|
Google verlinkt falsch; Kein Zugriff auf ext. HDD Hi! Ich befürchte, mir gestern nach 3 Jahren zum ersten Mal einen Virus o.Ä. eingefangen zu haben, und hoffe nun auf eure Hilfe! Nachdem ich gestern einen heruntergeladenen Ordner auf meine externe Festplatte verschob, meldete mit mein AntiVir zum ersten Mal den Fund eines Trojaners, den ich prompt löschen ließ. Anschließend begann Google, mich falsch zu verlinken, ein Problem, mit dem ich scheinbar ja nicht alleine bin. Als erstes entfernte ich den heruntergeladenen Ordner wieder von meiner externen Festplatte. Anschließend ließ ich mein System von AntiVir prüfen, welches weitere vier Trojaner meldete, welche ich ebenfalls löschen ließ. Zudem fiel mir kurze Zeit später eine Datei "autorun.inf" auf meiner externen Festplatte auf, die vorher definitiv nicht da war, während die Festplatte im Arbeitsplatz plötzlich als Icon einen gelben Ordner anstelle des üblichen Bildes einer Festplatte hatte. Des Weiteren erkannte Nero meinen DVD Brenner plötzlich nicht mehr, nachdem ich kurze Zeit vorher noch zwei iso Images ohne Probleme gebrannt hatte. In meiner Verzweiflung warf ich also meine vor drei Jahren erstellte Recovery DVD ein und führte eine Systemwiederherstellung durch, nachdem ich vorher alle relevanten Daten gesichert hatte. Heute morgen bekam ich dann von AntiVir erneut Fundmeldungen, welche ich in Quarantäne verschieben ließ. Diese liegen seit einem Neustart allerdings nicht mehr dort. Ist das normal? Die Fundmeldungen bezogen sich Ausschließlich auf mein Laufwerk C: (die interne Festplatte), allerdings lässt der Lauf der Dinge ja darauf schließen, das die Quelle des Übels auf meiner externen Festplatte F: liegen müsste. Auf der Suche nach einer Lösung bin ich auf dieses Forum gestoßen, und habe diverse ähnliche Fälle gefunden, allerdings daraus nicht wirkllich ableiten können, was genau ich zur Heilung meines Notebooks tun müsste. Ich bin bis jetzt so weit gekommen, dass ich CCleaner, MBAM und RSIT habe laufen lassen. Tragischerweise hat der letzte Schritt (HijackThis) dazu geführt, dass ich nun auf meine externe Festplatte nicht mehr zugreifen kann. Ergo habe ich mir gedacht, ich fass besser mal nix mehr an und vertraue auf jemanden, der sich mit der ganzen Sache auskennt. Anbei die entsprechenden Reports! Herzliche Grüße und vielen Dank im Voraus, Chris MBAM Malwarebytes' Anti-Malware 1.38 Datenbank Version: 2412 Windows 5.1.2600 Service Pack 3 12.07.2009 16:59:47 mbam-log-2009-07-12 (16-59-47).txt Scan-Methode: Vollständiger Scan (C:\|F:\|) Durchsuchte Objekte: 148192 Laufzeit: 34 minute(s), 57 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 1 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 2 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\taskman (Backdoor.Bot) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: c:\RECYCLER\s-1-5-21-1256937403-4312875919-402770691-7341\rundll32.exe (Trojan.DelfInject) -> Delete on reboot. f:\RECYCLER\help.exe (Trojan.DelfInject) -> Quarantined and deleted successfully. |
RSIT INFO info.txt logfile of random's system information tool 1.06 2009-07-12 17:10:43 ======Uninstall list====== -->C:\Programme\Nero\Nero 7\nero\uninstall\UNNERO.exe /UNINSTALL -->C:\WINDOWS\IsUn0407.exe -fC:\WINDOWS\orun32.isu -->C:\WINDOWS\UNNeroBackItUp.exe /UNINSTALL -->C:\WINDOWS\UNNeroMediaHome.exe /UNINSTALL -->C:\WINDOWS\UNNeroShowTime.exe /UNINSTALL -->C:\WINDOWS\UNNeroVision.exe /UNINSTALL -->C:\WINDOWS\UNRecode.exe /UNINSTALL -->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf Adobe Reader 9.1.2 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A91000000001} Agere Systems HDA Modem-->agrsmdel Application Installer 4.00.B5-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{E0DBC47C-ED3F-4A1B-A929-9A26DAAA14B3}\setup.exe" -l0x7 