| |
| |||||||
Log-Analyse und Auswertung: Kein Festplattenzugriff (RAW statt NTFS) und bediddle.comWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
18.11.2008, 18:36
| #1 |
 |  Kein Festplattenzugriff (RAW statt NTFS) und bediddle.com Hallo! Ich bin leicht am Verzweifeln und daher hier mein nachfolgender Post in der Hoffnung auf HILFE!!! Ich gehe sehr stark davon aus, dass ich mir "irgendwas eingefangen" habe, daher hier mein HjackThis Log-File: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:10:28, on 18.11.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16735) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Creative\Shared Files\CTAudSvc.exe C:\Programme\G DATA TotalCare\AVK\AVKService.exe C:\Programme\G DATA TotalCare\AVK\AVKWCtl.exe C:\Programme\Bonjour\mDNSResponder.exe C:\WINDOWS\system32\CTsvcCDA.exe C:\WINDOWS\system32\crypserv.exe C:\Programme\EZ-Backup\EZ-Backup Manager\EzBackup.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe C:\Programme\G DATA TotalCare\Firewall\GDFwSvc.exe C:\WINDOWS\Explorer.EXE C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe C:\WINDOWS\system32\CTHELPER.EXE C:\Programme\G DATA TotalCare\AVKTray\AVKTray.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\G DATA TotalCare\Firewall\GDFirewallTray.exe C:\Programme\Logitech\SetPoint\SetPoint.exe C:\Programme\REALTEK USB Wireless LAN Driver and Utility\RtWLan.exe C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\Mozilla Thunderbird\thunderbird.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\G DATA TotalCare\GUI\avkis.exe C:\Programme\G DATA TotalCare\AVKTuner\AVKTunerService.exe C:\WINDOWS\system32\DllHost.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://w*w.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,c:\programme\g data totalcare\avkkid\avkcks.exe O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA TotalCare\Webfilter\AVKWebIE.dll O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_14\bin\ssv.dll O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdm2.dll O3 - Toolbar: &TerraTec Home Cinema - {AD6E6555-FB2C-47D4-8339-3E2965509877} - C:\PROGRA~1\TerraTec\TERRAT~1\THCDES~1.DLL O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA TotalCare\Webfilter\AVKWebIE.dll O4 - HKLM\..\Run: [AudioDrvEmulator] "C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" -1 AudioDrvEmulator "C:\Programme\Creative\Shared Files\Module Loader\Audio Emulator\AudDrvEm.dll" O4 - HKLM\..\Run: [AsusStartupHelp] C:\Programme\ASUS\AASP\1.00.17\AsRunHelp.exe O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [AVKTray] "C:\Programme\G DATA TotalCare\AVKTray\AVKTray.exe" O4 - HKLM\..\Run: [GDFirewallTray] C:\Programme\G DATA TotalCare\Firewall\GDFirewallTray.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: G DATA Firewall Tray.lnk = ? O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe O4 - Global Startup: REALTEK USB Wireless LAN Utility.lnk = ? O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlall.htm O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlselected.htm O8 - Extra context menu item: Datei mit FDM herunterladen - file://C:\Programme\Free Download Manager\dllink.htm O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Videos mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlfvideo.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_14\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_14\bin\ssv.dll O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: Upload - {FD4E2FF8-973C-4A19-89BD-8E86B3CFCFE1} - C:\Programme\Free Download Manager\FUM\fumiebtn.dll O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://w*w.creative.com/su/ocx/15030/CTSUEng.cab O16 - DPF: {0D41B8C5-2599-4893-8183-00195EC8D5F9} (asusTek_sysctrl Class) - http://h**p://support.asus.com/commo...k_sys_ctrl.cab O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://h**p://www.nvidia.com/content...sysreqlab2.cab O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://w*w.nvidia.com/content/Driver...aSmartScan.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://h**p://fpdownload2.macromedia...sh/swflash.cab O16 - DPF: {DF6504AC-3EFE-4287-B259-FB299B069C95} (WEBDE Fotoalbum Upload Control) - http://h**ps://img.web.de/v/mail/act...pload_1141.cab O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://w*w.creative.com/softwareupda...5106/CTPID.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{933BB48B-1547-4977-980D-4BCE87FDE583}: NameServer = 134.169.9.150,145.253.2.11 O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL O23 - Service: AVK Tuner Service - Unknown owner - C:\Programme\G DATA InternetSecurity TotalCare\AVKTuner\AVKTunerService.exe (file missing) O23 - Service: G DATA AntiVirus Proxy (AVKProxy) - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe O23 - Service: AVK Service (AVKService) - G DATA Software AG - C:\Programme\G DATA TotalCare\AVK\AVKService.exe O23 - Service: AVK Wächter (AVKWCtl) - G DATA Software AG - C:\Programme\G DATA TotalCare\AVK\AVKWCtl.exe O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: Creative Audio Engine Licensing Service - Creative Labs - C:\Programme\Gemeinsame Dateien\Creative Labs Shared\Service\CTAELicensing.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe O23 - Service: Crypkey License - CrypKey (Canada) Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe O23 - Service: Creative Audio Service (CTAudSvcService) - Creative Technology Ltd - C:\Programme\Creative\Shared Files\CTAudSvc.exe O23 - Service: EZ-Backup Manager - Unknown owner - C:\Programme\EZ-Backup\EZ-Backup Manager\EzBackup.