Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Kein Festplattenzugriff (RAW statt NTFS) und bediddle.com

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 18.11.2008, 18:36   #1
biX
 
Kein Festplattenzugriff (RAW statt NTFS) und bediddle.com - Standard

Kein Festplattenzugriff (RAW statt NTFS) und bediddle.com



Hallo!
Ich bin leicht am Verzweifeln und daher hier mein nachfolgender Post in der Hoffnung auf HILFE!!!
Ich gehe sehr stark davon aus, dass ich mir "irgendwas eingefangen" habe, daher hier mein HjackThis Log-File:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:10:28, on 18.11.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Creative\Shared Files\CTAudSvc.exe
C:\Programme\G DATA TotalCare\AVK\AVKService.exe
C:\Programme\G DATA TotalCare\AVK\AVKWCtl.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\WINDOWS\system32\crypserv.exe
C:\Programme\EZ-Backup\EZ-Backup Manager\EzBackup.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\Programme\G DATA TotalCare\Firewall\GDFwSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programme\G DATA TotalCare\AVKTray\AVKTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\G DATA TotalCare\Firewall\GDFirewallTray.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\REALTEK USB Wireless LAN Driver and Utility\RtWLan.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\G DATA TotalCare\GUI\avkis.exe
C:\Programme\G DATA TotalCare\AVKTuner\AVKTunerService.exe
C:\WINDOWS\system32\DllHost.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://w*w.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,c:\programme\g data totalcare\avkkid\avkcks.exe
O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA TotalCare\Webfilter\AVKWebIE.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_14\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdm2.dll
O3 - Toolbar: &TerraTec Home Cinema - {AD6E6555-FB2C-47D4-8339-3E2965509877} - C:\PROGRA~1\TerraTec\TERRAT~1\THCDES~1.DLL
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA TotalCare\Webfilter\AVKWebIE.dll
O4 - HKLM\..\Run: [AudioDrvEmulator] "C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" -1 AudioDrvEmulator "C:\Programme\Creative\Shared Files\Module Loader\Audio Emulator\AudDrvEm.dll"
O4 - HKLM\..\Run: [AsusStartupHelp] C:\Programme\ASUS\AASP\1.00.17\AsRunHelp.exe
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [AVKTray] "C:\Programme\G DATA TotalCare\AVKTray\AVKTray.exe"
O4 - HKLM\..\Run: [GDFirewallTray] C:\Programme\G DATA TotalCare\Firewall\GDFirewallTray.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: G DATA Firewall Tray.lnk = ?
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: REALTEK USB Wireless LAN Utility.lnk = ?
O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Datei mit FDM herunterladen - file://C:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Videos mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlfvideo.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_14\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_14\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Upload - {FD4E2FF8-973C-4A19-89BD-8E86B3CFCFE1} - C:\Programme\Free Download Manager\FUM\fumiebtn.dll
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://w*w.creative.com/su/ocx/15030/CTSUEng.cab
O16 - DPF: {0D41B8C5-2599-4893-8183-00195EC8D5F9} (asusTek_sysctrl Class) - http://h**p://support.asus.com/commo...k_sys_ctrl.cab
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://h**p://www.nvidia.com/content...sysreqlab2.cab
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://w*w.nvidia.com/content/Driver...aSmartScan.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://h**p://fpdownload2.macromedia...sh/swflash.cab
O16 - DPF: {DF6504AC-3EFE-4287-B259-FB299B069C95} (WEBDE Fotoalbum Upload Control) - http://h**ps://img.web.de/v/mail/act...pload_1141.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://w*w.creative.com/softwareupda...5106/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{933BB48B-1547-4977-980D-4BCE87FDE583}: NameServer = 134.169.9.150,145.253.2.11
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O23 - Service: AVK Tuner Service - Unknown owner - C:\Programme\G DATA InternetSecurity TotalCare\AVKTuner\AVKTunerService.exe (file missing)
O23 - Service: G DATA AntiVirus Proxy (AVKProxy) - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: AVK Service (AVKService) - G DATA Software AG - C:\Programme\G DATA TotalCare\AVK\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - G DATA Software AG - C:\Programme\G DATA TotalCare\AVK\AVKWCtl.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Creative Audio Engine Licensing Service - Creative Labs - C:\Programme\Gemeinsame Dateien\Creative Labs Shared\Service\CTAELicensing.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: Crypkey License - CrypKey (Canada) Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: Creative Audio Service (CTAudSvcService) - Creative Technology Ltd - C:\Programme\Creative\Shared Files\CTAudSvc.exe
O23 - Service: EZ-Backup Manager - Unknown owner - C:\Programme\EZ-Backup\EZ-Backup Manager\EzBackup.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: G DATA Tuner Service - G DATA Software AG - C:\Programme\G DATA TotalCare\AVKTuner\AVKTunerService.exe
O23 - Service: G DATA Personal Firewall (GDFwSvc) - G DATA Software AG - C:\Programme\G DATA TotalCare\Firewall\GDFwSvc.exe
O23 - Service: Google Desktop Manager 5.7.806.10245 (GoogleDesktopManager-061008-081103) - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope (HRService) - Unknown owner - C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTServ.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O24 - Desktop Component 0: (no name) - file:///C:/DOKUME~1/VU/LOKALE~1/Temp/msohtmlclip1/01/clip_image002.jpg

--
End of file - 13394 bytes

Auf meinem PC läuft G-Data. Das Programm findet allerdings nichts. Einstellung auf höchster Sicherheitsstufe ... Das Phishing-Update funktioniert seit ein paar Tagen nicht mehr. Viren-Updates werden angezeigt. Windows-Update geht nicht mehr. Virenonlinescans gehen nicht, da Seiten geblockt werden. Über google werde ich bei IE und FF fast immer auf bediddle.com weitergeleitet.

Ich habe im PC 3 Festplatten. Die Systemfestplatte mit Windows XP SP 3 läuft normal. Wenn ich die anderen beiden Festplatten aufrufen möchte, kommt als Fehlermeldung "Auf X: kann nicht zugegriffen werden. Die maximale Anzahl der Kennwörter, die in einem einzelnen System gespeichert werden können, wurde überschritten". Das ist Fehlercode 1381, das habe ich schon in Erfahrung gebracht. Wie ich das behebe, habe ich aber noch nicht gefunden. Externe Festplatten werden ebenfalls als RAW erkannt mit obiger Fehlermeldung "Maximale Anzahl ...". USB-Sticks werden erkannt.
Wichtige Daten wurden von den "RAW-Festplatten" mittels Partition Manager auf die noch laufende Systemfestplatte kopiert/gerettet, lassen sich hier allerdings nicht extern absichern. Ich werde die Woche mal versuchen, ob ich das alles auf DVD brennen kann. Sind immerhin 35 GB persönliche Daten ...

