Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
RECYCLER\S-***.com" konnte auch nicht gefunden werden.

RECYCLER\S-***.com" konnte auch nicht gefunden werden.


Log-Analyse und Auswertung: RECYCLER\S-***.com" konnte auch nicht gefunden werden.

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 05.07.2009, 14:41   #1
Lamion
 
RECYCLER\S-***.com" konnte auch nicht gefunden werden. - Standard

RECYCLER\S-***.com" konnte auch nicht gefunden werden.


Hallo liebes Forum!

Erstmal finde ich super, dass einige hier so ausführlich und hilfreich die Lösungen der Probleme beschreiben.
Vielleicht kann mir auch jemand helfen. Das Problem wurde hier schon oft behandelt, und ich habe festgestellt, dass die Lösungen fast immer individuell sind. Mein Problem ist folgendermaßen entstanden:

1. Computer wurde durch Stick angesteckt.
2. Während ich im Internet surfte, öffneten sich ab und zu "internet explorer" Fenster mit Werbung, obwohl ich mit "morzilla" unterwegs war. Nach Deinstallation von "internet explorer", schaffte der fiese-miese Trojaner doch noch die ie-fenster aufzumachen
3. Der Browser hat sich manchmal selbst geschlossen
4. Wenn man in der google suche etwas gesucht hat, ist man ab und zu auf irgendwelchen anderen seiten gelandet.
5. Ich dachte mit dem "antivir" war ich bestens geschützt. Dieser hat nichts gemeldet. Nach der Überprüfung mit dem "Spyware Terminator" hat sich herrausgestellt, dass viele Dateien von einem "backdoor trojaner" verseucht waren.
6. In diesem Forum (Danke!) habe ich dann gelesen, wie ich meinen "RECYCLER" und regestry bereinigen kann.

7. Nach der Bereinigung gibt es laut "Spyware Terminator" keine Viren mehr, doch das Problem aus dem Punkt 4 besteht immer noch. (Morzilla ist natürlich neu installiert)
8. Meine Festplatten lassen sich nur durch explorer öffnen. Beim Doppelklick erscheint eben die Meldung "RECYCLER\S-***.com" konnte nicht gefunden werden..."
9. "HiJackThis" lässt sich leider nicht öffnen. Und ich würde so gern meinen Log hier posten.


Ich hoffe jemand kann damit was anfangen und mir helfen? Ich suche die Lösungen für die Punkte 7-9.

Alt 05.07.2009, 15:16   #2
Lamion
 
RECYCLER\S-***.com" konnte auch nicht gefunden werden. - Standard

RECYCLER\S-***.com" konnte auch nicht gefunden werden.


Auf die Antwort für Punkt 9 bin ich durch recherchen auch gekommen. Das ist ja wirklich rafiniert!!! Einige Trojaner sind darauf programmiert Hijack ausfindig zu machen und zu stoppen!

Erst nachdem ich die datei an einen anderen Ort kopiert und umbenannt habe, ließ sie sich starten. Hier ist mein Log:

--------------------------------------------------------------------------
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:04:29, on 05.07.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
F:\1. PROGRAMME\iTunes\iTunesHelper.exe
F:\Programme\Seagate\SeagateManager\FreeAgent Status\StxMenuMgr.exe
F:\1. PROGRAMME\Xampp\apache\bin\apache.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
F:\3. FONTS\Suitcase\Suitcase.exe
C:\Programme\Bonjour\mDNSResponder.exe
F:\Programme\Seagate\SeagateManager\Sync\FreeAgentService.exe
C:\Dokumente und Einstellungen\Ich\Lokale Einstellungen\Anwendungsdaten\Google\Update\1.2.183.7\GoogleCrashHandler.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
F:\2. GRAFIKPROGRAMME\Maya 7\docs\wrapper.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
F:\1. PROGRAMME\Xampp\mysql\bin\mysqld-nt.exe
F:\2. GRAFIKPROGRAMME\Maya 7\docs\jre\bin\java.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\ShuttleEngine.exe
C:\Programme\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\system32\svchost.exe
F:\1. PROGRAMME\Xampp\apache\bin\apache.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Mozilla Firefox\firefox.exe
F:\1. PROGRAMME\MS Office Professional 2003\OFFICE11\OUTLOOK.EXE
F:\1. PROGRAMME\MS Office Professional 2003\OFFICE11\WINWORD.EXE
C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe
C:\Programme\Spyware Terminator\SpywareTerminator.exe
C:\Dokumente und Einstellungen\Ich\Desktop\dghjkk.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://alice.aol.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://de.search.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://de.search.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://alice.aol.de
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://de.search.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://go.microsoft.com/fwlink/?LinkId=54843
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\Programme\Crawler\ctbr.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: &Crawler Toolbar - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\Programme\Crawler\ctbr.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "F:\2. GRAFIKPROGRAMME\Adobe\Acrobat 8\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "F:\1. PROGRAMME\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "F:\1. PROGRAMME\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [MaxMenuMgr] "F:\Programme\Seagate\SeagateManager\FreeAgent Status\StxMenuMgr.exe"
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "F:\1. PROGRAMME\\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Google Update] "C:\Dokumente und Einstellungen\Ich\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" /c
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Suitcase Startup.lnk = ?
O8 - Extra context menu item: Crawler Search - tbr:iemenu
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\189D5~1.PRO\MSOFFI~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: TOPTIP Web Editor - {2A465936-E5F0-11D2-91B5-00104B9C4765} - F:\1. PROGRAMME\toptip_setup\toptip.exe (file missing)
O9 - Extra 'Tools' menuitem: TOPTIP Web Editor - {2A465936-E5F0-11D2-91B5-00104B9C4765} - F:\1. PROGRAMME\toptip_setup\toptip.exe (file missing)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\189D5~1.PRO\MSOFFI~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - G:\Games\PartyPoker\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - G:\Games\PartyPoker\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - F:\1. PROGRAMME\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - F:\1. PROGRAMME\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://img.web.de/v/mail/activex/mail_upload_1126.cab
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab
O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://a532.g.akamai.net/f/532/6712/1d/player.virtools.com/downloads/player/Install2.1/Installer.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{25E41A63-4BAA-498D-9174-E437E5C93218}: NameServer = 85.255.112.94,85.255.112.147
O17 - HKLM\System\CCS\Services\Tcpip\..\{77CC9805-A136-4FDC-B898-5A18941176A0}: NameServer = 213.209.104.250 213.209.104.220
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.94,85.255.112.147
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.94,85.255.112.147
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.94,85.255.112.147
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\Programme\Crawler\ctbr.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Unknown owner - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apache2.2 - Apache Software Foundation - F:\1. PROGRAMME\Xampp\apache\bin\apache.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour Service - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Seagate Service (FreeAgentGoNext Service) - Seagate Technology LLC - F:\Programme\Seagate\SeagateManager\Sync\FreeAgentService.exe
O23 - Service: Gene6 FTP Server (G6FTPServer) - Gene6 - F:\1. PROGRAMME\Gene6 FTP Server\G6FTPSERVER.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\Logitech\SrvLnch\SrvLnch.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Maya 7.0 Documentation Server (maya70docserver) - Unknown owner - F:\2. GRAFIKPROGRAMME\Maya 7\docs\wrapper.exe
O23 - Service: mysql - Unknown owner - F:\1. PROGRAMME\Xampp\mysql\bin\mysqld-nt.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Professional 2005.SR1\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Professional 2005.SR1\RpcSandraSrv.exe
O23 - Service: Contour Shuttle Device Engine (ShuttleEngine) - Unknown owner - C:\WINDOWS\system32\ShuttleEngine.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programme\Spyware Terminator\sp_rsser.exe
O23 - Service: XAMPP Service (XAMPP) - Unknown owner - F:\1. PROGRAMME\Xampp\service.exe

--
End of file - 11092 bytes
--------------------------------------------------------------------------
__________________
Alt 05.07.2009, 22:25   #3
Swisstreasure
/// Malwareteam
 
RECYCLER\S-***.com" konnte auch nicht gefunden werden. - Standard

RECYCLER\S-***.com" konnte auch nicht gefunden werden.


Tja, raffiniert sind sie...

Dein Internet wird in die Ukraine umgeleitet:
Code:
ATTFilter
85.255.112.94
org-name: UkrTeleGroup Ltd.
address: UkrTeleGroup Ltd.
address: Mechnikova 58/5 65029 Odessa
1. Virustotal:
Lass mal folgende Datei bei www.virustotal.com/de prüfen und poste das Ergebnis:

C:\Dokumente und Einstellungen\Ich\Desktop\dghjkk.exe

Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> hier kopieren


2. Fixen bei HiJackThis:

Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Einträgen bei: (falls diese noch vorhanden sind)

Code:
ATTFilter
O9 - Extra button: TOPTIP Web Editor - {2A465936-E5F0-11D2-91B5-00104B9C4765} - F:\1. PROGRAMME\toptip_setup\toptip.exe (file missing)

O9 - Extra 'Tools' menuitem: TOPTIP Web Editor - {2A465936-E5F0-11D2-91B5-00104B9C4765} - F:\1. PROGRAMME\toptip_setup\toptip.exe (file missing)

O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - G:\Games\PartyPoker\PartyPoker\RunApp.exe (file missing)

O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - G:\Games\PartyPoker\PartyPoker\RunApp.exe (file missing)

O17 - HKLM\System\CCS\Services\Tcpip\..\{25E41A63-4BAA-498D-9174-E437E5C93218}: NameServer = 85.255.112.94,85.255.112.147

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.94,85.255.112.147

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.94,85.255.112.147

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.94,85.255.112.147

und wähle fix checked.