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: G DATA Tuner Service - G DATA Software AG - C:\Programme\G DATA TotalCare\AVKTuner\AVKTunerService.exe O23 - Service: G DATA Personal Firewall (GDFwSvc) - G DATA Software AG - C:\Programme\G DATA TotalCare\Firewall\GDFwSvc.exe O23 - Service: Google Desktop Manager 5.7.806.10245 (GoogleDesktopManager-061008-081103) - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope (HRService) - Unknown owner - C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTServ.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O24 - Desktop Component 0: (no name) - file:///C:/DOKUME~1/VU/LOKALE~1/Temp/msohtmlclip1/01/clip_image002.jpg -- End of file - 13394 bytes Auf meinem PC läuft G-Data. Das Programm findet allerdings nichts. Einstellung auf höchster Sicherheitsstufe ... Das Phishing-Update funktioniert seit ein paar Tagen nicht mehr. Viren-Updates werden angezeigt. Windows-Update geht nicht mehr. Virenonlinescans gehen nicht, da Seiten geblockt werden. Über google werde ich bei IE und FF fast immer auf bediddle.com weitergeleitet. Ich habe im PC 3 Festplatten. Die Systemfestplatte mit Windows XP SP 3 läuft normal. Wenn ich die anderen beiden Festplatten aufrufen möchte, kommt als Fehlermeldung "Auf X: kann nicht zugegriffen werden. Die maximale Anzahl der Kennwörter, die in einem einzelnen System gespeichert werden können, wurde überschritten". Das ist Fehlercode 1381, das habe ich schon in Erfahrung gebracht. Wie ich das behebe, habe ich aber noch nicht gefunden. Externe Festplatten werden ebenfalls als RAW erkannt mit obiger Fehlermeldung "Maximale Anzahl ...". USB-Sticks werden erkannt. Wichtige Daten wurden von den "RAW-Festplatten" mittels Partition Manager auf die noch laufende Systemfestplatte kopiert/gerettet, lassen sich hier allerdings nicht extern absichern. Ich werde die Woche mal versuchen, ob ich das alles auf DVD brennen kann. Sind immerhin 35 GB persönliche Daten ... Unter Arbeitsplatz, Eigenschaften Datenträger werden mir die beiden "toten" Festplatten mit Dateisystem RAW angezeigt. Unter Partitionsmanager 8.0 wird für die Platten das korrekte Dateisystem NTFS angezeigt. Für ganz persönliche Betreuung wäre ich dankbar, da ich so einen PC zwar einigermaßen bedienen kann, aber mit Viren/Spyware usw. nicht jeden Tag zu tun habe. MfG biX Geändert von biX (18.11.2008 um 18:46 Uhr) |
|
18.11.2008, 19:54
| #2 | |
| /// Winkelfunktion /// TB-Süch-Tiger™   | Kein Festplattenzugriff (RAW statt NTFS) und bediddle.com Hallo und
__________________ Versteh ich das richtig, unter einem anderen System (mit Partition Manager) oder aus dem infizierten Windows heraus mit dem PM wird die Platte heraus korrekt als NTFS angezeigt? Obwohl Windows RAW sagt?  Zitat:
 Wenn Du da Zugriff auffe Daten hast wäre das der beste Zeitpunkt die Daten zu sichern. Allerdings gehören wichtige Daten regelmäßig gesichert BEVOR etwas passiert!  Acker diese Punkte für weitere Analysen ab: 1.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde. 2.) Führe dieses MBR-Tool aus und poste die Ausgabe 3.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten 4.) Führe Silentrunners nach dieser Anleitung aus und poste das Logfile (mit Codetags umschlossen), falls es zu groß sein sollte kannst Du es (gezippt) bei file-upload.net hochladen und hier verlinken. 5.) ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so: HTML-Code: [code] Hier das Logfile rein! [/code]
Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist. 7.) Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe - editiere die Links und privaten Infos!!
__________________ |
|
18.11.2008, 22:19
| #3 |
| | Kein Festplattenzugriff (RAW statt NTFS) und bediddle.com Hi root,
__________________vielen Dank für Deine Mühe: Zu Deinen Fragen: Aus dem infizierten Windows, also wenn ich jetzt Partition Manager anwerfe, zeigt der mir an, dass alle Platten NTFS haben und nicht RAW. Die Daten lassen sich nicht absichern, da das System externe Festplatten nur als RAW erkennt (Partition sagt wieder NTFS ...). Der USB-Stick mit FAT 32 wird erkannt (vielleicht sollte ich mal eine Festplatte in FAT 32 formatieren...). Ich werde es also auch mit Brennen versuchen, ob das noch geht (muss nur DVDs kaufen). Ja, gesichert habe ich die Daten ja ... aber ziemlich sinnlos, wie sich jetzt rausstellt, in dem ich Sie auf eine andere Festplatte innerhalb des PCs (ja, werd ich nie wieder tun) gesichert habe. Da sich nun Datenfestplatte und „Sicherungsfestplatte“ gleichzeitig in´s RAW-Format begeben haben ... äh, naja, falsch gedacht mit der Daten-Sicherung. Von der Daten-Festplatte konnte ich die Daten noch auf die Systemfestplatte kopieren (mit Partitionmanger). Von der Systemfestplatte auf eine externe Festplatte streikt aber auch Partition Manager. Ich hoffe, alle Klarheiten beseitigt ... So zu den Logfiles: Hier wurde bei einigen Downloads die Verbindung unterbrochen. Ich saug die Sachen morgen mal in der Firma und mache dann die Tests. Brauchst Du wirklich alle? MfG biX |
|
18.11.2008, 23:46
| #4 |
| /// Winkelfunktion /// TB-Süch-Tiger™ |  Kein Festplattenzugriff (RAW statt NTFS) und bediddle.com Also alle wären wirklich hilfreich. So lassen sich bessere Aussagen machen. Wenn schon der Download bei Dir nicht klappte, scheint da einiges bei Dir im Argen zu sein und das obwohl das HijackThis Logfile an sich rel. "normal" aussieht. Du solltest aber wirklich zusehen - je nach Wichtigkeit der Daten - erst selbige zu sichern. Nachher geht was schief und dann haste den Salat. 
