Trojaner-Board - Sirefef.b auf dem Rechner, kein Zugriff mehr auf Festplatte

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Sirefef.b auf dem Rechner, kein Zugriff mehr auf Festplatte (https://www.trojaner-board.de/112233-sirefef-b-rechner-kein-zugriff-mehr-festplatte.html)

Sirefef.b auf dem Rechner, kein Zugriff mehr auf Festplatte

Nabend,

meine Frau hat auf ihren Rechner seit ein paar Tagen sirefef.b und der Virenscanner gibt regelmässig Alarm. Leider bin ich erst heute dazu gekommen mich um den Rechner zu kümmern. Eigentlich wollte ich Windows XP komplett neu aufspielen.
Allerdings bekomme ich dabei jeweils angezeigt das Windows angeblich auf E: wäre, wenn ich allerdings über die Arbeitsplatz-Ansicht schaue, dann sehe ich das es auf C: ist und E: eine andere Partition ist.
Daher habe ich zunächst die Installation abgebrochen.
Kurz vorher gab es Klicklaute von der anderen Festplatte und seitdem ist kein Zugriff mehr auf Laufwerk G: möglich. Dort kommt dann die Fehlermeldung das die Platte nicht formatiert sei und ob man jetzt formatieren wolle.
Kann diese Meldung von sirefef ausgelöst sein? Weiß jemand wie ich die Daten von G: retten kann, ein Recovery-Tool wie RECUVA bekommt ebenfalls keinen Zugriff.
In der Datenträgerverwaltung wird mir die Platte allerdings als fehlerfrei und aktiv angezeigt.

Bin dankbar über jeden Tipp.

:hallo:

Mein Name ist Daniel und ich werde dir mit deinem Malware Relevanten Problemen helfen.

Bevor wir uns an die Arbeit machen, möchte ich dich bitten, folgende Punkte vollständig und aufmerksam zu lesen.

Lies dir meine Anleitungen erst einmal durch. Sollte irgendetwas unklar sein, Frage bevor du beginnst.
Solltest du bei einem Schritt Probleme haben, stoppe dort und beschreib mir das Problem so gut du kannst. Manchmal erfordert ein Schritt den vorhergehenden.
Sollte ich auf diese, sowie allen weiteren Antworten, innerhalb von 3 Tagen keine Antwort von dir erhalten, werde ich das Thema aus meinen Abonnements löschen.
Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst und Installiere / Deinstalliere keine Software ohne Aufforderung.
Poste die Logfiles direkt in deinen Thread und nicht als Anhang, ausser du wurdest dazu aufgefordert. Erschwert mir das Auswerten.

Wäre mir ne neue Spielerei von der Infektion, aber sehen wir mal nach

Downloade dir bitte dds ( von sUBs ) von einem der folgenden Downloadspiegel und speichere die Datei auf deinem Desktop.

dds.com
dds.scr

Schließe alle laufenden Programme.
Starte DDS mit Doppelklick.
Es wird 2 Logfiles erstellen.
- dds.txt
- attach.txt
Speichere beide Logfiles auf deinem Desktop
Poste beide Logfiles hier.

Hallo Daniel,

vielen Dank für dein Hilfsangebot. Ich habe hier jetzt die gewünschten Log-Files.

.DDS Logfile:

Code:

DDS (Ver_2011-08-26.01) - NTFSx86 

Internet Explorer: 7.0.5730.13  BrowserJavaVersion: 1.6.0_30

Run by maulwurfn at 11:10:40 on 2012-03-25

.

============== Running Processes ===============

.

C:\WINXP\system32\spoolsv.exe

C:\Programme\Avira\AntiVir Desktop\sched.exe

C:\WINXP\Explorer.EXE

C:\Programme\Avira\AntiVir Desktop\avgnt.exe

C:\Programme\Unlocker\UnlockerAssistant.exe

C:\Programme\Winamp\Winampa.exe

C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe

C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe

C:\WINXP\system32\ctfmon.exe

C:\Programme\Avira\AntiVir Desktop\avguard.exe

C:\Programme\Java\jre6\bin\jqs.exe

C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe

C:\Programme\Avira\AntiVir Desktop\avshadow.exe

C:\WINXP\system32\nvsvc32.exe

C:\WINXP\System32\alg.exe

C:\Dokumente und Einstellungen\maulwurfn\Eigene Dateien\Downloads\dds.com

C:\WINXP\System32\svchost.exe -k netsvcs

C:\WINXP\system32\svchost.exe -k NetworkService

C:\WINXP\system32\svchost.exe -k LocalService

C:\WINXP\system32\svchost.exe -k imgsvc

.

