Trojaner-Board - Offen Externe Festplatte lässt sich nicht mehr per Doppelklick öffnen

Trojaner-Board (https://www.trojaner-board.de/)

- Antiviren-, Firewall- und andere Schutzprogramme (https://www.trojaner-board.de/antiviren-firewall-andere-schutzprogramme/)

- -

Externe Festplatte lässt sich nicht mehr per Doppelklick öffnen (https://www.trojaner-board.de/73476-externe-festplatte-laesst-mehr-per-doppelklick-oeffnen.html)

Externe Festplatte lässt sich nicht mehr per Doppelklick öffnen

Hallo Allerseits,

ich habe folgendes Problem:

Ein direkter Zugriff (öffnen) auf meine externe Festplatte ist vom Arbeitsplatz nicht mehr möglich. Zugriff funktioniert nurnoch über Rechtsklick -> Explorer oder die Addressleiste mit M:\.
Beim öffnen erscheint diese Fehlermeldung:

Zitat:

"Recycler\S-6-5-91-1000009823-100013637-100010015-3736.com" konnte nicht gefunden werden. Stellen Sie sicher, das Sie den Namen korrekt eingegeben haben und wiederholen Sie den Vorgang. Kllicken Sie auf "Start" und anschließend auf "Suchen", um die Datei zu suchen."

Die Board-Suche hat schon folgendes ergeben:

http://www.trojaner-board.de/71737-f...u-starten.html

http://www.trojaner-board.de/70976-f...t-oeffnen.html

Auch wenn der letztgenannte Thread schon als "Gelöst" markiert wurde, war es mir mithilfe der beschriebenen Anleitungen nicht möglich mein eigenes Problem zu lösen. Dies könnte eventuell auch daran liegen, dass das Rootkit sich ganz woanders versteckt hat oder ich einfach nicht ausreichende Kenntnisse in Puncto Registry-Problembehebung habe...

Ich habe schon einen Scan mit Malwarebytes' AM durchgeführt. Nach meiner Ansicht nach sollte dabei der "Backdoor.Bot" schon entfernt worden sein. Außerdem wurde The Avenger entfernt, was ich mir kurz zuvor noch auf Anweisung eines obig genannten Threads runtergeladen habe.
Ich habe vor einer Woche seit langem mal wieder einen Virenscan durchführen lassen. Ergebnis waren nach Avira 34 Viren und Unerwünschte Programme.
Falls ihr auch dieses Log-File braucht kann ich es nachreichen.

Hier der Bericht:

Code:

Malwarebytes' Anti-Malware 1.35

Datenbank Version: 1904

Windows 5.1.2600 Service Pack 3, v.5755
 

24.05.2009 21:01:59

mbam-log-2009-05-24 (21-01-59).txt
 

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|H:\|I:\|J:\|M:\|)

Durchsuchte Objekte: 428997

Laufzeit: 1 hour(s), 21 minute(s), 7 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 1

Infizierte Dateiobjekte der Registrierung: 14

Infizierte Verzeichnisse: 0

Infizierte Dateien: 1
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\taskman (Backdoor.Bot) -> Quarantined and deleted successfully.
 

Infizierte Dateiobjekte der Registrierung:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (Explorer.exe "C:\WINDOWS\server.exe") Good: (Explorer.exe) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.UserInit) -> Bad: (C:\WINDOWS\system32\userinit.exe,"C:\WINDOWS\server.exe",) Good: (userinit.exe) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.81,85.255.112.148 -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{8db04276-bc42-4769-890c-7ea9a6883112}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.81,85.255.112.148 -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{a39734ce-5945-4f51-ad5a-d58bd435c7fc}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.81,85.255.112.148 -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{af559e18-41b9-48ba-ace9-81dea9c0547d}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.81,85.255.112.148 -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.81,85.255.112.148 -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{8db04276-bc42-4769-890c-7ea9a6883112}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.81,85.255.112.148 -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{a39734ce-5945-4f51-ad5a-d58bd435c7fc}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.81,85.255.112.148 -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{af559e18-41b9-48ba-ace9-81dea9c0547d}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.81,85.255.112.148 -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.81,85.255.112.148 -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\Tcpip\Parameters\Interfaces\{8db04276-bc42-4769-890c-7ea9a6883112}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.81,85.255.112.148 -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\Tcpip\Parameters\Interfaces\{a39734ce-5945-4f51-ad5a-d58bd435c7fc}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.81,85.255.112.148 -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\Tcpip\Parameters\Interfaces\{af559e18-41b9-48ba-ace9-81dea9c0547d}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.81,85.255.112.148 -> Quarantined and deleted successfully.
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

C:\Dokumente und Einstellungen\Loo\Eigene Dateien\Download\avenger.exe (Malware.Tool) -> Quarantined and deleted successfully.

