Kann nicht auf C: und nicht auf ext. Platte zugreifen -> RECYCLER\[...].com fehlt

vinci · 21.05.2009, 03:47

Hallo,

bin neu hier und habe folgende Probleme:
1. Werde bei Google-Links (Suchergebnissen) auf Spam-Seiten weitergeleitet und nicht auf die entsprechende Seite des Suchergebnisses.

2. Kann nicht auf die Festplatte (:C) zugreifen wegen Fehler: "RECYCLER-S-8-3-41-1000032594-1000025272-100000648-1707.com konnte nicht gefunden werden"

Das Problem habe ich seit einigen Tagen. Ich habe dann eine Neuinstallation von XP durchgeführt (vorher die Partition formatiert), danach die externe Festplatte eingehängt, um gesicherte Daten zu überspielen.

Ich dachte, ich hätte das Problem mit der Neuinstallation behoben, aber nun ist es eher noch schlimmer: Ich kann auch nicht mehr auf die externe Festplatte (:E) zugreifen.

Liegt es an der externen Festplatte? Ich habe leider nur wenig Ahnung. Könnt ihr mir helfen?

Ich habe versucht, alle "Schritte für Hilfesuchende" auszuführen.
1. CCleaner ausgeführt (solange bis keine Fehler mehr gemeldet wurden)

2. Malwarebytes Anti-Malware - Report:

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.36
Datenbank Version: 1945
Windows 5.1.2600 Service Pack 2

21.05.2009 05:10:15
mbam-log-2009-05-21 (05-10-15).txt

Scan-Methode: Vollständiger Scan (C:\|E:\|)
Durchsuchte Objekte: 153465
Laufzeit: 15 minute(s), 14 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 12
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.25,85.255.112.165 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{749d9c6c-9586-4e0c-ace8-b169173bb896}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.25,85.255.112.165 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{7f3f0deb-df4f-41a0-b5a2-6d652e6fa062}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.25,85.255.112.165 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{d21ef853-e5f7-40d9-8337-93ccabcc45a5}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.25,85.255.112.165 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.25,85.255.112.165 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{749d9c6c-9586-4e0c-ace8-b169173bb896}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.25,85.255.112.165 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{7f3f0deb-df4f-41a0-b5a2-6d652e6fa062}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.25,85.255.112.165 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{d21ef853-e5f7-40d9-8337-93ccabcc45a5}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.25,85.255.112.165 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.25,85.255.112.165 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{749d9c6c-9586-4e0c-ace8-b169173bb896}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.25,85.255.112.165 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{7f3f0deb-df4f-41a0-b5a2-6d652e6fa062}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.25,85.255.112.165 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{d21ef853-e5f7-40d9-8337-93ccabcc45a5}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.25,85.255.112.165 -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\Temp\tempo-2555644.tmp (Trojan.DNSChanger) -> Quarantined and deleted successfully.

3. Mein LogFile von HiJackThis:

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 04:14:50, on 21.05.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\TortoiseSVN\bin\TSVNCache.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\ltmoh\Ltmoh.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\GlobespanVirata\XPFix.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft Office\Office\FINDFAST.EXE
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\*\Desktop\HiJackThis.exe

O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Programme\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [XPFix] C:\Programme\GlobespanVirata\XPFix.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: hamachi.lnk = C:\Programme\Hamachi\hamachi.exe
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: VPN Client.lnk = ?
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{749D9C6C-9586-4E0C-ACE8-B169173BB896}: NameServer = 85.255.112.25,85.255.112.165
O17 - HKLM\System\CCS\Services\Tcpip\..\{7F3F0DEB-DF4F-41A0-B5A2-6D652E6FA062}: NameServer = 85.255.112.25,85.255.112.165
O17 - HKLM\System\CCS\Services\Tcpip\..\{D21EF853-E5F7-40D9-8337-93CCABCC45A5}: NameServer = 85.255.112.25,85.255.112.165
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.25,85.255.112.165
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.25,85.255.112.165
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.25,85.255.112.165
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

--
End of file - 4981 bytes

Was muss ich tun, um die Probleme zu beheben?
Vielen Dank schonmal ...

vinci · 21.05.2009, 05:05

Habe jetzt noch den Kaspersky Online Scan durchgeführt.
Leider konnte ich den Scan-Report nicht speichern, da der Link nicht aktiv war.
Aber der Scan hat folgenden Eintrag gefunden:

globalroot\systemroot\system32\gxvxcqmrxswfwubyoydgaoqivkkwobmqhbqqp.dll || Trojan.Win32.Tdss.acdc || 1

Wir krieg ich das nun runter vom Rechner?

Bitte helft, es ist dringend ...
Danke!

