|
Kein Festplattenzugriff (RAW statt NTFS) und bediddle.com Hallo! Ich bin leicht am Verzweifeln und daher hier mein nachfolgender Post in der Hoffnung auf HILFE!!! Ich gehe sehr stark davon aus, dass ich mir "irgendwas eingefangen" habe, daher hier mein HjackThis Log-File: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:10:28, on 18.11.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16735) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Creative\Shared Files\CTAudSvc.exe C:\Programme\G DATA TotalCare\AVK\AVKService.exe C:\Programme\G DATA TotalCare\AVK\AVKWCtl.exe C:\Programme\Bonjour\mDNSResponder.exe C:\WINDOWS\system32\CTsvcCDA.exe C:\WINDOWS\system32\crypserv.exe C:\Programme\EZ-Backup\EZ-Backup Manager\EzBackup.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe C:\Programme\G DATA TotalCare\Firewall\GDFwSvc.exe C:\WINDOWS\Explorer.EXE C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe C:\WINDOWS\system32\CTHELPER.EXE C:\Programme\G DATA TotalCare\AVKTray\AVKTray.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\G DATA TotalCare\Firewall\GDFirewallTray.exe C:\Programme\Logitech\SetPoint\SetPoint.exe C:\Programme\REALTEK USB Wireless LAN Driver and Utility\RtWLan.exe C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\Mozilla Thunderbird\thunderbird.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\G DATA TotalCare\GUI\avkis.exe C:\Programme\G DATA TotalCare\AVKTuner\AVKTunerService.exe C:\WINDOWS\system32\DllHost.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://w*w.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,c:\programme\g data totalcare\avkkid\avkcks.exe O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA TotalCare\Webfilter\AVKWebIE.dll O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_14\bin\ssv.dll O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdm2.dll O3 - Toolbar: &TerraTec Home Cinema - {AD6E6555-FB2C-47D4-8339-3E2965509877} - C:\PROGRA~1\TerraTec\TERRAT~1\THCDES~1.DLL O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA TotalCare\Webfilter\AVKWebIE.dll O4 - HKLM\..\Run: [AudioDrvEmulator] "C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" -1 AudioDrvEmulator "C:\Programme\Creative\Shared Files\Module Loader\Audio Emulator\AudDrvEm.dll" O4 - HKLM\..\Run: [AsusStartupHelp] C:\Programme\ASUS\AASP\1.00.17\AsRunHelp.exe O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [AVKTray] "C:\Programme\G DATA TotalCare\AVKTray\AVKTray.exe" O4 - HKLM\..\Run: [GDFirewallTray] C:\Programme\G DATA TotalCare\Firewall\GDFirewallTray.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: G DATA Firewall Tray.lnk = ? O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe O4 - Global Startup: REALTEK USB Wireless LAN Utility.lnk = ? O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlall.htm O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlselected.htm O8 - Extra context menu item: Datei mit FDM herunterladen - file://C:\Programme\Free Download Manager\dllink.htm O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Videos mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlfvideo.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_14\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_14\bin\ssv.dll O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: Upload - {FD4E2FF8-973C-4A19-89BD-8E86B3CFCFE1} - C:\Programme\Free Download Manager\FUM\fumiebtn.dll O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://w*w.creative.com/su/ocx/15030/CTSUEng.cab O16 - DPF: {0D41B8C5-2599-4893-8183-00195EC8D5F9} (asusTek_sysctrl Class) - http://h**p://support.asus.com/commo...k_sys_ctrl.cab O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://h**p://www.nvidia.com/content...sysreqlab2.cab O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://w*w.nvidia.com/content/Driver...aSmartScan.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://h**p://fpdownload2.macromedia...sh/swflash.cab O16 - DPF: {DF6504AC-3EFE-4287-B259-FB299B069C95} (WEBDE Fotoalbum Upload Control) - http://h**ps://img.web.de/v/mail/act...pload_1141.cab O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://w*w.creative.com/softwareupda...5106/CTPID.