Hi, ich hoffe es gehört in diese Rubrik:
Seit neuestem kann ich mein System - WinXP + SP2 mit NTFS Dateisystem nicht mehr defragmentieren. Weder mit O&O Defrag noch mit dem Windowseigenem Defragprog. Ich habs auch schon im abgesicherten Modus versucht, keine Chance. Es kommt nur Defragmentierung kann nicht gestartet werden , fertig. Warum, keine Ahnung. Selbst mit chckdsk oder scandisk komm ich nicht weiter, weil es nicht ausgeführt wird!? In der direkten Eingabe unter c:\ kommt nach der Eingabe folgende Meldung:
Volume kann für den direkten Zugriff nicht geöffnet werden ?
Ich habe eine Firewall und die habe ich auch schon ausgeschaltet und dann probiert -- keine Änderung. Mein Virenscanner ist avast und immer auf dem neuesten Stand, letztens habe ich mit smitfraudfix mein System gesäubert (danach ging aber Defrag noch) Mehr ist nicht passiert. Über Explorer seh ich alle Lw´s und kann sie auch öffnen, aber bei O&O werden nichtmal die Lw´s angezeigt, geschweige denn analysiert oder defragmentiert. Selbst stundenlanges Suchen im Netz hat nichts gebracht. Wenn ich versuche mit einem "Fremdrogramm" zu defragmentieren, kommt folgende Meldung:
Die maximale Anzahl der Kennwörter, die in einem einzelnen System gespeichert werden können, wurde überschritten! Wie geht das denn? Meine paar Kennwörter können unmöglich der Grund sein und Platz zum defrag ist auf allen Lw´s mehr als genug. Ich verstehs nicht. Könnt ihr mir da vielleicht weiterhelfen?
Bei meiner Suche habe ich folgendes gefunden und (ohne Erfolg) schon probiert:

http://www.meinews.net/windows-t266608.html?s=ceef843af4ed6473bdd20070d875f668&

(sorry, besser kann ich die Links nicht einstellen, bin kein Pc-Experte)

Gruß
Mjx

Hallo und

Zitat:

Volume kann für den direkten Zugriff nicht geöffnet werden ?

Das ist an sich normal, da eine Systempartition aus dem laufenden System heraus nicht überprüft werden kann. Jedenfalls nicht mit Parametern die einen exclusiven Zugriff erfordern, dann müsste allerdings chkdsk nachfragen, ob beim nächsten Systemstart das Volume überprüft werden soll.

Weil Du Malwarebefall hast/hattest schlage ich diese Punkte für weitere Analysen vor:

1.) Poste ein Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe

2.) Führe dieses MBR-Tool aus und poste die Ausgabe

3.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten

4.) Führe Silentrunners nach dieser Anleitung aus und poste das Logfile (mit Codetags umschlossen), falls es zu groß sein sollte kannst Du es (gezippt) bei file-upload.net hochladen und hier verlinken.

5.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste die Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:

[code] Hier das Logfile rein! [/code]

6.) Mach ein Filelisting mit diesem script:

• Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
• Doppelklick auf listing8.cmd auf dem Desktop
• nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

Vielen Dank erstmal für die Antwort. Werde ich machen, was du da ausgeführt hast, wird allerdings etwas dauern, da ich darin nicht gerade firm bin. Die Ergebnisse werde ich dann versuchen hier einzustellen.
Bis später dann
Gruß
Mjx

HI, hier also der erste Teil der Aufgaben, Hijackthis. Ich hoffe, das mit dem Einstellen davon war auch so gemeint, wie ich es jetzt mache, wenn nicht, bitte nochmal eine Ansage dazu

