|
Plagegeister aller Art und deren Bekämpfung: Kein Festplattenzugriff durch Recycler ProblemWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
17.03.2009, 22:28 | #1 |
| Kein Festplattenzugriff durch Recycler Problem Hallo an alle, ich bin durch google auf eure Seite gekommen und habe mir auch schon ein ähnliches Problem hier durchgelesen. Um zu meinem Problem zu kommen: Wenn ich auf Arbeitsplatz klicke, kann ich keiner meiner internen Partitionen direkt auswählen. Das geht nur über Rechtsklick-> Explorer. Meine externen Platten lassen sich ohne Probleme öffnen. Hier ein Screen der Fehlermeldung: http://www.abload.de/image.php?img=fehler1bi5.jpg Hier im Forum habe ich schon gelesen, dass man mit Combofix dagegen vorgehen könnte. Sollte ich dieses Programm auch nutzen? Zur Information: Den Fehler erhielt ich heute zum ersten Mal, nachdem ich das Programm "mIRC" deinstallieren wollte. (über Software) Mfg yoone Hier jetzt nochmal der HijackThis Log: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 22:42:27, on 17.03.2009 Platform: Windows XP SP3, v.3244 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16674) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\Explorer.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\VistaDriveIcon\DrvIcon.exe C:\WINDOWS\system32\RunDLL32.exe C:\Programme\Java\jre6\bin\jusched.exe C:\Programme\DAEMON Tools\daemon.exe C:\Programme\RocketDock\RocketDock.exe E:\programme\steam\steam.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\a-squared Free\a2service.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\oodag.exe C:\WINDOWS\System32\TUProgSt.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Windows Media Player\wmplayer.exe C:\WINDOWS\system32\divxsm.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://alice.aol.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://alice.aol.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://go.microsoft.com/fwlink/?LinkId=54843 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R3 - URLSearchHook: (no name) - - (no file) F3 - REG:win.ini: run= O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: StylerToolBar - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - (no file) O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [DrvIcon] C:\Programme\VistaDriveIcon\DrvIcon.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKCU\..\Run: [RocketDock] "C:\Programme\RocketDock\RocketDock.exe" O4 - HKCU\..\Run: [Steam] "e:\programme\steam\steam.exe" -silent O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: StartupFaster O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe O9 - Extra button: PartyCasino - {B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - C:\Programme\PartyGaming\PartyCasino\RunApp.exe (file missing) O9 - Extra 'Tools' menuitem: PartyCasino - {B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - C:\Programme\PartyGaming\PartyCasino\RunApp.exe (file missing) O9 - Extra button: (no name) - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - (no file) O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O9 - Extra button: Absolute Poker - {13C1DBF6-7535-495c-91F6-8C13714ED485} - C:\Dokumente und Einstellungen\ChrisStar\Startmenü\Programme\Absolute Poker\Absolute Poker.lnk (file missing) (HKCU) O9 - Extra 'Tools' menuitem: Absolute Poker - {13C1DBF6-7535-495c-91F6-8C13714ED485} - C:\Dokumente und Einstellungen\ChrisStar\Startmenü\Programme\Absolute Poker\Absolute Poker.lnk (file missing) (HKCU) O10 - Broken Internet access because of LSP provider 'c:\programme\bonjour\mdnsnsp.dll' missing O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab56986.cab O16 - DPF: {4A85DBE0-BFB2-4119-8401-186A7C6EB653} - http://messenger.zone.msn.com/binary/MJSS.cab69309.cab O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...n.cab56986.cab O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/.../GAME_UNO1.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/wind...?1195228134656 O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary...o.cab56649.cab O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab56907.cab O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://icq.oberon-media.com/Gameshel...onGameHost.cab O16 - DPF: {F8C5C0F1-D884-43EB-A5A0-9E1C4A102FA8} (GoPetsWeb Control) - https://secure.gopetslive.com/dev/GoPetsWeb.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{6125E556-FE5A-4CD6-A424-DEC5BAEAA276}: NameServer = 85.255.112.10,85.255.112.133 O17 - HKLM\System\CCS\Services\Tcpip\..\{CE35EC1D-94F5-415D-A53D-193E3EF3D7C2}: NameServer = 85.255.112.10,85.255.112.133 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.10,85.255.112.133 O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.112.115,85.255.112.205 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.10,85.255.112.133 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Unknown owner - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe (file missing) O23 - Service: UPnPService - Magix AG - C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe -- End of file - 9221 bytes Mfg So die letzten Infos : Malwarebytes will bei mir nicht starten, keine Ahnung warum. Daher kann ich kein Log wiedergeben. Hinzu kommen komische Weiterleitungen bei Google, wird wohl DNS Changer sein. Kann mir aber nicht erklären, woher das auf einmal kommt. Geändert von yoone (17.03.2009 um 23:06 Uhr) |
