Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Festplatte lässt sich nicht öffnen (https://www.trojaner-board.de/76563-festplatte-laesst-oeffnen.html)

Dr.CaRsTeN 19.08.2009 16:22
Festplatte lässt sich nicht öffnen
 
Hallo zusammen.

Ich habe auf meinem PC, meinem Laptop und meiner externen Festplatte das gleiche Problem (vllt auch den gleichen Virus) wie in diesem Thread

http://www.trojaner-board.de/73476-e...k-oeffnen.html

Nachdem ich Combofix runtergeladen und durchlaufen lassen habe, ist das Problem gelöst, allerdings bin ich mir nicht sicher, ob damit das Problem wirklich zu 100% gelöst ist.

Wäre schön, wenn jemand einmal drübergucken könnte und mir sagt, was noch zu tun ist...

Hier ist erstmal der Log von ComboFix:



ComboFix 09-08-18.04 - XXXXXXXXXXXXXXXX - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.2046.1396 [GMT 2:00]
AV: AntiVir Desktop *On-access scanning enabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

G:\Autorun.inf


.
((((((((((((((((((((((( Dateien erstellt von 2009-07-20 bis 2009-08-20 ))))))))))))))))))))))))))))))
.

2009-08-20 14:38 . 2009-08-20 14:38 34 ----a-w- d:\windows\system32\BD2030.DAT
2009-08-20 14:09 . 2009-08-20 14:10 -------- d-----w- d:\windows\ShellNew
2009-08-20 08:43 . 2009-07-03 14:49 15688 ----a-w- d:\windows\system32\lsdelete.exe
2009-08-20 07:26 . 2009-08-20 07:26 -------- d-----w- d:\windows\system32\Lang
2009-08-20 07:26 . 2009-08-20 07:26 -------- d-----w- d:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Google
2009-08-19 22:16 . 2009-08-19 22:16 -------- d-----w- d:\dokumente und einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\Downloaded Installations
2009-08-19 22:09 . 2009-08-19 22:09 -------- dc----w- d:\windows\system32\DRVSTORE
2009-08-19 22:09 . 2009-07-03 14:49 64160 ------w- d:\windows\system32\drivers\Lbd.sys
2009-08-19 22:07 . 2009-08-20 07:28 -------- d-----w- d:\dokumente und einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\Google
2009-08-19 22:07 . 2009-08-19 22:07 -------- d-----w- d:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Google
2009-08-19 22:07 . 2009-08-19 22:20 -------- d-----w- d:\programme\Google
2009-08-19 22:07 . 2009-08-19 22:07 -------- dc-h--w- d:\dokumente und einstellungen\All Users\Anwendungsdaten\{EF63305C-BAD7-4144-9208-D65528260864}
2009-08-19 22:07 . 2009-07-08 17:28 2920112 -c--a-w- d:\dokumente und einstellungen\All Users\Anwendungsdaten\{EF63305C-BAD7-4144-9208-D65528260864}\Ad-AwareAE.exe
2009-08-19 22:07 . 2009-08-19 22:09 -------- d-----w- d:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
2009-08-19 22:07 . 2009-08-19 22:07 -------- d-----w- d:\programme\Lavasoft
2009-08-19 22:05 . 2006-09-25 15:58 23856 ----a-w- d:\windows\system32\spupdsvc.exe
2009-08-19 22:04 . 2009-08-20 07:57 -------- d-----w- d:\dokumente und einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\Adobe
2009-08-19 22:04 . 2009-08-19 22:04 -------- d-----w- d:\programme\Gemeinsame Dateien\Adobe
2009-08-19 22:03 . 2009-08-19 22:03 -------- d-----w- d:\programme\Winamp
2009-08-19 21:51 . 2008-04-14 05:52 26624 ----a-w- d:\dokumente und einstellungen\LocalService\Anwendungsdaten\Microsoft\UPnP Device Host\upnphost\udhisapi.dll
2009-08-19 21:51 . 2009-08-19 21:51 -------- d-----w- d:\dokumente und einstellungen\XXX\Anwendungsdaten\DivX
2009-08-19 21:47 . 2008-04-14 03:52 4096 ----a-w- d:\windows\system32\ksuser.dll
2009-08-19 21:46 . 2009-08-19 21:46 315392 ----a-w- d:\windows\HideWin.exe
2009-08-19 21:46 . 2008-03-05 16:07 520192 ----a-w- d:\windows\RtlExUpd.dll
2009-08-19 21:46 . 2009-08-20 14:33 -------- d-----w- d:\programme\Gemeinsame Dateien\InstallShield
2009-08-19 21:29 . 2009-08-19 21:29 -------- d-----w- d:\dokumente und einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\Ahead
2009-08-19 21:29 . 2009-08-19 21:29 8 ----a-w- d:\windows\system32\nvModes.dat
2009-08-19 21:29 . 2009-08-19 21:29 12328 ----a-w- d:\dokumente und einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-08-19 21:28 . 2009-08-19 21:28 -------- d-----w- d:\dokumente und einstellungen\All Users\Anwendungsdaten\nView_Profiles