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
20.11.2008, 22:53
| #5 |
| | Kein Festplattenzugriff (RAW statt NTFS) und bediddle.com Hi alle, Hi root, gestern konnte ich alle wichtigen Daten sichern. Zuerst habe ich meine Systemfesplatte auf eine externe Festplatte kopiert (mittels Partition Manager, da Windows die Externe wieder als RAW identifizierte), heisst, ich habe wahrscheinlich die Viren mitkopiert. Superwichtige Daten habe ich dann noch auf eine DVD gebrannt. So zu den Logfiles: 1. Systemwiederherstellung deaktiviert 2. "Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net Code:
ATTFilter device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
Code:
ATTFilter 11/20/08 18:04:27 [Info]: BlackLight Engine 2.2.1092 initialized
11/20/08 18:04:27 [Info]: OS: 5.1 build 2600 (Service Pack 3)
11/20/08 18:04:27 [Note]: 7019 4
11/20/08 18:04:27 [Note]: 7005 0
11/20/08 18:04:42 [Note]: 7006 0
11/20/08 18:04:42 [Note]: 7011 2964
11/20/08 18:04:42 [Note]: 7035 0
11/20/08 18:04:42 [Note]: 7026 0
11/20/08 18:04:42 [Note]: 7026 0
11/20/08 18:04:45 [Note]: FSRAW library version 1.7.1024
11/20/08 18:05:03 [Note]: 7007 0
Interessant war, dass dass Programm auch auf die anderen Festplatten zugreifen und dort die sogar noch vorhandenen Daten scannen konnte. Es hat nur alles nur ewig gedauert (ich hatte auch das Gefühl, dass das Programm zum Ende immer laaaaaaaangsamer wurde, bevor es ganz am Ende wieder Gas gab ... die Festplatte ratterte zwischendurch bei der "Langsamfahrt" kräftig). So ein Scan über 4:38 !!! Stunden geht schon an die Substanz ... Code:
ATTFilter Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1306
Windows 5.1.2600 Service Pack 3
20.11.2008 22:50:49
mbam-log-2008-11-20 (22-50-49).txt
Scan-Methode: Vollständiger Scan (C:\|F:\|H:\|J:\|)
Durchsuchte Objekte: 244812
Laufzeit: 4 hour(s), 38 minute(s), 1 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 8
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{9afb8248-617f-460d-9366-d71cdeda3179} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully.
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
C:\WINDOWS\msacm32.drv (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\TDSScfub.dll (Rootkit.Agent) -> Delete on reboot.
C:\WINDOWS\system32\TDSSfpmp.dll (Rootkit.Agent) -> Delete on reboot.
C:\WINDOWS\system32\TDSSnrsr.dll (Rootkit.Agent) -> Delete on reboot.
C:\WINDOWS\system32\TDSSoeqh.dll (Rootkit.Agent) -> Delete on reboot.
C:\WINDOWS\system32\TDSSriqp.dll (Rootkit.Agent) -> Delete on reboot.
C:\WINDOWS\system32\TDSStkdv.log (Trojan.TDSS) -> Delete on reboot.
C:\WINDOWS\system32\drivers\TDSSmqxt.sys (Rootkit.Agent) -> Delete on reboot.
|
|
20.11.2008, 23:14
| #6 |
| | Kein Festplattenzugriff (RAW statt NTFS) und bediddle.com Malewarebytes hat Neustart durchgeführt. Chkdsk lief bestimmt fünf/sechsmal drüber (sah geil aus auf dem Bildschirm das Durchrattern war der blanke Wahnsinn  )Ergebnis Alle Festplatten wieder da (mit vollständigen Daten wies es scheint)!!!! Windows-Update geht ... Ich geh jetzt erst mal ins Bett und mach aber wohl dennoch morgen den Rest ... DANKE!!! Ihr seid die Besten (besonderen Dank natürlich an root für die Betreuung  ) Geändert von biX (20.11.2008 um 23:19 Uhr) |
|
21.11.2008, 10:40
| #7 |
| /// Winkelfunktion /// TB-Süch-Tiger™ |  Kein Festplattenzugriff (RAW statt NTFS) und bediddle.com Ja, acker auf jeden Fall noch den Rest ab. Du hattest da den TDSS-Rootkit im System  Bei Rootkits solltest Du generell überlgen, ob Du nicht besser neu aufsetzen solltest. Aber mit den anderen Tools kannst Du Dein System ja erstmal soweit bereinigen, dass es einigermaßen gut wieder benutzbar ist und Du dann danach gut vorbereitet formatieren und neu aufsetzen kannst.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
21.11.2008, 16:35
| #8 |
| | Kein Festplattenzugriff (RAW statt NTFS) und bediddle.com So, noch der Rest: 4. http://www.file-upload.net/download-1268219/Startup-Programs--SKLAVE--2008-11-21-15.44.57.zip.html 5. Code:
ATTFilter ComboFix 08-11-20.02 - VU 2008-11-21 16:09:56.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.1244 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\VU\Desktop\Antiviren\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\rasqervy.dll
c:\windows\sdfinacs.dll
c:\windows\sdfixwcs.dll
c:\windows\system32\av.dat
c:\windows\system32\c_438492.nls
c:\windows\system32\TDSSosvd.dat
c:\windows\wuasirvy.dll
.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_TDSSSERV.SYS
-------\Service_TDSSserv.sys
((((((((((((((((((((((( Dateien erstellt von 2008-10-21 bis 2008-11-21 ))))))))))))))))))))))))))))))
.