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:49:49, on 02.10.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
e:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\Rundll32.exe
E:\Programme\Ahead\InCD\InCD.exe
C:\Programme\FreePDF_XP\fpassist.exe
E:\Programme\DU Meter\DUMeter.exe
E:\Programme\Creative\SBAudigy\Surround Mixer\CTSysVol.exe
E:\Programme\SlySoft\CloneCD\CloneCDTray.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Gemeinsame Dateien\Maxtor\Schedule2\schedhlp.exe
C:\WINDOWS\system32\ctfmon.exe
E:\Programme\Creative\MediaSource5\Go\CTCMSGoU.exe
E:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\Hewlett-Packard\AiO\hp officejet v series\Bin\hpoant07.exe
C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe
C:\WINDOWS\system32\hpoipm07.exe
C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOSTS07.exe
C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOFXM07.exe
C:\Programme\Gemeinsame Dateien\Maxtor\Schedule2\schedul2.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\THEBAT!\thebat.exe
C:\Programme\Microsoft Office\Office12\WINWORD.EXE
D:\Eigene Dateien\Downloads\hijackthis.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.pagessyndication.com/google/iesearch.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.pagessyndication.com/google/iesearch.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: IE7Pro - {00011268-E188-40DF-A514-835FCD78B1BF} - C:\Programme\IEPro\iepro.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - E:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - E:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [TrayServer] E:\Programme\TrayServer.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [PSDrvCheck] C:\WINDOWS\system32\PSDrvCheck.exe
O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [InCD] e:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [DU Meter] E:\Programme\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [CTSysVol] e:\Programme\Creative\SBAudigy\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CloneCDTray] "e:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Maxtor\Schedule2\schedhlp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Creative MediaSource Go] "E:\Programme\Creative\MediaSource5\Go\CTCMSGoU.exe" /SCB
O4 - HKCU\..\Run: [NBJ] "E:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\DslMgr.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\DslMgr.exe (User 'Default user')
O4 - Global Startup: Acrobat Assistant.lnk = E:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: ATI CATALYST-Infobereich.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: HPAiODevice(hp officejet v series) - 1.lnk = C:\Programme\Hewlett-Packard\AiO\hp officejet v series\Bin\hpoant07.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://E:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programme\IEPro\iepro.dll
O9 - Extra 'Tools' menuitem: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programme\IEPro\iepro.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL
O16 - DPF: {051D0E35-F4E3-4C8D-B411-AB0875F4C683} (Anark Client 4.0 ActiveX Control) - http://install.anark.com/client/version4/windows-ie/en/AMClient.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su2/CTL_V02002/ocx/15034/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{35CB25F0-EA0E-4294-8802-734FB7F62FCB}: NameServer = 85.255.115.51,85.255.112.97
O17 - HKLM\System\CCS\Services\Tcpip\..\{37176DCF-B3BB-4E84-8B3A-47290910CE67}: NameServer = 85.255.115.51,85.255.112.97
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.51 85.255.112.97
O17 - HKLM\System\CS1\Services\Tcpip\..\{35CB25F0-EA0E-4294-8802-734FB7F62FCB}: NameServer = 85.255.115.51,85.255.112.97
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.51 85.255.112.97
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Maxtor\Schedule2\schedul2.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - E:\Programme\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - e:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: UPnPService - Magix AG - C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe

--
End of file - 9815 bytes
         

Hier das nächste:
MBR-Tool : poppte nur kurz auf, war sofort wieder verschwunden und sonst passierte damit nichts weiter. Keine Meldung – nix.
Blacklight:
Scan completed. Total number of processes: 54 No hidden Items were found! Und in der Summary waren beide Ergebnisse: 0
MalwareBytes hat 3 infizierte Objekte gefunden, allerdings dann später wesentlich mehr gelöscht!? Die Logfile ist unten drunter (wie man damit was anfangen kann, wird mir ein Rätsel bleiben )

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.27
Datenbank Version: 1127
Windows 5.1.2600 Service Pack 2

02.10.2008 14:29:42
mbam-log-2008-10-02 (14-29-42).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|)
Durchsuchte Objekte: 156650
Laufzeit: 24 minute(s), 6 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 10
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\msliksur (Trojan.DNSChanger) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msliksurserv (Rootkit.Agent) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\StartMenuLogOff (Hijack.StartMenu) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.115.51 85.255.112.97 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{35cb25f0-ea0e-4294-8802-734fb7f62fcb}\NameServer (Trojan.DNSChanger) -> Data: 85.255.115.51,85.255.112.97 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{37176dcf-b3bb-4e84-8b3a-47290910ce67}\NameServer (Trojan.DNSChanger) -> Data: 85.255.115.51,85.255.112.97 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.115.51 85.255.112.97 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{35cb25f0-ea0e-4294-8802-734fb7f62fcb}\NameServer (Trojan.DNSChanger) -> Data: 85.255.115.51,85.255.112.97 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{37176dcf-b3bb-4e84-8b3a-47290910ce67}\NameServer (Trojan.DNSChanger) -> Data: 85.255.115.51,85.255.112.97 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.115.51 85.255.112.97 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{35cb25f0-ea0e-4294-8802-734fb7f62fcb}\NameServer (Trojan.DNSChanger) -> Data: 85.255.115.51,85.255.112.97 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{37176dcf-b3bb-4e84-8b3a-47290910ce67}\NameServer (Trojan.DNSChanger) -> Data: 85.255.115.51,85.255.112.97 -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\msliksurcredo.dll (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\msliksurserv.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
         