Unter Arbeitsplatz, Eigenschaften Datenträger werden mir die beiden "toten" Festplatten mit Dateisystem RAW angezeigt. Unter Partitionsmanager 8.0 wird für die Platten das korrekte Dateisystem NTFS angezeigt.

Für ganz persönliche Betreuung wäre ich dankbar, da ich so einen PC zwar einigermaßen bedienen kann, aber mit Viren/Spyware usw. nicht jeden Tag zu tun habe.

MfG
biX

Geändert von biX (18.11.2008 um 18:46 Uhr)

Alt 18.11.2008, 19:54   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Kein Festplattenzugriff (RAW statt NTFS) und bediddle.com - Standard

Kein Festplattenzugriff (RAW statt NTFS) und bediddle.com



Hallo und

Versteh ich das richtig, unter einem anderen System (mit Partition Manager) oder aus dem infizierten Windows heraus mit dem PM wird die Platte heraus korrekt als NTFS angezeigt? Obwohl Windows RAW sagt?

Zitat:
hier allerdings nicht extern absichern.
Warum lässt sich das nicht extern absichern? Wegen des infizierten Windows? Wenn das so ist => Knoppix oder BartPE besorgen, Daten davon sichern. Evtl. kann man sich auch gleich ein Ubuntu besorgen, dass parallel installieren

Wenn Du da Zugriff auffe Daten hast wäre das der beste Zeitpunkt die Daten zu sichern. Allerdings gehören wichtige Daten regelmäßig gesichert BEVOR etwas passiert!

Acker diese Punkte für weitere Analysen ab:

1.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

2.) Führe dieses MBR-Tool aus und poste die Ausgabe

3.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten

4.) Führe Silentrunners nach dieser Anleitung aus und poste das Logfile (mit Codetags umschlossen), falls es zu groß sein sollte kannst Du es (gezippt) bei file-upload.net hochladen und hier verlinken.

5.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:
[code] Hier das Logfile rein! [/code]
6.) Mach auch ein Filelisting mit diesem script:
  • Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
  • Doppelklick auf listing8.cmd auf dem Desktop
  • nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

7.) Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe - editiere die Links und privaten Infos!!
__________________

__________________

Alt 18.11.2008, 22:19   #3
biX
 
Kein Festplattenzugriff (RAW statt NTFS) und bediddle.com - Standard

Kein Festplattenzugriff (RAW statt NTFS) und bediddle.com



Hi root,

vielen Dank für Deine Mühe:

Zu Deinen Fragen:
Aus dem infizierten Windows, also wenn ich jetzt Partition Manager anwerfe, zeigt der mir an, dass alle Platten NTFS haben und nicht RAW. Die Daten lassen sich nicht absichern, da das System externe Festplatten nur als RAW erkennt (Partition sagt wieder NTFS ...). Der USB-Stick mit FAT 32 wird erkannt (vielleicht sollte ich mal eine Festplatte in FAT 32 formatieren...). Ich werde es also auch mit Brennen versuchen, ob das noch geht (muss nur DVDs kaufen).
Ja, gesichert habe ich die Daten ja ... aber ziemlich sinnlos, wie sich jetzt rausstellt, in dem ich Sie auf eine andere Festplatte innerhalb des PCs (ja, werd ich nie wieder tun) gesichert habe. Da sich nun Datenfestplatte und „Sicherungsfestplatte“ gleichzeitig in´s RAW-Format begeben haben ... äh, naja, falsch gedacht mit der Daten-Sicherung.
Von der Daten-Festplatte konnte ich die Daten noch auf die Systemfestplatte kopieren (mit Partitionmanger). Von der Systemfestplatte auf eine externe Festplatte streikt aber auch Partition Manager. Ich hoffe, alle Klarheiten beseitigt ...

So zu den Logfiles:
Hier wurde bei einigen Downloads die Verbindung unterbrochen. Ich saug die Sachen morgen mal in der Firma und mache dann die Tests. Brauchst Du wirklich alle?
MfG
biX
__________________

Alt 18.11.2008, 23:46   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Kein Festplattenzugriff (RAW statt NTFS) und bediddle.com - Icon32

Kein Festplattenzugriff (RAW statt NTFS) und bediddle.com



Also alle wären wirklich hilfreich. So lassen sich bessere Aussagen machen.
Wenn schon der Download bei Dir nicht klappte, scheint da einiges bei Dir im Argen zu sein und das obwohl das HijackThis Logfile an sich rel. "normal" aussieht.

Du solltest aber wirklich zusehen - je nach Wichtigkeit der Daten - erst selbige zu sichern. Nachher geht was schief und dann haste den Salat.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 20.11.2008, 22:53   #5
biX
 
Kein Festplattenzugriff (RAW statt NTFS) und bediddle.com - Standard

Kein Festplattenzugriff (RAW statt NTFS) und bediddle.com



Hi alle, Hi root,
gestern konnte ich alle wichtigen Daten sichern. Zuerst habe ich meine Systemfesplatte auf eine externe Festplatte kopiert (mittels Partition Manager, da Windows die Externe wieder als RAW identifizierte), heisst, ich habe wahrscheinlich die Viren mitkopiert. Superwichtige Daten habe ich dann noch auf eine DVD gebrannt.

So zu den Logfiles:

1. Systemwiederherstellung deaktiviert

2.
"Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

Code:
ATTFilter
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
         
3.
Code:
ATTFilter
11/20/08 18:04:27 [Info]: BlackLight Engine 2.2.1092 initialized
11/20/08 18:04:27 [Info]: OS: 5.1 build 2600 (Service Pack 3)
11/20/08 18:04:27 [Note]: 7019 4
11/20/08 18:04:27 [Note]: 7005 0
11/20/08 18:04:42 [Note]: 7006 0
11/20/08 18:04:42 [Note]: 7011 2964
11/20/08 18:04:42 [Note]: 7035 0
11/20/08 18:04:42 [Note]: 7026 0
11/20/08 18:04:42 [Note]: 7026 0
11/20/08 18:04:45 [Note]: FSRAW library version 1.7.1024
11/20/08 18:05:03 [Note]: 7007 0
         
