Trojaner-Board - Kann nicht auf C: und nicht auf ext. Platte zugreifen -> RECYCLER\[...].com fehlt

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Kann nicht auf C: und nicht auf ext. Platte zugreifen -> RECYCLER\[...].com fehlt (https://www.trojaner-board.de/73342-c-ext-platte-zugreifen-recycler-com-fehlt.html)

Kann nicht auf C: und nicht auf ext. Platte zugreifen -> RECYCLER\[...].com fehlt

Hallo,

bin neu hier und habe folgende Probleme:
1. Werde bei Google-Links (Suchergebnissen) auf Spam-Seiten weitergeleitet und nicht auf die entsprechende Seite des Suchergebnisses.

2. Kann nicht auf die Festplatte (:C) zugreifen wegen Fehler: "RECYCLER-S-8-3-41-1000032594-1000025272-100000648-1707.com konnte nicht gefunden werden"

Das Problem habe ich seit einigen Tagen. Ich habe dann eine Neuinstallation von XP durchgeführt (vorher die Partition formatiert), danach die externe Festplatte eingehängt, um gesicherte Daten zu überspielen.

Ich dachte, ich hätte das Problem mit der Neuinstallation behoben, aber nun ist es eher noch schlimmer: Ich kann auch nicht mehr auf die externe Festplatte (:E) zugreifen.

Liegt es an der externen Festplatte? Ich habe leider nur wenig Ahnung. Könnt ihr mir helfen?

Ich habe versucht, alle "Schritte für Hilfesuchende" auszuführen.
1. CCleaner ausgeführt (solange bis keine Fehler mehr gemeldet wurden)

2. Malwarebytes Anti-Malware- Report:

Code:

Malwarebytes' Anti-Malware 1.36

Datenbank Version: 1945

Windows 5.1.2600 Service Pack 2
 

21.05.2009 05:10:15

mbam-log-2009-05-21 (05-10-15).txt
 

Scan-Methode: Vollständiger Scan (C:\|E:\|)

Durchsuchte Objekte: 153465

Laufzeit: 15 minute(s), 14 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 12

Infizierte Verzeichnisse: 0

Infizierte Dateien: 1
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.25,85.255.112.165 -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{749d9c6c-9586-4e0c-ace8-b169173bb896}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.25,85.255.112.165 -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{7f3f0deb-df4f-41a0-b5a2-6d652e6fa062}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.25,85.255.112.165 -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{d21ef853-e5f7-40d9-8337-93ccabcc45a5}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.25,85.255.112.165 -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.25,85.255.112.165 -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{749d9c6c-9586-4e0c-ace8-b169173bb896}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.25,85.255.112.165 -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{7f3f0deb-df4f-41a0-b5a2-6d652e6fa062}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.25,85.255.112.165 -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{d21ef853-e5f7-40d9-8337-93ccabcc45a5}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.25,85.255.112.165 -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.25,85.255.112.165 -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{749d9c6c-9586-4e0c-ace8-b169173bb896}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.25,85.255.112.165 -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{7f3f0deb-df4f-41a0-b5a2-6d652e6fa062}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.25,85.255.112.165 -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{d21ef853-e5f7-40d9-8337-93ccabcc45a5}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.25,85.255.112.165 -> Quarantined and deleted successfully.
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

C:\WINDOWS\Temp\tempo-2555644.tmp (Trojan.DNSChanger) -> Quarantined and deleted successfully.

3. Mein LogFile von HiJackThis:

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 04:14:50, on 21.05.2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\Java\jre6\bin\jusched.exe

C:\Programme\TortoiseSVN\bin\TSVNCache.exe

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\AGRSMMSG.exe

C:\Programme\ltmoh\Ltmoh.exe

C:\Programme\Synaptics\SynTP\SynTPLpr.exe

C:\Programme\Synaptics\SynTP\SynTPEnh.exe

C:\Programme\GlobespanVirata\XPFix.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\Microsoft Office\Office\FINDFAST.EXE

C:\Programme\Microsoft Office\Office\OSA.EXE

C:\Programme\Cisco Systems\VPN Client\cvpnd.exe

C:\Programme\Java\jre6\bin\jqs.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\Programme\Mozilla Firefox\firefox.exe

C:\Dokumente und Einstellungen\*\Desktop\HiJackThis.exe
 

O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll

O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [LtMoh] C:\Programme\ltmoh\Ltmoh.exe

O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [XPFix] C:\Programme\GlobespanVirata\XPFix.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"

O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: hamachi.lnk = C:\Programme\Hamachi\hamachi.exe

O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE

O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE

O4 - Global Startup: VPN Client.lnk = ?