SchakalDN · 21.05.2009, 10:55

Hallo,

ich hab nicht sooo viel Ahnung aber ich hatte auch das Problem bis gestern Abend das ich keine USB Sticks bzw. keine externe Geräte mehr benutzen konnte und das ich keinen direkten Zugriff mehr auf meine Festplatten hatte.

Bei mir kam auch so eine Fehlermeldung.

Ich habe einfach nach Anleitung hier im Forum Combofix benutzt, vorher Hijack. Danach war zumindest dieser Fehler bei mir behoben.

Hoffe es hilft dir ein bisschen.

derDon · 21.05.2009, 11:11

Code:

ATTFilter

O17 - HKLM\System\CCS\Services\Tcpip\..\{749D9C6C-9586-4E0C-ACE8-B169173BB896}: NameServer = 85.255.112.25,85.255.112.165
O17 - HKLM\System\CCS\Services\Tcpip\..\{7F3F0DEB-DF4F-41A0-B5A2-6D652E6FA062}: NameServer = 85.255.112.25,85.255.112.165
O17 - HKLM\System\CCS\Services\Tcpip\..\{D21EF853-E5F7-40D9-8337-93CCABCC45A5}: NameServer = 85.255.112.25,85.255.112.165
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.25,85.255.112.165
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.25,85.255.112.165

Auf jeden fall solltest du Onlinebanking,Ebay, Amazon, etc von diesem System nicht betreiben da dein gesamter Datenverkehr über die Ukraine geht.

Code:

ATTFilter

IP-Adresse [?]:  	 85.255.112.25  Kopieren  [Whois]  [Reverse IP]
Ländercode der IP: 	UA
Land der IP: 	ip address flag Ukraine
Bundesland der IP: 	Odes'ka Oblast'
Stadt der IP: 	Odessa
Breitengrad der IP: 	46.466702
Längengrad der IP: 	30.733299
Provider der IP [?]: 	UkrTeleGroup Ltd.
Organisation: 	UkrTeleGroup Ltd.
Host der IP: [?]: 	85.255.112.25.static.ukrtelegroup.com.ua [Whois] [Trace]
Lokale Zeit in Ukraine: 	2009-05-21 13:04

Wie, oder ob es überhaupt sinnvoll ist zu bereinigen kann ich dir leider nicht sagen. Da musst du den Rat eines Kompetenzlers abwarten.

john.doe · 21.05.2009, 15:58

Hallo und

Falls du noch irgendetwas hast, dass du mit dem Computer verbindest, wie Speicherkarten, USB-Sticks, externe Festplatten, ... dann stecke alles an.

ComboFix

Achtung: Die Anleitung ist veraltet. Den Teil mit der Systemwiederherstellungskonsole nicht ausführen. Die wird bei Internetverbindung automatisch installiert.

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Sollte sich ComboFix nicht starten lassen, dann benenne es um in cofi.exe und versuche es nocheinmal.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas

vinci · 21.05.2009, 16:55

Mein ComboFix-LogFile sieht so aus:

Code:

ATTFilter

ComboFix 09-05-20.A1 - t 21.05.2009 17:45.1 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.2.1252.49.1031.18.991.741 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\t\Desktop\ComboFix.exe
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\autorun.inf
c:\windows\system32\drivers\gxvxcswtnkdsbarwqopykmirvdlyfulqpkete.sys
c:\windows\system32\gxvxccounter
c:\windows\system32\gxvxcqmrxswfwubyoydgaoqivkkwobmqhbqqp.dll
E:\Autorun.inf

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_GXVXCSERV.SYS


(((((((((((((((((((((((   Dateien erstellt von 2009-04-21 bis 2009-05-21  ))))))))))))))))))))))))))))))
.

2009-05-21 15:44 . 2009-05-21 15:47	32	--sha-w	c:\windows\system32\drivers\fidbox2.dat
2009-05-21 15:44 . 2009-05-21 15:47	32	--sha-w	c:\windows\system32\drivers\fidbox.dat
2009-05-21 05:10 . 2009-05-21 05:10	--------	d-----w	c:\windows\system32\Kaspersky Lab
2009-05-21 03:53 . 2009-05-21 03:53	96976	----a-w	c:\windows\system32\drivers\klin.dat
2009-05-21 03:53 . 2009-05-21 03:53	87855	----a-w	c:\windows\system32\drivers\klick.dat
2009-05-21 03:51 . 2009-05-21 05:10	--------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2009-05-21 03:45 . 2009-05-21 03:45	--------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Ka
2009-05-21 03:28 . 2009-05-21 03:28	--------	d-----w	c:\windows\Sun
2009-05-21 03:24 . 2009-05-21 03:24	--------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kas
2009-05-21 02:51 . 2009-05-21 02:51	--------	d-----w	c:\dokumente und einstellungen\t\Anwendungsdaten\Malwarebytes
2009-05-21 02:12 . 2009-04-06 13:32	15504	----a-w	c:\windows\system32\drivers\mbam.sys
2009-05-21 02:12 . 2009-04-06 13:32	38496	----a-w	c:\windows\system32\drivers\mbamswissarmy.sys
2009-05-21 02:12 . 2009-05-21 02:12	--------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-05-21 02:12 . 2009-05-21 02:51	--------	d-----w	c:\programme\Malwarebytes' Anti-Malware
2009-05-21 02:06 . 2009-05-21 02:06	--------	d-----w	c:\programme\CCleaner
2009-05-21 02:01 . 2009-05-21 02:01	--------	d-----w	c:\programme\Kaspersky Lab

