Sirefef.b auf dem Rechner, kein Zugriff mehr auf Festplatte

midola · 24.03.2012, 18:50

Nabend,

meine Frau hat auf ihren Rechner seit ein paar Tagen sirefef.b und der Virenscanner gibt regelmässig Alarm. Leider bin ich erst heute dazu gekommen mich um den Rechner zu kümmern. Eigentlich wollte ich Windows XP komplett neu aufspielen.
Allerdings bekomme ich dabei jeweils angezeigt das Windows angeblich auf E: wäre, wenn ich allerdings über die Arbeitsplatz-Ansicht schaue, dann sehe ich das es auf C: ist und E: eine andere Partition ist.
Daher habe ich zunächst die Installation abgebrochen.
Kurz vorher gab es Klicklaute von der anderen Festplatte und seitdem ist kein Zugriff mehr auf Laufwerk G: möglich. Dort kommt dann die Fehlermeldung das die Platte nicht formatiert sei und ob man jetzt formatieren wolle.
Kann diese Meldung von sirefef ausgelöst sein? Weiß jemand wie ich die Daten von G: retten kann, ein Recovery-Tool wie RECUVA bekommt ebenfalls keinen Zugriff.
In der Datenträgerverwaltung wird mir die Platte allerdings als fehlerfrei und aktiv angezeigt.

Bin dankbar über jeden Tipp.

Larusso · 25.03.2012, 01:26

Mein Name ist Daniel und ich werde dir mit deinem Malware Relevanten Problemen helfen.

Bevor wir uns an die Arbeit machen, möchte ich dich bitten, folgende Punkte vollständig und aufmerksam zu lesen.

Lies dir meine Anleitungen erst einmal durch. Sollte irgendetwas unklar sein, Frage bevor du beginnst.
Solltest du bei einem Schritt Probleme haben, stoppe dort und beschreib mir das Problem so gut du kannst. Manchmal erfordert ein Schritt den vorhergehenden.
Sollte ich auf diese, sowie allen weiteren Antworten, innerhalb von 3 Tagen keine Antwort von dir erhalten, werde ich das Thema aus meinen Abonnements löschen.
Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst und Installiere / Deinstalliere keine Software ohne Aufforderung.
Poste die Logfiles direkt in deinen Thread und nicht als Anhang, ausser du wurdest dazu aufgefordert. Erschwert mir das Auswerten.

Wäre mir ne neue Spielerei von der Infektion, aber sehen wir mal nach

Downloade dir bitte dds ( von sUBs ) von einem der folgenden Downloadspiegel und speichere die Datei auf deinem Desktop.

dds.com
dds.scr

Schließe alle laufenden Programme.
Starte DDS mit Doppelklick.
Es wird 2 Logfiles erstellen.
- dds.txt
- attach.txt
Speichere beide Logfiles auf deinem Desktop
Poste beide Logfiles hier.

midola · 25.03.2012, 10:15

Hallo Daniel,

vielen Dank für dein Hilfsangebot. Ich habe hier jetzt die gewünschten Log-Files.

.DDS Logfile:

Code:

ATTFilter

DDS (Ver_2011-08-26.01) - NTFSx86 
Internet Explorer: 7.0.5730.13  BrowserJavaVersion: 1.6.0_30
Run by maulwurfn at 11:10:40 on 2012-03-25
.
============== Running Processes ===============
.
C:\WINXP\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINXP\Explorer.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Unlocker\UnlockerAssistant.exe
C:\Programme\Winamp\Winampa.exe
C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe
C:\WINXP\system32\ctfmon.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
C:\Programme\Avira\AntiVir Desktop\avshadow.exe
C:\WINXP\system32\nvsvc32.exe
C:\WINXP\System32\alg.exe
C:\Dokumente und Einstellungen\maulwurfn\Eigene Dateien\Downloads\dds.com
C:\WINXP\System32\svchost.exe -k netsvcs
C:\WINXP\system32\svchost.exe -k NetworkService
C:\WINXP\system32\svchost.exe -k LocalService
C:\WINXP\system32\svchost.exe -k imgsvc
.
============== Pseudo HJT Report ===============
.
uStart Page = hxxp://search.conduit.com?SearchSource=10&ctid=CT2319825
mWinlogon: SfcDisable=-99 (0xffffff9d)
BHO: Java(tm) Plug-In SSV Helper: {761497bb-d6f0-462c-b6eb-d4daf1d92d43} - c:\programme\java\jre6\bin\ssv.dll
BHO: Skype Browser Helper: {ae805869-2e5c-4ed4-8f7b-f1f7851a4497} - c:\programme\skype\toolbars\internet explorer\skypeieplugin.dll
BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\programme\java\jre6\bin\jp2ssv.dll
BHO: JQSIEStartDetectorImpl Class: {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - c:\programme\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
TB: {D4027C7F-154A-4066-A1AD-4243D8127440} - No File
uRun: [ctfmon.exe] c:\winxp\system32\ctfmon.exe
mRun: [avgnt] "c:\programme\avira\antivir desktop\avgnt.exe" /min
mRun: [NeroCheck] c:\winxp\system32\NeroCheck.exe
mRun: [UnlockerAssistant] "c:\programme\unlocker\UnlockerAssistant.exe"
mRun: [WinampAgent] "c:\programme\winamp\Winampa.exe"
mRun: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
mRun: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
mRun: [nwiz] nwiz.exe /install
mRun: [SunJavaUpdateSched] "c:\programme\gemeinsame dateien\java\java update\jusched.exe"
mRun: [Malwarebytes' Anti-Malware] "c:\programme\malwarebytes' anti-malware\mbamgui.exe" /starttray
dRunOnce: [nltide_2] regsvr32 /s /n /i:U shell32
dRunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N
uPolicies-explorer: NoRecentDocsNetHood = 1 (0x1)
IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
IE: {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - c:\programme\skype\toolbars\internet explorer\skypeieplugin.dll
LSP: mswsock.dll
DPF: {166B1BCA-3F9C-11CF-8075-444553540000} - hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0030-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab
TCP: DhcpNameServer = 192.168.2.1
TCP: Interfaces\{D5F7C539-26F0-448E-A392-135904374F0B} : DhcpNameServer = 192.168.2.1
Handler: cdo - {CD00020A-8B95-11D1-82DB-00C04FB1625D} - c:\programme\gemeinsame dateien\microsoft shared\web folders\PKMCDO.DLL
Handler: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - c:\programme\skype\toolbars\internet explorer\skypeieplugin.dll
SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - c:\winxp\system32\wpdshserviceobj.dll
.
================= FIREFOX ===================
.
FF - ProfilePath - c:\dokumente und einstellungen\maulwurfn\anwendungsdaten\mozilla\firefox\profiles\q8zgeken.default\
FF - plugin: c:\programme\foxit software\foxit reader\plugins\npFoxitReaderPlugin.dll
FF - plugin: c:\programme\java\jre6\bin\new_plugin\npdeployJava1.dll
.
============= SERVICES / DRIVERS ===============
.
R? mfeavfk;Pcx1nd5
R? mferkdk;Se58mgmt
R? navap;Ufad-ws60
R? ofcservice;WGX
S? AntiVirSchedulerService;Avira AntiVir Planer
S? AntiVirService;Avira AntiVir Guard
S? avgio;avgio
S? avgntflt;avgntflt
S? MBAMProtector;MBAMProtector
S? MBAMService;MBAMService
.
=============== Created Last 30 ================
.
2012-03-18 07:07:28	592824	----a-w-	c:\programme\mozilla firefox\gkmedias.dll
2012-03-18 07:07:28	44472	----a-w-	c:\programme\mozilla firefox\mozglue.dll
2012-03-13 21:02:51	--------	d-----w-	c:\winxp\system32\NtmsData
2012-03-13 20:47:18	--------	d-----w-	c:\dokumente und einstellungen\maulwurfn\anwendungsdaten\Malwarebytes
2012-03-13 20:47:12	--------	d-----w-	c:\dokumente und einstellungen\all users\anwendungsdaten\Malwarebytes
2012-03-13 20:47:11	20464	----a-w-	c:\winxp\system32\drivers\mbam.sys
2012-03-13 20:47:10	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2012-03-13 19:18:56	0	--sha-w-	c:\winxp\system32\dds_log_ad13.cmd
2012-03-13 19:17:37	--------	d-sh--w-	c:\dokumente und einstellungen\maulwurfn\lokale einstellungen\anwendungsdaten\9822d1a1
2012-03-13 19:17:06	55808	---h--w-	c:\dokumente und einstellungen\maulwurfn\anwendungsdaten\ntuser.dat
2012-02-25 08:26:49	--------	d-----w-	c:\dokumente und einstellungen\maulwurfn\anwendungsdaten\Avira
.
==================== Find3M  ====================
.
2012-03-13 19:17:06	9728	---h--w-	c:\dokumente und einstellungen\maulwurfn\anwendungsdaten\desktop.ini
2012-03-01 07:33:12	414368	-c--a-w-	c:\winxp\system32\FlashPlayerCPLApp.cpl
.
============= FINISH: 11:11:09,17 ===============