O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{749D9C6C-9586-4E0C-ACE8-B169173BB896}: NameServer = 85.255.112.25,85.255.112.165

O17 - HKLM\System\CCS\Services\Tcpip\..\{7F3F0DEB-DF4F-41A0-B5A2-6D652E6FA062}: NameServer = 85.255.112.25,85.255.112.165

O17 - HKLM\System\CCS\Services\Tcpip\..\{D21EF853-E5F7-40D9-8337-93CCABCC45A5}: NameServer = 85.255.112.25,85.255.112.165

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.25,85.255.112.165

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.25,85.255.112.165

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.25,85.255.112.165

O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll

O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe

O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
 

--

End of file - 4981 bytes

Was muss ich tun, um die Probleme zu beheben?
Vielen Dank schonmal ...

Habe jetzt noch den Kaspersky Online Scan durchgeführt.
Leider konnte ich den Scan-Report nicht speichern, da der Link nicht aktiv war.
Aber der Scan hat folgenden Eintrag gefunden:

globalroot\systemroot\system32\gxvxcqmrxswfwubyoydgaoqivkkwobmqhbqqp.dll || Trojan.Win32.Tdss.acdc || 1

Wir krieg ich das nun runter vom Rechner?

Bitte helft, es ist dringend ...
Danke!

Hallo,

ich hab nicht sooo viel Ahnung aber ich hatte auch das Problem bis gestern Abend das ich keine USB Sticks bzw. keine externe Geräte mehr benutzen konnte und das ich keinen direkten Zugriff mehr auf meine Festplatten hatte.

Bei mir kam auch so eine Fehlermeldung.

Ich habe einfach nach Anleitung hier im Forum Combofix benutzt, vorher Hijack. Danach war zumindest dieser Fehler bei mir behoben.

Hoffe es hilft dir ein bisschen.

Code:

O17 - HKLM\System\CCS\Services\Tcpip\..\{749D9C6C-9586-4E0C-ACE8-B169173BB896}: NameServer = 85.255.112.25,85.255.112.165

O17 - HKLM\System\CCS\Services\Tcpip\..\{7F3F0DEB-DF4F-41A0-B5A2-6D652E6FA062}: NameServer = 85.255.112.25,85.255.112.165

O17 - HKLM\System\CCS\Services\Tcpip\..\{D21EF853-E5F7-40D9-8337-93CCABCC45A5}: NameServer = 85.255.112.25,85.255.112.165

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.25,85.255.112.165

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.25,85.255.112.165

Auf jeden fall solltest du Onlinebanking,Ebay, Amazon, etc von diesem System nicht betreiben da dein gesamter Datenverkehr über die Ukraine geht.

Code:

IP-Adresse [?]:           85.255.112.25  Kopieren  [Whois]  [Reverse IP]

Ländercode der IP:         UA

Land der IP:         ip address flag Ukraine

Bundesland der IP:         Odes'ka Oblast'

Stadt der IP:         Odessa

Breitengrad der IP:         46.466702

Längengrad der IP:         30.733299

Provider der IP [?]:         UkrTeleGroup Ltd.

Organisation:         UkrTeleGroup Ltd.

Host der IP: [?]:         85.255.112.25.static.ukrtelegroup.com.ua [Whois] [Trace]

Lokale Zeit in Ukraine:         2009-05-21 13:04

Wie, oder ob es überhaupt sinnvoll ist zu bereinigen kann ich dir leider nicht sagen. Da musst du den Rat eines Kompetenzlers abwarten.

Hallo und :hallo:

Falls du noch irgendetwas hast, dass du mit dem Computer verbindest, wie Speicherkarten, USB-Sticks, externe Festplatten, ... dann stecke alles an.