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-21 15:47 . 2009-05-21 15:44	32	--sha-w	c:\windows\system32\drivers\fidbox2.idx
2009-05-21 15:47 . 2009-05-21 15:44	32	--sha-w	c:\windows\system32\drivers\fidbox.idx
2009-05-21 01:40 . 2009-05-21 01:40	--------	d-----w	c:\programme\TortoiseSVN
2009-05-21 01:40 . 2009-05-21 01:40	--------	d-----w	c:\programme\Gemeinsame Dateien\TortoiseOverlays
2009-05-21 01:23 . 2009-05-21 01:23	--------	d-----w	c:\programme\SSH Communications Security
2009-05-21 01:23 . 2009-05-21 00:23	--------	d--h--w	c:\programme\InstallShield Installation Information
2009-05-21 01:22 . 2009-05-21 01:22	--------	d-----w	c:\programme\Sun
2009-05-21 01:21 . 2009-05-21 01:21	410984	----a-w	c:\windows\system32\deploytk.dll
2009-05-21 01:21 . 2009-05-21 00:13	--------	d-----w	c:\programme\Java
2009-05-21 01:18 . 2004-08-04 12:00	63976	----a-w	c:\windows\system32\perfc007.dat
2009-05-21 01:18 . 2004-08-04 12:00	391574	----a-w	c:\windows\system32\perfh007.dat
2009-05-21 01:16 . 2009-05-21 01:16	--------	d-----w	c:\programme\Gemeinsame Dateien\Deterministic Networks
2009-05-21 01:16 . 2009-05-21 01:16	--------	d-----w	c:\programme\Cisco Systems
2009-05-21 01:15 . 2009-05-21 01:15	--------	d-----w	c:\programme\UltraVNC
2009-05-21 01:14 . 2009-05-21 01:14	--------	d-----w	c:\programme\TextPad
2009-05-21 01:13 . 2009-05-21 01:13	--------	d-----w	c:\programme\WordToPDF
2009-05-21 01:12 . 2009-05-21 01:12	--------	d-----w	c:\programme\Dia
2009-05-21 01:11 . 2009-05-21 01:11	--------	d-----w	c:\programme\NX Client for Windows
2009-05-21 01:09 . 2009-05-21 01:09	0	----a-w	c:\windows\nsreg.dat
2009-05-21 01:06 . 2009-05-21 01:06	--------	d-----w	c:\programme\gs
2009-05-21 01:04 . 2009-05-21 01:03	--------	d-----w	c:\programme\Hamachi
2009-05-21 01:03 . 2009-05-21 01:03	25280	----a-w	c:\windows\system32\drivers\hamachi.sys
2009-05-21 01:03 . 2009-05-21 01:03	--------	d-----w	c:\programme\Lavalys
2009-05-21 00:53 . 2009-05-21 00:51	--------	d-----w	c:\programme\Ahead
2009-05-21 00:51 . 2009-05-21 00:51	--------	d-----w	c:\programme\Gemeinsame Dateien\Ahead
2009-05-21 00:49 . 2009-05-21 00:49	--------	d-----w	c:\programme\InterVideo
2009-05-21 00:26 . 2009-05-21 00:26	--------	d-----w	c:\programme\Intel
2009-05-21 00:25 . 2009-05-21 00:25	--------	d-----w	c:\programme\GlobespanVirata
2009-05-21 00:25 . 2009-05-21 00:25	--------	d-----w	c:\programme\Synaptics
2009-05-21 00:24 . 2009-05-21 00:24	--------	d-----w	c:\programme\ltmoh
2009-05-21 00:23 . 2009-05-21 00:23	--------	d-----w	c:\programme\Gemeinsame Dateien\InstallShield
2009-05-21 00:14 . 2009-05-21 00:14	--------	d-----w	c:\programme\microsoft frontpage
2009-05-21 00:13 . 2009-05-21 00:13	--------	d-----w	c:\programme\Gemeinsame Dateien\Java
2009-05-21 00:10 . 2004-08-04 12:00	67	--sha-w	c:\windows\Fonts\desktop.ini
2009-05-21 00:10 . 2009-05-21 00:10	76487	----a-w	c:\windows\pchealth\helpctr\OfflineCache\index.dat
2009-05-21 00:09 . 2009-05-21 00:09	--------	d-----w	c:\programme\Online-Dienste
2009-05-21 00:08 . 2009-05-21 00:08	--------	d-----w	c:\programme\Gemeinsame Dateien\Dienste
2009-05-21 00:07 . 2009-05-21 00:07	21740	----a-w	c:\windows\system32\emptyregdb.dat
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\1TortoiseNormal]
@="{C5994560-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994560-53D9-4125-87C9-F193FC689CB2}]
2008-11-02 07:26	80384	----a-w	c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\2TortoiseModified]
@="{C5994561-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994561-53D9-4125-87C9-F193FC689CB2}]
2008-11-02 07:26	80384	----a-w	c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\3TortoiseConflict]
@="{C5994562-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994562-53D9-4125-87C9-F193FC689CB2}]
2008-11-02 07:26	80384	----a-w	c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\4TortoiseLocked]
@="{C5994563-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994563-53D9-4125-87C9-F193FC689CB2}]
2008-11-02 07:26	80384	----a-w	c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\5TortoiseReadOnly]
@="{C5994564-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994564-53D9-4125-87C9-F193FC689CB2}]
2008-11-02 07:26	80384	----a-w	c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\6TortoiseDeleted]
@="{C5994565-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994565-53D9-4125-87C9-F193FC689CB2}]
2008-11-02 07:26	80384	----a-w	c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\7TortoiseAdded]
@="{C5994566-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994566-53D9-4125-87C9-F193FC689CB2}]
2008-11-02 07:26	80384	----a-w	c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\8TortoiseIgnored]
@="{C5994567-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994567-53D9-4125-87C9-F193FC689CB2}]
2008-11-02 07:26	80384	----a-w	c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\9TortoiseUnversioned]
@="{C5994568-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994568-53D9-4125-87C9-F193FC689CB2}]
2008-11-02 07:26	80384	----a-w	c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2004-08-03 1667584]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-05-21 136600]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2004-07-02 155648]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2004-07-02 118784]
"LtMoh"="c:\programme\ltmoh\Ltmoh.exe" [2003-04-29 184320]
"SynTPLpr"="c:\programme\Synaptics\SynTP\SynTPLpr.exe" [2004-07-24 102400]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2004-07-24 684032]
"XPFix"="c:\programme\GlobespanVirata\XPFix.exe" [2004-07-23 217188]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"AVP"="c:\programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe" [2008-11-11 206088]
"SoundMan"="SOUNDMAN.EXE" - c:\windows\SOUNDMAN.EXE [2004-12-22 77824]
"AGRSMMSG"="AGRSMMSG.exe" - c:\windows\AGRSMMSG.exe [2004-02-21 88363]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

