Trojaner-Board - Dateien auf externer Festplatte unsichtbar

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Dateien auf externer Festplatte unsichtbar (https://www.trojaner-board.de/102238-dateien-externer-festplatte-unsichtbar.html)

Ich habe auf der externen Festplatte tatsächlich eine autorun.inf gefunden. Vielleicht war sie harmlos, sie zeigte nämlich auf ein Icon und eine Toshiba.exe, die vermutlich nur das Toshiba-Logo im Explorer vorne dran setzt. Ich habe sie trotzdem gelöscht. Sicher ist sicher.

Dann habe ich stundenlang den Rechner scannen lassen.

ESET wollte seine Dateien nicht herunter laden, dann habe ich eben den Bitdefender Quickscan, den Panda Active Scan und den Trend Micro House Call benutzt.
Der Panda zeigt einen Befund, die anderen beiden nicht.

Bevor das nicht behoben ist, will ich noch nicht mit dem Flash Disinfector weitermachen.
Ich werde jetzt einfach mal mit dem nächsten Scanner in der Liste weiter machen, vielleicht finden sich noch andere Fehler.

(und ich suche gerade, wo man den Firefox so einstellt, daß er die Cookies löscht:headbang:)

Hier ist das Logfile vom Panda Active Scan:

Code:

;***********************************************************************************************************************************************************************************

ANALYSIS: 2011-08-15 16:00:53

PROTECTIONS: 1

MALWARE: 4

SUSPECTS: 0

;***********************************************************************************************************************************************************************************

PROTECTIONS

Description                                  Version                       Active    Updated

;===================================================================================================================================================================================

AVG Anti-Virus Free Edition 2011             10.0                          No        Yes

;===================================================================================================================================================================================

MALWARE

Id        Description                        Type                Active    Severity  Disinfectable  Disinfected Location

;===================================================================================================================================================================================

00139061  Cookie/Doubleclick                 TrackingCookie      No        0         Yes            No           c:\dokumente und einstellungen\nicki\cookies\oucy5rd2.txt

00139064  Cookie/Atlas DMT                   TrackingCookie      No        0         Yes            No           c:\dokumente und einstellungen\nicki\cookies\nicki@atdmt[2].txt

00168090  Cookie/Serving-sys                 TrackingCookie      No        0         Yes            No           c:\dokumente und einstellungen\nicki\cookies\w84vlsv2.txt

00168093  Cookie/Serving-sys                 TrackingCookie      No        0         Yes            No           c:\dokumente und einstellungen\nicki\cookies\297fvuyr.txt

;===================================================================================================================================================================================

SUSPECTS

Sent      Location

;===================================================================================================================================================================================

;===================================================================================================================================================================================

VULNERABILITIES

Id        Severity       Description

;===================================================================================================================================================================================

1000576   HIGH           MS11-012

1000573   HIGH           MS11-007

1000567   HIGH           MS11-003

224952    HIGH           MS10-098

224931    HIGH           MS10-090

223906    HIGH           MS10-073

223904    HIGH           MS10-071

223355    HIGH           MS10-069

223353    HIGH           MS10-067

222627    HIGH           MS10-054

222626    HIGH           MS10-053

222621    HIGH           MS10-048

221290    HIGH           MS10-035

221289    HIGH           MS10-034

221287    HIGH           MS10-032

219821    HIGH           MS10-020

219647    HIGH           MS10-018

217838    HIGH           MS10-011

217834    HIGH           MS10-008

217832    HIGH           MS10-006

217169    HIGH           MS10-002

215938    HIGH           MS09-072

215048    HIGH           MS09-065

214072    HIGH           MS09-055

214071    HIGH           MS09-054

212530    HIGH           MS09-034

211784    HIGH           MS09-032

210624    HIGH           MS09-025

210618    HIGH           MS09-019

206980    HIGH           MS09-006

202465    HIGH           MS08-068

201253    HIGH           MS08-061

194862    HIGH           MS08-032

;===================================================================================================================================================================================

hier ist noch ein Report von f-secure

Code:

  Scanbericht
 
 

    Montag, August 15, 2011 19:38:16 - 20:19:00
 

Name des Computers: NICKI-059EB1697

Scantyp: Scansystem für Malware, Spyware und Rootkits

Ziel: C:\ D:\ H:\
 

------------------------------------------------------------------------
 
 

    1 Malware gefunden
 

TrackingCookie.Atdmt

<hxxp://cgi.f-secure.com/cgi-bin/websearch/vsearch.cgi?q=TrackingCookie.Atdmt&orig=%27disk%27>

