| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: RECYCLER-S-5-5-18-100011562-100013574-10029283-2323.comWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
08.05.2009, 18:40
| #1 |
| |  RECYCLER-S-5-5-18-100011562-100013574-10029283-2323.com Hi Leute!, hatte folgendes Problem, das wohl bereits schon öfter aufgetaucht ist(wenn auch in einer etwas abgeänderten Form was die Zahlen betrifft): "RECYCLER-S-5-5-18-100011562-100013574-10029283-2323.com" Analog zur Anweisung eines bereits offenen threads habe ich bereits Combofix laufen lassen,und möchte hier nun das Log posten. Eins vorweg : Ich kann immerhin schon wieder ohne weiteres auf meine Festplatten zugreifen und auch auf den USB-Stick, also an dieser Stelle jetzt schonmal vielen Dank für die Hilfe!Aber weil man ja damit scheinbar noch nicht fertig ist, hier wie verprochen das Log: ComboFix 09-05-07.03 - Chris1 07.05.2009 22:29.2 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.3327.2821 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\Chris1\Desktop\ComboFix.exe AV: Avira Premium Security Suite *On-access scanning disabled* (Updated) FW: Avira Firewall *disabled* Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !! . ((((((((((((((((((((((( Dateien erstellt von 2009-04-07 bis 2009-05-07 )))))))))))))))))))))))))))))) . 2009-04-27 17:35 . 2009-04-27 17:35 -------- d-----w c:\dokumente und einstellungen\Chris1\Anwendungsdaten\DassaultSystemes 2009-04-27 17:35 . 2009-04-27 17:35 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\DassaultSystemes 2009-04-27 17:35 . 2009-04-27 18:05 -------- d-----w c:\dokumente und einstellungen\Chris1\Lokale Einstellungen\Anwendungsdaten\DassaultSystemes 2009-04-26 08:03 . 2009-04-26 08:03 -------- d-----w C:\autodesk 2009-04-23 17:40 . 2009-04-23 17:41 -------- d-----w c:\dokumente und einstellungen\Chris1\Anwendungsdaten\PeaZip 2009-04-09 12:51 . 2009-04-09 13:19 -------- d-----w c:\dokumente und einstellungen\Chris1\Anwendungsdaten\Dev-Cpp . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-05-06 15:47 . 2006-02-28 12:00 72710 ----a-w c:\windows\system32\perfc007.dat 2009-05-06 15:47 . 2006-02-28 12:00 409016 ----a-w c:\windows\system32\perfh007.dat 2009-05-05 17:05 . 2009-02-22 09:01 32552 ----a-w c:\dokumente und einstellungen\Chris1\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2009-03-21 21:22 . 2009-03-21 21:22 -------- d-----w c:\programme\Microsoft CAPICOM 2.1.0.2 2009-03-21 11:04 . 2009-03-21 11:02 279712 ----a-w c:\windows\system32\drivers\atksgt.sys 2009-03-21 11:02 . 2009-03-21 11:02 25888 ----a-w c:\windows\system32\drivers\lirsgt.sys 2009-03-21 10:43 . 2009-03-21 10:43 -------- d-----w c:\programme\Microsoft Works 2009-03-15 17:34 . 2009-03-15 17:26 -------- d-----w c:\programme\Microsoft.NET 2009-03-15 17:34 . 2009-03-15 17:32 -------- d-----w c:\programme\Microsoft SQL Server 2009-03-15 17:31 . 2009-03-15 17:31 -------- d-----w c:\programme\Microsoft Device Emulator 2009-03-15 17:31 . 2009-03-15 17:31 -------- d-----w c:\programme\Microsoft SQL Server 2005 Mobile Edition 2009-03-15 17:29 . 2009-03-15 17:29 -------- d-----w c:\programme\MSBuild 2009-03-15 17:29 . 2009-03-15 17:26 -------- d-----w c:\programme\HTML Help Workshop 2009-03-15 17:29 . 2009-03-15 17:26 -------- d-----w c:\programme\Gemeinsame Dateien\Merge Modules 2009-03-15 17:26 . 2009-03-15 17:26 -------- d-----w c:\programme\Gemeinsame Dateien\Business Objects 2009-03-15 17:26 . 2009-03-15 17:26 -------- d-----w c:\programme\CE Remote Tools 2009-03-15 17:25 . 2009-03-15 17:25 -------- d-----w c:\programme\Microsoft Visual Studio 8 2009-03-14 10:51 . 2009-02-22 09:06 -------- d-----w c:\programme\Gemeinsame Dateien\InstallShield 2009-03-12 15:35 . 2009-02-22 09:28 -------- d-----w c:\programme\avmwlanstick 2009-02-24 14:15 . 2009-02-22 08:58 86327 ----a-w c:\windows\pchealth\helpctr\OfflineCache\index.dat 2009-02-22 10:36 . 2009-02-22 10:36 0 ----a-w c:\windows\nsreg.dat 2009-02-22 09:06 . 2009-02-22 09:06 315392 ----a-w c:\windows\HideWin.exe 2009-02-22 08:58 . 2006-02-28 12:00 67 --sha-w c:\windows\Fonts\desktop.ini 2009-02-22 08:57 . 2009-02-22 08:57 21740 ----a-w c:\windows\system32\emptyregdb.dat 2009-02-09 14:14 . 2006-02-28 12:00 1846400 ----a-w c:\windows\system32\win32k.sys . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2006-02-28 15360] "msnmsgr"="c:\programme\Windows Live\Messenger\msnmsgr.exe" [2009-02-06 3885408] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-02-09 13680640] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-02-09 86016] "AVMWlanClient"="c:\programme\avmwlanstick\FRITZWLANMini.exe" [2007-02-02 283136] "avgnt"="d:\programme\Avira\Avira Premium Security Suite\avgnt.exe" [2008-06-12 266497] "Adobe Reader Speed Launcher"="d:\programme\Adobe\Reader\Reader_sl.exe" [2008-06-12 34672] "RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2007-03-21 16126464] "nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2009-02-09 1657376] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "DWQueuedReporting"="c:\progra~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" [2007-02-26 437160] c:\dokumente und einstellungen\Chris1\Startmen\Programme\Autostart\ Adobe Gamma.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2005-3-16 113664] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "NoRecentDocsNetHood"= 1 (0x1) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"= "c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= "d:\\Programme\\ICQ6.5\\ICQ.exe"= "d:\\Programme\\Office 2007\\Office12\\ONENOTE.EXE"= "d:\\Spiele\\S.T.A.L.K.E.R. - Clear Sky\\bin\\xrEngine.exe"= "d:\\Spiele\\S.T.A.L.K.E.R. - Clear Sky\\bin\\dedicated\\xrEngine.exe"= R1 avfwot;avfwot;c:\windows\system32\drivers\avfwot.sys [22.02.2009 11:58 71592] R1 LUMDriver;LUMDriver;c:\windows\system32\drivers\LUMDriver.sys [24.04.2007 17:52 16688] R2 AntiVirFirewallService;Avira Premium Security Suite Firewall;d:\programme\Avira\Avira Premium Security Suite\avfwsvc.exe [22.02.2009 11:58 344321] R2 AntiVirMailService;Avira Premium Security Suite MailGuard;d:\programme\Avira\Avira Premium Security Suite\avmailc.exe [22.02.2009 11:58 164097] R2 antivirwebservice;Avira Premium Security Suite WebGuard;d:\programme\Avira\Avira Premium Security Suite\avwebgrd.exe [22.02.2009 11:58 258305] R2 AVEService;Avira Premium Security Suite MailGuard Hilfsdienst;d:\programme\Avira\Avira Premium Security Suite\avesvc.exe [22.02.2009 11:58 41217] R3 avfwim;AvFw Packet Filter Miniport;c:\windows\system32\drivers\avfwim.sys [22.02.2009 11:58 71464] R3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [20.12.2007 02:04 265088] S3 naecd;naecd;\??\c:\dokume~1\Chris1\LOKALE~1\Temp\naecd.sys --> c:\dokume~1\Chris1\LOKALE~1\Temp\naecd.sys [?] S4 msvsmon80;Visual Studio 2005 Remote Debugger;d:\programme\Microsoft Visual Studio 2005\Common7\IDE\Remote Debugger\x86\msvsmon.exe [09.12.2005 11:40 2799808] . . ------- Zusätzlicher Suchlauf ------- . IE: Nach Microsoft E&xel exportieren - d:\progra~2\OFFICE~1\Office12\EXCEL.EXE/3000 LSP: avsda.dll TCP: {9B0A315C-153E-4746-A349-0E6BB35E8B52} = 192.168.2.1 FF - ProfilePath - c:\dokumente und einstellungen\Chris1\Anwendungsdaten\Mozilla\Firefox\Profiles\xf62aa4b.default\ FF - prefs.js: browser.startup.homepage - www.google.de FF - plugin: d:\programme\Adobe\Reader\browser\nppdf32.dll . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-05-07 22:30 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'lsass.exe'(740) c:\windows\system32\avsda.dll - - - - - - - > 'explorer.exe'(3148) c:\windows\system32\WPDShServiceObj.dll c:\windows\system32\PortableDeviceTypes.dll c:\windows\system32\PortableDeviceApi.dll . Zeit der Fertigstellung: 2009-05-07 22:30 ComboFix-quarantined-files.txt 2009-05-07 20:30 ComboFix2.txt 2009-05-07 20:03 Vor Suchlauf: 2.436.837.376 Bytes frei Nach Suchlauf: 2.424.832.000 Bytes frei 121 --- E O F --- 2009-03-21 21:26 So das war's. Hoffe auf eure Hilfe (hat ja bisher schon super geklappt) und darauf das mein Post eingermaßen ordnungsgerecht durchgeführt wurde  mfg |
|
| Themen zu RECYCLER-S-5-5-18-100011562-100013574-10029283-2323.com |
| .com, 0 bytes, adobe, avg, avgnt, avgnt.exe, avira, combofix, desktop, einstellungen, explorer, festplatte, firefox, firewall, help, icq, laufende prozesse, lsass.exe, malware, mozilla, office 2007, problem, programme, rthdcpl.exe, scan, security, security suite, software, studio, suchlauf, super, temp, usb-stick, visual studio, windows, windows xp |
Linear-Darstellung