ComboFix

Achtung: Die Anleitung ist veraltet. Den Teil mit der Systemwiederherstellungskonsole nicht ausführen. Die wird bei Internetverbindung automatisch installiert.

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Sollte sich ComboFix nicht starten lassen, dann benenne es um in cofi.exe und versuche es nocheinmal.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas

Mein ComboFix-LogFile sieht so aus:

Code:

ComboFix 09-05-20.A1 - t 21.05.2009 17:45.1 - NTFSx86

Microsoft Windows XP Home Edition  5.1.2600.2.1252.49.1031.18.991.741 [GMT 2:00]

ausgeführt von:: c:\dokumente und einstellungen\t\Desktop\ComboFix.exe

.
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

C:\autorun.inf

c:\windows\system32\drivers\gxvxcswtnkdsbarwqopykmirvdlyfulqpkete.sys

c:\windows\system32\gxvxccounter

c:\windows\system32\gxvxcqmrxswfwubyoydgaoqivkkwobmqhbqqp.dll

E:\Autorun.inf
 

.

(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))

.
 

-------\Service_GXVXCSERV.SYS
 
 

(((((((((((((((((((((((   Dateien erstellt von 2009-04-21 bis 2009-05-21  ))))))))))))))))))))))))))))))

.
 

2009-05-21 15:44 . 2009-05-21 15:47        32        --sha-w        c:\windows\system32\drivers\fidbox2.dat

2009-05-21 15:44 . 2009-05-21 15:47        32        --sha-w        c:\windows\system32\drivers\fidbox.dat

2009-05-21 05:10 . 2009-05-21 05:10        --------        d-----w        c:\windows\system32\Kaspersky Lab

2009-05-21 03:53 . 2009-05-21 03:53        96976        ----a-w        c:\windows\system32\drivers\klin.dat

2009-05-21 03:53 . 2009-05-21 03:53        87855        ----a-w        c:\windows\system32\drivers\klick.dat

2009-05-21 03:51 . 2009-05-21 05:10        --------        d-----w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab

2009-05-21 03:45 . 2009-05-21 03:45        --------        d-----w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Ka

2009-05-21 03:28 . 2009-05-21 03:28        --------        d-----w        c:\windows\Sun

2009-05-21 03:24 . 2009-05-21 03:24        --------        d-----w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kas

2009-05-21 02:51 . 2009-05-21 02:51        --------        d-----w        c:\dokumente und einstellungen\t\Anwendungsdaten\Malwarebytes

2009-05-21 02:12 . 2009-04-06 13:32        15504        ----a-w        c:\windows\system32\drivers\mbam.sys

2009-05-21 02:12 . 2009-04-06 13:32        38496        ----a-w        c:\windows\system32\drivers\mbamswissarmy.sys

2009-05-21 02:12 . 2009-05-21 02:12        --------        d-----w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes

2009-05-21 02:12 . 2009-05-21 02:51        --------        d-----w        c:\programme\Malwarebytes' Anti-Malware

2009-05-21 02:06 . 2009-05-21 02:06        --------        d-----w        c:\programme\CCleaner

2009-05-21 02:01 . 2009-05-21 02:01        --------        d-----w        c:\programme\Kaspersky Lab
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-05-21 15:47 . 2009-05-21 15:44        32        --sha-w        c:\windows\system32\drivers\fidbox2.idx

2009-05-21 15:47 . 2009-05-21 15:44        32        --sha-w        c:\windows\system32\drivers\fidbox.idx

2009-05-21 01:40 . 2009-05-21 01:40        --------        d-----w        c:\programme\TortoiseSVN

2009-05-21 01:40 . 2009-05-21 01:40        --------        d-----w        c:\programme\Gemeinsame Dateien\TortoiseOverlays

2009-05-21 01:23 . 2009-05-21 01:23        --------        d-----w        c:\programme\SSH Communications Security

2009-05-21 01:23 . 2009-05-21 00:23        --------        d--h--w        c:\programme\InstallShield Installation Information

2009-05-21 01:22 . 2009-05-21 01:22        --------        d-----w        c:\programme\Sun

