Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Recycler konnte nicht gefunden werden (https://www.trojaner-board.de/70181-recycler-konnte-gefunden.html)

Diddlbaby 19.02.2009 18:52
Recycler konnte nicht gefunden werden
 
Hallo zusammen,

sorry das ich im anderen Thema gepostet hab, dachte wäre halt das sonst nachher so viele Threads sind mit dem selben Thema. Ok also nun zum Problem. Angefangen hat es das der Rechner nicht runterfahren wollte, also mußte mein Mann ihn mittels reset knopf neustarten um dann den rechner runter zufahren. Am nächsten Morgen wollte er den Rechner anmachen, und bemerkte das er auf die Festplatten nicht mehr zugreifen kann, nur mittels explorer. Wir liessen AntiVir laufen und der fand TR/Vundo.gen mehrmals. Wurde alles gelöscht, aber das Problem blieb bestehen. Also formatierten wir die System festplatte und machten Windows neu. Das Problem das sich die Festplatten nur mittels explorer öffnen lassen besteht aber weiterhin. Und seit dem das System neu drauf gemacht wurde, kommt halt auch "RECYCLER\S-5-2-28-100007742-100000561-100025748-3362.com! konnte nicht gefunden werden. Stellen Sie sicher, dass Sie den Namen korrekt eingegeben haben und wiederholen Sie den Vorgang. Klicken Sie auf "Start" und anschließend auf "Suchen", um eine Datei zu suchen.

Ich habe wie es hier im Board steht CCleaner laufen lassen, dann dieses MBAM und dann Hijackthis.

Der Logfile von MBAM ist hier:

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1771
Windows 5.1.2600 Service Pack 3

19.02.2009 17:35:31
mbam-log-2009-02-19 (17-35-31).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|K:\|L:\|M:\|)
Durchsuchte Objekte: 132071
Laufzeit: 17 minute(s), 3 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\freshplay (Trojan.DNSChanger) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Und der Logfile von Hijack:

Logfile of Trend Micro HiJackThis v2.0.2
Scan saved at 14:58:26, on 18.02.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
L:\WINXP\System32\smss.exe
L:\WINXP\system32\winlogon.exe
L:\WINXP\system32\services.exe
L:\WINXP\system32\lsass.exe
L:\WINXP\system32\svchost.exe
L:\WINXP\System32\svchost.exe
L:\WINXP\system32\spoolsv.exe
L:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
L:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
L:\Programme\ICQ6Toolbar\ICQ Service.exe
L:\WINXP\system32\nvsvc32.exe
L:\WINXP\Explorer.EXE
L:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
L:\WINXP\SOUNDMAN.EXE
L:\WINXP\system32\RUNDLL32.EXE
L:\WINXP\system32\ctfmon.exe
L:\Programme\ICQ6.5\ICQ.exe
L:\Programme\DAEMON Tools Lite\daemon.exe
L:\Programme\Outlook Express\msimn.exe
L:\Programme\Mozilla Firefox\firefox.exe
E:\Programme\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=****
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=****
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=*****
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=*****
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=****
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - L:\Programme\ICQ6Toolbar\ICQToolBar.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - L:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - L:\Programme\ICQ6Toolbar\ICQToolBar.dll
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - L:\Programme\DAEMON Tools Toolbar\DTToolbar.dll
O4 - HKLM\..\Run: [avgnt] "L:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE L:\WINXP\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE L:\WINXP\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "L:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] L:\WINXP\system32\ctfmon.exe
O4 - HKCU\..\Run: [ICQ] "L:\Programme\ICQ6.5\ICQ.exe" silent
O4 - HKCU\..\Run: [DAEMON Tools Lite] "L:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [EA Core] "L:\Programme\Electronic Arts\EADM\Core.exe" -silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] L:\WINXP\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] L:\WINXP\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] L:\WINXP\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] L:\WINXP\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - L:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - L:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - L:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - L:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - L:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - L:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - L:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - L:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - L:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - L:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ICQ Service - Unknown owner - L:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - L:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - L:\WINXP\system32\nvsvc32.exe

--
End of file - 5500 bytes

Hoffe ich hab jetzt alles richtig gemacht. Wäre super nett wenn jemand helfen könnte.

LG Britta

john.doe 19.02.2009 18:57
Hallo Britta und :hallo:

So ist besser sonst gibt es Verwirrung. Hier hat jeder seinen eigenen Thread.