c:\dokumente und einstellungen\t\Startmen\Programme\Autostart\
hamachi.lnk - c:\programme\Hamachi\hamachi.exe [2009-5-21 625952]
Microsoft-Indexerstellung.lnk - c:\programme\Microsoft Office\Office\FINDFAST.EXE [1997-1-17 111376]
Office-Start.lnk - c:\programme\Microsoft Office\Office\OSA.EXE [1997-1-17 51984]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
VPN Client.lnk - c:\windows\Installer\{4C271126-C295-4828-A901-5910AE0C258B}\Icon3E5562ED7.ico [2009-5-21 6144]

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Kas\\Kas\\german\\setup.exe"=
"c:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Ka\\Ka2009\\german\\setup.exe"=

R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [29.01.2008 17:29 32784]
R2 vnccom;vnccom;c:\windows\system32\drivers\vnccom.SYS [21.05.2009 03:15 6016]
R3 KLFLTDEV;Kaspersky Lab KLFltDev;c:\windows\system32\drivers\klfltdev.sys [13.03.2008 18:02 26640]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [30.04.2008 17:06 24592]
R3 PRISM_A00;PRISM 802.11 Driver;c:\windows\system32\drivers\PRISMA00.sys [21.05.2009 02:25 393280]
.
.
------- Zusätzlicher Suchlauf -------
.
FF - ProfilePath - c:\dokumente und einstellungen\t\Anwendungsdaten\Mozilla\Firefox\Profiles\yigjq0oo.default\
FF - prefs.js: browser.startup.homepage - www.google.de
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-21 17:48
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(2384)
c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll
c:\programme\TortoiseSVN\bin\TortoiseStub.dll
c:\programme\TortoiseSVN\bin\TortoiseSVN.dll
c:\programme\TortoiseSVN\bin\intl3_tsvn.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\TortoiseSVN\bin\TSVNCache.exe
c:\programme\Cisco Systems\VPN Client\cvpnd.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-05-21 17:50 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2009-05-21 15:50

Vor Suchlauf: 11 Verzeichnis(se), 56.011.272.192 Bytes frei
Nach Suchlauf: 10 Verzeichnis(se), 56.084.611.072 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

198

Muss ich jetzt noch irgendwas weiteres machen?

john.doe · 21.05.2009, 17:07

Zitat:

Muss ich jetzt noch irgendwas weiteres machen?

