|
Plagegeister aller Art und deren Bekämpfung: Problem RECYCLER\S-2-1-32-100018534 xxx.com konnte nicht gefunden werde.Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
09.03.2009, 18:18 | #1 |
| Problem RECYCLER\S-2-1-32-100018534 xxx.com konnte nicht gefunden werde. Hallo zusammen , ich bin der neue! Wenn ich über den Arbeitsplatz oder über meine Desktopverknüpfungen meien Festplatten öffnen möchte erscheint die im Betreff geschriebene Fehlermeldung! Das es sich um einen Trojaner handeln könnte habe ich hier im Forum schon gelesen. Wollte erst die von Euch gewünschten Punkte abarbeiten bevor ich hier Poste, aber Leider geht es nicht! Also CCleaner habe ich ausgefüht! Nun wollte ich Malwarebytes ausführen aber ich komme nicht auf die Site! Habe das gefühl das die Site (vielleicht) von dem Trojaner oder sonst was geblockt wird! Wie komme ich denn nun dan das Programm? Vielen Dank für Eure Hilfe! Gruß Raven72 Geändert von Raven72 (09.03.2009 um 18:30 Uhr) |
09.03.2009, 19:27 | #2 |
| Problem RECYCLER\S-2-1-32-100018534 xxx.com konnte nicht gefunden werde. Habe Malwarebytes nun auf 2. Rechnern installiert! Auf Rechner 1 öffnet sich das Update Fenster, dann kommt aber nach 30 sec die Meldung das die Aktualisierung fehlgeschlagen ist!
__________________Auf Rechner 2 (mein Rechner) öffnet sich kein Update bzw Aktualisierungsfenster! Kann es sein das auf beiden Rechnern schon die Aktuellste Version drauf ist? Ich lasse gerade bei Rechner -1- Malwarebytes laufen. Bei Rechner -2- Klicke ich auf das Icon und es passiert nichts,auch die Unistall funktioniert nicht! Sehr seltsam alles! Hoffe auf Eure Hilfe! Geändert von Raven72 (09.03.2009 um 19:44 Uhr) |
09.03.2009, 20:30 | #3 |
| Problem RECYCLER\S-2-1-32-100018534 xxx.com konnte nicht gefunden werde. Nein, eher liegt die Vermutung nahe, dass mittlerweile beide befallen sind. Du hast nicht zufälligerweise externe Datenträger zwischen beiden gewechselt?
__________________Das Zeug ist die Pest. Dann lies mal, mit wem du es zu tun hast: http://www.trojaner-board.de/68318-r...-erhalten.html http://www.trojaner-board.de/69502-a...icht-mehr.html ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. ciao, andreas
__________________ |
09.03.2009, 21:12 | #4 |
| Problem RECYCLER\S-2-1-32-100018534 xxx.com konnte nicht gefunden werde. Hallo John Doe, schon viel von Dir gelesen, respekt! Also Bei Rechner -1- lief Malwarebytes und es hat nichts gefunden! Das ist der Rechner von meiner Freundin! Er ist wie es aussieht nicht befallen! Und nein, wir haben keine Datenträger getauscht ! Wollte bei ihr alles was ich bei mir probiere Testen, da bei mir Malwarebytes nicht gestartet ist! Hab mir mal die 2 Sachen von Dir durchgelesen: --Arbeitsplatz und andere Sachen funzen nicht mehr-- hört sich nicht gut an wenn Malwarebytes sich nicht aktualiesiert bzw nicht Starten lässt... SO nun zu meinem Rechner..beginne nun mit ComboFix! Danke für Deine Hilfe! Benutze XP mit SP3 Muss hier nochmal Editieren: Das mit der Recover Console Klapp nicht! http://www.bleepingcomputer.com/tuto...torial117.html E:\i386\winnt32.exe /cmdcons (E ist mein Dvd Laufwerk) der pfad wird auf der XP cd nicht gefunden!! Kann ich ComboFix auch so laufen lassen? Besser nicht oder? Geändert von Raven72 (09.03.2009 um 22:00 Uhr) |
09.03.2009, 22:24 | #5 | |
| Problem RECYCLER\S-2-1-32-100018534 xxx.com konnte nicht gefunden werde.Zitat:
ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
09.03.2009, 23:26 | #6 |
| Problem RECYCLER\S-2-1-32-100018534 xxx.com konnte nicht gefunden werde. Hier das Ergebnis: ComboFix 09-03-06.02 - Roman 2009-03-09 23:11:53.1 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.2047.1685 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\Roman.DIE-IT20IWOLNPF\Desktop\ComboFix.exe AV: COMODO Antivirus *On-access scanning disabled* (Updated) . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Autorun.inf c:\dokume~1\ROMAN~1.DIE\LOKALE~1\Temp\svchost.exe c:\dokume~1\ROMAN~1.DIE\LOKALE~1\Temp\tmp1.tmp c:\dokume~1\ROMAN~1.DIE\LOKALE~1\Temp\tmp2.tmp c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat c:\dokumente und einstellungen\LocalService.NT-AUTORITÄT\Anwendungsdaten\twain_32 c:\dokumente und einstellungen\LocalService.NT-AUTORITÄT\Anwendungsdaten\twain_32\user.ds c:\dokumente und einstellungen\postgres\Anwendungsdaten\twain_32 c:\dokumente und einstellungen\postgres\Anwendungsdaten\twain_32\user.ds c:\dokumente und einstellungen\Roman.DIE-IT20IWOLNPF\Anwendungsdaten\NI.GSCNS c:\dokumente und einstellungen\Roman.DIE-IT20IWOLNPF\Anwendungsdaten\NI.GSCNS\dl.ini c:\dokumente und einstellungen\Roman.DIE-IT20IWOLNPF\Anwendungsdaten\NI.GSCNS\settings.ini c:\programme\IEToolbar c:\recycler\S-8-0-23-100012807-100004806-100007178-4245.com c:\temp\1cb c:\temp\1cb\syscheck.log c:\temp\DIV55 c:\temp\DIV55\xDb.log c:\windows\sysguard.exe c:\windows\system32\bcmqsqfh.ini c:\windows\system32\CISYcfii.ini c:\windows\system32\CISYcfii.ini2 c:\windows\system32\ckytbsak.ini c:\windows\system32\cpuliwvc.ini c:\windows\system32\cxsghise.ini c:\windows\system32\drivers\gaopdxdmqdgarwgsotsrttcmyhtbbrnohhlsse.sys c:\windows\system32\drivers\gaopdxltkmawfkrnoibwhkrokhydpweodduthi.sys c:\windows\system32\drivers\gaopdxlvrgrxngwwuycdjoobqjlksrrrixmoji.sys c:\windows\system32\drivers\gaopdxqjejkrgikkfhdkturrvaarjxduyblhyi.sys c:\windows\system32\drivers\gaopdxshhvtevuxxkusqxtlyxyksofryjpocbf.sys c:\windows\system32\drivers\gaopdxwsiomwlmoqouuusknovbexqcepufqowe.sys c:\windows\system32\drivers\gaopdxwxwhkdqqhextafvideowwwykrjkvpxgf.sys c:\windows\system32\dukycetk.ini c:\windows\system32\ebcaurbd.ini c:\windows\system32\etkqrfwl.ini c:\windows\system32\gaopdxcounter c:\windows\system32\gaopdxgqtjxoxlttoirrrwakwrsaokjkspxbjc.dll c:\windows\system32\gebebbjp.ini c:\windows\system32\hngdcapw.ini c:\windows\system32\iqdyfkvm.ini c:\windows\system32\jtfpuaax.ini c:\windows\system32\kyhdifgg.ini c:\windows\system32\ldmtsddh.ini c:\windows\system32\mcrh.tmp c:\windows\system32\nbygyjmb.ini c:\windows\system32\nmpbjhin.ini c:\windows\system32\nvxqsdbu.ini c:\windows\system32\oejocngq.ini c:\windows\system32\peifpnla.ini c:\windows\system32\qfxulbum.ini c:\windows\system32\qjvqjfbm.ini c:\windows\system32\rvkifgih.ini c:\windows\system32\sxwopbvr.ini c:\windows\system32\twain_32 c:\windows\system32\twain_32\local.ds c:\windows\system32\twain_32\user.ds c:\windows\system32\twain_32\user.ds.cla c:\windows\system32\twext.exe c:\windows\system32\uhyxijbl.ini c:\windows\system32\uiktciyn.ini c:\windows\system32\vaexmxnw.ini c:\windows\Tasks\fnqocgqa.job D:\Autorun.inf d:\recycler\S-0-0-94-100029898-100016508-100019444-1709.com d:\recycler\S-1-2-84-100018827-100018882-100006038-7855.com d:\recycler\S-2-1-32-100018534-100019619-100029392-6213.com d:\recycler\S-3-1-84-100007952-100007827-100006100-5307.com d:\recycler\S-4-9-14-100000995-100010025-100010965-3403.com d:\recycler\S-6-6-56-100022855-100025643-100010090-5142.com d:\recycler\S-7-4-84-100016914-100028664-100029143-2395.com d:\recycler\S-8-0-23-100012807-100004806-100007178-4245.com d:\recycler\S-9-3-21-100001214-100020292-100017312-4549.com d:\recycler\S-9-5-17-100002123-100003215-100003012-2969.com G:\Autorun.inf g:\recycler\S-0-0-94-100029898-100016508-100019444-1709.com g:\recycler\S-1-2-84-100018827-100018882-100006038-7855.com g:\recycler\S-2-1-32-100018534-100019619-100029392-6213.com g:\recycler\S-3-1-84-100007952-100007827-100006100-5307.com g:\recycler\S-4-9-14-100000995-100010025-100010965-3403.com g:\recycler\S-6-6-56-100022855-100025643-100010090-5142.com g:\recycler\S-7-4-84-100016914-100028664-100029143-2395.com g:\recycler\S-8-0-23-100012807-100004806-100007178-4245.com g:\recycler\S-9-3-21-100001214-100020292-100017312-4549.com g:\recycler\S-9-5-17-100002123-100003215-100003012-2969.com ----- BITS: Eventuell infizierte Webseiten ----- hxxp://childhe.com . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Service_gaopdxserv.sys ((((((((((((((((((((((( Dateien erstellt von 2009-02-09 bis 2009-03-09 )))))))))))))))))))))))))))))) . 2009-03-09 20:03 . 2009-01-14 16:11 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys 2009-03-09 20:03 . 2009-01-14 16:11 15,504 --a------ c:\windows\system32\drivers\mbam.sys 2009-03-09 18:36 . 2009-03-09 18:36 <DIR> d-------- c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Malwarebytes 2009-03-08 21:12 . 2009-03-08 21:13 <DIR> d--h----- c:\programme\Zero G Registry 2009-03-08 16:59 . 2009-03-09 20:03 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware 2009-03-03 19:30 . 2009-03-03 19:30 <DIR> d-------- c:\dokumente und einstellungen\Roman.DIE-IT20IWOLNPF\Anwendungsdaten\Ashampoo 2009-03-03 19:29 . 2009-03-03 19:29 <DIR> d-------- c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\ashampoo 2009-02-28 19:43 . 2009-02-28 19:43 <DIR> d-------- c:\programme\AskBarDis 2009-02-28 19:43 . 2009-02-28 19:43 253,688 --a------ c:\windows\system32\cssdll32.dll 2009-02-28 19:42 . 2009-02-28 19:43 <DIR> d-------- c:\programme\COMODO 2009-02-28 19:42 . 2009-02-28 19:53 <DIR> d-------- c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Comodo 2009-02-28 19:42 . 2009-02-28 19:42 155,384 --a------ c:\windows\system32\guard32.dll 2009-02-28 19:42 . 2009-02-28 19:42 110,992 --a------ c:\windows\system32\drivers\cmdguard.sys 2009-02-28 19:42 . 2009-02-28 19:42 24,336 --a------ c:\windows\system32\drivers\cmdhlp.sys 2009-02-28 18:45 . 2008-04-14 03:22 21,504 --a------ c:\windows\system32\hidserv.dll 2009-02-28 18:45 . 2008-04-14 03:22 21,504 --a--c--- c:\windows\system32\dllcache\hidserv.dll 2009-02-28 18:45 . 2008-04-14 02:58 14,720 --a------ c:\windows\system32\drivers\kbdhid.sys 2009-02-28 18:45 . 2008-04-14 02:58 14,720 --a--c--- c:\windows\system32\dllcache\kbdhid.sys 2009-02-28 18:45 . 2001-08-18 04:22 12,288 --a------ c:\windows\system32\drivers\mouhid.sys 2009-02-28 18:45 . 2001-08-18 04:22 12,288 --a--c--- c:\windows\system32\dllcache\mouhid.sys 2009-02-27 22:42 . 2009-02-27 22:42 <DIR> d-------- c:\windows\system32\MpEngineStore 2009-02-15 15:38 . 2009-02-15 15:40 395 --a------ c:\windows\wininit.ini 2009-02-15 15:38 . 2009-02-15 15:40 340 --a------ c:\windows\wininit.tmp 2009-02-15 14:19 . 2009-02-15 14:21 <DIR> d-------- c:\windows\system32\NtmsData . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-03-09 16:45 --------- d-----w c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Google Updater 2009-03-08 22:18 --------- d---a-w c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\TEMP 2009-03-08 17:34 --------- d-----w c:\dokumente und einstellungen\Roman.DIE-IT20IWOLNPF\Anwendungsdaten\skypePM 2009-03-08 17:34 --------- d-----w c:\dokumente und einstellungen\Roman.DIE-IT20IWOLNPF\Anwendungsdaten\Skype 2009-03-08 09:27 --------- d-----w c:\programme\Everest Poker 2009-03-03 19:29 --------- d--h--w c:\programme\InstallShield Installation Information 2009-03-01 21:21 0 ----a-w c:\windows\system32\drivers\c6bfa6c5.sys 2009-02-18 17:19 --------- d-----w c:\programme\Lavasoft 2009-02-18 17:19 --------- d-----w c:\programme\Gemeinsame Dateien\Wise Installation Wizard 2009-02-18 17:19 --------- d-----w c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Lavasoft 2009-02-07 12:14 --------- d-----w c:\programme\GameSpy Arcade 2009-02-01 13:42 --------- d-----w c:\programme\XP Codec Pack 2009-01-31 16:24 --------- d-----w c:\programme\Gemeinsame Dateien\LogiShrd 2009-01-31 16:21 --------- d-----w c:\programme\Logitech 2009-01-31 16:21 --------- d-----w c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Logitech 2009-01-31 16:21 --------- d-----w c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\LogiShrd 2009-01-31 15:52 --------- d-----w c:\programme\Skype 2009-01-31 15:52 --------- d-----w c:\programme\Gemeinsame Dateien\Skype 2009-01-31 15:52 --------- d-----w c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Skype 2009-01-31 15:20 --------- d-----w c:\dokumente und einstellungen\Roman.DIE-IT20IWOLNPF\Anwendungsdaten\FRITZ! . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] "{3041d03e-fd4b-44e0-b742-2d9b88305f98}"= "c:\programme\AskBarDis\bar\bin\askBar.dll" [2008-08-06 279944] [HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}] [HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360] "TVTip"="d:\programme\TV Movie Clickfinder\tvstart.exe" [2008-05-22 94208] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-10-07 13574144] "SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-12-20 136600] "Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-10-07 86016] "LogitechCommunicationsManager"="c:\programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe" [2007-07-25 563984] "LogitechQuickCamRibbon"="c:\programme\Logitech\QuickCam\Quickcam.exe" [2007-07-25 2027792] "COMODO SafeSurf"="c:\programme\COMODO\SafeSurf\cssurf.exe" [2009-02-28 278264] "COMODO Internet Security"="c:\programme\COMODO\COMODO Internet Security\cfp.exe" [2009-02-28 1851128] "nwiz"="nwiz.exe" [2008-10-07 c:\windows\system32\nwiz.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "AppInit_DLLs"=c:\windows\system32\cssdll32.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "aux"= ctwdm32.dll "vidc.ffds"= ffdshow.ax "msacm.ac3filter"= ac3filter.acm [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^Adobe Reader Speed Launch.lnk] path=c:\dokumente und einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Adobe Reader Speed Launch.lnk backup=c:\windows\pss\Adobe Reader Speed Launch.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^Logitech Desktop Messenger.lnk] path=c:\dokumente und einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Logitech Desktop Messenger.lnk backup=c:\windows\pss\Logitech Desktop Messenger.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^Logitech SetPoint.lnk] path=c:\dokumente und einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Logitech SetPoint.lnk backup=c:\windows\pss\Logitech SetPoint.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^Microsoft Office.lnk] path=c:\dokumente und einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Microsoft Office.lnk backup=c:\windows\pss\Microsoft Office.lnkCommon Startup [HKLM\~\startupfolder\c:^dokumente und einstellungen^all users.windows^startmenü^programme^autostart^nokia ovi suite.lnk] path=c:\dokumente und einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Nokia Ovi Suite.lnk backup=c:\windows\pss\Nokia Ovi Suite.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nokiamserver] c:\programme\Gemeinsame Dateien\Nokia\MPlatform\NokiaMServer [X] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BDMCon] --a------ 2005-06-20 11:10 421888 c:\programme\Softwin\BitDefender8\bdmcon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LDM] --a------ 2005-09-12 17:54 32768 d:\logitech mouse\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS] --a------ 2008-04-14 03:22 1695232 c:\programme\Messenger\msmsgs.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] --a--c--- 2001-07-09 11:50 155648 c:\windows\system32\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nokia faststart] --a------ 2008-06-29 18:11 2327776 d:\programme\Nokia\Nokia Music\NokiaMusic.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PhonostarTimer] --a------ 2008-07-14 14:18 126976 d:\musik programme\Musik Programme\internet radio\phonostar\ps_timer.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RealJukeboxSystray] --a------ 2005-11-21 21:48 91648 d:\programme\Real Jukebox\tsystray.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RealTray] --a------ 2005-11-21 21:49 26112 c:\programme\Real\RealPlayer\realplay.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg] --a------ 2007-06-27 17:36 68856 c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 "UpdatesDisableNotify"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "d:\\Logitech Mouse\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"= "c:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"= "d:\\Musik Programme\\Musik Programme\\internet radio\\phonostar\\ps_olect.exe"= "c:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"= "d:\\Games\\Soldier of Fortune 2\\SoF2MP.exe"= "d:\\Games\\Medal of Honor Airbourn\\UnrealEngine3\\Binaries\\MOHA.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Programme\\devolo\\dlanwlancfg\\dlanwlancfg.exe"= "c:\\Programme\\devolo\\informer\\devinf.exe"= "c:\\Programme\\devolo\\easyshare\\easyshare.exe"= "c:\\Programme\\ICQ6\\ICQ.exe"= "c:\\Programme\\Skype\\Phone\\Skype.exe"= R1 cmdguard;COMODO Internet Security Sandbox Driver;c:\windows\system32\drivers\cmdguard.sys [2009-02-28 110992] R1 NETDSL;AVM PPP over Ethernet;c:\windows\system32\drivers\netdsl.sys [2005-10-31 11264] R2 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [2008-07-10 222456] R2 NPF_devolo;NetGroup Packet Filter Driver (devolo);c:\windows\system32\drivers\npf_devolo.sys [2007-02-07 35840] S0 pkqgmizb;pkqgmizb;c:\windows\system32\drivers\veefrork.sys [] S1 c6bfa6c5;c6bfa6c5;c:\windows\system32\drivers\c6bfa6c5.sys [2009-01-28 0] S1 SSHDRV86;SSHDRV86;\??\c:\windows\system32\drivers\SSHDRV86.sys --> c:\windows\system32\drivers\SSHDRV86.sys [?] S3 NETFWDSL;AVM FRITZ!web DSL PPP;c:\windows\system32\drivers\NETFWDSL.SYS [2005-10-31 361472] . Inhalt des "geplante Tasks" Ordners 2009-02-18 c:\windows\Tasks\AppleSoftwareUpdate.job - c:\programme\Apple Software Update\SoftwareUpdate.exe [] . - - - - Entfernte verwaiste Registrierungseinträge - - - - BHO-{c5bf49a2-94f3-42bd-f434-3604812c8955} - c:\windows\system32\hgdfeeeh4fdg.dll SharedTaskScheduler-{C5BF49A2-94F3-42BD-F434-3604812C8955} - c:\windows\system32\hgdfeeeh4fdg.dll ShellExecuteHooks-{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - c:\windows\system32\cbXQkJde.dll Notify-cbXQkJde - cbXQkJde.dll MSConfigStartUp-9cfffefa - c:\windows\system32\mbfjqvjq.dll MSConfigStartUp-adobe photo downloader - c:\programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe MSConfigStartUp-bar - c:\dokume~1\ROMAN~1.DIE\LOKALE~1\Temp\mirasnet.tmp MSConfigStartUp-EzPrint - c:\programme\Lexmark P910 Series\ezprint.exe MSConfigStartUp-FaxCenterServer - c:\programme\Lexmark Fax Solutions\fm3032.exe MSConfigStartUp-ICQ Lite - d:\programme\ICQ\ICQLite\ICQLite.exe MSConfigStartUp-lxbymon - c:\programme\Lexmark P910 Series\lxbymon.exe MSConfigStartUp-updateMgr - d:\acrobat reader\Reader\AdobeUpdateManager.exe MSConfigStartUp-WinampAgent - d:\musik programme\Musik Programme\WinAmp\winampa.exe . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.google.de/ uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8 uSearchURL,(Default) = hxxp://www.google.com/search?q=%s IE: &ICQ Toolbar Search - d:\programme\ICQ\ICQToolbar\toolbaru.dll/SEARCH.HTML IE: {{A68FC757-51CF-4f3c-B13A-BFB8CA69BB99} - d:\programme\CDPoker\casino.exe IE: {{B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - d:\programme\PartyGaming\PartyCasino\RunCasino.exe IE: {{B723B1B8-9788-4684-ADA7-D1DB02E1D516} - d:\programme\NoblePoker\Noble Poker\casino.exe LSP: c:\programme\FRITZ!DSL\sarah.dll Handler: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - d:\logitech mouse\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-03-09 23:18:55 Windows 5.1.2600 Service Pack 3 NTFS detected NTDLL code modification: ZwClose, ZwOpenFile Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... c:\windows\system32\drivers\veefrork.sys 25088 bytes executable Scan erfolgreich abgeschlossen versteckte Dateien: 1 ************************************************************************** . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(708) c:\windows\system32\guard32.dll - - - - - - - > 'lsass.exe'(768) c:\windows\system32\guard32.dll c:\programme\FRITZ!DSL\sarah.dll c:\programme\FRITZ!DSL\block.dll c:\programme\FRITZ!DSL\avmcsock.dll c:\programme\FRITZ!DSL\avmufc.dll . ------------------------ Weitere laufende Prozesse ------------------------ . c:\programme\COMODO\COMODO Internet Security\cmdagent.exe c:\programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe c:\programme\FRITZ!DSL\IGDCTRL.EXE c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe c:\programme\Java\jre6\bin\jqs.exe c:\programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe c:\windows\system32\nvsvc32.exe d:\programme\PostgreSQL\8.0\bin\pg_ctl.exe d:\games\Medal of Honor Airbourn\UnrealEngine3\MOHAGame\pb\PnkBstrA.exe c:\programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe d:\programme\PostgreSQL\8.0\bin\postmaster.exe d:\programme\PostgreSQL\8.0\bin\postgres.exe d:\programme\PostgreSQL\8.0\bin\postgres.exe d:\programme\PostgreSQL\8.0\bin\postgres.exe d:\programme\PostgreSQL\8.0\bin\postgres.exe c:\programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe c:\windows\system32\rundll32.exe d:\programme\TV Movie Clickfinder\tvtip.exe c:\windows\system32\wscntfy.exe c:\programme\Gemeinsame Dateien\LogiShrd\LQCVFX\COCIManager.exe . ************************************************************************** . Zeit der Fertigstellung: 2009-03-09 23:21:38 - PC wurde neu gestartet [Roman] ComboFix-quarantined-files.txt 2009-03-09 22:21:33 Vor Suchlauf: 3,296,333,824 Bytes frei Nach Suchlauf: 3,300,290,560 Bytes frei WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn 332 --- E O F --- 2009-02-27 21:42:23 Und? Wie sieht das aus? Ich befürchte nichts gutes |
09.03.2009, 23:39 | #7 | |
| Problem RECYCLER\S-2-1-32-100018534 xxx.com konnte nicht gefunden werde.Zitat:
Neuinstallation ist auf jeden Fall der schnellere und sichere Weg. Ich sehe auf Anhieb 3 Treiber, die da nicht hingehören, 1 versteckte Datei und dabei habe ich das nur überflogen. ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
09.03.2009, 23:42 | #8 |
| Problem RECYCLER\S-2-1-32-100018534 xxx.com konnte nicht gefunden werde. Das Problem hab ich seit ca 2 Tagen! Wo siehst Du die Backdoors? Gibt es einen Weg ohne eine Neuaufsetzung des Rechners? Sollte ich jetzt nochmal Malwarebytes Installieren? Danke für deine Hilfe! |
09.03.2009, 23:57 | #9 | ||
| Problem RECYCLER\S-2-1-32-100018534 xxx.com konnte nicht gefunden werde.Zitat:
Code:
ATTFilter c:\dokumente und einstellungen\LocalService.NT-AUTORITÄT\Anwendungsdaten\twain_32 c:\dokumente und einstellungen\LocalService.NT-AUTORITÄT\Anwendungsdaten\twain_32\user.ds Code:
ATTFilter c:\dokumente und einstellungen\postgres\Anwendungsdaten\twain_32 c:\dokumente und einstellungen\postgres\Anwendungsdaten\twain_32\user.ds http://www.trojaner-board.de/408799-post2.html Zitat:
Lies auch hier: http://www.trojaner-board.de/394394-post12.html Wie gesagt, deine Entscheidung. ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
10.03.2009, 00:09 | #10 | |
| Problem RECYCLER\S-2-1-32-100018534 xxx.com konnte nicht gefunden werde.Zitat:
|
10.03.2009, 10:04 | #11 |
| Problem RECYCLER\S-2-1-32-100018534 xxx.com konnte nicht gefunden werde. Hallo John Doe. Ich bin es nochmal, also so wie es aussieht habe ich dann einen oder mehrere BackdoorBots! Du schreibst : Das inzwischen alle deine Kennwörter sonstwo gelandet sind, sollte dir aber klar sein. KANN ES sein oder ist das zu 99% sicher? Ich habe 2 Festplatten. Festplatte 1 ist Partizioniert C und D , auf C ist das Betiebssystem. Wenn ich das system neu Aufspiele, muss ich dann alles Platt machen oder nur C und das Betriebssystem neu Installieren? Das Porblem bei mir ist das ich auf die Riesiege (Poker) Datenbanken habe und ich nicht weiss wie ich dort ein Backup machen kann! Danke für Eure Hilfe. |
10.03.2009, 18:05 | #12 | ||||||
| Problem RECYCLER\S-2-1-32-100018534 xxx.com konnte nicht gefunden werde.Zitat:
Zitat:
Code:
ATTFilter c:\windows\system32\twain_32\user.ds c:\windows\system32\twext.exe Zitat:
Zitat:
Jetzt bin ich neugierig: Welche Datenbanken hast du denn am Laufen? Wenn du Datenbanken hast, hast du doch auch sicherlich BackUps? p.s.: Zitat:
Eigentlich lässt sich alles sichern, man muss nur den Pfad kennen, in dem die Dateien gespeichert sind. Zitat:
Die können aber sehr schnell wieder auftauchen, falls du ein externen Datenträger bei dem Scan von ComboFix nicht angehängt hast, so wie bei ihm hier: http://www.trojaner-board.de/68318-r...-erhalten.html Relativ sicher ist die Neuinstallation auf Laufwerk C und anschliessendes Scannen mit mehreren aktuellen Scannern. Deshalb sichere alles, dass sich noch auf Laufwerk C befindet auf die anderen Partitionen und installiere neu. Scanne anschliessend die anderen Partitionen, dann kannst du relativ sicher sein, dass du wieder sauber bist. Hier habe ich einen ähnlichen Fall. Nutze die Scanner, die dort zu sehen und poste, falls etwas gefunden wird. Wenn du fertig bist, dann poste bitte ein finales HJT-Log. ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
10.03.2009, 19:18 | #13 |
| Problem RECYCLER\S-2-1-32-100018534 xxx.com konnte nicht gefunden werde. Hallo Andreas oder lieber John Doe? zu der "Daten" , Datenbank es ist eine PostgresSQL Datenbank in der auch die Pokergeschichten gespeichert sind! Hab ein Bisschen schiss C bzw alles Platt zu machen. Hmm bin mir da ziemlich unsicher! Habe auch erstmal alle wichtigen Passwörter aus der Firma geändert! Habe vorhin nochmal Malwarebytes installiert , jetzt ging die Installation ohne Probleme. Hier der File, vielleicht schaust du nochmal drüber: Er hat wieder was gefunden! Malwarebytes' Anti-Malware 1.34 Datenbank Version: 1831 Windows 5.1.2600 Service Pack 3 03/10/2009 7:06:41 PM mbam-log-2009-03-10 (19-06-41).txt Scan-Methode: Vollständiger Scan (C:\|D:\|G:\|) Durchsuchte Objekte: 209103 Laufzeit: 50 minute(s), 1 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 3 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 10 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\pkqgmizb (Rootkit.Agent) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\pkqgmizb (Rootkit.Agent) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pkqgmizb (Rootkit.Agent) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Qoobox\Quarantine\C\DOKUME~1\ROMAN~1.DIE\LOKALE~1\Temp\svchost.exe.vir (Trojan.Clicker) -> Quarantined and deleted successfully. C:\Qoobox\Quarantine\C\WINDOWS\sysguard.exe.vir (Spyware.Zbot) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{C0997BF1-403A-491B-A0A6-1D06DA25A563}\RP666\A0137786.exe (Spyware.Zbot) -> Quarantined and deleted successfully. C:\WINDOWS\system32\kvypleyh.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\ldvbfbkc.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\sskrebvi.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\okkkfmar.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\drivers\veefrork.sys (Rootkit.Agent) -> Delete on reboot. D:\Programme\CDPoker\_SetupPoker.exe (Adware.Agent) -> Quarantined and deleted successfully. D:\Programme\CDPoker\__SetupPoker.exe (Adware.Agent) -> Quarantined and deleted successfully. Danke + Gruß Geändert von Raven72 (10.03.2009 um 19:24 Uhr) |
10.03.2009, 19:37 | #14 | |||
| Problem RECYCLER\S-2-1-32-100018534 xxx.com konnte nicht gefunden werde.Zitat:
Zitat:
Zitat:
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
10.03.2009, 19:49 | #15 |
| Problem RECYCLER\S-2-1-32-100018534 xxx.com konnte nicht gefunden werde. Ich heule nicht rum, ich stelle klare fragen ! Nein es ist kein Firmenrechner, dann würde ich nicht so einen Aufstand machen! Ich habe vom Firmenrechner meine Bank, Ebay , Paypal usw Passwörter geändert! Kannst DU mir sagen was ein Spyware.Zbot und ein Adware.Agent ist?? Merkwürdig, den CD Poker ist vom I Pokernetzwerk eins der größten in Europa, dass die sowas mitschicken kann ich mir (eigentlich) nicht vorstellen! Nun sein mal nicht so hart zu mir Geändert von Raven72 (10.03.2009 um 20:00 Uhr) |
Themen zu Problem RECYCLER\S-2-1-32-100018534 xxx.com konnte nicht gefunden werde. |
arbeitsplatz, betreff, ccleaner, erscheint, fehlermeldung, festplatte, festplatten, forum, geblockt, gen, hallo zusammen, handel, konnte, malwarebytes, neue, nicht gefunden, platte, platten, poste, problem, programm, recycler, troja, trojaner, zusammen, öffnen |