| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Zugriff auf Festplatten nicht möglichWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
19.02.2009, 21:18
| #1 |
| |  Zugriff auf Festplatten nicht möglich Hallo zusammen  ,ich habe folgendes Problem, wenn ich den Arbeitsplatz öffne, um auf die Festplattenpartition zu greifen zu können, werden die Partitionen bei Doppelklick nicht geöffnet. Stattdessen erscheint eine Fehlermeldung: "H:\ Zugriff verweigert." Bei einem Rechtsklick auf die entsprechenden Partition und dem Befehl "öffnen" sowie der Auswahl im Verzeichnisbaum habe ich Zugriff auf die Festplatte. Kann es sich hierbei um einen Virus/Trojaner oder ein Wurm oder ähnliches handeln? Anbei ein HijackThis log Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:50:14, on 19.02.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16791) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe C:\WINDOWS\system32\gtdetectsc.exe C:\WINDOWS\system32\GtFlashSwitch.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe C:\WINDOWS\System32\PAStiSvc.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe C:\PROGRA~1\AVG\AVG8\avgrsx.exe C:\PROGRA~1\AVG\AVG8\avgnsx.exe C:\WINDOWS\Mixer.exe D:\KYE\ERGOME~1\SyTray.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0T1.EXE C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe C:\Programme\Java\jre6\bin\jusched.exe C:\PROGRA~1\AVG\AVG8\avgtray.exe C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe C:\WINDOWS\system32\ctfmon.exe d:\Logitech\MouseWare\system\em_exec.exe C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe C:\Dokumente und Einstellungen\buv01\Desktop\vcleaner.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\AVG\AVG8\avgui.exe C:\Programme\AVG\AVG8\avgscanx.exe C:\Programme\AVG\AVG8\avgcsrvx.exe C:\Programme\Trillian\trillian.exe C:\Dokumente und Einstellungen\buv01\Desktop\HiJackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [ErgoMedia] d:\KYE\ERGOME~1\SyTray.exe O4 - HKLM\..\Run: [EPSON Stylus C46 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0T1.EXE /P23 "EPSON Stylus C46 Series" /O6 "USB001" /M "Stylus C46" O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun O4 - HKLM\..\Run: [ISUSPM Startup] "c:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [MobileConnect] %programfiles%\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe /silent O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [LexwareInfoService] C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe /autostart O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Microsoft Office.lnk = D:\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\Programme\LeechGet 2004\\Wizard.html O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\Programme\LeechGet 2004\\AddUrl.html O8 - Extra context menu item: Mit LeechGet parsen - file://C:\Programme\LeechGet 2004\\Parser.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\MICROS~1\Office10\EXCEL.EXE/3000 O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{FE70FF4B-003C-4628-866B-238FBD41CA14}: NameServer = 139.7.30.125 139.7.30.126 O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG8\avgpp.dll O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe O23 - Service: GtDetectSc Service (gtdetectsc) - OptionNV - C:\WINDOWS\system32\gtdetectsc.exe O23 - Service: GtFlashSwitch Service (GtFlashSwitch) - OptionNV - C:\WINDOWS\system32\GtFlashSwitch.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe O23 - Service: Vodafone Mobile Connect Service (VMCService) - Vodafone - C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe |
|
20.02.2009, 07:55
| #2 |
  | Zugriff auf Festplatten nicht möglich Hi,
__________________bitte alle USB-Sticks/Festplatten die seid der Infektion angeschlossen waren an den Rechner hängen und Combofix laufen lassen: Combofix Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen. Weitere Anleitung unter:http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird Hinweis: unter : C:\WINDOWS\erdnt wird ein Backup angelegt. Alternative downloads: http://subs.geekstogo.com/ComboFix.exe Danach bitte noch ein Lauf mit MAM: Malwarebytes Antimalware (MAM). Anleitung&Download hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html Fullscan und alles bereinigen lassen! Log posten. Alternativer Download: http://filepony.de/download-malwarebytes_anti_malware/, http://www.gt500.org/malwarebytes/mbam.jsp chris
__________________ |
|
20.02.2009, 09:59
| #3 |
| | Zugriff auf Festplatten nicht möglich Danke...
