|
Fehlermeldung unter Windows XP : " ungültiges laufwerk : F:\ " hallo, nachdem mir google nicht genau weiterhelfen konnte versuche ich es hier. ich benutze windows XP Windowsversion: (Service Pack 2) [5.1.2600] Boot Modus: Normal gebootet wenn ich zb opera installieren will oder ein altes java update unter software enfernen will kommt gleich am anfang die meldung " ungültiges laufwerk : F:\ " und danach noch die meldung " schwerwiegender fehler bei der installation " und das obwohl ich es doch deinstallieren will und davon abgesehen weiss ich nicht welches laufwerk F das sein soll,ist doch alles unter C normalerweise ?! habe unter ausführen "command" und dann im fenster "set" eingegeben aber keine hinweise auf laufwerk F sehen können...weiss jemand woran es liegen könnte? ich hatte übrigens vor kurzem einen virtumonde virus drauf den ich laut antivir und zahlreichen anderen programmen beseitigen konnte mit hilfe dieses forums http://www.trojaner-board.de/57187-p...gen-nicht.html und bis vor kurzem kam ausserdem jedes mal eine "daemon tools" installations fehlermeldung beim hochfahren obwohl ich das programm schon vor langer zeit gelöscht habe... mehr auffäligkeiten fallen mir erstmal nicht ein...hoffe ich komme hier weiter,danke im vorraus. |
Hallo captn future :) Bitte deaktiviere den Teatimer Daemontools deinstallieren Poste anschließend ein HijackThis-Logfile Falls sich noch weitere "krumme" Dateien im System befinden, können wir die evtl. so aufspüren: Über ein filelisting mit diesem script:Diese listing.txt z.B. bei rapidshare hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist. Gruß cad |
hallo cad,danke für die hilfe erstmal. hier das logfile Code: Logfile of Trend Micro HijackThis v2.0.2http://rapidshare.de/files/40386473/1.txt.html teatimer war doch von dem einen schutzprogramm,name fällt mir nicht ein...das programm habe ich jedenfalls wie alle anderen bis auf antivir auf anraten deinstalliert.daemon tools habe ich auch vor langer zeit deinstalliert nur diese merkwürdige meldung kam jedes mal bis vor ein paar wochen... |
Hi, da sind noch Reste deiner Infektion vorhanden, auch wenn ich nicht denke, dass die Probleme direkt daher kommen sollte man doch aufräumen. :D Mache bitte folgendes: Anleitung Avenger (by swandog46) Lade dir das Tool Avenger und speichere es auf dem Desktop:
Code: Files to delete:
Rufe danach Hijackthis auf und fixe folgende Einträge: Zitat:
Der Teatimer gehört zu Spybot und ist auf einem sauberen System eventuell hilfreich, auf infizierten Systemen behindert er jedoch die Bereinigung, deswegen sollte er deaktiviert werden. Da du das Programm aber eh deinstalliert hast, ist das nicht mehr weiter wichtig. Wenn du diese Schritte durchgeführt hast, erstelle bitte noch ein Log mit RSIT. Es werden 2 Dateien erstellt (log.txt und info.txt). Poste den Inhalt beider Dateien, sowie das Logfile von Avenger bitte hier. lg myrtille |
hallo myrtille, hätte ich nicht gedacht das da noch reste drauf sind... genau,spybot war es. so,hier der avenger editor Code: Logfile of The Avenger Version 2.0, (c) by Swandog46Code: Logfile of random's system information tool (written by random/random) |
und der info - editor Code: info.txt logfile of random's system information tool 2008-09-03 21:17:22 |
Hi, und es geht weiter. :D Bitte nochmal Avenger mit folgendem Skript: Code: Files to delete:Code: C:\windows\system32\drivers\etc\hostsZitat:
Kopiere den Inhalt der sich öffnenden Datei in deine nächste Antwort. lg myrtille |
genau..."weiter,immer weiter" dazu hätte ich 2 fragen: 1:den kompletten inhalt läschen im hosts-editor oder nur den deutschen gegen den englischen teil aus diesem thread auswechseln? und abschließend auf speichern gehen? 2:in der kommandozeile erscheint die meldung " der befehl tmp.txt. wurde falsch geschrieben oder konnte nicht gefunden werden " hab dein befehl so kopiert wie er war und dort eingesetztzt und auch danach nochmal manuell eingetippt wieder falsch gewesen... set>tmp.txt&&tmp.txt. |