Hier noch das HJT-Logfile

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 19:47:39, on 25.05.2009

Platform: Windows XP SP3, v.5755 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16791)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Avira\AntiVir Desktop\sched.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\Avira\AntiVir Desktop\avgnt.exe

C:\Programme\UltraMon\UltraMon.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\UltraMon\UltraMonTaskbar.exe

C:\Programme\Avira\AntiVir Desktop\avguard.exe

C:\Programme\RALINK\RT2500 USB Wireless LAN Card\Installer\WINXP\RaConfig2500.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\Mozilla Firefox 3\firefox.exe

C:\Programme\Windows Live\Messenger\msnmsgr.exe

C:\Programme\iPod\bin\iPodService.exe

C:\Programme\Windows Media Player\wmplayer.exe

E:\PROGRA~1\FREEDO~1\fdm.exe

C:\WINDOWS\Explorer.EXE

C:\Dokumente und Einstellungen\***\Eigene Dateien\Download\HijackThis.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://google.de/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - (no file)

O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - (no file)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - E:\Programme\Free Download Manager\iefdm2.dll

O2 - BHO: Hotspot Shield Class - {F9E4A054-E9B1-4BC3-83A3-76A1AE736170} - E:\Programme\Hotspot Shield\hssie\HssIE.dll

O3 - Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - (no file)

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent

O4 - HKCU\..\Run: [UltraMon] "C:\Programme\UltraMon\UltraMon.exe" /auto

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Policies\Explorer\Run: [server] C:\WINDOWS\server.exe

O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Programme\RALINK\RT2500 USB Wireless LAN Card\Installer\WINXP\RaConfig2500.exe

O8 - Extra context menu item: Alles mit FDM herunterladen - file://E:\Programme\Free Download Manager\dlall.htm

O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://E:\Programme\Free Download Manager\dlselected.htm

O8 - Extra context menu item: Datei mit FDM herunterladen - file://E:\Programme\Free Download Manager\dllink.htm

O8 - Extra context menu item: Videos mit FDM herunterladen - file://E:\Programme\Free Download Manager\dlfvideo.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: (no name) - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MI1933~1\Office12\ONBttnIE.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O15 - Trusted Zone: h**p://messenger.msn.com

O15 - Trusted Zone: h**p://www.smartshanghai.com

O17 - HKLM\System\CCS\Services\Tcpip\..\{0C7DEF36-C96C-4279-86FD-FA6427C3E273}: NameServer = 192.168.0.1

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MI1933~1\Office12\GR99D3~1.DLL

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL

O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe

O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Hotspot Shield Service (HotspotShieldService) - Unknown owner - E:\Programme\Hotspot Shield\bin\openvpnas.exe

O23 - Service: iPod Service - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
 

--

End of file - 5767 bytes

Ich bin für jede Art von Hilfen und Hinweisen dankbar...
lg Loo :)

hast du jetzt schon einen avira scan gemacht??

könnten ja einige dazugekommen sein oder?

vielleicht ist ja auch ein virus oder mehrere auf der externen festplatte

scann diese auch mal mit malewarebytes und avira

Ok ich werde nochmal beide scans durchführen und berichten.

Scans mit Malwarebytes' Anti-Malware und Avira AntiVir haben keine Viren o.ä gefunden. Der oben beschriebe "öffnen" Fehler besteht weiterhin.
Weiß jemand weiter??
LG Loo

Hi,

da dürften zumindest noch Mountpoints verbogen sein...

Combofix
Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.
Weitere Anleitung unter:http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird
Hinweis: unter : C:\WINDOWS\erdnt
wird ein Backup angelegt.
Alternative downloads: http://subs.geekstogo.com/ComboFix.exe

chris

Ps.: Für sowas sind wir hier aber nicht im richtigen Forum....