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{933BB48B-1547-4977-980D-4BCE87FDE583}: NameServer = 134.169.9.150,145.253.2.11 O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL O23 - Service: AVK Tuner Service - Unknown owner - C:\Programme\G DATA InternetSecurity TotalCare\AVKTuner\AVKTunerService.exe (file missing) O23 - Service: G DATA AntiVirus Proxy (AVKProxy) - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe O23 - Service: AVK Service (AVKService) - G DATA Software AG - C:\Programme\G DATA TotalCare\AVK\AVKService.exe O23 - Service: AVK Wächter (AVKWCtl) - G DATA Software AG - C:\Programme\G DATA TotalCare\AVK\AVKWCtl.exe O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: Creative Audio Engine Licensing Service - Creative Labs - C:\Programme\Gemeinsame Dateien\Creative Labs Shared\Service\CTAELicensing.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe O23 - Service: Crypkey License - CrypKey (Canada) Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe O23 - Service: Creative Audio Service (CTAudSvcService) - Creative Technology Ltd - C:\Programme\Creative\Shared Files\CTAudSvc.exe O23 - Service: EZ-Backup Manager - Unknown owner - C:\Programme\EZ-Backup\EZ-Backup Manager\EzBackup.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: G DATA Tuner Service - G DATA Software AG - C:\Programme\G DATA TotalCare\AVKTuner\AVKTunerService.exe O23 - Service: G DATA Personal Firewall (GDFwSvc) - G DATA Software AG - C:\Programme\G DATA TotalCare\Firewall\GDFwSvc.exe O23 - Service: Google Desktop Manager 5.7.806.10245 (GoogleDesktopManager-061008-081103) - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope (HRService) - Unknown owner - C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTServ.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O24 - Desktop Component 0: (no name) - file:///C:/DOKUME~1/VU/LOKALE~1/Temp/msohtmlclip1/01/clip_image002.jpg -- End of file - 13394 bytes Auf meinem PC läuft G-Data. Das Programm findet allerdings nichts. Einstellung auf höchster Sicherheitsstufe ... Das Phishing-Update funktioniert seit ein paar Tagen nicht mehr. Viren-Updates werden angezeigt. Windows-Update geht nicht mehr. Virenonlinescans gehen nicht, da Seiten geblockt werden. Über google werde ich bei IE und FF fast immer auf bediddle.com weitergeleitet. Ich habe im PC 3 Festplatten. Die Systemfestplatte mit Windows XP SP 3 läuft normal. Wenn ich die anderen beiden Festplatten aufrufen möchte, kommt als Fehlermeldung "Auf X: kann nicht zugegriffen werden. Die maximale Anzahl der Kennwörter, die in einem einzelnen System gespeichert werden können, wurde überschritten". Das ist Fehlercode 1381, das habe ich schon in Erfahrung gebracht. Wie ich das behebe, habe ich aber noch nicht gefunden. Externe Festplatten werden ebenfalls als RAW erkannt mit obiger Fehlermeldung "Maximale Anzahl ...". USB-Sticks werden erkannt. Wichtige Daten wurden von den "RAW-Festplatten" mittels Partition Manager auf die noch laufende Systemfestplatte kopiert/gerettet, lassen sich hier allerdings nicht extern absichern. Ich werde die Woche mal versuchen, ob ich das alles auf DVD brennen kann. Sind immerhin 35 GB persönliche Daten ... Unter Arbeitsplatz, Eigenschaften Datenträger werden mir die beiden "toten" Festplatten mit Dateisystem RAW angezeigt. Unter Partitionsmanager 8.0 wird für die Platten das korrekte Dateisystem NTFS angezeigt. Für ganz persönliche Betreuung wäre ich dankbar, da ich so einen PC zwar einigermaßen bedienen kann, aber mit Viren/Spyware usw. nicht jeden Tag zu tun habe. MfG biX |
Hallo und :hallo: Versteh ich das richtig, unter einem anderen System (mit Partition Manager) oder aus dem infizierten Windows heraus mit dem PM wird die Platte heraus korrekt als NTFS angezeigt? Obwohl Windows RAW sagt? :confused: Zitat:
Wenn Du da Zugriff auffe Daten hast wäre das der beste Zeitpunkt die Daten zu sichern. Allerdings gehören wichtige Daten regelmäßig gesichert BEVOR etwas passiert! :twak: Acker diese Punkte für weitere Analysen ab: 1.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde. 2.) Führe dieses MBR-Tool aus und poste die Ausgabe 3.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten 4.) Führe Silentrunners nach dieser Anleitung aus und poste das Logfile (mit Codetags umschlossen), falls es zu groß sein sollte kannst Du es (gezippt) bei file-upload.net hochladen und hier verlinken. 5.) ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so: HTML-Code: [code] Hier das Logfile rein! [/code]
Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist. 7.) Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe - editiere die Links und privaten Infos!! |
Hi root, vielen Dank für Deine Mühe: Zu Deinen Fragen: Aus dem infizierten Windows, also wenn ich jetzt Partition Manager anwerfe, zeigt der mir an, dass alle Platten NTFS haben und nicht RAW. Die Daten lassen sich nicht absichern, da das System externe Festplatten nur als RAW erkennt (Partition sagt wieder NTFS ...). Der USB-Stick mit FAT 32 wird erkannt (vielleicht sollte ich mal eine Festplatte in FAT 32 formatieren...). Ich werde es also auch mit Brennen versuchen, ob das noch geht (muss nur DVDs kaufen). Ja, gesichert habe ich die Daten ja ... aber ziemlich sinnlos, wie sich jetzt rausstellt, in dem ich Sie auf eine andere Festplatte innerhalb des PCs (ja, werd ich nie wieder tun) gesichert habe. Da sich nun Datenfestplatte und „Sicherungsfestplatte“ gleichzeitig in´s RAW-Format begeben haben ... äh, naja, falsch gedacht mit der Daten-Sicherung. Von der Daten-Festplatte konnte ich die Daten noch auf die Systemfestplatte kopieren (mit Partitionmanger). Von der Systemfestplatte auf eine externe Festplatte streikt aber auch Partition Manager. Ich hoffe, alle Klarheiten beseitigt ... So zu den Logfiles: Hier wurde bei einigen Downloads die Verbindung unterbrochen. Ich saug die Sachen morgen mal in der Firma und mache dann die Tests. Brauchst Du wirklich alle? MfG biX |
Also alle wären wirklich hilfreich. So lassen sich bessere Aussagen machen. Wenn schon der Download bei Dir nicht klappte, scheint da einiges bei Dir im Argen zu sein und das obwohl das Hijackthis Logfile an sich rel. "normal" aussieht. :rolleyes: Du solltest aber wirklich zusehen - je nach Wichtigkeit der Daten - erst selbige zu sichern. Nachher geht was schief und dann haste den Salat. :headbang: |
Hi alle, Hi root, gestern konnte ich alle wichtigen Daten sichern. Zuerst habe ich meine Systemfesplatte auf eine externe Festplatte kopiert (mittels Partition Manager, da Windows die Externe wieder als RAW identifizierte), heisst, ich habe wahrscheinlich die Viren mitkopiert. Superwichtige Daten habe ich dann noch auf eine DVD gebrannt. So zu den Logfiles: 1. Systemwiederherstellung deaktiviert 2. "Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net Code: device: opened successfullyCode: 11/20/08 18:04:27 [Info]: BlackLight Engine 2.2.1092 initializedInteressant war, dass dass Programm auch auf die anderen Festplatten zugreifen und dort die sogar noch vorhandenen Daten scannen konnte. Es hat nur alles nur ewig gedauert (ich hatte auch das Gefühl, dass das Programm zum Ende immer laaaaaaaangsamer wurde, bevor es ganz am Ende wieder Gas gab ... die Festplatte ratterte zwischendurch bei der "Langsamfahrt" kräftig). So ein Scan über 4:38 !!! Stunden geht schon an die Substanz ... Code: Malwarebytes' Anti-Malware 1.30 |
Malewarebytes hat Neustart durchgeführt. Chkdsk lief bestimmt fünf/sechsmal drüber (sah geil aus auf dem Bildschirm das Durchrattern war der blanke Wahnsinn :D) Ergebnis Alle Festplatten wieder da (mit vollständigen Daten wies es scheint)!!!! Windows-Update geht ... Ich geh jetzt erst mal ins Bett und mach aber wohl dennoch morgen den Rest ... DANKE!!! Ihr seid die Besten (besonderen Dank natürlich an root für die Betreuung :party:) |
Ja, acker auf jeden Fall noch den Rest ab. Du hattest da den TDSS-Rootkit im System :pukeface: Bei Rootkits solltest Du generell überlgen, ob Du nicht besser neu aufsetzen solltest. Aber mit den anderen Tools kannst Du Dein System ja erstmal soweit bereinigen, dass es einigermaßen gut wieder benutzbar ist und Du dann danach gut vorbereitet formatieren und neu aufsetzen kannst. |