2009-05-21 01:21 . 2009-05-21 01:21        410984        ----a-w        c:\windows\system32\deploytk.dll

2009-05-21 01:21 . 2009-05-21 00:13        --------        d-----w        c:\programme\Java

2009-05-21 01:18 . 2004-08-04 12:00        63976        ----a-w        c:\windows\system32\perfc007.dat

2009-05-21 01:18 . 2004-08-04 12:00        391574        ----a-w        c:\windows\system32\perfh007.dat

2009-05-21 01:16 . 2009-05-21 01:16        --------        d-----w        c:\programme\Gemeinsame Dateien\Deterministic Networks

2009-05-21 01:16 . 2009-05-21 01:16        --------        d-----w        c:\programme\Cisco Systems

2009-05-21 01:15 . 2009-05-21 01:15        --------        d-----w        c:\programme\UltraVNC

2009-05-21 01:14 . 2009-05-21 01:14        --------        d-----w        c:\programme\TextPad

2009-05-21 01:13 . 2009-05-21 01:13        --------        d-----w        c:\programme\WordToPDF

2009-05-21 01:12 . 2009-05-21 01:12        --------        d-----w        c:\programme\Dia

2009-05-21 01:11 . 2009-05-21 01:11        --------        d-----w        c:\programme\NX Client for Windows

2009-05-21 01:09 . 2009-05-21 01:09        0        ----a-w        c:\windows\nsreg.dat

2009-05-21 01:06 . 2009-05-21 01:06        --------        d-----w        c:\programme\gs

2009-05-21 01:04 . 2009-05-21 01:03        --------        d-----w        c:\programme\Hamachi

2009-05-21 01:03 . 2009-05-21 01:03        25280        ----a-w        c:\windows\system32\drivers\hamachi.sys

2009-05-21 01:03 . 2009-05-21 01:03        --------        d-----w        c:\programme\Lavalys

2009-05-21 00:53 . 2009-05-21 00:51        --------        d-----w        c:\programme\Ahead

2009-05-21 00:51 . 2009-05-21 00:51        --------        d-----w        c:\programme\Gemeinsame Dateien\Ahead

2009-05-21 00:49 . 2009-05-21 00:49        --------        d-----w        c:\programme\InterVideo

2009-05-21 00:26 . 2009-05-21 00:26        --------        d-----w        c:\programme\Intel

2009-05-21 00:25 . 2009-05-21 00:25        --------        d-----w        c:\programme\GlobespanVirata

2009-05-21 00:25 . 2009-05-21 00:25        --------        d-----w        c:\programme\Synaptics

2009-05-21 00:24 . 2009-05-21 00:24        --------        d-----w        c:\programme\ltmoh

2009-05-21 00:23 . 2009-05-21 00:23        --------        d-----w        c:\programme\Gemeinsame Dateien\InstallShield

2009-05-21 00:14 . 2009-05-21 00:14        --------        d-----w        c:\programme\microsoft frontpage

2009-05-21 00:13 . 2009-05-21 00:13        --------        d-----w        c:\programme\Gemeinsame Dateien\Java

2009-05-21 00:10 . 2004-08-04 12:00        67        --sha-w        c:\windows\Fonts\desktop.ini

2009-05-21 00:10 . 2009-05-21 00:10        76487        ----a-w        c:\windows\pchealth\helpctr\OfflineCache\index.dat

2009-05-21 00:09 . 2009-05-21 00:09        --------        d-----w        c:\programme\Online-Dienste

2009-05-21 00:08 . 2009-05-21 00:08        --------        d-----w        c:\programme\Gemeinsame Dateien\Dienste

2009-05-21 00:07 . 2009-05-21 00:07        21740        ----a-w        c:\windows\system32\emptyregdb.dat

.
 

