- #21
A
andemande
Guest
man liest, und liest und überliest....
eine HPFS Partition würde alles erklären
eine HPFS Partition würde alles erklären
Rechner fährt nicht mehr hoch
- #22
D
derMatze
Mitglied
Themenersteller
- Dabei seit
- 02.06.2010
- Beiträge
- 22
- Reaktionspunkte
- 0
Mmmh, was heisst das, ist das nicht richtig?
Kann ich sowas ohne Datenverlust ändern?
Kann ich sowas ohne Datenverlust ändern?
- #23
A
andemande
Guest
Die Boot-Partition für XP muß eine NTFS sein (für die Home Version wäre auch FAT32 möglich)
Zur Sicherheit müsste man jetzt einen Screenshot der Rechnerpartition(en) haben.
Zur Sicherheit müsste man jetzt einen Screenshot der Rechnerpartition(en) haben.
- #24
D
derMatze
Mitglied
Themenersteller
- Dabei seit
- 02.06.2010
- Beiträge
- 22
- Reaktionspunkte
- 0
Arg... wie kann denn das sein, dass sich sowas einfach ändert? (Wobei mir ja nicht einfach nur HPFS sondern HPFS - NTFS Partition angezeigt wurde)
Lässt sich das mit einem der Partitionstools reparieren?
Lässt sich das mit einem der Partitionstools reparieren?
- #25
E
eos
Bekanntes Mitglied
- Dabei seit
- 31.03.2010
- Beiträge
- 985
- Reaktionspunkte
- 0
Lest bitte mal die Anleitungen/Hilfen zu Testdisk - die Angabe HPFS ist in der Regel normal
http://www.computerbase.de/bildstrecke/22698/9/
aus Seite 3
http://www.computerbase.de/artikel/...hnitt_einfache_diagnose_und_wiederherstellung
Bei meinen bisherigen Aktionen mit Testdisk wurden meine NTFS-Partitionen auch so angezeigt.......
http://www.computerbase.de/bildstrecke/22698/9/
aus Seite 3
http://www.computerbase.de/artikel/...hnitt_einfache_diagnose_und_wiederherstellung
Bei meinen bisherigen Aktionen mit Testdisk wurden meine NTFS-Partitionen auch so angezeigt.......
- #26
S
schrauber
Bekanntes Mitglied
- Dabei seit
- 23.11.2005
- Beiträge
- 1.767
- Reaktionspunkte
- 0
- Ort
- Heusweiler
hi,
hast du noch nen cd rohling und 130 MB downloadvolumen zur verfügung?
Wenn ja, bitte das hier machen:
*Bitte immer Webseite angeben und keine verstümmelten Direktlinks*
hast du noch nen cd rohling und 130 MB downloadvolumen zur verfügung?
Wenn ja, bitte das hier machen:
- Lade OTLPENet.exe von OldTimer herunter
http://www.geekstogo.com/forum/Trojan-Horse-has-my-dell-throat-t278481.html
und speichere sie auf Deinem Desktop.
Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast. - Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage Do you want to burn the CD? mit Yes.
- Lege eine leere CD in Deinen Brenner.
- ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
- Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => Operation successfully completed.
- Du kannst nun die Fenster des Brennprogramms schließen.
- Starte das unbootbare System neu und boote von der CD, die Du gerade erstellt hast.
Anmerkung: Wenn Du nicht weißt, wie Du Deinen Computer dazu bringst, von CD zu booten, dann folge diesen Schritten hier. - Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
- Mache einen Doppelklick auf das OTLPE Icon.
- Wenn Du gefragt wirst Do you wish to load the remote registry, dann wähle Yes.
- Wenn Du gefragt wirst Do you wish to load remote user profile(s) for scanning, dann wähle Yes.
- Vergewissere Dich, dass die Box Automatically Load All Remaining Users gewählt ist und drücke OK.
- OTLpe sollte nun starten.
- Drücke Run Scan, um den Scan zu starten.
- Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt gesichert und mit Notepad++ geöffnet.
- Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
- Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt in Codetags in diesen Thread.
*Bitte immer Webseite angeben und keine verstümmelten Direktlinks*
- #27
A
andemande
Guest
hallo,
mach ruhig den Vorschlag von schrauber und falls der Rechner dann bootet kannst du die Testdisk-Sache vergessen.
Falls nicht, bitte unbedingt mit Testdisk weitermachen und die Screenshots von Testdisk einfügen.
mach ruhig den Vorschlag von schrauber und falls der Rechner dann bootet kannst du die Testdisk-Sache vergessen.
Falls nicht, bitte unbedingt mit Testdisk weitermachen und die Screenshots von Testdisk einfügen.