Starte den Rechner neu.


3. Fixwareout
Download Fixwareout auf den Desktop
Doppelklick Fixwareout.exe um es zu starten
Klicke Next und dan auf Install, achte darauf das Run fixit angehaakt ist und klick Finish.
Der Fix faengt an und folge die Instruktion im Fenster
Wenn gefragt wird dein Rechner neu zu starten,starte neu
Dein Rechner startet jetzt langsamer das ist normal
Poste den Inhalt von C:\fixwareout\report.txt (report.txt).


4. Malwarebytes Anti-Malware
Scanne mit Malwarebytes, lass das gefundene löschen und poste das Log:
(Vor der Anwendung Update nicht vergessen)

5. Combofix
Wende Combofix an und poste das Log:

6. Nun sofort alle Passwörter wechseln vorallem bei Ebanking danach poste ein neues HJT Log.


Gruss Swiss
__________________
Alt 07.07.2009, 07:03   #4
Lamion
 
RECYCLER\S-***.com" konnte auch nicht gefunden werden. - Standard

RECYCLER\S-***.com" konnte auch nicht gefunden werden.


Das war vielleicht ein Stück Arbeit! So einen fiesen Virus habe ich noch nie entfernt

Hier sind die Schritte von Swiss:


1. Die Datei "C:\Dokumente und Einstellungen\Ich\Desktop\dghjkk.exe" ist der umbenannte Hijacker

2. Habe ich durchgeführt

3. Fixwareout-log:
Code:
ATTFilter
Username "Ich" - 06.07.2009 20:54:39 [Fixwareout edited 9/01/2007]

~~~~~ Prerun check

Der DNS-Auflösungscache wurde geleert.
System was rebooted successfully. 
 
~~~~~ Postrun check 
HKLM\SOFTWARE\~\Winlogon\ "System"="" 
....
....
~~~~~ Misc files. 
....
~~~~~ Checking for older varients.
....

~~~~~ Current runs (hklm hkcu "run" Keys Only)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"WheelMouse"="C:\\PROGRA~1\\A4Tech\\Mouse\\Amoumain.exe"
"Adobe Reader Speed Launcher"="\"F:\\2. GRAFIKPROGRAMME\\Adobe\\Acrobat 8\\Reader\\Reader_sl.exe\""
"QuickTime Task"="\"F:\\1. PROGRAMME\\QuickTime\\qttask.exe\" -atboottime"
"iTunesHelper"="\"F:\\1. PROGRAMME\\iTunes\\iTunesHelper.exe\""
"MaxMenuMgr"="\"F:\\Programme\\Seagate\\SeagateManager\\FreeAgent Status\\StxMenuMgr.exe\""
"SpywareTerminator"="\"C:\\Programme\\Spyware Terminator\\SpywareTerminatorShield.exe\""

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"
"Skype"="\"F:\\1. PROGRAMME\\Phone\\Skype.exe\" /nosplash /minimized"
"Google Update"="\"C:\\Dokumente und Einstellungen\\Ich\\Lokale Einstellungen\\Anwendungsdaten\\Google\\Update\\GoogleUpdate.exe\" /c"
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\AdobeUpdater]
....
Hosts file was reset, If you use a custom hosts file please replace it...
~~~~~ End report ~~~~~
4. Malwarebytes Anti-Malware lies sich zwar installieren aber nicht starten. Das war wieder ein Indiz dafür, dass der Virus anwesend ist. Erst nachdem ich den Installationsordner und den installierten Malwarebytes umbenannt habe, funktionierte es. Acht bösartige Einträge wurden gefunden. Bei den Namen "Trojan.DNSChanger" oder "Disabled.SecurityCenter" wird mir kotzübel Hier ist der Log:
Code:
ATTFilter
Malwarebytes' Anti-Malware 1.38
Datenbank Version: 2382
Windows 5.1.2600 Service Pack 2

06.07.2009 23:32:48
mbam-log-2009-07-06 (23-32-48).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|)
Durchsuchte Objekte: 486385
Laufzeit: 1 hour(s), 1 minute(s), 20 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\gxvxc (Rootkit.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\WINDOWS\Tasks\{5B57CF47-0BFA-43c6-ACF9-3B3653DCADBA}.job (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\gxvxccounter (Trojan.DNSChanger) -> Quarantined and deleted successfully.
C:\Programme\ICQToolbar\toolbaru.dll (Adware.BHO) -> Quarantined and deleted successfully.
Fortsetzung...

