Hallo , ich habe einige Probleme.
Es fing damit an, das sich mein Xp nicht mehr starten lies. Es kam immer eine Fehlermeldung, das

war es dann. Nun kam ich nicht mehr an meine Daten.

Also kaufte ich mir eine zweite Festplatte, spielte Xp drauf und konnte nun auf die andere

Festplatte zugreifen, Alles gut und schön. Die Festplatte war in 3 Partitionen aufgeteilt, auf 2

konnte ich zugreifen, nur nicht auf die, worauf es mir ankam. Es kam der "freundliche Hinweis:

Auf L: kann nicht zugegriffen werden. Die Datenträgerstruktur ist beschädigt und nicht lesbar.

Geht man auf Eigenschaften wird die Partition mit 0 Byte angezeigt.

Nun durchsuchte ich L mit diversen Programmen, die gelöschte Dateien wiederherstellen, sie

fanden nichts. Nur 2 zeigten sie mir an, sie waren noch vorhanden, obwohl L mit 0Byte angezeigt

wird. Mit anderen Worten, es ist alles noch da und ich komme mit normalen Mitteln nicht dran.

Inzwischen habe ich sie wieder. Gute Dienste leistete mir eine Notfall CD vom Computermagazin

COM. Alles in Englisch und ich mußte etwas probieren, dann klappte es.

Wie kommt es das die Partition mir mit 0Byte angezeigt wird, obwohl alles noch da ist.

Das hier mußte ich abtippen, es lies sich nicht kopieren.


Das ist die neue Festplatte, darauf habe ich keine Partitionen eingerichtet. Das fand ein Tool

das Partitionen auf Festplatten anzeigt.

WDC WD80088-00JHC0 (74,53GB)

JNTFS, 74,52GB, 1018-1FB4)
Offset 481.357.312Bytes (FAT16, 10,12 MB, 0000-0000)
Offset 481.357.824Bytes (FAT32, 1,00 GB, 0000-0000)
Offset 481.359.360Bytes (FAT32, 109,22 MB, 1F0E-7C00)
Offset 482.403.840Bytes (NTFS, 0 Bytes, 0000-0000)
Offset 876.653.648Bytes (FAT16, 1,40 MB, 5025-0E47)



Das ist die alte Festplatte, darauf waren 3 Partitionen eingerichtet. Jetzt heißen sie K:, M:,

L:
Auf K: liegt das Bootmenue, aber es bootet nicht mehr.

L: ist plötzlich RAW, ist das soetwas wie FAT , oder NTFS?


Maxtor 4D080H4 (76,33 GB)

K: (FAT16, 7, 78 MB, C80E-DEB8)


LRAW, 39,06GB, FFFF-FFFF)
Offset 8.257.536.Bytes (NTFS, 39,06 GB, 1C0E-0987)
Offset 489.582.592 Bytes (Fat16, 10,12 MB, 0000-0000)
Offset 489.583.104 Bytes (Fat32, 1,00 GB, 0000-oooo)
Offset 489.584.640 Bytes (Fat32, 109,22 MB, 1F0E-7C00)
Offset 490.629.120 Bytes (NTFS, 0 Bytes, 0000-0000)
Offset 2.945.265.664 Bytes (Fat16, 1,40MB, 12DD-1E62)


M: (NTFS, 37,25 GB, 647D-86EC)



Hier noch einige Meldungen:

07.05.2008 01:18:12 Der Versuch von Prozess mit PID 912 Zugriff auf den Prozess Kaspersky

Personal Security Suite mit PID 1672 zu erhalten wurde blockiert. Dieses Ergebnis geht darauf

zurück, dass der Selbstschutzmechanismus ausgelöst wurde.
er möchte audf IP 87.248.217.104:80 TCP zugreifen.

06.05.2008 22:05:49 Datei: J:\pagefile.sys nicht bearbeitet wird von anderer

Anwendung benutzt gehört das zu Windows?


bei einem Scan tauchte manchmal iSwift oder iChecker auf, gehört das zu Window?