Hi, wichtig ist eigentlich, dass alle Einträge vor denen 127.0.0.1 steht gelöscht werden. Am Schluss sollte nur der eine Eintrag übrig bleiben(plus dem deutschen oder englischen Text): Code: 127.0.0.1 localhostZitat:
set>tmp.txt&&tmp.txtlg myrtille |
oh,da hätte ich auch selber auf den punkt kommen können hehe... das ist der inhalt ALLUSERSPROFILE=C:\Dokumente und Einstellungen\All Users APPDATA=C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten CLIENTNAME=Console CommonProgramFiles=C:\Programme\Gemeinsame Dateien COMPUTERNAME=HOMEPC ComSpec=C:\WINDOWS\system32\cmd.exe FP_NO_HOST_CHECK=NO HOMEDRIVE=C: HOMEPATH=\Dokumente und Einstellungen\Administrator LOGONSERVER=\\HOMEPC NUMBER_OF_PROCESSORS=1 OS=Windows_NT Path=C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\system32\wbem;C:\Programme\ESTsoft\ALZip;C:\Programme\ESTsoft\ALZip\ PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH PROCESSOR_ARCHITECTURE=x86 PROCESSOR_IDENTIFIER=x86 Family 6 Model 7 Stepping 3, GenuineIntel PROCESSOR_LEVEL=6 PROCESSOR_REVISION=0703 ProgramFiles=C:\Programme PROMPT=$P$G SESSIONNAME=Console SystemDrive=C: SystemRoot=C:\WINDOWS TEMP=C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp TMP=C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp USERDOMAIN=HOMEPC USERNAME=Administrator USERPROFILE=C:\Dokumente und Einstellungen\Administrator windir=C:\WINDOWS __COMPAT_LAYER=EnableNXShowUI und im hosts editor stand das sichergestellt werden müsse ob der pfad richtig eingegeben ist und das speichern nicht möglich ist.worauf aber doch eine speichermöglichkeit unter dem ordner "etc" möglich wurde...ist das richtig so? |
Hi, Zitat:
Mache sicherheitshalber bitte noch nen Scan mit Rootkitrevealer: RootkitRevealer scannen lassen
Aber ich denke, dass die Malware damit entfernt sein dürfte. lg myrtille |
scan complete: 18 discrepancies found sagt der scan,aber wenn ich abspeichere,aufmache und den inhalt hier einfügen will dann ist er beim wiederaufmachen komplett leer...ich versteh das nicht. ausserdem hat antivir angeblich einen trojaner bei mir gefunden,das hat er auch nicht mehr gemeldet seit ich den virus drauf hatte.... |
Hi, was meldet AntiVir denn? Versuch bitte mal Blacklight statt Rootkitrevealer: Blacklight Einfach ausführen. Wenn nichts gefunden wird ist auch gut. lg myrtille |
nun waren es sogar 117 discrepancies,aber anzeigen im txt will er nach wie vor nicht...viele davon kamen vom ordner "system volume information" daher kam übrigens auch das trojanische pferd das von antivir entdeckt wurde... blacklight hat keine versteckten dateien gefunden. ich hab mich auf dieser seite damals informiert wie man versteckte ordner sichtbar macht,diese funktion ist bei mir nach wie vor eingeschaltet,ist das irgendwie wichtig bzw sollte es besser wieder ausgeschaltet sein? |
Hi, Rootkitscanner interessieren sich nicht für Einstellungen unter Vista. ;) Wenn Blacklight nichts findet sollte das eigentlich in Ordnung sein. Um die Systemwiederherstellung kümmern wir uns ganz am Schluss. Sie kann noch hilfreich sein und die Einträge dort stellen eigentlich keine Gefahr dar. Der set-Befehl hat leider, wie du schon sagtest, auch keine Aufklärung gebracht. Hast du denn in letzter Zeit etwas installiert? Klappt das? Was hast du zuletzt installiert bevor die Fehlerauftraten? lg myrtille |