============== Pseudo HJT Report ===============

.

uStart Page = hxxp://search.conduit.com?SearchSource=10&ctid=CT2319825

mWinlogon: SfcDisable=-99 (0xffffff9d)

BHO: Java(tm) Plug-In SSV Helper: {761497bb-d6f0-462c-b6eb-d4daf1d92d43} - c:\programme\java\jre6\bin\ssv.dll

BHO: Skype Browser Helper: {ae805869-2e5c-4ed4-8f7b-f1f7851a4497} - c:\programme\skype\toolbars\internet explorer\skypeieplugin.dll

BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\programme\java\jre6\bin\jp2ssv.dll

BHO: JQSIEStartDetectorImpl Class: {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - c:\programme\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

TB: {D4027C7F-154A-4066-A1AD-4243D8127440} - No File

uRun: [ctfmon.exe] c:\winxp\system32\ctfmon.exe

mRun: [avgnt] "c:\programme\avira\antivir desktop\avgnt.exe" /min

mRun: [NeroCheck] c:\winxp\system32\NeroCheck.exe

mRun: [UnlockerAssistant] "c:\programme\unlocker\UnlockerAssistant.exe"

mRun: [WinampAgent] "c:\programme\winamp\Winampa.exe"

mRun: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

mRun: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize

mRun: [nwiz] nwiz.exe /install

mRun: [SunJavaUpdateSched] "c:\programme\gemeinsame dateien\java\java update\jusched.exe"

mRun: [Malwarebytes' Anti-Malware] "c:\programme\malwarebytes' anti-malware\mbamgui.exe" /starttray

dRunOnce: [nltide_2] regsvr32 /s /n /i:U shell32

dRunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N

uPolicies-explorer: NoRecentDocsNetHood = 1 (0x1)

IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

IE: {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - c:\programme\skype\toolbars\internet explorer\skypeieplugin.dll

LSP: mswsock.dll

DPF: {166B1BCA-3F9C-11CF-8075-444553540000} - hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab

DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab

DPF: {CAFEEFAC-0016-0000-0030-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab

DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab

TCP: DhcpNameServer = 192.168.2.1

TCP: Interfaces\{D5F7C539-26F0-448E-A392-135904374F0B} : DhcpNameServer = 192.168.2.1

Handler: cdo - {CD00020A-8B95-11D1-82DB-00C04FB1625D} - c:\programme\gemeinsame dateien\microsoft shared\web folders\PKMCDO.DLL

Handler: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - c:\programme\skype\toolbars\internet explorer\skypeieplugin.dll

SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - c:\winxp\system32\wpdshserviceobj.dll

.

================= FIREFOX ===================

.

FF - ProfilePath - c:\dokumente und einstellungen\maulwurfn\anwendungsdaten\mozilla\firefox\profiles\q8zgeken.default\

FF - plugin: c:\programme\foxit software\foxit reader\plugins\npFoxitReaderPlugin.dll

FF - plugin: c:\programme\java\jre6\bin\new_plugin\npdeployJava1.dll

.

============= SERVICES / DRIVERS ===============

.

R? mfeavfk;Pcx1nd5

R? mferkdk;Se58mgmt

R? navap;Ufad-ws60

R? ofcservice;WGX

S? AntiVirSchedulerService;Avira AntiVir Planer

S? AntiVirService;Avira AntiVir Guard

S? avgio;avgio

S? avgntflt;avgntflt

S? MBAMProtector;MBAMProtector

S? MBAMService;MBAMService

.

=============== Created Last 30 ================

.