2008-11-21 15:58 . 2008-11-21 15:58 <DIR> d-------- c:\programme\CCleaner
2008-11-20 23:07 . 2008-10-16 14:08 27,672 --a------ c:\windows\system32\wuapi.dll.mui
2008-11-20 18:08 . 2008-11-20 18:08 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2008-11-20 18:08 . 2008-11-20 18:08 <DIR> d-------- c:\dokumente und einstellungen\VU\Anwendungsdaten\Malwarebytes
2008-11-20 18:08 . 2008-11-20 18:08 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-11-20 18:08 . 2008-10-22 16:10 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-11-20 18:08 . 2008-10-22 16:10 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-11-19 18:54 . 2008-11-19 18:54 <DIR> d-------- c:\programme\CDBurnerXP
2008-11-19 18:54 . 2008-11-19 18:54 <DIR> d-------- c:\dokumente und einstellungen\VU\Anwendungsdaten\Canneverbe_Limited
2008-11-13 20:27 . 2008-11-13 20:27 <DIR> d-------- c:\programme\Trend Micro
2008-11-13 17:54 . 2008-11-21 15:31 <DIR> d-------- c:\programme\Spybot - Search & Destroy
2008-11-13 17:54 . 2008-11-21 15:31 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-11-12 18:34 . 2008-11-12 18:36 <DIR> d-a------ c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2008-11-12 17:34 . 2008-09-04 18:15 1,106,944 -----c--- c:\windows\system32\dllcache\msxml3.dll
2008-11-12 17:34 . 2008-10-24 12:21 455,296 -----c--- c:\windows\system32\dllcache\mrxsmb.sys
2008-11-10 19:12 . 2008-11-10 19:12 <DIR> d-------- c:\dokumente und einstellungen\Auswahl\Anwendungsdaten\Thunderbird
2008-11-10 18:50 . 2007-09-06 19:05 <DIR> d--h----- c:\dokumente und einstellungen\Auswahl\Vorlagen
2008-11-10 18:50 . 2007-09-06 20:00 <DIR> dr------- c:\dokumente und einstellungen\Auswahl\Startmenü
2008-11-10 18:50 . 2007-09-06 20:00 <DIR> d--h----- c:\dokumente und einstellungen\Auswahl\Netzwerkumgebung
2008-11-10 18:50 . 2008-11-21 16:10 <DIR> d--h----- c:\dokumente und einstellungen\Auswahl\Lokale Einstellungen
2008-11-10 18:50 . 2008-11-10 18:50 <DIR> dr------- c:\dokumente und einstellungen\Auswahl\Favoriten
2008-11-10 18:50 . 2008-11-10 22:05 <DIR> dr------- c:\dokumente und einstellungen\Auswahl\Eigene Dateien
2008-11-10 18:50 . 2007-09-06 20:00 <DIR> d--h----- c:\dokumente und einstellungen\Auswahl\Druckumgebung
2008-11-10 18:50 . 2008-11-10 18:50 <DIR> d-------- c:\dokumente und einstellungen\Auswahl\Anwendungsdaten\PFU
2008-11-10 18:50 . 2008-11-10 18:50 <DIR> d-------- c:\dokumente und einstellungen\Auswahl\Anwendungsdaten\Logitech
2008-11-10 18:50 . 2008-11-10 20:15 <DIR> dr-h----- c:\dokumente und einstellungen\Auswahl\Anwendungsdaten
2008-11-10 18:50 . 2008-11-10 22:54 <DIR> d-------- c:\dokumente und einstellungen\Auswahl
2008-11-03 20:25 . 2008-11-03 20:25 <DIR> d-------- c:\dokumente und einstellungen\VU\Anwendungsdaten\GlarySoft
2008-11-01 11:55 . 2008-11-01 12:23 <DIR> d-------- C:\Sicherung
2008-10-26 15:18 . 2008-10-26 15:18 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Creative Labs
2008-10-26 15:14 . 2008-11-21 16:12 54,760 --a------ c:\windows\system32\BMXState-{00000001-00000000-00000002-00001102-00000005-00311102}.rfx
2008-10-26 15:14 . 2008-11-21 16:12 788 --a------ c:\windows\system32\DVCState-{00000001-00000000-00000002-00001102-00000005-00311102}.rfx
2008-10-26 15:12 . 2007-02-26 15:24 94,208 --a------ c:\windows\system32\cttele32.dll
2008-10-26 15:08 . 2008-07-15 01:08 24,089,151 --a------ c:\windows\system32\AppSetup.exe
2008-10-26 15:05 . 1999-12-13 01:01 44,032 --------- c:\windows\system32\CTSVCCDA.EXE
2008-10-26 15:05 . 1999-11-18 01:00 25,088 --------- c:\windows\system32\CTSVCCTL.EXE
2008-10-26 15:03 . 2008-10-26 15:03 <DIR> d-------- c:\programme\Gemeinsame Dateien\Creative Labs Shared
2008-10-26 13:22 . 2008-10-26 13:22 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\LogiShrd
2008-10-26 13:18 . 2008-10-26 13:19 <DIR> d-------- c:\programme\Gemeinsame Dateien\Logishrd
2008-10-26 13:18 . 2008-05-02 02:38 301,656 --a------ c:\windows\system32\BtCoreIf.dll
2008-10-26 11:19 . 2008-10-26 11:18 19,456 --a------ c:\windows\system\hidserv.dll
2008-10-24 23:14 . 2008-10-15 17:35 337,408 -----c--- c:\windows\system32\dllcache\netapi32.dll
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-21 15:10 --------- d-----w c:\dokumente und einstellungen\VU\Anwendungsdaten\Free Download Manager
2008-11-21 15:03 --------- d-----w c:\programme\Mozilla Thunderbird
2008-11-20 22:30 --------- d-----w c:\programme\Steam
2008-11-20 16:59 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater
2008-11-17 21:41 --------- d-----w c:\dokumente und einstellungen\VU\Anwendungsdaten\Azureus
2008-11-12 16:53 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-10-31 21:49 46,536 ----a-w c:\windows\system32\drivers\MiniIcpt.sys
2008-10-26 15:41 32,768 ----a-w c:\windows\inf\UpdateUSB.exe
2008-10-26 14:13 --------- d--h--w c:\programme\InstallShield Installation Information
2008-10-26 14:12 413,696 ----a-w c:\windows\system32\wrap_oal.dll
2008-10-26 14:12 110,592 ----a-w c:\windows\system32\OpenAL32.dll
2008-10-26 14:07 --------- d--h--w c:\programme\Creative Installation Information
2008-10-26 14:02 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Creative
2008-10-26 12:18 --------- d-----w c:\programme\Gemeinsame Dateien\Logitech
2008-10-26 10:04 --------- d-----w c:\programme\Logitech