(Spyware)
 

  * System (Desinfiziert) 
 

------------------------------------------------------------------------
 
 

    Statistik
 

Gescannt:
 

  * Dateien: 25082

  * System: 2378

  * Nicht gescannt: 8 
 

Aktionen:
 

  * Desinfiziert: 1

  * Umbenannt: 0

  * Gelöscht: 0

  * Nicht bereinigt: 0

  * Übermittelt: 0 
 

Nicht gescannte Dateien:
 

  * C:\PAGEFILE.SYS

  * C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT

  * C:\WINDOWS\SYSTEM32\CONFIG\SAM

  * C:\WINDOWS\SYSTEM32\CONFIG\SECURITY

  * C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE

  * C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM

  * C:\SYSTEM VOLUME INFORMATION\MOUNTPOINTMANAGERREMOTEDATABASE

  * C:\DOKUMENTE UND EINSTELLUNGEN\NICKI\LOKALE

    EINSTELLUNGEN\TEMP\HSPERFDATA_NICKI\3556 
 

------------------------------------------------------------------------
 
 

    Optionen
 

Scan-Engines:
 

Scanoptionen:
 

  * Festgelegte Dateien scannen: COM EXE SYS OV? BIN SCR DLL SHS HTM

    HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF

    . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP

    WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML

    PRC SHB LNK WSF {* PDF ZL? XML XXX ANI AVB BAT CMD JOB LSP MAP MHT

    MIF PHP POT SWF WMF NWS TAR

  * Erweiterte Heuristik verwenden
 

------------------------------------------------------------------------
 
 

                Copyright © 1998-2009Produktsupport

                <hxxp://www.f-secure.de/estore> | Virusbeispiel an

                F-Secure senden

                <hxxp://support.f-secure.com//enu/home/virusproblem/sample/>
 
 

                F-Secure übernimmt keine Verantwortung für Material, das

                von Drittparteien erstellt oder veröffentlicht wurde,

                die mit den WWW-Seiten von F-Secure verlinkt sind. Falls

                von Ihnen nicht ausdrücklich anders angegeben, stimmen

                Sie durch das Übermitteln von Material auf einen unserer

                Server, zum Beispiel per E-Mail oder über F-Secure CGI

                E-Mail, zu, dass das von Ihnen zur Verfügung gestellte

                Material auf den WWW-Seiten von F-Secure oder in

                gedruckten Publikationen von F-Secure veröffentlicht

                werden darf. Sie gelangen auf die öffentliche Website

                von F-Secure, indem Sie auf unterstrichene Links

                klicken. Dabei wird Ihr Zugriff in unserer privaten

                Zugriffsstatistik mit Ihrem Domänennamen protokolliert.

                Diese Informationen werden nicht an Dritte

                weitergeleitet. Sie erklären sich damit einverstanden,

                in Zusammenhang mit von Ihnen übermitteltem Material

                keine rechtlichen Schritte gegen uns einzuleiten. Falls

                von Ihnen nicht ausdrücklich anders angegeben,

                berechtigen Sie F-Secure durch die Übermittlung von

                Material, alle darin beschriebenen Konzepte in Produkten

                oder Publikationen von F-Secure zu veröffentlichen, ohne

                dass F-Secure dafür verantwortlich zeichnet.

Super, danke.

Und wie werde ich diese Dinger los, die der Panda anmeckert?
Oder ist das gar nichts dramatisches?

Gruß Ochun

Nach dem der Rechner jetzt brav die ganzen Boots mitgemacht hatte, die fürs Neuinstallieren und für die Scans erforderlich waren, hat er sich heute morgen geweigert, hoch zu laufen. Man hört, wie er irgendwelche Teile testet, aber er bleibt dann einfach stehen. Normalerweise gibt er beim Booten immer das eklige Geräusch von sich, wenn er das Diskettenlaufwerk testet. So weit kommt er gar nicht. Es kommt auch nichts auf dem Bildschirm.
Ich würde das für ein Hardware-Problem halten, oder?
:killpc:

Gruß Ochun

Systempartition mit chkdsk überprüfen und reparieren

1. Klicke auf Start => Ausführen

2. Tippe ein cmd und bestätige mit ok, die Konsole öffnet sich.
Bei Vista:
Im Suchfeld cmd eingeben, STRG+Shift-Tasten gedrückt halten und Enter drücken
- dadurch wird die Kommandozeile im Admin-Modus gestartet.