Malewarebytes Aktualisierung fehlgeschlagen (Hat aber auch so was gefunden).
Interessant war, dass dass Programm auch auf die anderen Festplatten zugreifen und dort die sogar noch vorhandenen Daten scannen konnte. Es hat nur alles nur ewig gedauert (ich hatte auch das Gefühl, dass das Programm zum Ende immer laaaaaaaangsamer wurde, bevor es ganz am Ende wieder Gas gab ... die Festplatte ratterte zwischendurch bei der "Langsamfahrt" kräftig). So ein Scan über 4:38 !!! Stunden geht schon an die Substanz ...
Code:
ATTFilter
Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1306
Windows 5.1.2600 Service Pack 3

20.11.2008 22:50:49
mbam-log-2008-11-20 (22-50-49).txt

Scan-Methode: Vollständiger Scan (C:\|F:\|H:\|J:\|)
Durchsuchte Objekte: 244812
Laufzeit: 4 hour(s), 38 minute(s), 1 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 8

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{9afb8248-617f-460d-9366-d71cdeda3179} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\msacm32.drv (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\TDSScfub.dll (Rootkit.Agent) -> Delete on reboot.
C:\WINDOWS\system32\TDSSfpmp.dll (Rootkit.Agent) -> Delete on reboot.
C:\WINDOWS\system32\TDSSnrsr.dll (Rootkit.Agent) -> Delete on reboot.
C:\WINDOWS\system32\TDSSoeqh.dll (Rootkit.Agent) -> Delete on reboot.
C:\WINDOWS\system32\TDSSriqp.dll (Rootkit.Agent) -> Delete on reboot.
C:\WINDOWS\system32\TDSStkdv.log (Trojan.TDSS) -> Delete on reboot.
C:\WINDOWS\system32\drivers\TDSSmqxt.sys (Rootkit.Agent) -> Delete on reboot.
         
Den Rest mach ich morgen :-)


Alt 20.11.2008, 23:14   #6
biX
 
Kein Festplattenzugriff (RAW statt NTFS) und bediddle.com - Standard

Kein Festplattenzugriff (RAW statt NTFS) und bediddle.com



Malewarebytes hat Neustart durchgeführt. Chkdsk lief bestimmt fünf/sechsmal drüber (sah geil aus auf dem Bildschirm das Durchrattern war der blanke Wahnsinn )

Ergebnis
Alle Festplatten wieder da (mit vollständigen Daten wies es scheint)!!!!
Windows-Update geht ...
Ich geh jetzt erst mal ins Bett und mach aber wohl dennoch morgen den Rest ...

DANKE!!! Ihr seid die Besten (besonderen Dank natürlich an root für die Betreuung )

Geändert von biX (20.11.2008 um 23:19 Uhr)

Alt 21.11.2008, 10:40   #7
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Kein Festplattenzugriff (RAW statt NTFS) und bediddle.com - Ausrufezeichen

Kein Festplattenzugriff (RAW statt NTFS) und bediddle.com



Ja, acker auf jeden Fall noch den Rest ab. Du hattest da den TDSS-Rootkit im System

Bei Rootkits solltest Du generell überlgen, ob Du nicht besser neu aufsetzen solltest. Aber mit den anderen Tools kannst Du Dein System ja erstmal soweit bereinigen, dass es einigermaßen gut wieder benutzbar ist und Du dann danach gut vorbereitet formatieren und neu aufsetzen kannst.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 21.11.2008, 16:35   #8
biX
 
Kein Festplattenzugriff (RAW statt NTFS) und bediddle.com - Standard

Kein Festplattenzugriff (RAW statt NTFS) und bediddle.com



So, noch der Rest:

4.
http://www.file-upload.net/download-1268219/Startup-Programs--SKLAVE--2008-11-21-15.44.57.zip.html

5.
Code:
ATTFilter
ComboFix 08-11-20.02 - VU 2008-11-21 16:09:56.1 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.1.1031.18.1244 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\VU\Desktop\Antiviren\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\rasqervy.dll
c:\windows\sdfinacs.dll
c:\windows\sdfixwcs.dll
c:\windows\system32\av.dat
c:\windows\system32\c_438492.nls
c:\windows\system32\TDSSosvd.dat
c:\windows\wuasirvy.dll

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_TDSSSERV.SYS
-------\Service_TDSSserv.sys


(((((((((((((((((((((((   Dateien erstellt von 2008-10-21 bis 2008-11-21  ))))))))))))))))))))))))))))))
.