Was ist das? DNS: dethostbyname: 11001


hier ein Protokoll von Protect der Fritzbox:
IndexTyp,Zeit,Bezeichnung,Details,Pfad,
0,Kommunikation abgelehnt,05.05.2008 20:28:54,smss.exe,'smss.exe' startet 'winlogon.exe', es

wird versucht eine Internetverbindung herzustellen.,\SystemRoot\System32\smss.exe,
1,Kommunikation abgelehnt,05.05.2008 20:28:54,winlogon.exe,Ausgehende Verbindung Ziel-IP-Adresse

217.xxx.xx.xxx Port 80 mit Protokoll TCP.,\??\J:\WINDOWS\system32\winlogon.exe,
2,Kommunikation gestattet,05.05.2008 20:30:01,Internet Explorer,Namensauflösung für

www.google.de.,J:\Programme\Internet Explorer\IEXPLORE.EXE,
3,Kommunikation gestattet,05.05.2008 20:30:01,Internet Explorer,Namensauflösung für

www.google.de.,J:\Programme\Internet Explorer\IEXPLORE.EXE,
4,Kommunikation abgelehnt,05.05.2008 20:30:01,Generic Host Process for Win32

Services,Namensauflösung für www.google.de.,J:\WINDOWS\system32\svchost.exe,
5,Kommunikation abgelehnt,05.05.2008 20:30:01,Generic Host Process for Win32

Services,Namensauflösung für www.google.de.,J:\WINDOWS\system32\svchost.exe,
6,Kommunikation gestattet,05.05.2008 20:30:40,Internet Explorer,Namensauflösung für

www.google.de.,J:\Programme\Internet Explorer\IEXPLORE.EXE,
7,Kommunikation gestattet,05.05.2008 20:32:03,Internet Explorer,Namensauflösung für

www.google.de.,J:\Programme\Internet Explorer\IEXPLORE.EXE,
8,Kommunikation gestattet,05.05.2008 20:32:33,Firefox,Namensauflösung für

de.start2.mozilla.com.,J:\Programme\Mozilla Firefox\firefox.exe,
9,Kommunikation gestattet,05.05.2008 20:32:33,Firefox,Namensauflösung für

de.fxfeeds.mozilla.com.,J:\Programme\Mozilla Firefox\firefox.exe,
10,Kommunikation gestattet,05.05.2008 20:34:11,Internet Explorer,Namensauflösung für

www.google.de.,J:\Programme\Internet Explorer\IEXPLORE.EXE,

Kann da jemand drin sein? Ich hatte einige Male die Meldung , ich sollte die Fritzbox

installieren mit Zugangsdaten und so, dabei ist das schon erledigt.


eine seltsame Adresse! , die 2 Fragezeichen vorher:
\??\J:\WINDOWS\system32\winlogon.exe,

Hier noch ein Logfile mit HiJack:

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 15:45:05, on 07.05.2008
Platform: Windows XP (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
J:\WINDOWS\System32\smss.exe
J:\WINDOWS\system32\winlogon.exe
J:\WINDOWS\system32\services.exe
J:\WINDOWS\system32\lsass.exe
J:\WINDOWS\system32\svchost.exe
J:\WINDOWS\System32\svchost.exe
J:\WINDOWS\Explorer.EXE
J:\WINDOWS\system32\spoolsv.exe
J:\Programme\FRITZ!DSL\IGDCTRL.EXE
J:\Programme\avmwlanstick\WlanNetService.exe
J:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe
J:\Programme\avmwlanstick\wlangui.exe
J:\WINDOWS\System32\igfxtray.exe
J:\WINDOWS\System32\hkcmd.exe
J:\Programme\Ulead Systems\Ulead Photo Express 5 SE\calcheck.exe
J:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe
J:\WINDOWS\System32\ctfmon.exe
J:\Programme\Messenger\msmsgs.exe
J:\Programme\FRITZ!DSL\FwebProt.exe
J:\Programme\FRITZ!DSL\StCenter.EXE
J:\WINDOWS\System32\wuauclt.exe
J:\WINDOWS\system32\notepad.exe
J:\Dokumente und Einstellungen\Daggi\Desktop\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - J:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVMWlanClient] J:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [IgfxTray] J:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] J:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [Ulead Photo Express 5 SE Calendar Checker] J:\Programme\Ulead Systems\Ulead

Photo Express 5 SE\calcheck.exe
O4 - HKLM\..\Run: [AVP] "J:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] J:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "J:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] J:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] J:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] J:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] J:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: FRITZ!DSL Protect.lnk = J:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Global Startup: swregver.exe
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} -

J:\Programme\Kaspersky Lab\Kaspersky Security Suite V\scieplugin.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - J:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} -

J:\WINDOWS\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -

http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1209855

258356
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -

http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) -

http://support.f-secure.com/ols/fscax.cab
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} -

J:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon -

{8C7461EF-2B13-11d2-BE35-3078302C2030} - J:\WINDOWS\System32\browseui.dll
O23 - Service: AVM IGD CTRL Service - AVM Berlin - J:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM WLAN Connection Service - AVM Berlin -

J:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: Kaspersky Personal Security Suite V (AVP) - Kaspersky Lab -

J:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - J:\Programme\Gemeinsame

Dateien\AVM\de_serv.exe

--
End of file - 3858 bytes

das ist ohne Internet


und nun noch eines mit Internet:

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 15:58:33, on 07.05.2008
Platform: Windows XP (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
J:\WINDOWS\System32\smss.exe
J:\WINDOWS\system32\winlogon.exe
J:\WINDOWS\system32\services.exe
J:\WINDOWS\system32\lsass.exe
J:\WINDOWS\system32\svchost.exe
J:\WINDOWS\System32\svchost.exe
J:\WINDOWS\system32\spoolsv.exe
J:\WINDOWS\Explorer.EXE
J:\Programme\avmwlanstick\wlangui.exe
J:\WINDOWS\System32\igfxtray.exe
J:\WINDOWS\System32\hkcmd.exe
J:\Programme\Ulead Systems\Ulead Photo Express 5 SE\calcheck.exe
J:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe
J:\WINDOWS\System32\ctfmon.exe
J:\Programme\Messenger\msmsgs.exe
J:\Programme\FRITZ!DSL\FwebProt.exe
J:\Programme\FRITZ!DSL\StCenter.EXE
J:\Programme\FRITZ!DSL\IGDCTRL.EXE
J:\Programme\avmwlanstick\WlanNetService.exe
J:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe
J:\WINDOWS\system32\NOTEPAD.EXE
J:\WINDOWS\System32\wuauclt.exe
J:\Dokumente und Einstellungen\Daggi\Desktop\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - J:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVMWlanClient] J:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [IgfxTray] J:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] J:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [Ulead Photo Express 5 SE Calendar Checker] J:\Programme\Ulead Systems\Ulead

Photo Express 5 SE\calcheck.exe
O4 - HKLM\..\Run: [AVP] "J:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] J:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "J:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] J:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] J:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] J:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] J:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: FRITZ!DSL Protect.lnk = J:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Global Startup: swregver.exe
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} -

J:\Programme\Kaspersky Lab\Kaspersky Security Suite V\scieplugin.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - J:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} -

J:\WINDOWS\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -

http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1209855

258356
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -

http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) -

http://support.f-secure.com/ols/fscax.cab
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} -

J:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon -

{8C7461EF-2B13-11d2-BE35-3078302C2030} - J:\WINDOWS\System32\browseui.dll
O23 - Service: AVM IGD CTRL Service - AVM Berlin - J:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM WLAN Connection Service - AVM Berlin -

J:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: Kaspersky Personal Security Suite V (AVP) - Kaspersky Lab -

J:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - J:\Programme\Gemeinsame

Dateien\AVM\de_serv.exe

--
End of file - 3858 bytes




Es wurden schon 3 Viren und einige Trojanische Pferde gefunden und ein Rootkit. mit Oneline

Scan. Das dürften aber nicht alle sein.
Ich denke mal mein Virenscanner wurde lahmgelegt, AntiVir.

Nun hab ich Kasperty, kann sich da auch ein Virus einnisten?
Ich bekomme die Meldung, er möchte sich mit dem Internet verbinden, lehne ich ab, komme ich

nicht rein.
Außerdem geht manchmal nichts mehr, da ist der IE lahmgelegt, nichts geht mehr. Da muß ich immer

ein neues Fenster öffnen und das alte beenden. Manchmal sind bis zu 6 IE Prozesse im Task

Manager, obwohl ich nur ein Fenster auf habe. Beende ich sie, sind sie gleich wieder da, meist mit über 20.100 k. die CPU ist oft bis 100% ausgelastet.

manchmal geht meine Maus nicht mehr!!!!1


Ich bedanke mich schon mal im voraus für Eure Hilfe und eventuellen Ratschläge

liebe Grüße Daggi

Hi,

alles kein Wunder. Ein Windows XP ohne Servicepacks, gerade kam das dritte Servicepack raus, Du hast überhaupt keins installiert. die geschilderten Symptome sehen sehr danach aus, dass das bereits nicht mehr dien Computer ist. Lies dir mal http://www.trojaner-board.de/51262-a...sicherung.html durch und handele entsprechend. Die Updates alle installiert zu haben ist viel wichtiger als ein Virenscanner, was nicht heißt, dass Du drauf verzichten solltest. Da ist antivir in der Freewareversion dann aber voll ok.