Das war erst der Anfang, wenn du eine Menge Zeit sparen möchtest, dann geht es hier lang: http://www.trojaner-board.de/51262-a...sicherung.html

Ansonsten:
Systemdetails mit RSIT prüfen

Lade Random's System Information Tool (RSIT) von random/random herunter,
speichere es auf Deinem Desktop.
Starte mit Doppelklick die RSIT.exe.
Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

ciao, andreas

vinci · 21.05.2009, 19:10

Zitat:

Zitat von john.doe

Das war erst der Anfang, wenn du eine Menge Zeit sparen möchtest, dann geht es hier lang: http://www.trojaner-board.de/51262-a...sicherung.html

Hallo Andreas, vielen Dank für deine Hilfe...

Ich bin eigentlich für eine Neuinstallation.
Meine Frage ist nur: Ich habe ja eine Neuinstallation gemacht, nachdem die Probleme aufgetreten sind, aber es hat trotzdem nichts bewirkt bzw. trat das Problem dann wieder auf. Liegt das an meiner externen Festplatte, die ich dann angeschlossen hatte? Kann ich sicher sein, dass die nicht befallen ist?

john.doe · 21.05.2009, 19:19

Der Auslöser für den Befall ist die autorun.inf. ComboFix hat 2 gelöscht:

Zitat:

C:\autorun.inf
E:\Autorun.inf

Sollte deine externe E: sein, dann ist sie jetzt sauber und du läufst keine Gefahr dich erneut zu infizieren.

Aber solltest du noch einen externen Datenträger haben, der, als ComboFix lief, nicht angeschlossen war, dann kann es dir wie ihm hier gehen: http://www.trojaner-board.de/68318-r...-erhalten.html

Dort ist auch alles ausführlich erklärt und Schutzmaßnahmen werden erläutert.

ciao, andreas

vinci · 21.05.2009, 21:02

Zitat:

Zitat von john.doe

Der Auslöser für den Befall ist die autorun.inf. ComboFix hat 2 gelöscht:
Sollte deine externe E: sein, dann ist sie jetzt sauber und du läufst keine Gefahr dich erneut zu infizieren.

Ja, die externe Festplatte ist E:.
Dann mache ich jetzt eine Neuinstallation und formatiere vorher die Partition.
Ich hoffe, damit habe ich dann alles wieder neu und sauber ...

@john.doe: Vielen Dank für deine schnelle, kompetente Hilfe!

john.doe · 21.05.2009, 21:08

Nachdem du neuaufgesetzt hast, schalte entweder die Autoplayfunktion von Windows komplett ab oder halte beim ersten Anschließen die Umschalttaste fest. Dann scanne die externe mit folgenden Scannern:

Sollte nichts gefunden werden => Gut.
Ansonsten poste ein Bericht der Funde.

Du bist entlassen.

ciao, andreas

vinci · 25.05.2009, 10:51

Zitat:

Zitat von john.doe

Sollte nichts gefunden werden => Gut.
Ansonsten poste ein Bericht der Funde.

Ich bins nochmal ...
Leider: Mist, ... hab jetzt 3 Scans durchgeführt auf der externen Festplatte.
Hier die Log-Dateien:

1. Malwarebytes Anti-Malware

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.36
Datenbank Version: 2176
Windows 5.1.2600 Service Pack 2

25.05.2009 02:32:17
mbam-log-2009-05-25 (02-32-17).txt

Scan-Methode: Vollständiger Scan (E:\|)
Durchsuchte Objekte: 137021
Laufzeit: 23 minute(s), 52 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 5

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
E:\System Volume Information\_restore{17930A07-A23E-4ABB-A1BF-06D5710CCEC2}\RP12\A0000125.com (Trojan.DNSChanger) -> Quarantined and deleted successfully.
E:\System Volume Information\_restore{17930A07-A23E-4ABB-A1BF-06D5710CCEC2}\RP12\A0000126.com (Trojan.DNSChanger) -> Quarantined and deleted successfully.
E:\System Volume Information\_restore{17930A07-A23E-4ABB-A1BF-06D5710CCEC2}\RP12\A0000127.com (Trojan.DNSChanger) -> Quarantined and deleted successfully.
E:\System Volume Information\_restore{17930A07-A23E-4ABB-A1BF-06D5710CCEC2}\RP12\A0000128.com (Trojan.DNSChanger) -> Quarantined and deleted successfully.
E:\System Volume Information\_restore{17930A07-A23E-4ABB-A1BF-06D5710CCEC2}\RP12\A0000129.com (Trojan.DNSChanger) -> Quarantined and deleted successfully.