2008-11-21 15:58 . 2008-11-21 15:58	<DIR>	d--------	c:\programme\CCleaner
2008-11-20 23:07 . 2008-10-16 14:08	27,672	--a------	c:\windows\system32\wuapi.dll.mui
2008-11-20 18:08 . 2008-11-20 18:08	<DIR>	d--------	c:\programme\Malwarebytes' Anti-Malware
2008-11-20 18:08 . 2008-11-20 18:08	<DIR>	d--------	c:\dokumente und einstellungen\VU\Anwendungsdaten\Malwarebytes
2008-11-20 18:08 . 2008-11-20 18:08	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-11-20 18:08 . 2008-10-22 16:10	38,496	--a------	c:\windows\system32\drivers\mbamswissarmy.sys
2008-11-20 18:08 . 2008-10-22 16:10	15,504	--a------	c:\windows\system32\drivers\mbam.sys
2008-11-19 18:54 . 2008-11-19 18:54	<DIR>	d--------	c:\programme\CDBurnerXP
2008-11-19 18:54 . 2008-11-19 18:54	<DIR>	d--------	c:\dokumente und einstellungen\VU\Anwendungsdaten\Canneverbe_Limited
2008-11-13 20:27 . 2008-11-13 20:27	<DIR>	d--------	c:\programme\Trend Micro
2008-11-13 17:54 . 2008-11-21 15:31	<DIR>	d--------	c:\programme\Spybot - Search & Destroy
2008-11-13 17:54 . 2008-11-21 15:31	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-11-12 18:34 . 2008-11-12 18:36	<DIR>	d-a------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2008-11-12 17:34 . 2008-09-04 18:15	1,106,944	-----c---	c:\windows\system32\dllcache\msxml3.dll
2008-11-12 17:34 . 2008-10-24 12:21	455,296	-----c---	c:\windows\system32\dllcache\mrxsmb.sys
2008-11-10 19:12 . 2008-11-10 19:12	<DIR>	d--------	c:\dokumente und einstellungen\Auswahl\Anwendungsdaten\Thunderbird
2008-11-10 18:50 . 2007-09-06 19:05	<DIR>	d--h-----	c:\dokumente und einstellungen\Auswahl\Vorlagen
2008-11-10 18:50 . 2007-09-06 20:00	<DIR>	dr-------	c:\dokumente und einstellungen\Auswahl\Startmenü
2008-11-10 18:50 . 2007-09-06 20:00	<DIR>	d--h-----	c:\dokumente und einstellungen\Auswahl\Netzwerkumgebung
2008-11-10 18:50 . 2008-11-21 16:10	<DIR>	d--h-----	c:\dokumente und einstellungen\Auswahl\Lokale Einstellungen
2008-11-10 18:50 . 2008-11-10 18:50	<DIR>	dr-------	c:\dokumente und einstellungen\Auswahl\Favoriten
2008-11-10 18:50 . 2008-11-10 22:05	<DIR>	dr-------	c:\dokumente und einstellungen\Auswahl\Eigene Dateien
2008-11-10 18:50 . 2007-09-06 20:00	<DIR>	d--h-----	c:\dokumente und einstellungen\Auswahl\Druckumgebung
2008-11-10 18:50 . 2008-11-10 18:50	<DIR>	d--------	c:\dokumente und einstellungen\Auswahl\Anwendungsdaten\PFU
2008-11-10 18:50 . 2008-11-10 18:50	<DIR>	d--------	c:\dokumente und einstellungen\Auswahl\Anwendungsdaten\Logitech
2008-11-10 18:50 . 2008-11-10 20:15	<DIR>	dr-h-----	c:\dokumente und einstellungen\Auswahl\Anwendungsdaten
2008-11-10 18:50 . 2008-11-10 22:54	<DIR>	d--------	c:\dokumente und einstellungen\Auswahl
2008-11-03 20:25 . 2008-11-03 20:25	<DIR>	d--------	c:\dokumente und einstellungen\VU\Anwendungsdaten\GlarySoft
2008-11-01 11:55 . 2008-11-01 12:23	<DIR>	d--------	C:\Sicherung
2008-10-26 15:18 . 2008-10-26 15:18	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Creative Labs
2008-10-26 15:14 . 2008-11-21 16:12	54,760	--a------	c:\windows\system32\BMXState-{00000001-00000000-00000002-00001102-00000005-00311102}.rfx
2008-10-26 15:14 . 2008-11-21 16:12	788	--a------	c:\windows\system32\DVCState-{00000001-00000000-00000002-00001102-00000005-00311102}.rfx
2008-10-26 15:12 . 2007-02-26 15:24	94,208	--a------	c:\windows\system32\cttele32.dll
2008-10-26 15:08 . 2008-07-15 01:08	24,089,151	--a------	c:\windows\system32\AppSetup.exe
2008-10-26 15:05 . 1999-12-13 01:01	44,032	---------	c:\windows\system32\CTSVCCDA.EXE
2008-10-26 15:05 . 1999-11-18 01:00	25,088	---------	c:\windows\system32\CTSVCCTL.EXE
2008-10-26 15:03 . 2008-10-26 15:03	<DIR>	d--------	c:\programme\Gemeinsame Dateien\Creative Labs Shared
2008-10-26 13:22 . 2008-10-26 13:22	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\LogiShrd
2008-10-26 13:18 . 2008-10-26 13:19	<DIR>	d--------	c:\programme\Gemeinsame Dateien\Logishrd
2008-10-26 13:18 . 2008-05-02 02:38	301,656	--a------	c:\windows\system32\BtCoreIf.dll
2008-10-26 11:19 . 2008-10-26 11:18	19,456	--a------	c:\windows\system\hidserv.dll
2008-10-24 23:14 . 2008-10-15 17:35	337,408	-----c---	c:\windows\system32\dllcache\netapi32.dll

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-21 15:10	---------	d-----w	c:\dokumente und einstellungen\VU\Anwendungsdaten\Free Download Manager
2008-11-21 15:03	---------	d-----w	c:\programme\Mozilla Thunderbird
2008-11-20 22:30	---------	d-----w	c:\programme\Steam
2008-11-20 16:59	---------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater
2008-11-17 21:41	---------	d-----w	c:\dokumente und einstellungen\VU\Anwendungsdaten\Azureus
2008-11-12 16:53	---------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-10-31 21:49	46,536	----a-w	c:\windows\system32\drivers\MiniIcpt.sys
2008-10-26 15:41	32,768	----a-w	c:\windows\inf\UpdateUSB.exe
2008-10-26 14:13	---------	d--h--w	c:\programme\InstallShield Installation Information
2008-10-26 14:12	413,696	----a-w	c:\windows\system32\wrap_oal.dll
2008-10-26 14:12	110,592	----a-w	c:\windows\system32\OpenAL32.dll
2008-10-26 14:07	---------	d--h--w	c:\programme\Creative Installation Information
2008-10-26 14:02	---------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Creative
2008-10-26 12:18	---------	d-----w	c:\programme\Gemeinsame Dateien\Logitech
2008-10-26 10:04	---------	d-----w	c:\programme\Logitech
2008-10-24 11:21	455,296	----a-w	c:\windows\system32\drivers\mrxsmb.sys
2008-10-21 20:54	---------	d-----w	c:\programme\Microsoft Silverlight
2008-10-16 13:13	1,809,944	----a-w	c:\windows\system32\wuaueng.dll
2008-10-16 13:12	561,688	----a-w	c:\windows\system32\wuapi.dll
2008-10-16 13:12	323,608	----a-w	c:\windows\system32\wucltui.dll
2008-10-16 13:09	92,696	----a-w	c:\windows\system32\cdm.dll
2008-10-16 13:09	51,224	----a-w	c:\windows\system32\wuauclt.exe
2008-10-16 13:09	43,544	----a-w	c:\windows\system32\wups2.dll
2008-10-16 13:08	34,328	----a-w	c:\windows\system32\wups.dll
2008-09-30 15:43	1,286,152	----a-w	c:\windows\system32\msxml4.dll
2008-09-15 15:24	1,846,528	----a-w	c:\windows\system32\win32k.sys
2008-09-10 01:13	1,307,648	----a-w	c:\windows\system32\msxml6.dll
2008-09-04 17:15	1,106,944	----a-w	c:\windows\system32\msxml3.dll
2008-08-26 07:57	826,368	----a-w	c:\windows\system32\wininet.dll
2008-05-20 21:32	32,768	--sha-w	c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008052020080521\index.dat
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AudioDrvEmulator"="c:\programme\Creative\Shared Files\Module Loader\DLLML.exe" [2005-11-04 49152]
"AsusStartupHelp"="c:\programme\ASUS\AASP\1.00.17\AsRunHelp.exe" [2006-11-14 363008]
"Google Desktop Search"="c:\programme\Google\Google Desktop Search\GoogleDesktop.exe" [2008-09-22 29744]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-05-03 13529088]
"AVKTray"="c:\programme\G DATA TotalCare\AVKTray\AVKTray.exe" [2008-02-11 603720]
"GDFirewallTray"="c:\programme\G DATA TotalCare\Firewall\GDFirewallTray.exe" [2008-02-07 1193648]
"CTHelper"="CTHELPER.EXE" [2006-12-12 c:\windows\system32\CtHelper.exe]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2008-02-29 c:\windows\KHALMNPR.Exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
G DATA Firewall Tray.lnk - c:\programme\G DATA TotalCare\Firewall\GDFirewallTray.exe [2008-01-10 1193648]
Logitech SetPoint.lnk - c:\programme\Logitech\SetPoint\SetPoint.exe [2008-10-26 805392]
REALTEK USB Wireless LAN Utility.lnk - c:\programme\REALTEK USB Wireless LAN Driver and Utility\RtWLan.exe [2008-05-21 790528]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2008-05-02 02:42 72208 c:\programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTWLgn.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"wave1"= c_438416.nls
"mixer1"= c_438416.nls
"wave2"= c_438416.nls
"mixer2"= c_438416.nls
"aux1"= c_438416.nls
"midi2"= c_438416.nls
"midi1"= c_438416.nls
"aux2"= c_438416.nls

