Hi und Hallo,
habe ein größeres Problem mit meinem Laptop bekommen.
Fasse mich kurz um die Übersichtlichkeit zu behalten.
Eine xxx.exe von einer vermeitlich Sicheren Quelle runtergeladen.
Exe ausgeführt- Spybot Warnmeldung -nicht erlauben in die Registry zu schreiben-dann ein kurzes Aufblinken eines Bildschirms-
und jetzt-
"Die maximale Anzahl der Kennwörter,die in einem einzelnen System gespeichert werden können,wurde überschritten"
PC läuft noch kann aber nicht mehr auf Partition E zugreifen wo all meine Daten sind.
Spybot findet nichts,Update aber auch nicht mehr möglich
CCleaner durchlaufen lassen ohne erfolg
Abgesicherter Modus nicht möglich - folgt Absturz nach Bluescreen und Neustart

Nach Suche bei euch im Board HijackThis durchlaufen lassen.
Hier die Log Datei

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:17:40, on 21.10.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\TOSHIBA\TouchPad\TPTray.exe
C:\Programme\TOSHIBA\Tvs\TvsTray.exe
C:\WINDOWS\system32\TPSMain.exe
C:\WINDOWS\system32\TCtrlIOHook.exe
C:\Programme\TOSHIBA\Accessibility\FnKeyHook.exe
C:\WINDOWS\system32\ZoomingHook.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Dokumente und Einstellungen\XXXX\Desktop\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = socks=127.0.0.1:0
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [PadTouch] C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [TPNF] C:\Programme\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [Tvs] C:\Programme\TOSHIBA\Tvs\TvsTray.exe
O4 - HKLM\..\Run: [HWSetup] C:\Programme\TOSHIBA\TOSHIBA Applet\HWSetup.exe hwSetUP
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [TCtryIOHook] TCtrlIOHook.exe
O4 - HKLM\..\Run: [SVPWUTIL] C:\Programme\Toshiba\Windows Utilities\SVPWUTIL.exe SVPwUTIL
O4 - HKLM\..\Run: [TOSHIBA Accessibility] C:\Programme\TOSHIBA\Accessibility\FnKeyHook.exe
O4 - HKLM\..\Run: [Zooming] ZoomingHook.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [SmoothView] C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
O4 - HKLM\..\Run: [CeEKEY] C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: eBay - {699CA24C-9CC5-4BD0-AE70-756A44DC2FA7} - C:\Programme\Internet Explorer\Signup\ToshibaGotoEbay.exe (HKCU)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 6135 bytes
         

Hoffe ihr könnt mir weiter helfen

Update -
Antivir durchlaufen lassen nichts gefunden
Unter Linux gestartet - Datein noch da auch zugriff können nur nicht verschoben oder Kopiert werden.
Malwarebytes startet leider nicht.

Könnte mir bitte jemand mal ein guten Ratschlag geben wie ich weiter vorgehen kann oder sollte !

Hi

Hast Du bereits eine Lösung gefunden? Ich habe das gleiche Problem auf zwei externen Festplatten. Es ist ziemlich sicher ein Trojaner. Habe die Festplatten an einem anderen Computer angeschlossen, danach hat sich sofort AntiVir gemeldet. Folgende Dateien wurden gemeldet: C:\Dokumente und Einstellungen\Benutzername\Lokale Einstellungen\Temp und dann waren es zwei bis drei kurze Dateien mit 3-4 Buchstaben und den Zahlen 1-3. Ich glaube: tmp7.tmp und tmp3F.tmp . Auch gemeldet wurde von Spybot die versteckten Dateien c:\resycled\boot.com Du kannst sie lediglich mittels Ausführen unter START finden. Selbst wenn Du die Ordneroption auf "versteckte Dateien anzeigen" gestellt hast, ist dieser Ordner nicht sichtbar. Habe alle Dateien gelöscht, Neustart, gereinigt mit CCleaner, XP Clean Express a-squared Anti Malware, Spybot und AdWare... alles nix gebracht.

