Trojaner-Board - Recycler\s- ............ kann nicht geöffnet werden

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Recycler\s- ............ kann nicht geöffnet werden (https://www.trojaner-board.de/70553-recycler-s-geoeffnet.html)

Recycler\s- ............ kann nicht geöffnet werden

hi,
hab seit heute en sch*** Problem.
Erst bin ich nicht mehr auf meine Platten gekommen weil immer der Fehler Recycler\S-0-6-75 ........ konnte nicht geöffnet werden kam.
Daraufhin hab ich mir gedacht egal formatieren Windows neu drauf und wird schon gut sein
Jetzt hab ich das gemacht und das gleiche noch immer
dann hab ich Malwarebytes' Anti-Malware geladen und ausgeführt der hat dann ein paar sachen gefunden und gelöscht jetzt komm ich wieder auf c: aber auf D: kommt immer noch der gleiche Fehler und das ist gerade die Platte wo ich meine Bilder etc. habe.
Kann mir bitte jemand helfen??
hier hijackthis protokoll:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:10:10, on 01.03.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\Explorer.EXE
C:\WINXP\system32\ctfmon.exe
C:\WINXP\System32\svchost.exe
C:\Programme\Malwarebytes' Anti-Malware\mbam.exe
C:\WINXP\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
C:\WINXP\system32\spoolsv.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINXP\system32\msiexec.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\ICQ6.5\ICQ.exe
C:\WINXP\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINXP\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

--
End of file - 2942 bytes

danke steffen

Hallo und :hallo:

eine Kontrolle deiner alten Posts (ntos, eieiei) spricht nicht gerade für dich. Hoffentlich bist du lernbereit.

Falls du noch irgendetwas hast, dass du mit dem Computer verbindest, wie Speicherkarten, USB-Sticks, externe Festplatten, ... dann stecke alles an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas

Hi,
also hab das mal wie beschrieben gemacht
ComboFix 09-02-28.01 - Stylez 2009-03-01 14:06:46.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.511.314 [GMT 4.5:30]
ausgeführt von:: c:\dokumente und einstellungen\Stylez\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\winxp\system32\gaopdxcounter
D:\Autorun.inf

.
((((((((((((((((((((((( Dateien erstellt von 2009-02-01 bis 2009-03-01 ))))))))))))))))))))))))))))))
.

Keine neuen Dateien erstellt in diesem Zeitraum

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-01 10:44 --------- d--h--w c:\programme\InstallShield Installation Information
2009-03-01 10:36 --------- d-----w c:\dokumente und einstellungen\Stylez\Anwendungsdaten\Thunderbird
2009-03-01 10:19 --------- d-----w c:\programme\microsoft frontpage
2009-03-01 10:13 --------- d-----w c:\programme\Online-Dienste
2009-03-01 10:12 --------- d-----w c:\programme\Gemeinsame Dateien\Dienste
2009-03-01 10:09 --------- d-----w c:\programme\Windows Media Connect 2
2009-03-01 09:25 --------- d-----w c:\programme\CCleaner
2009-03-01 08:35 --------- d-----w c:\programme\Trend Micro
2009-03-01 08:35 --------- d-----w c:\programme\Mozilla Thunderbird
2009-03-01 08:24 --------- d-----w c:\programme\Reference Assemblies
2009-03-01 08:24 --------- d-----w c:\programme\MSBuild
2009-03-01 07:49 --------- d-----w c:\programme\Malwarebytes' Anti-Malware
2009-03-01 07:49 --------- d-----w c:\dokumente und einstellungen\Stylez\Anwendungsdaten\Malwarebytes
2009-03-01 07:49 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-03-01 07:14 --------- d-----w c:\programme\ICQ6.5
2009-03-01 07:14 --------- d-----w c:\dokumente und einstellungen\Stylez\Anwendungsdaten\ICQ
2009-02-11 05:49 38,496 ----a-w c:\winxp\system32\drivers\mbamswissarmy.sys
2009-02-11 05:49 15,504 ----a-w c:\winxp\system32\drivers\mbam.sys
2009-01-13 18:34 361,600 ----a-w c:\winxp\system32\drivers\tcpip.sys
2009-01-13 18:34 333,952 ----a-w c:\winxp\system32\drivers\srv.sys
2009-01-13 18:34 247,296 ----a-w c:\winxp\system32\mswsock.dll
2009-01-13 18:34 225,856 ----a-w c:\winxp\system32\drivers\tcpip6.sys
2008-12-20 21:31 826,368 ----a-w c:\winxp\system32\wininet.dll
2008-12-10 14:36 59,392 ----a-w c:\winxp\system32\dmutil.dll
2008-12-10 14:36 52,736 ----a-w c:\winxp\system32\wzcsapi.dll
2008-12-10 14:36 51,712 ----a-w c:\winxp\system32\cnbjmon.dll
2008-12-10 14:36 483,840 ----a-w c:\winxp\system32\wzcsvc.dll
2008-12-10 14:36 47,616 ----a-w c:\winxp\system32\iyuv_32.dll
2008-12-10 14:36 35,328 ----a-w c:\winxp\system32\pid.dll
2008-12-10 14:36 23,552 ----a-w c:\winxp\system32\wdmaud.drv
2008-12-10 14:36 20,992 ----a-w c:\winxp\system32\hid.dll
2008-12-10 14:36 2,068,352 ----a-w c:\winxp\system32\ntkrnlpa.exe
2008-12-10 14:36 16,896 ----a-w c:\winxp\system32\msyuv.dll
2008-12-10 14:36 15,360 ----a-w c:\winxp\system32\pjlmon.dll
2008-12-10 14:32 286,720 ----a-w c:\winxp\system32\gdi32.dll
2008-12-10 14:32 247,326 ----a-w c:\winxp\system32\strmdll.dll
2008-12-10 14:30 1,847,040 ----a-w c:\winxp\system32\win32k.sys
2008-12-10 14:30 1,379,840 ----a-w c:\winxp\system32\msxml6.dll
2008-12-10 14:30 1,106,944 ----a-w c:\winxp\system32\msxml3.dll
2008-12-10 13:33 8,704 ----a-w c:\winxp\system32\wdfmgr.exe
2008-12-10 13:31 78,336 ----a-w c:\winxp\system32\ieencode.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\winxp\system32\ctfmon.exe" [2008-04-14 15360]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2008-04-14 1695232]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"_nltide_2"="shell32" [X]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=