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" /background
"Free Uploader Oe Integration"=c:\programme\Free Download Manager\FUM\fumoei.exe
"AdobeUpdater"=c:\programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe
"Sony Ericsson PC Suite"="c:\programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" /systray /nologon
"Steam"="c:\programme\steam\steam.exe" -silent

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"NvMediaCenter"=RUNDLL32.EXE c:\windows\system32\NvMcTray.dll,NvTaskbarInit
"VolPanel"="c:\programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe" /r
"Easy-PrintToolBox"=c:\programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
"Launch Ai Booster"="c:\programme\ASUS\AI Booster\OverClk.exe"
"CTxfiHlp"=CTXFIHLP.EXE
"SunJavaUpdateSched"="c:\programme\Java\jre1.5.0_14\bin\jusched.exe"
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
"Acrobat Assistant 7.0"="c:\programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
"nwiz"=nwiz.exe /install
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
"Launch LgDevAgt"="c:\programme\Logitech\GamePanel Software\LgDevAgt.exe"
"UpdReg"=c:\windows\UpdReg.EXE
"EzBackup Manager"=c:\programme\EZ-Backup\EZ-Backup Manager\ezbackupmanager.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\TerraTec\\TerraTec Home Cinema\\CinergyDvrSetup.exe"=
"c:\\Programme\\TerraTec\\TerraTec Home Cinema\\tvtvSetup\\tvtv_Wizard.exe"=
"c:\\Programme\\TerraTec\\TerraTec Home Cinema\\CinergyDvr.exe"=
"c:\\Programme\\TerraTec\\TerraTec Home Cinema\\ChannelEditor\\CinergyDvrChannelEditor.exe"=
"c:\\Programme\\TerraTec\\TerraTec Home Cinema\\CinergyDvrHelper.exe"=
"c:\\Programme\\TerraTec\\TerraTec Home Cinema\\CinergyDvrUpdate\\CinergyDvrUp_date.exe"=
"c:\\Programme\\Sony Ericsson\\Update Service\\Update Service.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Steam\\SteamApps\\mail@****.de\\counter-strike source\\hl2.exe"=
"c:\\Programme\\Azureus\\Azureus.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"27030:TCP"= 27030:TCP:Steam
"27031:TCP"= 27031:TCP:Steam
"27032:TCP"= 27032:TCP:Steam
"27033:TCP"= 27033:TCP:Steam
"27034:TCP"= 27034:TCP:Steam
"27035:TCP"= 27035:TCP:Steam
"27036:TCP"= 27036:TCP:Steam
"27038:TCP"= 27038:TCP:steam
"27037:TCP"= 27037:TCP:Steam
"27039:TCP"= 27039:TCP:Steam
"1200:UDP"= 1200:UDP:Steam
"2700:UDP"= 2700:UDP:Steam
"2701:UDP"= 2701:UDP:steam
"2702:UDP"= 2702:UDP:steam
"2703:UDP"= 2703:UDP:steam
"2704:UDP"= 2704:UDP:steam
"2705:UDP"= 2705:UDP:steam
"2706:UDP"= 2706:UDP:steam
"2707:UDP"= 2707:UDP:steam
"2708:UDP"= 2708:UDP:steam
"2709:UDP"= 2709:UDP:steam
"2710:UDP"= 2710:UDP:steam
"2711:UDP"= 2711:UDP:steam
"2712:UDP"= 2712:UDP:steam
"2713:UDP"= 2713:UDP:steam
"2714:UDP"= 2714:UDP:steam
"2715:UDP"= 2715:UDP:steam
"51400:TCP"= 51400:TCP:Azureus