2. SUPERAntiSpyware

Code:

ATTFilter

SUPERAntiSpyware Scann-Protokoll
http://www.superantispyware.com

Generiert 05/25/2009 bei 09:47 AM

Version der Applikation : 4.26.1002

Version der Kern-Datenbank : 3909
Version der Spur-Datenbank : 1853

Scan Art       : kompletter Scann
Totale Scann-Zeit : 00:32:15

Gescannte Speicherelemente  : 443
Erfasste Speicher-Bedrohungen  : 0
Gescannte Register-Elemente  : 3976
Erfasste Register-Bedrohungen  : 0
Gescannte Datei-Elemente     : 58806
Erfasste Datei-Elemente   : 0

3. DrWeb

Code:

ATTFilter

setup.exe/InstallerData/Disk1/InstData/Resource1.zip/$IA_PROJECT_DIR$/Nokia_Connectivity_Framework_1.2.iam.zip/$IA_MERGE_RESOUR;E:\...\setup.exe/InstallerDat;Program.FPort.origin;;
$IA_MERGE_RESOURCES$/Nokia Connectivity Framework 1.2_1105365033021/b71d2db2443c17f09ae385c440743a94/Nokia_Connectivity_Framewo;E:\...\fuer_Installation;Archiv enthält infizierte Objekte;;
$IA_PROJECT_DIR$/Nokia_Connectivity_Framework_1.2.iam.zip;E:\...\fuer_Installation;Archiv enthält infizierte Objekte;;
InstallerData/Disk1/InstData/Resource1.zip;E:\...\fuer_Installation;Archiv enthält infizierte Objekte;;
setup.exe;E:\...\fuer_Installation;Archiv enthält infizierte Objekte;Verschoben.;
setup.exe/InstallerData/Disk1/InstData/Resource1.zip/$IA_PROJECT_DIR$/Nokia_Connectivity_Framework_1.2.iam.zip/$IA_MERGE_RESOUR;E:\...\Nokia_Installation\setup.exe/InstallerData/Disk1/InstData/Resource1.zip/$IA_PROJECT_DIR$/Nokia_Connectiv;Program.FPort.origin;;
$IA_MERGE_RESOURCES$/Nokia Connectivity Framework 1.2_1105365033021/b71d2db2443c17f09ae385c440743a94/Nokia_Connectivity_Framewo;E:\...\Nokia_Installation;Archiv enthält infizierte Objekte;;
$IA_PROJECT_DIR$/Nokia_Connectivity_Framework_1.2.iam.zip;E:\...\Nokia_Installation;Archiv enthält infizierte Objekte;;
InstallerData/Disk1/InstData/Resource1.zip;E:\...\Nokia_Installation;Archiv enthält infizierte Objekte;;
setup.exe;E:\...\Nokia_Installation;Archiv enthält infizierte Objekte;Verschoben.;
UltraVNC-102-Setup.exe\data014;E:\Programme\UltraVNC-102-Setup.exe;Program.RemoteAdmin.37;;
UltraVNC-102-Setup.exe;E:\Programme;Archiv enthält infizierte Objekte;Verschoben.;
A0015875.exe/InstallerData/Disk1/InstData/Resource1.zip/$IA_PROJECT_DIR$/Nokia_Connectivity_Framework_1.2.iam.zip/$IA_MERGE_RES;E:\System Volume Information\_restore{3CFD232B-2ADE-491E-ABE8-118ED58C3F9B}\RP51\A0015875.exe/InstallerData/Disk1/InstData/Reso;Program.FPort.origin;;
$IA_MERGE_RESOURCES$/Nokia Connectivity Framework 1.2_1105365033021/b71d2db2443c17f09ae385c440743a94/Nokia_Connectivity_Framewo;E:\System Volume Information\_restore{3CFD232B-2ADE-491E-ABE8-118ED58C3F9B}\RP51;Archiv enthält infizierte Objekte;;
$IA_PROJECT_DIR$/Nokia_Connectivity_Framework_1.2.iam.zip;E:\System Volume Information\_restore{3CFD232B-2ADE-491E-ABE8-118ED58C3F9B}\RP51;Archiv enthält infizierte Objekte;;
InstallerData/Disk1/InstData/Resource1.zip;E:\System Volume Information\_restore{3CFD232B-2ADE-491E-ABE8-118ED58C3F9B}\RP51;Archiv enthält infizierte Objekte;;
A0015875.exe;E:\System Volume Information\_restore{3CFD232B-2ADE-491E-ABE8-118ED58C3F9B}\RP51;Archiv enthält infizierte Objekte;Verschoben.;
A0002159.exe/InstallerData/Disk1/InstData/Resource1.zip/$IA_PROJECT_DIR$/Nokia_Connectivity_Framework_1.2.iam.zip/$IA_MERGE_RES;E:\System Volume Information\_restore{DDE8D70A-97F9-4716-91AB-102847CF0213}\RP21\A0002159.exe/InstallerData/Disk1/InstData/Reso;Program.FPort.origin;;
$IA_MERGE_RESOURCES$/Nokia Connectivity Framework 1.2_1105365033021/b71d2db2443c17f09ae385c440743a94/Nokia_Connectivity_Framewo;E:\System Volume Information\_restore{DDE8D70A-97F9-4716-91AB-102847CF0213}\RP21;Archiv enthält infizierte Objekte;;
$IA_PROJECT_DIR$/Nokia_Connectivity_Framework_1.2.iam.zip;E:\System Volume Information\_restore{DDE8D70A-97F9-4716-91AB-102847CF0213}\RP21;Archiv enthält infizierte Objekte;;
InstallerData/Disk1/InstData/Resource1.zip;E:\System Volume Information\_restore{DDE8D70A-97F9-4716-91AB-102847CF0213}\RP21;Archiv enthält infizierte Objekte;;
A0002159.exe;E:\System Volume Information\_restore{DDE8D70A-97F9-4716-91AB-102847CF0213}\RP21;Archiv enthält infizierte Objekte;Verschoben.;
A0002160.exe/InstallerData/Disk1/InstData/Resource1.zip/$IA_PROJECT_DIR$/Nokia_Connectivity_Framework_1.2.iam.zip/$IA_MERGE_RES;E:\System Volume Information\_restore{DDE8D70A-97F9-4716-91AB-102847CF0213}\RP21\A0002160.exe/InstallerData/Disk1/InstData/Reso;Program.FPort.origin;;
$IA_MERGE_RESOURCES$/Nokia Connectivity Framework 1.2_1105365033021/b71d2db2443c17f09ae385c440743a94/Nokia_Connectivity_Framewo;E:\System Volume Information\_restore{DDE8D70A-97F9-4716-91AB-102847CF0213}\RP21;Archiv enthält infizierte Objekte;;
$IA_PROJECT_DIR$/Nokia_Connectivity_Framework_1.2.iam.zip;E:\System Volume Information\_restore{DDE8D70A-97F9-4716-91AB-102847CF0213}\RP21;Archiv enthält infizierte Objekte;;
InstallerData/Disk1/InstData/Resource1.zip;E:\System Volume Information\_restore{DDE8D70A-97F9-4716-91AB-102847CF0213}\RP21;Archiv enthält infizierte Objekte;;
A0002160.exe;E:\System Volume Information\_restore{DDE8D70A-97F9-4716-91AB-102847CF0213}\RP21;Archiv enthält infizierte Objekte;Verschoben.;
A0002161.exe\data014;E:\System Volume Information\_restore{DDE8D70A-97F9-4716-91AB-102847CF0213}\RP21\A0002161.exe;Program.RemoteAdmin.37;;
A0002161.exe;E:\System Volume Information\_restore{DDE8D70A-97F9-4716-91AB-102847CF0213}\RP21;Archiv enthält infizierte Objekte;Verschoben.;