2012-03-18 07:07:28        592824        ----a-w-        c:\programme\mozilla firefox\gkmedias.dll

2012-03-18 07:07:28        44472        ----a-w-        c:\programme\mozilla firefox\mozglue.dll

2012-03-13 21:02:51        --------        d-----w-        c:\winxp\system32\NtmsData

2012-03-13 20:47:18        --------        d-----w-        c:\dokumente und einstellungen\maulwurfn\anwendungsdaten\Malwarebytes

2012-03-13 20:47:12        --------        d-----w-        c:\dokumente und einstellungen\all users\anwendungsdaten\Malwarebytes

2012-03-13 20:47:11        20464        ----a-w-        c:\winxp\system32\drivers\mbam.sys

2012-03-13 20:47:10        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware

2012-03-13 19:18:56        0        --sha-w-        c:\winxp\system32\dds_log_ad13.cmd

2012-03-13 19:17:37        --------        d-sh--w-        c:\dokumente und einstellungen\maulwurfn\lokale einstellungen\anwendungsdaten\9822d1a1

2012-03-13 19:17:06        55808        ---h--w-        c:\dokumente und einstellungen\maulwurfn\anwendungsdaten\ntuser.dat

2012-02-25 08:26:49        --------        d-----w-        c:\dokumente und einstellungen\maulwurfn\anwendungsdaten\Avira

.

==================== Find3M  ====================

.

2012-03-13 19:17:06        9728        ---h--w-        c:\dokumente und einstellungen\maulwurfn\anwendungsdaten\desktop.ini

2012-03-01 07:33:12        414368        -c--a-w-        c:\winxp\system32\FlashPlayerCPLApp.cpl

.

============= FINISH: 11:11:09,17 ===============

--- --- ---

.
==== Installed Programs ======================
.
Adobe Flash Player 11 Plugin
Ahead Nero Burning ROM
Amazon MP3-Downloader 1.0.9
AMD APP SDK Runtime
Audacity 1.2.6
Avira AntiVir Personal - Free Antivirus
FileZilla Client 3.5.0
Foxit Reader
Hotfix für Windows Media Player 11 (KB939683)
Intel(R) PRO Network Adapters and Drivers
Java Auto Updater
Java(TM) 6 Update 30
Malwarebytes Anti-Malware Version 1.60.1.1000
Microsoft .NET Framework 1.1
Microsoft Office XP Professional mit FrontPage
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
Mozilla Firefox 11.0 (x86 de)
Mp3tag v2.48
No23 Recorder
NVIDIA Windows 2000/XP Display Drivers
Paint Shop Pro 7 Anniversary Edition
PSP Thumbnail Handler
Recuva
Sicherheitsupdate für Windows Media Player 11 (KB936782)
Sicherheitsupdate für Windows XP (KB923789)
Sicherheitsupdate für Windows XP (KB933729)
Skype Toolbars
Skype™ 5.3
SRWare Iron 11.0.700.2
Unlocker 1.9.1
Update für Windows XP (KB933360)
VLC media player 1.1.9
WebFldrs XP
Winamp (nur entfernen)
Windows Genuine Advantage Notifications (KB905474)
Windows Media Player 6.4 Hotfix - KB925398
WinRAR 4.01 (32-Bit)
.
==== End Of File ===========================

Lade Dir Gmer von dieser Seite herunter
(auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.

alle anderen Scanner gegen Viren, Spyware, usw. deaktivieren
Alle anderen Programme sollen geschlossen sein.
Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen).
Vista und Win7 User mit Rechtsklick und als Administrator starten.
Sollte sich ein Fenster mit folgender Warnung öffnen:
WARNING !!!
GMER has found system modification, which might have been caused by ROOTKIT activity.
Do you want to fully scan your system ?
Unbedingt auf "No" klicken.
Entferne rechts den Haken bei:
- IAT/EAT
- Alle Festplatten ausser die Systemplatte (normalerweise ist nur C:\ angehackt)
- Show all (sollte abgehackt sein)
Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
Wenn der Scan fertig ist klicke auf Save und speichere die Logfile unter Gmer.txt auf deinem Desktop. Mit "Ok" wird GMER beendet.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

So hier nun das Log von Gmer

GMER Logfile:

Code:

GMER 1.0.15.15641 - hxxp://www.gmer.net

Rootkit scan 2012-03-25 17:14:00

Windows 5.1.2600 Service Pack 2 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-5 SAMSUNG_HD321KJ rev.CP100-12

Running: xq34nhhe.exe; Driver: C:\DOKUME~1\MAULWU~1\LOKALE~1\Temp\pxtdqpow.sys
 
 

