Sie sind hier: Home | Forum | Software | Sicherheit (Viren, Trojaner, Spyware, usw.) | svchost.exe fehler & recycler nicht gefunden-> kein zugriff auf festplatte

svchost.exe fehler & recycler nicht gefunden-> kein zugriff auf festplatte


Alt 05.03.2009, 17:41   # 1
fliegenfänger
Gastposter
 
hallo

hab hier dasselbe problem wie viele andere auch

hab jetzt mal combofix drüber laufen lassen

logdatei:



ComboFix 09-03-04.01 - Thorsten Köhler 2009-03-05 16:26:00.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.2047.1674 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Thorsten Köhler\Desktop\ComboFix.exe
AV: Norton AntiVirus *On-access scanning disabled* (Updated)
FW: Norton Personal Firewall *disabled*
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Autorun.inf
c:\recycler\S-0-8-99-100015995-100004210-100029111-1408.com
c:\windows\system32\drivers\gaopdxfktpxtfv.sys
c:\windows\system32\drivers\gaopdxirwlnqhc.sys
c:\windows\system32\drivers\gaopdxojnqgwsp.sys
c:\windows\system32\drivers\gaopdxoobrqowu.sys
c:\windows\system32\drivers\gaopdxotxnwtus.sys
c:\windows\system32\drivers\gaopdxppejdvew.sys
c:\windows\system32\drivers\gaopdxqubrrskw.sys
c:\windows\system32\drivers\gaopdxtxjlbbmu.sys
c:\windows\system32\gaopdxcounter
c:\windows\system32\gaopdxvmmxxuwo.dll
E:\autorun.inf
e:\recycler\S-2-2-28-100030428-100024493-100006540-2120.com

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_gaopdxserv.sys


((((((((((((((((((((((( Dateien erstellt von 2009-02-05 bis 2009-03-05 ))))))))))))))))))))))))))))))
.

2009-03-05 16:10 . 2009-03-05 16:10 <DIR> d-------- c:\programme\CCleaner
2009-02-14 08:48 . 2009-02-14 08:48 <DIR> d-------- c:\programme\QuickTime
2009-02-14 08:47 . 2009-02-14 08:47 <DIR> d-------- c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Apple

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))) ))))
.
2009-03-05 15:00 --------- d-----w c:\programme\Gemeinsame Dateien\symantec shared
2009-03-02 21:39 96,384 ----a-w c:\windows\system32\drivers\sptd7469.sys
2009-03-01 17:07 --------- d-----w c:\programme\Trillian
2009-03-01 01:53 --------- d-----w c:\dokumente und einstellungen\Thorsten Köhler\Anwendungsdaten\gtk-2.0
2009-02-28 13:56 --------- d-----w c:\dokumente und einstellungen\Thorsten Köhler\Anwendungsdaten\dvdcss
2009-02-27 13:33 --------- d-----w c:\programme\Norton Personal Firewall
2009-02-26 17:34 --------- d-----w c:\dokumente und einstellungen\Thorsten Köhler\Anwendungsdaten\uTorrent
2009-02-14 07:47 --------- d-----w c:\programme\Apple Software Update
2009-01-21 17:35 806 ----a-w c:\windows\system32\drivers\SYMEVENT.INF
2009-01-21 17:35 60,808 ----a-w c:\windows\system32\S32EVNT1.DLL
2009-01-21 17:35 124,464 ----a-w c:\windows\system32\drivers\SYMEVENT.SYS
2009-01-21 17:35 10,635 ----a-w c:\windows\system32\drivers\SYMEVENT.CAT
2009-01-21 17:35 --------- d-----w c:\programme\Symantec
2009-01-21 17:34 --------- d-----w c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Symantec
2009-01-14 11:22 --------- d-----w c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\FLEXnet
2009-01-14 11:19 --------- d-----w c:\programme\Gemeinsame Dateien\Adobe
2009-01-14 11:19 --------- d-----w c:\programme\Bonjour
2009-01-14 11:12 --------- d-----w c:\programme\Gemeinsame Dateien\Macrovision Shared
2008-12-20 22:31 826,368 ----a-w c:\windows\system32\wininet.dll
2007-06-11 11:20 21,120 ----a-w c:\dokumente und einstellungen\Thorsten Köhler\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2006-07-18 12:41 1,019,094 --sha-r c:\programme\serial.zip
2006-07-18 12:41 1,019,094 --sha-r c:\programme\serial.tde
2006-05-28 15:46 397,306 --sha-r c:\programme\wunauclt.zip
2006-05-28 15:46 397,306 --sha-r c:\programme\wunauclt.tbe
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" [2005-10-28 94208]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2008-04-14 1695232]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"ehTray"="c:\windows\ehome\ehtray.exe" [2005-08-05 64512]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-07-20 7110656]
"NvMediaCenter"="c:\windows\system32\NvMcTray. dll" [2005-07-20 86016]
"Hotplug"="c:\programme\Silicon Integrated Systems\SiSRaidPackage\hot_plug.exe" [2005-01-12 278528]
"SiSRaid"="c:\programme\Silicon Integrated Systems\SiSRaidPackage\SRaid.exe" [2005-03-01 897024]
"DisableEHCI"="c:\windows\S4TSR.EXE" [2004-05-05 28672]
"ccApp"="c:\programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2008-03-07 53096]
"WinampAgent"="c:\programme\Winamp\winampa.exe " [2008-01-15 37376]
"Symantec PIF AlertEng"="c:\programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" [2008-01-29 583048]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2009-01-05 413696]
"nwiz"="nwiz.exe" [2005-07-20 c:\windows\system32\nwiz.exe]
"SoundMan"="SOUNDMAN.EXE" [2005-04-15 c:\windows\SOUNDMAN.EXE]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\RunServices]
"DJSNetCN"="c:\programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe" [2006-02-01 54976]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users.WINDOWS\Startmen\Programme\Autostart\
Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.iv31"= c:\windows\system32\ir32_32.dll
"vidc.iv32"= c:\windows\system32\ir32_32.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Thorsten Köhler^Startmenü^Programme^Autostart^Adobe Gamma.lnk]
path=c:\dokumente und einstellungen\Thorsten Köhler\Startmenü\Programme\Autostart\Adobe Gamma.lnk
backup=c:\windows\pss\Adobe Gamma.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
c:\windows\system32\dumprep 0 -k [X]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
--a------ 2005-11-08 23:00 128920 c:\programme\DAEMON Tools\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 09:50 155648 c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2009-01-05 16:18 413696 c:\programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2006-10-10 17:24 32881 c:\programme\Java\j2re1.4.2_05\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a------ 2008-01-15 23:54 37376 c:\programme\Winamp\winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

