Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Recycler\ — Festplattenzugriff beinträchtigt

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 06.04.2009, 22:14   #1
Indyaner
 
Recycler\ — Festplattenzugriff beinträchtigt - Icon35

Recycler\ — Festplattenzugriff beinträchtigt



Hallo

Ich wende mich letzlich dann auch mal mit einem Thread an euch, nachdem ich die letzten 24 Stunden durch das lesen in diversen Thread eine linderung, aber keine völlige Bereinigung erfuhr.

Bei mir handelt es sich um das Problem dass diese ganzen User hier auch schon hatten (und ich gelesen habe).




Die Vorgeschichte:

Ich habe eine fragliche Datei aus dem Netz geladen und danach einen Bluescreen gehabt. Nach dem starten kam ich allerdings noch in Windows und hate aber eben den besagten Fehler. Interessant ist, dass ich auf die Platten (entgegen der anderen User in den Threads) noch zugreifen kann, wenn ich einfach in der Baum-Struktur auf den Laufwerksbuchstaben drücke.

Mein System wird eigentlich geschützt mit ESET NOD32 Antivirus.

Da ich alle Threads und Google-Ergebnisse zum Thema las, habe ich auch schon diverse Logs mit Malwarebytes, HiJackThis und Eset gemacht. Mit HijackThis fand sich am anfang auch gefährliche Einträge die ich löschte (und ich leider jetzt nichtmehr sagen kann wie diese hießen).

Ich habe das System einmal komplett neu aufgezogen von der Recovery-CD meines Notebooks (Windows Home Edition) und der Fehler trat aber immernoch auf C: auf. Ich dachte mir, dass dies vielelicht sei, weil die Recovery-CD das System nur überschreibt, nicht aber Formatiert. Ich formatiere daher C: und zog es wieder mit der Recovery-CD auf und C war zu dem Zeitpunkt nichtmehr mit diesem Fehler befallen.



Der Aktuelle Zustand:

Mein Windows XP Home Edition hat nun (nach dem format+recovery) alle aktuellen Updates inkl. SP3, wird geschützt durch ESET NOD32 Antivirus 4 (Studentenversion) und Zonealarm Firewall 6.5 (Freeware). Ich habe mit CCleaner die Registry geprüft und gesäubert.

Letzlich existiert das Problem nurnoch auf G: (Eine Truecrypt-verschlüsselte Platte) die nach dem Mounten diesen Fehler nennt. Der Trick mit dem löschen der Autoruns half bei mir nicht. Ich habe auch noch einen USB-Stick sowie zwei weitere externe Platten (Truecrypt verschlüsselt, waren auch gemountet als das Problem erstmals auftrat) die in meinen Augen nun allerdings auch kompromittiert sind und wo ich jetzt schon ratlos vorstehe die nach dem Mounten zu reinigen.

Malwarebytesm, ESET (Lokal- wie Onlinescanner) und HijackThis können keine Fehler feststellen (weder auf C noch auf dem gemounteten G). Deher erbitte ich Hilfe von euch als meine letzet Hoffnung.

Was kann ich noch probieren damit es weggeht?

Meine Logs:

HiJackThis:
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:53:28, on 06.04.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\ZcfgSvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\ATKKBService.exe
C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\WINDOWS\system32\RemoteControlService.exe
C:\Programme\Intel\Wireless\Bin\OProtSvc.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\ATK0100\HControl.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\ASUS\ASUS Live Update\ALU.exe
C:\Programme\ASUS\Wireless Console\wcourier.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\ASUS\Power4 Gear\BatteryLife.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EOUWiz.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\ESET\ESET NOD32 Antivirus\egui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Programme\ASUS\Asus ChkMail\ChkMail.exe
C:\Programme\Malwarebytes' Anti-Malware\mbam.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\TrueCrypt\TrueCrypt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.asus.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ASUS Live Update] C:\Programme\ASUS\ASUS Live Update\ALU.exe
O4 - HKLM\..\Run: [Wireless Console] C:\Programme\ASUS\Wireless Console\wcourier.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Power_Gear] C:\Programme\ASUS\Power4 Gear\BatteryLife.exe 1
O4 - HKLM\..\Run: [IntelZeroConfig] C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
O4 - HKLM\..\Run: [IntelWireless] C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [EOUApp] C:\Programme\Intel\Wireless\Bin\EOUWiz.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [egui] "C:\Programme\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: ASUS ChkMail.lnk = C:\Programme\ASUS\Asus ChkMail\ChkMail.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.asus.com
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - http://www.eset.eu/buxus/docs/OnlineScanner.cab
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Programme\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: ITE Remote Control Service (ITECIRService) - ITE Tech. Inc. - C:\WINDOWS\system32\RemoteControlService.exe
O23 - Service: OwnershipProtocol - Intel Corporation - C:\Programme\Intel\Wireless\Bin\OProtSvc.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation  - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