Hi,

eine Anmerkung noch;
Vor dem Scann mit ComboFix bitte die externe Festplatte anschließen!

chris

Ok ich habe beim natürlich beim ersten mal vergessen die Festplatte anzuschließen... deshalb sind es jetzt 2 Logs. Die sind zu groß um sie hier zu posten.
Deshalb hab ich sie mal bei Rapidshare hoch geladen. Hier der Link:

http://rapidshare.com/files/238392649/Combofix_Logs.rar.html

Die externe Festplatte lässt sich wieder normal öffnen.
Dafür bin ich euch schon mal dankbar.:)
Kann trotzdem jemand bitte über die 2 Logs schauen und beurteilen ob ich "clean" bin??
lg Loo

P.S falls ihr Rapidshare partout meidet gibt es noch einen alternativen Download Link:
Combofix_logs.rar

Hi,

bei Dir war ein zur Zeit sehr beliebtes Rootkit aktiv...
ComboFix hat das Rootkit erwischt, allerdings...

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:

Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code:

c:\windows\system32\drivers\ffqpu.sys

c:\windows\system32\XDva136.sys

c:\windows\system32\XDva115.sys

c:\windows\system32\XDva123.sys

c:\windows\system32\XDva129.sys

c:\windows\system32\XDva136.sys

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Danach noch MAM laufen lassen:

Malwarebytes Antimalware (MAM).
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html
Fullscan und alles bereinigen lassen! Log posten.
Alternativer Download: http://filepony.de/download-malwarebytes_anti_malware/, http://www.gt500.org/malwarebytes/mbam.jsp

Je nachdem was virustotal sagt, werden wir die Treiber entfernen müssen,
da z. B. XDva136.sys -> http://spywaredlls.prevx.com/RRIIGF4...VA136.SYS.html sein kann...

chris

Hallo...
Die Dateien:

Zitat:

c:\windows\system32\drivers\ffqpu.sys
c:\windows\system32\XDva136.sys
c:\windows\system32\XDva115.sys
c:\windows\system32\XDva123.sys
c:\windows\system32\XDva129.sys
c:\windows\system32\XDva136.sys

lassen sich trotz der Option "Versteckte Ordner und Dateien anzeigen" nicht finden.
Soll trotzdem mit Malwarebyte´s gescannt werden?
Grüße Loo

Hallo nochmal,
Bedeutet es jetzt, dass ich falls die Dateien für den Virustotal scan nicht finde, dass mein Rechner endgültig sauber ist? Oder soll ich trotzdem nochmal mit malwarebyte's scannen und hier posten??
Über eine letzte Antwort wäre ich sehr dankbar..
Lg Loo

Hi,

bitte noch mal MAM updaten und Fullscan sowie:
Prevx:
http://www.prevx.com/freescan.asp
Falls das Tool was findet, nicht das Log posten sondern einen Screenshot des dann angezeigten Fensters...
(Das ist nur ein Scanner, zum Bereinigen müsste man in kaufen, aber dann wissen wir ja wo was liegt ;o)...
Vor dem Scannen bitte Combofix entfernen, sonst wird der "erkannt"...
Start->ausführen combofix /u

chris

Oh!!
Habe jetzt erst die 2. Seite des Threads bemerkt. Werde scannen und berichten..
lg Loo

Okay hier die Ergebnisse:
http://www.b2a-clan.com/Prevx_scan.JPG

Info: Der im Bild markierte Eintrag ist ein Anti-Cheat Programm und meiner Meinung nach nicht Malware verseucht...

und das log

Code:

Malwarebytes' Anti-Malware 1.37

Datenbank Version: 2227

Windows 5.1.2600 Service Pack 3, v.5755
 

04.06.2009 19:27:30

mbam-log-2009-06-04 (19-27-26).txt
 

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|I:\|)

Durchsuchte Objekte: 372434

Laufzeit: 2 hour(s), 3 minute(s), 16 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 6

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 0
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\P3P\History\bfast.com (Adware.BHO) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\P3P\History\commission-junction.com (Adware.BHO) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\P3P\History\fastclick.com (Adware.BHO) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\P3P\History\fastclick.net (Adware.BHO) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\P3P\History\kqzyfj.com (Adware.BHO) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\P3P\History\linksynergy.com (Adware.BHO) -> No action taken.
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)

lg Loo

Hi,

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:

Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code:

C:\windows\system32\drivers\fapeum.sys

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

fapeum.sys

in edit und klicke "Ok".
Notepad wird sich oeffnen - poste den text

Dann sehen wir mal weiter...

chris

Mhm..
Die Datei

Zitat:

C:\windows\system32\drivers\fapeum.sys

lässt sich, um sie bei VT hochzuladen, nicht finden.
Das Regsearch tool findet auch nichts.
Wodran kann das liegen? Ich hoffe nicht, dass ich irgendeinen Fehler gemacht habe, als es um die Einblendungen aller Versteckten (System)Dateien ging.
Was kann noch getan werden?