Abend,
Habe ein Problem Mit diesem Trojaner "Trojan.Win32.TDSS.qdw"
Fehler meldung bei öffnung derC:\ oder E:\ platte:RECYCLER\S-5-1-51-100008667-100013630-10016260-2895.com
Habe mein rechner neu gemacht und ein backup auf die E:\ platte gemacht.
So rechner ging wieder einwandfrei doch mit der externen e festplatte ging es immer noch nicht und nu habe ich eine Datei von der platte geholt und jetzt habe ich wieder diesen Anfangs fehler mit der C:\ platte.
Gibt es einen Filter von Platte zum laptop??
Habe mit Anti Malware diesen oben genannten trojan entfehrnt.
Die E:\ zu formatieren wäre bestimmt das beste doch 250 gb muss ich sicher stellen und wie kann ich das am besten machen ohne auf Meine Neue D:\ platte diesen selben virus zu bekommen??E:\platte ist gescannt mit Kaspersky und Adaware nix gefunden!!!!
Bitte um hilfe

Lade dir Combofix runter.

Bevor du es startest schließe alle offenen Programme und deaktiviere alle Anti-Virenprogramme und Anti-Spywareprogramme.

Schließe auch alle externen Laufwerke an. Auch USB-Stiks und Cams.

Combofix verhindert übrigens die Autostart Funktion.

Dort kannst du genaueres nachlesen: Wie Combofix benutzt wird (Bleepingcomputer.com)

Cool danke scheint funktioniert zu haben.Echt Klasse.Hier noch die auswertung.

ComboFix 09-03-04.01 - Shakurmen 2009-03-05 23:24:17.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.511.232 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Shakurmen\Desktop\ComboFix.exe
AV: Kaspersky Anti-Virus *On-access scanning disabled* (Updated)
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\autorun.inf
c:\windows\system32\gaopdxcounter
E:\Autorun.inf

.
((((((((((((((((((((((( Dateien erstellt von 2009-02-05 bis 2009-03-05 ))))))))))))))))))))))))))))))
.