Sieht nicht gut aus, oder? Was muss ich tun?

john.doe · 25.05.2009, 16:10

Zitat:

Sieht nicht gut aus, oder?

Nun mache dir mal keine unnötigen Sorgen. DrWeb hat den bösen Nokiavirus

gefunden und das böse Fernsteuerprogramm VLC. Um diese Meldungen muss man sich keine wirklichen Sorgen machen.

Zitat:

Was muss ich tun?

1.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.
Nach Neustart kann sie wieder aktiviert werden.

2.) Kaspersky - Onlinescanner

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Kaspersky Lab: Anti-Virus, Internet Security, Mobile Security & Antiviren-Software und Services für Unternehmen
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen

ciao, andreas

vinci · 26.05.2009, 10:23

Zitat:

Zitat von john.doe

2.) Kaspersky - Onlinescanner

=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
ciao, andreas

Hier mein Kaspersky-Log:

Code:

ATTFilter

-------------------------------------------------------------------------------
 PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
 Dienstag, 26. Mai 2009 03:43:47
 Betriebssystem: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
 Version von Kaspersky Online Scanner: 5.0.98.2
 Letztes Update der Antiviren-Datenbanken: 25/05/2009
 Anzahl der Einträge in den Antiviren-Datenbanken: 2029953
-------------------------------------------------------------------------------

Scan-Einstellungen:
	Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Standard
	Archive untersuchen: ja
	Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Arbeitsplatz:
	C:\
	D:\
	E:\

Untersuchungsergebnisse:
	Untersuchte Objekte insgesamt: 150090
	Viren gefunden: 0
	Infizierte Objekte gefunden: 0
	Verdächtige Objekte gefunden: 0
	Untersuchungszeit: 04:58:22