---- System - GMER 1.0.15 ----
 

SSDT   F7F7BEB4                                                                                                                   ZwClose

SSDT   F7F7BE6E                                                                                                                   ZwCreateKey

SSDT   F7F7BEBE                                                                                                                   ZwCreateSection

SSDT   F7F7BE64                                                                                                                   ZwCreateThread

SSDT   F7F7BE73                                                                                                                   ZwDeleteKey

SSDT   F7F7BE7D                                                                                                                   ZwDeleteValueKey

SSDT   F7F7BEAF                                                                                                                   ZwDuplicateObject

SSDT   F7F7BE82                                                                                                                   ZwLoadKey

SSDT   F7F7BE50                                                                                                                   ZwOpenProcess

SSDT   F7F7BE55                                                                                                                   ZwOpenThread

SSDT   F7F7BE8C                                                                                                                   ZwReplaceKey

SSDT   F7F7BE87                                                                                                                   ZwRestoreKey

SSDT   F7F7BEC3                                                                                                                   ZwSetContextThread

SSDT   F7F7BE78                                                                                                                   ZwSetValueKey

SSDT   F7F7BE5F                                                                                                                   ZwTerminateProcess
 

---- Kernel code sections - GMER 1.0.15 ----
 

?      C:\DOKUME~1\MAULWU~1\LOKALE~1\Temp\mbr.sys                                                                                 Das System kann die angegebene Datei nicht finden. !
 

---- User code sections - GMER 1.0.15 ----
 

.text  C:\Programme\Avira\AntiVir Desktop\avguard.exe[260] SHELL32.dll!SHCreateQueryCancelAutoPlayMoniker + 1160F                 7E703545 1 Byte  [35]

.text  C:\Programme\Java\jre6\bin\jqs.exe[512] SHELL32.dll!SHCreateQueryCancelAutoPlayMoniker + 1160F                             7E703545 1 Byte  [35]

.text  C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe[596] SHELL32.dll!SHCreateQueryCancelAutoPlayMoniker + 1160F        7E703545 1 Byte  [35]

.text  C:\WINXP\system32\winlogon.exe[692] SHELL32.dll!SHCreateQueryCancelAutoPlayMoniker + 1160F                                 7E703545 1 Byte  [35]

.text  C:\WINXP\system32\lsass.exe[748] SHELL32.dll!SHCreateQueryCancelAutoPlayMoniker + 1160F                                    7E703545 1 Byte  [35]

.text  ...                                                                                                                        

.text  C:\WINXP\Explorer.EXE[1808] SHELL32.dll!SHFileOperationW                                                                   7E72067C 5 Bytes  JMP 10001102 C:\Programme\Unlocker\UnlockerHook.dll

.text  C:\Programme\Avira\AntiVir Desktop\avgnt.exe[1932] SHELL32.dll!SHCreateQueryCancelAutoPlayMoniker + 1160F                  7E703545 1 Byte  [35]

.text  C:\Programme\Unlocker\UnlockerAssistant.exe[1948] SHELL32.dll!SHCreateQueryCancelAutoPlayMoniker + 1160F                   7E703545 1 Byte  [35]

.text  C:\Programme\Winamp\Winampa.exe[1956] SHELL32.dll!SHCreateQueryCancelAutoPlayMoniker + 1160F                               7E703545 1 Byte  [35]

.text  C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe[1988] SHELL32.dll!SHCreateQueryCancelAutoPlayMoniker + 1160F  7E703545 1 Byte  [35]

.text  C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe[2004] SHELL32.dll!SHCreateQueryCancelAutoPlayMoniker + 1160F           7E703545 1 Byte  [35]

.text  ...                                                                                                                        
 

---- Files - GMER 1.0.15 ----
 

File   C:\WINXP\$NtUninstallKB46716$\2552418721                                                                                   0 bytes

File   C:\WINXP\$NtUninstallKB46716$\2552418721\@                                                                                 2048 bytes

File   C:\WINXP\$NtUninstallKB46716$\2552418721\L                                                                                 0 bytes

File   C:\WINXP\$NtUninstallKB46716$\2552418721\L\uuuyylrd                                                                        74752 bytes

File   C:\WINXP\$NtUninstallKB46716$\2552418721\loader.tlb                                                                        2632 bytes