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-08-20 14:34 . 2009-08-20 14:33 -------- d-----w- d:\programme\Brownie
2009-08-20 14:34 . 2009-08-19 21:47 -------- d--h--w- d:\programme\InstallShield Installation Information
2009-08-20 14:33 . 2009-08-20 14:33 -------- d-----w- d:\programme\Brother
2009-08-20 08:45 . 2009-08-19 15:38 -------- d-----w- d:\programme\DivX
2009-08-20 08:44 . 2009-08-19 15:38 -------- d-----w- d:\programme\Gemeinsame Dateien\DivX Shared
2009-08-20 07:30 . 2009-08-19 15:34 -------- d-----w- d:\programme\Miranda IM
2009-08-19 21:50 . 2009-08-19 15:34 -------- d-----w- d:\dokumente und einstellungen\XXX\Anwendungsdaten\Miranda
2009-08-19 21:47 . 2009-08-19 21:47 -------- d-----w- d:\programme\Realtek
2009-08-19 15:45 . 2009-08-19 15:45 -------- d-----w- d:\programme\Ahead
2009-08-19 15:45 . 2009-08-19 15:45 -------- d-----w- d:\programme\Gemeinsame Dateien\Ahead
2009-08-19 15:40 . 2009-08-19 15:40 -------- d-----w- d:\programme\Avira
2009-08-19 15:40 . 2009-08-19 15:40 -------- d-----w- d:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-08-19 15:35 . 2009-08-19 15:35 -------- d-----w- d:\programme\AGEIA Technologies
2009-08-19 15:35 . 2009-08-19 15:35 -------- d-----w- d:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-08-19 15:35 . 2009-08-19 15:35 -------- d-----w- d:\programme\NVIDIA Corporation
2009-08-19 15:35 . 2009-08-19 15:35 -------- d-----w- d:\dokumente und einstellungen\All Users\Anwendungsdaten\NVIDIA Corporation
2009-07-14 11:35 . 2009-07-14 11:35 2505248 ----a-w- d:\windows\system32\nvcpluir.dll
2009-07-14 11:34 . 2009-07-14 11:34 86016 ----a-w- d:\windows\system32\nvmctray.dll
2009-07-14 11:34 . 2009-07-14 11:34 8085504 ----a-w- d:\windows\system32\nvdispsr.dll
2009-07-14 11:34 . 2009-07-14 11:34 4923392 ----a-w- d:\windows\system32\nvdisps.dll
2009-07-14 11:34 . 2009-07-14 11:34 4640768 ----a-w- d:\windows\system32\nvgamesr.dll
2009-07-14 11:34 . 2009-07-14 11:34 458752 ----a-w- d:\windows\system32\nvmccssr.dll
2009-07-14 11:34 . 2009-07-14 11:34 3547136 ----a-w- d:\windows\system32\nvgames.dll
2009-07-14 11:34 . 2009-07-14 11:34 2854912 ----a-w- d:\windows\system32\nvmoblsr.dll
2009-07-14 11:34 . 2009-07-14 11:34 188416 ----a-w- d:\windows\system32\nvmccss.dll
2009-07-14 11:34 . 2009-07-14 11:34 168004 ----a-w- d:\windows\system32\nvsvc32.exe
2009-07-14 11:34 . 2009-07-14 11:34 143360 ----a-w- d:\windows\system32\nvcolor.exe
2009-07-14 11:34 . 2009-07-14 11:34 13877248 ----a-w- d:\windows\system32\nvcpl.dll
2009-07-14 11:34 . 2009-07-14 11:34 1286144 ----a-w- d:\windows\system32\nvmobls.dll
2009-07-14 11:34 . 2009-07-14 11:34 229376 ----a-w- d:\windows\system32\nvmccs.dll
2009-07-10 05:01 . 2009-08-19 15:34 485920 ----a-w- d:\windows\system32\NVUNINST.EXE
2009-05-01 21:02 . 2009-05-01 21:02 1044480 ----a-w- d:\programme\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02 200704 ----a-w- d:\programme\mozilla firefox\plugins\ssldivx.dll
.