--- --- ---

.
==== Installed Programs ======================
.
Adobe Flash Player 11 Plugin
Ahead Nero Burning ROM
Amazon MP3-Downloader 1.0.9
AMD APP SDK Runtime
Audacity 1.2.6
Avira AntiVir Personal - Free Antivirus
FileZilla Client 3.5.0
Foxit Reader
Hotfix für Windows Media Player 11 (KB939683)
Intel(R) PRO Network Adapters and Drivers
Java Auto Updater
Java(TM) 6 Update 30
Malwarebytes Anti-Malware Version 1.60.1.1000
Microsoft .NET Framework 1.1
Microsoft Office XP Professional mit FrontPage
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
Mozilla Firefox 11.0 (x86 de)
Mp3tag v2.48
No23 Recorder
NVIDIA Windows 2000/XP Display Drivers
Paint Shop Pro 7 Anniversary Edition
PSP Thumbnail Handler
Recuva
Sicherheitsupdate für Windows Media Player 11 (KB936782)
Sicherheitsupdate für Windows XP (KB923789)
Sicherheitsupdate für Windows XP (KB933729)
Skype Toolbars
Skype™ 5.3
SRWare Iron 11.0.700.2
Unlocker 1.9.1
Update für Windows XP (KB933360)
VLC media player 1.1.9
WebFldrs XP
Winamp (nur entfernen)
Windows Genuine Advantage Notifications (KB905474)
Windows Media Player 6.4 Hotfix - KB925398
WinRAR 4.01 (32-Bit)
.
==== End Of File ===========================

Larusso · 25.03.2012, 14:46

Lade Dir Gmer von dieser Seite herunter
(auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.

alle anderen Scanner gegen Viren, Spyware, usw. deaktivieren
Alle anderen Programme sollen geschlossen sein.
Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen).
Vista und Win7 User mit Rechtsklick und als Administrator starten.
Sollte sich ein Fenster mit folgender Warnung öffnen:
WARNING !!!
GMER has found system modification, which might have been caused by ROOTKIT activity.
Do you want to fully scan your system ?
Unbedingt auf "No" klicken.
Entferne rechts den Haken bei:
- IAT/EAT
- Alle Festplatten ausser die Systemplatte (normalerweise ist nur C:\ angehackt)
- Show all (sollte abgehackt sein)
Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
Wenn der Scan fertig ist klicke auf Save und speichere die Logfile unter Gmer.txt auf deinem Desktop. Mit "Ok" wird GMER beendet.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

midola · 25.03.2012, 16:17

So hier nun das Log von Gmer

GMER Logfile:

Code:

ATTFilter

GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2012-03-25 17:14:00
Windows 5.1.2600 Service Pack 2 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-5 SAMSUNG_HD321KJ rev.CP100-12
Running: xq34nhhe.exe; Driver: C:\DOKUME~1\MAULWU~1\LOKALE~1\Temp\pxtdqpow.sys