File   C:\WINXP\$NtUninstallKB46716$\2552418721\U                                                                                 0 bytes

File   C:\WINXP\$NtUninstallKB46716$\2552418721\U\@00000001                                                                       45968 bytes

File   C:\WINXP\$NtUninstallKB46716$\2552418721\U\@000000c0                                                                       2560 bytes

File   C:\WINXP\$NtUninstallKB46716$\2552418721\U\@000000cb                                                                       3072 bytes

File   C:\WINXP\$NtUninstallKB46716$\2552418721\U\@000000cf                                                                       1536 bytes

File   C:\WINXP\$NtUninstallKB46716$\2552418721\U\@80000000                                                                       73728 bytes

File   C:\WINXP\$NtUninstallKB46716$\2552418721\U\@800000c0                                                                       43008 bytes

File   C:\WINXP\$NtUninstallKB46716$\2552418721\U\@800000cb                                                                       25600 bytes

File   C:\WINXP\$NtUninstallKB46716$\2552418721\U\@800000cf                                                                       31232 bytes

File   C:\WINXP\$NtUninstallKB46716$\3477377979                                                                                   0 bytes
 

---- EOF - GMER 1.0.15 ----

--- --- ---

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2

WICHTIG - Speichere Combofix auf deinem Desktop

Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Combofix wird überprüfen, ob die Microsoft Windows Wiederherstellungskonsole installiert ist.
Ist diese nicht installiert, erlaube Combofix diese herunter zu laden und zu installieren. Folge dazu einfach den Anweisungen und aktzeptiere die End Nutzer Lizenz.
Bei heutiger Malware ist dies sehr empfehlenswert, da diese uns eine Möglichkeit bietet, dein System zu reparieren, falls was schief geht.
Bestätige die Information, dass die Wiederherstellungskonsole installiert wurde mit Ja.

Hinweis: Ist diese bereits installiert, wird Combofix mit der Malwareentfernung fortfahren.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

Ok, ich hoffe es macht nix wenn durch Combofix verursachte Neustarts Antivir automatisch wieder eingeschaltet haben.

Hier das Log, und Antivir hat bisher noch keine erneute Meldung ausgegeben.

Combofix Logfile:

Code:

ComboFix 12-03-22.01 - maulwurfn 25.03.2012  22:34:01.1.2 - x86

Microsoft Windows XP Professional  5.1.2600.2.1252.49.1031.18.1023.696 [GMT 2:00]

ausgeführt von:: c:\dokumente und einstellungen\maulwurfn\Desktop\ComboFix.exe

AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}

.

.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\dokumente und einstellungen\maulwurfn\Anwendungsdaten\desktop.ini

c:\dokumente und einstellungen\maulwurfn\Anwendungsdaten\ntuser.dat

c:\dokumente und einstellungen\maulwurfn\Lokale Einstellungen\Anwendungsdaten\lame_enc.dll

c:\dokumente und einstellungen\maulwurfn\Lokale Einstellungen\Anwendungsdaten\no23xwrapper.dll

c:\dokumente und einstellungen\maulwurfn\Lokale Einstellungen\Anwendungsdaten\ogg.dll

c:\dokumente und einstellungen\maulwurfn\Lokale Einstellungen\Anwendungsdaten\vorbis.dll

c:\dokumente und einstellungen\maulwurfn\Lokale Einstellungen\Anwendungsdaten\vorbisenc.dll

c:\dokumente und einstellungen\maulwurfn\Lokale Einstellungen\Anwendungsdaten\vorbisfile.dll

c:\winxp\$NtUninstallKB46716$

c:\winxp\$NtUninstallKB46716$\2552418721\@

c:\winxp\$NtUninstallKB46716$\2552418721\L\uuuyylrd

c:\winxp\$NtUninstallKB46716$\2552418721\loader.tlb

c:\winxp\$NtUninstallKB46716$\2552418721\U\@00000001

c:\winxp\$NtUninstallKB46716$\2552418721\U\@000000c0

c:\winxp\$NtUninstallKB46716$\2552418721\U\@000000cb

c:\winxp\$NtUninstallKB46716$\2552418721\U\@000000cf

c:\winxp\$NtUninstallKB46716$\2552418721\U\@80000000

c:\winxp\$NtUninstallKB46716$\2552418721\U\@800000c0

c:\winxp\$NtUninstallKB46716$\2552418721\U\@800000cb

c:\winxp\$NtUninstallKB46716$\2552418721\U\@800000cf

c:\winxp\$NtUninstallKB46716$\3477377979

c:\winxp\assembly\GAC_MSIL\desktop.ini

c:\winxp\IsUn0407.exe

c:\winxp\system32\dds_log_ad13.cmd

c:\winxp\system32\Thumbs.db

.