R0 GDNdisIc;GDNdisIc;c:\windows\system32\drivers\GDNdisIc.sys [2008-01-10 19328]
R0 hotcore3;hotcore3;c:\windows\system32\drivers\hotcore3.sys [2007-09-06 38448]
R2 AVKProxy;G DATA AntiVirus Proxy;"c:\programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe" [2008-01-10 718408]
R2 AVKService;AVK Service;c:\programme\G DATA TotalCare\AVK\AVKService.exe [2008-01-10 427592]
R2 AVKWCtl;AVK Wächter;c:\programme\G DATA TotalCare\AVK\AVKWCtl.exe [2008-01-10 1127816]
R2 CTAudSvcService;Creative Audio Service;c:\programme\Creative\Shared Files\CTAudSvc.exe [2008-10-26 425984]
R2 EAPPkt;Realtek EAPPkt Protocol;c:\windows\system32\DRIVERS\EAPPkt.sys [2008-05-21 38144]
R2 EZ-Backup Manager;EZ-Backup Manager;c:\programme\EZ-Backup\EZ-Backup Manager\EzBackup.exe [2007-09-07 1124352]
R2 GDTdiInterceptor;GDTdiInterceptor;\??\c:\windows\system32\drivers\GDTdiIcpt.sys [2008-01-10 41928]
R2 UxTuneUp;TuneUp Designerweiterung;c:\windows\System32\svchost.exe -k netsvcs [2006-02-28 14336]
R3 AVMBTPARALLEL;AVM Bluetooth Druckeranschluss;c:\windows\system32\DRIVERS\avmbtpar.sys [2007-07-03 61952]
R3 AVMBTSERIAL;AVM Bluetooth Kommunikationsanschluss;c:\windows\system32\DRIVERS\avmbtser.sys [2007-07-03 60928]
R3 AVMBTSND;AVM Bluetooth Audio Driver;c:\windows\system32\drivers\avmbtsnd.sys [2007-07-03 52352]
R3 AVMCOWAN;AVMCOWAN;c:\windows\system32\DRIVERS\AVMCOWAN.sys [2007-07-03 53632]
R3 BFHU_CFG;AVM BlueFRITZ!USB 2.0 HCI Config Switch Driver;c:\windows\system32\DRIVERS\bfhu_cfg.sys [2007-07-03 6656]
R3 CAPI_CIP;AVM Bluetooth CAPI-Controller;c:\windows\system32\DRIVERS\capi_cip.sys [2007-07-03 374144]
R3 GDFwSvc;G DATA Personal Firewall;c:\programme\G DATA TotalCare\Firewall\GDFwSvc.exe [2008-01-10 1496648]
R3 GDMnIcpt;GDMnIcpt;\??\c:\windows\system32\drivers\MiniIcpt.sys [2008-01-07 46536]
R3 ha20x2k;Creative 20X HAL Driver;c:\windows\system32\drivers\ha20x2k.sys [2007-10-07 1173016]
R3 HookCentre;HookCentre;\??\c:\windows\system32\drivers\HookCentre.sys [2008-01-10 32200]
R3 RTLWUSB;Realtek RTL8187 Wireless 802.11g 54Mbps USB 2.0 Network Adapter;c:\windows\system32\DRIVERS\RTL8187.sys [2007-09-08 185344]
S0 ctprrv;ctprrv;c:\windows\system32\drivers\dtetuqdx.sys []
S3 AVK Tuner Service;AVK Tuner Service;c:\programme\G DATA InternetSecurity TotalCare\AVKTuner\AVKTunerService.exe []
S3 bfubase;BlueFRITZ! USB;c:\windows\system32\DRIVERS\bfubase.sys [2007-07-03 882688]
S3 Creative Audio Engine Licensing Service;Creative Audio Engine Licensing Service;"c:\programme\Gemeinsame Dateien\Creative Labs Shared\Service\CTAELicensing.exe" [2008-10-26 79360]
S3 G DATA Tuner Service;G DATA Tuner Service;c:\programme\G DATA TotalCare\AVKTuner\AVKTunerService.exe [2008-01-10 796232]
S3 GoogleDesktopManager-061008-081103;Google Desktop Manager 5.7.806.10245;"c:\programme\Google\Google Desktop Search\GoogleDesktop.exe" [2007-09-30 29744]
S3 HRService;Haufe iDesk-Service in c:\programme\Haufe\iDesk\iDeskService\Zope;"c:\programme\Haufe\iDesk\iDeskService\iDeskService.exe" [2007-09-07 71208]
S3 MODRC;Cinergy DT USB XS Diversity IR Service;c:\windows\system32\DRIVERS\modrc.sys [2007-09-06 13056]
S3 NETBFPAN;AVM Bluetooth Netzwerkadapter;c:\windows\system32\DRIVERS\netbfpan.sys [2007-07-03 33354]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{12e5378c-5df4-11dc-aef1-9cb77883c00c}]
\Shell\AutoRun\command - G:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{12e5378d-5df4-11dc-aef1-9cb77883c00c}]
\Shell\AutoRun\command - G:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{15ab8f70-d815-11dc-b03b-001bfc9a3756}]
\Shell\AutoRun\command - G:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{15ab8f71-d815-11dc-b03b-001bfc9a3756}]
\Shell\AutoRun\command - G:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3f90ea34-c225-11dc-afff-404e57434401}]
\Shell\AutoRun\command - G:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3f90ea36-c225-11dc-afff-404e57434401}]
\Shell\AutoRun\command - G:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4f351b8e-2758-11dd-b0dc-0015af19d74c}]
\Shell\AutoRun\command - H:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4f351b8f-2758-11dd-b0dc-0015af19d74c}]
\Shell\AutoRun\command - H:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{68065fa4-c2bf-11dc-b003-404e57434401}]
\Shell\AutoRun\command - G:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6c7f05be-5cb3-11dc-aee7-e4f5c18de784}]
\Shell\AutoRun\command - G:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6c7f05c0-5cb3-11dc-aee7-e4f5c18de784}]
\Shell\AutoRun\command - G:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a57188fc-c806-11dc-b017-028037150300}]
\Shell\AutoRun\command - G:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a57188fd-c806-11dc-b017-028037150300}]
\Shell\AutoRun\command - G:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a5718900-c806-11dc-b017-028037150300}]
\Shell\AutoRun\command - G:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a5718901-c806-11dc-b017-404e57434401}]
\Shell\AutoRun\command - G:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a5718902-c806-11dc-b017-404e57434401}]
\Shell\AutoRun\command - G:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a5718906-c806-11dc-b017-404e57434401}]
\Shell\AutoRun\command - H:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{da09f85e-c5c1-11dc-b010-404e57434401}]
\Shell\AutoRun\command - G:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{da09f860-c5c1-11dc-b010-404e57434401}]
\Shell\AutoRun\command - G:\AutoRun.exe
.
Inhalt des "geplante Tasks" Ordners

2008-10-31 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2007\SystemOptimizer.exe [2007-04-26 20:08]
.
.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - c:\dokumente und einstellungen\VU\Anwendungsdaten\Mozilla\Firefox\Profiles\utf2lwh9.default\
FF -: plugin - c:\program files\Real\RealPlayer\Netscape6\nppl3260.dll
FF -: plugin - c:\program files\Real\RealPlayer\Netscape6\nprjplug.dll
FF -: plugin - c:\program files\Real\RealPlayer\Netscape6\nprpjplug.dll
FF -: plugin - c:\programme\Google\Google Updater\2.4.1368.5602\npCIDetect13.dll
FF -: plugin - c:\programme\Java\jre1.5.0_14\bin\NPJava11.dll
FF -: plugin - c:\programme\Java\jre1.5.0_14\bin\NPJava12.dll
FF -: plugin - c:\programme\Java\jre1.5.0_14\bin\NPJava13.dll
FF -: plugin - c:\programme\Java\jre1.5.0_14\bin\NPJava14.dll
FF -: plugin - c:\programme\Java\jre1.5.0_14\bin\NPJava32.dll
FF -: plugin - c:\programme\Java\jre1.5.0_14\bin\NPJPI150_14.dll
FF -: plugin - c:\programme\Java\jre1.5.0_14\bin\NPOJI610.dll
FF -: plugin - c:\programme\Microsoft Silverlight\2.0.31005.0\npctrl.1.0.30716.0.dll
FF -: plugin - c:\programme\Microsoft Silverlight\2.0.31005.0\npctrl.dll
FF -: plugin - c:\programme\Mozilla Firefox\plugins\npagent.dll
FF -: plugin - c:\programme\Mozilla Firefox\plugins\npGoogleGadgetPluginFirefoxWin.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-21 16:14:25
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Bonjour\mDNSResponder.exe
c:\windows\system32\CTSVCCDA.EXE
c:\windows\system32\Crypserv.exe
c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe
c:\windows\system32\nvsvc32.exe
c:\programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-11-21 16:17:27 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2008-11-21 15:17:08