---- System - GMER 1.0.15 ----

SSDT   F7F7BEB4                                                                                                                   ZwClose
SSDT   F7F7BE6E                                                                                                                   ZwCreateKey
SSDT   F7F7BEBE                                                                                                                   ZwCreateSection
SSDT   F7F7BE64                                                                                                                   ZwCreateThread
SSDT   F7F7BE73                                                                                                                   ZwDeleteKey
SSDT   F7F7BE7D                                                                                                                   ZwDeleteValueKey
SSDT   F7F7BEAF                                                                                                                   ZwDuplicateObject
SSDT   F7F7BE82                                                                                                                   ZwLoadKey
SSDT   F7F7BE50                                                                                                                   ZwOpenProcess
SSDT   F7F7BE55                                                                                                                   ZwOpenThread
SSDT   F7F7BE8C                                                                                                                   ZwReplaceKey
SSDT   F7F7BE87                                                                                                                   ZwRestoreKey
SSDT   F7F7BEC3                                                                                                                   ZwSetContextThread
SSDT   F7F7BE78                                                                                                                   ZwSetValueKey
SSDT   F7F7BE5F                                                                                                                   ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

?      C:\DOKUME~1\MAULWU~1\LOKALE~1\Temp\mbr.sys                                                                                 Das System kann die angegebene Datei nicht finden. !

---- User code sections - GMER 1.0.15 ----

.text  C:\Programme\Avira\AntiVir Desktop\avguard.exe[260] SHELL32.dll!SHCreateQueryCancelAutoPlayMoniker + 1160F                 7E703545 1 Byte  [35]
.text  C:\Programme\Java\jre6\bin\jqs.exe[512] SHELL32.dll!SHCreateQueryCancelAutoPlayMoniker + 1160F                             7E703545 1 Byte  [35]
.text  C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe[596] SHELL32.dll!SHCreateQueryCancelAutoPlayMoniker + 1160F        7E703545 1 Byte  [35]
.text  C:\WINXP\system32\winlogon.exe[692] SHELL32.dll!SHCreateQueryCancelAutoPlayMoniker + 1160F                                 7E703545 1 Byte  [35]
.text  C:\WINXP\system32\lsass.exe[748] SHELL32.dll!SHCreateQueryCancelAutoPlayMoniker + 1160F                                    7E703545 1 Byte  [35]
.text  ...                                                                                                                        
.text  C:\WINXP\Explorer.EXE[1808] SHELL32.dll!SHFileOperationW                                                                   7E72067C 5 Bytes  JMP 10001102 C:\Programme\Unlocker\UnlockerHook.dll
.text  C:\Programme\Avira\AntiVir Desktop\avgnt.exe[1932] SHELL32.dll!SHCreateQueryCancelAutoPlayMoniker + 1160F                  7E703545 1 Byte  [35]
.text  C:\Programme\Unlocker\UnlockerAssistant.exe[1948] SHELL32.dll!SHCreateQueryCancelAutoPlayMoniker + 1160F                   7E703545 1 Byte  [35]
.text  C:\Programme\Winamp\Winampa.exe[1956] SHELL32.dll!SHCreateQueryCancelAutoPlayMoniker + 1160F                               7E703545 1 Byte  [35]
.text  C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe[1988] SHELL32.dll!SHCreateQueryCancelAutoPlayMoniker + 1160F  7E703545 1 Byte  [35]
.text  C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe[2004] SHELL32.dll!SHCreateQueryCancelAutoPlayMoniker + 1160F           7E703545 1 Byte  [35]
.text  ...                                                                                                                        

---- Files - GMER 1.0.15 ----

File   C:\WINXP\$NtUninstallKB46716$\2552418721                                                                                   0 bytes
File   C:\WINXP\$NtUninstallKB46716$\2552418721\@                                                                                 2048 bytes
File   C:\WINXP\$NtUninstallKB46716$\2552418721\L                                                                                 0 bytes
File   C:\WINXP\$NtUninstallKB46716$\2552418721\L\uuuyylrd                                                                        74752 bytes
File   C:\WINXP\$NtUninstallKB46716$\2552418721\loader.tlb                                                                        2632 bytes
File   C:\WINXP\$NtUninstallKB46716$\2552418721\U                                                                                 0 bytes
File   C:\WINXP\$NtUninstallKB46716$\2552418721\U\@00000001                                                                       45968 bytes
File   C:\WINXP\$NtUninstallKB46716$\2552418721\U\@000000c0                                                                       2560 bytes
File   C:\WINXP\$NtUninstallKB46716$\2552418721\U\@000000cb                                                                       3072 bytes
File   C:\WINXP\$NtUninstallKB46716$\2552418721\U\@000000cf                                                                       1536 bytes
File   C:\WINXP\$NtUninstallKB46716$\2552418721\U\@80000000                                                                       73728 bytes
File   C:\WINXP\$NtUninstallKB46716$\2552418721\U\@800000c0                                                                       43008 bytes
File   C:\WINXP\$NtUninstallKB46716$\2552418721\U\@800000cb                                                                       25600 bytes
File   C:\WINXP\$NtUninstallKB46716$\2552418721\U\@800000cf                                                                       31232 bytes
File   C:\WINXP\$NtUninstallKB46716$\3477377979                                                                                   0 bytes