ATI Catalyst Control Center-->MsiExec.exe /I{DFEDA4ED-E67D-4E5E-8FDE-C628B4DCA01B} ATI Display Driver-->rundll32 C:\WINDOWS\system32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_class:DISPLAY -clean Avira AntiVir Personal - Free Antivirus-->C:\Programme\Avira\AntiVir Desktop\setup.exe /REMOVE CCleaner (remove only)-->"C:\Programme\CCleaner\uninst.exe" Fingerprint Sensor Minimum Install-->MsiExec.exe /I{2F0D3C9E-4FB6-4A14-B0C4-42328F570177} HijackThis 2.0.2-->"C:\Programme\Trend Micro\HijackThis\HijackThis.exe" /uninstall Hotfix für Windows XP (KB952287)-->"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe" HP Integrated Module with Bluetooth wireless technology-->MsiExec.exe /X{3F4EC965-28EF-45C3-B063-04B25D4E9679} HP Mobile Data Protection System-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{75ECB75A-522C-4312-8DE7-597CDA9D96A3}\setup.exe" -l0x7 UNINSTALL HP Quick Launch Buttons 6.00 D2-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{34D2AB40-150D-475D-AE32-BD23FB5EE355}\setup.exe" -l0x7 -removeonly uninst HP Support Phone Numbers-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{E7485CE5-C004-44D6-AA3E-7EE4DFE2B70E}\setup.exe" -l0x7 -removeonly Malwarebytes' Anti-Malware-->"C:\Programme\Malwarebytes' Anti-Malware\unins000.exe" Microsoft .NET Framework 1.1 German Language Pack-->MsiExec.exe /X{E78BFA60-5393-4C38-82AB-E8019E464EB4} Microsoft .NET Framework 1.1 Hotfix (KB928366)-->"C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\hotfix.exe" "C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\M928366\M928366Uninstall.msp" Microsoft .NET Framework 1.1-->msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1} Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1} Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475} Mozilla Firefox (3.5)-->C:\Programme\Mozilla Firefox\uninstall\helper.exe Nero 7 Ultra Edition-->MsiExec.exe /I{235BBFC6-D863-4066-A01A-3BD504C31031} Sicherheitsupdate für Step by Step Interactive Training (KB923723)-->"C:\WINDOWS\$NtUninstallKB923723$\spuninst\spuninst.exe" Sicherheitsupdate für Windows Media Player (KB952069)-->"C:\WINDOWS\$NtUninstallKB952069_WM9$\spuninst\spuninst.exe" Sicherheitsupdate für Windows Media Player 10 (KB936782)-->"C:\WINDOWS\$NtUninstallKB936782_WMP10$\spuninst\spuninst.exe" Sicherheitsupdate für Windows Media Player 9 (KB911565)-->"C:\WINDOWS\$NtUninstallKB911565$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB923561)-->"C:\WINDOWS\$NtUninstallKB923561$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB938464-v2)-->"C:\WINDOWS\$NtUninstallKB938464-v2$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB941569)-->"C:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB946648)-->"C:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB950760)-->"C:\WINDOWS\$NtUninstallKB950760$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB950762)-->"C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB950974)-->"C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB951066)-->"C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB951376-v2)-->"C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB951748)-->"C:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB952004)-->"C:\WINDOWS\$NtUninstallKB952004$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB952954)-->"C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB954600)-->"C:\WINDOWS\$NtUninstallKB954600$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB955069)-->"C:\WINDOWS\$NtUninstallKB955069$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956572)-->"C:\WINDOWS\$NtUninstallKB956572$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956802)-->"C:\WINDOWS\$NtUninstallKB956802$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956803)-->"C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB957097)-->"C:\WINDOWS\$NtUninstallKB957097$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB958644)-->"C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB958687)-->"C:\WINDOWS\$NtUninstallKB958687$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB959426)-->"C:\WINDOWS\$NtUninstallKB959426$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB960225)-->"C:\WINDOWS\$NtUninstallKB960225$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB960803)-->"C:\WINDOWS\$NtUninstallKB960803$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB961373)-->"C:\WINDOWS\$NtUninstallKB961373$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB961501)-->"C:\WINDOWS\$NtUninstallKB961501$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB968537)-->"C:\WINDOWS\$NtUninstallKB968537$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB969897)-->"C:\WINDOWS\$NtUninstallKB969897$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB969898)-->"C:\WINDOWS\$NtUninstallKB969898$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB970238)-->"C:\WINDOWS\$NtUninstallKB970238$\spuninst\spuninst.exe" SoundMAX-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\00\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{F0A37341-D692-11D4-A984-009027EC0A9C}\Setup.exe" -l0x7 -removeonly ST Wiederherstellungs- & Sicherungsprogramme-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{3F9F7336-6DF8-476F-ABF6-C70A17FAF619}\setup.exe" -l0x7 -uninst -removeonly Synaptics Pointing Device Driver-->rundll32.exe "C:\Programme\Synaptics\SynTP\SynISDLL.dll",standAloneUninstall Texas Instruments PCIxx21/x515/xx12 drivers.-->C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{7B6CF9EB-CB2B-4A1A-81A9-BE1A9044690A} /l1031 Update für Windows XP (KB955839)-->"C:\WINDOWS\$NtUninstallKB955839$\spuninst\spuninst.exe" Update für Windows XP (KB967715)-->"C:\WINDOWS\$NtUninstallKB967715$\spuninst\spuninst.exe" Windows Media Format Runtime-->"C:\Programme\Windows Media Player\wmsetsdk.exe" /UninstallAll Windows Media Player 10-->"C:\Programme\Windows Media Player\Setup_wm.exe" /Uninstall Windows XP Service Pack 3-->"C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe" ======Security center information====== AV: AntiVir Desktop ======System event log====== Computer Name: *** Event Code: 6009 Message: Microsoft (R) Windows (R) 5.01. 2600 Service Pack 2 Multiprocessor Free. Record Number: 5 Source Name: EventLog Time Written: 20090712104958.000000+120 Event Type: Informationen User: Computer Name: *** Event Code: 6006 Message: Der Ereignisprotokolldienst wurde beendet. Record Number: 4 Source Name: EventLog Time Written: 20090711230922.000000+120 Event Type: Informationen User: Computer Name: *** Event Code: 7036 Message: Dienst "WMI-Leistungsadapter" befindet sich jetzt im Status "Beendet". Record Number: 3 Source Name: Service Control Manager Time Written: 20090711230917.000000+120 Event Type: Informationen User: Computer Name: *** Event Code: 7036 Message: Dienst "Windows Installer" befindet sich jetzt im Status "Beendet". Record Number: 2 Source Name: Service Control Manager Time Written: 20090711230914.000000+120 Event Type: Informationen User: Computer Name: *** Event Code: 7036 Message: Dienst "Ati HotKey Poller" befindet sich jetzt im Status "Beendet". Record Number: 1 Source Name: Service Control Manager Time Written: 20090711230914.000000+120 Event Type: Informationen User: =====Application event log===== Computer Name: *** Event Code: 2200 Message: Die Message Queuing-Trigger wurden erfolgreich gestartet. Record Number: 5 Source Name: MSMQTriggers Time Written: 20090712105013.000000+120 