Die durcheinandergeratene Festplatte neu formatieren und partitionieren.

pagefile.sys gehört zu Windows und ist ok.

iSwift oder iChecker gehören zu diesem aufgeblähtem Kasperskykram. Wenn Du den wirklich behalten willst, dann unbedingt das Handbuch lesen.

DNS, "Namensauflösung" meint auch das.

Gruß, Karl

Hallo KarlKarl,
danke für Deine Antwort. Wie es scheint führt kein Weg drumrum, alles neu zu machen.
hier hab ich noch einen seltsamen Pfad: \SystemRoot\System32\smss.exe,

ich bin mir sicher, ich hab kein SystemRoot/System

ich hatte schon länger das Gefühl, ich war nicht alleine auf meinem PC.

Diese anderen Partitionen auf L: und M: , kann man da irgendwie dran kommen, ich meine, wenn sie sich auf meinem PC befinden?

liebe Grüße daggi

Das beste ist, Du installierst erstmal dein System sauber und sicher neu. Wenn das geschehen ist, dann sich mit den anderen Partitionen abgeben, vorher die ignorieren.

Meinst Du vielleicht %SystemRoot%\System32\smss.exe? Die beiden %% sind wesentlich. Wenn dem so ist, dann stellt %SystemRoot% eine sogenannte Umgebnungsvariable dar, die durch einen anderen Text ersetzt wird. Das ist das Verzeichnis, in das dein Wndows installiert ist. Effektiv nach der Übersetzung lautet die Zeichenfolge dann J:\WINDOWS\System32\smss.exe. Diese Datei ist ein wesentlicher Teil von Windows. Man kann allerdings nicht ausschließen, dass sie schädlich manipuliert wurde, das kann man auf dem System bei keiner Datei. ein Grund mehr für eine saubere Neuinstallation. Danach kann st du dir sicher sein, dass die Dateien ok sind.

Wenn Du dir die Umgebungsvriablen mal alle ansehen willst (es gibt eine ganze Menge davon), dann: Start -> ausführen -> cmd.exe -> OK. In dem sich nun öffnenden Fenster den Befehl

Code: Alles auswählenAufklappen

ATTFilter

set
         

ausführen, dann werden sie ausgegeben. Eine Zeile der Ausgabe würde lauten:

Code: Alles auswählenAufklappen

ATTFilter

SystemRoot=J:\WINDOWS
         

Es gab auch noch andere Seltsamkeiten, ich lösche regelmäßig die Temporären Internet Files. Der Ordner ist dann leer. Gehe ich auf Eigenschaften zeigt er mir über 300000 Dateien an.

Oder der Papierkorb, manchmal fand sich darin eine Datei mit lauter Quadraten als Text. Das , so nehme ich an, heißt das Windows die Schrift nicht anzeigen kann.

Wenn ich in meinen EMail Postfächern war, ging manchmal gar nichts mehr. Alles wie eingefroren.

Gestern war meine Taskleiste gelblich eingefärbt

Im Explorer sind keine Verbindungslinien mehr

Die Schrift hat sich verkleinert

Das Ärgerliche an der ganzen Sache war, das sich auf L: meine Bilder und Gedichte befinden. Zum Glück hab ich sie wieder.

Würde es was bringen auf M: den MBR zu erneuern?
Ich möchte nochmal drauf zugreifen, bevor ich die Partition lösche und formatiere, wenn es geht auch mit einem Shredder, damit nichts zurück bleibt.


liebe Grüße Daggi

Ich würde jetzt aber wirklich erstmal J:, also das Systemlaufwerk runderneuern. Die anderen Partitionen werden davon nicht betroffen, die kannst Du dir dann später vornehmen. Dann umso besser, denn wenn das System bei der Ausführung irgendeiner Datenrettungssoftware abschmiert, kann der Schaden nur noch größer werden.

MBR auf M: bestehe ich gerade nicht. M: ist eine Partition auf einer Festplatte. ein MBR ist aber nicht Teil einer Partition, sondern einer Festplatte, da gibt es pro Platte nur einen. der enthält Informationen über die Partitionen auf der Festplatte, wo sie liegen, was für ein System darauf liegt, ob sie zum booten eingerichtet sind, usw.