--
End of file - 5715 bytes
         

Malwarebytes:
Code:
ATTFilter
Malwarebytes' Anti-Malware 1.35
Datenbank Version: 1945
Windows 5.1.2600 Service Pack 3

06.04.2009 22:09:14
mbam-log-2009-04-06 (22-09-14).txt

Scan-Methode: Vollständiger Scan (C:\|G:\|)
Durchsuchte Objekte: 182026
Laufzeit: 3 hour(s), 25 minute(s), 28 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         

Microsoft Malware Removing Tool
(Der log ist nicht kopierbar, aber es wurden 2 TRojaner gefunden und entfernt. Leider habe ich mir vor dem klicken auf schleissen nicht notiert wie sie hiessen. Verdammt. Ich lass es derzeit nochmal laufen...)


Eset
Code:
ATTFilter
Scan Log
Version of virus signature database: 3989 (20090406)
Date: 06.04.2009  Time: 16:17:11
Scanned disks, folders and files: Operating memory;G:\Boot sector;G:\

Number of scanned objects: 133655
Number of threats found: 0
Time of completion: 20:59:07  Total scanning time: 16916 sec (04:41:56)
         

Software-Liste:
Code:
ATTFilter
Adobe Reader 7.0
Asus ChkMail
ASUS Enhanced Display Driver
ASUS GameFace Live
ASUS Live Update
ASUS Probe V2.12
ASUS VideoSecurity Online
Asus_A_Series_ScreenSaver
ATI Control Panel
ATI Display Driver
ATK0100 ACPI UTILITY
BisonCam, NB Pro
CCleaner (remove only)
ESET NOD32 Antivirus
ESET Online Scanner
HDAUDIO SoftV92 Data Fax Modem with SmartCP
High Definition Audio - KB888111
HijackThis 2.0.2
Intel(R) PROSet/Wireless Software
Malwarebytes' Anti-Malware
Mozilla Firefox (3.0.8)
MSXML 4.0 SP2 (KB954430)
Power4 Gear
Realtek High Definition Audio Driver
Remote Controller
Synaptics Pointing Device Driver
TrueCrypt
Windows Genuine Advantage Validation Tool (KB892130)
Windows XP Service Pack 3
WinFlash
Wireless Console
ZoneAlarm
         

Nachtrag:

Der Inahlt einer der gelöschten autorun.inf war übrigens
Code:
ATTFilter
[autorun]
;bzhznxrbkoabnlvmaoekbildfksftgetgvsmdiimcmaoyktsehgsbcedrbuolkkobbnxn
shellexecute="RECYCLER\S-2-2-78-100026122-100015138-100005506-6534.com d:\"
;sdywnfykmdkaaixficjxhysuqystwjkzomwmpzzrai
shell\Open\command="RECYCLER\S-2-2-78-100026122-100015138-100005506-6534.com d:\"
;zrelxafdykbcbrixwgaxsfkepjnyecw
shell=Open
         
Ich kam da (hoffentlich) gefahrlos dran, indem ich in der Registry die Autorun-Ausführung für angeschlossene Geräte unterband und damit (so hoffe ich) gefahrlos auf den USB-Stick zugreifen kann. Ich lasse paralel dazu weiter Tests laufen ob es wirklich ohne Folgen war...

Geändert von Indyaner (06.04.2009 um 23:12 Uhr)

Alt 06.04.2009, 23:25   #2
Indyaner
 
Recycler\ — Festplattenzugriff beinträchtigt - Standard

Recycler\ — Festplattenzugriff beinträchtigt



Eset hat schonmal in dem zusammenhang etwas auf dem USB-Stick gefunden:
Code:
ATTFilter
H:\RECYCLER\S-2-2-78-100026122-100015138-100005506-6534.com - Win32/AutoRun.Agent.LZ worm - cleaned by deleting - quarantined
         
Ausserdem hat der Microsoft Malware-Remover folgenden gefunden und entfernt:
Code:
ATTFilter
Trojan: Win32/Alureon!inf
         
