Zugriff auf Partitionen verweigert

[Jamin]

Hi @ all!!

Ich habe mir vor ein paar Tagen ein neues Virenscanprogramm runtergeladen (AVG 7.5) Klappt auch alles ganz prima, nur hat dieses Programm einen "Virus" gefunden der autorun.inf heißt. Diesen findet aber nur dieses Programm bei mir auf XP, mein anderer Virenscanner, den ich auf dem gleichen PC mit Vista benutze (Ashampoo) findet diese Datei nicht.
Jedenfalls habe ich versucht, diese Datei "heilen" zu lassen, was mein Virenscanner nicht konnte, also habe ich sie in Quarantäne verschoben. Seitdem (ich glaube seitdem, ich bin mir nicht 100% sicher, weil ich es davor länger nicht versucht habe) kann ich auf meine dritte Patition (E, dort befindet sich KEIN Betriebssystem) nicht mehr mit Doppelklick zugreifen (dazu gleich mehr). Von Vista aus kann ich allerdings ohne Probleme auf alle drei Partitionen zugreifen. Also dachte ich mir eben: "naja machste diese Autorun.inf wieder aus der Quarantäne raus und wieder dahin, wo du sie herhast" (auf C, wo sich Vista befindet). Ende vom Lied: jetzt lässt sich auch C nicht mehr mit Doppelklick öffnen, nur noch D, wo sich XP befindet.

Das komische an der ganzen Sache ist, dass ich zwar nicht mit einem Dopelklick auf das Festplattensymbol die jeweilige Partition nicht öffnen kann (die Meldung: "Zugriff verweigert" erscheint), aber mit Rechtsklick --> Öffnen funtioniert es...
Wenn ich einen Rechtsklick mache steht ganz oben übrigens nicht wie immer "öffnen", sondern "open(0)" bei den betroffenen Partitionen. Ich habe das Problem schon gegoogelt und einer konnte das Problem durch Formatieren der Partition beheben....was für mich allerdings nicht in Frage kommt^^

Kennt jemand das Problem??
Ich hatte das übrigens schon auf meinem alten PC und mein Freund hatte es auch (bei ihm hat es ein PC-Shop mit nur eingen Handgriffen behoben, allerdings weiß ich leider nicht mehr wie, und anrufen dort möchte ich auch nicht unbedingt, weil ich mich mit denen dort nciht so gut verstehe )

Wäre prima, wenn mir einer helfen könnte.

Mine

 

[realers]

Hi

Hast du vielleicht einen älteren Wiederherstellungspunkt zu dem du zurückkehren kannst?
Ich denke mal das müsste dein Proble lösen.

Mfg
Realers

 

[Jamin]

Das könnte ich mal versuchen. Wie ist es denn dann mit Save Games zum Beispiel, oder neuen Programmen die ich mir draufgespielt habe (z.B. eben der neue Virenscanner): Sind die dann auch weg, wenn ich eine Version von vor 4 oder 5 Tagen nehme??

 

[realers]

Afaik schon, dein System wird dann komplett auf den Stand von vor 4 oder 5 Tagen gesetzt.
Neue Dateien (mp3´s, doc´s usw) bleiben erhalten.

 

[RAT]

Schnelle Lösung kenne ich auch nicht, da ich mir nicht ganz sicher bin.

Erstmal das: Eine Datei "Autorun.inf" wird beim Einlegen eines Datenträgers bzw. beim Doppelklick darauf automatisch ausgeführt. Sie kann diverse Programmaufrufe enthalten und zB eine Pfadangabe zu einem Icon.

Für letzteres wird sie gelegentlich verwendet, wenn man einem ganzen Laufwerk ein bestimmtes Icon zuweisen möchte. Gefährlich ist aber eher der "Autostart", also das automatische Ausführen von Programmen bei Doppelklick auf das Laufwerk oder beim Einlegen einer CD/DVD.

Die Syntax in der Autorun.inf ist relativ simpel und man kann so eine Datei mit zB Notepad öffnen (tue das und kontrolliere den Inhalt!).

Was genau bei einem Doppelklick auf einen Ordner bzw. ein Laufwerk passiert regelt Windoofs über die Registry. Für alle Dateierweiterungen und Ordner existiert direkt unter HKEY_CLASSES_ROOT ein Schlüssel mit dem Namen der Dateierweiterung bzw. für Ordner und alle Typen der * als erster Eintrag. Die Werte unter * geben an, was Windoofs bei einem Rechtsklick auf zB einen Ordner als Optionen im Kontextmenü anbietet.

Unter Arbeitsplatz / Extras / Ordneroptionen / Dateitypen sollte ebenfalls ein Eintrag "Dateiordner" oder "Ordner" stehen. Dort kann man evtl. das Standardprogramm zum Öffnen von Ordnern ändern (auf Explorer.exe). Da Du plötzlich einen Eintrag open(0) dort stehen hast, spricht einiges dafür, daß ein anderes Programm versucht hat sich dort zu verewigen (und der Virenscanner es nun möglicherweise blockt).

 

[Jamin]

Ok, schon mal vielen Dank für die Antworten! Konnte es bisher noch nicht testen, weil ich die letzten 2 Tage nicht am PC war.
Im Moment fliege ich auch permanent aus diesem Forum raus. Sobald ich auf "persönlicher Bereich" gehe, oder auf etwas antworten will, bin ich wieder draussen. Hoffe ja, dass das nicht an meinem PC liegt.
Und mein Thread (also der hier) ist auch niergendwo hier im Hilfe Forum zu finden. Musste eben, um ihn sehen zu können alle Posts von mir suchen lassen. Komische Sache

 

[Korrn]

http://www.pcwelt.de/start/sicherheit/virenticker/news/94544/

Quelle: Google, erster Treffer...

"Die Aufgabe des Schädlings ist es Passwörter für Online-Spiele zu stehlen."

Starte den Virenscanner doch mal bitte im abgesicherten Modus.

 

[Jamin]

Ach du Schieße.....das klingt ja übel. Hab zwar keine Maxtor Platte, aber ich denke mal, dass man den Virus mittlerweile auch sonstwie bekommt. Müsste es dann reichen, die Datei von meinem Virenscanner in Quarantäne verschieben oder löschen zu lassen?? *Angsthab!*

Vielleicht erklärt das auch meine neusten Probleme mit dem Forum hier


Edit: Jetzt bin ich mal im XP (noch nicht im abgesicherten Modus) und da geht alles mit dem Forum Oo

 

[RAT]

Tja. Hört sich so an. Solltest Dich zumindest in keine .Spiele mehr einloggen oder welche erstellen und wenn möglich von einem sauberen Rechner aus alle Deine Passwörter ändern.

Vielleicht auch mal mit HijackThis testen, ob der .Trojaner aktiv und geladen ist. Gibt sicherlich Entfernungstools für den, aber lieber den Rechner neu aufsetzen. Soviel wären mir meine Accs schon wert

 

[Jamin]

Also ich bin grade am manuellen Suchen der jeweiligen Datein, die in dem einen Beitrag in dem obigen Link sind, und hab bisher diese Dateien, die Autorun.inf angeblich installieren soll (csrss.exe, arona.exe...) nicht gefunden. Das ist doch schon mal ein gutes Zeichen finde ich. Dafür hat mir mein Virenscanner aber gerade schon wieder die Autorun.inf angeprangert, die ich eigentlich eben gelöscht habe.....und noch einen anderen Virus, den ich direkt mal googeln werde.
Oh Mann...ich könnt kotzen

Zu dem HijackThis-Dingsbums....kenn ich nicht , aber hab mal gegoogelt was das so ausspuckt. Was sagen mir diese ganzen Daten-Reihen????

 

[RAT]

HijackThis (bitte nur von der originalen Seite oder dort empfohlenen Spiegelservern laden) analysiert den .Rechner auf Prozesse, die dieser automatisch beim Start ladet oder durch Einwahl ins .Internet starten könnte.

Außerdem werden alle gerade aktiven Prozesse angelistet. Ursprünglich wurde es entwickelt, um das hijacking (entführen) des Browsers durch Schadprogramme auf andere Seiten zu erkennen. Es hat sich aber weiterentwickelt, so daß man heute fast alle Schadprozesse erkennen kann.

Die Auswertung erfolgt entweder hier oder auch bei uns, wenn Du die Logdatei kopieren magst. Ich empfehle aber das Erste, geht schneller und durch die Datenbank unterstützt auch sicherer.

 

[Jamin]

So....habe gemacht, was du gesagt hast^^

Sieht soweit glaube ich ganz gut aus. Nur zwei Sachen wurden amgmotzt, wobei das eine wohl doch nicht schädlich und das andere unbekannt ist. Letzteres habe ich aber wohl schon seit Oktober auf dem Rechner, sollte also nix mit den aktuellen Problemen zu tun haben. Bringt natürlich nicht viel, wenn ich hier unpräzise rumlabere, ich kopier mal lieber nochmal die Logdatei hier rein.



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:07:14, on 04.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe
D:\WINDOWS\system32\RUNDLL32.EXE
D:\Programme\Analog Devices\Core\smax4pnp.exe
D:\Programme\Analog Devices\SoundMAX\Smax4.exe
D:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe
D:\PROGRA~1\Grisoft\AVG7\avgcc.exe
E:\Programme\DAEMON Tools\daemon.exe
D:\Programme\OpenOffice.org 2.2\program\soffice.exe
D:\Programme\OpenOffice.org 2.2\program\soffice.BIN
D:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
D:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
D:\PROGRA~1\Grisoft\AVG7\avgemc.exe
D:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
D:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe
D:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
D:\WINDOWS\system32\nvsvc32.exe
D:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
D:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
E:\PROGRA~1\FIREFOX\FIREFOX.EXE
D:\WINDOWS\system32\svchost.exe
D:\Programme\Grisoft\AVG7\avgwb.dat
D:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [nTrayFw] D:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMAXPnP] D:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "D:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [IAAnotif] "D:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
O4 - HKLM\..\Run: [JMB36X IDE Setup] D:\WINDOWS\JM\JMInsIDE.exe
O4 - HKLM\..\Run: [JMB36X Configure] D:\WINDOWS\system32\JMRaidSetup.exe boot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AVG7_CC] D:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [DAEMON Tools] "e:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [Steam] D:\Programme\Steam\\Steam.exe -silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] D:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.2.lnk = D:\Programme\OpenOffice.org 2.2\program\quickstart.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: d:\windows\system32\nwprovau.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - D:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - D:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - D:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - D:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - D:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - D:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - D:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - D:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe

--
End of file - 5158 bytes





Nach einem erneuten Virenscan ist auch nix mehr zu finden....soll heißen der Scanner findet nix mehr...von daher habe ich vielleicht doch Glück gehabt ????
Oder bin ich jetzt zu naiv?!?

 

[Korrn]

Hab mir nicht die ganze Auswertung durchgelesen!



D:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
Eventuell schädlich!

--> Das ist wahrscheinlich der Treiber für Deine Netzwerkkarte


O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
Unbedingt fixen! Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.

--> Blödsinn! Die Soundkarte hab ich auch.

D:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe

--> Warum läuft auf Deinem PC ein Webserver!? Wenn Absicht ist, OK. Ansonsten scheints auch zum Netzwerkkartentreiber zu gehören.
Gib mal bitte unter Start->Ausführen cmd ein, und dann "netstat -a -b" (ohne Anführungszeichen).
Da siehst Du dann auf welchen Ports Verbindungen offen sind, und welche Programme "horchen". Keine Angst bekommen, bei mir hat der Firefox alleine meist mindestens drei Verbindungen offen.


Edit: Der Virenscan wurde im abgesicherten Modus ausgeführt? Wenn ja: Super.
Wenn nein: Wäre das noch so ein Vorschlag...

 

[Jamin]

Ach Gottchen - lauter weiße Buchstaben auf schwarzem Hintergrund
Hmmm....netstat -a -b hat da ganz viel aufgelistet....aber ich Noobie grad keinen Schimmer, was mir das Fenster damit sagen will
Ich zitiere mal ein wenig vorsichtig.....
Also ich hab vie TCP-Dinger worunter in eckigen Klammern Firefox steht, einige wo System druntersteht, welche mit apache und welche mit svchost...und dann noch ein paar andere.....und welche, wo nicht TCP drüber steht, sondern VDP. Einige horchen, andere sind hergestellt, eins wartet und ne ganze Reihe macht nix.....
Insgeasmt sind unter "aktive Verbindungen" ein paar und zwanzig aufgezählt....

Sorry...ich in so ein Nixraffer

Virenscan im abgesicherten Modus mach ich gleich, muss nur erst noch den nächsten WP finden (nicht im b.net - keine angst^^)

 

[Korrn]

Also mir bereitet der Apache-Server Bauchschmerzen, das ist ein Webserver...

Hinter dem Eintrag des Apache steht ja ne Zahl (DeinPCName:Zahl).
Bitte gib im Browser mal
http://localhost:"Zahl hinter Apache ohne Anführungszeichen"
(sowas wie "http://localhost:80")
ein.

