Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Windows Ordner in Nicht-System-Partition

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 16.07.2009, 22:56   #1
scrimmey
 
Windows Ordner in Nicht-System-Partition - Standard

Windows Ordner in Nicht-System-Partition



Guten Abend!

Ich habe einen Ordner namens Windows auf meiner D Partition (System ist auf C), der mir ein wenig Kopfschmerzen bereitet.

AntiVir gibt bei jedem Scan nen Haufen Warnungen aus, da es die Dateien, welche sich in diesem Ordner befinden, nicht öffnen kann.
Eine Datei namens corpol.dll, welche sich in dem Unterordner mit der kryptischen Bezeichnung "976c9832ecef58633b63784e52891697" befindet, wird sogar durch die Heuristik als verdächtig eingestuft. Bei dem Versuch die Daten des Ordners zu kopieren kommt immer "Zugriff verweigert" (AUCH im abgesicherten Modus!).

Mein PC ist ein Medion Computer aus dem Jahre 2006 (MD8800). Ob der Ordner sich schon immer dort befand kann ich nicht genau sagen, allerdings kommen die ganzen Warnmeldungen seitens AntiVir erst seit kurzem. Selbst der Versuch die Dateien in die Quarantäne zu kopieren scheitert.

Die Ordnerstruktur sieht wie folgt aus:

D:\Windows\
  • 1c49e9b7a2c3a3f25e52294a68
  • 09ba4b5fbd54dacfc357
  • 976c9832ecef58633b63784e52891697
  • 351819830e8306f91cf845872bcb
  • c++
  • f4843e9e7452442ad31caeb7e4
  • msdownld.tmp

Alle Ordner (bis auf "c++") wurden das letzte Mal Mitte/Ende 2006 geändert, daher hoffe ich, dass es u.U. was von Medion selbst sein könnte, aber die ganzen AntiVir Meldungen haben mich schon sehr verunsichert, was mich dazu veranlasst hat hier einen Thread aufzumachen.

Ich hoffe ihr könnt mir weiterhelfen. Vielleicht hat ja sogar jemand den gleichen/ähnlichen PC und kann dazu etwas sagen.
Anbei ein HijackThis Log.

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:15:29, on 16.07.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\LSI SoftModem\agrsmsvc.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\CodeGear\RAD Studio\6.0\bin\BSQLServer.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\ALCFDRTM.EXE
C:\WINDOWS\system32\CmUCReye.exe
C:\Programme\Medion Info Display\MdionLCM.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\RALINK\Common\RaUI.exe
C:\Programme\RivaTuner v2.24\RivaTuner.exe
C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
C:\programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = localhost:8118
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [AlcFDMonitor] C:\WINDOWS\ALCFDRTM.EXE
O4 - HKLM\..\Run: [CmUCRRun] C:\WINDOWS\system32\CmUCReye.exe
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [MedionVFD] "C:\Programme\Medion Info Display\MdionLCM.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Logitech . Produktregistrierung.lnk = C:\Programme\Gemeinsame Dateien\Logishrd\eReg\SetPoint\eReg.exe
O4 - Startup: RivaTuner.lnk = C:\Programme\RivaTuner v2.24\RivaTuner.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Programme\RALINK\Common\RaUI.exe
O8 - Extra context menu item: An vorhandene PDF-Datei anfügen - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Linkziel an vorhandene PDF-Datei anhängen - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Linkziel in Adobe PDF konvertieren - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O10 - Unknown file in Winsock LSP: c:\programme\vmware\vmware player\vsocklib.dll
O10 - Unknown file in Winsock LSP: c:\programme\vmware\vmware player\vsocklib.dll
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1241449536843
O16 - DPF: {CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA} - 
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Programme\LSI SoftModem\agrsmsvc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: BlackfishSQL - CodeGear - C:\Programme\CodeGear\RAD Studio\6.0\bin\BSQLServer.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe (file missing)
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe (file missing)
O23 - Service: CyberLink Media Library Service - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe (file missing)
O23 - Service: FrameManager Service - Samsung India Software Center - C:\Programme\Samsung\FrameManager\sam_service.exe
O23 - Service: GEARSecurity - Unknown owner - C:\WINDOWS\System32\GEARSec.exe (file missing)
O23 - Service: Google Update Service (gupdate1c9d6f3ee7036c) (gupdate1c9d6f3ee7036c) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: Maxtor Service (Maxtor Sync Service) - Seagate Technology LLC - C:\Programme\Maxtor\Sync\SyncServices.exe
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)
O23 - Service: npkcmsvc - INCA Internet Co., Ltd. - C:\WINDOWS\system32\npkcmsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe (file missing)
O23 - Service: SiSoftware Deployment Agent Service (SandraAgentSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2009.SP3c\RpcAgentSrv.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe
O23 - Service: VMware Agent Service (ufad-ws60) - VMware, Inc. - C:\Programme\VMware\VMware Player\vmware-ufad.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Player\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 10348 bytes
         

Alt 07.08.2009, 22:33   #2
GreyShaddow
 
Windows Ordner in Nicht-System-Partition - Standard

Windows Ordner in Nicht-System-Partition



Hey, ich sehe gerade das niemand antwortet.
Ich selbst bin aber eigendlich auch nur "Opfer" :P.

Da nichts von D:\ ausgeht würde ich erstmal denken das nichts aktiv läuft, wobei es da sicher Mittel und Wege gäbe, hast du schonmal Experimente gewagt wie das kurzzeitige auskoppeln don "D:" ?
Du könntest sie auch formatieren (eventuell vorher Daten auf C:\ usw. retten)
dban kann übrigens auch Systemplatten formatieren, da müsstest du dann nur aufpassen das du nur d:\ löscht.

Achso und es gab doch hier ein Tool, das zeigt was in letzter Zeit installiert wurde usw.
Seid wann gibt es denn diesen Ordner? Bzw. Hattest du den PC schon vorher?

Gruß,
Shaddow.

P.S.:
Aber bevor du an die Dateien gehst warte lieber ab was ein erfahrener User dazu meint,
vielleicht ist es ja wirklich ungefährlich oder du hast ein zweites OS drauf.
(Falls das geht)
__________________


Alt 14.08.2009, 16:05   #3
scrimmey
 
Windows Ordner in Nicht-System-Partition - Standard

Windows Ordner in Nicht-System-Partition



Danke für die Antwort.. wenigstens einer reagiert mal drauf

Diese gewagten Versuche mit auskoppeln etc. wollte ich eigentlich nicht durchführen. Formatieren u.U. schon, aber auch nicht in naher Zukunft, da sonst eigentlich noch alles ok ist.

Den PC hab ich seit 3 Jahren und seitdem einmal formatiert, wobei dabei nur die Daten auf C:\ gelöscht werden (Medion Recovery Dings xD).

Ich hatte vor kurzem Ubuntu als Programm installiert (per Wubi), allerdings ist das ja eher unwahrscheinlich, dass es daran liegt, weil die Ordner Änderungsdatum 2006 haben

Vielleicht weiß da wer anderes noch was zu ?!
__________________

Antwort

Themen zu Windows Ordner in Nicht-System-Partition
abgesicherten modus, adobe, agere systems, antivir guard, avira, bho, computer, desktop, explorer, firefox, google update, gupdate, hijack, hijackthis, hkus\s-1-5-18, home, hängen, internet, internet explorer, konvertieren, logfile, malwarebytes' anti-malware, mozilla, nicht öffnen, nvidia, object, pdf-datei, plug-in, rundll, scan, shortcut, software, studio, system, tuneup.defrag, warnmeldungen, windows, windows xp, zugriff verweigert




Ähnliche Themen: Windows Ordner in Nicht-System-Partition


  1. Versteckter Ordner (Virus) im Windows 7 System? Adware Cookie.2o7 nach Formatierung
    Plagegeister aller Art und deren Bekämpfung - 03.11.2015 (1)
  2. Windows 10 Ordner/ $Windows.~WS / löschen oder nicht.
    Alles rund um Windows - 31.10.2015 (1)
  3. Ordner wie Windows nicht mehr da.
    Alles rund um Windows - 12.08.2015 (3)
  4. GVU Problem. System neu, aber zweite Partition befallen?
    Plagegeister aller Art und deren Bekämpfung - 15.09.2013 (4)
  5. Windows 7: 100MB System-reservierte Partition ist 18% fragmentiert
    Alles rund um Windows - 17.12.2012 (2)
  6. Linux Mint 12 32 bit - Wie kann ich erkennen, ob sich auf meinem System eine versteckte Partition befindet?
    Plagegeister aller Art und deren Bekämpfung - 21.10.2012 (2)
  7. Unbekannter Ordner 'boot' in Nicht-OS Partition
    Alles rund um Windows - 24.08.2012 (9)
  8. www.allezax.com img Windows 7 (64-bit / Recoery Partition) neu installiert System nun ok?
    Plagegeister aller Art und deren Bekämpfung - 20.10.2011 (3)
  9. Dynamische Partition in einfache Partition umwandeln.
    Alles rund um Windows - 24.11.2010 (4)
  10. Cleanes System nach Infizierung - Recovery (Partition) oder Neuinstallation?
    Diskussionsforum - 19.06.2010 (1)
  11. Plötzlich Ordner AUTOSTART und EXTRAS auf Partition
    Plagegeister aller Art und deren Bekämpfung - 19.02.2009 (0)
  12. Wirrer Ordner wird auf partition D: ohne was zu tun erstellt
    Plagegeister aller Art und deren Bekämpfung - 19.11.2008 (2)
  13. Nicht löschbarer Virus im System Ordner
    Plagegeister aller Art und deren Bekämpfung - 17.01.2008 (1)
  14. Windows System Ordner verschwunden! - Log-File gibt rätsel auf!
    Log-Analyse und Auswertung - 29.11.2006 (1)
  15. Ordner als "virtuelle" Partition
    Alles rund um Windows - 06.01.2006 (3)
  16. Ordner "Programm" auf andere Partition verschieben
    Alles rund um Windows - 09.04.2005 (5)
  17. Muss System neu aufsetzen. Reicht da Partition c:?
    Plagegeister aller Art und deren Bekämpfung - 25.02.2005 (3)

Zum Thema Windows Ordner in Nicht-System-Partition - Guten Abend! Ich habe einen Ordner namens Windows auf meiner D Partition (System ist auf C), der mir ein wenig Kopfschmerzen bereitet. AntiVir gibt bei jedem Scan nen Haufen Warnungen - Windows Ordner in Nicht-System-Partition...
Archiv
Du betrachtest: Windows Ordner in Nicht-System-Partition auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.