(Vielleicht hilft das auch mal jemandem der später über diesen Thread stolpert)
__________________


Geändert von Indyaner (07.04.2009 um 00:21 Uhr)

Alt 07.04.2009, 01:30   #3
Indyaner
 
Recycler\ — Festplattenzugriff beinträchtigt - Standard

Recycler\ — Festplattenzugriff beinträchtigt



Und als letztes im Ablauf der Log von Combofix (Die ganzen Tutorials die ich dazu las machen einem ja wirklich angst, die Maus auch nur dabei zu bewegen )
Ich hoffe ihr könnt mir aufgrund der Infos nun etwas sagen

Ich danke schonmal im Vorraus. Ich finde dieses Forum ist eine SEHR gute Sache. Danke.


Code:
ATTFilter
ComboFix 09-04-04.01 - *** 2009-04-07  1:21:31.1 - FAT32x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.1.1031.18.2047.1553 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\***\Desktop\WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
AV: ESET NOD32 Antivirus 4.0 *On-access scanning disabled* (Updated)
FW: ZoneAlarm Firewall *disabled*
 * Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((   Dateien erstellt von 2009-03-06 bis 2009-04-06  ))))))))))))))))))))))))))))))
.

2009-04-06 23:04 . 2009-04-06 23:04	12	--a------	c:\windows\bthservsdp.dat
2009-04-06 22:43 . 2008-04-13 20:45	26,368	--a------	c:\windows\system32\dllcache\usbstor.sys
2009-04-06 16:15 . 2009-04-06 16:15	<DIR>	d--------	c:\dokumente und einstellungen\***\Anwendungsdaten\TrueCrypt
2009-04-06 16:14 . 2009-04-06 16:14	<DIR>	d--------	c:\programme\TrueCrypt
2009-04-06 16:14 . 2009-04-06 16:15	215,872	--a------	c:\windows\system32\drivers\truecrypt.sys
2009-04-06 16:11 . 2009-04-06 16:11	<DIR>	d--------	c:\programme\Malwarebytes' Anti-Malware
2009-04-06 16:11 . 2009-04-06 16:11	<DIR>	d--------	c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes
2009-04-06 16:11 . 2009-04-06 16:11	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-04-06 16:11 . 2009-03-26 16:49	38,496	--a------	c:\windows\system32\drivers\mbamswissarmy.sys
2009-04-06 16:11 . 2009-03-26 16:49	15,504	--a------	c:\windows\system32\drivers\mbam.sys
2009-04-06 16:08 . 2009-04-06 16:08	<DIR>	d--------	c:\programme\CCleaner
2009-04-06 15:43 . 2009-04-06 15:43	<DIR>	d--------	c:\programme\MSXML 4.0
2009-04-06 15:27 . 2009-04-06 15:27	<DIR>	d--------	c:\windows\system32\de-de
2009-04-06 15:27 . 2009-04-06 15:27	<DIR>	d--------	c:\windows\system32\de
2009-04-06 15:27 . 2009-04-06 15:27	<DIR>	d--------	c:\windows\system32\bits
2009-04-06 15:27 . 2009-04-06 15:27	<DIR>	d--------	c:\windows\l2schemas
2009-04-06 15:23 . 2009-04-06 15:23	<DIR>	d--------	c:\windows\ServicePackFiles
2009-04-06 15:14 . 2009-04-06 15:14	<DIR>	d--------	c:\windows\EHome
2009-04-06 15:04 . 2009-04-06 15:04	<DIR>	d--------	c:\programme\ESET
2009-04-06 15:04 . 2009-04-06 15:04	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\ESET
2009-04-06 14:52 . 2008-06-14 19:32	273,024	---------	c:\windows\system32\dllcache\bthport.sys
2009-04-06 14:51 . 2009-04-06 14:51	<DIR>	d--------	c:\programme\Trend Micro
