Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   RECYCLER\S-9-2-97-10002891-...-1323.com konnte nicht gefunden werden (https://www.trojaner-board.de/71481-recycler-s-9-2-97-10002891-1323-com-konnte-gefunden.html)

bellic 28.03.2009 15:27
RECYCLER\S-9-2-97-10002891-...-1323.com konnte nicht gefunden werden
 
Hi,
ich habe folgendes Problem und hoffe, dass mir hier jemand weiterhelfen kann :
Habe mir vor ein paar Tagen einen neuen USB stick gekauft, steck ihn ein und das erste was passiert ist, dass sich Antivir meldet und es wurde auf dem stick auf dem Pfad F:\RECYCLER\S-9-2-97-1000...-1323.com ein Virus oder unerwünschtes Programm 'TR/TDss.uvz'[trojan] gefunden. Unter dem Arbeitsplatz konnte ich den stick nicht öffnen, es erscheint immer die Fehlermeldung " F\RECYCLER\S-9-2-97-100...-1323.com konnte nicht gefunden werden". Erst dacht ich was soll der Sch... , wie kann auf einem Fabrikneuen stick bereits ein virus sein, aber wenig später konnte ich auch meine externe Festplatte nicht mehr öffnen, selber Fehler.
Dann hab ich das googeln angefangen und hier in dem Forum einen Thread gefunden in dem König Mops fast das gleiche Problem hat. Hab dann versucht genauso vorzugehen aber irgendwie klappt das bei mir nicht. Antivir und Malwarebytes finden beim Suchlauf nichts verdächtiges. Dann hab ich erstmal versucht die autorun.inf via avanger und fileassisin zu löschen. Das hat aber auch nicht geklappt :(

Naja ich poste mal meine hijacklog und hoffe das jemand schlau daraus wird, ich habe leider wenig ahnung :/

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:50:08, on 28.03.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\Ati2evxx.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\spoolsv.exe
D:\appz\Avira\AntiVir Desktop\sched.exe
D:\appz\Avira\AntiVir Desktop\avguard.exe
C:\WINXP\system32\Ati2evxx.exe
C:\WINXP\system32\wscntfy.exe
C:\WINXP\Explorer.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINXP\RTHDCPL.EXE
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
D:\appz\Avira\AntiVir Desktop\avgnt.exe
C:\WINXP\system32\ctfmon.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINXP\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\appz\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.m*crosoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.m*crosoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.m*crosoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.m*crosoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.m*crosoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.m*crosoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.m*crosoft.com/fwlink/?LinkId=74005
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "D:\appz\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINXP\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - D:\appz\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - D:\appz\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINXP\system32\Ati2evxx.exe

mfg Bellic

bellic 29.03.2009 19:22
Hi,

die Sache verschlimmert sich bei mir und ich kriegs nicht gelöst, kann jetzt auch auf die C: Partition nicht mehr zugreifen.
Ausserdem habe ich per Zufall über NIC Detektor, ausser meiner Realtek Netzwerkkarte einen Generatic Dialup Adapter gefunden, welcher zwar noch inaktiv ist, aber ich eigendlich nicht rausfinden will was der anstellt, wenn der ans Werk geht ...
Bringt es mir was meine Daten auf meiner externen Platte zu sichern und das System neu aufzusetzen? Ist diese auch befallen oder befindet sich der Virus nur auf dem PC und sorgt dafür das man nicht mehr auf die platte zugreifen kann ?

mfg Bellic

bellic 30.03.2009 08:59
Hier ist noch mein Combofixlog

ComboFix 09-03-29.02 - mob 2009-03-30 8:43:23.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.1022.707 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\mob\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning enabled* (Updated)
* Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((( Dateien erstellt von 2009-02-28 bis 2009-03-30 ))))))))))))))))))))))))))))))
.

2009-03-30 08:30 . 2009-03-30 08:30 <DIR> d-------- c:\programme\Gemeinsame Dateien\Adobe
2009-03-28 22:41 . 2009-03-28 22:46 <DIR> d-------- c:\dokumente und einstellungen\mob\Anwendungsdaten\vlc
2009-03-28 22:40 . 2009-03-28 22:40 <DIR> d-------- c:\programme\VideoLAN
2009-03-28 16:39 . 2009-03-28 16:39 <DIR> d-------- c:\dokumente und einstellungen\mob\Anwendungsdaten\ImgBurn
2009-03-28 14:38 . 2009-03-28 14:38 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-03-28 14:38 . 2009-02-13 12:31 55,640 --a------ c:\winxp\system32\drivers\avgntflt.sys
2009-03-28 14:37 . 2009-03-28 14:37 <DIR> d-------- c:\dokumente und einstellungen\mob\Anwendungsdaten\Malwarebytes
2009-03-28 14:36 . 2009-03-28 14:36 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-03-28 14:36 . 2009-03-26 17:49 38,496 --a------ c:\winxp\system32\drivers\mbamswissarmy.sys
2009-03-28 14:36 . 2009-03-26 17:49 15,504 --a------ c:\winxp\system32\drivers\mbam.sys
2009-03-28 13:18 . 2009-03-28 13:30 139,264 --a------ c:\winxp\War3Unin.exe
2009-03-28 13:18 . 2009-03-28 17:16 71,920 --a------ c:\winxp\War3Unin.dat
2009-03-28 13:18 . 2009-03-28 13:30 2,829 --a------ c:\winxp\War3Unin.pif
2009-03-26 11:54 . 2009-03-26 11:54 <DIR> d-------- c:\dokumente und einstellungen\mob\Anwendungsdaten\FlashFXP
2009-03-26 11:35 . 2009-03-26 11:35 <DIR> d-------- c:\programme\Sun
2009-03-26 11:35 . 2007-09-25 00:31 69,632 --a------ c:\winxp\system32\javacpl.cpl
2009-03-26 11:34 . 2009-03-26 11:35 <DIR> d-------- c:\programme\Java
2009-03-26 11:34 . 2009-03-26 11:34 <DIR> d-------- c:\programme\Gemeinsame Dateien\Java
2009-03-26 10:50 . 2009-03-26 10:50 <DIR> d--hs---- c:\winxp\ftpcache
2009-03-26 10:27 . 2009-03-29 16:35 <DIR> d-------- c:\winxp\system32\Lang
2009-03-26 10:27 . 2009-03-26 10:27 940,794 --a------ c:\winxp\system32\LoopyMusic.wav
2009-03-26 10:27 . 2009-03-26 10:27 146,650 --a------ c:\winxp\system32\BuzzingBee.wav
2009-03-26 00:03 . 2009-03-26 00:03 <DIR> d-------- c:\dokumente und einstellungen\mob\Anwendungsdaten\Winamp
2009-03-25 21:30 . 2009-03-25 21:30 0 --a------ c:\winxp\nsreg.dat
2009-03-25 21:19 . 2008-04-14 08:52 21,504 --a------ c:\winxp\system32\hidserv.dll
2009-03-25 21:19 . 2008-04-14 08:52 21,504 --a--c--- c:\winxp\system32\dllcache\hidserv.dll
2009-03-25 21:19 . 2001-08-18 05:22 12,288 --a------ c:\winxp\system32\drivers\mouhid.sys
2009-03-25 21:19 . 2001-08-18 05:22 12,288 --a--c--- c:\winxp\system32\dllcache\mouhid.sys
2009-03-25 21:19 . 2008-04-14 01:15 10,368 --a------ c:\winxp\system32\drivers\hidusb.sys
2009-03-25 21:19 . 2008-04-14 01:15 10,368 --a--c--- c:\winxp\system32\dllcache\hidusb.sys
2009-03-25 21:12 . 2005-04-05 17:38 132,352 -ra------ c:\winxp\system32\drivers\b57xp32.sys
2009-03-25 21:12 . 2005-04-05 17:38 132,352 --a--c--- c:\winxp\system32\dllcache\b57xp32.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-28 20:08 --------- d--h--w c:\programme\InstallShield Installation Information
2009-03-28 20:07 --------- d-----w c:\programme\Gemeinsame Dateien\InstallShield
2009-03-25 18:42 --------- d-----w c:\programme\CONEXANT
2009-03-25 18:35 --------- d-----w c:\dokumente und einstellungen\mob\Anwendungsdaten\ATI
2009-03-25 18:32 --------- d-----w c:\programme\ATI Technologies
2009-03-25 18:17 --------- d-----w c:\programme\microsoft frontpage
2009-03-25 18:14 --------- d-----w c:\programme\Online-Dienste
2009-03-25 18:14 --------- d-----w c:\programme\Gemeinsame Dateien\Dienste
2009-03-25 18:12 --------- d-----w c:\programme\Windows Media Connect 2
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\winxp\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATICCC"="c:\programme\ATI Technologies\ATI.ACE\cli.exe" [2005-08-12 45056]
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 132496]
"avgnt"="d:\appz\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"RTHDCPL"="RTHDCPL.EXE" [2005-11-17 c:\winxp\RTHDCPL.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\winxp\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_2"="shell32" [X]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"d:\\appz\\Flash FXP\\FlashFXP.exe"=
"d:\\games\\Ultima Online\\client.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planer;d:\appz\Avira\AntiVir Desktop\sched.exe [2009-03-28 108289]
.
.
------- Zusätzlicher Suchlauf -------
.
FF - ProfilePath - c:\dokumente und einstellungen\mob\Anwendungsdaten\Mozilla\Firefox\Profiles\019bwicm.default\
FF - prefs.js: browser.search.selectedEngine - Scroogle de
FF - prefs.js: browser.startup.homepage - hxxp://www.spiegel.de/

---- FIREFOX Richtlinien ----
FF - user.js: yahoo.homepage.dontask - true.

**************************************************************************

catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-30 08:44:10
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(908)
c:\winxp\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2009-03-30 8:44:51
ComboFix-quarantined-files.txt 2009-03-30 06:44:49

Vor Suchlauf: 10 Verzeichnis(se), 11.027.922.944 Bytes frei
Nach Suchlauf: 9 Verzeichnis(se), 11,018,657,792 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINXP
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINXP="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

111


Alle Zeitangaben in WEZ +1. Es ist jetzt 23:10 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131