Falls du noch irgendetwas hast, dass du mit dem Computer verbindest, wie Speicherkarten, USB-Sticks, externe Festplatten, ... dann stecke alles an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas

Diddlbaby 19.02.2009 19:20
So hab Combofix laufen lassen. Hier das Ergebnis:

ComboFix 09-02-18.01 - *** 2009-02-19 19:06:50.1 - NTFSx86
ausgeführt von:: l:\dokumente und einstellungen\***\Desktop\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Autorun.inf
D:\Autorun.inf
E:\Autorun.inf
F:\Autorun.inf
G:\Autorun.inf
H:\Autorun.inf
I:\Autorun.inf
J:\Autorun.inf
K:\Autorun.inf
L:\autorun.inf
M:\Autorun.inf

.
((((((((((((((((((((((( Dateien erstellt von 2009-01-19 bis 2009-02-19 ))))))))))))))))))))))))))))))
.

2009-02-19 18:04 . 2009-02-19 18:04 <DIR> d-------- l:\programme\Java
2009-02-19 18:04 . 2009-02-19 18:04 73,728 --a------ l:\winxp\system32\javacpl.cpl
2009-02-19 18:01 . 2009-02-19 18:04 410,984 --a------ l:\winxp\system32\deploytk.dll
2009-02-18 20:01 . 2009-02-18 20:01 <DIR> d-------- l:\programme\Smart Projects
2009-02-17 19:27 . 2009-02-17 19:27 <DIR> d-------- l:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes
2009-02-17 19:27 . 2009-02-11 10:19 38,496 --a------ l:\winxp\system32\drivers\mbamswissarmy.sys
2009-02-17 19:27 . 2009-02-11 10:19 15,504 --a------ l:\winxp\system32\drivers\mbam.sys
2009-02-17 19:23 . 2009-02-17 19:23 <DIR> d-------- l:\programme\Malwarebytes' Anti-Malware
2009-02-17 19:23 . 2009-02-17 19:23 <DIR> d-------- l:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-02-17 17:40 . 2009-02-17 17:40 <DIR> d-------- l:\dokumente und einstellungen\All Users\Anwendungsdaten\Electronic Arts
2009-02-17 09:33 . 2009-02-17 09:33 <DIR> d-------- l:\programme\Gemeinsame Dateien\Adobe
2009-02-16 22:38 . 2009-02-16 22:38 <DIR> d-------- l:\programme\Electronic Arts
2009-02-16 22:37 . 2009-02-16 22:37 1,196 --a------ l:\winxp\system32\ealregsnapshot1.reg
2009-02-16 22:12 . 2009-02-16 22:12 <DIR> d-------- l:\dokumente und einstellungen\***\Anwendungsdaten\DAEMON Tools Pro
2009-02-16 22:12 . 2009-02-16 22:12 <DIR> d-------- l:\dokumente und einstellungen\***\Anwendungsdaten\DAEMON Tools
2009-02-16 22:11 . 2009-02-16 22:11 <DIR> d-------- l:\programme\DAEMON Tools Toolbar
2009-02-16 22:11 . 2009-02-17 09:27 <DIR> d-------- l:\programme\DAEMON Tools Lite
2009-02-16 22:11 . 2009-02-16 22:11 <DIR> d-------- l:\dokumente und einstellungen\All Users\Anwendungsdaten\DAEMON Tools Lite
2009-02-16 22:08 . 2009-02-16 22:13 <DIR> d-------- l:\dokumente und einstellungen\***\Anwendungsdaten\DAEMON Tools Lite
2009-02-16 22:08 . 2009-02-16 22:08 717,296 --a------ l:\winxp\system32\drivers\sptd.sys
2009-02-16 22:01 . 2009-02-16 22:01 <DIR> d-------- l:\programme\ICQ6Toolbar
2009-02-16 22:01 . 2009-02-16 22:01 <DIR> d-------- l:\dokumente und einstellungen\All Users\Anwendungsdaten\ICQ
2009-02-16 22:00 . 2009-02-16 22:01 <DIR> d-------- l:\dokumente und einstellungen\***\Anwendungsdaten\ICQ
2009-02-16 21:59 . 2009-02-16 22:01 <DIR> d-------- l:\programme\ICQ6.5
2009-02-16 21:51 . 2009-02-16 21:51 <DIR> d-------- l:\winxp\system32\AGEIA
2009-02-16 21:51 . 2009-02-16 21:51 <DIR> d-------- l:\programme\AGEIA Technologies
2009-02-16 21:50 . 2009-02-16 21:50 <DIR> d-------- l:\winxp\nview
2009-02-16 21:50 . 2009-02-16 21:50 <DIR> d-------- l:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-02-16 21:50 . 2009-01-15 08:19 453,152 --a------ l:\winxp\system32\nvudisp.exe
2009-02-16 21:50 . 2009-02-19 09:08 206,530 --a------ l:\winxp\system32\nvapps.xml
2009-02-16 21:50 . 2009-01-15 08:19 18,725 --a------ l:\winxp\system32\nvdisp.nvu
2009-02-16 21:44 . 2009-02-16 21:44 0 --a------ l:\winxp\nsreg.dat
2009-02-16 21:39 . 2004-11-13 11:35 810,054 --a------ l:\winxp\system32\A8N-SLI.bmp
2009-02-16 21:39 . 2005-06-03 15:09 454,656 --a------ l:\winxp\system32\CapabilityTable.exe
2009-02-16 21:39 . 2004-11-13 12:01 269 --a------ l:\winxp\system32\raidmgmt.ini
2009-02-16 21:37 . 2004-08-14 02:56 5,810 --a------ l:\winxp\system32\drivers\ASACPI.sys
2009-02-16 21:36 . 2008-04-13 23:15 26,368 --a--c--- l:\winxp\system32\dllcache\usbstor.sys
2009-02-16 21:32 . 2009-02-16 22:01 <DIR> d--h----- l:\programme\InstallShield Installation Information
2009-02-16 21:32 . 2009-02-16 22:37 <DIR> d-------- l:\programme\Gemeinsame Dateien\InstallShield
2009-02-16 21:32 . 2005-02-02 10:43 17,747,968 --a------ l:\winxp\system32\ALSNDMGR.CPL
