Trojaner-Board - zuviele Kennwörter im System????

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - zuviele Kennwörter im System???? (https://www.trojaner-board.de/61062-zuviele-kennwoerter-system.html)

zuviele Kennwörter im System????

Hi, ich hoffe es gehört in diese Rubrik:
Seit neuestem kann ich mein System - WinXP + SP2 mit NTFS Dateisystem nicht mehr defragmentieren. Weder mit O&O Defrag noch mit dem Windowseigenem Defragprog. Ich habs auch schon im abgesicherten Modus versucht, keine Chance. Es kommt nur Defragmentierung kann nicht gestartet werden , fertig. Warum, keine Ahnung. Selbst mit chckdsk oder scandisk komm ich nicht weiter, weil es nicht ausgeführt wird!? In der direkten Eingabe unter c:\ kommt nach der Eingabe folgende Meldung:
Volume kann für den direkten Zugriff nicht geöffnet werden ?
Ich habe eine Firewall und die habe ich auch schon ausgeschaltet und dann probiert -- keine Änderung. Mein Virenscanner ist avast und immer auf dem neuesten Stand, letztens habe ich mit smitfraudfix mein System gesäubert (danach ging aber Defrag noch) Mehr ist nicht passiert. Über Explorer seh ich alle Lw´s und kann sie auch öffnen, aber bei O&O werden nichtmal die Lw´s angezeigt, geschweige denn analysiert oder defragmentiert. Selbst stundenlanges Suchen im Netz hat nichts gebracht. Wenn ich versuche mit einem "Fremdrogramm" zu defragmentieren, kommt folgende Meldung:
Die maximale Anzahl der Kennwörter, die in einem einzelnen System gespeichert werden können, wurde überschritten! Wie geht das denn? Meine paar Kennwörter können unmöglich der Grund sein und Platz zum defrag ist auf allen Lw´s mehr als genug. Ich verstehs nicht. Könnt ihr mir da vielleicht weiterhelfen?
Bei meiner Suche habe ich folgendes gefunden und (ohne Erfolg) schon probiert:

http://www.meinews.net/windows-t266608.html?s=ceef843af4ed6473bdd20070d875f668&

(sorry, besser kann ich die Links nicht einstellen, bin kein Pc-Experte)

Gruß
Mjx

Hallo und :hallo:

Zitat:

Volume kann für den direkten Zugriff nicht geöffnet werden ?

Das ist an sich normal, da eine Systempartition aus dem laufenden System heraus nicht überprüft werden kann. Jedenfalls nicht mit Parametern die einen exclusiven Zugriff erfordern, dann müsste allerdings chkdsk nachfragen, ob beim nächsten Systemstart das Volume überprüft werden soll.

Weil Du Malwarebefall hast/hattest schlage ich diese Punkte für weitere Analysen vor:

1.) Poste ein Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe

2.) Führe dieses MBR-Tool aus und poste die Ausgabe

3.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten

4.) Führe Silentrunners nach dieser Anleitung aus und poste das Logfile (mit Codetags umschlossen), falls es zu groß sein sollte kannst Du es (gezippt) bei file-upload.net hochladen und hier verlinken.

5.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste die Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:

[code] Hier das Logfile rein! [/code]

6.) Mach ein Filelisting mit diesem script:

Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
Doppelklick auf listing8.cmd auf dem Desktop
nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

:) Vielen Dank erstmal für die Antwort. Werde ich machen, was du da ausgeführt hast, wird allerdings etwas dauern, da ich darin nicht gerade firm bin. Die Ergebnisse werde ich dann versuchen hier einzustellen.
Bis später dann
Gruß
Mjx

HI, hier also der erste Teil der Aufgaben, Hijackthis. Ich hoffe, das mit dem Einstellen davon war auch so gemeint, wie ich es jetzt mache, wenn nicht, bitte nochmal eine Ansage dazu :)

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 13:49:49, on 02.10.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

e:\Programme\Ahead\InCD\InCDsrv.exe

C:\WINDOWS\system32\svchost.exe

C:\Programme\Sygate\SPF\smc.exe

C:\Programme\Alwil Software\Avast4\aswUpdSv.exe

C:\Programme\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\Java\jre1.6.0_07\bin\jusched.exe