2009-04-06 14:51 . 2008-12-12 19:01	3,088,896	---------	c:\windows\system32\dllcache\mshtml.dll
2009-04-06 14:51 . 2008-08-14 15:19	2,191,488	---------	c:\windows\system32\dllcache\ntoskrnl.exe
2009-04-06 14:51 . 2008-08-14 15:19	2,147,840	---------	c:\windows\system32\dllcache\ntkrnlmp.exe
2009-04-06 14:51 . 2008-08-14 15:19	2,068,352	---------	c:\windows\system32\dllcache\ntkrnlpa.exe
2009-04-06 14:51 . 2008-08-14 15:19	2,026,496	---------	c:\windows\system32\dllcache\ntkrpamp.exe
2009-04-06 14:51 . 2008-10-16 03:00	1,499,136	---------	c:\windows\system32\dllcache\shdocvw.dll
2009-04-06 14:51 . 2008-10-16 03:00	671,744	---------	c:\windows\system32\dllcache\wininet.dll
2009-04-06 14:51 . 2008-10-16 03:00	620,544	---------	c:\windows\system32\dllcache\urlmon.dll
2009-04-06 14:50 . 2008-10-24 13:21	455,296	---------	c:\windows\system32\dllcache\mrxsmb.sys
2009-04-06 14:50 . 2008-05-08 16:02	203,136	---------	c:\windows\system32\dllcache\rmcast.sys
2009-04-06 14:49 . 2008-12-11 12:57	333,952	---------	c:\windows\system32\dllcache\srv.sys
2009-04-06 14:49 . 2008-05-01 16:34	331,776	---------	c:\windows\system32\dllcache\msadce.dll
2009-04-06 14:48 . 2009-04-06 14:48	<DIR>	d--------	c:\programme\EsetOnlineScanner
2009-04-06 14:48 . 2008-09-04 19:15	1,106,944	---------	c:\windows\system32\dllcache\msxml3.dll
2009-04-06 14:48 . 2008-04-11 21:04	691,712	---------	c:\windows\system32\dllcache\inetcomm.dll
2009-04-06 14:48 . 2008-10-15 18:35	337,408	---------	c:\windows\system32\dllcache\netapi32.dll
2009-04-06 14:36 . 2008-04-14 04:22	4,274,816	---------	c:\windows\system32\nv4_disp.dll
2009-04-06 14:29 . 2009-04-06 14:29	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files
2009-04-06 14:18 . 2009-04-06 14:18	<DIR>	d--hs----	C:\FOUND.000
2009-04-06 14:13 . 2004-08-04 15:00	176,157	--a------	c:\windows\system32\dllcache\dgrpsetu.dll
2009-04-06 14:13 . 2004-08-04 15:00	103,936	--a------	c:\windows\system32\dllcache\eqnclass.dll
2009-04-06 14:13 . 2004-08-04 15:00	86,556	--a------	c:\windows\system32\dllcache\dgsetup.dll
2009-04-06 14:13 . 2004-08-04 15:00	24,661	--a------	c:\windows\system32\dllcache\spxcoins.dll
2009-04-06 14:13 . 2004-08-04 15:00	13,824	--a------	c:\windows\system32\dllcache\irclass.dll
2009-04-06 14:10 . 2009-04-06 14:10	<DIR>	d--h-----	c:\windows\$hf_mig$
2009-04-06 14:09 . 2009-04-06 14:09	<DIR>	d---s----	c:\dokumente und einstellungen\***\UserData
2009-04-06 14:09 . 2009-02-09 16:04	1,846,912	---------	c:\windows\system32\dllcache\win32k.sys
2009-04-06 14:07 . 2009-04-06 23:04	8,224	--ahs----	c:\windows\system32\drivers\fidbox.dat
2009-04-06 14:07 . 2009-04-06 23:04	1,148	--ahs----	c:\windows\system32\drivers\fidbox.idx
2009-04-06 14:03 . 2009-04-06 14:03	<DIR>	d--------	c:\programme\Zone Labs
2009-04-06 14:03 . 2009-04-06 14:03	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\MailFrontier
2009-04-06 14:02 . 2009-04-06 14:02	<DIR>	d--------	c:\windows\Internet Logs