2009-02-16 21:32 . 2005-02-02 10:39 9,294,336 --a------ l:\winxp\system32\RTLCPL.EXE
2009-02-16 21:32 . 2005-02-02 20:26 2,310,720 --a------ l:\winxp\system32\drivers\ALCXWDM.SYS
2009-02-16 21:32 . 2005-02-01 19:16 294,912 --a------ l:\winxp\alcupd.exe
2009-02-16 21:32 . 2005-02-01 19:18 200,704 --a------ l:\winxp\alcrmv.exe
2009-02-16 21:32 . 2004-09-07 14:23 156,672 --a------ l:\winxp\system32\RTLCPAPI.dll
2009-02-16 21:32 . 2002-02-05 13:54 141,016 --a------ l:\winxp\system32\ALSNDMGR.WAV
2009-02-16 21:32 . 2005-02-02 10:47 77,824 --a------ l:\winxp\SOUNDMAN.EXE
2009-02-16 21:32 . 2004-10-27 15:47 40,960 -ra------ l:\winxp\system32\ChCfg.exe
2009-02-16 21:31 . 2009-02-16 21:31 <DIR> d-------- l:\programme\xp-AntiSpy
2009-02-16 21:25 . 2009-02-16 21:52 <DIR> d-------- l:\programme\Spybot - Search & Destroy
2009-02-16 21:25 . 2009-02-17 19:21 <DIR> d-------- l:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-02-16 21:23 . 2009-02-16 21:23 <DIR> d-------- l:\programme\Avira
2009-02-16 21:23 . 2009-02-16 21:23 <DIR> d-------- l:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-02-16 21:20 . 2000-08-19 20:29 268,048 --a------ l:\winxp\system32\dxtmeta2.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-16 17:24 --------- d-----w l:\programme\microsoft frontpage
2009-02-16 17:22 --------- d-----w l:\programme\Online-Dienste
2009-02-16 17:21 --------- d-----w l:\programme\Gemeinsame Dateien\Dienste
2009-02-16 17:20 --------- d-----w l:\programme\Windows Media Connect 2
2009-01-07 10:28 453,152 ----a-w l:\winxp\system32\NVUNINST.EXE
2008-12-10 16:36 59,392 ----a-w l:\winxp\system32\dmutil.dll
2008-12-10 16:36 52,736 ----a-w l:\winxp\system32\wzcsapi.dll
2008-12-10 16:36 51,712 ----a-w l:\winxp\system32\cnbjmon.dll
2008-12-10 16:36 483,840 ----a-w l:\winxp\system32\wzcsvc.dll
2008-12-10 16:36 47,616 ----a-w l:\winxp\system32\iyuv_32.dll
2008-12-10 16:36 35,328 ----a-w l:\winxp\system32\pid.dll
2008-12-10 16:36 23,552 ----a-w l:\winxp\system32\wdmaud.drv
2008-12-10 16:36 20,992 ----a-w l:\winxp\system32\hid.dll
2008-12-10 16:36 2,026,496 ----a-w l:\winxp\system32\ntkrnlpa.exe
2008-12-10 16:36 16,896 ----a-w l:\winxp\system32\msyuv.dll
2008-12-10 16:36 15,360 ----a-w l:\winxp\system32\pjlmon.dll
2008-12-10 16:32 286,720 ----a-w l:\winxp\system32\gdi32.dll
2008-12-10 16:32 247,326 ----a-w l:\winxp\system32\strmdll.dll
2008-12-10 16:30 1,847,040 ----a-w l:\winxp\system32\win32k.sys
2008-12-10 16:30 1,379,840 ----a-w l:\winxp\system32\msxml6.dll
2008-12-10 16:30 1,106,944 ----a-w l:\winxp\system32\msxml3.dll
2008-12-10 15:33 8,704 ----a-w l:\winxp\system32\wdfmgr.exe
2008-12-10 15:31 78,336 ----a-w l:\winxp\system32\ieencode.dll
2008-12-10 08:45 70,936 ----a-w l:\winxp\system32\PhysXLoader.dll
2008-12-04 08:28 24,344 ----a-w l:\winxp\system32\PhysXDevice.dll
2008-11-26 07:55 288,024 ----a-w l:\winxp\system32\PhysXCplUI.exe
2008-11-25 07:38 288,024 ----a-w l:\winxp\system32\PhysXCompatCplUI.exe
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="l:\winxp\system32\ctfmon.exe" [2008-04-14 15360]
"ICQ"="l:\programme\ICQ6.5\ICQ.exe" [2008-12-17 172792]
"DAEMON Tools Lite"="l:\programme\DAEMON Tools Lite\daemon.exe" [2008-12-29 687560]
"EA Core"="l:\programme\Electronic Arts\EADM\Core.exe" [2009-02-06 3325952]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="l:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"NvCplDaemon"="l:\winxp\system32\NvCpl.dll" [2009-01-15 13680640]
"NvMediaCenter"="l:\winxp\system32\NvMcTray.dll" [2009-01-15 86016]
"Adobe Reader Speed Launcher"="l:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"SunJavaUpdateSched"="l:\programme\Java\jre6\bin\jusched.exe" [2009-02-19 148888]
"SoundMan"="SOUNDMAN.EXE" [2005-02-02 l:\winxp\SOUNDMAN.EXE]
"nwiz"="nwiz.exe" [2009-01-15 l:\winxp\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="l:\winxp\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"_nltide_2"="shell32" [X]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"C:0\\Programme\\ICQ6.5\\ICQ.exe"=
"C:1\\Programme\\Electronic Arts\\Burnout(TM) Paradise The Ultimate Box\\BurnoutLauncher.exe"=
"C:1\\Programme\\Electronic Arts\\Burnout(TM) Paradise The Ultimate Box\\BurnoutConfigTool.exe"=
"C:1\\Programme\\Electronic Arts\\Burnout(TM) Paradise The Ultimate Box\\BurnoutParadise.exe"=
"C:0\\Programme\\Electronic Arts\\EADM\\Core.exe"=