.

(((((((((((((((((((((((   Dateien erstellt von 2012-02-25 bis 2012-03-25  ))))))))))))))))))))))))))))))

.

.

2012-03-25 20:39 . 2012-03-25 20:39        --------        d-----w-        c:\winxp\system32\xircom

2012-03-25 20:39 . 2012-03-25 20:39        --------        d-----w-        c:\winxp\system32\wbem\snmp

2012-03-25 20:39 . 2012-03-25 20:39        --------        d-----w-        c:\programme\microsoft frontpage

2012-03-24 17:29 . 2012-03-24 17:29        --------        d-----w-        c:\programme\Recuva

2012-03-18 07:07 . 2012-03-18 07:07        592824        ----a-w-        c:\programme\Mozilla Firefox\gkmedias.dll

2012-03-18 07:07 . 2012-03-18 07:07        44472        ----a-w-        c:\programme\Mozilla Firefox\mozglue.dll

2012-03-13 21:02 . 2012-03-20 22:27        --------        d-----w-        c:\winxp\system32\NtmsData

2012-03-13 20:47 . 2012-03-13 20:47        --------        d-----w-        c:\dokumente und einstellungen\maulwurfn\Anwendungsdaten\Malwarebytes

2012-03-13 20:47 . 2012-03-13 20:47        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes

2012-03-13 20:47 . 2011-12-10 14:24        20464        ----a-w-        c:\winxp\system32\drivers\mbam.sys

2012-03-13 20:47 . 2012-03-13 20:47        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware

2012-03-13 19:17 . 2012-03-13 19:17        --------        d-sh--w-        c:\dokumente und einstellungen\maulwurfn\Lokale Einstellungen\Anwendungsdaten\9822d1a1

2012-02-25 08:26 . 2012-02-25 08:26        --------        d-----w-        c:\dokumente und einstellungen\maulwurfn\Anwendungsdaten\Avira

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2012-03-01 07:33 . 2011-06-23 09:10        414368        -c--a-w-        c:\winxp\system32\FlashPlayerCPLApp.cpl

2012-03-18 07:07 . 2011-05-27 04:14        97208        ----a-w-        c:\programme\mozilla firefox\components\browsercomps.dll

.

.

------- Sigcheck -------

Note: Unsigned files aren't necessarily malware.

.

[-] 2007-10-09 . 6D60483EBCF29203C9B3B453471D3706 . 1548288 . . [5.1.2600.2180] . . c:\winxp\system32\sfcfiles.dll

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="NvQTwk" [X]

"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2011-03-28 281768]

"NeroCheck"="c:\winxp\system32\NeroCheck.exe" [2001-07-09 155648]

"UnlockerAssistant"="c:\programme\Unlocker\UnlockerAssistant.exe" [2010-07-04 17408]

"WinampAgent"="c:\programme\Winamp\Winampa.exe" [2003-04-17 12288]

"nwiz"="nwiz.exe" [2002-03-09 364544]

"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2011-06-09 254696]

"Malwarebytes' Anti-Malware"="c:\programme\Malwarebytes' Anti-Malware\mbamgui.exe" [2012-01-13 460872]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"nltide_2"="shell32" [X]

"nltide_3"="advpack.dll" [2007-10-09 124928]

.

c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\

Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

.

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"NoRecentDocsNetHood"= 1 (0x1)

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\\WINXP\\system32\\usmt\\migwiz.exe"=

"c:\\Programme\\Skype\\Phone\\Skype.exe"=

"c:\\Programme\\Malwarebytes' Anti-Malware\\mbam.exe"=

.

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [13.05.2011 15:07 136360]

R2 MBAMService;MBAMService;c:\programme\Malwarebytes' Anti-Malware\mbamservice.exe [13.03.2012 22:47 652360]

R3 MBAMProtector;MBAMProtector;c:\winxp\system32\drivers\mbam.sys [13.03.2012 22:47 20464]

.