R2 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler;c:\programme\Symantec\LiveUpdate\AluSche dulerSvc.exe [2006-10-26 100032]
R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\program me\Gemeinsame Dateien\symantec shared\eengine\EraserUtilRebootDrv.sys [2009-02-26 101936]
.
Inhalt des "geplante Tasks" Ordners

2009-02-18 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]

2009-02-22 c:\windows\Tasks\At1.job
- c:\windows\system32\wunauclt.exe []

2009-02-22 c:\windows\Tasks\At2.job
- c:\windows\system32\wunauclt.exe []

2007-12-22 c:\windows\Tasks\At3.job
- c:\windows\system32\wunauclt.exe []

2009-02-27 c:\windows\Tasks\Norton AntiVirus - Vollständige Systemprüfung ausführen - Thorsten Köhler.job
- c:\progra~1\NORTON~1\Navw32.exe [2007-05-28 11:00]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

BHO-{67982BB7-0F95-44C5-92DC-E3AF3DC19D6D} - (no file)
Toolbar-{0D045BAA-4BD3-4C94-BE8B-21536BD6BD9F} - (no file)
WebBrowser-{0D045BAA-4BD3-4C94-BE8B-21536BD6BD9F} - (no file)
SharedTaskScheduler-{b59f3ba4-98da-4b5f-8a2d-7b56fb11140b} - (no file)
SSODL-buprestidae-{b59f3ba4-98da-4b5f-8a2d-7b56fb11140b} - (no file)


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.t-online.de/
uInternet Settings,ProxyOverride = <local>;*.local
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
.

************************************************** ************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-05 16:29:40
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