Alt 07.07.2009, 07:05   #5
Lamion
 
RECYCLER\S-***.com" konnte auch nicht gefunden werden. - Standard

RECYCLER\S-***.com" konnte auch nicht gefunden werden.


5. Anschließend wurden die Ausgangsprobleme mit dem Combofix gelöst! Hier ist der Log:

Code:
ATTFilter
ComboFix 09-07-06.02 - Ich 07.07.2009  0:23.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.49.1031.18.1023.688 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Ich\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {00000000-0000-0000-0000-000000000000}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {8070F0B3-FFA4-00DA-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {8070F0B3-FFA4-00DD-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {8070F0B3-FFA4-00EB-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {8070F0B3-FFA4-00EE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {8070F0B3-FFA4-00FC-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {8070F0B3-FFA4-010D-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {BADB0D00-FFA4-00EB-0D24-347CA8A3377C}
FW: Norton Internet Worm Protection *disabled* {990F9400-4CEE-43EA-A83A-D013ADD8EA6E}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Autorun.inf
c:\dokume~1\Ich\LOKALE~1\Temp\tmp2.tmp
c:\windows\Installer\WMEncoder.msi
c:\windows\system32\drivers\gxvxcbbakltlemxfubqkivamrfhqlrsvppxew.sys
c:\windows\system32\drivers\gxvxcgmcomqsnlmdxuhyejdtkawykxjbebpul.sys
c:\windows\system32\drivers\gxvxcgxvjlkawyjepvaqlmsnqdwmnmojpxlph.sys
c:\windows\system32\drivers\gxvxcoqvscdbowflnbwjxpbwwyllrqmqfvkav.sys
c:\windows\system32\drivers\gxvxcrmybwqvophwevdokdktaxvbdvbrfmmep.sys
c:\windows\system32\drivers\gxvxctxtqpehkvrwjcvmknclfjnaltxumwspn.sys
c:\windows\system32\drivers\gxvxcurlntaosvsgvuvjmuxntlpwacyhvwwwm.sys
c:\windows\system32\drivers\gxvxcwvbquxeuvmhxidmelcbfirjjfuwntubv.sys
c:\windows\system32\drivers\gxvxcxkqaqukvacryairalwklpjlnufsksmcp.sys
c:\windows\system32\drivers\gxvxcxsntjlalwnrncjnydiejgdlkxppunhlx.sys
c:\windows\system32\drivers\MSIVXserv.sys
c:\windows\system32\gxvxccjrkrdqjudntakqfrkfjdveobebnvudt.dll
c:\windows\system32\gxvxccounter
c:\windows\system32\gxvxcjobvitexmilxtlhfsfcruyoyhxfjdtpo.dll
D:\Autorun.inf
F:\Autorun.inf
G:\Autorun.inf

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_gxvxcserv.sys


(((((((((((((((((((((((   Dateien erstellt von 2009-06-06 bis 2009-07-06  ))))))))))))))))))))))))))))))
.

2009-07-06 20:13 . 2009-07-06 20:13	--------	d-----w-	c:\dokumente und einstellungen\Ich\Anwendungsdaten\Malwarebytes
2009-07-06 20:12 . 2009-06-17 09:27	38160	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2009-07-06 20:12 . 2009-07-06 21:32	--------	d-----w-	C:\schutzi
2009-07-06 20:12 . 2009-07-06 20:12	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-07-06 20:12 . 2009-06-17 09:27	19096	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-07-06 18:53 . 2009-07-06 18:58	--------	d-----w-	C:\fixwareout
2009-07-03 22:15 . 2009-07-03 22:16	--------	d-----w-	c:\programme\Crawler
2009-06-07 16:49 . 2009-07-05 09:50	--------	d-----w-	c:\programme\WinClamAVShield
2009-06-07 16:13 . 2009-06-07 16:13	6144	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spyware Terminator\sp_rsdel.exe
2009-06-07 16:13 . 2009-06-07 16:13	5632	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spyware Terminator\fileobjinfo.sys
2009-06-07 16:13 . 2009-06-07 16:13	142592	----a-w-	c:\windows\system32\drivers\sp_rsdrv2.sys
2009-06-07 16:13 . 2009-07-06 20:06	--------	d-----w-	c:\dokumente und einstellungen\Ich\Anwendungsdaten\Spyware Terminator
2009-06-07 16:13 . 2009-07-06 19:31	--------	d-----w-	c:\programme\Spyware Terminator
2009-06-07 16:13 . 2009-07-05 11:33	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spyware Terminator
2009-06-07 08:52 . 2009-06-07 08:52	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\STOPzilla!

