Schönen Sonntag Morgen erstmal!

Ich habe das Problem das ich den Wurm (nehme ich mal an) auf meiner Festplatte(samt Partitionen) und 2 externen Festplatten habe.

Der Wurm ist resycled\boot.com!

Ich habe mir bereits http://www.trojaner-board.de/62415-r...anwendung.html diese hilfe angeguckt, welche mir allerdings nur teilweise geholfen hat.

Doch jetzt zunächst meine Informationen zu dem Computer:
Windows Xp
Service Pack 3
Kaspersky 8.0.0.506 (anti-viren software)

Was habe ich bisher alles gemacht?
Ich hatte das Problem nachdem ich mein Windows neu installier habe aber nur die System Partition.
Danach kam die Meldung mit resycled\boot.com ist keine zulässige win32-anwendung.
Ich habe im Forum gesucht und die oben genannte Seite gefunden und den versuch gestartet im Abgesicherten Modus den Wurm zu löschen.

Allerdings habe ich nicht die Autorun.inf gefunden sondern nur den Ordner mit der Boot.exe und habe diesen teilweise gelöscht auf manchen Partitionen oder externen Festplatten ist dieser noch vorhanden.

Zum Überblick:
C & E Festplatte (boot.exe samt ordner gelöscht allerdings Fehlermeldung und kein normales öffnen möglich)
D externe Festplatte (1) (boot.exe gelöscht samt ordner, allerdings Fehlermeldung und ken normales öfnnen möglich)
G & H externe Festplatte (2) h lässt sich normal öffnen bei G kommt die selbe Fehlermeldung wie bei C,E und D.

Ich habe versucht Avenger zu verwenden und die Registry zu bereinigen da kam jedoch eine Fehlermeldung auf ich bin vorgegangen wie bei http://www.trojaner-board.de/62415-r...wendung-2.html

Error: Invalid Registry Syntax in command
War die Fehlermeldung.

Dann habe ich noch die Registry veränderungen von myrtille heruntergeladen und ausgeführt, welche auch nicht geholfen haben, weil sie wohl nicht individuel auf mein System abgestimmt sind bzw. meine Registry.

Ich hoffe ihr könnt mir helfen =)



EDIT:
Ich habe SmitfraudFIX ausgeführt der Bericht liegt hier vor:
Rapport bericht


Die Partition C: lässt sich nun öffnen!

Hallo und

Falls du noch irgendetwas hast, dass du mit dem Computer verbindest, wie Speicherkarten, USB-Sticks, externe Festplatten, ... dann stecke alles an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas

Guten Abend Andreas...
Dankeschön für die schnelle Antwort und das Willkommen heißen.

Doch kommen wir mal zum ernst des Lebens

Ich habe die Schritte wie folgt abgearbeitet, allerdings wegen meiner Dummheit einen USB-Stick vergessen.
Ich habe ihn angeschlosse und das Programm erneut durchlaufen lassen ich hoffe ich habe dadurch nicht mein komplettes System zerstört aber noch geht alles...

Dadurch ist auch die erste Log verloren gegangen aber es wurden die Autorun.inf gelöscht samt Ordnern. Ich kann auch alles bisher wie gewohnt ausführen bzw öffnen.

Ich gebe dir trotzdem nochmal die zweite Log als Anhang mit =)

Tolle Log aber nur von 2 =(

schönen Sonntag Abend noch und schonmal herzlichen Dank

Scripten mit Combofix

• Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code: Alles auswählenAufklappen

ATTFilter

KILLALL::

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"=-

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\H]
         

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

• Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

Der Log

Ich musste während dem Neustart die eine externe Festplatte abmachen und wieder dran machen, weil immer eine Fehlermeldung kam wenn der Pc neustarten wollte

NTFS Fehler drücken sie strg + alt + entf zum Neustart

Zitat:

NTFS Fehler drücken sie strg + alt + entf zum Neustart

Stecke die externe an.

Arbeitsplatz => Mausklick rechts auf die Externe => Eigenschaften => Karte: Extras => Jetzt prüfen => Beide Haken setzen => Starten => Laaaaange warten => Screenshot von der Zusammenfassung posten

Klicke auf den Link "Für alle Neuen" in meiner Signatur an und arbeite die Liste unter Punkt 2 ab.

ciao, andreas

HiJackThis
Uninstall txt

Maleware hat nichts gefunden.

Das mit der externen Festplatte ist noch am durchlaufen!