NETSVCS BENÖTIGT REPARATUR - Derzeitig vorhandene Einträge:

6to4

AppMgmt

AudioSrv

Browser

CryptSvc

DMServer

DHCP

ERSvc

EventSystem

FastUserSwitchingCompatibility

HidServ

Ias

Iprip

Irmon

LanmanServer

LanmanWorkstation

Messenger

Netman

Nla

Ntmssvc

NWCWorkstation

Nwsapagent

SGHIDI

regservice

point32

w200mdm

EKECioCtl

alcaudsl

rnadiagnosticsservice

iaimtv1

mmc_2K

se59bus

lvhidsvc

qconsvc

usbser

ncupdatesvc

tbhsd

hap17v2k

el90xbc

netrcacm

s616mgmt

PBADRV

raidmsvr

navap

MA-620

puscsrvc

rtl8187Se

co_mon

NTACCESS

SenFiltService

zebrceb

naimagent32

PCDCODEC

MREMPR5

VRcore

hprfdev

mfeavfk

npptnt2

MA_CMIDI

mcdbus

webcompserver

mferkdk

MSW_USB

issuser

twotrack

zebrmdm

pinnaclesys.mediaserver

DcPTP

swupdtmr

caccprovsp

WmiAcpi

lvupdtio

Tablet2k

rt73

utilman

ultra66

imonnt

iAimTV6

uphclean

SNC

DELL_A02

SNDO763

TestHandler

tzontservice

sonicstagemonitoring

iaimtv3

hcwPP2

CAMCAUD

bhmonitorservice

LoopBeMidi1

Si3114r5

siside

maya70docserver

w800mdfl

tosrfcom

proxyserverservice

nfsds

VRADFIL

zpcache

ofcservice

nbf

msvsmon90

procexp111

CTEDSPFX.DLL

mqdmmdfl

AX88772

SlNtHal

APLMp50

iomdisk

epfwtdi

ssisvr32

iam

Cam5607

nmraapache

hotspotshieldservice

portmapper

iap

ZuneWlanCfgSvc

cwcwdm

Rasauto

Rasman

Remoteaccess

Schedule

Seclogon

SENS

Sharedaccess

SRService

Tapisrv

Themes

TrkWks

W32Time

WZCSVC

Wmi

WmdmPmSp

winmgmt

wscsvc

xmlprov

BITS

wuauserv

ShellHWDetection

helpsvc

WmdmPmSN

.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs

.

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://search.conduit.com?SearchSource=10&ctid=CT2319825

TCP: DhcpNameServer = 192.168.2.1

FF - ProfilePath - c:\dokumente und einstellungen\maulwurfn\Anwendungsdaten\Mozilla\Firefox\Profiles\q8zgeken.default\

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -

.

WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)

Notify-AtiExtEvent - (no file)

.

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2012-03-25 22:40

Windows 5.1.2600 Service Pack 2 NTFS

.

Scanne versteckte Prozesse... 

.

Scanne versteckte Autostarteinträge... 

.

Scanne versteckte Dateien... 

.

Scan erfolgreich abgeschlossen

versteckte Dateien: 0

.

**************************************************************************

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

.

- - - - - - - > 'explorer.exe'(3104)

c:\winxp\system32\wpdshserviceobj.dll

c:\winxp\system32\portabledevicetypes.dll

c:\winxp\system32\portabledeviceapi.dll

.

------------------------ Weitere laufende Prozesse ------------------------

.

c:\programme\Avira\AntiVir Desktop\avguard.exe

c:\programme\Java\jre6\bin\jqs.exe

c:\winxp\system32\nvsvc32.exe

c:\programme\Avira\AntiVir Desktop\avshadow.exe

.

**************************************************************************

.

Zeit der Fertigstellung: 2012-03-25  22:42:25 - PC wurde neu gestartet

ComboFix-quarantined-files.txt  2012-03-25 20:42

.

Vor Suchlauf: 5 Verzeichnis(se), 14.527.332.352 Bytes frei

Nach Suchlauf: 6 Verzeichnis(se), 14.617.001.984 Bytes frei

.