18.03.2009, 07:40 | #2 |
| Kein Festplattenzugriff durch Recycler Problem Hi,
__________________Deine Internetverbindung wird über die Urkaine geroutet, daher nichts mehr mit Passwörtern/Hombebanking machen Passwörter von einem sauberen Rechner aus sofort ändern, Hombanking ev. sperren... Also: Hijackthis, fixen: öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Beim fixen müssen alle Programme geschlossen sein! Code:
ATTFilter O17 - HKLM\System\CCS\Services\Tcpip\..\{6125E556-FE5A-4CD6-A424-DEC5BAEAA276}: NameServer = 85.255.112.10,85.255.112.133 O17 - HKLM\System\CCS\Services\Tcpip\..\{CE35EC1D-94F5-415D-A53D-193E3EF3D7C2}: NameServer = 85.255.112.10,85.255.112.133 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.10,85.255.112.133 O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.112.115,85.255.112.205 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.10,85.255.112.133 O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O9 - Extra button: Absolute Poker - {13C1DBF6-7535-495c-91F6-8C13714ED485} - C:\Dokumente und Einstellungen\ChrisStar\Startmenü\Programme\Absolu te Poker\Absolute Poker.lnk (file missing) (HKCU) O9 - Extra 'Tools' menuitem: Absolute Poker - {13C1DBF6-7535-495c-91F6-8C13714ED485} - C:\Dokumente und Einstellungen\ChrisStar\Startmenü\Programme\Absolu te Poker\Absolute Poker.lnk (file missing) (HKCU) O9 - Extra button: PartyCasino - {B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - C:\Programme\PartyGaming\PartyCasino\RunApp.exe (file missing) O9 - Extra 'Tools' menuitem: PartyCasino - {B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - C:\Programme\PartyGaming\PartyCasino\RunApp.exe (file missing) O9 - Extra button: (no name) - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - (no file) O4 - Global Startup: StartupFaster O3 - Toolbar: StylerToolBar - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - (no file) R3 - URLSearchHook: (no name) - - (no file) F3 - REG:win.ini: run= Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen. Weitere Anleitung unter:http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird Hinweis: unter : C:\WINDOWS\erdnt wird ein Backup angelegt. Alternative downloads: http://subs.geekstogo.com/ComboFix.exe Danach noch mal MAM updaten und laufen und alles bereinigen lassen... Falls weder Combofix noch HJ gestartet werden kann wie folgt vorgehen: Arbeitsplatz->rechte Maustaste->Eigenschaften->Hardware->Gerätemanager->Ansicht->ausgeblendete Geräte anzeigen->Nicht PnP-Treiber und dort den Treiber "TDSSserv.sys" oder aehnlich deaktivieren und neu starten. Das gleiche für den Treiber UACd.sys (z. B.: UACjkrpwvvu.dll etc.) Bitte melden ob gefunden und was gefunden (jaja, die netten kleinen Rootkits...). Danach noch mal Combofix bzw. HJ und MAM probieren... Chris
__________________ |
18.03.2009, 11:52 | #3 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Kein Festplattenzugriff durch Recycler Problem Also hab Combofix durchlaufen lassen
__________________
Werde jetzt noch das Mabm durchrennen lassen. |
18.03.2009, 15:21 | #4 | |
| Kein Festplattenzugriff durch Recycler Problem Hi, da gefällt mir einiges nicht: Verzeichnisse: c:\windows\srchasst c:\dokumente und einstellungen\ChrisStar\7zS674.tmp c:\dokumente und einstellungen\ChrisStar\7zS66E.tmp -> Prüfe mal bitte was in den Verzeichnissen ist... ... Files c:\windows\system32\pxcpyi64.exe c:\windows\system32\pxinsi64.exe ... Bitte Online prüfen und unbedingt MAM-Log posten! Bitte folgende Files prüfen: Dateien Online überprüfen lassen:
Code:
ATTFilter c:\windows\system32\pxcpyi64.exe c:\windows\system32\pxinsi64.exe
Führe auch unbedingt das hier durch: Arbeitsplatz->rechte Maustaste->Eigenschaften->Hardware->Gerätemanager->Ansicht->ausgeblendete Geräte anzeigen->Nicht PnP-Treiber und dort den Treiber "TDSSserv.sys" oder aehnlich deaktivieren und neu starten. Das gleiche für den Treiber UACd.sys (z. B.: UACjkrpwvvu.dll etc.) Bitte melden ob gefunden und was gefunden (jaja, die netten kleinen Rootkits...). Danach noch mal Combofix bzw. HJ und MAM probieren... Dann noch MBR-Rootkit Lade den MBR-Rootkitscanner von GMER auf Deine Bootplatte (läuft nicht auf 64-Bit Plattformen!): http://www2.gmer.net/mbr/mbr.exe Merke Dir das Verzeichnis wo Du ihn runtergeladen hast; Start->Ausführen->cmd Wechsle in das Verzeichnis des Downloads und starte durch Eingabe von mbr das Programm... Das Ergebnis sollte so aussehen: Zitat:
poste es im Thread; Avira-Antirootkit Downloade Avira Antirootkit und Scanne dein system, poste das logfile. http://dl.antivir.de/down/windows/antivir_rootkit.zip Aktualisiere Antivir, stelle dein Antivir ein, wie hier beschrieben: http://www.trojaner-board.de/54192-anleitung-avira-antivir-agressive-einstellungen.html chris
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
Themen zu Kein Festplattenzugriff durch Recycler Problem |
antivir, auf einmal, avira, bho, bonjour, browser, combofix, einstellungen, fehlermeldung, festplatte, firefox, google, hijack, hijackthis, hijackthis log, hkus\s-1-5-18, home, internet, internet explorer, kein log, magix, mozilla, nicht starten, plug-in, problem, programm, rundll, software, starten, system, tuneup.defrag, uleadburninghelper, weiterleitungen, windows, windows xp |