__________________werde es heut Abend nach der Arbeit gleich machen |
|
22.02.2009, 12:10
| #4 |
| | Zugriff auf Festplatten nicht möglich Hier nun der Log von mbam. Code:
ATTFilter Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1782
Windows 5.1.2600 Service Pack 2
21.02.2009 05:51:32
mbam-log-2009-02-21 (05-51-09).txt
Scan-Methode: Vollständiger Scan (C:\|D:\|G:\|H:\|)
Durchsuchte Objekte: 168337
Laufzeit: 1 hour(s), 54 minute(s), 50 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> No action taken.
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
C:\Programme\ICQToolbar\toolbaru.dll (Adware.BHO) -> No action taken.
|
|
22.02.2009, 15:05
| #5 |
| | Zugriff auf Festplatten nicht möglich Hi, der Log von Combofix? Hast Du alle Funde von MAM bereinigen lassen? chris
__________________  Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden  ) |
|
26.02.2009, 21:19
| #6 |
| | Zugriff auf Festplatten nicht möglich oh den hab i vergessen rein zu stellen^^ werde ich gleich mal nachholen. Und ja hatte alles was er gefunden hatte gelöscht Code:
ATTFilter ComboFix 09-02-19.01 - buv01 2009-02-20 20:41:13.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.49.1031.18.511.121 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\buv01\Desktop\clean\ComboFix.exe
AV: AVG Anti-Virus Free *On-access scanning enabled* (Updated)
* Neuer Wiederherstellungspunkt wurde erstellt
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\autorun.inf
c:\recycled\Recycled
c:\windows\jestertb.dll
D:\Autorun.inf
G:\Autorun.inf
H:\Autorun.inf
M:\autorun.inf
.
((((((((((((((((((((((( Dateien erstellt von 2009-01-20 bis 2009-02-20 ))))))))))))))))))))))))))))))
.
2009-02-17 19:55 . 2009-02-17 19:55 268 --ah----- C:\sqmdata01.sqm
2009-02-17 19:55 . 2009-02-17 19:55 244 --ah----- C:\sqmnoopt01.sqm
2009-02-17 18:58 . 2009-02-17 18:58 268 --ah----- C:\sqmdata00.sqm
2009-02-17 18:58 . 2009-02-17 18:58 244 --ah----- C:\sqmnoopt00.sqm
2009-02-06 21:07 . 2009-02-19 20:54 <DIR> d--h----- C:\$AVG8.VAULT$
2009-02-06 21:05 . 2009-02-20 13:35 <DIR> d-------- c:\windows\system32\drivers\Avg
2009-02-06 21:05 . 2009-02-06 21:05 <DIR> d-------- c:\programme\AVG
2009-02-06 21:05 . 2009-02-07 18:01 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\avg8
2009-02-06 21:05 . 2009-02-06 21:05 325,128 --a------ c:\windows\system32\drivers\avgldx86.sys
2009-02-06 21:05 . 2009-02-06 21:05 107,272 --a------ c:\windows\system32\drivers\avgtdix.sys
2009-02-06 21:05 . 2009-02-06 21:05 10,520 --a------ c:\windows\system32\avgrsstx.dll
2009-01-30 20:52 . 2009-02-20 20:02 54,156 --ah----- c:\windows\QTFont.qfn
2009-01-30 20:52 . 2009-01-30 20:52 1,409 --a------ c:\windows\QTFont.for
2009-01-23 20:35 . 2009-01-23 20:35 <DIR> d-------- c:\dokumente und einstellungen\buv01\Anwendungsdaten\DataDesign
2009-01-23 20:06 . 2009-01-23 20:06 <DIR> d-------- c:\dokumente und einstellungen\buv01\Anwendungsdaten\InstallShield
2009-01-23 20:00 . 2009-01-23 20:00 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\BTrieve
2009-01-23 19:59 . 2009-01-23 20:10 <DIR> d-------- c:\programme\Lexware
2009-01-23 19:59 . 2009-01-23 19:59 <DIR> d-------- c:\programme\Gemeinsame Dateien\DataDesign
2009-01-23 19:57 . 2009-01-23 19:57 <DIR> d-------- c:\dokumente und einstellungen\buv01\Anwendungsdaten\Lexware