Und für das Netstat-Ergebnis einfach mal "netstat -a -b >>c:\test.txt" eingeben, dann wird das Ergebnis in die Datei test.txt auf C: geschrieben (Die Datei kann natürlich anders benannt und wo anders liegen). Damit kannst Du das Ergebnis dann einfach kopieren und posten, wenn Du willst.

 

[Jamin]

Ok...also, neuster Stand der Dinge: Habe gestern abend noch einen Virenscan im abgesicherten Modus gemacht (unter XP, denn unter Vista ließen sich die Virenscanner im abgesicherten Modus nicht öffnen) - keine Viren mehr gefunden. Mache grade aber nochmal einen, sicher ist sicher.
Hab dieses Localhost:Zahl eingegeben und kam auf die Nividia-Seite, wo was von Ethernet und so steht - *nixraff* Die Zahl ist 3476, falls das hilft^^

Und das Protokoll habe ich auch gespeichert. Aber wenn ich das poste, kann dann nicht jeder auf mein Internet zugreifen??? Keinen Schimmer - dumme Frage vielleicht


Ach ja....vielleicht hilft das zu klären, warum ich einen Webserver habe...also bei uns siehts mit dem www so aus, dass wir Flatrate haben, gehen über einen Router ins Internet und sind 5 PCs (mal auch 6), die im Netzwerk verbunden sind. (keine Ahnung ob die Info jetzt was hilft^^).

 

[Korrn]

OK, dann scheint der Apache-Server zu Deiner Treibersoftware zu gehören.

Mit der Flatrate hat das eher weniger zu tun. Die Zugangsdaten für Deinen Anbieter sind wahrscheinlich auf Deinem Router hinterlegt und jeder, der seinen Rechener an den Router anschließt kann dann ins I-net.

Die Ausgabe des Netstat-Befehls wäre nur im Zusammenhang mit Deiner IP-Adresse bedenklich. Dir werden da die Ein- und Ausgänge Deines PCs aufgelistet. Ungefähr als würde da stehen 3Türen, 5Fenster, davon 2 offen. Ohne die Adresse sind die Infos nutzlos. Desweiteren müsste Deine Router die Anfragen direkt an Deinen PC weiterleiten, was normalerweise auch nicht geschehen sollte.

Wenn jetzt wieder alles in Ordnung ist, dann kannst Du ja ohne hin wieder gut schlafen.

MfG

 

[Jamin]

Ok....das klingt ja dann beruhigend.
Bis auf das Foren-Problem, dass ich immernoch bei allem was ich mache hier rausfliege, ist alles wieder ok. Und diesbezüglich hab ich auch schon dem Forenadmin geschrieben.
Das einzige, was mich noch ein Wenig besorgt, ist eine Datei, die mein Virenscanner auf Vista von Anfang an als HEUR/Malware anmotzt, allerdings handelt es sich da um einen Internet-Radio-Rekorder, den ich auch schon auf meinem aleten PC hatte, und der auch von menem anderen Virenscanner nicht angemotzt wird. Von daher halte ich das für Fehlalarm.
Hoffe mal, ich hab jetzt wirklich Ruhe mit pösen Virenmeldungen


Ansonsten: vielen Dank für deine/eure Hilfe!!

 

[Korrn]

Was bedeutet denn für Dich "aus dem Forum fliegen"?

Wirst Du von alleine abgemeldet?
Schließt sich Dein Browser selbsttätig?

Versuch auf jeden Fall bitte mal die temporären Dateien des Browsers zu löschen.

 

[Jamin]

Sorry....2 Tage nicht da, deswegen erst jetzt Antwort^^
Also "aus dem Forum fliegen" bedeutet, dass ich bei allem, was mit meinem Account zu tun hat (also auf Posts antworten, auf den persönlichen Bereich gehen....) mich wieder neu anmelden muss mit meinem Benutzernamen und meinem Passwort. Also kommt dann immer dieses Anmeldefenster, was man ja normalerweise so gut wie nie, bzw. nur auf fremden PCs hat. Ich habe auch schon das befolgt, was dazu hier im Hilfe-Forum steht (also bei den Optionen so zwei Punkte ankreuzen und sichern (die aber bei mir eh schon auf "ja" standen)), aber das hat leider nix geholfen. Und vom Admin bekomm ich auch keine Antwort

Wie geht das denn, die temporären Dateien des Browsers zu löschen?