2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys
2008-10-21 20:54 --------- d-----w c:\programme\Microsoft Silverlight
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll
2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll
2008-09-30 15:43 1,286,152 ----a-w c:\windows\system32\msxml4.dll
2008-09-15 15:24 1,846,528 ----a-w c:\windows\system32\win32k.sys
2008-09-10 01:13 1,307,648 ----a-w c:\windows\system32\msxml6.dll
2008-09-04 17:15 1,106,944 ----a-w c:\windows\system32\msxml3.dll
2008-08-26 07:57 826,368 ----a-w c:\windows\system32\wininet.dll
2008-05-20 21:32 32,768 --sha-w c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008052020080521\index.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AudioDrvEmulator"="c:\programme\Creative\Shared Files\Module Loader\DLLML.exe" [2005-11-04 49152]
"AsusStartupHelp"="c:\programme\ASUS\AASP\1.00.17\AsRunHelp.exe" [2006-11-14 363008]
"Google Desktop Search"="c:\programme\Google\Google Desktop Search\GoogleDesktop.exe" [2008-09-22 29744]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-05-03 13529088]
"AVKTray"="c:\programme\G DATA TotalCare\AVKTray\AVKTray.exe" [2008-02-11 603720]
"GDFirewallTray"="c:\programme\G DATA TotalCare\Firewall\GDFirewallTray.exe" [2008-02-07 1193648]
"CTHelper"="CTHELPER.EXE" [2006-12-12 c:\windows\system32\CtHelper.exe]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2008-02-29 c:\windows\KHALMNPR.Exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
G DATA Firewall Tray.lnk - c:\programme\G DATA TotalCare\Firewall\GDFirewallTray.exe [2008-01-10 1193648]
Logitech SetPoint.lnk - c:\programme\Logitech\SetPoint\SetPoint.exe [2008-10-26 805392]
REALTEK USB Wireless LAN Utility.lnk - c:\programme\REALTEK USB Wireless LAN Driver and Utility\RtWLan.exe [2008-05-21 790528]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2008-05-02 02:42 72208 c:\programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTWLgn.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"wave1"= c_438416.nls
"mixer1"= c_438416.nls
"wave2"= c_438416.nls
"mixer2"= c_438416.nls
"aux1"= c_438416.nls
"midi2"= c_438416.nls
"midi1"= c_438416.nls
"aux2"= c_438416.nls
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" /background
"Free Uploader Oe Integration"=c:\programme\Free Download Manager\FUM\fumoei.exe
"AdobeUpdater"=c:\programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe
"Sony Ericsson PC Suite"="c:\programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" /systray /nologon
"Steam"="c:\programme\steam\steam.exe" -silent
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"NvMediaCenter"=RUNDLL32.EXE c:\windows\system32\NvMcTray.dll,NvTaskbarInit
"VolPanel"="c:\programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe" /r
"Easy-PrintToolBox"=c:\programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
"Launch Ai Booster"="c:\programme\ASUS\AI Booster\OverClk.exe"
"CTxfiHlp"=CTXFIHLP.EXE
"SunJavaUpdateSched"="c:\programme\Java\jre1.5.0_14\bin\jusched.exe"
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
"Acrobat Assistant 7.0"="c:\programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
"nwiz"=nwiz.exe /install
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
"Launch LgDevAgt"="c:\programme\Logitech\GamePanel Software\LgDevAgt.exe"
"UpdReg"=c:\windows\UpdReg.EXE
"EzBackup Manager"=c:\programme\EZ-Backup\EZ-Backup Manager\ezbackupmanager.exe
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\TerraTec\\TerraTec Home Cinema\\CinergyDvrSetup.exe"=
"c:\\Programme\\TerraTec\\TerraTec Home Cinema\\tvtvSetup\\tvtv_Wizard.exe"=
"c:\\Programme\\TerraTec\\TerraTec Home Cinema\\CinergyDvr.exe"=
"c:\\Programme\\TerraTec\\TerraTec Home Cinema\\ChannelEditor\\CinergyDvrChannelEditor.exe"=
"c:\\Programme\\TerraTec\\TerraTec Home Cinema\\CinergyDvrHelper.exe"=
"c:\\Programme\\TerraTec\\TerraTec Home Cinema\\CinergyDvrUpdate\\CinergyDvrUp_date.exe"=
"c:\\Programme\\Sony Ericsson\\Update Service\\Update Service.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Steam\\SteamApps\\mail@****.de\\counter-strike source\\hl2.exe"=
"c:\\Programme\\Azureus\\Azureus.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"27030:TCP"= 27030:TCP:Steam
"27031:TCP"= 27031:TCP:Steam
"27032:TCP"= 27032:TCP:Steam
"27033:TCP"= 27033:TCP:Steam
"27034:TCP"= 27034:TCP:Steam
"27035:TCP"= 27035:TCP:Steam
"27036:TCP"= 27036:TCP:Steam
"27038:TCP"= 27038:TCP:steam
"27037:TCP"= 27037:TCP:Steam
"27039:TCP"= 27039:TCP:Steam
"1200:UDP"= 1200:UDP:Steam
"2700:UDP"= 2700:UDP:Steam
"2701:UDP"= 2701:UDP:steam
"2702:UDP"= 2702:UDP:steam
"2703:UDP"= 2703:UDP:steam
"2704:UDP"= 2704:UDP:steam
"2705:UDP"= 2705:UDP:steam
"2706:UDP"= 2706:UDP:steam
"2707:UDP"= 2707:UDP:steam
"2708:UDP"= 2708:UDP:steam
"2709:UDP"= 2709:UDP:steam
"2710:UDP"= 2710:UDP:steam
"2711:UDP"= 2711:UDP:steam
"2712:UDP"= 2712:UDP:steam
"2713:UDP"= 2713:UDP:steam
"2714:UDP"= 2714:UDP:steam
"2715:UDP"= 2715:UDP:steam
"51400:TCP"= 51400:TCP:Azureus
R0 GDNdisIc;GDNdisIc;c:\windows\system32\drivers\GDNdisIc.sys [2008-01-10 19328]
R0 hotcore3;hotcore3;c:\windows\system32\drivers\hotcore3.sys [2007-09-06 38448]
R2 AVKProxy;G DATA AntiVirus Proxy;"c:\programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe" [2008-01-10 718408]
R2 AVKService;AVK Service;c:\programme\G DATA TotalCare\AVK\AVKService.exe [2008-01-10 427592]