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-07-06 22:09 . 2006-06-17 12:13	--------	d-----w-	c:\dokumente und einstellungen\Ich\Anwendungsdaten\Skype
2009-07-06 22:09 . 2009-03-21 19:33	--------	d-----w-	c:\dokumente und einstellungen\Ich\Anwendungsdaten\skypePM
2009-07-03 13:47 . 2007-07-24 11:09	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\FLEXnet
2009-06-15 07:13 . 2008-08-26 08:18	--------	d-----w-	c:\programme\ICQToolbar
2009-06-06 22:03 . 2006-05-10 09:18	--------	d-----w-	c:\dokumente und einstellungen\Ich\Anwendungsdaten\Azureus
2009-05-25 23:54 . 2009-05-25 23:54	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Azureus
2009-05-25 23:54 . 2009-05-25 23:54	--------	d-----w-	c:\programme\Vuze
2009-05-22 11:33 . 2001-08-23 12:00	80760	----a-w-	c:\windows\system32\perfc007.dat
2009-05-22 11:33 . 2001-08-23 12:00	451864	----a-w-	c:\windows\system32\perfh007.dat
2009-05-21 16:04 . 2009-05-21 16:04	--------	d-----w-	c:\dokumente und einstellungen\LocalService\Anwendungsdaten\ICQ Toolbar
2009-05-21 15:43 . 2009-05-21 15:43	--------	d-----w-	c:\programme\Gemeinsame Dateien\EZB Systems
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-03 15360]
"Skype"="f:\1. programme\Phone\Skype.exe" [2009-04-16 24264488]
"Google Update"="c:\dokumente und einstellungen\Ich\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" [2008-09-03 133104]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2004-10-29 4620288]
"WheelMouse"="c:\progra~1\A4Tech\Mouse\Amoumain.exe" [2003-10-23 188416]
"Adobe Reader Speed Launcher"="f:\2. grafikprogramme\Adobe\Acrobat 8\Reader\Reader_sl.exe" [2007-05-11 40048]
"QuickTime Task"="f:\1. programme\QuickTime\qttask.exe" [2008-03-28 413696]
"iTunesHelper"="f:\1. programme\iTunes\iTunesHelper.exe" [2008-03-30 267048]
"MaxMenuMgr"="f:\programme\Seagate\SeagateManager\FreeAgent Status\StxMenuMgr.exe" [2008-10-28 181544]
"SpywareTerminator"="c:\programme\Spyware Terminator\SpywareTerminatorShield.exe" [2009-06-07 2176000]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2004-10-29 921600]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Suitcase Startup.lnk - f:\3. fonts\Suitcase\Suitcase.exe [2006-3-17 1613824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoStrCmpLogical"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"GreyMSIAds"= 1 (0x1)
"NoExpandedNewMenu"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" /background
"G6FTP Server Tray Monitor"="f:\1. programme\Gene6 FTP Server\G6FTPTray.exe"
"PcSync"=f:\1. programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
"CTFMON.EXE"=c:\windows\system32\ctfmon.exe
"GMX SMS-Manager"=f:\1. programme\GMX SMS-Manager\SMSMngr.exe
"Yahoo! Pager"="c:\programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet
"Skype"="f:\1. programme\Phone\Skype.exe" /nosplash /minimized

