Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Trojaner eingefangen mit "recycler\... Fehler" (https://www.trojaner-board.de/70715-trojaner-eingefangen-recycler-fehler.html)

beuse79 05.03.2009 23:03
Trojaner eingefangen mit "recycler\... Fehler"
 
Nabend miteinander,
so wie es ausschaut hab ich mir wohl einen Trojaner eingefangen.
Zumindestens bekam ich unter Win XP den Fehler
"Recycler\S-8-1-63-100030272-100019458-100016067-2875.com" angezeigt und konnte nicht mehr auf meine Partiotionen zugreifen. Unter Windows Vista 64-Bit Version ging dieses jedoch vorerst problemlos.
Daraufhin begann ich hier im Forum zu lesen und habe die ComboFix.exe ausgeführt die mir folgendne Log brachte:

ComboFix 09-03-04.01 - B**** 2009-03-05 22:37:08.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.2047.1722 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\****\Desktop\ComboFix.exe
FW: ActiveArmor Firewall *disabled*
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\autorun.inf
c:\recycler\S-3-3-23-100000222-100011185-100017790-8356.com
c:\winxp\BM2f32923c.txt
c:\winxp\BM2f32923c.xml
c:\winxp\pskt.ini
c:\winxp\system32\drivers\gaopdxaorgdpdkaldgictujdvewbehnxdhettk.sys
c:\winxp\system32\drivers\gaopdxetnkfxhkltewxdqqltprrvivasftrxna.sys
c:\winxp\system32\drivers\gaopdxkmoynpsbivmpydebwqgoxjixbqkllwpe.sys
c:\winxp\system32\drivers\gaopdxoyqmqwubrxnssyojncrpuyarmppqpxjr.sys
c:\winxp\system32\gaopdxcounter
c:\winxp\system32\gaopdxirimrltdfoqxroajhydnxuyvvtqxodqv.dll
c:\winxp\system32\jriokrex.ini
c:\winxp\system32\vFNooUtv.ini
c:\winxp\system32\vFNooUtv.ini2
D:\Autorun.inf
d:\recycler\S-3-3-23-100000222-100011185-100017790-8356.com
d:\recycler\S-4-3-76-100016782-100027433-100005993-3202.com
d:\recycler\S-5-8-91-100001886-100016999-100000540-7223.com
d:\recycler\S-8-1-63-100030272-100019458-100016067-2875.com
E:\Autorun.inf
e:\recycler\S-3-3-23-100000222-100011185-100017790-8356.com
e:\recycler\S-4-3-76-100016782-100027433-100005993-3202.com
e:\recycler\S-5-8-91-100001886-100016999-100000540-7223.com
e:\recycler\S-8-1-63-100030272-100019458-100016067-2875.com

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_gaopdxserv.sys


((((((((((((((((((((((( Dateien erstellt von 2009-02-05 bis 2009-03-05 ))))))))))))))))))))))))))))))
.