Vor Suchlauf: 18 Verzeichnis(se), 59.726.318.080 Bytes frei
Nach Suchlauf: 18 Verzeichnis(se), 59,697,146,368 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect

324	--- E O F ---	2008-11-12 16:59:51
         
6.
Code:
ATTFilter
http://www.file-upload.net/download-1268305/listing.txt.html
         

Alt 21.11.2008, 16:39   #9
biX
 
Kein Festplattenzugriff (RAW statt NTFS) und bediddle.com - Standard

Kein Festplattenzugriff (RAW statt NTFS) und bediddle.com



7.
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:34:12, on 21.11.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Creative\Shared Files\CTAudSvc.exe
C:\Programme\G DATA TotalCare\AVK\AVKService.exe
C:\Programme\G DATA TotalCare\AVK\AVKWCtl.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\WINDOWS\system32\crypserv.exe
C:\Programme\EZ-Backup\EZ-Backup Manager\EzBackup.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\Programme\G DATA TotalCare\Firewall\GDFwSvc.exe
C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
C:\Programme\G DATA TotalCare\AVKTray\AVKTray.exe
C:\Programme\G DATA TotalCare\Firewall\GDFirewallTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\REALTEK USB Wireless LAN Driver and Utility\RtWLan.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Microsoft Office\Office12\WINWORD.EXE
C:\Dokumente und Einstellungen\VU\Desktop\Antiviren\qlketzd.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA TotalCare\Webfilter\AVKWebIE.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_14\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdm2.dll
O3 - Toolbar: &TerraTec Home Cinema - {AD6E6555-FB2C-47D4-8339-3E2965509877} - C:\PROGRA~1\TerraTec\TERRAT~1\THCDES~1.DLL
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA TotalCare\Webfilter\AVKWebIE.dll
O4 - HKLM\..\Run: [AudioDrvEmulator] "C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" -1 AudioDrvEmulator "C:\Programme\Creative\Shared Files\Module Loader\Audio Emulator\AudDrvEm.dll"
O4 - HKLM\..\Run: [AsusStartupHelp] C:\Programme\ASUS\AASP\1.00.17\AsRunHelp.exe
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [AVKTray] "C:\Programme\G DATA TotalCare\AVKTray\AVKTray.exe"
O4 - HKLM\..\Run: [GDFirewallTray] C:\Programme\G DATA TotalCare\Firewall\GDFirewallTray.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: G DATA Firewall Tray.lnk = ?
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: REALTEK USB Wireless LAN Utility.lnk = ?
O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Datei mit FDM herunterladen - file://C:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Videos mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlfvideo.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_14\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_14\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Upload - {FD4E2FF8-973C-4A19-89BD-8E86B3CFCFE1} - C:\Programme\Free Download Manager\FUM\fumiebtn.dll
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - h*tp://www.creative.com/su/ocx/15030/CTSUEng.cab
O16 - DPF: {0D41B8C5-2599-4893-8183-00195EC8D5F9} (asusTek_sysctrl Class) - h*tp://support.asus.com/common/asusTek_sys_ctrl.cab
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://w*w.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h*tp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DF6504AC-3EFE-4287-B259-FB299B069C95} (WEBDE Fotoalbum Upload Control) - h*tps://img.web.de/v/mail/activex/fa_os_mms/upload_1141.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://w*w.creative.com/softwareupdate/su2/ocx/15106/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{933BB48B-1547-4977-980D-4BCE87FDE583}: NameServer = 134.169.9.150,145.253.2.11
O23 - Service: AVK Tuner Service - Unknown owner - C:\Programme\G DATA InternetSecurity TotalCare\AVKTuner\AVKTunerService.exe (file missing)
O23 - Service: G DATA AntiVirus Proxy (AVKProxy) - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: AVK Service (AVKService) - G DATA Software AG - C:\Programme\G DATA TotalCare\AVK\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - G DATA Software AG - C:\Programme\G DATA TotalCare\AVK\AVKWCtl.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Creative Audio Engine Licensing Service - Creative Labs - C:\Programme\Gemeinsame Dateien\Creative Labs Shared\Service\CTAELicensing.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: Crypkey License - CrypKey (Canada) Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: Creative Audio Service (CTAudSvcService) - Creative Technology Ltd - C:\Programme\Creative\Shared Files\CTAudSvc.exe
O23 - Service: EZ-Backup Manager - Unknown owner - C:\Programme\EZ-Backup\EZ-Backup Manager\EzBackup.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: G DATA Tuner Service - G DATA Software AG - C:\Programme\G DATA TotalCare\AVKTuner\AVKTunerService.exe
O23 - Service: G DATA Personal Firewall (GDFwSvc) - G DATA Software AG - C:\Programme\G DATA TotalCare\Firewall\GDFwSvc.exe
O23 - Service: Google Desktop Manager 5.7.806.10245 (GoogleDesktopManager-061008-081103) - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope (HRService) - Unknown owner - C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTServ.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O24 - Desktop Component 0: (no name) - file:///C:/DOKUME~1/VU/LOKALE~1/Temp/msohtmlclip1/01/clip_image002.jpg

--
End of file - 12537 bytes
         
Gestern Abend funktionierte sogar das Lautstärkerad meiner Tastatur wieder ... freu, freu, freu ...

Alt 21.11.2008, 16:51   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Kein Festplattenzugriff (RAW statt NTFS) und bediddle.com - Ausrufezeichen

Kein Festplattenzugriff (RAW statt NTFS) und bediddle.com



Sry aber freuen wir uns mal lieber nicht zu früh

Code:
ATTFilter
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"wave1"= c_438416.nls
         
"wave1" und die Datei c_438416.nls passen zu Silentbanker Denn die Datei hat die silentbanker-tyische Namensgebung und auch Endung .nls.

Du solltest wirklich aus Sicherheitsgründen plattmachen neu aufsetzen.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 21.11.2008, 17:22   #11
biX
 
Kein Festplattenzugriff (RAW statt NTFS) und bediddle.com - Standard

Kein Festplattenzugriff (RAW statt NTFS) und bediddle.com



Den Silentbanker hatte G-Data interessanter Weise erkannt und in Quarantäne gestellt. Ich hab die dann gelöscht, da sie sich nicht desinfizieren liessen ...
Das sind wohl die ganz harten?
Diesen ganzen Mist neu aufsetzen? Ach neeeeeeeee!!! Die Misttreiber kriege ich nie wieder anständig installiert ...