Bitte poste die Inhalte der Dateien hier direkt rein. Irgendwie klappt der Download nicht.

ciao, andreas

Code: Alles auswählenAufklappen

ATTFilter

Adobe Flash Player 10 ActiveX
Adobe Flash Player 10 Plugin
Applian FLV Player
CCleaner (remove only)
CDDRV_Installer
EVEREST Home Edition v2.20
High Definition Audio Driver Package - KB888111
HijackThis 2.0.2
Hotfix für Windows XP (KB952287)
ICQ6.5
Java(TM) 6 Update 12
Kaspersky Internet Security 2009
Kaspersky Internet Security 2009
KhalInstallWrapper
Labtec WebCam
Labtec® Camera-Treiber
Logitech Audio Echo Cancellation Component
Logitech Registration
Logitech SetPoint
Logitech Video Enumerator
Malwarebytes' Anti-Malware
MessengerDiscovery 1.5.0800
Microsoft Kernel-Mode Driver Framework Feature Pack 1.5
Microsoft Visual C++ 2005 Redistributable
Mozilla Firefox (3.0.7)
MSXML 4.0 SP2 (KB954430)
MVision
NVIDIA Drivers
Realtek High Definition Audio Driver
Royale Remixed Theme
Sicherheitsupdate für Windows Media Player (KB952069)
Sicherheitsupdate für Windows Media Player 10 (KB936782)
Sicherheitsupdate für Windows XP (KB923689)
Sicherheitsupdate für Windows XP (KB923789)
Sicherheitsupdate für Windows XP (KB938464-v2)
Sicherheitsupdate für Windows XP (KB941569)
Sicherheitsupdate für Windows XP (KB946648)
Sicherheitsupdate für Windows XP (KB950760)
Sicherheitsupdate für Windows XP (KB950762)
Sicherheitsupdate für Windows XP (KB950974)
Sicherheitsupdate für Windows XP (KB951066)
Sicherheitsupdate für Windows XP (KB951376-v2)
Sicherheitsupdate für Windows XP (KB951698)
Sicherheitsupdate für Windows XP (KB951748)
Sicherheitsupdate für Windows XP (KB952954)
Sicherheitsupdate für Windows XP (KB954459)
Sicherheitsupdate für Windows XP (KB954600)
Sicherheitsupdate für Windows XP (KB955069)
Sicherheitsupdate für Windows XP (KB956802)
Sicherheitsupdate für Windows XP (KB956803)
Sicherheitsupdate für Windows XP (KB956841)
Sicherheitsupdate für Windows XP (KB957097)
Sicherheitsupdate für Windows XP (KB958215)
Sicherheitsupdate für Windows XP (KB958644)
Sicherheitsupdate für Windows XP (KB958687)
Sicherheitsupdate für Windows XP (KB958690)
Sicherheitsupdate für Windows XP (KB960225)
Sicherheitsupdate für Windows XP (KB960714)
Sicherheitsupdate für Windows XP (KB960715)
Update für Windows XP (KB951978)
Update für Windows XP (KB955839)
Update für Windows XP (KB967715)
Veoh Player
VLC media player 0.9.8a
Windows Live Messenger
Windows XP Service Pack 3
WinRAR
Zune Desktop Theme
         

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:15:27, on 16.03.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\explorer.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\MessengerDiscovery\MessengerDiscovery Live.exe
E:\Steam\Steam.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\system32\winsys2.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Steam] "e:\steam\steam.exe" -silent
O4 - HKCU\..\Run: [Octoshape Streaming Services] "C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe" -inv:bootrun
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LVSrvLauncher - Labtec Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 5232 bytes
         

Kann es sein, dass erst kürzlich installiert wurde? Deine Software ist ja richtig aktuell.

Weiter mit SuperAntiSpyware.

ciao, andreas

Zitat:

Zitat von john.doe

Kann es sein, dass erst kürzlich installiert wurde? Deine Software ist ja richtig aktuell.

Am Samstag wurde alles frisch gemacht

Ich hab die externe Festplatten prüfung durchlaufen lassen.
Nachdem die Phasen beendet waren kam kein Bericht oder sonstige Fehlermeldung!

Das Log von SUPERAntiSpyware fehlt noch.

Zitat:

Nachdem die Phasen beendet waren kam kein Bericht oder sonstige Fehlermeldung!

Dann teste, ob sich jetzt auch mit angehängter Festplatte ohne Fehlermeldung booten lässt.

ciao, andreas

Zitat:

Zitat von john.doe

Das Log von SUPERAntiSpyware fehlt noch.

Jupp war in Sport und hab gleich viele Sachen durchlaufen lassen

Code: Alles auswählenAufklappen

ATTFilter

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 03/17/2009 at 02:35 PM

Application Version : 4.25.1014

Core Rules Database Version : 3799
Trace Rules Database Version: 1754

Scan type       : Complete Scan
Total Scan Time : 01:55:00

Memory items scanned      : 532
Memory threats detected   : 0
Registry items scanned    : 3983
Registry threats detected : 0
File items scanned        : 128448
File threats detected     : 2

Adware.Tracking Cookie
	C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@atdmt[2].txt
	C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@atwola[1].txt
         

Malewarebytes nochmal

Code: Alles auswählenAufklappen

ATTFilter

Set menu: MSBLWindowClassM
Lock status changed: 2
Login challenge result: 0
Lock status changed: 4
Login challenge result: -2130704555
Login challenge result: -2130704555
Menu id: 40156
Set menu: MSBLWindowClassM
Lock status changed: 4
Lock status changed: 4
Set menu: MSBLWindowClassM
Lock status changed: 2
Login challenge result: 0
Lock status changed: 4
Login challenge result: -2130704555
Login challenge result: -2130704555
Set menu: IMWindowClassI
Set menu: IMWindowClassI
Set menu: MSBLWindowClassM
Lock status changed: 4
Lock status changed: 4
Set menu: MSBLWindowClassM
Lock status changed: 2
Login challenge result: 0
Lock status changed: 4
Login challenge result: -2130704555
Login challenge result: -2130704555
Set menu: IMWindowClassI
Set menu: MSBLWindowClassM
Set menu: IMWindowClassI
Set menu: IMWindowClassI
Set menu: MSBLWindowClassM
Set menu: IMWindowClassI
Set menu: IMWindowClassI
Menu id: 50055
Set menu: IMWindowClassI
Set menu: IMWindowClassI
Set menu: MSBLWindowClassM
Set menu: MSBLWindowClassM
Set menu: IMWindowClassI
Set menu: IMWindowClassI
Set menu: IMWindowClassI
Set menu: MSBLWindowClassM
Set menu: IMWindowClassI
Set menu: IMWindowClassI
Set menu: IMWindowClassI
Menu id: 40156
Set menu: IMWindowClassI
Set menu: IMWindowClassI
Set menu: IMWindowClassI
Set menu: MSBLWindowClassM
Set menu: MSBLWindowClassM
Set menu: MSBLWindowClassM
Lock status changed: 2
Login challenge result: 0
Lock status changed: 4
Login challenge result: -2130704555
Login challenge result: -2130704555
Set menu: IMWindowClassI
Set menu: MSBLWindowClassM
Set menu: IMWindowClassI
Menu id: 40156
Lock status changed: 4
Lock status changed: 4
Set menu: MSBLWindowClassM
Lock status changed: 2
Login challenge result: 0
Lock status changed: 4
Login challenge result: -2130704555
Login challenge result: -2130704555
Set menu: IMWindowClassI
Set menu: IMWindowClassI
Set menu: IMWindowClassI
Set menu: MSBLWindowClassM
Set menu: IMWindowClassI
Set menu: IMWindowClassI
Set menu: MSBLWindowClassM
Set menu: IMWindowClassI
Set menu: IMWindowClassI
Set menu: IMWindowClassI
Set menu: MSBLWindowClassM
Set menu: IMWindowClassI
Set menu: MSBLWindowClassM
Set menu: IMWindowClassI
Set menu: IMWindowClassI
Set menu: MSBLWindowClassM
Set menu: IMWindowClassI
Set menu: IMWindowClassI
Menu id: 40156
Set menu: MSBLWindowClassM
Set menu: MSBLWindowClassM
Menu id: 40156
Set menu: MSBLWindowClassM
Set menu: MSBLWindowClassM
Set menu: IMWindowClassI
Menu id: 40156
Lock status changed: 4
Lock status changed: 4
         

Kaspersky auch nochmal

hat alles nichts ergeben bis auf 2 Cookies welche bereinigt wurden!

Naja, dann gibt es heute eben keine mit dem Baseballschläger. Ist sowieso mein größter Fehler: Ich bin viel zu nachsichtig.

1.) Start => Ausführen => combofix /u => OK
2.) Deinstalliere alle Programme, die wir eingesetzt haben.

Falls dir nichts mehr am Rechner auffällt, dann sind wir fertig.

ciao, andreas

Er startet immer noch nicht wenn die externe Festplatte dran ist

Muss dich nochmal zum schwitzen bringen

ntldr fehler

Meiner Meinung nach liegt das am BIOS oder?

d.h. das er kein Betriebssystem findet...
aber warum nur wenn die Externe angeschlossen ist?

Zitat:

Naja, dann gibt es heute eben keine mit dem Baseballschläger. Ist sowieso mein größter Fehler: Ich bin viel zu nachsichtig.

Och manchmal muss man die Leute hart ran nehmen