2009-03-05 09:00 . 2009-03-05 09:00 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2009-03-05 08:59 . 2009-03-03 23:51 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Vorlagen
2009-03-05 08:59 . 2009-03-03 23:41 <DIR> dr------- c:\dokumente und einstellungen\Administrator\Startmenü
2009-03-05 08:59 . 2009-03-03 23:41 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Netzwerkumgebung
2009-03-05 08:59 . 2009-03-05 23:25 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen
2009-03-05 08:59 . 2009-03-03 23:41 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Favoriten
2009-03-05 08:59 . 2009-03-03 23:41 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Druckumgebung
2009-03-05 08:59 . 2009-03-05 09:00 <DIR> dr-h----- c:\dokumente und einstellungen\Administrator\Anwendungsdaten
2009-03-05 08:59 . 2009-03-05 08:59 <DIR> d-------- c:\dokumente und einstellungen\Administrator
2009-03-05 00:24 . 2009-03-05 00:24 <DIR> d-------- c:\programme\Trend Micro
2009-03-05 00:23 . 2009-03-05 00:23 <DIR> d-------- c:\dokumente und einstellungen\Shakurmen\Anwendungsdaten\Malwarebytes
2009-03-05 00:23 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-03-05 00:22 . 2009-03-05 00:23 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-03-05 00:22 . 2009-03-05 00:22 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-03-05 00:22 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-03-05 00:10 . 2009-03-05 00:24 <DIR> d-------- c:\dokumente und einstellungen\Shakurmen\Anwendungsdaten\Roxio
2009-03-05 00:04 . 2009-03-05 00:04 <DIR> d-------- c:\windows\system32\LogFiles
2009-03-05 00:04 . 2009-03-05 00:06 <DIR> d-------- c:\windows\system32\drivers\UMDF
2009-03-05 00:03 . 2009-03-05 00:03 <DIR> d-------- c:\programme\Windows Media Connect 2
2009-03-04 23:41 . 2009-03-04 23:41 <DIR> d-------- c:\programme\OpenOffice.org 3
2009-03-04 23:38 . 2009-03-04 23:38 <DIR> d-------- c:\programme\Gemeinsame Dateien\Roxio Shared
2009-03-04 23:38 . 2009-03-04 23:38 <DIR> d-------- c:\programme\Gemeinsame Dateien\Napster Shared
2009-03-04 23:37 . 2009-03-05 00:10 <DIR> d-------- c:\programme\Napster
2009-03-04 23:37 . 2009-03-04 23:37 <DIR> d-------- c:\dokumente und einstellungen\Shakurmen\Anwendungsdaten\InstallShield
2009-03-04 23:37 . 2009-03-05 00:10 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Napster
2009-03-04 10:49 . 2009-03-04 10:49 <DIR> d-------- c:\programme\Opera
2009-03-04 10:25 . 2006-10-26 19:56 32,592 --a------ c:\windows\system32\msonpmon.dll
2009-03-04 10:23 . 2009-03-04 10:23 <DIR> d-------- c:\programme\MSBuild
2009-03-04 10:23 . 2009-03-04 10:23 <DIR> d-------- c:\programme\Microsoft Works
2009-03-04 10:21 . 2009-03-04 10:21 <DIR> d-------- c:\programme\Microsoft.NET
2009-03-04 10:17 . 2009-03-04 10:17 <DIR> d-------- c:\programme\Microsoft Visual Studio 8
2009-03-04 10:16 . 2009-03-04 10:22 <DIR> d-------- c:\windows\SHELLNEW
2009-03-04 10:16 . 2009-03-04 10:26 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2009-03-04 10:15 . 2009-03-04 10:15 <DIR> dr-h----- C:\MSOCache
2009-03-04 10:01 . 2009-03-04 10:01 <DIR> d-------- c:\programme\DivX
2009-03-04 10:01 . 2008-11-06 17:37 129,784 --------- c:\windows\system32\pxafs.dll
2009-03-04 03:02 . 2009-03-04 03:02 <DIR> d-------- c:\windows\system32\de-de
2009-03-04 03:02 . 2009-03-04 03:02 <DIR> d-------- c:\windows\system32\de
2009-03-04 03:02 . 2009-03-04 03:02 <DIR> d-------- c:\windows\system32\bits
2009-03-04 03:02 . 2009-03-04 03:02 <DIR> d-------- c:\windows\l2schemas
2009-03-04 02:58 . 2009-03-04 03:02 <DIR> d-------- c:\windows\ServicePackFiles
2009-03-04 02:20 . 2009-03-04 02:20 <DIR> d---s---- c:\dokumente und einstellungen\Shakurmen\UserData
2009-03-04 02:06 . 2009-03-03 23:51 <DIR> d--h----- c:\dokumente und einstellungen\Shakur\Vorlagen
2009-03-04 02:06 . 2009-03-03 23:41 <DIR> dr------- c:\dokumente und einstellungen\Shakur\Startmenü
2009-03-04 02:06 . 2009-03-03 23:41 <DIR> d--h----- c:\dokumente und einstellungen\Shakur\Netzwerkumgebung
2009-03-04 02:06 . 2009-03-05 23:25 <DIR> d--h----- c:\dokumente und einstellungen\Shakur\Lokale Einstellungen
2009-03-04 02:06 . 2009-03-04 02:06 <DIR> dr------- c:\dokumente und einstellungen\Shakur\Favoriten
2009-03-04 02:06 . 2009-03-04 02:06 <DIR> dr------- c:\dokumente und einstellungen\Shakur\Eigene Dateien
2009-03-04 02:06 . 2009-03-03 23:41 <DIR> d--h----- c:\dokumente und einstellungen\Shakur\Druckumgebung
2009-03-04 02:06 . 2009-03-04 02:07 <DIR> dr-h----- c:\dokumente und einstellungen\Shakur\Anwendungsdaten
2009-03-04 02:06 . 2009-03-04 02:06 <DIR> d-------- c:\dokumente und einstellungen\Shakur
2009-03-04 01:52 . 2009-03-04 01:52 0 --a------ c:\windows\nsreg.dat
2009-03-04 01:46 . 2004-08-03 22:29 1,897,408 --------- c:\windows\system32\drivers\nv4_mini.sys
2009-03-04 01:45 . 2001-08-23 13:00 381,425 -----c--- c:\windows\system32\dllcache\copycd.wmv
2009-03-04 01:45 . 2004-07-17 10:32 184,109 -----c--- c:\windows\system32\dllcache\compact.wmz
2009-03-04 01:45 . 2004-07-17 22:55 129,045 --------- c:\windows\system32\drivers\cxthsfs2.cty
2009-03-04 01:45 . 2001-08-23 13:00 9,585 -----c--- c:\windows\system32\dllcache\controls.css