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-06 11:49	17,801	----a-w	c:\windows\system32\drivers\AegisP.sys
2009-04-06 11:49	---------	d-----w	c:\windows\system32\config\systemprofile\Anwendungsdaten\Intel
2009-04-06 11:49	---------	d-----w	c:\dokumente und einstellungen\***\Anwendungsdaten\Intel
2009-04-06 11:48	---------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Intel
2009-04-06 11:47	606,848	----a-w	c:\windows\flashax.exe
2009-04-06 11:47	503,808	----a-w	c:\windows\Asus_A_Series_ScreenSaver.scr
2009-04-06 11:47	5,516,371	----a-w	c:\windows\A-series Demo.exe
2009-04-06 11:47	266,240	----a-w	c:\windows\ASUS A Series ScreenSaver Uninstaller.exe
2009-04-06 11:47	12,288	----a-w	c:\windows\impborl.dll
2009-04-06 11:46	---------	d-----w	c:\programme\CONEXANT
2009-04-06 11:46	---------	d-----w	c:\programme\ATI Technologies
2009-04-06 11:45	---------	d-----w	c:\programme\GameFace Live
2009-04-06 11:40	---------	d-----w	c:\windows\system32\config\systemprofile\Anwendungsdaten\Symantec
2009-04-06 11:40	---------	d-----w	c:\dokumente und einstellungen\***\Anwendungsdaten\Symantec
2009-04-06 11:40	---------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Symantec
2009-04-06 11:35	---------	d-----w	c:\programme\Intel
2009-04-06 11:33	---------	d-----w	c:\programme\Synaptics
2009-04-06 11:31	---------	d-----w	c:\programme\Gemeinsame Dateien\Adobe
2009-04-06 11:29	---------	d-----w	c:\programme\ASUS
2009-04-06 11:28	---------	d-----w	c:\programme\Realtek
2009-04-06 11:27	---------	d--h--w	c:\programme\InstallShield Installation Information
2009-04-06 11:27	---------	d-----w	c:\programme\Gemeinsame Dateien\InstallShield
2009-04-06 11:26	---------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\SBSI
2009-04-06 11:21	---------	d-----w	c:\programme\microsoft frontpage
2009-04-06 11:19	---------	d-----w	c:\programme\Online-Dienste
2009-04-06 11:19	---------	d-----w	c:\programme\Gemeinsame Dateien\Dienste
2009-02-09 14:04	1,846,912	----a-w	c:\windows\system32\win32k.sys
2009-02-06 12:24	93,336	----a-w	c:\windows\system32\drivers\epfwtdir.sys
2009-02-06 12:23	106,208	----a-w	c:\windows\system32\drivers\ehdrv.sys
2009-02-06 12:19	113,448	----a-w	c:\windows\system32\drivers\eamon.sys
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2008-04-14 1695232]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HControl"="c:\windows\ATK0100\HControl.exe" [2005-07-06 102400]
"ASUS Live Update"="c:\programme\ASUS\ASUS Live Update\ALU.exe" [2003-09-19 172032]
"Wireless Console"="c:\programme\ASUS\Wireless Console\wcourier.exe" [2005-07-22 57344]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2005-05-11 708697]
"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-05-12 344064]
"Power_Gear"="c:\programme\ASUS\Power4 Gear\BatteryLife.exe" [2005-06-16 86016]
"IntelZeroConfig"="c:\programme\Intel\Wireless\bin\ZCfgSvc.exe" [2005-05-31 401408]
"IntelWireless"="c:\programme\Intel\Wireless\Bin\ifrmewrk.exe" [2005-06-03 385024]
"EOUApp"="c:\programme\Intel\Wireless\Bin\EOUWiz.exe" [2005-05-31 356352]
"ZoneAlarm Client"="c:\programme\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016]
"egui"="c:\programme\ESET\ESET NOD32 Antivirus\egui.exe" [2009-02-06 2021400]
"RTHDCPL"="RTHDCPL.EXE" [2005-07-12 c:\windows\RTHDCPL.EXE]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 c:\windows\system32\bthprops.cpl]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
ASUS ChkMail.lnk - c:\programme\ASUS\Asus ChkMail\ChkMail.exe [2009-04-06 32768]
Adobe Reader Speed Launch.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\IntelWireless]
2005-05-31 22:46 110592 c:\programme\Intel\Wireless\Bin\LgNotify.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

R1 ehdrv;ehdrv;c:\windows\system32\drivers\ehdrv.sys [2009-02-06 106208]
R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [2009-02-06 93336]
R2 ekrn;ESET Service;c:\programme\ESET\ESET NOD32 Antivirus\ekrn.exe [2009-02-06 727720]
R2 ITECIRService;ITE Remote Control Service;c:\windows\system32\RemoteControlService.exe [2009-04-06 656384]
R3 AVerE506;AVerE506 service;c:\windows\system32\drivers\AVerE506.sys [2009-04-06 480512]
R3 ITECIR;ITE CIR Driver;c:\windows\system32\drivers\ITECIR.sys [2009-04-06 7366]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\O]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RECYCLER\S-4-2-46-100010629-100008949-100025579-7807.com m:\
\Shell\Open\command - RECYCLER\S-4-2-46-100010629-100008949-100025579-7807.com m:\
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.asus.com
FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\dohamm96.default\
FF - prefs.js: browser.search.selectedEngine - Wikipedia (de)
.

**************************************************************************

catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-07 01:23:37
Windows 5.1.2600 Service Pack 3 FAT NTAPI

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(992)
c:\windows\system32\Ati2evxx.dll
c:\programme\Intel\Wireless\Bin\LgNotify.dll
.
Zeit der Fertigstellung: 2009-04-07  1:24:43
ComboFix-quarantined-files.txt  2009-04-06 23:24:40

Vor Suchlauf: 12 Verzeichnis(se), 15.115.452.416 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 15,109,963,776 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

178
         
__________________

Antwort

Themen zu Recycler\ — Festplattenzugriff beinträchtigt
adobe, anfang, bho, bluescree, bluescreen, computer, eset nod32, explorer, externe platte, festplatte, firefox, handel, hijack, hijackthis, hkus\s-1-5-18, home, internet, internet explorer, laufwerksbuchstabe, logfile, malwarebytes' anti-malware, monitor, mozilla, problem, registrierungsschlüssel, registry, remote control, server, software, starten, system, trick, trojaner gefunden, updates, usb-stick, windows, windows xp



Ähnliche Themen: Recycler\ — Festplattenzugriff beinträchtigt


  1. Virus mit US Kennung beinträchtigt scheinbar den Internet Explorer
    Plagegeister aller Art und deren Bekämpfung - 07.11.2015 (12)
  2. Win 7x64 hängt minutenlang / dauerhaft Festplattenzugriff
    Log-Analyse und Auswertung - 04.03.2015 (10)
  3. Festplattenzugriff sehr langsam - Malware?
    Plagegeister aller Art und deren Bekämpfung - 07.05.2014 (15)
  4. Ständiger Festplattenzugriff, Firefox Umleitung, usw. (mit Logs)
    Log-Analyse und Auswertung - 13.04.2013 (21)
  5. Windows Verschlüsselungs Trojaner ...kein Festplattenzugriff mehr
    Plagegeister aller Art und deren Bekämpfung - 24.06.2012 (1)
  6. recycler, Ordner auf externer Platte als verknüpfung, mit verweiss auf datei in recycler
    Log-Analyse und Auswertung - 21.11.2011 (42)
  7. Recycler auf USB
    Log-Analyse und Auswertung - 26.05.2011 (33)
  8. Ständiger Festplattenzugriff und Ping Peaks, Online Gaming nicht möglich
    Log-Analyse und Auswertung - 25.12.2010 (25)
  9. VISTA Festplattenzugriff
    Log-Analyse und Auswertung - 10.01.2010 (2)
  10. Festplattenzugriff über Arbeitsplatz war verweigert; C:\WINDOWS\system32\olhrwef.exe
    Log-Analyse und Auswertung - 23.08.2009 (11)
  11. Ständiger Festplattenzugriff Virus?
    Log-Analyse und Auswertung - 20.08.2009 (4)
  12. Festplattenzugriff nur über Explorer; Virensoftware JEDER Art kann nicht zu starten!
    Plagegeister aller Art und deren Bekämpfung - 09.04.2009 (61)
  13. Kein Festplattenzugriff durch Recycler Problem
    Plagegeister aller Art und deren Bekämpfung - 18.03.2009 (3)
  14. Kein Festplattenzugriff (RAW statt NTFS) und bediddle.com
    Log-Analyse und Auswertung - 27.11.2008 (35)
  15. Festplattenzugriff, Tast Manager u.s.w verweigert, Sys.exe Virus?
    Log-Analyse und Auswertung - 16.07.2008 (13)
  16. Vista Sp1 ständiger Festplattenzugriff
    Log-Analyse und Auswertung - 22.06.2008 (12)
  17. Festplattenzugriff sehr hoch
    Mülltonne - 18.07.2007 (1)

Zum Thema Recycler\ — Festplattenzugriff beinträchtigt - Hallo Ich wende mich letzlich dann auch mal mit einem Thread an euch, nachdem ich die letzten 24 Stunden durch das lesen in diversen Thread eine linderung, aber keine völlige - Recycler\ — Festplattenzugriff beinträchtigt...
Archiv
Du betrachtest: Recycler\ — Festplattenzugriff beinträchtigt auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.