ja also die meißten sachen lassen sich schon installieren wie jetzt die programme zb die du mir vorgeschlagen hast,oder auch unter software entfernen konnte ich auch das meißte deinstallieren,nur eben bei disem java update und beim versuch mir opera zu installieren klappte das bisher nicht,wo es noch probleme gibt kann ich nicht sagen da ich sonst noch nichts anderes bemerkt habe bisher...ausser beim versuch cds zu brennen,wo es meißt probleme gibt,aber das ist schon so seit ich den pc habe... was ich zuletzt isntalliert habe bevor die probleme mit laufwerk f kamen kann ich leider zeitlich nicht eingrenzen,es war auf jeden fall aber NACHDEM ich den virus bekam vor einigen wochen,mit dem start des viruses(den ich bekam weil ich kurz zuvor homebrew videospiele gezogen habe) bekam ich auch diese daemon tools meldung und probleme mit firefox und internet insgesamt,worauf ich versucht hatte mir opera zu installieren in der hoffnung das es dort besser gehen würde(in meinem anderen thread habe ich ja beschrieben wie stockend alles zu der zeit war),worauf ich diese laufwerk f meldungen bekam... der virus wurde irgendwann besiegt,die daemon tools meldungen verschwanden,nur dieses laufwerk f problem besteht...ich würd fast wetten das ich zur zeit auch gar nicht cds erfolgreich brennen kann... hab ausserdem gerade wieder versucht dieses alte java update zu löschen(wurde hier geraten mit alten updates),aber wieder ging es nicht. |
Hi, ich vermute, dass die Javaversion, die du nicht deinstallieren kannst die 5.10 ist? Kannst du denn die andere Javaversion (die aktuelle) problemlos deinstallieren und installieren? Hast du die Systemwiederherstellung aktiviert? Eventuell reicht es wenn du dein System zu einem früheren Zeitpunkt wieder herstellst? Führe dann bitte mal folgende Batch aus: (Text in Editor kopieren, Datei als tb.bat abspeichern und ausführen) Code: @echo offlg myrtille |
also wieder das aufmachen und dort den text einfügen : " C:\windows\system32\drivers\etc\hosts " ?! -ja,es ist die version 5.10 -ja,andere versionen ließen sich deinstallieren -ja,systemwiederherstellung wurde mir im anderen thread damals angeraten durchzuführen,was ich auch getan hatte.ob sie aktiviert ist kann ich nicht sagen,da ich nicht weiss wie man das rausfindet...bin damals davon ausgegangen das ein einmaliger vorgang ist. habe vorhin mal den antivir durchlaufen lassen Code: |
Liste der Anhänge anzeigen (Anzahl: 1) Hi, Zitat:
Ich hab geschlafen, das geht mittlerweile viel einfacher. :D Lade bitte die angehängte Datei herunter und führe sie per Doppelklick aus. :) @systemwiederherstellung Die Systemwiederherstellung scheint aktiv zu sein, du findest sie unter Start->Alle Programme->Zubehör->Systemsteuerung->Systemwiederherstellung. Dort wählst du "Computer zu einem früheren Zeitpunkt wiederherstellen" aus und klickst auf "weiter". Wähle dann einen Zeitpunkt aus, zudem das Problem noch nicht Bestand und klicke auf weiter. lg myrtille |
verstehe.hab nun die datei gespeichert,aufgemacht,darauf kam dieses cmd fenster und der editor.den txt des editors habe ich gelöscht und den von dir angegebenen eingesetzt.beim speichern unter tb.bat kommt die meldung das eine solche datei bereits besteht und ob ich sie ersetzen will...datei gesucht,nicht gefunden und schließlich doch auf ersetzen gedrückt. danach nochmal auf ausführen gecklickt und dann kam der txt : Code: ! REG.EXE VERSION 3.0systemwiederherstellung geht bei mir nur unter september,dh die tage lassen sich bestimmen,aber kein vorheriger monat... |
Hi, alles richtig. :) deine Eigenen Bilder liegen auf F: Zitat:
Ich würde vorschlagen, wenn das keine gewollte Veränderung ist, dass du den Eintrag wieder auf seinen Standard zurücksetzt:
Funktioniert das deinstallieren danach? lg myrtille |