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"WinampAgent"=f:\1. programme\Winamp\winampa.exe
"RemoteControl"="f:\1. programme\PoweDVD\PDVDServ.exe"
"NeroFilterCheck"=c:\windows\system32\NeroCheck.exe
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_01\bin\jusched.exe"
"BluetoothAuthenticationAgent"=rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
"NvMediaCenter"=RUNDLL32.EXE c:\windows\system32\NvMcTray.dll,NvTaskbarInit
"SoundMan"=SOUNDMAN.EXE
"Winamp Agent"=f:\1. programme\Winamp\winampa.exe
"PCSuiteTrayApplication"=f:\1. programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
"DataLayer"=c:\programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
"LogitechCommunicationsManager"="c:\programme\Gemeinsame Dateien\Logitech\LComMgr\Communications_Helper.exe"
"PWRISOVM.EXE"=f:\1. programme\PowerISO\PWRISOVM.EXE
"LogitechQuickCamRibbon"="c:\programme\Logitech\QuickCam10\QuickCam10.exe" /hide
"LVCOMSX"="c:\programme\Gemeinsame Dateien\Logitech\LComMgr\LVComSX.exe"
"Contour Shuttle Device Helper"=c:\programme\Contour Shuttle\ShuttleHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"DisableUnicastResponsesToMulticastBroadcast"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Yahoo!\\Messenger\\YServer.exe"=
"f:\\1. PROGRAMME\\Emule\\emule.exe"=
"f:\\2. GRAFIKPROGRAMME\\Maya 7\\bin\\maya.exe"=
"f:\\1. PROGRAMME\\VoipBuster\\VoipBuster.exe"=
"f:\\2. GRAFIKPROGRAMME\\Poser\\Poser.exe"=
"f:\\1. PROGRAMME\\Trillian\\trillian.exe"=
"c:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"c:\\Programme\\MSN Messenger\\msncall.exe"=
"f:\\1. PROGRAMME\\Xampp\\apache\\bin\\apache.exe"=
"c:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"c:\\Programme\\IDM Computer Solutions\\UltraEdit-32\\uedit32.exe"=
"f:\\1. PROGRAMME\\ICQ6\\ICQ.exe"=
"f:\\2. GRAFIKPROGRAMME\\RenderPal2004\\RenderPal.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"f:\\1. PROGRAMME\\iTunes\\iTunes.exe"=
"c:\\Programme\\Vuze\\Azureus.exe"=
"g:\\Games\\UT2004\\System\\UT2004.exe"=
"f:\\1. PROGRAMME\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"21:TCP"= 21:TCP:FTP
"2799:UDP"= 2799:UDP:Altova License Metering Port (UDP)
"2799:TCP"= 2799:TCP:Altova License Metering Port (TCP)

R0 hotcore;hotcore;c:\windows\system32\drivers\hotcore.sys [13.03.2006 14:10 18208]
R1 sp_rsdrv2;Spyware Terminator Driver 2;c:\windows\system32\drivers\sp_rsdrv2.sys [07.06.2009 18:13 142592]
R2 Apache2.2;Apache2.2;f:\1. programme\Xampp\apache\bin\apache.exe [05.03.2007 12:23 16896]
R2 FreeAgentGoNext Service;Seagate Service;f:\programme\Seagate\SeagateManager\Sync\FreeAgentService.exe [28.10.2008 17:42 156968]
R3 Amps2prt;A4Tech PS/2 Port Mouse Driver;c:\windows\system32\drivers\Amps2prt.sys [26.08.2003 11:37 9728]
S2 XAMPP;XAMPP Service;f:\1. programme\Xampp\service.exe [23.10.2006 16:24 60928]
S3 ASPI;Advanced SCSI Programming Interface Driver;c:\windows\system32\drivers\ASPI32.SYS [17.03.2008 08:50 16512]
S3 G6FTPServer;Gene6 FTP Server;f:\1. programme\Gene6 FTP Server\G6FTPServer.exe [04.05.2006 15:07 816640]
S3 PDNMp50;PDNMp50 NDIS Protocol Driver;c:\windows\system32\drivers\PDNMp50.sys [28.11.2006 22:46 28224]
S3 PDNSp50;PDNSp50 NDIS Protocol Driver;c:\windows\system32\drivers\PDNSp50.sys [28.11.2006 22:46 27072]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners

2009-07-03 c:\windows\Tasks\1-Click Maintenance.job
- f:\1. programme\TuneUp\SystemOptimizer.exe [2006-12-19 15:53]

2009-02-18 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2007-07-25 12:57]

2009-07-06 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-350281380-233495102-1455855570-1003Core.job
- c:\dokumente und einstellungen\Ich\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2008-09-03 13:34]