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\avguard.tmp	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\...\Anwendungsdaten\Mozilla\Firefox\Profiles\pa5xugqj.default\cert8.db	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\...\Anwendungsdaten\Mozilla\Firefox\Profiles\pa5xugqj.default\content-prefs.sqlite	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\...\Anwendungsdaten\Mozilla\Firefox\Profiles\pa5xugqj.default\cookies.sqlite	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\...\Anwendungsdaten\Mozilla\Firefox\Profiles\pa5xugqj.default\downloads.sqlite	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\...\Anwendungsdaten\Mozilla\Firefox\Profiles\pa5xugqj.default\formhistory.sqlite	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\...\Anwendungsdaten\Mozilla\Firefox\Profiles\pa5xugqj.default\key3.db	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\...\Anwendungsdaten\Mozilla\Firefox\Profiles\pa5xugqj.default\parent.lock	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\...\Anwendungsdaten\Mozilla\Firefox\Profiles\pa5xugqj.default\permissions.sqlite	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\...\Anwendungsdaten\Mozilla\Firefox\Profiles\pa5xugqj.default\places.sqlite	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\...\Anwendungsdaten\Mozilla\Firefox\Profiles\pa5xugqj.default\places.sqlite-journal	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\...\Anwendungsdaten\Mozilla\Firefox\Profiles\pa5xugqj.default\search.sqlite	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\...\Cookies\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\...\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\...\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\...\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\pa5xugqj.default\Cache\_CACHE_001_	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\...\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\pa5xugqj.default\Cache\_CACHE_002_	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\...\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\pa5xugqj.default\Cache\_CACHE_003_	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\...\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\pa5xugqj.default\Cache\_CACHE_MAP_	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\...\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\pa5xugqj.default\urlclassifier3.sqlite	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\...\Lokale Einstellungen\Temp\etilqs_8jRNNHTUtG7ZanNzfuZe	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\...\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\...\Lokale Einstellungen\Verlauf\History.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\...\Lokale Einstellungen\Verlauf\History.IE5\MSHist012009052520090526\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\...\NTUSER.DAT	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\...\ntuser.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\...\UserData\index.dat	Das Objekt ist gesperrt	übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\Debug\PASSWD.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\Internet Logs\tvDebug.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\SchedLgU.Txt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\default	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\default.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SAM	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SAM.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SECURITY	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\software	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\software.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\system	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\system.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\h323log.txt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\Temp\Perflib_Perfdata_ec.dat	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\WindowsUpdate.log	Das Objekt ist gesperrt	übersprungen
E:\System Volume Information\MountPointManagerRemoteDatabase	Das Objekt ist gesperrt	übersprungen

Die Untersuchung wurde abgeschlossen.

Bin ich den Mist nun endgültig los?

john.doe · 26.05.2009, 15:49

Zitat:

Bin ich den Mist nun endgültig los?

Das sieht schon nicht schlecht aus, aber einen noch, dann hast du es hinter dir.

Prevx

Deaktiviere die Wächter aller anderen AntiViren Produkte!
Downloade dir Prevx und installiere das Programm wie vorgeschlagen.
Der Computer wird dabei überprüft. Sollte der Trojaner gefunden werden so folge bitte den vorgeschlagenen Desinfektions Methoden.
Nachdem der Scan beendet ist und die Bereinigung abgeschlossen wähle im Hauptfenster die Tools Sektion aus und klicke danach Save the last Scan an. Wähle als Speicherort den Desktop und gib der Datei den Namen: "Scan bei Installation"
Nachdem die Installation abgeschlossen ist wechsel im Hauptfenster des Programms in die Settings Sektion. Dort findest du die Heuristic Settings Sektion.
Dort schiebe bitte den obersten Regler Advanced Heuristics Settings ganz nach rechts auf Maximum!
Klicke danach den blauen Button Save Changes um die Änderungen zu speichern.
Starte den Rechner neu.
Nach dem Neustart wechsel aus dem Hauptfenster wieder in die Tools Sektion und wähle dort Advanced Scan -> Deep Scan -> Scan now aus.
Nachdem der deep Scan beendet ist und die Bereinigung abgeschlossen wähle im Hauptfenster die Tools Sektion aus und klicke danach Save the last Scan an. Wähle als Speicherort den Desktop und gib der Datei den Namen: "depp Scan".
Beide auf dem Desktop gespeicherten logs lade bitte bei rapidshare hoch und poste die Downloadlinks in deinem nächsten Beitrag!
Anleitung von undoreal

ciao, andreas

Kann nicht auf C: und nicht auf ext. Platte zugreifen -> RECYCLER\[...].com fehlt

Plagegeister aller Art und deren Bekämpfung: Kann nicht auf C: und nicht auf ext. Platte zugreifen -> RECYCLER\[...].com fehlt