---- EOF - GMER 1.0.15 ----

--- --- ---

Larusso · 25.03.2012, 19:09

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2

WICHTIG - Speichere Combofix auf deinem Desktop

Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Combofix wird überprüfen, ob die Microsoft Windows Wiederherstellungskonsole installiert ist.
Ist diese nicht installiert, erlaube Combofix diese herunter zu laden und zu installieren. Folge dazu einfach den Anweisungen und aktzeptiere die End Nutzer Lizenz.
Bei heutiger Malware ist dies sehr empfehlenswert, da diese uns eine Möglichkeit bietet, dein System zu reparieren, falls was schief geht.
Bestätige die Information, dass die Wiederherstellungskonsole installiert wurde mit Ja.

Hinweis: Ist diese bereits installiert, wird Combofix mit der Malwareentfernung fortfahren.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

midola · 25.03.2012, 21:48

Ok, ich hoffe es macht nix wenn durch Combofix verursachte Neustarts Antivir automatisch wieder eingeschaltet haben.

Hier das Log, und Antivir hat bisher noch keine erneute Meldung ausgegeben.

Combofix Logfile:

Code:

ATTFilter

ComboFix 12-03-22.01 - maulwurfn 25.03.2012  22:34:01.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.2.1252.49.1031.18.1023.696 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\maulwurfn\Desktop\ComboFix.exe
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\maulwurfn\Anwendungsdaten\desktop.ini
c:\dokumente und einstellungen\maulwurfn\Anwendungsdaten\ntuser.dat
c:\dokumente und einstellungen\maulwurfn\Lokale Einstellungen\Anwendungsdaten\lame_enc.dll
c:\dokumente und einstellungen\maulwurfn\Lokale Einstellungen\Anwendungsdaten\no23xwrapper.dll
c:\dokumente und einstellungen\maulwurfn\Lokale Einstellungen\Anwendungsdaten\ogg.dll
c:\dokumente und einstellungen\maulwurfn\Lokale Einstellungen\Anwendungsdaten\vorbis.dll
c:\dokumente und einstellungen\maulwurfn\Lokale Einstellungen\Anwendungsdaten\vorbisenc.dll
c:\dokumente und einstellungen\maulwurfn\Lokale Einstellungen\Anwendungsdaten\vorbisfile.dll
c:\winxp\$NtUninstallKB46716$
c:\winxp\$NtUninstallKB46716$\2552418721\@
c:\winxp\$NtUninstallKB46716$\2552418721\L\uuuyylrd
c:\winxp\$NtUninstallKB46716$\2552418721\loader.tlb
c:\winxp\$NtUninstallKB46716$\2552418721\U\@00000001
c:\winxp\$NtUninstallKB46716$\2552418721\U\@000000c0
c:\winxp\$NtUninstallKB46716$\2552418721\U\@000000cb
c:\winxp\$NtUninstallKB46716$\2552418721\U\@000000cf
c:\winxp\$NtUninstallKB46716$\2552418721\U\@80000000
c:\winxp\$NtUninstallKB46716$\2552418721\U\@800000c0
c:\winxp\$NtUninstallKB46716$\2552418721\U\@800000cb
c:\winxp\$NtUninstallKB46716$\2552418721\U\@800000cf
c:\winxp\$NtUninstallKB46716$\3477377979
c:\winxp\assembly\GAC_MSIL\desktop.ini
c:\winxp\IsUn0407.exe
c:\winxp\system32\dds_log_ad13.cmd
c:\winxp\system32\Thumbs.db