R2 AVKWCtl;AVK Wächter;c:\programme\G DATA TotalCare\AVK\AVKWCtl.exe [2008-01-10 1127816]
R2 CTAudSvcService;Creative Audio Service;c:\programme\Creative\Shared Files\CTAudSvc.exe [2008-10-26 425984]
R2 EAPPkt;Realtek EAPPkt Protocol;c:\windows\system32\DRIVERS\EAPPkt.sys [2008-05-21 38144]
R2 EZ-Backup Manager;EZ-Backup Manager;c:\programme\EZ-Backup\EZ-Backup Manager\EzBackup.exe [2007-09-07 1124352]
R2 GDTdiInterceptor;GDTdiInterceptor;\??\c:\windows\system32\drivers\GDTdiIcpt.sys [2008-01-10 41928]
R2 UxTuneUp;TuneUp Designerweiterung;c:\windows\System32\svchost.exe -k netsvcs [2006-02-28 14336]
R3 AVMBTPARALLEL;AVM Bluetooth Druckeranschluss;c:\windows\system32\DRIVERS\avmbtpar.sys [2007-07-03 61952]
R3 AVMBTSERIAL;AVM Bluetooth Kommunikationsanschluss;c:\windows\system32\DRIVERS\avmbtser.sys [2007-07-03 60928]
R3 AVMBTSND;AVM Bluetooth Audio Driver;c:\windows\system32\drivers\avmbtsnd.sys [2007-07-03 52352]
R3 AVMCOWAN;AVMCOWAN;c:\windows\system32\DRIVERS\AVMCOWAN.sys [2007-07-03 53632]
R3 BFHU_CFG;AVM BlueFRITZ!USB 2.0 HCI Config Switch Driver;c:\windows\system32\DRIVERS\bfhu_cfg.sys [2007-07-03 6656]
R3 CAPI_CIP;AVM Bluetooth CAPI-Controller;c:\windows\system32\DRIVERS\capi_cip.sys [2007-07-03 374144]
R3 GDFwSvc;G DATA Personal Firewall;c:\programme\G DATA TotalCare\Firewall\GDFwSvc.exe [2008-01-10 1496648]
R3 GDMnIcpt;GDMnIcpt;\??\c:\windows\system32\drivers\MiniIcpt.sys [2008-01-07 46536]
R3 ha20x2k;Creative 20X HAL Driver;c:\windows\system32\drivers\ha20x2k.sys [2007-10-07 1173016]
R3 HookCentre;HookCentre;\??\c:\windows\system32\drivers\HookCentre.sys [2008-01-10 32200]
R3 RTLWUSB;Realtek RTL8187 Wireless 802.11g 54Mbps USB 2.0 Network Adapter;c:\windows\system32\DRIVERS\RTL8187.sys [2007-09-08 185344]
S0 ctprrv;ctprrv;c:\windows\system32\drivers\dtetuqdx.sys []
S3 AVK Tuner Service;AVK Tuner Service;c:\programme\G DATA InternetSecurity TotalCare\AVKTuner\AVKTunerService.exe []
S3 bfubase;BlueFRITZ! USB;c:\windows\system32\DRIVERS\bfubase.sys [2007-07-03 882688]
S3 Creative Audio Engine Licensing Service;Creative Audio Engine Licensing Service;"c:\programme\Gemeinsame Dateien\Creative Labs Shared\Service\CTAELicensing.exe" [2008-10-26 79360]
S3 G DATA Tuner Service;G DATA Tuner Service;c:\programme\G DATA TotalCare\AVKTuner\AVKTunerService.exe [2008-01-10 796232]
S3 GoogleDesktopManager-061008-081103;Google Desktop Manager 5.7.806.10245;"c:\programme\Google\Google Desktop Search\GoogleDesktop.exe" [2007-09-30 29744]
S3 HRService;Haufe iDesk-Service in c:\programme\Haufe\iDesk\iDeskService\Zope;"c:\programme\Haufe\iDesk\iDeskService\iDeskService.exe" [2007-09-07 71208]
S3 MODRC;Cinergy DT USB XS Diversity IR Service;c:\windows\system32\DRIVERS\modrc.sys [2007-09-06 13056]
S3 NETBFPAN;AVM Bluetooth Netzwerkadapter;c:\windows\system32\DRIVERS\netbfpan.sys [2007-07-03 33354]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{12e5378c-5df4-11dc-aef1-9cb77883c00c}]
\Shell\AutoRun\command - G:\AutoRun.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{12e5378d-5df4-11dc-aef1-9cb77883c00c}]
\Shell\AutoRun\command - G:\AutoRun.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{15ab8f70-d815-11dc-b03b-001bfc9a3756}]
\Shell\AutoRun\command - G:\AutoRun.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{15ab8f71-d815-11dc-b03b-001bfc9a3756}]
\Shell\AutoRun\command - G:\AutoRun.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3f90ea34-c225-11dc-afff-404e57434401}]
\Shell\AutoRun\command - G:\AutoRun.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3f90ea36-c225-11dc-afff-404e57434401}]
\Shell\AutoRun\command - G:\AutoRun.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4f351b8e-2758-11dd-b0dc-0015af19d74c}]
\Shell\AutoRun\command - H:\AutoRun.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4f351b8f-2758-11dd-b0dc-0015af19d74c}]
\Shell\AutoRun\command - H:\AutoRun.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{68065fa4-c2bf-11dc-b003-404e57434401}]
\Shell\AutoRun\command - G:\AutoRun.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6c7f05be-5cb3-11dc-aee7-e4f5c18de784}]
\Shell\AutoRun\command - G:\AutoRun.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6c7f05c0-5cb3-11dc-aee7-e4f5c18de784}]
\Shell\AutoRun\command - G:\AutoRun.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a57188fc-c806-11dc-b017-028037150300}]
\Shell\AutoRun\command - G:\AutoRun.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a57188fd-c806-11dc-b017-028037150300}]
\Shell\AutoRun\command - G:\AutoRun.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a5718900-c806-11dc-b017-028037150300}]
\Shell\AutoRun\command - G:\AutoRun.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a5718901-c806-11dc-b017-404e57434401}]
\Shell\AutoRun\command - G:\AutoRun.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a5718902-c806-11dc-b017-404e57434401}]
\Shell\AutoRun\command - G:\AutoRun.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a5718906-c806-11dc-b017-404e57434401}]
\Shell\AutoRun\command - H:\AutoRun.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{da09f85e-c5c1-11dc-b010-404e57434401}]
\Shell\AutoRun\command - G:\AutoRun.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{da09f860-c5c1-11dc-b010-404e57434401}]
\Shell\AutoRun\command - G:\AutoRun.exe
.