R2 ICQ Service;ICQ Service;l:\programme\ICQ6Toolbar\ICQ Service.exe [2009-02-16 222456]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - JAVAQUICKSTARTERSERVICE
*NewlyCreated* - WMIAPSRV
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://start.icq.com/
FF - ProfilePath - l:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\4u40hjv7.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - /w*w.corsa-companeros.de.vu
FF - component: l:\programme\DAEMON Tools Toolbar\FirefoxDTT\components\DTToolbarFF.dll

---- FIREFOX Richtlinien ----
FF - user.js: yahoo.homepage.dontask - true.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2009-02-19 19:07:40
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2009-02-19 19:08:25
ComboFix-quarantined-files.txt 2009-02-19 18:08:24

Vor Suchlauf: 8 Verzeichnis(se), 15.561.601.024 Bytes frei
Nach Suchlauf: 8 Verzeichnis(se), 15,582,007,296 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[Boot Loader]
Timeout=2
Default=c:\$win_nt$.~bt\BOOTSECT.DAT
[Operating Systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(1)partition(6)\WINXP="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
c:\$win_nt$.~bt\BOOTSECT.DAT="Microsoft Windows XP Professional Setup"

172

john.doe 19.02.2009 19:31
Wurde der Rechner erst vor kurzem installiert?