- #28
D
derMatze
Mitglied
Themenersteller
- Dabei seit
- 02.06.2010
- Beiträge
- 22
- Reaktionspunkte
- 0
So, er ist brav hochgefahren, Scan lief durch und hat allerdings nur die Datei OTL.txt erstellt und geöffnet. Hoffe das reicht dann auch:
Kann den Text hier allerdings leider nicht einfügen, weil die maximale Beitragslänge überschritten wird.
Ist hier hochgeladen.
Nachtrag:
Ok, Extra Registry war auf none gesetzt, hier die Extra.txt.
Kann den Text hier allerdings leider nicht einfügen, weil die maximale Beitragslänge überschritten wird.
Ist hier hochgeladen.
Nachtrag:
Ok, Extra Registry war auf none gesetzt, hier die Extra.txt.
- #29
S
schrauber
Bekanntes Mitglied
- Dabei seit
- 23.11.2005
- Beiträge
- 1.767
- Reaktionspunkte
- 0
- Ort
- Heusweiler
nanü, wer hat denn da an der grafik-ansteuerung gebastelt?
starte mal bitte OTLPE, in die Custom Scan Box folgendes kopieren:
netsvcs
%SYSTEMDRIVE%\*.exe
/md5start
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
nvrd32.sys
symmpi.sys
adp3132.sys
mv61xx.sys
WudfPf.sys
/md5stop
HKEY_LOCAL_MACHINE\System\ControlSet002\Services
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemdrive%\*.sys /90 /md5
Klicke auf den QUICK SCAN button und poste das Logfile.
- #30
D
derMatze
Mitglied
Themenersteller
- Dabei seit
- 02.06.2010
- Beiträge
- 22
- Reaktionspunkte
- 0
- #31
S
schrauber
Bekanntes Mitglied
- Dabei seit
- 23.11.2005
- Beiträge
- 1.767
- Reaktionspunkte
- 0
- Ort
- Heusweiler
Hast Du deine Windows CD zur Hand?
Öffne OTLPE, in die Custom Scan Box folgendes kopieren
klicke auf Run Fix und poste das Logfile.
Kannst Du bitte diese Datei
C:\WINDOWS\system32\drivers\WudfPf.sys.XXX
In OTLPE an einen andern platz kopieren, nicht verschieben, und diese Kopie in ein zip packen hier hochladen? Ich will da mal nen blick drauf werfen.
http://www.bleepingcomputer.com/submit-malware.php?channel=93
Öffne OTLPE, in die Custom Scan Box folgendes kopieren
Code:
:OTL
DRV - [2010/05/19 02:40:04 | 000,000,000 | ---- | M] () [Kernel | Boot] -- C:\WINDOWS\system32\drivers\ojupk.sys -- (ojupk)
IE - HKU\Hannes_ON_C\..\URLSearchHook: - Reg Error: Key error. File not found
FF - prefs.js..browser.search.defaultenginename: Yahoo! Search
FF - prefs.js..browser.search.defaultthis.engineName: Softonic Deutsch Customized Web Search
FF - prefs.js..browser.search.defaulturl: http://search.conduit.com/ResultsExt.aspx?ctid=CT1351351&SearchSource=3&q={searchTerms}
FF - prefs.js..browser.search.selectedEngine: Yahoo! Search
FF - prefs.js..keyword.URL: [url]http://de.yhs.search.yahoo.com/avg/search?fr=yhs-avg&type=yahoo_avg_hs2-tb-web_de&p=[/url]
O2 - BHO: (C:\WINDOWS\system32\p7gic.dll) - {A2BA40A0-74F1-52BD-F411-00B15A2C8953} - C:\WINDOWS\System32\p7gic.dll File not found
O4 - HKLM..\Run: [] File not found
O4 - HKU\Hannes_ON_C..\Run: [{814D6C00-7A2C-4C33-DD30-951CCDBCD568}] C:\Dokumente und Einstellungen\Hannes\Anwendungsdaten\Akweap\tiop.exe File not found
