Trojaner in im Verzeichnis RECYCLER - 2008

Snoppy-2008 · 08.10.2008, 18:55

Mein System: Toshiba Notebook - Intel Dual Core T5500 @ 1,66 GHz - 980 MHz bei 1,0 GB RAM - Windows XP - Media Center Edition - Version 2002 Service Pack 2.

Ich habe mir den verflixten Trojaner in dem Recycler eingehandelt.
Offenbar ist es eine Version aus 2005 (Vermutung nach Internet Recherche)

Name der Datei Im Recycler-Folder:
S-1-5-21-1127015967-3038943044-4291933428-1005

Die erzeugt nun fleissig desktop.ini Dateien.
Desweiteren verschachtelt er unter dem Verzeichnis aller einzelnen User, (mich, meinem Administrator und meiner Frau) C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temp, immer neue Verzeichnisse "Cookies", "Temorary Internet Files" und "Verlauf".
Im Verzeichnis "Temporary Internet Files" findet sich ein Unterverzeichnis "Content.IE5" das eine Index.Dat Datei enthält.

Desweiteren enthält auch das Verzeichnis "Verlauf" ein Unterverzeichnis "Istory.IE5" mit einer Index Dat datei.

Beide Indesx. Dat Dateien können nicht gelöscht werden und haben 16 KB.

Die verschachtelten Ordner wie z.B.

C:\Dokumente und Einstellungen\MEINNAME\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5

enthalten wieder neue Verzeichnisse mit Index dateien, die ein Vielfaches der 16 KB haben, z.B 48 KB oder im Extrem Falle 576 KB

Leider entdeckt selbst ein up to date NORTON VIRUSSCAN nichts... !!!

Meine Outlook konten sind bereits zerschossen und der Virus breitet sich aus.

Wichtige Daten sind in Gefahr.

Hier der HighJack Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:29:41, on 08.10.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
C:\WINDOWS\system32\DVDRAMSV.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\Silvercrest MTS2118 driver\KMWDSrv.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Toshiba\TOSHIBA Applet\TAPPSRV.exe
C:\Programme\UPHClean\uphclean.exe
C:\WINDOWS\wanmpsvc.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Synaptics\SynTP\Toshiba.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Toshiba\Toshiba Applet\thotkey.exe
C:\WINDOWS\system32\TPSMain.exe
C:\Programme\TOSHIBA\Tvs\TvsTray.exe
C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programme\WinSuite\strtfx.exe
C:\Programme\WinSuite\sndml.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Intel\Wireless\Bin\Dot1XCfg.exe
C:\Programme\ScanSoft\OmniPageSE4.0\OpwareSE4.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
C:\Programme\Silvercrest MTS2118 driver\StartAutorun.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Programme\Silvercrest MTS2118 driver\KMConfig.exe
C:\Programme\Gemeinsame Dateien\AOL\1165489186\ee\aolsoftware.exe
C:\Programme\Silvercrest MTS2118 driver\KMProcess.exe
C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\Programme\DeTeWe\OpenCom 31\Capictrl.exe
C:\Programme\DeTeWe\OpenCom 31\HNetCtrl.exe
C:\Programme\DeTeWe\OpenCom 31\PABXControl.exe
C:\WINDOWS\system32\RAMASST.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\HighJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: dsWebAllowBHO Class - {2F85D76C-0569-466F-A488-493E6BD0E955} - C:\Programme\Windows Desktop Search\dsWebAllow.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O2 - BHO: MSN Suche Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar Suite\msntb.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O3 - Toolbar: MSN Suche Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar Suite\msntb.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
O4 - HKLM\..\Run: [NVRotateSysTray] rundll32.exe C:\WINDOWS\system32\nvsysrot.dll,Enable
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [THotkey] C:\Programme\Toshiba\Toshiba Applet\thotkey.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [Tvs] C:\Programme\TOSHIBA\Tvs\TvsTray.exe
O4 - HKLM\..\Run: [SmoothView] C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [routcnf] C:\Programme\DeTeWe\OpenCom 31\routcnf.exe /capiactive
O4 - HKLM\..\Run: [strtfx] C:\Programme\WinSuite\strtfx.exe
O4 - HKLM\..\Run: [sndml] C:\Programme\WinSuite\sndml.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [OpwareSE4] "C:\Programme\ScanSoft\OmniPageSE4.0\OpwareSE4.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1165489186\ee\AOLSoftware.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
O4 - HKLM\..\Run: [KMCONFIG] C:\Programme\Silvercrest MTS2118 driver\StartAutorun.exe KMConfig.exe
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\RunServices: [DJSNetCN] C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [] (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [] (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [] (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [] (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BlueSoleil.lnk = C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: HomeNet Control.lnk = ?
O4 - Global Startup: OpenComControl.lnk = ?
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O4 - Global Startup: Windows-Desktopsuche.lnk = C:\Programme\Windows Desktop Search\WindowsSearch.exe
O8 - Extra context menu item: &MSN Suche - res://C:\Programme\MSN Toolbar Suite\msntb.dll/search.htm
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: In neuer Registerkarte im Hintergrund öffnen - res://C:\Programme\MSN Toolbar Suite\de-de\msntabres.dll.mui/229?179e8bc44eb34a0686cdf87aca9c5169
O8 - Extra context menu item: In neuer Registerkarte im Vordergrund öffnen - res://C:\Programme\MSN Toolbar Suite\de-de\msntabres.dll.mui/230?179e8bc44eb34a0686cdf87aca9c5169
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0742B9EF-8C83-41CA-BFBA-830A59E23533} (Microsoft Data Collection Control) - http://h**ps://support.microsoft.com...eX/MSDcode.cab
O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - http://h**ps://www-secure.symantec.c...a/LSSupCtl.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {3451DEDE-631F-421C-8127-FD793AFC6CC8} (ActiveDataInfo Class) - http://h**ps://www-secure.symantec.c...l/SymAData.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://h**p://update.microsoft.com/m...?1177897317921
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - C:\Programme\Norton Internet Security\ccPwdSvc.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Norton Internet Security\comHost.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Symantec Licensing Detect Internet Connection (DJSNETCN) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Keyboard And Mouse Communication Service (KMWDSERVICE) - UASSOFT.COM - C:\Programme\Silvercrest MTS2118 driver\KMWDSrv.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PMounter - Unknown owner - C:\WINDOWS\system32\PMounter.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: TOSHIBA Application Service (TAPPSRV) - TOSHIBA Corp. - C:\Programme\Toshiba\TOSHIBA Applet\TAPPSRV.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 16123 bytes

WER HILFT HIER ???

HELPPPPPPPPP !

Snoppy-2008

cosinus · 09.10.2008, 15:59

Hallo und

Zitat:

Wichtige Daten sind in Gefahr.

Datenverlust? Schonmal was von Backup gehört?

Zitat:

Ich habe mir den verflixten Trojaner in dem Recycler eingehandelt.
Offenbar ist es eine Version aus 2005 (Vermutung nach Internet Recherche)

Wer meldet Dir das? Und wenn was gemeldet wird, dann nicht einfach nur "Trojaner", sondern auch Pfad und Schädlingsname!

Zitat:

Die erzeugt nun fleissig desktop.ini Dateien.
...enthalten wieder neue Verzeichnisse mit Index dateien, die ein Vielfaches der 16 KB haben, z.B 48 KB oder im Extrem Falle 576 KB

Ist normal...

Das HijackThis Logfile ist sauber. Lass mal bitte Malwarebytes AntiMalware durchlaufen.

Snoppy-2008 · 11.10.2008, 04:31

Root24,

erstmal Danke fuer Deine Antwort.

Backup ist vorhanden, aber ich bin im Netz einer US Amerikanischen Firma, sitze aber selbst in Bremen.

Back-up ist moeglich, ist aber mit sehr grossem Aufwand moeglich.

Merine eigenen Daten (unter "EIGENE DATEIEN") sind laufend gesichert.

Die Recykler Datei mit entsprechenden Problemen werden in den allermeisten Foren und deren beitraegen erstmals ab 2005 gemeldet, danach aber regelmaessig immer wieder.
Die meisten Beitraege sind daher bereits als "erledigt" in den Foren, bislang ohne Hinweis, was (welche Hilfsmassnahme) denn den jeweiligen Beitrag erledigt hat.

Ich bin auch nur USER, muss also bei Erlaeuterungen, die umfassende Insider Kenntnisse unterstellen, leider passen.

Daher bitte ich um Nachsicht, falls mal ne doofe Frage kommt oder das allgemeine Geduldskostuem strapaziert wird.
Ich bemuehe mich und Hinweise zur Verbesserung/Orientierung und der eigenen Weiterentwicklung sind willkommen !

Der Trojaner ist bislang nur als Effekt aufgetreten.
Ich habe Fotos von einem USB geladen.
Danach konnte ich nicht auf meine Mails im Explorer zurueckgreifen.
Outlook meldet, dass ich nicht die noetige Authorisierung habe.

Alle Passwoerter sind geloescht in den Mail-Konten.

Ein neuer Mailaccount ist ploetzlich aufgetaucht der einen Eathlink server nutzt.

Den neuen Mail-Account jabe ich sofort geloescht.

Desweiteren werden seither immer neue Unterverzeichnisse im Verzeichnis C:\DOKUMENTE und EINSTELLUNGEN\[MEIN USERNAME]\LOCAL SETTINGS\TEMP
erzeugt.

Soweit Normal.

Diese Dateien sind VERLAUF (History), TEMPORARY INTERNET FILES, APPLICATION DATA, TEMPORARY INTERNET FILES und TEMP.

In dem Verzeichnis TEMP spielt sich wieder das gleiche ab.

Unterverzeichnis >>> wieder weitere Verschachtelungen >>> neues TEMP Verzeichnis.

Das geht so, bis mir der PC nahezu lahmliegt, weil zu viele TEMP Dateien Speicherplatz saugen.

Ich habe versucht ein paar Verschachtelungen wieder nach oben zurueckzuloeschen, heisst: ich bin in das allerletzte Unterverzeichnis gegangen und habe versucht, dieses verzeichnis zu leeren und die letzte TEMP Verschachtelung ganz zu loeschen.

Die Datei: INDEX.DAT hat dies verhindert.

Ich habe AntiTrojans 5.5 durchlaufen lassen.
NICHTS

Andere Software, wie CCleaner erfassen die Verschachtelungen und indizieren sie als ZU LOESCHEN.

Du schreibst, dass solche verschachtelungen normal sind.

So extrem gab es die aber vorher nie.

Und die konnten zuvor auch stets ueber die Internet Optionen geloescht werden.
Lediglich die erste Ebene INDEX.DAT blieb nach dem Loeschen bisher uebrig und das waere normal.

Ich bin augenblicklich in Jakarta, Indonesien auf Geschaeftsreise.

Den bericht dazu muss ich in der kommenden Woche an meine Firma liefern, kann dies aber nicht, weil mir OUTLOOK keinen Zugriff auf meine eigenen Konten erlaubt.

Ich habe alle Konten-Einstellungen meines Mail-accounts.

Wie kann ich die Authorisierung fuer einen Vollzugriff zurueckerlangen und meine Accounts wieder korrekt einrichten ?

Vielleicht kannst Du mir helfen.

Danke im Voraus.

Snoppy-2008

cosinus · 11.10.2008, 14:16

So ganz werde ich aus Deiner doch recht langen Beschreibung nicht schlau. Du hast für Dein E-Mail-Konto alle notwendigen Daten, warum probierst Du es daher nicht mal mit einem anderen Client statt Outlook, wie z.B. Mozilla Thunderbird?

Beim Einrichten kannst Du auch sämtliche Outlook-Einstellungen und Mails importieren lassen. Nur um mal testweise zu sehen, ob's an Outlook liegt.

Was ist mit Malwarebytes? Hat das was gefunden?

Zitat:

Ein neuer Mailaccount ist ploetzlich aufgetaucht der einen Eathlink server nutzt.

Wie heißt dieses Konto und was für nen Username bzw. Mailadresse wird da verwendet?

Zitat:

Diese Dateien sind VERLAUF (History), TEMPORARY INTERNET FILES, APPLICATION DATA, TEMPORARY INTERNET FILES und TEMP.

Wenn man fleißig den IE (Schweinebrowser) verwendet, werden da immer Dateien reingeschrieben...

Ich empfehle aus Sicherheitsgründen immer einen anderen Browser, z.B. Mozilla Firefox oder Opera.

Snoppy-2008 · 14.10.2008, 16:15

root24,
vielen Dank erneut für die Antwort.

Die Alternativen zu Outlook sind mir bislang nicht bekannt gewesen.

Daneben habe ich das Laptop vom Arbeitgeber gestellt und darf da nicht einfach andere, als die definierten Programme installieren, woohl aber das Laptop auch Privat nutzen.

Ich muß also Outlook erstmal behalten, weil extra dafür eine Deutsche Lizenzware angeschafft wurde.

Habe mittlerweile einige Anti Trojaner und Viren-Routinen laufen lassen, die hier empfohlen wurden, so auch Malewarebyte.

Die haben den Virus augenschinlich entfernt.

Klasse Empfehlung von Dir !

Nach Neustart war kein Trojaner und kein Virus mehr da.

Auch das Mail-konto (earthlink server) ist weg.

Zurückgeblieben ist allerdings, daß mir OUTLOOK meldet, daß ich für Senden und Empfangen nicht die Berechtigung habe.

Vermutlich, weil die Berechtigung mir schlicht aberkannt wurde.

Aber: Die Passwörter werden nicht mehr behalten, wenn ich die Mail-Account-Einstellungen wiederherstellen will.

Sobald ich die geforderten Passwörter eingebe und speichere und das Konto "fertigstelle" behält er die Passwörter nicht.

Wenn ich erneut reingehe, ist das Passwort-Feld leer.

Ist das ein bekannter Effekt ?

Hättest Du dafür auch eine so effektive Anleitung ?

Ich bin sehr froh, daß dieses Mistding schon mal weg ist, denn ich muß nächste Woche zu meinem Arbeitgeber in die USA.

Danke nochmals,

Snoppy-2008

cosinus · 14.10.2008, 18:05

Zitat:

Zitat von Snoppy-2008

Daneben habe ich das Laptop vom Arbeitgeber gestellt und darf da nicht einfach andere, als die definierten Programme installieren, woohl aber das Laptop auch Privat nutzen.

Das kann ich ehrlich gesagt nicht ganz nachvollziehen. Entweder ist private Nutzung erlaubt oder nicht, so ein zwischending find ich ziemlich

Außerdem ging es mit Thunderbird darum, ob der Import der Mails und Outlookeinstellungen klappt, so dass Du zumindest mal testweise sehen kannst, ob der Zugriff auf die Mails prinzipiell noch klappt. Das hat auch mit Outlook-Lizenzen reichlich wenig zu tun; die brauchst Du nur, um legal Outlook verwenden zu dürfen, Du schmeißt diese aber nicht weg, nur weil Du Thunderbird (ein (kostenlosen) Opensource-Programm) verwendest...

Zitat:

Ich muß also Outlook erstmal behalten, weil extra dafür eine Deutsche Lizenzware angeschafft wurde.

Niemand sagt, dass Du Outlook deinstallieren sollst!

Zitat:

Habe mittlerweile einige Anti Trojaner und Viren-Routinen laufen lassen, die hier empfohlen wurden, so auch Malewarebyte.
Die haben den Virus augenschinlich entfernt.

Aussgekraft tendiert gegen Null.
Die Anleitung für Malwarebytes ist hier nicht zum Spaß, poste bitte das Logfile davon.

Zitat:

Zurückgeblieben ist allerdings, daß mir OUTLOOK meldet, daß ich für Senden und Empfangen nicht die Berechtigung habe. Vermutlich, weil die Berechtigung mir schlicht aberkannt wurde.

D.h. weder versand noch Empfang über Dein Firmenmailkonto funktioniert nicht?

Trojaner in im Verzeichnis RECYCLER - 2008

Log-Analyse und Auswertung: Trojaner in im Verzeichnis RECYCLER - 2008