Trojaner-Board - recycler...konnte nicht gefunden werden

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - recycler...konnte nicht gefunden werden (https://www.trojaner-board.de/69983-recycler-konnte-gefunden.html)

recycler...konnte nicht gefunden werden

Jedes mal, wenn ich auf auf c doppelklicke kommt die meldung "recycler\s-4-6-89.....com konnte nicht gefunden werden.

Leider hilft mir mein freeware antivirenprogramm da auch nicht, deswegen wollte ich euch fragen, ob ihr mir vielleicht dabei helfen könntet.

vielen dank im vorraus, der reen23

Hallo reen32,
Dein Problem hatte ich auch, hing mit viren zusammen. Welchen virenscanner Benutzt du?
Es wäre gut wenn du deinen Logfile reinstellen könnstest.
MfG Russenaisko

also ich benutze avast! antivirus (siehe http://www.avast.com/eng/download-avast-home.html) und der von hijackthis erstellte logfile besagt folgendes:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:53:11, on 14.02.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\hkcmd.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe
C:\Programme\Dell\Bluetooth Software\BTTray.exe
C:\Programme\Dell\Bluetooth Software\bin\btwdins.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\pennerbot_console_v0.7.2_win32.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\pennerbot_console_v0.7.2_win32.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\pennerbot_console_v0.7.2_win32.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\pennerbot_console_v0.7.2_win32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HiJackThis.exe

R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: PDF-XChange Viewer IE-Plugin - {C5D07EB6-BBCE-4DAE-ACBB-D13A8D28CB1F} - C:\Programme\Tracker Software\PDF-XChange Viewer\pdf-viewer\PDFXCviewIEPlugin.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\Dell\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Dell\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Dell\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6A2A8EF9-11D6-4E43-B1A8-2E178BA5451A}: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CCS\Services\Tcpip\..\{AA803662-1939-4078-8383-EEA0CC021022}: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\Dell\Bluetooth Software\bin\btwdins.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
O24 - Desktop Component 0: (no name) - file:///C:/DOKUME~1/ADMINI~1/LOKALE~1/Temp/msohtml1/01/clip_image001.jpg
O24 - Desktop Component 1: (no name) - file:///C:/DOKUME~1/ADMINI~1/LOKALE~1/Temp/msohtml1/03/clip_image001.gif

--
End of file - 6105 bytes

Hallo

Lade dir Malwarebytes herunter
Updaten und im abgesicherten Modus laufen lassen
Mache eine Online Fullscan bei Panda

Achtung: Der kann schon etwas länger dauern.

Poste beide Files

@Gentlman
Willst Du den Bot noch genauer identifizieren? Umleitungen in die Ukraine reichen doch.

Marc

Wer weis was da jz noch alles drauf ist

Lieber mal genau schauen wenn er nur ein Freeware AntiVir Prog hat ;)

Ausser du hast eine bessere Idee :)

Zitat:

Zitat von Gentlman (Beitrag 413099)

Ausser du hast eine bessere Idee

Neuaufsetzen?

Formatieren wäre ihm wahrscheinlich auch selber eingefallen :D

Warten wir mal auf den Scan

@reen23

Die Idee von %ComSpec% ist der sicherste und vielleicht auch der schnellere Weg
Wenn du Formatieren willst teile uns das bitte mit

Zitat:

Warten wir mal auf den Scan

Aus akademischen Interesse heraus ist das in Ordnung, aber komme bitte nicht auf die Idee da etwas bereinigen zu wollen.

Marc

Weiß einer von euch was das für Ip Domänen sind?
O17 - HKLM\System\CCS\Services\Tcpip\..\{6A2A8EF9-11D6-4E43-B1A8-2E178BA5451A}: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CCS\Services\Tcpip\..\{AA803662-1939-4078-8383-EEA0CC021022}: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40
MfG Russenaisko

Nächstes mal selbst abfragen:

Code:

inetnum:        85.255.112.0 - 85.255.127.255

netname:        UkrTeleGroup

descr:          UkrTeleGroup Ltd.

admin-c:        UA481-RIPE

tech-c:         UA481-RIPE

country:        UA

org:            ORG-UL25-RIPE

status:         ASSIGNED PI

mnt-by:         RIPE-NCC-HM-PI-MNT

mnt-lower:      RIPE-NCC-HM-PI-MNT

mnt-by:         UKRTELE-MNT

mnt-routes:     UKRTELE-MNT

mnt-domains:    UKRTELE-MNT

source:         RIPE

Was hat das genau auf sich? Was können die Ip´s anrichten?