Deinstalliere (Start=>Einstellungen=>Systemsteuerung=>Software) bitte alle Toolbars.

Scripten mit Combofix
  • Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:
Code:
KILLALL::

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"=-
"SunJavaUpdateSched"=-
"SoundMan"=-

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"_nltide_2"=-
Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt
  • Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!
http://users.pandora.be/bluepatchy/m...s/CFScript.gif
  • Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten


Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

Diddlbaby 19.02.2009 21:29
Ja der Rechner ist vorgestern neu gemacht worden, da wir eben vorher schon die Probleme hatten und nicht weiter wußten. Nun habe ich aber gesehen das wir wieder auf die Festplatten zugreifen können mit doppelklick, also das Problem ist weg. Soll ich das trotzdem noch machen was du unten geschrieben hast?

Gruß Britta

john.doe 19.02.2009 21:38
Ja. Poste anschliessend ein aktuelles HJT-Log, dann können wir fast schon abschliessen.

ciao, andreas

Aquifex 23.03.2009 23:20
Hi,

ich habe genau das gleiche Problem wie Diddlbaby - gleiche Symptome (vermutlich Rootkit-Infektion, "RECYCLER\S-6-1-96-100011768-100005942.100014005-5171.com"-Hinweis bei Zugriff auf D:\ und E:\ usw.), Scan mit Kaspersky, Antivir und HiJackThis ohne Ergebnis, danach C formatiert ebenfalls ohne Ergebnis - und habe deshalb trotz Warnung und unter Beachtung aller Hinweise ComboFix runtergeladen und laufen lassen. Scheint auch funktioniert zu haben, ich kann nun ebenfalls wieder auf die Laufwerke zugreifen. Vielen Dank also auch von mir für die kompetente und detaillierte Beratung und ganz besonders auch an die Programmierer von ComboFix. Hier das Log, falls doch noch weitere Schritte erforderlich sind:


ComboFix 09-03-22.01 - Philip 2009-03-23 22:30:24.1 - NTFSx86
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\ComboFix.exe
.
Die folgenden Dateien wurden während des Laufs deaktiviert:
e:\programme\Agnitum\Outpost Firewall\wl_hook.dll


(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

D:\Autorun.inf
E:\Autorun.inf
F:\AUTORUN.INF

.
((((((((((((((((((((((( Dateien erstellt von 2009-02-23 bis 2009-03-23 ))))))))))))))))))))))))))))))
.

2009-03-23 22:34 . 2009-03-23 22:34 <DIR> d-------- c:\windows\system32\CatRoot_bak
2009-03-23 22:34 . 2009-03-23 22:34 <DIR> d-------- c:\windows\LastGood
2009-03-23 22:09 . 2009-03-23 22:33 49 --a------ c:\windows\transp.gif
2009-03-23 22:05 . 2009-03-23 22:05 <DIR> d-------- c:\programme\Gemeinsame Dateien\Agnitum Shared
2009-03-23 21:58 . 2009-03-23 21:58 677,376 --a------ c:\windows\is-62P84.exe
2009-03-23 21:58 . 2009-03-23 21:58 13,372 --a------ c:\windows\is-62P84.msg
2009-03-23 21:58 . 2009-03-23 21:58 309 --a------ c:\windows\is-62P84.lst
2009-03-23 21:58 . 2009-03-23 22:33 150 --a------ c:\windows\ODBC.INI
2009-03-23 21:55 . 2006-10-26 18:56 32,592 --a------ c:\windows\system32\msonpmon.dll
2009-03-23 21:53 . 2009-03-23 21:53 <DIR> d-------- c:\programme\MSBuild
2009-03-23 21:53 . 2009-03-23 21:53 <DIR> d-------- c:\programme\Microsoft Works
2009-03-23 21:52 . 2009-03-23 21:52 <DIR> d-------- c:\programme\Microsoft.NET
2009-03-23 21:49 . 2009-03-23 21:52 <DIR> d-------- c:\windows\SHELLNEW
2009-03-23 21:49 . 2009-03-23 21:49 <DIR> d-------- c:\programme\Microsoft Visual Studio 8
2009-03-23 21:48 . 2009-03-23 21:55 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2009-03-23 21:33 . 2009-03-23 21:33 <DIR> d-------- c:\programme\xp-AntiSpy
2009-03-23 21:30 . 2009-03-23 22:38 <DIR> d--h----- c:\windows\$hf_mig$
2009-03-23 21:30 . 2005-02-25 04:34 22,752 --a------ c:\windows\system32\spupdsvc.exe
2009-03-23 21:26 . 2008-10-16 14:09 43,544 --a------ c:\windows\system32\wups2.dll
2009-03-23 21:26 . 2008-10-16 14:08 31,768 --a------ c:\windows\system32\wucltui.dll.mui
2009-03-23 21:26 . 2008-10-16 14:08 27,672 --a------ c:\windows\system32\wuaucpl.cpl.mui
2009-03-23 21:26 . 2008-10-16 14:08 27,672 --a------ c:\windows\system32\wuapi.dll.mui
2009-03-23 21:26 . 2008-10-16 14:07 18,968 --a------ c:\windows\system32\wuaueng.dll.mui
2009-03-23 21:23 . 2009-03-23 21:23 <DIR> d---s---- c:\dokumente und einstellungen\***\UserData
2009-03-23 20:49 . 2009-03-23 20:49 <DIR> d-------- c:\dokumente und einstellungen\***\Mozilla
2009-03-23 20:05 . 2009-03-23 20:12 <DIR> d-------- c:\dokumente und einstellungen\***\Anwendungsdaten\teamspeak2
2009-03-23 20:02 . 2009-03-23 20:02 0 --a------ c:\windows\nsreg.dat