So, noch der Rest: 4. http://www.file-upload.net/download-1268219/Startup-Programs--SKLAVE--2008-11-21-15.44.57.zip.html 5. Code: ComboFix 08-11-20.02 - VU 2008-11-21 16:09:56.1 - NTFSx86Code: http://www.file-upload.net/download-1268305/listing.txt.html |
7. Code: Logfile of Trend Micro HijackThis v2.0.2 |
Sry aber freuen wir uns mal lieber nicht zu früh :balla: Code: [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]Du solltest wirklich aus Sicherheitsgründen plattmachen neu aufsetzen. :kloppen: |
Den Silentbanker hatte G-Data interessanter Weise erkannt und in Quarantäne gestellt. Ich hab die dann gelöscht, da sie sich nicht desinfizieren liessen ... Das sind wohl die ganz harten? Diesen ganzen Mist neu aufsetzen? Ach neeeeeeeee!!! Die Misttreiber kriege ich nie wieder anständig installiert ... |
Wenn Du weißt was der Silentbanker anstellt würdest Du lieber 10x Neuaufsetzen.... :rolleyes: Silent Banker: Online-Bankraub in aller Stille - PC-WELT |
Ja, hab schon verstanden... danke für den Hinweis :heulen: Wie formatiere/lösche ich eigentlich meine externe Festplatte sicher, auf der ich eine Kopie meiner Systemfestplatte gemacht hatte. Da müssten die Viren ja mit drauf sein. Wenn ich die jetzt über USB anschließe, könnten sich die Dinger da irgendwie mit "hoch booten"? :eek: Danke nochmals root |
Wie hast Du die Daten von der Systempartition auf die ext Platte kopiert? Hast Du dazu ein Imageprogramm wie z.B. Acronis benutzt? Wenn ja, ist die Systempartition in einer großen Datei abgebildet, selbst wenn da Viren drin sind, können die nichts ausrichten. Allerdings könnte die Platte anderweitig durch das System infiziert worden sein. Deswegen solltest Du zusehen, dass alle ausführbaren Inhalte von der ext. Platte gelöscht werden und falls vorhanden, auch eine evtl. von einem Schädling angelegte autorun.inf, die mögliche Schädlinge automatisch starten lässt, wenn man einen ext. Datenträger einlegt. U.a. deswegen deaktiviere ich immer die Autostartfunktion aller Laufwerke. |
Hi alle, hi root, die Dateien habe ich mit Partition Manager kopiert, also 1:1. Heisst, ich muss die Festplatte am Besten vollständig, sicher formatieren ... CD/DVD autorun hab ich deaktiviert. USB-Autorun hab ich deaktiviert. Am Besten formatieren mit Eraser, Secure Eraser oder ... ??? |
Zitat:
|
Hi alle, Hi root, so, ich hab mein System neu aufgesetzt. Bei der Datensicherung scheint leider etwas schief gelaufen zu sein. Ein einzelner Ordner der Sicherungskopie zeigt an "Der Ordner ist leer". Mit knoppix sehe ich allerdings die Daten, kann sie auch auf den Knoppix-Desktop ziehen, aber nicht auf andere Datenträger, egal ob Festplatte oder USB-Stick, speichern. Auch wenn ich Malwarebytes drüberlaufen lasse, sehe ich, dass die Daten da sind und und geprüft werden. Jemand eine Idee? Vielen Dank im voraus! biX |
Hast du den externen Datenträger schon vor dem Booten angeschlossen? |
Was ist das für ein Ordner? Lässt Du Dir auch alle Dateien anzeigen, auch die verstecktemn und die geschützten Systemdateien? |
Hallo! Das war eine der (internen) Festplatten auf die ich keinen Zugriff mehr hatte, da sie als RAW angezeigt wurde, die aber wieder da war, als ich die von Dir/Euch empfohlenen Programme drüberlaufen lies. Da hatte ich zusätzlich noch einen Ordner drauf angelegt und Daten reinkopiert, die ich noch von der Systemfestplatte gesichert habe (Mozbackup von Firefox, Thunderb. und so), bevor ich die formatiert habe. Tja, der Ordner ist noch da, aber die Daten zeigt mir Windows mit "der Ordner ist leer" an, während Knoppix die Daten findet, ich die dort aber nicht auf eine andere Festplatte kopieren kann ... Malewarebytes findet die, wie gesagt, auch ... Ich müsste direkt mal gucken, ob ich auf der Platte überhaupt neue Ordner mit Inhalt speichern kann, fällt mir gerad so ein. Vielleicht hatte ich den Kopiervorgang auch irgendwie unterbrochen. Kann dann sowas entstehen? ... MfG biX |
Ja... lässt Du Dir nun alle Dateien anzeigen (unter Windows) oder nicht? |