R3 MBAMSwissArmy;MBAMSwissArmy;c:\winxp\system32\drivers\mbamswissarmy.sys [2009-03-01 38496]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - CLR_OPTIMIZATION_V2.0.50727_32
*NewlyCreated* - FONTCACHE3.0.0.0
*NewlyCreated* - MBAMSWISSARMY
.
.
------- Zusätzlicher Suchlauf -------
.
FF - ProfilePath - c:\dokumente und einstellungen\Stylez\Anwendungsdaten\Mozilla\Firefox\Profiles\92389mss.default\
FF - prefs.js: browser.startup.homepage - google.de

---- FIREFOX Richtlinien ----
FF - user.js: yahoo.homepage.dontask - true.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-01 14:08:16
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2009-03-01 14:09:57
ComboFix-quarantined-files.txt 2009-03-01 09:39:48

Vor Suchlauf: 10 Verzeichnis(se), 16.880.889.856 Bytes frei
Nach Suchlauf: 10 Verzeichnis(se), 16,896,606,208 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINXP
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINXP="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

114

das ist das ergebniss

D: sollte sich wieder öffnen lassen. Bitte kontrollieren.

1.) Start => Ausführen => combofix /u => OK

ciao, andreas

Okay Vielen Vielen Dank
also neuinstallation ist jetzt nicht mehr nötig oder

Da du dich frühzeitig gemeldet hast, kann man halbwegs sicher sein. Wenn du wirklich sicher sein möchtest, dann http://www.trojaner-board.de/51262-a...sicherung.html

Ist ja nicht das erste Mal. :)

ciao, andreas

okay ich bild mir jetzt einfach mal ein dass es passen sollte :-D
aber jetzt hab ich das Problem dass ich auf meiner zweiten Platte
wo ich jetzt wieder drauf komme in allte ordner bis auf den wichtigsten kann
da kommt jetzt zugriff verweigert was kann des jetzt noch sien?

Da musst du dir nichts bei Denken, das ist nur das völlig verkorkste Winzigweich (englisch: Microsoft) Rechtesystem.

Start => Ausführen => cmd => OK

CACLS [Pfad zum Ordner mit ganz ohne Klammern] /T /G Benutzer:F

Leerzeichen beachten!

ciao, andreas

ok wenn ich das mache kommt erst sind sie sicher dann mach ich j
und dann kommt Zugriff verweigert

Mache Mausklick rechts auf den Ordner => Eigenschaften. Was wird dir bei Attributen angezeigt oder besser:

Start => Ausführen => cmd => OK

attrib [Pfad zum Ordner mit ganz ohne Klammern]

ciao, andreas

wenn ich das mache kommt in der kommandozeile D:\crypt
also genau das gleiche was ich als Pfad eingegeben habe

Letzter Versuch bevor ich dich eine LiveCD brennen lasse:

Start => Ausführen => cmd => OK

CACLS [Pfad zum Ordner mit ganz ohne Klammern] /T /G [Dein Anmeldename mit ganz ohne Klammern]:F

ciao, andreas

genau das selbe wie vorher aber ich weiss auch nicht was der unterschied zwischen Anmeldename und Benutzer ist.
Also hab da eingegeben
cacls D:\crypt /T /G Stylez:F

und kommt dann nach dem ich j mache zugriff verweigert

Jetzt habe ich die Faxen aber dicke. Lege einen neuen Ordner an, z.B. Crypt2. Lade dir
KNOPPIX Linux Live CD
brenne das ISO auf CD, boote mit der CD und halte dich an diese Anleitung
Computerhilfen.de Video-Anleitung: Daten retten mit Knoppix
Kopiere alle Dateien aus dem Ordner Crypt in den Ordner Crypt2 und lösche anschliessend den Ordner Crypt.

ciao, andreas

alles klar dankeschön