|
RECYCLER\S-9-2-97-10002891-...-1323.com konnte nicht gefunden werden Hi, ich habe folgendes Problem und hoffe, dass mir hier jemand weiterhelfen kann : Habe mir vor ein paar Tagen einen neuen USB stick gekauft, steck ihn ein und das erste was passiert ist, dass sich Antivir meldet und es wurde auf dem stick auf dem Pfad F:\RECYCLER\S-9-2-97-1000...-1323.com ein Virus oder unerwünschtes Programm 'TR/TDss.uvz'[trojan] gefunden. Unter dem Arbeitsplatz konnte ich den stick nicht öffnen, es erscheint immer die Fehlermeldung " F\RECYCLER\S-9-2-97-100...-1323.com konnte nicht gefunden werden". Erst dacht ich was soll der Sch... , wie kann auf einem Fabrikneuen stick bereits ein virus sein, aber wenig später konnte ich auch meine externe Festplatte nicht mehr öffnen, selber Fehler. Dann hab ich das googeln angefangen und hier in dem Forum einen Thread gefunden in dem König Mops fast das gleiche Problem hat. Hab dann versucht genauso vorzugehen aber irgendwie klappt das bei mir nicht. Antivir und Malwarebytes finden beim Suchlauf nichts verdächtiges. Dann hab ich erstmal versucht die autorun.inf via avanger und fileassisin zu löschen. Das hat aber auch nicht geklappt :( Naja ich poste mal meine hijacklog und hoffe das jemand schlau daraus wird, ich habe leider wenig ahnung :/ Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 14:50:08, on 28.03.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16674) Boot mode: Normal Running processes: C:\WINXP\System32\smss.exe C:\WINXP\system32\winlogon.exe C:\WINXP\system32\services.exe C:\WINXP\system32\lsass.exe C:\WINXP\system32\Ati2evxx.exe C:\WINXP\system32\svchost.exe C:\WINXP\System32\svchost.exe C:\WINXP\system32\spoolsv.exe D:\appz\Avira\AntiVir Desktop\sched.exe D:\appz\Avira\AntiVir Desktop\avguard.exe C:\WINXP\system32\Ati2evxx.exe C:\WINXP\system32\wscntfy.exe C:\WINXP\Explorer.EXE C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\WINXP\RTHDCPL.EXE C:\Programme\Java\jre1.6.0_03\bin\jusched.exe D:\appz\Avira\AntiVir Desktop\avgnt.exe C:\WINXP\system32\ctfmon.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\WINXP\system32\wuauclt.exe C:\Programme\Mozilla Firefox\firefox.exe D:\appz\Hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.m*crosoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.m*crosoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.m*crosoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.m*crosoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.m*crosoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.m*crosoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.m*crosoft.com/fwlink/?LinkId=74005 O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" O4 - HKLM\..\Run: [avgnt] "D:\appz\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKCU\..\Run: [ctfmon.exe] C:\WINXP\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user') O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - D:\appz\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - D:\appz\Avira\AntiVir Desktop\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINXP\system32\Ati2evxx.exe mfg Bellic |
Hi, die Sache verschlimmert sich bei mir und ich kriegs nicht gelöst, kann jetzt auch auf die C: Partition nicht mehr zugreifen. Ausserdem habe ich per Zufall über NIC Detektor, ausser meiner Realtek Netzwerkkarte einen Generatic Dialup Adapter gefunden, welcher zwar noch inaktiv ist, aber ich eigendlich nicht rausfinden will was der anstellt, wenn der ans Werk geht ... Bringt es mir was meine Daten auf meiner externen Platte zu sichern und das System neu aufzusetzen? Ist diese auch befallen oder befindet sich der Virus nur auf dem PC und sorgt dafür das man nicht mehr auf die platte zugreifen kann ? mfg Bellic |
Hier ist noch mein Combofixlog ComboFix 09-03-29.02 - mob 2009-03-30 8:43:23.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.1022.707 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\mob\Desktop\ComboFix.exe AV: AntiVir Desktop *On-access scanning enabled* (Updated) * Neuer Wiederherstellungspunkt wurde erstellt . ((((((((((((((((((((((( Dateien erstellt von 2009-02-28 bis 2009-03-30 )))))))))))))))))))))))))))))) . 2009-03-30 08:30 . 2009-03-30 08:30 <DIR> d-------- c:\programme\Gemeinsame Dateien\Adobe 2009-03-28 22:41 . 2009-03-28 22:46 <DIR> d-------- c:\dokumente und einstellungen\mob\Anwendungsdaten\vlc 2009-03-28 22:40 . 2009-03-28 22:40 <DIR> d-------- c:\programme\VideoLAN 2009-03-28 16:39 . 2009-03-28 16:39 <DIR> d-------- c:\dokumente und einstellungen\mob\Anwendungsdaten\ImgBurn 2009-03-28 14:38 . 2009-03-28 14:38 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira 2009-03-28 14:38 . 2009-02-13 12:31 55,640 --a------ c:\winxp\system32\drivers\avgntflt.sys 2009-03-28 14:37 . 2009-03-28 14:37 <DIR> d-------- c:\dokumente und einstellungen\mob\Anwendungsdaten\Malwarebytes 2009-03-28 14:36 . 2009-03-28 14:36 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2009-03-28 14:36 . 2009-03-26 17:49 38,496 --a------ c:\winxp\system32\drivers\mbamswissarmy.sys 2009-03-28 14:36 . 2009-03-26 17:49 15,504 --a------ c:\winxp\system32\drivers\mbam.sys 2009-03-28 13:18 . 2009-03-28 13:30 139,264 --a------ c:\winxp\War3Unin.exe 2009-03-28 13:18 . 2009-03-28 17:16 71,920 --a------ c:\winxp\War3Unin.dat 2009-03-28 13:18 . 2009-03-28 13:30 2,829 --a------ c:\winxp\War3Unin.pif 2009-03-26 11:54 . 2009-03-26 11:54 <DIR> d-------- c:\dokumente und einstellungen\mob\Anwendungsdaten\FlashFXP 2009-03-26 11:35 . 2009-03-26 11:35 <DIR> d-------- c:\programme\Sun 2009-03-26 11:35 . 2007-09-25 00:31 69,632 --a------ c:\winxp\system32\javacpl.cpl 2009-03-26 11:34 . 2009-03-26 11:35 <DIR> d-------- c:\programme\Java 2009-03-26 11:34 . 2009-03-26 11:34 <DIR> d-------- c:\programme\Gemeinsame Dateien\Java 2009-03-26 10:50 . 2009-03-26 10:50 <DIR> d--hs---- c:\winxp\ftpcache 2009-03-26 10:27 . 2009-03-29 16:35 <DIR> d-------- c:\winxp\system32\Lang 2009-03-26 10:27 . 2009-03-26 10:27 940,794 --a------ c:\winxp\system32\LoopyMusic.wav 2009-03-26 10:27 . 2009-03-26 10:27 146,650 --a------ c:\winxp\system32\BuzzingBee.wav 2009-03-26 00:03 . 2009-03-26 00:03 <DIR> d-------- c:\dokumente und einstellungen\mob\Anwendungsdaten\Winamp 2009-03-25 21:30 . 2009-03-25 21:30 0 --a------ c:\winxp\nsreg.dat 2009-03-25 21:19 . 2008-04-14 08:52 21,504 --a------ c:\winxp\system32\hidserv.dll 2009-03-25 21:19 . 2008-04-14 08:52 21,504 --a--c--- c:\winxp\system32\dllcache\hidserv.dll 2009-03-25 21:19 . 2001-08-18 05:22 12,288 --a------ c:\winxp\system32\drivers\mouhid.sys 2009-03-25 21:19 . 2001-08-18 05:22 12,288 --a--c--- c:\winxp\system32\dllcache\mouhid.sys 2009-03-25 21:19 . 2008-04-14 01:15 10,368 --a------ c:\winxp\system32\drivers\hidusb.sys 2009-03-25 21:19 . 2008-04-14 01:15 10,368 --a--c--- c:\winxp\system32\dllcache\hidusb.sys 2009-03-25 21:12 . 2005-04-05 17:38 132,352 -ra------ c:\winxp\system32\drivers\b57xp32.sys 2009-03-25 21:12 . 2005-04-05 17:38 132,352 --a--c--- c:\winxp\system32\dllcache\b57xp32.sys . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-03-28 20:08 --------- d--h--w c:\programme\InstallShield Installation Information 2009-03-28 20:07 --------- d-----w c:\programme\Gemeinsame Dateien\InstallShield 2009-03-25 18:42 --------- d-----w c:\programme\CONEXANT 2009-03-25 18:35 --------- d-----w c:\dokumente und einstellungen\mob\Anwendungsdaten\ATI 2009-03-25 18:32 --------- d-----w c:\programme\ATI Technologies 2009-03-25 18:17 --------- d-----w c:\programme\microsoft frontpage 2009-03-25 18:14 --------- d-----w c:\programme\Online-Dienste 2009-03-25 18:14 --------- d-----w c:\programme\Gemeinsame Dateien\Dienste 2009-03-25 18:12 --------- d-----w c:\programme\Windows Media Connect 2 . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="c:\winxp\system32\ctfmon.exe" [2008-04-14 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ATICCC"="c:\programme\ATI Technologies\ATI.ACE\cli.exe" [2005-08-12 45056] "SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 132496] "avgnt"="d:\appz\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153] "Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696] "RTHDCPL"="RTHDCPL.EXE" [2005-11-17 c:\winxp\RTHDCPL.EXE] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\winxp\system32\CTFMON.EXE" [2008-04-14 15360] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce] "nltide_2"="shell32" [X] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "%windir%\\system32\\sessmgr.exe"= "d:\\appz\\Flash FXP\\FlashFXP.exe"= "d:\\games\\Ultima Online\\client.exe"= R2 AntiVirSchedulerService;Avira AntiVir Planer;d:\appz\Avira\AntiVir Desktop\sched.exe [2009-03-28 108289] . . ------- Zusätzlicher Suchlauf ------- . FF - ProfilePath - c:\dokumente und einstellungen\mob\Anwendungsdaten\Mozilla\Firefox\Profiles\019bwicm.default\ FF - prefs.js: browser.search.selectedEngine - Scroogle de FF - prefs.js: browser.startup.homepage - hxxp://www.spiegel.de/ ---- FIREFOX Richtlinien ---- FF - user.js: yahoo.homepage.dontask - true. ************************************************************************** catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-03-30 08:44:10 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(908) c:\winxp\system32\Ati2evxx.dll . Zeit der Fertigstellung: 2009-03-30 8:44:51 ComboFix-quarantined-files.txt 2009-03-30 06:44:49 Vor Suchlauf: 10 Verzeichnis(se), 11.027.922.944 Bytes frei Nach Suchlauf: 9 Verzeichnis(se), 11,018,657,792 Bytes frei WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINXP [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINXP="Microsoft Windows XP Professional" /noexecute=optin /fastdetect 111 |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 18:02 Uhr. |
Copyright ©2000-2025, Trojaner-Board