2009-03-04 01:45 . 2001-08-23 13:00 8,298 -----c--- c:\windows\system32\dllcache\contents.htm
2009-03-04 01:45 . 2001-08-23 13:00 6,878 -----c--- c:\windows\system32\dllcache\controls.js
2009-03-04 01:45 . 2001-08-23 13:00 999 -----c--- c:\windows\system32\dllcache\bktrh.gif
2009-03-04 01:45 . 2001-08-23 13:00 773 -----c--- c:\windows\system32\dllcache\cnth.gif
2009-03-04 01:45 . 2001-08-23 13:00 773 -----c--- c:\windows\system32\dllcache\cnt.gif
2009-03-04 01:45 . 2001-08-23 13:00 772 -----c--- c:\windows\system32\dllcache\cntd.gif
2009-03-04 01:45 . 2001-08-23 13:00 760 -----c--- c:\windows\system32\dllcache\cloapph.gif
2009-03-04 01:45 . 2001-08-23 13:00 717 -----c--- c:\windows\system32\dllcache\cloapp.gif
2009-03-04 01:38 . 2009-03-04 01:38 <DIR> d-------- c:\programme\D-Link AirPlus
2009-03-04 01:32 . 2009-03-04 01:34 <DIR> d-------- C:\UpdatePack-Files
2009-03-04 01:28 . 2009-03-04 01:28 <DIR> d-------- c:\dokumente und einstellungen\Shakurmen\Anwendungsdaten\ATI
2009-03-04 01:07 . 2008-12-12 18:01 3,088,896 -----c--- c:\windows\system32\dllcache\mshtml.dll
2009-03-04 01:07 . 2008-09-15 16:24 1,846,528 -----c--- c:\windows\system32\dllcache\win32k.sys
2009-03-04 01:07 . 2008-10-16 02:00 1,499,136 -----c--- c:\windows\system32\dllcache\shdocvw.dll
2009-03-04 01:07 . 2008-10-16 02:00 671,744 -----c--- c:\windows\system32\dllcache\wininet.dll
2009-03-04 01:07 . 2008-10-16 02:00 620,544 -----c--- c:\windows\system32\dllcache\urlmon.dll
2009-03-04 01:07 . 2008-06-14 18:32 273,024 --------- c:\windows\system32\drivers\bthport.sys
2009-03-04 01:07 . 2008-06-14 18:32 273,024 -----c--- c:\windows\system32\dllcache\bthport.sys
2009-03-04 01:01 . 2008-08-14 14:19 2,191,488 -----c--- c:\windows\system32\dllcache\ntoskrnl.exe
2009-03-04 01:01 . 2008-08-14 14:19 2,147,840 -----c--- c:\windows\system32\dllcache\ntkrnlmp.exe
2009-03-04 01:01 . 2008-08-14 14:19 2,068,352 -----c--- c:\windows\system32\dllcache\ntkrnlpa.exe
2009-03-04 01:01 . 2008-08-14 14:19 2,026,496 -----c--- c:\windows\system32\dllcache\ntkrpamp.exe
2009-03-04 01:01 . 2008-04-11 20:04 691,712 -----c--- c:\windows\system32\dllcache\inetcomm.dll
2009-03-04 01:01 . 2008-10-24 12:21 455,296 -----c--- c:\windows\system32\dllcache\mrxsmb.sys
2009-03-04 01:01 . 2008-12-11 11:57 333,952 -----c--- c:\windows\system32\dllcache\srv.sys
2009-03-04 01:01 . 2008-05-08 15:02 203,136 -----c--- c:\windows\system32\dllcache\rmcast.sys
2009-03-04 01:00 . 2008-10-15 17:35 337,408 -----c--- c:\windows\system32\dllcache\netapi32.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-05 22:30 942,624 --sha-w c:\windows\system32\drivers\fidbox.dat
2009-03-05 22:28 262,176 --sha-w c:\windows\system32\drivers\fidbox2.dat
2009-03-05 22:26 8,416 --sha-w c:\windows\system32\drivers\fidbox.idx
2009-03-05 22:26 1,976 --sha-w c:\windows\system32\drivers\fidbox2.idx
2009-03-05 21:23 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2009-03-04 22:37 --------- d--h--w c:\programme\InstallShield Installation Information
2009-03-04 00:24 --------- d-----w c:\programme\ATI Technologies
2009-03-04 00:06 89,601 ----a-w c:\windows\system32\drivers\klick.dat
2009-03-04 00:06 33,808 ----a-w c:\windows\system32\drivers\klbg.sys
2009-03-04 00:06 101,287 ----a-w c:\windows\system32\drivers\klin.dat
2009-03-03 23:55 --------- d-----w c:\programme\Kaspersky Lab
2009-03-03 23:52 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files
2009-03-03 23:36 --------- d-----w c:\programme\VIA Technologies, Inc
2009-03-03 23:35 --------- d-----w c:\programme\NSC
2009-03-03 23:35 --------- d-----w c:\programme\Gemeinsame Dateien\InstallShield
2009-03-03 23:17 --------- d-----w c:\programme\Intel
2009-03-03 22:57 --------- d-----w c:\programme\microsoft frontpage
2009-03-03 22:54 --------- d-----w c:\programme\Online-Dienste
2009-03-03 22:53 --------- d-----w c:\programme\Gemeinsame Dateien\Dienste
2008-12-11 00:33 86,016 ----a-w c:\windows\system32\dpl100.dll
2008-12-11 00:33 200,704 ----a-w c:\windows\system32\dtu100.dll
2008-12-09 02:28 593,920 ----a-w c:\windows\system32\dpuGUI11.dll
2008-12-09 02:28 57,344 ----a-w c:\windows\system32\dpv11.dll
2008-12-09 02:28 344,064 ----a-w c:\windows\system32\dpus11.dll
2008-12-09 02:28 294,912 ----a-w c:\windows\system32\dpu11.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATICCC"="c:\programme\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-05-10 90112]
"GrooveMonitor"="c:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 31016]
"NapsterShell"="c:\programme\Napster\napster.exe" [2008-12-19 323216]
"AVP"="c:\programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe" [2009-03-04 206088]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
D-Link AirPlus.lnk - c:\programme\D-Link AirPlus\AirPlus.exe [2009-03-04 262144]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"FirewallOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"enablefirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Kaspersky Lab Setup Files\\Kaspersky Anti-Virus 2009\\german\\setup.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=