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-02-25 bis 2012-03-25  ))))))))))))))))))))))))))))))
.
.
2012-03-25 20:39 . 2012-03-25 20:39	--------	d-----w-	c:\winxp\system32\xircom
2012-03-25 20:39 . 2012-03-25 20:39	--------	d-----w-	c:\winxp\system32\wbem\snmp
2012-03-25 20:39 . 2012-03-25 20:39	--------	d-----w-	c:\programme\microsoft frontpage
2012-03-24 17:29 . 2012-03-24 17:29	--------	d-----w-	c:\programme\Recuva
2012-03-18 07:07 . 2012-03-18 07:07	592824	----a-w-	c:\programme\Mozilla Firefox\gkmedias.dll
2012-03-18 07:07 . 2012-03-18 07:07	44472	----a-w-	c:\programme\Mozilla Firefox\mozglue.dll
2012-03-13 21:02 . 2012-03-20 22:27	--------	d-----w-	c:\winxp\system32\NtmsData
2012-03-13 20:47 . 2012-03-13 20:47	--------	d-----w-	c:\dokumente und einstellungen\maulwurfn\Anwendungsdaten\Malwarebytes
2012-03-13 20:47 . 2012-03-13 20:47	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2012-03-13 20:47 . 2011-12-10 14:24	20464	----a-w-	c:\winxp\system32\drivers\mbam.sys
2012-03-13 20:47 . 2012-03-13 20:47	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2012-03-13 19:17 . 2012-03-13 19:17	--------	d-sh--w-	c:\dokumente und einstellungen\maulwurfn\Lokale Einstellungen\Anwendungsdaten\9822d1a1
2012-02-25 08:26 . 2012-02-25 08:26	--------	d-----w-	c:\dokumente und einstellungen\maulwurfn\Anwendungsdaten\Avira
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-03-01 07:33 . 2011-06-23 09:10	414368	-c--a-w-	c:\winxp\system32\FlashPlayerCPLApp.cpl
2012-03-18 07:07 . 2011-05-27 04:14	97208	----a-w-	c:\programme\mozilla firefox\components\browsercomps.dll
.
.
------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
[-] 2007-10-09 . 6D60483EBCF29203C9B3B453471D3706 . 1548288 . . [5.1.2600.2180] . . c:\winxp\system32\sfcfiles.dll
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="NvQTwk" [X]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2011-03-28 281768]
"NeroCheck"="c:\winxp\system32\NeroCheck.exe" [2001-07-09 155648]
"UnlockerAssistant"="c:\programme\Unlocker\UnlockerAssistant.exe" [2010-07-04 17408]
"WinampAgent"="c:\programme\Winamp\Winampa.exe" [2003-04-17 12288]
"nwiz"="nwiz.exe" [2002-03-09 364544]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2011-06-09 254696]
"Malwarebytes' Anti-Malware"="c:\programme\Malwarebytes' Anti-Malware\mbamgui.exe" [2012-01-13 460872]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_2"="shell32" [X]
"nltide_3"="advpack.dll" [2007-10-09 124928]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoRecentDocsNetHood"= 1 (0x1)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINXP\\system32\\usmt\\migwiz.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\Malwarebytes' Anti-Malware\\mbam.exe"=
.
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [13.05.2011 15:07 136360]