C:\WINDOWS\system32\Rundll32.exe

E:\Programme\Ahead\InCD\InCD.exe

C:\Programme\FreePDF_XP\fpassist.exe

E:\Programme\DU Meter\DUMeter.exe

E:\Programme\Creative\SBAudigy\Surround Mixer\CTSysVol.exe

E:\Programme\SlySoft\CloneCD\CloneCDTray.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Programme\Gemeinsame Dateien\Maxtor\Schedule2\schedhlp.exe

C:\WINDOWS\system32\ctfmon.exe

E:\Programme\Creative\MediaSource5\Go\CTCMSGoU.exe

E:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe

C:\Programme\Hewlett-Packard\AiO\hp officejet v series\Bin\hpoant07.exe

C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe

C:\WINDOWS\system32\hpoipm07.exe

C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOSTS07.exe

C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOFXM07.exe

C:\Programme\Gemeinsame Dateien\Maxtor\Schedule2\schedul2.exe

C:\WINDOWS\system32\CTsvcCDA.exe

C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe

C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe

C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe

C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe

C:\WINDOWS\system32\oodag.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe

C:\Programme\Alwil Software\Avast4\ashMaiSv.exe

C:\Programme\Alwil Software\Avast4\ashWebSv.exe

C:\Programme\Mozilla Firefox\firefox.exe

C:\THEBAT!\thebat.exe

C:\Programme\Microsoft Office\Office12\WINWORD.EXE

D:\Eigene Dateien\Downloads\hijackthis.com
 

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.pagessyndication.com/google/iesearch.php

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.pagessyndication.com/google/iesearch.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG

R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: IE7Pro - {00011268-E188-40DF-A514-835FCD78B1BF} - C:\Programme\IEPro\iepro.dll

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - E:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - E:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE

O4 - HKLM\..\Run: [TrayServer] E:\Programme\TrayServer.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [PSDrvCheck] C:\WINDOWS\system32\PSDrvCheck.exe

O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKLM\..\Run: [InCD] e:\Programme\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe

O4 - HKLM\..\Run: [DU Meter] E:\Programme\DU Meter\DUMeter.exe

O4 - HKLM\..\Run: [CTSysVol] e:\Programme\Creative\SBAudigy\Surround Mixer\CTSysVol.exe /r

O4 - HKLM\..\Run: [CloneCDTray] "e:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Maxtor\Schedule2\schedhlp.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Creative MediaSource Go] "E:\Programme\Creative\MediaSource5\Go\CTCMSGoU.exe" /SCB

O4 - HKCU\..\Run: [NBJ] "E:\Programme\Ahead\Nero BackItUp\NBJ.exe"

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - S-1-5-18 Startup: DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\DslMgr.exe (User 'SYSTEM')

O4 - .DEFAULT Startup: DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\DslMgr.exe (User 'Default user')

O4 - Global Startup: Acrobat Assistant.lnk = E:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe

O4 - Global Startup: ATI CATALYST-Infobereich.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe

O4 - Global Startup: HPAiODevice(hp officejet v series) - 1.lnk = C:\Programme\Hewlett-Packard\AiO\hp officejet v series\Bin\hpoant07.exe

O8 - Extra context menu item: E&xport to Microsoft Excel - res://E:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000

O9 - Extra button: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programme\IEPro\iepro.dll

O9 - Extra 'Tools' menuitem: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programme\IEPro\iepro.dll

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL

O16 - DPF: {051D0E35-F4E3-4C8D-B411-AB0875F4C683} (Anark Client 4.0 ActiveX Control) - http://install.anark.com/client/version4/windows-ie/en/AMClient.cab

O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su2/CTL_V02002/ocx/15034/CTPID.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{35CB25F0-EA0E-4294-8802-734FB7F62FCB}: NameServer = 85.255.115.51,85.255.112.97

O17 - HKLM\System\CCS\Services\Tcpip\..\{37176DCF-B3BB-4E84-8B3A-47290910CE67}: NameServer = 85.255.115.51,85.255.112.97