Event Type: Informationen User: Computer Name: *** Event Code: 2028 Message: Der Message Queuing-Dienst wurde gestartet. Record Number: 4 Source Name: MSMQ Time Written: 20090712105013.000000+120 Event Type: Informationen User: Computer Name: *** Event Code: 0 Message: Record Number: 3 Source Name: btwdins Time Written: 20090712105007.000000+120 Event Type: Informationen User: Computer Name: *** Event Code: 2444 Message: MS DTC wurde mit den folgenden Einstellungen gestartet: Sicherheitskonfiguration (AUS = 0 und EIN = 1): Netzwerkverwaltung von Transaktionen = 0, Netzwerkclients = 0, Eingehende verteilte Transaktionen mithilfe des systemeigenen MSDTC-Protokolls = 0, Ausgehende verteilte Transaktionen mithilfe des systemeigenen MSDTC-Protokolls = 0, Transaction Internet Protocol (TIP) = 0, XA-Transaktionen = 0 Record Number: 2 Source Name: MSDTC Time Written: 20090712105006.000000+120 Event Type: Informationen User: Computer Name: *** Event Code: 1517 Message: Die Registrierung des Benutzers "***\Administrator" wurde gespeichert, obwohl eine Anwendung oder ein Dienst auf die Registrierung während der Abmeldung zugegriffen hat. Der von der Registrierung des Benutzers verwendete Speicher wurde nicht freigegeben. Der Upload der Registrierung wird durchgeführt, wenn diese nicht mehr verwendet wird. Dies wird oft durch Dienste verursacht, die unter einem Benutzerkonto ausgeführt werden. Versuchen Sie diese so zu Konfigurieren, dass sie unter den Konten "Lokaler Dienst" oder "Netzwerkdienst" ausgeführt werden. Record Number: 1 Source Name: Userenv Time Written: 20090711230920.000000+120 Event Type: Warnung User: NT-AUTORITÄT\SYSTEM ======Environment variables====== "ComSpec"=%SystemRoot%\system32\cmd.exe "Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem "windir"=%SystemRoot% "FP_NO_HOST_CHECK"=NO "OS"=Windows_NT "PROCESSOR_ARCHITECTURE"=x86 "PROCESSOR_LEVEL"=6 "PROCESSOR_IDENTIFIER"=x86 Family 6 Model 14 Stepping 8, GenuineIntel "PROCESSOR_REVISION"=0e08 "NUMBER_OF_PROCESSORS"=2 "PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH "TEMP"=%SystemRoot%\TEMP "TMP"=%SystemRoot%\TEMP -----------------EOF----------------- -- |
Und noch die Meldungen von AntiVir: In der Datei 'C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\NMICS6P8\bacon[1].exe' wurde ein Virus oder unerwünschtes Programm 'TR/PSW.Firefox.EL' [trojan] gefunden. Ausgeführte Aktion: Datei in Quarantäne verschieben ------------------------------------------------------------------------ In der Datei 'C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\112.exe' wurde ein Virus oder unerwünschtes Programm 'TR/PSW.Firefox.EL' [trojan] gefunden. Ausgeführte Aktion: Datei in Quarantäne verschieben ------------------------------------------------------------------------ In der Datei 'C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\901.exe' wurde ein Virus oder unerwünschtes Programm 'TR/PSW.Firefox.EL' [trojan] gefunden. Ausgeführte Aktion: Datei in Quarantäne verschieben ------------------------------------------------------------------------ In der Datei 'C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\D0Q0CCSO\bacon[1].exe' wurde ein Virus oder unerwünschtes Programm 'TR/PSW.Firefox.EL' [trojan] gefunden. Ausgeführte Aktion: Datei in Quarantäne verschieben Merci nochmal! |
Kleine Aktualisierung: Per Rechtsklick und dann über Explorer kann ich weiterhin auf meine externe Festplatte zugreifen, warum auch immer... |
Ich habe mich entschlossen, die Festplatte zu formatieren und mein System neu aufzusetzen. Falls sich jemand Gedanken zu meinem Problem gemacht hatte, dennoch herzlichen Dank! |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 16:46 Uhr. |
Copyright ©2000-2025, Trojaner-Board