R2 MBAMService;MBAMService;c:\programme\Malwarebytes' Anti-Malware\mbamservice.exe [13.03.2012 22:47 652360]
R3 MBAMProtector;MBAMProtector;c:\winxp\system32\drivers\mbam.sys [13.03.2012 22:47 20464]
.
NETSVCS BENÖTIGT REPARATUR - Derzeitig vorhandene Einträge:
6to4
AppMgmt
AudioSrv
Browser
CryptSvc
DMServer
DHCP
ERSvc
EventSystem
FastUserSwitchingCompatibility
HidServ
Ias
Iprip
Irmon
LanmanServer
LanmanWorkstation
Messenger
Netman
Nla
Ntmssvc
NWCWorkstation
Nwsapagent
SGHIDI
regservice
point32
w200mdm
EKECioCtl
alcaudsl
rnadiagnosticsservice
iaimtv1
mmc_2K
se59bus
lvhidsvc
qconsvc
usbser
ncupdatesvc
tbhsd
hap17v2k
el90xbc
netrcacm
s616mgmt
PBADRV
raidmsvr
navap
MA-620
puscsrvc
rtl8187Se
co_mon
NTACCESS
SenFiltService
zebrceb
naimagent32
PCDCODEC
MREMPR5
VRcore
hprfdev
mfeavfk
npptnt2
MA_CMIDI
mcdbus
webcompserver
mferkdk
MSW_USB
issuser
twotrack
zebrmdm
pinnaclesys.mediaserver
DcPTP
swupdtmr
caccprovsp
WmiAcpi
lvupdtio
Tablet2k
rt73
utilman
ultra66
imonnt
iAimTV6
uphclean
SNC
DELL_A02
SNDO763
TestHandler
tzontservice
sonicstagemonitoring
iaimtv3
hcwPP2
CAMCAUD
bhmonitorservice
LoopBeMidi1
Si3114r5
siside
maya70docserver
w800mdfl
tosrfcom
proxyserverservice
nfsds
VRADFIL
zpcache
ofcservice
nbf
msvsmon90
procexp111
CTEDSPFX.DLL
mqdmmdfl
AX88772
SlNtHal
APLMp50
iomdisk
epfwtdi
ssisvr32
iam
Cam5607
nmraapache
hotspotshieldservice
portmapper
iap
ZuneWlanCfgSvc
cwcwdm
Rasauto
Rasman
Remoteaccess
Schedule
Seclogon
SENS
Sharedaccess
SRService
Tapisrv
Themes
TrkWks
W32Time
WZCSVC
Wmi
WmdmPmSp
winmgmt
wscsvc
xmlprov
BITS
wuauserv
ShellHWDetection
helpsvc
WmdmPmSN
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
.
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://search.conduit.com?SearchSource=10&ctid=CT2319825
TCP: DhcpNameServer = 192.168.2.1
FF - ProfilePath - c:\dokumente und einstellungen\maulwurfn\Anwendungsdaten\Mozilla\Firefox\Profiles\q8zgeken.default\
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
Notify-AtiExtEvent - (no file)
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-03-25 22:40
Windows 5.1.2600 Service Pack 2 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'explorer.exe'(3104)
c:\winxp\system32\wpdshserviceobj.dll
c:\winxp\system32\portabledevicetypes.dll
c:\winxp\system32\portabledeviceapi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\winxp\system32\nvsvc32.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-03-25  22:42:25 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2012-03-25 20:42
.
Vor Suchlauf: 5 Verzeichnis(se), 14.527.332.352 Bytes frei
Nach Suchlauf: 6 Verzeichnis(se), 14.617.001.984 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(3)\WINXP
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(3)\WINXP="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
.
- - End Of File - - 8B565F471BCF617189316BFC05E06958