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(3)\WINXP

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

UnsupportedDebug="do not select this" /debug

multi(0)disk(0)rdisk(0)partition(3)\WINXP="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

.

- - End Of File - - 8B565F471BCF617189316BFC05E06958

--- --- ---

Hy,

Du wolltest den Rechner doch neu aufsetzen. Kannst du jetzt auf die Laufwerke zugreifen ?

Jepp, nur komme ich erst am nächsten WE dazu ihn neu zu installieren. Auf G: kann ich vom Arbeitsplatz aus nicht zugreifen, aber nun hat das Recovery-Programm die Festplatte finden und die vorhandenen Daten sichern können. Ob sie vollständig sind, keine Ahnung und einige lassen sich auch nicht öffnen. Da muss meine Frau jetzt zunächst durchforsten was brauchbar ist und was nicht.

Vielen lieben Dank für deine Hilfe. Vielleicht hast du ja noch einen guten Tipp was man zusätzlich noch für Software aufspielen sollte.

Auf welche Art Daten ( ich denke ma du meinst Ordner ) lassen sich nicht öffnen ?

Naja, das war mal vor längerer Zeit die Systemplatte und das Programm hat dort vieles an alten Sachen wieder hergestellt, nur das diese sich nicht löschen lassen.
Ordner hat er gar keine wiederherstellen können und einiges an Bildern lässt sich nicht öffnen, wobei meiner Frau diese Bilder das wichtigste wären.

Du musst mir da jetzt mal genauer erklären, was da vor sich geht. Liegt vl an der Uhrzeit aber ich verstehs nicht.

Welches Recovery hat die platte wieder hergestellt ?
Kommt eine Fehlermeldung, wenn du versuchst, diese Ordner zu öffnen. Wenn ja, wäre diese eventuell hilfreich. Ansonsten suche ich die Nadel im Heuhaufen

Hallo Daniel,

sorry, war ein paar Tage nicht da. Also...ich habe ein Recovery-Programm (Freeware) das Recuva heißt. Damit bekomme ich die Möglichkeit die auf der Festplatte vorhandenen Daten soweit wiederherzustellen, wie es möglich ist. Anders bekomme ich ja keinen Zugriff auf die Platte.
Dieses Programm schreibt dann alle gefundenen Daten in einen Ordner den ich angebe. Dort hat das Programm nun 16000 Dateien gespeichert. Vieles davon alte Systemdateien, weil die Platte früher mal das Systemlaufwerk gewesen ist.
Aber auch zahlreiche Bilder, Fotos, MP3 und Word-Dokumente wurden so gesichert.
Nur lassen sich viele davon nicht öffnen. Bei den JPEGs kommt z.b. die Meldung dies wäre keine gültige JPG Datei, bei den Word-Dokumenten will er einen Konverter installieren, den er aber auf der Office-CD merkwürdigerweise nicht findet.
Ich muss dazu sagen, dass ich noch ein uralten (2002) Office habe, weil ich die Version sehr günstig erwerben konnte. Aber es dürften auch keine Docs vorhanden sein, die mit moderneren Word-Programmen erstellt wurden, da ich kein moderneres Word besitze.

Ich hoffe ich konnte das soweit einigermaßen verständlich erklären?

Hm, seltsam, dass du nicht normal auf die Platte ( Partiton ? ) zugreifen kannst.
2 dinge die ich jetzt mal wild vermute. Das Recovery Programm hat Probleme oder die Platte selbst.

Ich würde dich mal bitten, im Windows Bereich ein Thema zu erstellen. Die Teamis von dort haben mit solcher Art Problem vl schon mal Bekanntschaft gemacht.

Ich hab ehrlich gesagt keine Idee mehr und wäre mir neu, ob die entfernte Infektion sowas in der Art anstellt, aber nichts ist hier unmöglich.

Wie gesagt, frag dort mal nach und wenn die auch keine Idee haben, gib mir hier bescheid und ich geh mal ganz tief graben bzw bespreche das mal im internationalen Bereich.
Ich behalte in der Zwischenzeit das Thema in meinen Abos

Fehlende Rückmeldung
Dieses Thema wurde aus den Abos gelöscht. Somit bekomm ich keine Benachrichtigung über neue Antworten.
PM an mich falls Du denoch weiter machen willst.

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner schon sauber ist.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen