Windows XP SP 3 - Explorer Fehler

[Squall Leonhart]

Hy...

System:

Windows XP Pro SP3

2048 RAM

AMD 3000+ 1,8GHz

2x 500 GB HDD in 4 Partitionen (3 und 1)

also ich weiß nicht mehr weiter. Ich habe folgendes Problem:

Klick Mich

Wie im Bild schon zu erkennen ist, ist es relativ merkwürdig was sich da abspielt.

C; D und E sind eine HDD (wahrscheinlich werden sie wegen VMWare in der Verwaltung nicht angezeigt)

F ist eine HDD (wird korrekt angezeigt)

G ist eigentlich nichts (im Explorer wird als Laufwerk angezeigt - es war mal eins, allerdings habe ich das Laufwerk getauscht)

I;J sind je DVD Laufwerke (ist vollkommen I.O)

Z ist eigentlich nichts (wenn ich es öffnen will kommt:"Z:/ bezieht sich auf ein Pfad der nicht verfügbar is... bei den Eigenschaftig wird das Format als "RAW" erklärt)

Was ich will: G und Z loswerden.

Ich habe schon einmal CHKDSK rüberlaufen lassen - kein Erfolg. Antivieren programme usw. haben mir nur gesagt, dass alles sauber ist. Altes CD Laufwerk wieder eingebaut - hat einen neuen Buchstaben bekommen.

Ich kann in der Verwaltung alle Buchstaben löschen und G und Z bleiben. Ich kann sie nie auswählen (bei jeglichen Programmen oder Spielen). Knoppiciln hat nix gebracht - Unter Linux werden sie natürlich nicht angezeigt. Es ist ein reiner Windows Fehler.

Ich hatte nie Daemon Tools o.ä. drauf. Woher G kommt weiß ich, warum es bleibt, weiß ich nicht. Woher Z kommt, weiß ich nicht (ich vermute mal durch einen Vierenbefall - kann es aber nicht hunderprozentig sagen.) und warum es bleibt, weiß ich ebenfalls nicht.

CClenaer hab ich drauf - Registry gereinigt. Im Defragmentierungstool kann ich Z auch nicht auswählen.

Hat i-einer eine Idee?! ich weiß absolut nicht weiter.

Und damit auch hoffentlich alles beisammen ist, hier auch gleich der HJT log:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 21:52:07, on 07.12.2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\Programme\Microsoft Security Essentials\MsMpEng.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\NETGEAR ProSafe VPN Client\IPSecMon.exe

C:\Programme\NETGEAR ProSafe VPN Client\IreIKE.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Java\jre6\bin\jqs.exe

C:\WINDOWS\system32\oodag.exe

C:\WINDOWS\system32\IoctlSvc.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\vmnat.exe

C:\WINDOWS\system32\vmnetdhcp.exe

C:\Programme\VMware\VMware Workstation\vmware-authd.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\Microsoft Security Essentials\msseces.exe

C:\DOKUME~1\BENUTZER\LOKALE~1\Temp\~nsu.tmp\Au_.exe

C:\DOKUME~1\BENUTZER\LOKALE~1\Temp\nse9.tmp\nsA.tmp

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\VMware\VMware Workstation\vmware-tray.exe

C:\Programme\Mozilla Firefox\firefox.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\system32\mmc.exe

C:\WINDOWS\system32\dmremote.exe

C:\WINDOWS\System32\dmadmin.exe

C:\Programme\Mozilla Thunderbird\thunderbird.exe

C:\Programme\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxxx//go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxxx://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxxx://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxxx://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxxx://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = hxxxx://google.de/

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office14\GROOVEEX.DLL

O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~1\MICROS~2\Office14\URLREDIR.DLL

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [iMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [MSSE] "C:\Programme\Microsoft Security Essentials\msseces.exe" -hide

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETZWERKDIENST')

O4 - Global Startup: SpeedFan.lnk = C:\Programme\SpeedFan\speedfan.exe

O4 - Global Startup: sshhelper-0.0.1-SNAPSHOT.jar.lnk = C:\Programme\GG-Net\SSH Helper\sshhelper-0.0.1-SNAPSHOT.jar

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office14\EXCEL.EXE/3000

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: S&end to OneNote - res://C:\PROGRA~1\MICROS~2\Office14\ONBttnIE.dll/105

O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office14\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office14\ONBttnIE.dll

O9 - Extra button: Linked Notes - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Programme\Microsoft Office\Office14\ONBttnIELinkedNotes.dll

O9 - Extra 'Tools' menuitem: &Linked Notes - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Programme\Microsoft Office\Office14\ONBttnIELinkedNotes.dll

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\programme\vmware\vmware workstation\vsocklib.dll

O10 - Unknown file in Winsock LSP: c:\programme\vmware\vmware workstation\vsocklib.dll

O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262F} (System Requirements Lab) - hxxxx://www.nvidia.com/content/DriverDownload/srl/3.0.0.4/srl_bin/sysreqlab_nvd.cab

O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - hxxx://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab

O18 - Filter hijack: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE14\MSOXMLMF.DLL

O23 - Service: Dragon Age: Origins - Inhaltsupdater (DAUpdaterSvc) - BioWare - D:\Dragon Age\bin_ship\DAUpdaterSvc.Service.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: SafeNet Monitor Service (IPSECMON) - SafeNet - C:\Programme\NETGEAR ProSafe VPN Client\IPSecMon.exe

O23 - Service: SafeNet IKE Service (IreIKE) - SafeNet - C:\Programme\NETGEAR ProSafe VPN Client\IreIKE.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)

O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe

O23 - Service: VMware Agent Service (ufad-ws60) - VMware, Inc. - C:\Programme\VMware\VMware Workstation\vmware-ufad.exe

O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Workstation\vmware-authd.exe

O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe

O23 - Service: VMware USB Arbitration Service (VMUSBArbService) - VMware, Inc. - C:\Programme\Common Files\VMware\USB\vmware-usbarbitrator.exe

O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe

--

End of file - 8437 bytes

[Eye-Q]

Das Einzige was mir verdächtig vorkommt ist die Au_.exe, laut Netzsuche soll die zu SpyFalcon/SpyAxe gehören. Kannst Du ja mal weiter forschen.

[VaNaTiC]

C; D und E sind eine HDD (wahrscheinlich werden sie wegen VMWare in der Verwaltung nicht angezeigt)

Zufällig nutzen wir VMware Workstation auf Arbeit und das versteckt keine Laufwerke und bringt auch keine neuen, also daran kann es schonmal nicht liegen!

G ist eigentlich nichts (im Explorer wird als Laufwerk angezeigt - es war mal eins, allerdings habe ich das Laufwerk getauscht)

Was meinst Du damit getauscht? Ist ein anderes Modell an denselben Platz gekommen?

I;J sind je DVD Laufwerke (ist vollkommen I.O)

Du meinst wahrscheinlich H und I, oder?

Ich hatte nie Daemon Tools o.ä. drauf.

Ganz sicher? Alcohol? VirtualCloneDrive?

Woher G kommt weiß ich, warum es bleibt, weiß ich nicht.

Vielleicht wäre es auch für uns gut zu wissen, was Du weisst?!

Woher Z kommt, weiß ich nicht (ich vermute mal durch einen Vierenbefall - kann es aber nicht hunderprozentig sagen.) und warum es bleibt, weiß ich ebenfalls nicht.

Also ich hab die letzten 10 Jahre viele bescheuerte Viren von Rechnern von Freunden und Familie entfernt, aber mir ist nichtmal unter den Script-Kiddie-Viren einer untergekommen der ein CD-Laufwerk, oder besser gesagt einen Laufwerksbuchstaben ins System hängt!

Hast Du Software/Treiber die letzte Zeit (de)installiert?

Ich weiss die Frage ist unangenehm: Cracks oder Keygens benutzt?

Kannst Du mit dem Geräte-Manager die Systemübersicht in eine PDF drucken und hier verlinken?

Steht in den System-Ereignissen etwas verwertbares?

[Squall Leonhart]

Zufällig nutzen wir VMware Workstation auf Arbeit und das versteckt keine Laufwerke und bringt auch keine neuen, also daran kann es schonmal nicht liegen!

Hm, dachte ich mir auch schon...

Was meinst Du damit getauscht? Ist ein anderes Modell an denselben Platz gekommen?

Jap, IDE Stecker mit Master und Slave - Slave getauscht (einen CD Brenner durch nen DVD Brenner). G war der CD Brenner der weg ist - ich habe J dazu bekommen und G blieb. Auch ein zurück tauschen der ODDs hat nichts gebracht. Wie gesagt, in der Verwaltung kann ich das auch nit ändern.

Du meinst wahrscheinlich H und I, oder?

Ähh, ja meine ich :-)

Ganz sicher? Alcohol? VirtualCloneDrive?

Ganz Sicher - zwar habe ich diverse Brennprogramme mal ausprobiert um zu spielen - allerdings brauchte ich Daemon Tools nie und habe es nie ausprobiert. Wenn es so wäre, würde ich mich nicht wundern - warum da ein Buchstabe zu viel ist.^^

Vielleicht wäre es auch für uns gut zu wissen, was Du weisst?!

Wie gesagt: G war mein altes CD Laufwerk.

Also ich hab die letzten 10 Jahre viele bescheuerte Viren von Rechnern von Freunden und Familie entfernt, aber mir ist nichtmal unter den Script-Kiddie-Viren einer untergekommen der ein CD-Laufwerk, oder besser gesagt einen Laufwerksbuchstaben ins System hängt!

Nunja, gehört habe ich davon auch noch nicht wirklich. Allerdings gibt es immer ein erstes mal. :-)

Hast Du Software/Treiber die letzte Zeit (de)installiert?

Das einzige, was ich in letzter Zeit installiert habe, war VMWare. Ansonsten nur Updates von MS (die "wichtigen") Und meinen Grakka Treiber aktualisiert.

Ich weiss die Frage ist unangenehm: Cracks oder Keygens benutzt?

Schon, aber das war alles zeitmäßig weit vor dem "problem" - bzw. danach. Sprich, unmittelbar davor habe ich nichts benutzt.

Kannst Du mit dem Geräte-Manager die Systemübersicht in eine PDF drucken und hier verlinken?

Im Anhang...

Steht in den System-Ereignissen etwas verwertbares?

Leider nein... :-(

Aber erstmal vielen Dank für die Mühe :-)

geräte.pdf

[Thanks-and-Goodbye]

System vom Netz nehmen. SOFORT!

http://www.pcwelt.de/start/sicherheit/virenticker/news/196705/neues_mbr_rootkit_graebt_sich_noch_tiefer_ein/

http://www.tecchannel.de/sicherheit/news/2018276/neues_windows_rootkit_graebt_sich_tief_ein/

http://www.trojaner-board.de/76822-mebroot-rootkit-programme-funktionieren-nicht.html

http://www.administrator.de/Keine_Partition_-_Laufwerke_in_der_Datentr%C3%A4gerverwaltung.html

http://forums.techguy.org/malware-removal-hijackthis-logs/816515-boot-sector-disk-c-problem.html