ich kann mir es nicht erklären wie die bilder dahin gekommen sind...ich habe auch unter arbeitsplatz noch nie ein laufwerk f angezeigt bekommen,es sei den man steckt ein externes gerät an... hab versucht zu deinstallieren,nun kam diese meldung " zugriff auf die netzwerkadresse %userprofile%\Eigene Dateien\Eigene Bilder war nicht möglich " danach wieder:" schwerwiegender fehler bei der installation "... es hat aber nichts damit zufällig zu tun gehabt das ich bei dem schlüssel das wort " userprofile " klein geschrieben habe,während die anderen pfade userprofile in der großschrift abgebildet hatten? |
Liste der Anhänge anzeigen (Anzahl: 1) Hi, Zitat:
Zitat:
@Problemlösung Versuch bitte folgendes: Lad dir die angehängte Datei herunter. Führe sie per Doppelklick aus. Es sollte sich wieder ein Fenster öffnen. Kopiere den Inhalt ab und poste ihn hier. lg myrtille |
hier ist es Code: ! REG.EXE VERSION 3.0 |
Hi, das sieht imho gut aus. Was sagt die Deinstallation? lg myrtille |
hehe,meine virtuelle verbeugung vor myrtille:daumenhoc endlich ist diese alte java update weg und ich um 120 mb reicher und hoffentlich sicherer :D würd dazu aber noch gerne wissen: wenn eigene bilder angeblich unter f waren,wo sind sie dann jetzt? diese backup datei kann ich irgendwie nicht öffnen,sind sie dort? |
Hi, die Backupdatei war für den Fall, dass mit den Veränderungen, die wir vorgenommen haben, etwas schiefgehen sollte. Sie enthält die Registry deines Rechners, also im großen und ganzen sämtliche Einstellungen die Du und alle Programme an deinem Rechner vorgenommen hast. Eine dieser Einstellungen ist auch der Ort, an dem sich "Eigene Bilder" befinden soll. Als wir anfingen, stand bei My Pictures der Pfad F:\Eigene Bilder. Verschiedene Programme haben bei der (De)Installation versucht diesen Ordner aufzurufen und konnten ihn nicht finden. Weswegen wir ihn auf ein anderes Verzeichnis gelegt haben. Wenn du jetzt nachschaust, wirst du sehen, dass dort C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Eigene Bilder steht. Dort schauen Programme jetzt als erstes nach Bildern. Wenn du deine Bilder woanders aufbewahren willst, dann kannst du den Pfad genauso ändern, wie ich es dir unten beschrieben hatte. Das einzige Kritierium ist, dass der Rechner bei Bedarf auf den Ordner in dem deine Bilder sein sollen zugreifen kann. (Eine Externe Platte ist zum Beispiel eine eher mäßige Wahl) lg myrtille |
ach so,ich hatte schon gedacht das unter f ein ordner mit bildern abgelegt wurde.dann war es also dort nur ein pfad...zumahl ich ja eigene bilder auch die ganze zeit unter eigene dateien drauf hatte,einzige ausnahme war als ich den virus hatte und einige wichtige daten auf eine externe speicherwuelle notfalls "retten" wollte... kann ich diese backup datei jetzt eigentlich löschen oder ist es besser sie zu behalten? was mache ich nun mit den 4 trojaner unter system volume information? |
Hi, die Backupdatei kannst du löschen. Ebenso kannst du löschen: Die ganzen .bat-Dateien die ich dich herunterladen lassen hab, sowie TheAvenger und filelisting8.cmd, rootkitrevealer und rsit. Hijackthis kannst du über Start->Systemsteuerung->Software deinstallieren. Wenn du all diese Schritte durchgeführt hast, und keine Probleme aufgetreten sind, dann kannst du noch die Systemwiederherstellung de- und reaktivieren, indem du unter Start->Systemsteuerung->System->Systemwiederherstellung den Haken bei "Systemwiederherstellung auf allen Laufwerken deaktivieren" setzt und später wieder rausnimmst. Damit werden alle Wiederherstellungspunkte und darin eventuell vorhandene Reste der Infektion gelöscht. lg myrtille |
jawohl,es ist alles so eingetreten wie du es beschrieben hast,vielen dank für eine kompetente und schnelle hilfe bei der problembewältigung,ich kann mich nur immer wieder bedanken :daumenhoc:daumenhoc:daumenhoc |
Gern geschehen. :) |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 05:31 Uhr. |
Copyright ©2000-2025, Trojaner-Board