2009-01-23 19:56 . 2009-01-23 20:11 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lexware
2009-01-23 19:56 . 2006-06-26 15:58 1,929,216 --a------ c:\windows\system32\cdintf250.dll
2009-01-23 19:51 . 2009-01-23 20:11 <DIR> d-------- c:\programme\Gemeinsame Dateien\Lexware
2009-01-22 20:38 . 2009-01-22 20:38 <DIR> d-------- c:\windows\Sun
2009-01-22 11:10 . 2009-01-22 11:09 410,984 --a------ c:\windows\system32\deploytk.dll
2009-01-22 11:10 . 2009-01-22 11:09 73,728 --a------ c:\windows\system32\javacpl.cpl
2009-01-22 11:09 . 2009-01-22 11:09 <DIR> d-------- c:\programme\Java
2009-01-20 19:50 . 2009-02-19 09:36 <DIR> d-------- c:\windows\system32\CatRoot_bak
2009-01-20 19:21 . 2009-02-20 20:41 <DIR> dr-hs---- C:\Recycled
2009-01-20 17:08 . 2009-01-20 17:08 <DIR> d-------- c:\programme\Vodafone
2009-01-20 17:08 . 2009-01-20 17:08 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Vodafone
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-20 19:35 --------- d-----w c:\programme\Trillian
2009-02-19 20:08 --------- d-----w c:\programme\Mozilla Thunderbird
2009-02-19 19:25 --------- d--h--w c:\programme\InstallShield Installation Information
2009-02-17 09:06 --------- d-----w c:\dokumente und einstellungen\buv01\Anwendungsdaten\teamspeak2
2009-02-04 18:38 --------- d-----w c:\dokumente und einstellungen\buv01\Anwendungsdaten\gtk-2.0
2009-01-19 18:13 --------- d-----w c:\dokumente und einstellungen\buv01\Anwendungsdaten\Corel
2009-01-19 16:13 --------- d-----w c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Vodafone
2009-01-19 16:13 --------- d-----w c:\dokumente und einstellungen\buv01\Anwendungsdaten\Vodafone
2009-01-17 11:51 --------- d-----w c:\programme\Gemeinsame Dateien\DirectX
2009-01-17 11:50 --------- d-----w c:\dokumente und einstellungen\buv01\Anwendungsdaten\Wildlife Park 2
2008-12-29 18:50 --------- d-----w c:\programme\Microids
2008-12-29 18:33 --------- d-----w c:\programme\Gemeinsame Dateien\Corel
2008-12-21 18:49 --------- d-----w c:\programme\QuickTime
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe" [2007-09-20 202024]
"MsnMsgr"="c:\programme\MSN Messenger\MsnMsgr.Exe" [2007-01-19 5674352]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NBKeyScan"="c:\programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2007-09-20 1836328]
"ErgoMedia"="d:\kye\ERGOME~1\SyTray.exe" [2005-06-28 1855488]
"EPSON Stylus C46 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_S4I0T1.EXE" [2004-01-13 99840]
"RemoteControl"="c:\programme\CyberLink\PowerDVD\PDVDServ.exe" [2003-10-31 32768]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2008-07-02 155648]
"StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 61440]
"ISUSScheduler"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2006-09-11 86960]
"MobileConnect"="c:\programme\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe" [2008-03-13 2060288]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-01-22 136600]
"LexwareInfoService"="c:\programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe" [2007-09-25 532776]
"AVG8_TRAY"="c:\progra~1\AVG\AVG8\avgtray.exe" [2009-02-06 1601304]
"C-Media Mixer"="Mixer.exe" [2001-08-17 c:\windows\mixer.exe]
"Logitech Utility"="Logi_MwX.Exe" [2003-12-11 c:\windows\LOGI_MWX.EXE]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]