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.51 85.255.112.97

O17 - HKLM\System\CS1\Services\Tcpip\..\{35CB25F0-EA0E-4294-8802-734FB7F62FCB}: NameServer = 85.255.115.51,85.255.112.97

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.51 85.255.112.97

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL

O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Maxtor\Schedule2\schedul2.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe

O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - E:\Programme\MAGIX\Common\Database\bin\fbserver.exe

O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe

O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - e:\Programme\Ahead\InCD\InCDsrv.exe

O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe

O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe

O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

O23 - Service: UPnPService - Magix AG - C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe
 

--

End of file - 9815 bytes

Hier das nächste:
MBR-Tool : poppte nur kurz auf, war sofort wieder verschwunden und sonst passierte damit nichts weiter. Keine Meldung – nix.
Blacklight:
Scan completed. Total number of processes: 54 No hidden Items were found! Und in der Summary waren beide Ergebnisse: 0
MalwareBytes hat 3 infizierte Objekte gefunden, allerdings dann später wesentlich mehr gelöscht!? Die Logfile ist unten drunter (wie man damit was anfangen kann, wird mir ein Rätsel bleiben :D )

Code:

Malwarebytes' Anti-Malware 1.27

Datenbank Version: 1127

Windows 5.1.2600 Service Pack 2
 

02.10.2008 14:29:42

mbam-log-2008-10-02 (14-29-42).txt
 

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|)

Durchsuchte Objekte: 156650

Laufzeit: 24 minute(s), 6 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 2

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 10

Infizierte Verzeichnisse: 0

Infizierte Dateien: 2
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

HKEY_LOCAL_MACHINE\SOFTWARE\msliksur (Trojan.DNSChanger) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msliksurserv (Rootkit.Agent) -> Quarantined and deleted successfully.
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\StartMenuLogOff (Hijack.StartMenu) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.115.51 85.255.112.97 -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{35cb25f0-ea0e-4294-8802-734fb7f62fcb}\NameServer (Trojan.DNSChanger) -> Data: 85.255.115.51,85.255.112.97 -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{37176dcf-b3bb-4e84-8b3a-47290910ce67}\NameServer (Trojan.DNSChanger) -> Data: 85.255.115.51,85.255.112.97 -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.115.51 85.255.112.97 -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{35cb25f0-ea0e-4294-8802-734fb7f62fcb}\NameServer (Trojan.DNSChanger) -> Data: 85.255.115.51,85.255.112.97 -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{37176dcf-b3bb-4e84-8b3a-47290910ce67}\NameServer (Trojan.DNSChanger) -> Data: 85.255.115.51,85.255.112.97 -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.115.51 85.255.112.97 -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{35cb25f0-ea0e-4294-8802-734fb7f62fcb}\NameServer (Trojan.DNSChanger) -> Data: 85.255.115.51,85.255.112.97 -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{37176dcf-b3bb-4e84-8b3a-47290910ce67}\NameServer (Trojan.DNSChanger) -> Data: 85.255.115.51,85.255.112.97 -> Quarantined and deleted successfully.
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

C:\WINDOWS\system32\msliksurcredo.dll (Rootkit.Agent) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\drivers\msliksurserv.sys (Rootkit.Agent) -> Quarantined and deleted successfully.

Das mit Combofix habe ich nicht verstanden. Welcher Kompetenzler? Oder ist das ein Joke und damit bist du gemeint?
Gruß
Mjx

So, hier ist die Logfile von SilentRunners
-----
Haha, denkste, zuviele Zeichen sagt er mir, dann also über file-upload. Die Datei ist allerdings nur 31kb groß, das muß ja nicht unbedingt gezippt werden, oder!? Oder hatte das andere Gründe?
Wie gesagt, mit dem Combofix warte ich noch, bin mir da zu unsicher, was wirklich gemeint war und da du schreibst, da kann eine Menge falsch laufen, warte ich erst deine Antwort ab, ok!?
Gruß
Mjx

Hier ist der Link:
File-Upload.net - Startup-Programs--MJXNEU-XP--2008-10-02-14.48.26.txt

HURRA es funzt wieder!