Wenn Du eine Lösung gefunden hast oder zumindest eine Möglichkeit die Dateien von der Festplatte zu retten, wäre ich sehr dankbar.

derchris

So wie es ausschaut, hängt bei diesem Trojaner alles mit einer autorun.inf zusammen, die jedes Mal auf den Datenträger kopiert wird. Wenn man es schafft die datei C:\resycled\boot.com sowie die datei c:\autorun.inf zu löschen, sollte alles wieder funktionieren. Meine nun auch verseuchte C: Festplatte hab ich so wieder hin bekommen. Werde morgen versuchen die externen Festplatten an einem MAC anzuschließen und diese Dateien ebenfalls zu löschen... Durch Anklicken unter WinXP wird anscheinend jedes Mal die Autorun gestartet und das Problem geht wieder von vorne los.

Die Autorun.inf enhält bei mir folgenden Code:

[autorun]
;fsmdlzcfapkybeyynpxtvbhwkljfnmbgxdmelsestmvzdjgnkdgofouxwutqlzrdthpxvqbwwtmmskagswrljrushoq
shellexecute="resycled\boot.com c:"
;taxolrvscwrequolydcytgatvxitdhjbmboumjgsgbuborgvywpwtjrbtkrulftdhquppvcufj
shell\Open\command="resycled\boot.com


Hoffe ich konnte weiter helfen...

Habe mich hier im Bord angemeldet, damit auch meine Methode, dieses ekelhafte Problem zu lösen, publiziert sei:

Selbstverständlich löschte ich überall von einer Paragnon Drive Backup 2007 Rettungs-CD (war mal im PCGo Heft 4/2008 drin) aus auf C selber und auf der von C via Explorer nicht mehr zugänglichen Partition E sowie dem via Explorer auch nicht mehr zugänglichen externen Laufwerk D (Trekstor USB Platte):

• den verfluchten Ordner resycled und
• die verdammte autoplay.inf.

Doch

• all das Gelösche des Ordners resycle und der verfluchten Datrei autoplay.inf von einer Paragnon Drive Backup 2007 Rettungs-CD
• und das manuelle Löschen all der Einträge von resycle in der Windows Registrierung hat nix genutzt:

die Meldung mit den Kennwörtern und die Weigerung, externe Festplatten und die interne Partition E zu öffnen, blieben, selbst als nach Neustart des Systems der Ordner resycled und die Datei autoplay.inf nicht mehr geladen wurden.

Daher konnte ich auch mit Paragon Drive Backup 2007 das auf E vorhandene Backup der Partition C NICHT wieder herstellen (eine Wiederherstellung von der Rettungs-CD aus war extrem langsam und hängte sich auf).

Problemlösung:
1. Mit der Paragon Drive Backup 2007 Rettungs-CD habe ich Laufwerk C schnell formatiert.
2. Danach Neuinstallation von Window XP Service Pack 1 von der Product Recovery CD-Rom
3. Update via Windows Update (Start_Systemsteuerung) auf Windows XP Servicd Pack 2
4. Installation von Paragon Drive Backup 2007 von der PCGO-4/2008 Heft-DVD auf Laufwerk C.
5. Zurücklesen eines mit Paragon Drive Backup 2007 erzeugten Abbildes der Partition C.

Danach habe ich C E und die externe Festplatte D mit Antivir durchgescannt und von allem Dreck bereinigt.

Resultat: Problem flächendeckend gelöst: externe und interne Laufwerke sind wieder zugänglich, Virenscan negativ. Hickackthis-Scan ohne Befund.

Im übrigen hatte ich da eine kleine dreckige Exe geladen und ausgeführt.
Das Problem war also selbst verschuldet.
Meine Maßnahme, Daten und System auf getrennten Partitionen zu haben, hat sich letzten Endes doch sehr bewährt. Der Scheiß Trojaner hat genau den Weg zerstört, den er eigentlich gebraucht hätte, nämlich den zu den Daten.

Heute geht das alles mit Paragon Drive Backup 9.0 Express (KOSTENLOS!!!)
viel einfacher:

mit einer Linux-Rettungs-CD hat man Kontrolle über USB-Maus und externe USB-Festplatten und kann innerhalb von 15 Minuten z.B. 10 GB Windows XP SP3 + Programme auf C: aus einem Bild auf der externen USB_Festplatte wiederherstellen.

Leider ging das damals mit Paragon 2007 nicht.

Ich empfehle daher grundsätzlich ein Bild eines funktionierenden Systems mit allen Programmen auf einer externen Festplatte anzulegen und bei Systemmängeln via Rettungs-CD aufzuspielen.