--- --- ---

Larusso · 26.03.2012, 13:40

Hy,

Du wolltest den Rechner doch neu aufsetzen. Kannst du jetzt auf die Laufwerke zugreifen ?

midola · 26.03.2012, 20:33

Jepp, nur komme ich erst am nächsten WE dazu ihn neu zu installieren. Auf G: kann ich vom Arbeitsplatz aus nicht zugreifen, aber nun hat das Recovery-Programm die Festplatte finden und die vorhandenen Daten sichern können. Ob sie vollständig sind, keine Ahnung und einige lassen sich auch nicht öffnen. Da muss meine Frau jetzt zunächst durchforsten was brauchbar ist und was nicht.

Vielen lieben Dank für deine Hilfe. Vielleicht hast du ja noch einen guten Tipp was man zusätzlich noch für Software aufspielen sollte.

Larusso · 26.03.2012, 20:59

Auf welche Art Daten ( ich denke ma du meinst Ordner ) lassen sich nicht öffnen ?

midola · 26.03.2012, 21:23

Naja, das war mal vor längerer Zeit die Systemplatte und das Programm hat dort vieles an alten Sachen wieder hergestellt, nur das diese sich nicht löschen lassen.
Ordner hat er gar keine wiederherstellen können und einiges an Bildern lässt sich nicht öffnen, wobei meiner Frau diese Bilder das wichtigste wären.

Larusso · 27.03.2012, 01:09

Du musst mir da jetzt mal genauer erklären, was da vor sich geht. Liegt vl an der Uhrzeit aber ich verstehs nicht.

Welches Recovery hat die platte wieder hergestellt ?
Kommt eine Fehlermeldung, wenn du versuchst, diese Ordner zu öffnen. Wenn ja, wäre diese eventuell hilfreich. Ansonsten suche ich die Nadel im Heuhaufen

midola · 29.03.2012, 22:15

Hallo Daniel,

sorry, war ein paar Tage nicht da. Also...ich habe ein Recovery-Programm (Freeware) das Recuva heißt. Damit bekomme ich die Möglichkeit die auf der Festplatte vorhandenen Daten soweit wiederherzustellen, wie es möglich ist. Anders bekomme ich ja keinen Zugriff auf die Platte.
Dieses Programm schreibt dann alle gefundenen Daten in einen Ordner den ich angebe. Dort hat das Programm nun 16000 Dateien gespeichert. Vieles davon alte Systemdateien, weil die Platte früher mal das Systemlaufwerk gewesen ist.
Aber auch zahlreiche Bilder, Fotos, MP3 und Word-Dokumente wurden so gesichert.
Nur lassen sich viele davon nicht öffnen. Bei den JPEGs kommt z.b. die Meldung dies wäre keine gültige JPG Datei, bei den Word-Dokumenten will er einen Konverter installieren, den er aber auf der Office-CD merkwürdigerweise nicht findet.
Ich muss dazu sagen, dass ich noch ein uralten (2002) Office habe, weil ich die Version sehr günstig erwerben konnte. Aber es dürften auch keine Docs vorhanden sein, die mit moderneren Word-Programmen erstellt wurden, da ich kein moderneres Word besitze.

Ich hoffe ich konnte das soweit einigermaßen verständlich erklären?

Larusso · 30.03.2012, 00:12

Hm, seltsam, dass du nicht normal auf die Platte ( Partiton ? ) zugreifen kannst.
2 dinge die ich jetzt mal wild vermute. Das Recovery Programm hat Probleme oder die Platte selbst.

Ich würde dich mal bitten, im Windows Bereich ein Thema zu erstellen. Die Teamis von dort haben mit solcher Art Problem vl schon mal Bekanntschaft gemacht.

Ich hab ehrlich gesagt keine Idee mehr und wäre mir neu, ob die entfernte Infektion sowas in der Art anstellt, aber nichts ist hier unmöglich.

Wie gesagt, frag dort mal nach und wenn die auch keine Idee haben, gib mir hier bescheid und ich geh mal ganz tief graben bzw bespreche das mal im internationalen Bereich.
Ich behalte in der Zwischenzeit das Thema in meinen Abos

Larusso · 02.05.2012, 04:45

Fehlende Rückmeldung
Dieses Thema wurde aus den Abos gelöscht. Somit bekomm ich keine Benachrichtigung über neue Antworten.
PM an mich falls Du denoch weiter machen willst.

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner schon sauber ist.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen

26.03.2012, 13:40	#8
Larusso /// Selecta Jahrusso	Sirefef.b auf dem Rechner, kein Zugriff mehr auf Festplatte Hy, Du wolltest den Rechner doch neu aufsetzen. Kannst du jetzt auf die Laufwerke zugreifen ? __________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie

26.03.2012, 20:59	#10
Larusso /// Selecta Jahrusso	Sirefef.b auf dem Rechner, kein Zugriff mehr auf Festplatte Auf welche Art Daten ( ich denke ma du meinst Ordner ) lassen sich nicht öffnen ? __________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie

Sirefef.b auf dem Rechner, kein Zugriff mehr auf Festplatte

Plagegeister aller Art und deren Bekämpfung: Sirefef.b auf dem Rechner, kein Zugriff mehr auf Festplatte