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-23 21:35 17,232 --sha-w c:\windows\system32\drivers\fidbox.idx
2009-03-23 21:35 1,799,200 --sha-w c:\windows\system32\drivers\fidbox.dat
2009-03-23 21:33 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2009-03-23 21:31 4,212 --sha-w c:\windows\system32\drivers\fidbox2.idx
2009-03-23 21:31 303,136 --sha-w c:\windows\system32\drivers\fidbox2.dat
2009-03-23 18:59 33,808 ----a-w c:\windows\system32\drivers\klbg.sys
2009-03-23 18:51 223,128 ----a-w c:\windows\system32\drivers\dtscsi.sys
2009-03-23 18:45 96,256 ----a-w c:\windows\system32\drivers\sptd0509.sys
2009-03-23 18:45 642,560 ----a-w c:\windows\system32\drivers\sptd.sys
2009-03-23 18:40 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files
2009-03-23 18:34 --------- d-----w c:\dokumente und einstellungen\***\Anwendungsdaten\ATI
2009-03-23 18:34 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\ATI
2009-03-23 18:33 --------- d--h--w c:\programme\InstallShield Installation Information
2009-03-23 18:33 --------- d-----w c:\programme\NVIDIA Corporation
2009-03-23 18:33 --------- d-----w c:\programme\Gemeinsame Dateien\NVIDIA Shared
2009-03-23 18:26 --------- d-----w c:\programme\Gemeinsame Dateien\InstallShield
2009-03-23 18:26 --------- d-----w c:\programme\ATI Technologies
2009-03-23 18:19 --------- d-----w c:\programme\microsoft frontpage
2009-03-23 18:18 --------- d-----w c:\programme\Online-Dienste
2009-03-23 18:18 --------- d-----w c:\programme\Gemeinsame Dateien\Dienste
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-08-01 61440]
"NVMixerTray"="c:\programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe" [2004-12-20 131072]
"AVP"="e:\programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe" [2009-03-23 206088]
"DAEMON Tools"="e:\programme\DAEMON Tools\daemon.exe" [2005-12-10 133016]
"GrooveMonitor"="e:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 31016]
"Outpost Firewall"="e:\programme\Agnitum\Outpost Firewall\outpost.exe" [2007-04-05 94720]
"OutpostFeedBack"="e:\programme\Agnitum\Outpost Firewall\feedback.exe" [2007-06-28 335872]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"e:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"e:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"e:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=