Das mit Combofix habe ich nicht verstanden. Welcher Kompetenzler? Oder ist das ein Joke und damit bist du gemeint?
Gruß
Mjx

So, hier ist die Logfile von SilentRunners
-----
Haha, denkste, zuviele Zeichen sagt er mir, dann also über file-upload. Die Datei ist allerdings nur 31kb groß, das muß ja nicht unbedingt gezippt werden, oder!? Oder hatte das andere Gründe?
Wie gesagt, mit dem Combofix warte ich noch, bin mir da zu unsicher, was wirklich gemeint war und da du schreibst, da kann eine Menge falsch laufen, warte ich erst deine Antwort ab, ok!?
Gruß
Mjx

Hier ist der Link:
File-Upload.net - Startup-Programs--MJXNEU-XP--2008-10-02-14.48.26.txt

Erstmal vielen Dank für die Hilfe
Ich weiß zwar leider nicht, wodurch das System jetzt wieder läuft (also was den Fehler oder was immer beseitigt hat), denn es waren ja eine Menge Tools die ich ausführen sollte, aber viel wichtiger ist, daß ich das System nicht neu aufsetzen muß und meine Programme bleiben. :aplaus:
Würde mich dennoch interessieren, was es war, wenn Ihr noch Lust auf Analyse habt und bei den Logfiles durchblickt.
Aber wie auch immer , ohne die Tools wäre ich ganz sicher nicht so weit!!
(jetzt muß ich bloß noch finden, wie man das Thema schließt )
Klasse, ciao
Mjx

Was ist denn mit Combofix? Wo ist das Logfile?

Zitat:

MBR-Tool : poppte nur kurz auf, war sofort wieder verschwunden und sonst passierte damit nichts weiter. Keine Meldung – nix.

Das MBR-Tool ist ein Kommandozeilentool - starte es aus der Kommandozeile (cmd.exe) heraus. An sich müsste es aber ein Logfile auf dem Desktop erstellt haben.

Code: Alles auswählenAufklappen

ATTFilter

O17 - HKLM\System\CCS\Services\Tcpip\..\{35CB25F0-EA0E-4294-8802-734FB7F62FCB}: NameServer = 85.255.115.51,85.255.112.97
O17 - HKLM\System\CCS\Services\Tcpip\..\{37176DCF-B3BB-4E84-8B3A-47290910CE67}: NameServer = 85.255.115.51,85.255.112.97
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.51 85.255.112.97
O17 - HKLM\System\CS1\Services\Tcpip\..\{35CB25F0-EA0E-4294-8802-734FB7F62FCB}: NameServer = 85.255.115.51,85.255.112.97
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.51 85.255.112.97
         

Diese Hijackthis-Einträge sind bedenklich. Solltest Du fixen. Ob das aber noh was bringt...naja, bei umgebogenen TCP/IP-Einstellungen wäre ich vorsichtiger und überlegen, ob das Formatieren und Neuaufsetzen nicht doch sinnvoller wäre.

ahoi hoi, ich hab ein ganz ähnliches problem.

soll heißen, beim starten kommt auch diese merkwürdige "die maximale anzahl der kennwörter die in einem einzelnen system gespeichert werden können wurde überschritten"-meldung, und ich kann auf meine externe festplatte nicht mehr zugreifen...

hab schon diverse schritte aus der hier im thread geposteten anleitung befolgt, hier mal meine logs (silentrunners läuft noch und wird gegebenenfalls später nachgereicht)

hijackthis:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 06:53:59, on 04.04.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Siemens\Gigaset WLAN Adapter\WLM.exe
C:\Programme\VIA\RAID\raid_tool.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Malwarebytes' Anti-Malware\mbam.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://go.microsoft.com/fwlink/?LinkId=54843
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=localhost:7070
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\twext.exe,
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {D032570A-5F63-4812-A094-87D007C23012} - C:\WINDOWS\system32\IEBHO47.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PtiuPbmd] Rundll32.exe ulutil2.dll,SetWriteBack
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Gigaset WLAN Adapter Monitor.lnk = C:\Programme\Siemens\Gigaset WLAN Adapter\WLM.exe
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programme\VIA\RAID\raid_tool.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NBService - Nero AG - D:\Nero 7\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 6319 bytes
         

mbr:

Code: Alles auswählenAufklappen

ATTFilter

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: error reading MBR
         

blacklight:

Code: Alles auswählenAufklappen

ATTFilter

04/04/09 06:56:09 [Info]: BlackLight Engine 2.2.1092 initialized
04/04/09 06:56:09 [Info]: OS: 5.1 build 2600 (Service Pack 2)
04/04/09 06:56:09 [Note]: 7019 4
04/04/09 06:56:09 [Note]: 7005 0
04/04/09 06:56:14 [Note]: 7006 0
04/04/09 06:56:14 [Note]: 7011 1912
04/04/09 06:56:14 [Note]: 7035 0
04/04/09 06:56:15 [Note]: 7026 0
04/04/09 06:56:15 [Note]: 7026 0
04/04/09 06:56:16 [Note]: FSRAW library version 1.7.1024
04/04/09 06:56:19 [Note]: 2000 1012
04/04/09 06:56:24 [Note]: 7006 0
04/04/09 06:56:24 [Note]: 7011 1912
04/04/09 06:56:24 [Note]: 7035 0
04/04/09 06:56:24 [Note]: 7026 0
04/04/09 06:56:24 [Note]: 7026 0
04/04/09 06:56:25 [Note]: FSRAW library version 1.7.1024
04/04/09 06:56:28 [Note]: 2000 1012
04/04/09 06:56:43 [Note]: 7007 0
         

malwarebytes antimalware krieg ich irgendwie nicht ans laufen...also er installierts zwar, hab auch schon verschiedene festplatten ausprobiert, aber irgendwie arbeitet das programm bei mir nicht, hängt ja vll auch mit dem trojaner (oder was auch immer) zusammen...

wär cool, wenn ihr mir bei dem problem helfen könntet, ansonsten hilft wohl nur noch formatieren und neuaufziehen...(wenn das hilft, kein plan, hab sowas von kein fachwissen was pcs angeht...)

kann leider meinen post nicht editieren, vermutlich seh ich einfach den button nicht.

da die katastrophe mittlerweile in fortgeschrittenem stadium ist, hab ich mich entschlossen, zu formatieren und windows neu drauf zu ziehen.

damit sollten ja alle probleme der vergangenheit angehören

WICHTIG: wenn ich mit dem letzten satz falsch liege, und trotz formatierens der systemfestplatte immernoch 'reste' von dem trojaner /whatever) auf einer meiner platten sind, dann schreibts bitte hier rein, wär ich euch echt verbunden für

und wiedermal entschuldigung, ich find irgendwie den edit-button nicht mehr...

also ich wollte ja formatieren und windows neu drauf knallen...pustekuchen, nichmal das krieg ich gebacken, weil mir mein windows mitteilt, das keine festplatten gefunden werden.

danach kann ich nur abbrechen.

kann mir einer sagen, was ich da machen kann? hab echt absolut keinen plan, und das, was man dazu sonst so findet, versteh ich ned, bzw kann ich nicht ausführen, da ich kein diskettenlaufwerk habe.

bin echt total frustriert mittlerweile, brauch dringend eure hilfe :/

Hi,

was für eine Platte hast Du denn? Ziemlich zu Anfang des Installationsprogramm hat man die Möglichkeit, einen eventuell benötigten speziellen Treiber von Diskette laden zu lassen, bevor die Installation dann mit diesem Treiber durchgeführt wird. Bei SATA z.B. kann das erforderlich werden, wenn das BIOS nicht mitmacht.

Karl

motherboard: abit av8

festplatten:
-maxtor 6 b160m0 scsi device (müsste die mit meinem system drauf sein)
-samsung hd501lj scsi device
-st330062 0as scsi disk device
-wdc wd25 00yd-01nvb1 scsi disk device

zwei davon sind halt über nen sata-hub (oder wie das ding heißt, kein plan grad) angeschlossen, aber ich kann halt problemlos auf alle zugreifen, nur werden die halt nicht 'gefunden', also im bios zumindest nicht...