R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [2008-01-29 33808]
R3 DP83815;National Semiconductor Corp. DP83815/816 NDIS 5.0 Miniport Driver;c:\windows\system32\drivers\DP83815.sys [2003-04-22 18392]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [2008-04-30 24592]
.
.
------- Zusätzlicher Suchlauf -------
.
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\Shakurmen\Anwendungsdaten\Mozilla\Firefox\Profiles\mba9go8a.default\
FF - prefs.js: browser.startup.homepage - www.google.de
FF - plugin: c:\programme\Mozilla Firefox\plugins\npstrlnk.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-05 23:28:41
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1392)
c:\windows\system32\Ati2evxx.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\windows\system32\ati2evxx.exe
c:\programme\ATI Technologies\ATI.ACE\CLI.exe
c:\programme\ATI Technologies\ATI.ACE\CLI.exe
c:\programme\ATI Technologies\ATI.ACE\CLI.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-03-05 23:32:32 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-03-05 22:32:27

Vor Suchlauf: 10 Verzeichnis(se), 30.869.512.192 Bytes frei
Nach Suchlauf: 10 Verzeichnis(se), 30,937,251,840 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

204 --- E O F --- 2009-03-05 09:17:48

Das sieht doch schon mal besser aus.

Wichtig ist nun, dass alle anderen Festplatten sauber sind, bevor du nocheinmal neuinstallierst. Scanne dein System mit Malwarebytes Anti-Malware und mit SUPERAntiSpyware im abgesicherten Modus. Allerdings vorher beide Programme updaten. Schließe dann alle Festplatten an, die du bisher benutzt hast und beziehe sie in den Scans mit ein. Du kannst natürlich weitere Scans durchführen.

Die Festplatte zu formatieren wäre die sicherste Methode, aber ich kann es sehr gut verstehen, dass du keine Lust hast, die ganzen Daten zu verlieren.
Ich würde dir deshalb empfehlen, alle Daten, die NICHT ausführbar sind zu sichern und sie dann zu formatieren.

Wenn du dann neuinstalliert hast und du alle Servicepacks und Updates drauf hast, lade dir einen Virenscanner, der auch Mediendateien scannen kann und schalte diese Option an.

Zitat:

Meine Neue D:\ platte

Ist die ganz neu und noch unformatiert?

Hey danke für die antwort.
Ja die ist ganz neu noch nichtmal ausgepackt.weill ich mir des dachte mit dem formatieren der E:\platte
okay werd mal die beiden progs drüber laufen lassen.

Ach, eine Sache noch, da ich nicht genau weiss, mit was du alles infiziert warst.

Ich denke mal es wird alles okay sein, aber sicher ist sicher ; )

Lade dir mbr.exe (http://www2.gmer.net/mbr/mbr.exe) und speichere es auf C:\

Gehe jetzt auf Start-->Ausführen und gebe dort "cmd" ein.

In dem Dosfenster "cd\" eingeben, dann solltest du auf "C:\" sein.

Tippe nun mbr.exe ein.

Wenn dort das hier steht, ist alles okay:

Code: Alles auswählenAufklappen

ATTFilter

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user kernel MBR OK
         

Wiederhole das gleiche mit E:\

*edit: Natürlich vorher die mbr.exe nach "E:\" kopieren ; )