Erstmal vielen Dank für die Hilfe :dankeschoen:
Ich weiß zwar leider nicht, wodurch das System jetzt wieder läuft (also was den Fehler oder was immer beseitigt hat), denn es waren ja eine Menge Tools die ich ausführen sollte, aber viel wichtiger ist, daß ich das System nicht neu aufsetzen muß und meine Programme bleiben. :aplaus:
Würde mich dennoch interessieren, was es war, wenn Ihr noch Lust auf Analyse habt und bei den Logfiles durchblickt.
Aber wie auch immer :dankeschoen: , ohne die Tools wäre ich ganz sicher nicht so weit!!
(jetzt muß ich bloß noch finden, wie man das Thema schließt ;) )
Klasse, ciao
Mjx

Was ist denn mit Combofix? Wo ist das Logfile?

Zitat:

MBR-Tool : poppte nur kurz auf, war sofort wieder verschwunden und sonst passierte damit nichts weiter. Keine Meldung – nix.

Das MBR-Tool ist ein Kommandozeilentool - starte es aus der Kommandozeile (cmd.exe) heraus. An sich müsste es aber ein Logfile auf dem Desktop erstellt haben.

Code:

O17 - HKLM\System\CCS\Services\Tcpip\..\{35CB25F0-EA0E-4294-8802-734FB7F62FCB}: NameServer = 85.255.115.51,85.255.112.97

O17 - HKLM\System\CCS\Services\Tcpip\..\{37176DCF-B3BB-4E84-8B3A-47290910CE67}: NameServer = 85.255.115.51,85.255.112.97

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.51 85.255.112.97

O17 - HKLM\System\CS1\Services\Tcpip\..\{35CB25F0-EA0E-4294-8802-734FB7F62FCB}: NameServer = 85.255.115.51,85.255.112.97

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.51 85.255.112.97

Diese Hijackthis-Einträge sind bedenklich. Solltest Du fixen. Ob das aber noh was bringt...naja, bei umgebogenen TCP/IP-Einstellungen wäre ich vorsichtiger und überlegen, ob das Formatieren und Neuaufsetzen nicht doch sinnvoller wäre.

ahoi hoi, ich hab ein ganz ähnliches problem.

soll heißen, beim starten kommt auch diese merkwürdige "die maximale anzahl der kennwörter die in einem einzelnen system gespeichert werden können wurde überschritten"-meldung, und ich kann auf meine externe festplatte nicht mehr zugreifen...

hab schon diverse schritte aus der hier im thread geposteten anleitung befolgt, hier mal meine logs (silentrunners läuft noch und wird gegebenenfalls später nachgereicht)

hijackthis:

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 06:53:59, on 04.04.2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0013)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Java\jre6\bin\jqs.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Programme\Winamp\winampa.exe

C:\WINDOWS\system32\IoctlSvc.exe

C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe

C:\WINDOWS\system32\PnkBstrA.exe

C:\Programme\Java\jre1.6.0_07\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\DAEMON Tools\daemon.exe

C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe

C:\WINDOWS\system32\PnkBstrB.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\Programme\Siemens\Gigaset WLAN Adapter\WLM.exe

C:\Programme\VIA\RAID\raid_tool.exe

C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe

C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\Programme\Mozilla Firefox\firefox.exe

C:\Programme\Malwarebytes' Anti-Malware\mbam.exe

C:\Programme\Trend Micro\HijackThis\HijackThis.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe
 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://go.microsoft.com/fwlink/?LinkId=54843

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=localhost:7070

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\twext.exe,

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll

O2 - BHO: (no name) - {D032570A-5F63-4812-A094-87D007C23012} - C:\WINDOWS\system32\IEBHO47.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [PtiuPbmd] Rundll32.exe ulutil2.dll,SetWriteBack

O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Gigaset WLAN Adapter Monitor.lnk = C:\Programme\Siemens\Gigaset WLAN Adapter\WLM.exe

O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programme\VIA\RAID\raid_tool.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