2009-07-06 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-350281380-233495102-1455855570-1003UA.job
- c:\dokumente und einstellungen\Ich\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2008-09-03 13:34]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
mStart Page = hxxp://alice.aol.de
uSearchURL,(Default) = hxxp://de.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://de.search.yahoo.com
IE: Crawler Search - tbr:iemenu
IE: Nach Microsoft &Excel exportieren - f:\189d5~1.pro\MSOFFI~1\OFFICE11\EXCEL.EXE/3000
Handler: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - c:\programme\Crawler\ctbr.dll
DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} - hxxps://img.web.de/v/mail/activex/mail_upload_1126.cab
FF - ProfilePath - c:\dokumente und einstellungen\Ich\Anwendungsdaten\Mozilla\Firefox\Profiles\vyq3rvll.default\
FF - prefs.js: browser.startup.homepage - 
FF - plugin: c:\dokumente und einstellungen\Ich\Lokale Einstellungen\Anwendungsdaten\Google\Update\1.2.183.7\npGoogleOneClick8.dll
FF - plugin: c:\progra~1\Yahoo!\Common\npyaxmpb.dll
FF - plugin: c:\programme\Microsoft Silverlight\npctrl.1.0.20816.0.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npqtplugin8.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npvirtools.dll
FF - plugin: f:\1. programme\DivX 6.5\DivX\DivX Content Uploader\npUpload.dll
FF - plugin: f:\1. programme\DivX 6.5\DivX\DivX Player\npDivxPlayerPlugin.dll
FF - plugin: f:\1. programme\DivX 6.5\DivX\DivX Web Player\npdivx32.dll
FF - plugin: f:\1. programme\iTunes\Mozilla Plugins\npitunes.dll
FF - plugin: f:\1. programme\QuickTime\Plugins\npqtplugin.dll
FF - plugin: f:\1. programme\QuickTime\Plugins\npqtplugin2.dll
FF - plugin: f:\1. programme\QuickTime\Plugins\npqtplugin3.dll
FF - plugin: f:\1. programme\QuickTime\Plugins\npqtplugin4.dll
FF - plugin: f:\1. programme\QuickTime\Plugins\npqtplugin5.dll
FF - plugin: f:\1. programme\QuickTime\Plugins\npqtplugin6.dll
FF - plugin: f:\1. programme\QuickTime\Plugins\npqtplugin7.dll
FF - plugin: f:\1. programme\QuickTime\Plugins\npqtplugin8.dll
FF - plugin: f:\2. grafikprogramme\Adobe\Acrobat 8\Reader\browser\nppdf32.dll
FF - HiddenExtension: Java Console: No Registry Reference - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA}

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.enforce_same_site_origin", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.cache_size", 51200);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.ogg.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.wave.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.autoplay.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.urlbar.autocomplete.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("capability.policy.mailnews.*.wholeText", "noAccess");
c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.storage.default_quota",      5120);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("content.sink.event_probe_rate", 3);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.http.prompt-temp-redirect", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("layout.css.dpi", -1);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("layout.css.devPixelsPerPx", -1);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("gestures.enable_single_finger_input", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.max_chrome_script_run_time", 0);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.tcp.sendbuffer", 131072);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("geo.enabled", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.remember_cert_checkbox_default_setting", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr", "moz35");
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-cjkt", "moz35");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.blocklist.level", 2);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.restrict.typed", "~");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.default.behavior", 0);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.history",     true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.formdata",    true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.passwords",   false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.downloads",   true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cookies",     true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cache",       true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.sessions",    true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.offlineApps", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.siteSettings", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.history",                 true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.formdata",                true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.passwords",               false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.downloads",               true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cookies",                 true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cache",                   true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.sessions",                true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.offlineApps",             false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.siteSettings",            false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.sanitize.migrateFx3Prefs",    false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.ssl_override_behavior", 2);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("security.alternate_certificate_error_page", "certerror");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.autostart", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.dont_prompt_on_enter", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("geo.wifi.uri", "https://www.google.com/loc/json");
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-07-07 00:27
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{BEB3C0C7-B648-4257-96D9-B5D024816E27}\Version*Version]
"Version"=hex:31,35,ee,95,b6,95,f9,4b,8f,9c,ea,a4,b7,8a,7c,a0,c5,66,7d,da,57,
   1c,9f,5d,81,62,71,6b,26,bb,97,48,c1,88,b5,bf,7b,d8,c6,c1,df,ca,04,5f,ca,59,\

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\•€|ÿÿÿÿ"•€|ù•Ñw*]
"5E7CEC10DF0760D4F8DAFB12FDC06CCD"="02:\\Software\\Adobe\\FeatureSubscriptions\\DVAAdobeDocMeta\\{01CEC7E5-70FD-4D06-8FAD-BF21DF0CC6DC}\\Registered"
"91A14B995DF7C0B42ABAA16065968F3A"="f:\\2. GRAFIKPROGRAMME\\Maya 7\\presets\\Ashli\\"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\•€|ÿÿÿÿ"•€|þ»Ñw*]
"91A14B995DF7C0B42ABAA16065968F3A"="d:\\vorrübergehend\\Maya\\presets\\Ashli\\"

[HKEY_LOCAL_MACHINE\software\Minnetonka Audio Software\SurCode Dolby Digital Premiere\Version*Version]
"Version"=hex:31,35,ee,95,b6,95,f9,4b,8f,9c,ea,a4,b7,8a,7c,a0,c5,66,7d,da,57,
   1c,9f,5d,81,62,71,6b,26,bb,97,48,c1,88,b5,bf,7b,d8,c6,c1,df,ca,04,5f,ca,59,\
.
Zeit der Fertigstellung: 2009-07-06  0:30
ComboFix-quarantined-files.txt  2009-07-06 22:29

Vor Suchlauf: 5.110.943.744 Bytes frei
Nach Suchlauf: 5.094.694.912 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect /TUTag=STSZUA /Kernel=TUKernel.exe
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional (TuneUp Backup)" /noexecute=optin /fastdetect /TUTag=STSZUA-BAK

289	--- E O F ---	2007-10-16 18:28
an dieser Stelle RIESEN RIESEN DANK an swiss du hast mich aus dem wald geführt

die nummer sechst folgt... danach werde ich noch meinen log posten


Alt 07.07.2009, 07:14   #6
Swisstreasure
/// Malwareteam
 
RECYCLER\S-***.com" konnte auch nicht gefunden werden. - Standard

RECYCLER\S-***.com" konnte auch nicht gefunden werden.


Sieht doch schon viel besser aus
Poste noch das HJT Log.

Dazwischen mach noch einen Onlinescan mit ASquard und berichte.

Werde mich gegen Mittag wieder melden.

Grüsse aus der Schweiz

Antwort

Themen zu RECYCLER\S-***.com" konnte auch nicht gefunden werden.
.com, antivir, backdoor, backdoor trojaner, browser, computer, dateien, explorer, festgestellt, festplatte, forum, google, hijack, hijackthis, hilfreich, internet, internet explorer, keine viren, log, neu, nicht gefunden, seite, seiten, spyware, spyware terminator, stick, suche, super, trojaner, viren, werbung


« Paypal Account gehackt! Keylogger auf dem Rechner? | Hallo habe den Trojaner TR/Dropper.Gen brauche Hilfe »


Ähnliche Themen: RECYCLER\S-***.com" konnte auch nicht gefunden werden.


  1. "\RECYCLER\e621ca505.exe konnte nicht gefunden werden" auf ext. Festplatte
    Log-Analyse und Auswertung - 26.12.2013 (15)
  2. "H:\RECYCLER\e621ca05.exe" konnte nicht gefunden werden.
    Plagegeister aller Art und deren Bekämpfung - 06.11.2012 (63)
  3. "H:\RECYCLER\e621ca05.exe" konnte nicht gefunden werden.
    Alles rund um Windows - 15.10.2012 (2)
  4. Recycler konnte nicht gefunden werden
    Log-Analyse und Auswertung - 03.10.2009 (3)
  5. Recycler konnte nicht gefunden werden!!!!
    Plagegeister aller Art und deren Bekämpfung - 30.09.2009 (10)
  6. Recycler konnte nicht gefunden werden, wenn man auf die Festplatte klickt?!?
    Plagegeister aller Art und deren Bekämpfung - 10.07.2009 (18)
  7. Recycler konnte nicht gefunden werden
    Plagegeister aller Art und deren Bekämpfung - 17.06.2009 (1)
  8. RECYCLER\... .com konnte nicht gefunden werden
    Plagegeister aller Art und deren Bekämpfung - 30.05.2009 (5)
  9. Zugriff auf Laufwerke wird verweigert: "Recycler/... konnte nicht gefunden werden."
    Plagegeister aller Art und deren Bekämpfung - 19.05.2009 (3)
  10. Recycler konnte nicht gefunden werden
    Plagegeister aller Art und deren Bekämpfung - 17.05.2009 (8)
  11. Recycler\S konnte nicht gefunden werden
    Plagegeister aller Art und deren Bekämpfung - 15.05.2009 (20)
  12. Recycler konnte nicht gefunden werden
    Plagegeister aller Art und deren Bekämpfung - 09.05.2009 (11)
  13. RECYCLER\S-9-2-97-10002891-...-1323.com konnte nicht gefunden werden
    Plagegeister aller Art und deren Bekämpfung - 30.03.2009 (2)
  14. Ein RECYCLER konnte nicht gefunden werden???
    Plagegeister aller Art und deren Bekämpfung - 21.03.2009 (3)
  15. Recycler konnte nicht gefunden werden
    Plagegeister aller Art und deren Bekämpfung - 20.03.2009 (17)
  16. Recycler konnte nicht gefunden werden. brauche dringend Hilfe
    Plagegeister aller Art und deren Bekämpfung - 14.03.2009 (16)
  17. recycler...konnte nicht gefunden werden
    Log-Analyse und Auswertung - 16.02.2009 (20)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema RECYCLER\S-***.com" konnte auch nicht gefunden werden. - Hallo liebes Forum! Erstmal finde ich super, dass einige hier so ausführlich und hilfreich die Lösungen der Probleme beschreiben. Vielleicht kann mir auch jemand helfen. Das Problem wurde hier schon - RECYCLER\S-***.com" konnte auch nicht gefunden werden....
Archiv
Du betrachtest: RECYCLER\S-***.com" konnte auch nicht gefunden werden. auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131