2009-02-06 21:05 10520 c:\windows\system32\avgrsstx.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.JPEG"= JPEGCODE.DLL
"VIDC.MPEG"= JPEGCODE.DLL
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Digimax Viewer 2.1.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Digimax Viewer 2.1.lnk
backup=c:\windows\pss\Digimax Viewer 2.1.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
--a------ 2004-08-04 13:00 15360 c:\windows\system32\ctfmon.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ]
--a------ 2008-09-01 16:08 173304 d:\icq6\ICQ.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2007-03-01 15:57 153136 c:\programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"d:\\ICQ6\\ICQ.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"c:\\Programme\\MSN Messenger\\livecall.exe"=
"h:\\Empire Earth\\Empire Earth.exe"=
"c:\\Programme\\Nero\\Nero8\\Nero ShowTime\\ShowTime.exe"=
"c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\SAGENT4.EXE"=
"h:\\Age of Empires II\\EMPIRES2.EXE"=
"h:\\Age of Empires II\\age2_x1\\age2_x1.exe"=
"h:\\Quake3_OSP\\quake3.exe"=
"c:\\Programme\\Trillian\\trillian.exe"=
"h:\\Sid Meier's Civilization 4\\Civilization4.exe"=
"c:\\Programme\\AVG\\AVG8\\avgupd.exe"=
"c:\\Programme\\AVG\\AVG8\\avgnsx.exe"=
R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [2009-02-06 325128]
R1 AvgTdiX;AVG Free8 Network Redirector;c:\windows\system32\drivers\avgtdix.sys [2009-02-06 107272]
R2 avg8wd;AVG Free8 WatchDog;c:\progra~1\AVG\AVG8\avgwdsvc.exe [2009-02-06 298264]
R2 gtdetectsc;GtDetectSc Service;c:\windows\system32\GtDetectsc.exe [2008-08-20 123208]
R2 GtFlashSwitch;GtFlashSwitch Service;c:\windows\system32\GtFlashSwitch.exe [2008-08-20 123208]
R2 VMCService;Vodafone Mobile Connect Service;c:\programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe [2008-03-13 24576]
R3 ham50;Creatix V.90 HAM Data Fax Modem;c:\windows\system32\drivers\CTXH51.sys [2007-11-16 454815]
R3 YiRuanUSB;YiRuan device driver for 4d;c:\windows\system32\drivers\yrtumdriver.sys [2007-11-16 5760]
S3 PAC207;Trust WB-1400T Webcam;c:\windows\system32\drivers\PFC027.sys [2005-02-24 162176]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\K]
\Shell\AutoRun\command - K:\setup.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0050c742-e860-11dd-8890-0010dc12cac4}]
\Shell\AutoRun\command - K:\setup.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0050c745-e860-11dd-8890-0010dc12cac4}]
\Shell\AutoRun\command - K:\setup.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{09d0c190-e70d-11dd-8886-0010dc12cac4}]
\Shell\AutoRun\command - K:\setup.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{35b298e0-e7a5-11dd-888d-0010dc12cac4}]
\Shell\AutoRun\command - K:\setup.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ba012bc6-e709-11dd-8884-0010dc12cac4}]
\Shell\AutoRun\command - K:\setup.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c0e4864a-e648-11dd-9a5d-0010dc12cac4}]
\Shell\AutoRun\command - K:\setup.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d305b438-e70f-11dd-8887-0010dc12cac4}]
\Shell\AutoRun\command - K:\setup.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f2748e41-e642-11dd-a21d-0010dc12cac4}]