O23 - Service: NBService - Nero AG - D:\Nero 7\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe

O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe

O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
 

--

End of file - 6319 bytes

mbr:

Code:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
 

device: opened successfully

user: MBR read successfully

kernel: error reading MBR

blacklight:

Code:

04/04/09 06:56:09 [Info]: BlackLight Engine 2.2.1092 initialized

04/04/09 06:56:09 [Info]: OS: 5.1 build 2600 (Service Pack 2)

04/04/09 06:56:09 [Note]: 7019 4

04/04/09 06:56:09 [Note]: 7005 0

04/04/09 06:56:14 [Note]: 7006 0

04/04/09 06:56:14 [Note]: 7011 1912

04/04/09 06:56:14 [Note]: 7035 0

04/04/09 06:56:15 [Note]: 7026 0

04/04/09 06:56:15 [Note]: 7026 0

04/04/09 06:56:16 [Note]: FSRAW library version 1.7.1024

04/04/09 06:56:19 [Note]: 2000 1012

04/04/09 06:56:24 [Note]: 7006 0

04/04/09 06:56:24 [Note]: 7011 1912

04/04/09 06:56:24 [Note]: 7035 0

04/04/09 06:56:24 [Note]: 7026 0

04/04/09 06:56:24 [Note]: 7026 0

04/04/09 06:56:25 [Note]: FSRAW library version 1.7.1024

04/04/09 06:56:28 [Note]: 2000 1012

04/04/09 06:56:43 [Note]: 7007 0

malwarebytes antimalware krieg ich irgendwie nicht ans laufen...also er installierts zwar, hab auch schon verschiedene festplatten ausprobiert, aber irgendwie arbeitet das programm bei mir nicht, hängt ja vll auch mit dem trojaner (oder was auch immer) zusammen...

wär cool, wenn ihr mir bei dem problem helfen könntet, ansonsten hilft wohl nur noch formatieren und neuaufziehen...(wenn das hilft, kein plan, hab sowas von kein fachwissen was pcs angeht...)

kann leider meinen post nicht editieren, vermutlich seh ich einfach den button nicht.

da die katastrophe mittlerweile in fortgeschrittenem stadium ist, hab ich mich entschlossen, zu formatieren und windows neu drauf zu ziehen.

damit sollten ja alle probleme der vergangenheit angehören

WICHTIG: wenn ich mit dem letzten satz falsch liege, und trotz formatierens der systemfestplatte immernoch 'reste' von dem trojaner /whatever) auf einer meiner platten sind, dann schreibts bitte hier rein, wär ich euch echt verbunden für :)

und wiedermal entschuldigung, ich find irgendwie den edit-button nicht mehr...

also ich wollte ja formatieren und windows neu drauf knallen...pustekuchen, nichmal das krieg ich gebacken, weil mir mein windows mitteilt, das keine festplatten gefunden werden.

danach kann ich nur abbrechen.

kann mir einer sagen, was ich da machen kann? hab echt absolut keinen plan, und das, was man dazu sonst so findet, versteh ich ned, bzw kann ich nicht ausführen, da ich kein diskettenlaufwerk habe.

bin echt total frustriert mittlerweile, brauch dringend eure hilfe :/

Hi,

was für eine Platte hast Du denn? Ziemlich zu Anfang des Installationsprogramm hat man die Möglichkeit, einen eventuell benötigten speziellen Treiber von Diskette laden zu lassen, bevor die Installation dann mit diesem Treiber durchgeführt wird. Bei SATA z.B. kann das erforderlich werden, wenn das BIOS nicht mitmacht.

Karl

motherboard: abit av8

festplatten:
-maxtor 6 b160m0 scsi device (müsste die mit meinem system drauf sein)
-samsung hd501lj scsi device
-st330062 0as scsi disk device
-wdc wd25 00yd-01nvb1 scsi disk device

zwei davon sind halt über nen sata-hub (oder wie das ding heißt, kein plan grad) angeschlossen, aber ich kann halt problemlos auf alle zugreifen, nur werden die halt nicht 'gefunden', also im bios zumindest nicht...