3. Tippe dort ein: chkdsk %systemdrive% /f /r /v und bestätige mit Enter.

4. Die folgende Abfrage mit j bestätigen und Enter drücken.

5. Windows neu starten,
es sollte ein Hinweis auf eine geplante Datenträgerüberprüfung erscheinen
- die Zeit verstreichen lassen, keine Taste drücken!! -

6. Abwarten bis der Vorgang abgeschlossen ist.
Bei großen Partitionen kann es u. U. recht lange dauern.
Windows bootet automatisch neu.

In der Ereignisanzeige (Start => ausführen => eventvwr.msc (reinschreiben) => OK) müsstest Du einen Eintrag mit Quelle Winlogon sehen (evtl. auch mehrere), die Dir eine Zusammenfassung von chkdsk geben. Schau nach Fehlern bzw. fehlerhaften Blöcken und - sofern diese vorhanden sind - poste diese.

Müßte die Systempartition nicht OK sein, nachdem ich sie formatiert habe?
Ich erinnere mich nicht, daß er dabei was gemault hätte.

Ich bin etwas skeptisch, weil er beim Starten ja schon vor dem BIOS-Startbild hängen bleibt.

Ich habe es aber gestern abend nach unzähligen Versuchen geschafft, ihn nochmal zum Booten zu bewegen, ich werde das also heute abend auf jeden Fall ausprobieren.

(Wäre es evt. eine Idee, die Windows-CD einzulegen und zu testen, ob er dann auch hängen bleibt? Nein, mach ich nicht, ich mache chkdsk zuerst, wenn er schon gerade läuft)

Übrigens habe ich auch den alten Fehler, der nach der Neuinstallation weg war, wieder. Also ich habe wieder nur die Links und keine Ordner auf der externen Festplatte. Irgendwas ist da gewaltig faul. Oder kann sowas auch von einer kaputten Systempartition kommen?

Als ich nach hause kam lief der PC noch, aber auf dem Bildschirm war nichts mehr zu sehen, außer dem Hintergrundbild.
Auf Strg+Alt+Entf hat er überhaupt nicht reagiert.
Also habe ich mutwillig den großen Knopf gedrückt.
Ich habe heute Glück und er startet wieder.

Also den chkdsk so ausgeführt. Auch diesmal startet er brav. Behauptet aber dafür, daß die Festplatte in Ordnung ist.
In der Ereignisanzeige finde ich keinen Eintrag mit einem Ergebnis. Ich vermute, das heißt irgendwie anders, aber ich kann es nicht identifizieren.
(ich habe die angeschaut, die zu der Zeit angelegt wurden)

Es gibt hier eines, das heißt Application Popup
Dahinter steckt ein Machine Check. Ist es das? Das gibt es zwölf mal, jeweils 6 direkt nacheinander und dazwischen andere Ereignisse.

Nachtrag:

Ich habe heute morgen die Einträge bei mir mit der Anleitung für http://www.trojaner-board.de/59624-a...-sichtbar.html verglichen und tatsächlich:
=> Versteckte Dateien und Ordner: => alle Dateien und Ordner anzeigen war nicht aktiviert.:stirn:
Jetzt sehe ich die Ordner wieder. (OK, aber wieso wurden sie mal eine Weile angezeigt???)

Das Problem ist, daß die Ordner alle ein HS bei den Attributen stehen haben. Ich habs nochmal mit unhide.exe versucht, da ändert sich leider nichts.
Wobei ich gesehen habe, daß er den MP3-Player sowieso ausläßt.

Bei dem habe ich folgendes ausprobiert:
attrib -s -h e:\versteckterordner /s /d

Das würde schon mal funktionieren.

Dann bleibt noch die Frage, ob die Hardware einen Knacks hat oder warum sich das Ding so nervig benimmt.

Hallo Swiss,

der Rechner ließ sich irgendwann überhaupt nicht mehr hochfahren.
Da er aber schon 9 Jahre alt war, habe ich einen anderen Rechner gekauft und bin auf Win7 umgestiegen.
Der Neue läuft brav und ich habe mich dann an der Anleitung orientiert, die du gepostet hattest, um die externe Festplatte wieder sauber anzuschließen.
Danach habe ich bei den versteckten Ordnern die Attribute geändert, weil das mit unhide ja nicht geklappt hat. Ich hoffe, jetzt ist Ruhe im Karton.

Jedenfalls wollte ich dir noch für deine Unterstützung danken.

Gruß Ochun