Zitat:

Zitat von Russenaisko (Beitrag 413133)

Was hat das genau auf sich? Was können die Ip´s anrichten?

Die IPs sind beim Opfer als DNS-Server eingetragen.
Jede Anfrage, wie ein Domainname aufgelöst werden soll wird in diesem Fall von manipulierten ukrainischen DNS-Servern beantwortet.
Wen ein aolcher Rechner also wissen möchte, welche IP zu www.sparkasse-freiburg.de gehört, bekommt er u.U. nicht 195.140.36.125 sondern vllt die IP eines Servers mit Phisingwebseiten. Da hilft es beim Onlinebanking (aber auch bei anderen Dingen) nicht mehr, die Adresse im Browser von Hand einzutragen.

Marc

Die Ip´s hatte ich auch mal. Diese liesen sich garnicht so einfach entfernen! Hatte auch irgendetwas mit dem genanten fehler der festplatte zu tun. Norton war danach Reif für die Mülltone. Spyware Doctor hat die ganzen trojaner bemerkt und entfernt.
Russenaisko

Zitat:

Zitat von Russenaisko (Beitrag 413139)

I.d.R. sollte man neu aufsetzen, da es sich meist um kreuzgefährliche Backdoorschädlinge handelt. Man kann nie sicher sein, dass sie wirklich vollständig entfernt wurden.

Marc

Wird in den kommenden Ferien neu aufgesetzt.
Threatfire hat z.B. ein Hacktoll gefunden.
Kaspersky hat sehr viele rootkits in c, d, und l gefunden.
Danach war das Problem mit dem Festplatten Futsch
Russenaisko

Nur weil die Probleme verschwunden sind heist es noch lange nicht das dein System sauber ist!

Hab ich das behauptet -.-
Aber so verschwindet das Problem .
Welche scanner empfiehlst du?

Scannen kann man nie zu wenig :D
Nicht jeder Scan kennt jeden Mist
Ich empfehle da GMER,F-Secure Blacklight,RootkitRevealer und Rootkit Buster
Aber wenn man mal nen Rootkit hat,was nicht zu selten vorkommt ist Formatieren Lösung Nr.1

1. Windows und alle Programme die man benutzt immer auf dem neuesten Stand halten. Besonders natürlich Windows, Browser und Plugins wie Flashplayer, Java und so weiter.

2. Windows sicher konfigurieren und mit eingeschränkten Rechten surfen und arbeiten.

3. Internetexplorer vermeiden. Besser sind Firefox oder Opera.

4. Gehirn benutzen, nicht auf Warezseiten und Pornoseiten surfen etc. Sehr viele illegale Seiten versuchen einen mit Müll und Schadsoftware zu beladen. Genauso schlimm sind Filesharingtools, dort will man meisten eins: Illegale Daten und die sind oft infiziert.

5. Emailanhänge von Unbekannten nie öffnen und von Freunden und bekannten trotzdem scannen und besser nachfragen, ob die Person diesen Anhang wirklich geschickt hat.

Virenscanner sind immer sinnvoll, falls dann doch mal was passiert.

Sollte ein System doch mal befallen sein, ist im Zweifelsfall ein Neuaufsetzen fast schon Pflicht, es sei denn, man weiß genau was man machen muß, allerdings ist es dann zeitaufwändiger alles zu bereinigen und zu kontrollieren, als zu formatieren und neu aufzusetzen.

also vielen dank erst einmal für eure große resonanz! also ich habe den pc gestern neuaufgesetzt und somit das problem gelöst!

danke für eure mühe, reen23