\Shell\AutoRun\command - K:\setup.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f27490ec-e642-11dd-a21d-0010dc12cac4}]
\Shell\AutoRun\command - K:\setup.exe
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
HKLM-Run-ISUSPM Startup - c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://start.icq.com/
uInternet Connection Wizard,ShellNext = iexplore
IE: Mit dem LeechGet Wizard laden - file://c:\programme\LeechGet 2004\\Wizard.html
IE: Mit LeechGet herunterladen - file://c:\programme\LeechGet 2004\\AddUrl.html
IE: Mit LeechGet parsen - file://c:\programme\LeechGet 2004\\Parser.html
IE: Nach Microsoft &Excel exportieren - d:\micros~1\Office10\EXCEL.EXE/3000
TCP: {FE70FF4B-003C-4628-866B-238FBD41CA14} = 139.7.30.125 139.7.30.126
FF - ProfilePath - c:\dokumente und einstellungen\buv01\Anwendungsdaten\Mozilla\Firefox\Profiles\5afr88pr.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.arthoria.de/index.php?p=login
FF - component: c:\dokumente und einstellungen\buv01\Anwendungsdaten\Mozilla\Firefox\Profiles\5afr88pr.default\extensions\{62760FD6-B943-48C9-AB09-F99C6FE96088}\platform\WINNT\components\EbayAccessService.dll
FF - component: c:\dokumente und einstellungen\buv01\Anwendungsdaten\Mozilla\Firefox\Profiles\5afr88pr.default\extensions\{62760FD6-B943-48C9-AB09-F99C6FE96088}\platform\WINNT\components\EbayFormSubmitObserver.dll
FF - component: c:\programme\AVG\AVG8\Firefox\components\avgssff.dll
---- FIREFOX Richtlinien ----
FF - user.js: yahoo.homepage.dontask - true.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-20 20:46:36
Windows 5.1.2600 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_USERS\S-1-5-21-1645522239-1177238915-725345543-1004\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:92,ae,63,b7,33,34,a7,38,7a,e2,71,a2,3a,9f,ec,79,7b,a9,a0,64,03,0f,0b,
d1,31,ce,f2,60,a3,8c,29,f4,11,a5,39,e2,0b,53,17,a2,b9,e3,38,e8,04,cb,09,88,\
"??"=hex:38,4e,1d,29,87,19,d0,19,e6,b2,20,12,7a,bc,f8,eb
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'winlogon.exe'(648)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2009-02-20 20:54:01
ComboFix-quarantined-files.txt 2009-02-20 19:52:35
Vor Suchlauf: 6.131.867.648 Bytes frei
Nach Suchlauf: 7,367,110,656 Bytes frei
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect
204 --- E O F --- 2009-02-19 06:15:31
|
|
27.02.2009, 07:29
| #7 |
| | Zugriff auf Festplatten nicht möglich Hi, da sind noch zwei suspekte Sachen: Bitte folgende Files prüfen: Dateien Online überprüfen lassen:
Code:
ATTFilter c:\windows\QTFont.for
K:\setup.exe
Also: Anleitung Avenger (by swandog46) 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:  2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code:
ATTFilter Files to delete:
c:\windows\QTFont.for
Folders to delete:
C:\Recycled
4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board. chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
| Themen zu Zugriff auf Festplatten nicht möglich |
| adobe, avg, avg free, bho, desktop, einstellungen, excel, explorer, fehlermeldung, festplatte, firefox, handel, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, logfile, mozilla, nicht geöffnet., nicht möglich, object, pdf, plug-in, problem, software, system, usb, verzeichnisbaum, virus/trojaner, vodafone, windows, windows xp, wurm |
Linear-Darstellung