------- Sigcheck -------

[-] 2008-06-20 07:55 407040 B4D6D344EACDA356D4AAAC7757955F0C d:\windows\system32\netlogon.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nwiz"="d:\programme\NVIDIA Corporation\nView\nwiz.exe" [2009-07-08 1657376]
"NvCplDaemon"="d:\windows\system32\NvCpl.dll" [2009-07-14 13877248]
"NvMediaCenter"="d:\windows\system32\NvMcTray.dll" [2009-07-14 86016]
"avgnt"="d:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"NeroFilterCheck"="d:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"WinampAgent"="d:\programme\Winamp\Winampa.exe" [2003-04-17 12288]
"Adobe Reader Speed Launcher"="d:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"RTHDCPL"="RTHDCPL.EXE" - d:\windows\RTHDCPL.exe [2008-03-26 16859136]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="d:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_2"="shell32" [X]
"nltide_3"="advpack.dll" - d:\windows\system32\advpack.dll [2008-04-23 124928]

d:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Microsoft Office.lnk - d:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"d:\\Programme\\Miranda IM\\miranda32.exe"=

R0 Lbd;Lbd;d:\windows\system32\drivers\Lbd.sys [20.08.2009 00:09 64160]
R2 AntiVirSchedulerService;Avira AntiVir Planer;d:\programme\Avira\AntiVir Desktop\sched.exe [19.08.2009 17:40 108289]
R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;d:\programme\Lavasoft\Ad-Aware\AAWService.exe [03.07.2009 16:49 1029456]
S2 gupdate1ca21196a1dd25e;Google Update Service (gupdate1ca21196a1dd25e);d:\programme\Google\Update\GoogleUpdate.exe [20.08.2009 00:07 133104]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - BRPAR
*NewlyCreated* - MDM
.
Inhalt des "geplante Tasks" Ordners

2009-08-19 d:\windows\Tasks\Ad-Aware Update (Weekly).job
- d:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-07-03 14:49]

2009-08-20 d:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- d:\programme\Google\Update\GoogleUpdate.exe [2009-08-19 22:07]

2009-08-20 d:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- d:\programme\Google\Update\GoogleUpdate.exe [2009-08-19 22:07]
.
.
------- Zusätzlicher Suchlauf -------
.
IE: Nach Microsoft &Excel exportieren - d:\progra~1\MICROS~1\Office10\EXCEL.EXE/3000
FF - ProfilePath - d:\dokumente und einstellungen\XXX\Anwendungsdaten\Mozilla\Firefox\Profiles\cfnuqjr2.default\
FF - prefs.js: browser.startup.homepage - hxxp://web.de/
FF - plugin: d:\programme\Google\Update\1.2.183.7\npGoogleOneClick8.dll

---- FIREFOX Richtlinien ----
d:\programme\Mozilla Firefox\greprefs\all.js - pref("media.enforce_same_site_origin", false);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("media.cache_size", 51200);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("media.ogg.enabled", true);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("media.wave.enabled", true);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("media.autoplay.enabled", true);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.urlbar.autocomplete.enabled", true);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("capability.policy.mailnews.*.wholeText", "noAccess");
d:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.storage.default_quota", 5120);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("content.sink.event_probe_rate", 3);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("network.http.prompt-temp-redirect", true);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("layout.css.dpi", -1);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("layout.css.devPixelsPerPx", -1);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("gestures.enable_single_finger_input", true);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.max_chrome_script_run_time", 0);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("network.tcp.sendbuffer", 131072);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("geo.enabled", true);
d:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.remember_cert_checkbox_default_setting", true);
d:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr", "moz35");
d:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-cjkt", "moz35");
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.blocklist.level", 2);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.restrict.typed", "~");
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.default.behavior", 0);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.history", true);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.formdata", true);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.passwords", false);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.downloads", true);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cookies", true);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cache", true);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.sessions", true);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.offlineApps", false);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.siteSettings", false);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.history", true);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.formdata", true);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.passwords", false);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.downloads", true);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cookies", true);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cache", true);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.sessions", true);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.offlineApps", false);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.siteSettings", false);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.sanitize.migrateFx3Prefs", false);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.ssl_override_behavior", 2);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("security.alternate_certificate_error_page", "certerror");
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.autostart", false);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.dont_prompt_on_enter", false);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("geo.wifi.uri", "https://www.google.com/loc/json");
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-20 17:02
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2009-08-20 17:03
ComboFix-quarantined-files.txt 2009-08-20 15:03

Vor Suchlauf: 5 Verzeichnis(se), 19.760.406.528 Bytes frei
Nach Suchlauf: 5 Verzeichnis(se), 19.981.918.208 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

200






Vielen Dank im Voraus,
Carsten

cosinus 19.08.2009 17:42
Hallo,

Code:
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
G:\Autorun.inf
Wurde Deine ext. Platte zufällig unter dem Laufwerksbuchstaben G:\ abgebildet?
Combofix hat nämlich eine sich dort befindliche autorun-Datei gelöscht. Diese autorun.ini beschreibt was beim Autostart automatisch ausgeführt werden soll, das passiert auch zB wenn Du einen Doppelklick auf ein CDROM Laufwerk machst, wenn die CD oder DVD darin eine autorun.ini hat. Ist für Einsteiger und Laien supereinfach und bequem, mit der Zeit aber einfach nur lästig und kann wie man sieht auch von Malware ausgenutzt werden.

Acker mal desweiteren bitte diese Liste ab.


Alle Zeitangaben in WEZ +1. Es ist jetzt 09:21 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131