************************************************** ************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{47629D4 B-2AD3-4e50-B716-A66C15C63153}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"cd042efbbd7f7af1647644e76e06692b"=hex:c8,28,51,af ,b0,29,a3,98,8e,2d,fa,ea,45,
d7,54,fa,e2,63,26,f1,3f,c8,ff,68,57,df,7b,1c,d4,48 ,6f,55,e2,63,26,f1,3f,c8,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{604BB98 A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"bca643cdc5c2726b20d2ecedcc62c59b"=hex:6a,9c,d6,61 ,af,45,84,18,c9,df,40,05,cc,
6a,22,99,6a,9c,d6,61,af,45,84,18,f4,96,29,17,3a,a9 ,8c,23,6a,9c,d6,61,af,45,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{684373F B-9CD8-4e47-B990-5A4466C16034}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"2c81e34222e8052573023a60d06dd016"=hex:ff,7c,85,e0 ,43,d4,0e,fe,ee,80,61,7f,a6,
1b,40,5c,ff,7c,85,e0,43,d4,0e,fe,f4,3c,af,52,2d,ce ,68,9e,ff,7c,85,e0,43,d4,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{74554CC D-F60F-4708-AD98-D0152D08C8B9}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"2582ae41fb52324423be06337561aa48"=hex:3e,1e,9e,e0 ,57,5a,93,61,40,ab,e5,ad,58,
ac,90,58,86,8c,21,01,be,91,eb,e7,90,a7,ec,1a,e0,c5 ,81,63,86,8c,21,01,be,91,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{7EB537F 9-A916-4339-B91B-DED8E83632C0}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"caaeda5fd7a9ed7697d9686d4b818472"=hex:f5,1d,4d,73 ,a8,13,5c,05,7e,8e,b9,99,7d,
a0,f7,a0,f5,1d,4d,73,a8,13,5c,05,5d,dd,e6,bb,d3,15 ,3c,19,f5,1d,4d,73,a8,13,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{948395E 8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"a4a1bcf2cc2b8bc3716b74b2b4522f5d"=hex:df,20,58,62 ,78,6b,cf,c8,76,31,09,58,af,
3c,b6,90,df,20,58,62,78,6b,cf,c8,28,b0,da,c1,c3,98 ,61,10,df,20,58,62,78,6b,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{AC3ED30 B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"4d370831d2c43cd13623e232fed27b7b"=hex:fb,a7,78,e6 ,12,2f,9a,ea,4a,9e,8f,6b,22,
bc,96,17,fb,a7,78,e6,12,2f,9a,ea,eb,b3,57,80,0c,9d ,09,0b,fb,a7,78,e6,12,2f,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{DE5654C A-EB84-4df9-915B-37E957082D6D}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"1d68fe701cdea33e477eb204b76f993d"=hex:01,3a,48,fc ,e8,04,4a,f1,f3,c5,d0,6c,28,
1b,c2,89,01,3a,48,fc,e8,04,4a,f1,a3,da,14,75,09,bc ,bd,ee,01,3a,48,fc,e8,04,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{E39C35E 8-7488-4926-92B2-2F94619AC1A5}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"1fac81b91d8e3c5aa4b0a51804d844a3"=hex:51,fa,6e,91 ,28,9e,14,cc,23,b5,5c,11,5a,
1e,7f,4a,f6,0f,4e,58,98,5b,89,c9,af,8c,16,c5,1f,75 ,f9,e4,f6,0f,4e,58,98,5b,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{EACAFCE 5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"f5f62a6129303efb32fbe080bb27835b"=hex:b1,cd,45,5a ,a8,c4,f8,b9,de,fa,0b,60,30,
7a,ef,39,3d,ce,ea,26,2d,45,aa,78,7c,b9,ba,28,ef,6f ,98,cc,3d,ce,ea,26,2d,45,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{F8F02AD D-7366-4186-9488-C21CB8B3DCEC}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"fd4e2e1a3940b94dceb5a6a021f2e3c6"=hex:2a,b7,cc,b5 ,b9,7f,41,e7,07,7d,f1,17,0c,
e9,fb,f8,2a,b7,cc,b5,b9,7f,41,e7,8b,9f,8b,26,11,9f ,6b,ce,2a,b7,cc,b5,b9,7f,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{FEE45DE 2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"8a8aec57dd6508a385616fbc86791ec2"=hex:6c,43,2d,1e ,aa,22,2f,9c,96,72,f6,33,17,
19,e5,eb,6c,43,2d,1e,aa,22,2f,9c,80,0e,ec,16,89,2a ,0b,31,6c,43,2d,1e,aa,22,\
.
Zeit der Fertigstellung: 2009-03-05 16:31:16
ComboFix-quarantined-files.txt 2009-03-05 15:31:02

Vor Suchlauf: 15 Verzeichnis(se), 29,572,390,912 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 29,624,410,112 Bytes frei

Current=3 Default=3 Failed=2 LastKnownGood=5 Sets=1,2,3,4,5
224 --- E O F --- 2009-02-26 02:00:42


__________________________________________________ _______________



scheint zwar alles wieder in ordnung zu sein, würd mich aber trotzdem sehr freuen wenn hier jmd mal reinschauen und mir sagen könnte, ob mein pc noch infiziert ist

vielen dank schonmal im voraus



mfg thorsten
Werbung

  Mit Zitat antworten
Alt 05.03.2009, 17:53   # 2
grunzer
Hausmeister im Virtuellen
 
Benutzerbild von grunzer
 
Registriert seit: 28.12.2006
Beiträge: 2.749
Sorry, aber bei dem Thema sind wir inzwischen recht kurz angebunden:
[Help] Kann Festplatten im Arbeitsplatz nicht mehr öffnen..

Ich würde einen solch verseuchten Rechner nicht versuchen wieder herzurichten. Einfach neu installieren und vorher die ganze Platte formatieren dauert auch nur einen Tag. Hier Logbuch posten und abarbeiten, dann Rückantwort usw und hinterher (oft nach Tagen) ist man nicht sicher ob man jede Hintertür geschlossen hat!

Bei anderen Fragen darfst Dich gerne wieder hier rühren!!
Nochmal Sorry
Grunzer
__________________
Lieber eine unsichere Freiheit
als eine sichere Diktatur !
  Mit Zitat antworten
Antwort


Themen-Optionen



Alle Zeitangaben in WEZ +2. Es ist jetzt 16:00 Uhr.

Kontakt - www.netzwelt.de - Archiv - Nach oben