Hallo! Ich lasse mir in der Regel auch versteckte/geschützte Daten anzeigen. Versteckte Dateien sind aber so hellgrau. Der Ordner hat alledings die "Normalfarbe" ... Ich werde heute Abend noch mal prüfen, ob ich überhaupt Daten auf dieser Daten-Festplatte speichern kann oder ob ich nur auf die vorhandenen Daten zugreifen kann. Ist aber schon komisch, dass Windows die Daten nicht findet (der Ordner ist leer), während knoppix die Daten sieht, ich sie aber nicht auf andere Datenträger verschieben/kopieren kann ... |
Editieren geht irgendwie nicht, oder? Vielleicht so: "Öffne den Arbeitsplatz und klicke rechts auf die Partition in der dein "neuer" Ordner ist. Also C, D oder so. Gehe auf "Eigenschaften" und dort auf den Reiter Sicherheit. Nun im unteren Teil auf Erweitert und dann auf den Reiter Besitzer. Hier machst du den Haken "Besitzer der Objekte ....übernehmen" und dann auf übernehmen. Nun solltest du Zugriff auf diese Daten haben. Kein Reiter Sicherheit vorhanden? Öffne den Arbeitsplatz, dann auf Extras auf Ordneroptionen und dann auf Ansicht. Hier den Haken bei "Einfache Datreifreigabe verwenden" raus, und event. einen Neustart machen. Dann bekommst du den Reiter Sicherheit angezeigt." MfG |
Ok, zerdaddelte NTFS-Rechte könnten auch die Ursache sein. Hast Du XP Home oder Pro? Edit: :headbang: Wenn ich mir mal die Mühe machen würde in Combofix reinzuschauen: Code: Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.1244 [GMT 1:00] |
Aaaaah, danke. Mal gucken, ob ich die Daten damit wieder kriege, wenn ich heute Abend zu Hause bin. Andere Lösungsvorschläge werden gern noch angenommen :) MfG |
Zitat:
|
Zitat:
FaJo isr mir jedenfalls lieber, als einem gemeinen Windows-User cacls in der Konsole zuzumuten. :rolleyes: |
Hm, naja ich grabe mich langsam nach unten durch. Der übernimmt irgendwie nicht die Rechte auf die Unterordner ... Bloß ich kann doch nicht jede Datei einzeln frei geben. Da sitz ich ja noch ... :heilig: (Bisher ist noch alles ganz :) ) |
Zitat:
Vllt erklärt Dir %comSpec% auch noch gleich cacls :lach: |
ja und genau das geht nicht. Da kommt immer die Felermeldung "Zugriff verweigert". Bin aber als Admin eingelogged ... Edit: Kann es sein, dass dieses Programm immer nur zwei Ebenen nach unten vererbt? |
Ich verneige mich und bedanke mich bei root und allen anderen Helfern hier im Forum. Vielen Dank für Eure Hilfe. :daumenhoc: Ich hoffe, ich werde Euch in nächster Zeit nicht brauchen, aber wenn doch, weiß ich, wo man einem hilft. Also nochmals besten Dank! FaJo scheint übrigens die Eigenschaften immer nur auf zwei Unterordnerebenen weiter zu vererben. Aber mit etwas Zeit, habe ich mich jetzt durch den fast 9 GB großen Ornder durchgewühlt. Einzelne Dateien habe ich wohl übersehen, denn ganz kann ich den Ordner noch nicht kopieren. Ist aber Fleißarbeit, denn die Dateien, die nicht kopierbar sind, sucht man raus, ändert die Rechte des Oberordners und so bin ich immer hin schon auf den letzten 20 Sekunden des Kopiervorgangs angelangt. Morgen Abend werde ich das wohl abschließen. Ihr seid die Besten!!! |
Zitat:
Und wer sich genau überlegt hat (und das ist ja das eigentlich schwierige), welche Berechtigungen wie zu setzen sind, der braucht auch kein FaJo FSE mehr. |
Hi Comspec, im vorliegenden Fall ging es ja hauptsächlich um die Änderung des Besitzers (und natürlich der Rechte) der Objekte, da die Dateien auf einen Besitzer liefen, der nun nach Neuaufsetzen der Systemfestplatte scheinbar nicht mehr vorhanden war. Dadurch konnte man auf die Ordner nicht zugreifen. Genau dafür war das Programm (bei HP Home) ideal geeignet. (Nur die Vererbung war bei meinen Dateien nur in zwei tieferen Ebenen möglich, wenn man mehr wollte kam eine Fehlermeldung. Aber alles Fleißarbeit und besser, als wenn ich die Dateien hätte "abschreiben" können.) Also, haut Euch nicht :heilig: Nochmal besten Dank |
Zitat:
|
Zitat:
BTW es war eine Neuinstallation, da war gar nichts verhunzt |
Zitat:
Und ich glaub Dir auch, dass es das System verhunzt hat, bei mir allerdings waren keine Probleme aufgetreten. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 23:40 Uhr. |
Copyright ©2000-2025, Trojaner-Board