdatum 2006 haben Vielleicht weiß da wer anderes noch was zu ?! |
Themen zu Windows Ordner in Nicht-System-Partition |
abgesicherten modus, adobe, agere systems, antivir guard, avira, bho, computer, desktop, explorer, firefox, google update, gupdate, hijack, hijackthis, hkus\s-1-5-18, home, hängen, internet, internet explorer, konvertieren, logfile, malwarebytes' anti-malware, mozilla, nicht öffnen, nvidia, object, pdf-datei, plug-in, rundll, scan, shortcut, software, studio, system, tuneup.defrag, warnmeldungen, windows, windows xp, zugriff verweigert |