Jedes mal, wenn ich auf auf c doppelklicke kommt die meldung "recycler\s-4-6-89.....com konnte nicht gefunden werden.

Leider hilft mir mein freeware antivirenprogramm da auch nicht, deswegen wollte ich euch fragen, ob ihr mir vielleicht dabei helfen könntet.

vielen dank im vorraus, der reen23

Hallo reen32,
Dein Problem hatte ich auch, hing mit viren zusammen. Welchen virenscanner Benutzt du?
Es wäre gut wenn du deinen Logfile reinstellen könnstest.
MfG Russenaisko

also ich benutze avast! antivirus (siehe http://www.avast.com/eng/download-avast-home.html) und der von HijackThis erstellte logfile besagt folgendes:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:53:11, on 14.02.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\hkcmd.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe
C:\Programme\Dell\Bluetooth Software\BTTray.exe
C:\Programme\Dell\Bluetooth Software\bin\btwdins.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\pennerbot_console_v0.7.2_win32.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\pennerbot_console_v0.7.2_win32.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\pennerbot_console_v0.7.2_win32.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\pennerbot_console_v0.7.2_win32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HiJackThis.exe

R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: PDF-XChange Viewer IE-Plugin - {C5D07EB6-BBCE-4DAE-ACBB-D13A8D28CB1F} - C:\Programme\Tracker Software\PDF-XChange Viewer\pdf-viewer\PDFXCviewIEPlugin.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\Dell\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Dell\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Dell\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6A2A8EF9-11D6-4E43-B1A8-2E178BA5451A}: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CCS\Services\Tcpip\..\{AA803662-1939-4078-8383-EEA0CC021022}: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\Dell\Bluetooth Software\bin\btwdins.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
O24 - Desktop Component 0: (no name) - file:///C:/DOKUME~1/ADMINI~1/LOKALE~1/Temp/msohtml1/01/clip_image001.jpg
O24 - Desktop Component 1: (no name) - file:///C:/DOKUME~1/ADMINI~1/LOKALE~1/Temp/msohtml1/03/clip_image001.gif

--
End of file - 6105 bytes

Hallo

Lade dir Malwarebytes herunter
Updaten und im abgesicherten Modus laufen lassen
Mache eine Online Fullscan bei Panda

Achtung: Der kann schon etwas länger dauern.

Poste beide Files

@Gentlman
Willst Du den Bot noch genauer identifizieren? Umleitungen in die Ukraine reichen doch.

Marc

Wer weis was da jz noch alles drauf ist

Lieber mal genau schauen wenn er nur ein Freeware AntiVir Prog hat

Ausser du hast eine bessere Idee

Zitat:

Zitat von Gentlman

Ausser du hast eine bessere Idee

Neuaufsetzen?

Formatieren wäre ihm wahrscheinlich auch selber eingefallen

Warten wir mal auf den Scan

@reen23

Die Idee von %ComSpec% ist der sicherste und vielleicht auch der schnellere Weg
Wenn du Formatieren willst teile uns das bitte mit

Zitat:

Warten wir mal auf den Scan

Aus akademischen Interesse heraus ist das in Ordnung, aber komme bitte nicht auf die Idee da etwas bereinigen zu wollen.

Marc

Weiß einer von euch was das für Ip Domänen sind?
O17 - HKLM\System\CCS\Services\Tcpip\..\{6A2A8EF9-11D6-4E43-B1A8-2E178BA5451A}: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CCS\Services\Tcpip\..\{AA803662-1939-4078-8383-EEA0CC021022}: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40
MfG Russenaisko

Nächstes mal selbst abfragen:

Code: Alles auswählenAufklappen

ATTFilter

inetnum:        85.255.112.0 - 85.255.127.255
netname:        UkrTeleGroup
descr:          UkrTeleGroup Ltd.
admin-c:        UA481-RIPE
tech-c:         UA481-RIPE
country:        UA
org:            ORG-UL25-RIPE
status:         ASSIGNED PI
mnt-by:         RIPE-NCC-HM-PI-MNT
mnt-lower:      RIPE-NCC-HM-PI-MNT
mnt-by:         UKRTELE-MNT
mnt-routes:     UKRTELE-MNT
mnt-domains:    UKRTELE-MNT
source:         RIPE
         

Was hat das genau auf sich? Was können die Ip´s anrichten?

Zitat:

Zitat von Russenaisko

Was hat das genau auf sich? Was können die Ip´s anrichten?

Die IPs sind beim Opfer als DNS-Server eingetragen.
Jede Anfrage, wie ein Domainname aufgelöst werden soll wird in diesem Fall von manipulierten ukrainischen DNS-Servern beantwortet.
Wen ein aolcher Rechner also wissen möchte, welche IP zu www.sparkasse-freiburg.de gehört, bekommt er u.U. nicht 195.140.36.125 sondern vllt die IP eines Servers mit Phisingwebseiten. Da hilft es beim Onlinebanking (aber auch bei anderen Dingen) nicht mehr, die Adresse im Browser von Hand einzutragen.

Marc

Die Ip´s hatte ich auch mal. Diese liesen sich garnicht so einfach entfernen! Hatte auch irgendetwas mit dem genanten fehler der festplatte zu tun. Norton war danach Reif für die Mülltone. Spyware Doctor hat die ganzen trojaner bemerkt und entfernt.
Russenaisko

Zitat:

Zitat von Russenaisko

Die Ip´s hatte ich auch mal. Diese liesen sich garnicht so einfach entfernen! Hatte auch irgendetwas mit dem genanten fehler der festplatte zu tun. Norton war danach Reif für die Mülltone. Spyware Doctor hat die ganzen trojaner bemerkt und entfernt.

I.d.R. sollte man neu aufsetzen, da es sich meist um kreuzgefährliche Backdoorschädlinge handelt. Man kann nie sicher sein, dass sie wirklich vollständig entfernt wurden.

Marc