O4 - HKU\Hannes_ON_C..\Run: [hsf87efjhdsf87f3jfsdi7fhsujfd] C:\DOKUME~1\Hannes\LOKALE~1\Temp\user.exe File not found
O4 - HKU\Hannes_ON_C..\Run: [hsf87sdhfush87fsufhuie3fddf] C:\DOKUME~1\Hannes\LOKALE~1\Temp\i2w6s.exe File not found
O4 - HKU\Hannes_ON_C..\Run: [mcexecwin] C:\DOKUME~1\Hannes\LOKALE~1\Temp\wlxzi.DLL File not found
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} [url]http://java.sun.com/update/1.5.0/jinstall-1_5_0_11-windows-i586.cab[/url] (Java Plug-in 1.5.0_11)
O16 - DPF: {CAFEEFAC-0015-0000-0011-ABCDEFFEDCBA} [url]http://java.sun.com/update/1.5.0/jinstall-1_5_0_11-windows-i586.cab[/url] (Java Plug-in 1.5.0_11)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} [url]http://java.sun.com/update/1.5.0/jinstall-1_5_0_11-windows-i586.cab[/url] (Java Plug-in 1.5.0_11)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} [url]http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab[/url] (Shockwave Flash Object)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\sdra64.exe) - C:\WINDOWS\System32\sdra64.exe File not found
O22 - SharedTaskScheduler: {A2BA40A0-74F1-52BD-F411-00B15A2C8953} - kjsfi8sjefiuoshiefyhiusdhfdf - C:\WINDOWS\System32\p7gic.dll File not found
[6 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[4 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[1 C:\WINDOWS\System32\drivers\*.tmp files -> C:\WINDOWS\System32\drivers\*.tmp -> ]
[2010/05/05 02:24:04 | 000,000,008 | ---- | M] () -- C:\WINDOWS\sdfinacs.dll
[2010/05/05 02:24:01 | 000,000,168 | ---- | M] () -- C:\WINDOWS\wuasirvy.dll
[2010/05/03 02:12:17 | 000,000,005 | ---- | M] () -- C:\WINDOWS\sdfixwcs.dll
:Commands
[emptytemp]
[resethosts]klicke auf Run Fix und poste das Logfile.
Kannst Du bitte diese Datei
C:\WINDOWS\system32\drivers\WudfPf.sys.XXX
In OTLPE an einen andern platz kopieren, nicht verschieben, und diese Kopie in ein zip packen hier hochladen? Ich will da mal nen blick drauf werfen.
http://www.bleepingcomputer.com/submit-malware.php?channel=93
- #32
D
derMatze
Mitglied
Themenersteller
- Dabei seit
- 02.06.2010
- Beiträge
- 22
- Reaktionspunkte
- 0
Eine Windows-CD hätte ich hier, ja.
Log-File: http://cl.ly/651f1c9ce14487186383
Datei hab ich da hochgeladen, habe allerdings keinen Link bekommen, sondern nur den Hinweis, dass ich dir sagen soll, dass die Datei oben ist...
Log-File: http://cl.ly/651f1c9ce14487186383
Datei hab ich da hochgeladen, habe allerdings keinen Link bekommen, sondern nur den Hinweis, dass ich dir sagen soll, dass die Datei oben ist...
- #33
S
schrauber
Bekanntes Mitglied
- Dabei seit
- 23.11.2005
- Beiträge
- 1.767
- Reaktionspunkte
- 0
- Ort
- Heusweiler
here we go
das bedeutet für dich:
machst du geldgeschäfte am rechner? sonstige sensible sachen? das hier ist ein backdoor befall, der nicht ohne ist. intelligenter weise auch noch ein update des üblichen, d.h. wir könnten bereinigen, bei dem spass kann ich mir auch ein paar neue samples ziehen um die remover auf den neuesten stand zu bringen.
reinigen oder formatieren?
Code:
File WudfPf.sys.XXX.zip received on 2010.06.04 17:34:43 (UTC)
Antivirus Version Last Update Result
a-squared 5.0.0.26 2010.06.04 Rootkit.Win32.TDSS!IK
AhnLab-V3 2010.06.04.02 2010.06.04 -
AntiVir 8.2.2.6 2010.06.04 TR/Patched.Gen
Antiy-AVL 2.0.3.7 2010.06.04 -
Authentium 5.2.0.5 2010.06.04 W32/SYStroj.AB.gen!Eldorado
Avast 4.8.1351.0 2010.06.04 Win32:Alureon-FZ
Avast5 5.0.332.0 2010.06.04 Win32:Alureon-FZ
AVG 9.0.0.787 2010.06.04 Win32/Patched.DP
BitDefender 7.2 2010.06.04 Rootkit.Patched.TDSS.Gen
CAT-QuickHeal 10.00 2010.06.04 -
ClamAV 0.96.0.3-git 2010.06.04 -
Comodo 4985 2010.06.04 TrojWare.Win32.Rootkit.TDL3.gen
DrWeb 5.0.2.03300 2010.06.04 BackDoor.Tdss.2459
eSafe 7.0.17.0 2010.06.03 -
eTrust-Vet 35.2.7528 2010.06.04 Win32/Alureon.A!generic
F-Prot 4.6.0.103 2010.06.03 W32/SYStroj.AB.gen!Eldorado
F-Secure 9.0.15370.0 2010.06.04 Rootkit.Patched.TDSS.Gen
Fortinet 4.1.133.0 2010.06.04 -
GData 21 2010.06.04 Rootkit.Patched.TDSS.Gen
Ikarus T3.1.1.84.0 2010.06.04 Rootkit.Win32.TDSS
Jiangmin 13.0.900 2010.06.04 Rootkit.TDSS.dgu
Kaspersky 7.0.0.125 2010.06.04 Rootkit.Win32.TDSS.ap
McAfee 5.400.0.1158 2010.06.04 Patched-SYSFile.d
McAfee-GW-Edition 2010.1 2010.06.04 -
Microsoft 1.5802 2010.06.04 Virus:Win32/Alureon.H
NOD32 5173 2010.06.04 Win32/Olmarik.ZC
Norman 6.04.12 2010.06.04 W32/tdss.drv.gen8
nProtect 2010-06-04.01 2010.06.04 -
Panda 10.0.2.7 2010.06.04 -
PCTools 7.0.3.5 2010.06.04 Backdoor.Tidserv
Rising 22.50.04.04 2010.06.04 RootKit.Win32.TDSS.c
Sophos 4.53.0 2010.06.04 Mal/TDSSRt-A
Sunbelt 6405 2010.06.04 LooksLike.Win32.PatchedDriver!A (v)
Symantec 20101.1.0.89 2010.06.04 Backdoor.Tidserv!inf
TheHacker 6.5.2.0.292 2010.06.04 -
TrendMicro 9.120.0.1004 2010.06.04 Mal_TIDIES-12
TrendMicro-HouseCall 9.120.0.1004 2010.06.04 Mal_TIDIES-12
VBA32 3.12.12.5 2010.06.04 Rootkit.Win32.TDSL.b
ViRobot 2010.6.4.2337 2010.06.04 -
VirusBuster 5.0.27.0 2010.06.04 Rootkit.TDSS.Gen.3
Additional information
File size: 33939 bytes
MD5...: 68bc9209adeb1a885b8d254ba465ec90
SHA1..: eeb0dd07377ca1b54026118abd34870a48f2bbe2
SHA256: 12df0b74589c377651d2f0a0d87d2ecc182128dad53f88aabc3fcece8622628b
ssdeep: 768:2ONBnx6sCYeExEKI1/wO4x8rzxUONZBJjmBsICVRYoqANueL6:XNVx7Vvx83<br>xhN4SbYo7Nuj<br>
PEiD..: -
PEInfo: -
RDS...: NSRL Reference Data Set<br>-
pdfid.: -
trid..: ZIP compressed archive (99.8%)<br>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
sigcheck:<br>publisher....: n/a<br>copyright....: n/a<br>product......: n/a<br>description..: n/a<br>original name: n/a<br>internal name: n/a<br>file version.: n/a<br>comments.....: n/a<br>signers......: -<br>signing date.: -<br>verified.....: Unsigned<br>das bedeutet für dich:
machst du geldgeschäfte am rechner? sonstige sensible sachen? das hier ist ein backdoor befall, der nicht ohne ist. intelligenter weise auch noch ein update des üblichen, d.h. wir könnten bereinigen, bei dem spass kann ich mir auch ein paar neue samples ziehen um die remover auf den neuesten stand zu bringen.
reinigen oder formatieren?
- #34
D
derMatze
Mitglied
Themenersteller
- Dabei seit
- 02.06.2010
- Beiträge
- 22
- Reaktionspunkte
- 0
Auf dem rechner wird nichts wirklich sensibles gemacht, daher gerne reinigen
- #35
S
schrauber
Bekanntes Mitglied
- Dabei seit
- 23.11.2005
- Beiträge
- 1.767
- Reaktionspunkte
- 0
- Ort
- Heusweiler
Ok, dann spielen wir mal mit OTLPE rum
Boote wieder mit OTLPE, leg die windows cd in ein anderes laufwerk ein und durchsuch die CD nach der datei
WudfPf.sys
msacm32.drv
im I386 Ordner. Wenn du sie hast kopiere sie nach C:\.
Desweiteren öffne den regeditor auf dem desktop von OTLPE. Navigiere links zu
HKEY_LOCAL_MACHINE\System\CurrentControlSet
dort solltest du link folgendes finden:
WudfPf
msacm32
Wenn nicht schau bei ControlSet001. Klicke die beiden nacheinander einmal an und mach rechts dann nen doppelklick auf Imagepath. Kopier mir was in der sich öffnenden Box steht.
Alles weitere dann nach rückmeldung.
Boote wieder mit OTLPE, leg die windows cd in ein anderes laufwerk ein und durchsuch die CD nach der datei
WudfPf.sys
msacm32.drv
im I386 Ordner. Wenn du sie hast kopiere sie nach C:\.
Desweiteren öffne den regeditor auf dem desktop von OTLPE. Navigiere links zu
HKEY_LOCAL_MACHINE\System\CurrentControlSet
dort solltest du link folgendes finden:
WudfPf
msacm32
Wenn nicht schau bei ControlSet001. Klicke die beiden nacheinander einmal an und mach rechts dann nen doppelklick auf Imagepath. Kopier mir was in der sich öffnenden Box steht.
Alles weitere dann nach rückmeldung.
- #36
D
derMatze
Mitglied
Themenersteller
- Dabei seit
- 02.06.2010
- Beiträge
- 22
- Reaktionspunkte
- 0
Die beiden Dateien kann ich auf der CD nicht finden, nur eine MSACM32.DR_ etwas mit WudfPf gibt es gar nicht...
- #37
P
PCDpan_fee
Guest
@schrauber
die hast du auch dabei?
pan_fee
[sub]ich schieb den Thread mal ins Schädlingsboard[/sub]
Code:
HKU\Hannes_ON_C..\Run: [{814D6C00-7A2C-4C33-DD30-951CCDBCD568}] C:\Dokumente und Einstellungen\Hannes\Anwendungsdaten\Akweap\tiop.exe
O4 - HKU\Hannes_ON_C..\Run: [{814D6C00-7A2C-4C33-DD30-951CCDBCD568}] C:\Dokumente und Einstellungen\Hannes\Anwendungsdaten\Akweap\tiop.exe
HKU\Hannes_ON_C..\Run: [hsf87efjhdsf87f3jfsdi7fhsujfd] C:\DOKUME~1\Hannes\LOKALE~1\Temp\user.exe
O4 - HKU\Hannes_ON_C..\Run: [hsf87efjhdsf87f3jfsdi7fhsujfd] C:\DOKUME~1\Hannes\LOKALE~1\Temp\user.exe
HKU\Hannes_ON_C..\Run: [hsf87sdhfush87fsufhuie3fddf] C:\DOKUME~1\Hannes\LOKALE~1\Temp\i2w6s.exe
O4 - HKU\Hannes_ON_C..\Run: [hsf87sdhfush87fsufhuie3fddf] C:\DOKUME~1\Hannes\LOKALE~1\Temp\i2w6s.exe
HKU\Hannes_ON_C..\Run: [mcexecwin] C:\DOKUME~1\Hannes\LOKALE~1\Temp\wlxzi.DLL
O4 - HKU\Hannes_ON_C..\Run: [mcexecwin] C:\DOKUME~1\Hannes\LOKALE~1\Temp\wlxzi.DLL
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\sdra64.exe) - C:\WINDOWS\System32\sdra64.exe
O22 - SharedTaskScheduler: {A2BA40A0-74F1-52BD-F411-00B15A2C8953} - kjsfi8sjefiuoshiefyhiusdhfdf - C:\WINDOWS\System32\p7gic.dll
O2 - BHO: (C:\WINDOWS\system32\p7gic.dll) - {A2BA40A0-74F1-52BD-F411-00B15A2C8953} - C:\WINDOWS\System32\p7gic.dlldie hast du auch dabei?
pan_fee
[sub]ich schieb den Thread mal ins Schädlingsboard[/sub]
- #38
S
schrauber
Bekanntes Mitglied
- Dabei seit
- 23.11.2005
- Beiträge
- 1.767
- Reaktionspunkte
- 0
- Ort
- Heusweiler
hab ich dabei. ehm....
in meinem fix-dokument aufm desktop sind se drin
naja, primär müssen wir jetzt erstmal so ne datei auftreiben.
in meinem fix-dokument aufm desktop sind se drin
naja, primär müssen wir jetzt erstmal so ne datei auftreiben.
- #39
D
derMatze
Mitglied
Themenersteller
- Dabei seit
- 02.06.2010
- Beiträge
- 22
- Reaktionspunkte
- 0
Sag bescheid wenn ich irgendwie helfen kann...
- #40
S
schrauber
Bekanntes Mitglied
- Dabei seit
- 23.11.2005
- Beiträge
- 1.767
- Reaktionspunkte
- 0
- Ort
- Heusweiler
hast du das andere auch abgearbeitet, mit regedit?
Thema:
