Hallo zusammen,
beim zugreifen auf meine externe Platte erscheint folgende Meldung:

****
*blabla..
*RECYCLER\S-7-2-61-100004443-100017977-100016346-5663.com konnte nicht gefunden *werden.
*blabla
****

Bei meinem System kommt erschwerend dazu das es kein "normales" XP Pro ist sondern ein "Eigenbau" mit nLite.
d.h. es fehlen ein paar sachen wie IE, Moviemaker, Spiele usw.

Der Laptop wurde gestern frisch aufgespielt und hat dieses Problem nicht mehr.
(oder noch nicht...) das Hauptprob. liegt z.Z. an der externen 100gb usb Festplatte. nach dem einstecken habe ich einmal die chance auf die Platte zu kommen und dann kommt die Meldung :"Recycler\s-7-2-61......usw"
Auf der Platte sind ein paar wichtige Unterlagen die nicht gelöscht werden sollten.

So, nun Frage:

a: Kann ich die Daten (keine Ausführbaren Dateien) umkopieren ohne das Restsystem zu gefärden?
b: Wie bekomm ich den Schei.. von meinem PC?
c: Wie vermeide ich in Zukunft solche Angriffe?

Log Datei:

ComboFix 09-02-28.01 - Administrator 2009-03-01 20:21:19.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.2038.1717 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

F:\Autorun.inf

.
((((((((((((((((((((((( Dateien erstellt von 2009-02-01 bis 2009-03-01 ))))))))))))))))))))))))))))))
.

2009-03-01 19:44 . 2009-03-01 19:44 <DIR> d-------- c:\programme\Yahoo!
2009-03-01 19:44 . 2009-03-01 19:44 <DIR> d-------- c:\programme\CCleaner
2009-03-01 19:44 . 2009-03-01 19:44 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Yahoo! Companion
2009-03-01 19:44 . 2009-03-01 19:44 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Yahoo!
2009-03-01 19:39 . 2009-03-01 19:41 <DIR> d-------- c:\programme\Lenovo Fingerprint Software
2009-03-01 18:57 . 2009-03-01 18:58 <DIR> d-------- c:\windows\system32\drivers\Avg
2009-03-01 18:57 . 2009-03-01 18:57 <DIR> d-------- c:\programme\AVG8
2009-03-01 18:57 . 2009-03-01 18:57 <DIR> d-------- c:\programme\AVG
2009-03-01 18:57 . 2009-03-01 18:57 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\avg8
2009-03-01 18:57 . 2009-03-01 18:57 325,128 --a------ c:\windows\system32\drivers\avgldx86.sys
2009-03-01 18:57 . 2009-03-01 18:57 107,272 --a------ c:\windows\system32\drivers\avgtdix.sys
2009-03-01 18:57 . 2009-03-01 18:57 10,520 --a------ c:\windows\system32\avgrsstx.dll
2009-03-01 18:39 . 2009-03-01 18:39 <DIR> d-------- C:\FirefoxPortable
2009-03-01 18:23 . 2009-03-01 18:23 <DIR> d-------- c:\programme\Gemeinsame Dateien\InstallShield
2009-03-01 18:23 . 2009-03-01 18:23 <DIR> d-------- c:\programme\Broadcom
2009-03-01 18:21 . 2009-03-01 19:35 <DIR> d-------- C:\DRIVERS
2009-03-01 18:20 . 2004-08-03 21:08 26,496 --a--c--- c:\windows\system32\dllcache\usbstor.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))) ))))
.
2009-02-28 15:21 --------- d-----w c:\programme\microsoft frontpage
2009-02-28 15:20 --------- d-----w c:\programme\Gemeinsame Dateien\Dienste
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"Broadcom Wireless Manager UI"="c:\windows\system32\WLTRAY.exe" [2006-10-12 1282048]
"AVG8_TRAY"="c:\progra~1\AVG8\avgtray.exe" [2009-03-01 1601304]
"FingerPrintSoftware"="c:\programme\Lenovo Fingerprint Software\fpapp.exe" [2007-03-02 933888]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\RunOnce]
"nltide_2"="shell32" [X]
"nltide_3"="advpack.dll" [2004-08-04 c:\windows\system32\advpack.dll]

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\policies\explorer]
"NoSMHelp"= 1 (0x1)
"ForceClassicControlPanel"= 1 (0x1)
"NoResolveTrack"= 1 (0x1)
"NoSMMyPictures"= 1 (0x1)
"NoSMMyDocs"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\cur rentversion\policies\explorer]
"NoSMHelp"= 1 (0x1)
"NoInternetIcon"= 1 (0x1)
"ForceClassicControlPanel"= 1 (0x1)
"NoResolveTrack"= 1 (0x1)
"NoSMMyPictures"= 1 (0x1)
"NoSMMyDocs"= 1 (0x1)
"StartMenuLogoff"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ATFUS]
2007-02-27 17:26 131072 c:\windows\system32\FpWinlogonNp.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]
2009-03-01 18:57 10520 c:\windows\system32\avgrsstx.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\contro l\securityproviders]
SecurityProviders schannel.dll, digest.dll

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\AVG8\\avgemc.exe"=
"c:\\Programme\\AVG8\\avgupd.exe"=

R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [2009-03-01 325128]
R1 AvgTdiX;AVG Free8 Network Redirector;c:\windows\system32\drivers\avgtdix.sys [2009-03-01 107272]
R2 avg8emc;AVG Free8 E-mail Scanner;c:\progra~1\AVG8\avgemc.exe [2009-03-01 903960]
R2 avg8wd;AVG Free8 WatchDog;c:\progra~1\AVG8\avgwdsvc.exe [2009-03-01 298264]
R2 FingerprintServer;Fingerprint Server;c:\windows\system32\FpLogonServ.exe [2007-01-19 61440]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
DcomLaunch REG_MULTI_SZ DcomLaunch

NETSVCS REQUIRES REPAIRS - current entries shown
6to4
AppMgmt
AudioSrv
Browser
CryptSvc
DMServer
DHCP
EventSystem
FastUserSwitchingCompatibility
HidServ
Ias
Iprip
Irmon
LanmanServer
LanmanWorkstation
Netman
Nla
Ntmssvc
NWCWorkstation
Nwsapagent
Rasauto
Rasman
Schedule
Seclogon
SENS
Sharedaccess
Tapisrv
Themes
TrkWks
W32Time
WZCSVC
Wmi
WmdmPmSp
winmgmt
xmlprov
BITS
ShellHWDetection

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs

.

************************************************** ************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-01 20:22:02
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

************************************************** ************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(708)
c:\windows\system32\FpWinLogonNp.dll
c:\programme\Lenovo Fingerprint Software\ATCSSINT.dll
c:\programme\Lenovo Fingerprint Software\SharedResources.dll
c:\programme\Lenovo Fingerprint Software\FPResource.dll
.
Zeit der Fertigstellung: 2009-03-01 20:22:37
ComboFix-quarantined-files.txt 2009-03-01 19:22:36

Vor Suchlauf: 10 Verzeichnis(se), 38.457.409.536 Bytes frei
Nach Suchlauf: 10 Verzeichnis(se), 38,453,063,680 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOW S
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Micro soft Windows XP Professional" /noexecute=optin /fastdetect

152

Log Datei Ende


Hoff Ihr könnt mir Helfen

Riddick

Das mit dem Lesen müssen wir aber noch üben.
Dann mache hier gleich weiter => http://www.trojaner-board.de/69886-a...-beachten.html

ciao, andreas

So, hab nun mal wirklich gelesen und das hier sind die gesammelten log files:

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1814
Windows 5.1.2600 Service Pack 2

02.03.2009 10:23:14
mbam-log-2009-03-02 (10-23-14).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|F:\|)
Durchsuchte Objekte: 74573
Laufzeit: 9 minute(s), 21 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSMHelp (Hijack.Help) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

*************************************************************************

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:27:32, on 02.03.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\WLTRYSVC.EXE
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\AVG8\avgwdsvc.exe
C:\PROGRA~1\AVG8\avgemc.exe
C:\PROGRA~1\AVG8\avgrsx.exe
C:\Programme\AVG8\avgcsrvx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\WLTRAY.exe
C:\PROGRA~1\AVG8\avgtray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\FirefoxPortable\FirefoxPortable.exe
C:\FirefoxPortable\App\firefox\firefox.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Programme\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Broadcom Wireless Manager UI] C:\WINDOWS\system32\WLTRAY.exe
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG8\avgtray.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\Audio\InstallShield\AzMixerSel.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O13 - DefaultPrefix:
O13 - WWW Prefix:
O13 - Home Prefix:
O13 - Mosaic Prefix:
O13 - FTP Prefix:
O13 - Gopher Prefix:
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG8\avgemc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG8\avgwdsvc.exe
O23 - Service: CiSvc - Unknown owner - C:\WINDOWS\system32\cisvc.exe (file missing)
O23 - Service: Fingerprint Server (FingerprintServer) - Unknown owner - C:\WINDOWS\system32\FpLogonServ.exe (file missing)
O23 - Service: Broadcom Wireless LAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE

--
End of file - 3553 bytes

********************************************************

AVG Free 8.0
Broadcom 802.11 Network Adapter
CCleaner (remove only)
High Definition Audio - KB888111
HijackThis 2.0.2
Malwarebytes' Anti-Malware
Microsoft Visual C++ 2005 Redistributable
Realtek High Definition Audio Driver
Windows Installer 3.1 (KB893803)
Yahoo! Toolbar
Zattoo 3.3.2 Beta

***********************************

Riddick

Endlich mal ein aufgeräumtes System.

Yahoo Toolbar würde ich deinstallieren.

Lass zur Sicherheit noch SUPERAntiSpyware laufen. Deinstalliere es nach Gebrauch und Posten des Logs wieder.

Zitat:

a: Kann ich die Daten (keine Ausführbaren Dateien) umkopieren ohne das Restsystem zu gefärden?

Ja.

Zitat:

b: Wie bekomm ich den Schei.. von meinem PC?

Schon passiert.

Zitat:

c: Wie vermeide ich in Zukunft solche Angriffe?

Da schau doch mal hier vorbei: http://www.trojaner-board.de/69792-r...tml#post412719

ciao, andreas

Toolbar wurde schon entfernt. :-)

Aufgeräumtes System??? Naja ist halt neu und da ich das system sowieso fast alle halbes jahr aus prinzieb frisch aufsetzte halt immer nur das nötigste.

Mir ging es so gesehen nur um die daten auf meiner externen platte und da ich das ja umkopieren kann werden die wichtigen daten kopiert und der rest formatiert und dann bin ich auf jedenfall auf der sicheren seite.
(und mal wieder daten müll los)

Danke auf jedenfall für die hilfe und die ermahnung zum lesen.
(war wohl nötig)

Hoffe ich brauch euch nicht so schnell wieder!

Riddick

Ps: Das mit SUPERAntiSpyware mach ich natürlich noch um ganz sicher zu gehen....
PPS: Erledigt! Hat nichts gefunden!
Danke nochmal!!!!
PPPS: das mit Brain.exe ist gut und es wird auch nicht an der inbetriebnahme scheitern weil mir das mit den trojanern normalerwiese nicht passiert. :-)