R1 SandBox;Outpost Firewall Sandbox Driver;e:\programme\Agnitum\Outpost Firewall\Kernel\SandBox.sys [2009-03-23 408352]
R1 VFILT;Outpost Firewall Kernel Driver;e:\programme\Agnitum\Outpost Firewall\Kernel\filtnt.sys [2009-03-23 163840]
S3 ADBLOCK.DLL;Outpost Firewall PlugIn (ADBLOCK.DLL);e:\programme\Agnitum\Outpost Firewall\Kernel\adblock.dll [2009-03-23 33568]
S3 ARP.DLL;Outpost Firewall PlugIn (ARP.DLL);e:\programme\Agnitum\Outpost Firewall\Kernel\arp.dll [2009-03-23 17632]
S3 CONTENT.DLL;Outpost Firewall PlugIn (CONTENT.DLL);e:\programme\Agnitum\Outpost Firewall\Kernel\content.dll [2009-03-23 4896]
S3 DNSCACHE.DLL;Outpost Firewall PlugIn (DNSCACHE.DLL);e:\programme\Agnitum\Outpost Firewall\Kernel\dnscache.dll [2009-03-23 14656]
S3 FTPFILT.DLL;Outpost Firewall PlugIn (FTPFILT.DLL);e:\programme\Agnitum\Outpost Firewall\Kernel\ftpfilt.dll [2009-03-23 9248]
S3 HTMLFILT.DLL;Outpost Firewall PlugIn (HTMLFILT.DLL);e:\programme\Agnitum\Outpost Firewall\Kernel\htmlfilt.dll [2009-03-23 11552]
S3 HTTPFILT.DLL;Outpost Firewall PlugIn (HTTPFILT.DLL);e:\programme\Agnitum\Outpost Firewall\Kernel\httpfilt.dll [2009-03-23 13216]
S3 IMAPFILT.DLL;Outpost Firewall PlugIn (IMAPFILT.DLL);e:\programme\Agnitum\Outpost Firewall\Kernel\imapfilt.dll [2009-03-23 7168]
S3 MAILFILT.DLL;Outpost Firewall PlugIn (MAILFILT.DLL);e:\programme\Agnitum\Outpost Firewall\Kernel\mailfilt.dll [2009-03-23 14880]
S3 NNTPFILT.DLL;Outpost Firewall PlugIn (NNTPFILT.DLL);e:\programme\Agnitum\Outpost Firewall\Kernel\nntpfilt.dll [2009-03-23 6752]
S3 POP3FILT.DLL;Outpost Firewall PlugIn (POP3FILT.DLL);e:\programme\Agnitum\Outpost Firewall\Kernel\pop3filt.dll [2009-03-23 10048]
S3 PROTECT.DLL;Outpost Firewall PlugIn (PROTECT.DLL);e:\programme\Agnitum\Outpost Firewall\Kernel\protect.dll [2009-03-23 15200]
S3 SECRET.DLL;Outpost Firewall PlugIn (SECRET.DLL);e:\programme\Agnitum\Outpost Firewall\Kernel\secret.dll [2009-03-23 13056]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{aea1d854-17db-11de-b8fa-0013d3645916}]
\Shell\AutoRun\command - I:\SETUP.EXE
\Shell\configure\command - I:\SETUP.EXE
\Shell\install\command - I:\SETUP.EXE
.
.
------- Zusätzlicher Suchlauf -------
.
IE: Nach Microsoft E&xel exportieren - e:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
TCP: {DDC2E38F-820F-4F1A-86A9-7CE1F3AB6F61} = 192.168.1.1
FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\abudxs89.default\
FF - prefs.js: browser.startup.homepage -
FF - component: c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\abudxs89.default\extensions\{6AC85730-7D0F-4de0-B3FA-21142DD85326}\platform\WINNT\components\ColorZilla.dll
FF - plugin: e:\programme\Mozilla Firefox\plugins\np-mswmp.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-23 22:40:52
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(772)
e:\programme\Agnitum\Outpost Firewall\wl_hook.dll
c:\windows\system32\Ati2evxx.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\windows\system32\ati2evxx.exe
c:\windows\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
c:\programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
c:\programme\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-03-23 22:41:52 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-03-23 21:41:50

Vor Suchlauf: 2.255.425.536 Bytes frei
Nach Suchlauf: 1,572,540,416 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

153 --- E O F --- 2009-03-23 20:32:07

König Mops 24.03.2009 12:12
Hallo und guten Tag,


Leider weis ich nicht ob es hier im Forum nun richtig ist wie ich vorgehe.
Trotz Hilfefunktion ist mir nicht klar wie ich hier meine Frage stellen soll bzw. ein thema eröffnen kann.
Vieleicht nimmt mich jemand an die Hand.

Ich habe seit Gestern auch das Problem:
Recycler\s-5-7-31-100001187-1000000948-1000719-5368.com



Ich kann auf meine Festplatten nicht mehr zugreifen und habe mich hier im Forum schlau gemacht an was es liegen könnte.
Nun möcht ich mein Proplem mit Unterstützung aus dem Forum lösen, habe wenig Ahnung von solchen Dingen werde deswegen vielleicht ein- oder mehrmals etwas unqualifiziert nachfragen.