Inhalt des "geplante Tasks" Ordners
2008-10-31 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2007\SystemOptimizer.exe [2007-04-26 20:08]
.
.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - c:\dokumente und einstellungen\VU\Anwendungsdaten\Mozilla\Firefox\Profiles\utf2lwh9.default\
FF -: plugin - c:\program files\Real\RealPlayer\Netscape6\nppl3260.dll
FF -: plugin - c:\program files\Real\RealPlayer\Netscape6\nprjplug.dll
FF -: plugin - c:\program files\Real\RealPlayer\Netscape6\nprpjplug.dll
FF -: plugin - c:\programme\Google\Google Updater\2.4.1368.5602\npCIDetect13.dll
FF -: plugin - c:\programme\Java\jre1.5.0_14\bin\NPJava11.dll
FF -: plugin - c:\programme\Java\jre1.5.0_14\bin\NPJava12.dll
FF -: plugin - c:\programme\Java\jre1.5.0_14\bin\NPJava13.dll
FF -: plugin - c:\programme\Java\jre1.5.0_14\bin\NPJava14.dll
FF -: plugin - c:\programme\Java\jre1.5.0_14\bin\NPJava32.dll
FF -: plugin - c:\programme\Java\jre1.5.0_14\bin\NPJPI150_14.dll
FF -: plugin - c:\programme\Java\jre1.5.0_14\bin\NPOJI610.dll
FF -: plugin - c:\programme\Microsoft Silverlight\2.0.31005.0\npctrl.1.0.30716.0.dll
FF -: plugin - c:\programme\Microsoft Silverlight\2.0.31005.0\npctrl.dll
FF -: plugin - c:\programme\Mozilla Firefox\plugins\npagent.dll
FF -: plugin - c:\programme\Mozilla Firefox\plugins\npGoogleGadgetPluginFirefoxWin.dll
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-21 16:14:25
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Bonjour\mDNSResponder.exe
c:\windows\system32\CTSVCCDA.EXE
c:\windows\system32\Crypserv.exe
c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe
c:\windows\system32\nvsvc32.exe
c:\programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-11-21 16:17:27 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-11-21 15:17:08
Vor Suchlauf: 18 Verzeichnis(se), 59.726.318.080 Bytes frei
Nach Suchlauf: 18 Verzeichnis(se), 59,697,146,368 Bytes frei
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect
324 --- E O F --- 2008-11-12 16:59:51
Code:
ATTFilter http://www.file-upload.net/download-1268305/listing.txt.html
|
|
21.11.2008, 16:39
| #9 |
| | Kein Festplattenzugriff (RAW statt NTFS) und bediddle.com 7. Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 16:34:12, on 21.11.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16735) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Creative\Shared Files\CTAudSvc.exe C:\Programme\G DATA TotalCare\AVK\AVKService.exe C:\Programme\G DATA TotalCare\AVK\AVKWCtl.exe C:\Programme\Bonjour\mDNSResponder.exe C:\WINDOWS\system32\CTsvcCDA.exe C:\WINDOWS\system32\crypserv.exe C:\Programme\EZ-Backup\EZ-Backup Manager\EzBackup.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe C:\Programme\G DATA TotalCare\Firewall\GDFwSvc.exe C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe C:\Programme\G DATA TotalCare\AVKTray\AVKTray.exe C:\Programme\G DATA TotalCare\Firewall\GDFirewallTray.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Logitech\SetPoint\SetPoint.exe C:\Programme\REALTEK USB Wireless LAN Driver and Utility\RtWLan.exe C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\explorer.exe C:\WINDOWS\system32\notepad.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Microsoft Office\Office12\WINWORD.EXE C:\Dokumente und Einstellungen\VU\Desktop\Antiviren\qlketzd.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA TotalCare\Webfilter\AVKWebIE.dll O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_14\bin\ssv.dll O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdm2.dll O3 - Toolbar: &TerraTec Home Cinema - {AD6E6555-FB2C-47D4-8339-3E2965509877} - C:\PROGRA~1\TerraTec\TERRAT~1\THCDES~1.DLL O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA TotalCare\Webfilter\AVKWebIE.dll O4 - HKLM\..\Run: [AudioDrvEmulator] "C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" -1 AudioDrvEmulator "C:\Programme\Creative\Shared Files\Module Loader\Audio Emulator\AudDrvEm.dll" O4 - HKLM\..\Run: [AsusStartupHelp] C:\Programme\ASUS\AASP\1.00.17\AsRunHelp.exe O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [AVKTray] "C:\Programme\G DATA TotalCare\AVKTray\AVKTray.exe" O4 - HKLM\..\Run: [GDFirewallTray] C:\Programme\G DATA TotalCare\Firewall\GDFirewallTray.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: G DATA Firewall Tray.lnk = ? O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe O4 - Global Startup: REALTEK USB Wireless LAN Utility.lnk = ? O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlall.htm O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlselected.htm O8 - Extra context menu item: Datei mit FDM herunterladen - file://C:\Programme\Free Download Manager\dllink.htm O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Videos mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlfvideo.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_14\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_14\bin\ssv.dll O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: Upload - {FD4E2FF8-973C-4A19-89BD-8E86B3CFCFE1} - C:\Programme\Free Download Manager\FUM\fumiebtn.dll O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - h*tp://www.creative.com/su/ocx/15030/CTSUEng.cab O16 - DPF: {0D41B8C5-2599-4893-8183-00195EC8D5F9} (asusTek_sysctrl Class) - h*tp://support.asus.com/common/asusTek_sys_ctrl.cab O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://w*w.