Alt 21.11.2008, 17:52   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Kein Festplattenzugriff (RAW statt NTFS) und bediddle.com - Icon32

Kein Festplattenzugriff (RAW statt NTFS) und bediddle.com



Wenn Du weißt was der Silentbanker anstellt würdest Du lieber 10x Neuaufsetzen....

Silent Banker: Online-Bankraub in aller Stille - PC-WELT
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 21.11.2008, 18:11   #13
biX
 
Kein Festplattenzugriff (RAW statt NTFS) und bediddle.com - Standard

Kein Festplattenzugriff (RAW statt NTFS) und bediddle.com



Ja, hab schon verstanden... danke für den Hinweis

Wie formatiere/lösche ich eigentlich meine externe Festplatte sicher, auf der ich eine Kopie meiner Systemfestplatte gemacht hatte. Da müssten die Viren ja mit drauf sein. Wenn ich die jetzt über USB anschließe, könnten sich die Dinger da irgendwie mit "hoch booten"?

Danke nochmals root

Alt 21.11.2008, 20:20   #14
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Kein Festplattenzugriff (RAW statt NTFS) und bediddle.com - Standard

Kein Festplattenzugriff (RAW statt NTFS) und bediddle.com



Wie hast Du die Daten von der Systempartition auf die ext Platte kopiert?
Hast Du dazu ein Imageprogramm wie z.B. Acronis benutzt? Wenn ja, ist die Systempartition in einer großen Datei abgebildet, selbst wenn da Viren drin sind, können die nichts ausrichten. Allerdings könnte die Platte anderweitig durch das System infiziert worden sein. Deswegen solltest Du zusehen, dass alle ausführbaren Inhalte von der ext. Platte gelöscht werden und falls vorhanden, auch eine evtl. von einem Schädling angelegte autorun.inf, die mögliche Schädlinge automatisch starten lässt, wenn man einen ext. Datenträger einlegt. U.a. deswegen deaktiviere ich immer die Autostartfunktion aller Laufwerke.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 21.11.2008, 22:50   #15
biX
 
Kein Festplattenzugriff (RAW statt NTFS) und bediddle.com - Standard

Kein Festplattenzugriff (RAW statt NTFS) und bediddle.com



Hi alle, hi root,
die Dateien habe ich mit Partition Manager kopiert, also 1:1. Heisst, ich muss die Festplatte am Besten vollständig, sicher formatieren ...

CD/DVD autorun hab ich deaktiviert. USB-Autorun hab ich deaktiviert.

Am Besten formatieren mit Eraser, Secure Eraser oder ... ???

Antwort

Themen zu Kein Festplattenzugriff (RAW statt NTFS) und bediddle.com
antivirus, aufrufe, bho, bonjour, canon, computer, dateisystem, desktop, einstellung, ellung, fehlercode 1, festplatte, firefox, free download, g data, google, hijack, hijackthis, hilfe!!, hkus\s-1-5-18, home, internet, internet explorer, konvertieren, mozilla, mozilla thunderbird, object, pc läuft, pdf-datei, realtek, security, senden, software, system, usb, userinit.exe, windows, windows xp, windows xp sp3, wireless lan, wörter, xp sp 3, xp sp3



Ähnliche Themen: Kein Festplattenzugriff (RAW statt NTFS) und bediddle.com


  1. Win 7x64 hängt minutenlang / dauerhaft Festplattenzugriff
    Log-Analyse und Auswertung - 04.03.2015 (10)
  2. Festplattenzugriff sehr langsam - Malware?
    Plagegeister aller Art und deren Bekämpfung - 07.05.2014 (15)
  3. Ständiger Festplattenzugriff, Firefox Umleitung, usw. (mit Logs)
    Log-Analyse und Auswertung - 13.04.2013 (21)
  4. Windows Verschlüsselungs Trojaner ...kein Festplattenzugriff mehr
    Plagegeister aller Art und deren Bekämpfung - 24.06.2012 (1)
  5. Statt Verzeichnis-Symbol erscheint Papierkorbsymbol - kein Zugriff auf Verzeichnis mehr möglich
    Plagegeister aller Art und deren Bekämpfung - 10.06.2012 (3)
  6. VISTA Festplattenzugriff
    Log-Analyse und Auswertung - 10.01.2010 (2)
  7. Ständiger Festplattenzugriff Virus?
    Log-Analyse und Auswertung - 20.08.2009 (4)
  8. Recycler\ — Festplattenzugriff beinträchtigt
    Plagegeister aller Art und deren Bekämpfung - 07.04.2009 (2)
  9. Kein Festplattenzugriff durch Recycler Problem
    Plagegeister aller Art und deren Bekämpfung - 18.03.2009 (3)
  10. Bei jeder Suchanfrage in Google kommt Bediddle/längere ladezeiten
    Log-Analyse und Auswertung - 26.12.2008 (12)
  11. Googlesuche führt nur zu einer Seite: bediddle
    Mülltonne - 18.11.2008 (0)
  12. Altbekanntes Desktop-Spyware Problem + Bediddle.de [Bitte um Auswertung]
    Log-Analyse und Auswertung - 14.09.2008 (12)
  13. IE springt nur noch auf die Seite: bediddle.com
    Plagegeister aller Art und deren Bekämpfung - 10.09.2008 (6)
  14. Festplattenzugriff, Tast Manager u.s.w verweigert, Sys.exe Virus?
    Log-Analyse und Auswertung - 16.07.2008 (13)
  15. 16 statt 256 Farben/640x480 statt 800x600
    Alles rund um Windows - 14.07.2008 (4)
  16. Vista Sp1 ständiger Festplattenzugriff
    Log-Analyse und Auswertung - 22.06.2008 (12)
  17. Festplattenzugriff sehr hoch
    Mülltonne - 18.07.2007 (1)

Zum Thema Kein Festplattenzugriff (RAW statt NTFS) und bediddle.com - Hallo! Ich bin leicht am Verzweifeln und daher hier mein nachfolgender Post in der Hoffnung auf HILFE!!! Ich gehe sehr stark davon aus, dass ich mir "irgendwas eingefangen" habe, daher - Kein Festplattenzugriff (RAW statt NTFS) und bediddle.com...
Archiv
Du betrachtest: Kein Festplattenzugriff (RAW statt NTFS) und bediddle.com auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.