2009-03-05 22:24 . 2009-03-05 22:16 2,932,444 -ra------ C:\ComboFix.exe
2009-03-05 22:06 . 2009-03-05 22:06 <DIR> d-------- c:\dokumente und einstellungen\****\Anwendungsdaten\Simply Super Software
2009-03-05 22:06 . 2009-03-05 22:06 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Simply Super Software
2009-03-05 22:06 . 2006-05-25 14:52 162,304 --a------ c:\winxp\system32\ztvunrar36.dll
2009-03-05 22:06 . 2003-02-02 19:06 153,088 --a------ c:\winxp\system32\unrar3.dll
2009-03-05 22:06 . 2005-08-26 00:50 77,312 --a------ c:\winxp\system32\ztvunace26.dll
2009-03-05 22:06 . 2002-03-06 00:00 75,264 --a------ c:\winxp\system32\unacev2.dll
2009-03-05 22:06 . 2006-06-19 12:01 69,632 --a------ c:\winxp\system32\ztvcabinet.dll
2009-03-05 21:55 . 2009-03-05 21:55 0 --------- c:\winxp\tm.ini
2009-03-05 21:55 . 2009-03-05 21:55 0 --------- c:\winxp\tdf.dii
2009-03-05 17:42 . 2009-03-05 17:42 <DIR> d-------- c:\programme\KIS2009
2009-03-05 17:39 . 2009-03-05 21:56 653 --a------ c:\winxp\wiso.ini
2009-03-05 17:38 . 2009-03-05 17:38 <DIR> d-------- c:\programme\WISO
2009-03-05 17:38 . 2009-03-05 17:38 <DIR> d-------- c:\programme\Gemeinsame Dateien\Buhl Data Service
2009-03-05 17:37 . 2009-03-05 17:37 <DIR> d-------- c:\dokumente und einstellungen\****\Anwendungsdaten\Buhl Data Service
2009-03-05 17:36 . 2009-03-05 17:36 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Buhl Data Service GmbH
2009-03-05 17:33 . 2009-03-05 17:31 1,049,088 --a------ c:\winxp\system32\msxml3.dll
2009-03-05 17:28 . 2008-04-19 11:46 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Vorlagen
2009-03-05 17:28 . 2008-04-19 18:43 <DIR> dr------- c:\dokumente und einstellungen\Administrator\Startmenü
2009-03-05 17:28 . 2008-04-19 18:43 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Netzwerkumgebung
2009-03-05 17:28 . 2008-04-19 18:43 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen
2009-03-05 17:28 . 2008-04-19 18:43 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Favoriten
2009-03-05 17:28 . 2008-04-19 18:43 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Druckumgebung
2009-03-05 17:28 . 2008-04-19 18:43 <DIR> dr-h----- c:\dokumente und einstellungen\Administrator\Anwendungsdaten
2009-03-05 17:28 . 2009-03-05 17:28 <DIR> d-------- c:\dokumente und einstellungen\Administrator

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-05 20:39 --------- d-----w c:\programme\CCleaner
2009-03-05 16:52 --------- d-----w c:\programme\Gemeinsame Dateien\Stardock
2009-03-05 16:51 2,560 ----a-w c:\winxp\_MSRSTRT.EXE
2009-03-05 16:49 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2009-03-05 16:38 --------- d--h--w c:\programme\InstallShield Installation Information
2009-03-05 16:13 --------- d-----w c:\dokumente und einstellungen\*****\Anwendungsdaten\uTorrent
2009-01-19 16:18 --------- d-----w c:\programme\IrfanView
2008-04-19 10:39 32 ----a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\ezsid.dat
2008-05-11 04:54 16,384 --sha-w c:\winxp\system32\config\systemprofile\Cookies\index.dat
2008-05-11 04:54 32,768 --sha-w c:\winxp\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
2008-05-11 04:54 32,768 --sha-w c:\winxp\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
2008-05-11 04:53 32,768 --sha-w c:\winxp\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008051120080512\index.dat
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{57BCA5FA-5DBB-45a2-B558-1755C3F6253B}"= "c:\programme\Winamp Toolbar\winamptb.dll" [2008-03-19 1267040]

[HKEY_CLASSES_ROOT\clsid\{57bca5fa-5dbb-45a2-b558-1755c3f6253b}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLTBSearch.1]
[HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLTBSearch]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\winxp\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AsusStartupHelp"="c:\programme\ASUS\AASP\1.00.16\AsRunHelp.exe" [2006-11-14 363008]
"NvCplDaemon"="c:\winxp\system32\NvCpl.dll" [2008-03-24 13524992]
"zBrowser Launcher"="c:\programme\Logitech\iTouch\iTouch.exe" [2004-03-18 892928]
"NvMediaCenter"="c:\winxp\system32\NvMcTray.dll" [2008-03-24 86016]
"WinampAgent"="c:\programme\Winamp\winampa.exe" [2007-10-10 36352]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-10 40048]
"nwiz"="nwiz.exe" [2008-03-24 c:\winxp\system32\nwiz.exe]
"CTHelper"="CTHELPER.EXE" [2006-08-11 c:\winxp\CTHELPER.EXE]
"CTxfiHlp"="CTXFIHLP.EXE" [2006-08-11 c:\winxp\system32\CTXFIHLP.EXE]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-11-28 c:\winxp\KHALMNPR.Exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\winxp\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_2"="shell32" [X]
"nltide_3"="advpack.dll" [2008-12-21 c:\winxp\system32\advpack.dll]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Logitech SetPoint.lnk - c:\programme\Logitech\SetPoint\SetPoint.exe [2008-04-19 789008]
REALTEK RTL8187 Wireless LAN Utility.lnk - c:\programme\REALTEK RTL8187 Wireless LAN Driver and Utility\RtWLan.exe [2008-10-24 675840]
WISO Urteilsmonitor.lnk - c:\programme\WISO\Sparbuch 2008\urteilsmonitor.exe [2009-03-05 995328]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2008-01-09 09:00 72208 c:\programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTWLgn.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\NVIDIA Corporation\\NetworkAccessManager\\Apache Group\\Apache2\\bin\\Apache.exe"=
"c:\\kav\\kis7.0\\german\\setup.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\uTorrent\\uTorrent.exe"=