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h*tp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O16 - DPF: {DF6504AC-3EFE-4287-B259-FB299B069C95} (WEBDE Fotoalbum Upload Control) - h*tps://img.web.de/v/mail/activex/fa_os_mms/upload_1141.cab O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://w*w.creative.com/softwareupdate/su2/ocx/15106/CTPID.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{933BB48B-1547-4977-980D-4BCE87FDE583}: NameServer = 134.169.9.150,145.253.2.11 O23 - Service: AVK Tuner Service - Unknown owner - C:\Programme\G DATA InternetSecurity TotalCare\AVKTuner\AVKTunerService.exe (file missing) O23 - Service: G DATA AntiVirus Proxy (AVKProxy) - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe O23 - Service: AVK Service (AVKService) - G DATA Software AG - C:\Programme\G DATA TotalCare\AVK\AVKService.exe O23 - Service: AVK Wächter (AVKWCtl) - G DATA Software AG - C:\Programme\G DATA TotalCare\AVK\AVKWCtl.exe O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: Creative Audio Engine Licensing Service - Creative Labs - C:\Programme\Gemeinsame Dateien\Creative Labs Shared\Service\CTAELicensing.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe O23 - Service: Crypkey License - CrypKey (Canada) Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe O23 - Service: Creative Audio Service (CTAudSvcService) - Creative Technology Ltd - C:\Programme\Creative\Shared Files\CTAudSvc.exe O23 - Service: EZ-Backup Manager - Unknown owner - C:\Programme\EZ-Backup\EZ-Backup Manager\EzBackup.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: G DATA Tuner Service - G DATA Software AG - C:\Programme\G DATA TotalCare\AVKTuner\AVKTunerService.exe O23 - Service: G DATA Personal Firewall (GDFwSvc) - G DATA Software AG - C:\Programme\G DATA TotalCare\Firewall\GDFwSvc.exe O23 - Service: Google Desktop Manager 5.7.806.10245 (GoogleDesktopManager-061008-081103) - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope (HRService) - Unknown owner - C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTServ.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O24 - Desktop Component 0: (no name) - file:///C:/DOKUME~1/VU/LOKALE~1/Temp/msohtmlclip1/01/clip_image002.jpg -- End of file - 12537 bytes |
|
21.11.2008, 16:51
| #10 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Kein Festplattenzugriff (RAW statt NTFS) und bediddle.com Sry aber freuen wir uns mal lieber nicht zu früh  Code:
ATTFilter [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"wave1"= c_438416.nls
 Denn die Datei hat die silentbanker-tyische Namensgebung und auch Endung .nls.Du solltest wirklich aus Sicherheitsgründen plattmachen neu aufsetzen. 
__________________ Logfiles bitte immer in CODE-Tags posten |
|
21.11.2008, 17:22
| #11 |
| | Kein Festplattenzugriff (RAW statt NTFS) und bediddle.com Den Silentbanker hatte G-Data interessanter Weise erkannt und in Quarantäne gestellt. Ich hab die dann gelöscht, da sie sich nicht desinfizieren liessen ... Das sind wohl die ganz harten? Diesen ganzen Mist neu aufsetzen? Ach neeeeeeeee!!! Die Misttreiber kriege ich nie wieder anständig installiert ... |
|
21.11.2008, 17:52
| #12 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Kein Festplattenzugriff (RAW statt NTFS) und bediddle.com Wenn Du weißt was der Silentbanker anstellt würdest Du lieber 10x Neuaufsetzen.... Silent Banker: Online-Bankraub in aller Stille - PC-WELT
__________________ Logfiles bitte immer in CODE-Tags posten |
|
21.11.2008, 18:11
| #13 |
| | Kein Festplattenzugriff (RAW statt NTFS) und bediddle.com Ja, hab schon verstanden... danke für den Hinweis  Wie formatiere/lösche ich eigentlich meine externe Festplatte sicher, auf der ich eine Kopie meiner Systemfestplatte gemacht hatte. Da müssten die Viren ja mit drauf sein. Wenn ich die jetzt über USB anschließe, könnten sich die Dinger da irgendwie mit "hoch booten"?  Danke nochmals root |
|
21.11.2008, 20:20
| #14 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Kein Festplattenzugriff (RAW statt NTFS) und bediddle.com Wie hast Du die Daten von der Systempartition auf die ext Platte kopiert? Hast Du dazu ein Imageprogramm wie z.B. Acronis benutzt? Wenn ja, ist die Systempartition in einer großen Datei abgebildet, selbst wenn da Viren drin sind, können die nichts ausrichten. Allerdings könnte die Platte anderweitig durch das System infiziert worden sein. Deswegen solltest Du zusehen, dass alle ausführbaren Inhalte von der ext. Platte gelöscht werden und falls vorhanden, auch eine evtl. von einem Schädling angelegte autorun.inf, die mögliche Schädlinge automatisch starten lässt, wenn man einen ext. Datenträger einlegt. U.a. deswegen deaktiviere ich immer die Autostartfunktion aller Laufwerke.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
21.11.2008, 22:50
| #15 |
| | Kein Festplattenzugriff (RAW statt NTFS) und bediddle.com Hi alle, hi root, die Dateien habe ich mit Partition Manager kopiert, also 1:1. Heisst, ich muss die Festplatte am Besten vollständig, sicher formatieren ... CD/DVD autorun hab ich deaktiviert. USB-Autorun hab ich deaktiviert. Am Besten formatieren mit Eraser, Secure Eraser oder ... ??? |
|
| Themen zu Kein Festplattenzugriff (RAW statt NTFS) und bediddle.com |
| antivirus, aufrufe, bho, bonjour, canon, computer, dateisystem, desktop, einstellung, ellung, fehlercode 1, festplatte, firefox, free download, g data, google, hijack, hijackthis, hilfe!!, hkus\s-1-5-18, home, internet, internet explorer, konvertieren, mozilla, mozilla thunderbird, object, pc läuft, pdf-datei, realtek, security, senden, software, system, usb, userinit.exe, windows, windows xp, windows xp sp3, wireless lan, wörter, xp sp 3, xp sp3 |
Linear-Darstellung