Die "Verseuchung" kommt von einem Stick
Meine erste vorgehensweis waren:

1. Norten -> Norton zeigt mir nichts an
2. Habe -> mit HijackThis eine Logdatei erstellt und bin so vorgegangen wie es in der Anleitung steht.

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:30:07, on 24.03.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifSvc.exe
C:\Programme\Norton Internet Security\Norton Internet Security\Engine\16.2.0.7\ccSvcHst.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\SlySoft\CloneCD\CloneCDTray.exe
C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
C:\Programme\Canon\MyPrinter\BJMyPrt.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifSvc.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Norton Internet Security\Norton Internet Security\Engine\16.2.0.7\ccSvcHst.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = h**p://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://www.arcor.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat

7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Symantec NCO BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Programme\Norton Internet

Security\Norton Internet Security\Engine\16.2.0.7\coIEPlg.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Programme\Norton Internet

Security\Norton Internet Security\Engine\16.2.0.7\IPSBHO.DLL
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -

C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame

Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live

Toolbar\msntb.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} -

C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} -

C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live

Toolbar\msntb.dll
O3 - Toolbar: Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Programme\Norton Internet

Security\Norton Internet Security\Engine\16.2.0.7\coIEPlg.dll
O3 - Toolbar: &Save Flash - {4064EA35-578D-4073-A834-C96D82CBCF40} - C:\Programme\Save Flash\SaveFlash.dll
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PCLEPCI] C:\PROGRA~1\Pinnacle\PPE\PPE.EXE
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec

Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec

Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot

1
O4 - HKCU\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live

Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - h**p://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: In neuer Registerkarte im Hintergrund öffnen - res://C:\Programme\Windows Live

Toolbar\Components\de-de\msntabres.dll.mui/229?e170f58b5497458ab7c459964b340310
O8 - Extra context menu item: In neuer Registerkarte im Vordergrund öffnen - res://C:\Programme\Windows Live

Toolbar\Components\de-de\msntabres.dll.mui/230?e170f58b5497458ab7c459964b340310
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network

Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network

Diagnostic\xpnetdiag.exe
O10 - Broken Internet access because of LSP provider 'c:\programme\bonjour\mdnsnsp.dll' missing
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -

http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1185886890677
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) -

http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1185886866582
O18 - Protocol: symres - {AA1061FE-6C41-421F-9344-69640C9732AB} - C:\Programme\Norton Internet Security\Norton

Internet Security\Engine\16.2.0.7\coIEPlg.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Unknown owner -

C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Unknown owner -

C:\Programme\Bonjour\mDNSResponder.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame

Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. -

C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec

Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifSvc.exe
O23 - Service: Norton Internet Security - Symantec Corporation - C:\Programme\Norton Internet Security\Norton

Internet Security\Engine\16.2.0.7\ccSvcHst.exe

--
End of file - 8895 bytes
Nun ist mein Latein am Ende.
Was soll ich nun tun?
Wer kann mir helfen?

Vielen Dank im Voraus.

myrtille 24.03.2009 13:25
Erstellt bitte jeweils ein eigenes Thema und arbeitet diese Anleitungen ab: http://www.trojaner-board.de/69886-a...-beachten.html

lg myrtille

König Mops 24.03.2009 20:00
Hallo myrtille,

Danke für die Tipps.

Habe sie abgearbeitet und es tatsächlich geschaffte ein eigenes Thema ( Recycler\s-5-7-31-......com) hinzukriegen.
Ich hoffe, dass ich auch eine Lösung bekomme.

LG
König Mops

Breakstar 09.05.2009 21:57
hallo

ich hab auch ein Problem mit diesen recycler
aber bei mir kommt diese Meldung:
"RECYCLER\S-7-3-99-100025458-100008951-100002801-6874.com"
wenn ich auf meine Festplatte zugraifen will
ich weiss nicht was ich machen soll
ich brauch unbedingt Profisionele Hilfe

john.doe 09.05.2009 22:15
Hallo Breakstar,

lies doch mal, was hier steht. Dann eröffnest du ein eigenes Thema. Professionelle Hilfe gibt es hier natürlich nicht, denn dafür muss man bezahlen. :D

ciao, andreas


Alle Zeitangaben in WEZ +1. Es ist jetzt 15:52 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131