S3 RTLWUSB;Realtek RTL8187 Wireless 802.11g 54Mbps USB 2.0 Network Adapter;c:\winxp\system32\drivers\RTL8187.SYS [2008-10-24 180608]
S3 S6U12Scanner;MUSTEK 1200 CU Still Image Device Service;c:\winxp\system32\drivers\UsbScan.sys [2008-04-19 15104]
S3 TSMPacket;DSL-Manager Service;c:\winxp\system32\DRIVERS\tsmpkt.sys --> c:\winxp\system32\DRIVERS\tsmpkt.sys [?]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners

2009-03-05 c:\winxp\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2008\OneClickStarter.exe [2008-02-29 06:28]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

BHO-{5F4E753E-36DD-4691-BC59-2192B1B25C68} - (no file)
BHO-{E243A8E7-6244-49E0-A361-22DBF30FD46C} - (no file)
ShellExecuteHooks-{E243A8E7-6244-49E0-A361-22DBF30FD46C} - (no file)
Notify-pmnmjJCt - pmnmjJCt.dll


.
------- Zusätzlicher Suchlauf -------
.
IE: &Winamp Search - c:\dokumente und einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~1\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\k12w4kr8.default\
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2009-03-05 22:39:28
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•6~*]
"7040110900063D11C8EF10054038389C"="C?\\WINXP\\system32\\FM20ENU.DLL"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(740)
c:\programme\gemeinsame dateien\logishrd\bluetooth\LBTWlgn.dll
c:\programme\gemeinsame dateien\logishrd\bluetooth\LBTServ.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\Apache.exe
c:\programme\Nero\Nero8\Nero BackItUp\NBService.exe
c:\programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
c:\winxp\system32\nvsvc32.exe
c:\winxp\system32\IoctlSvc.exe
c:\programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
c:\programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\Apache.exe
c:\winxp\system32\wscntfy.exe
c:\winxp\system32\rundll32.exe
c:\programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-03-05 22:40:58 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-03-05 21:40:56

Vor Suchlauf: 19 Verzeichnis(se), 92,755,202,048 Bytes frei
Nach Suchlauf: 19 Verzeichnis(se), 92,694,536,192 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
;
;Warning: Boot.ini is used on Windows XP and earlier operating systems.
;Warning: Use BCDEDIT.exe to modify Windows Vista boot options.
;
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINXP
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINXP="Microsoft Windows XP Professional" /NOEXECUTE=OPTIN /FASTDETECT /USEPMTIMER

197 --- E O F --- 2009-03-05 16:14:02

Da ich aus dem nicht ganz schlau werde wollte ich jetzt nachfragen in wie weit ich weiter vorgehen muss

Wie gesagt auf dem System ist Windows XP Prof und Windows Vista 64 Bit installiert.
Thx

a5cl3p1o5 06.03.2009 03:22
Hallo beuse79,

Du hattest einen DNS Changer auf Deinem Computer, welcher aber entfernt wurde. Auch weitere Viren wurden entfernt, welche ich aber so spontan nicht an den Dateinamen erkenne. Du solltest dringend alle Deine Internetpasswörter (Onlinebanking, eBay, eMail ..) ändern.
Mehr Informationen erhältst Du, wenn Du hier im Forum nach "Ukraine" suchst.

Vielleicht denkst Du auch über eine Neuinstallation Deines Systems nach.

Grüße
a5cl3p1o5


Alle Zeitangaben in WEZ +1. Es ist jetzt 09:11 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55