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\1TortoiseNormal]

@="{C5994560-53D9-4125-87C9-F193FC689CB2}"

[HKEY_CLASSES_ROOT\CLSID\{C5994560-53D9-4125-87C9-F193FC689CB2}]

2008-11-02 07:26        80384        ----a-w        c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\2TortoiseModified]

@="{C5994561-53D9-4125-87C9-F193FC689CB2}"

[HKEY_CLASSES_ROOT\CLSID\{C5994561-53D9-4125-87C9-F193FC689CB2}]

2008-11-02 07:26        80384        ----a-w        c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\3TortoiseConflict]

@="{C5994562-53D9-4125-87C9-F193FC689CB2}"

[HKEY_CLASSES_ROOT\CLSID\{C5994562-53D9-4125-87C9-F193FC689CB2}]

2008-11-02 07:26        80384        ----a-w        c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\4TortoiseLocked]

@="{C5994563-53D9-4125-87C9-F193FC689CB2}"

[HKEY_CLASSES_ROOT\CLSID\{C5994563-53D9-4125-87C9-F193FC689CB2}]

2008-11-02 07:26        80384        ----a-w        c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\5TortoiseReadOnly]

@="{C5994564-53D9-4125-87C9-F193FC689CB2}"

[HKEY_CLASSES_ROOT\CLSID\{C5994564-53D9-4125-87C9-F193FC689CB2}]

2008-11-02 07:26        80384        ----a-w        c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\6TortoiseDeleted]

@="{C5994565-53D9-4125-87C9-F193FC689CB2}"

[HKEY_CLASSES_ROOT\CLSID\{C5994565-53D9-4125-87C9-F193FC689CB2}]

2008-11-02 07:26        80384        ----a-w        c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\7TortoiseAdded]

@="{C5994566-53D9-4125-87C9-F193FC689CB2}"

[HKEY_CLASSES_ROOT\CLSID\{C5994566-53D9-4125-87C9-F193FC689CB2}]

2008-11-02 07:26        80384        ----a-w        c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\8TortoiseIgnored]

@="{C5994567-53D9-4125-87C9-F193FC689CB2}"

[HKEY_CLASSES_ROOT\CLSID\{C5994567-53D9-4125-87C9-F193FC689CB2}]

2008-11-02 07:26        80384        ----a-w        c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\9TortoiseUnversioned]

@="{C5994568-53D9-4125-87C9-F193FC689CB2}"

[HKEY_CLASSES_ROOT\CLSID\{C5994568-53D9-4125-87C9-F193FC689CB2}]

2008-11-02 07:26        80384        ----a-w        c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]

"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2004-08-03 1667584]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-05-21 136600]

"IgfxTray"="c:\windows\system32\igfxtray.exe" [2004-07-02 155648]

"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2004-07-02 118784]

"LtMoh"="c:\programme\ltmoh\Ltmoh.exe" [2003-04-29 184320]

"SynTPLpr"="c:\programme\Synaptics\SynTP\SynTPLpr.exe" [2004-07-24 102400]

"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2004-07-24 684032]

"XPFix"="c:\programme\GlobespanVirata\XPFix.exe" [2004-07-23 217188]

"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]

"AVP"="c:\programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe" [2008-11-11 206088]

"SoundMan"="SOUNDMAN.EXE" - c:\windows\SOUNDMAN.EXE [2004-12-22 77824]

"AGRSMMSG"="AGRSMMSG.exe" - c:\windows\AGRSMMSG.exe [2004-02-21 88363]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]
 

c:\dokumente und einstellungen\t\Startmen\Programme\Autostart\

hamachi.lnk - c:\programme\Hamachi\hamachi.exe [2009-5-21 625952]

Microsoft-Indexerstellung.lnk - c:\programme\Microsoft Office\Office\FINDFAST.EXE [1997-1-17 111376]

Office-Start.lnk - c:\programme\Microsoft Office\Office\OSA.EXE [1997-1-17 51984]
 

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\

VPN Client.lnk - c:\windows\Installer\{4C271126-C295-4828-A901-5910AE0C258B}\Icon3E5562ED7.ico [2009-5-21 6144]
 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]

"DisableMonitoring"=dword:00000001
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Kas\\Kas\\german\\setup.exe"=

"c:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Ka\\Ka2009\\german\\setup.exe"=
 

R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [29.01.2008 17:29 32784]

R2 vnccom;vnccom;c:\windows\system32\drivers\vnccom.SYS [21.05.2009 03:15 6016]

R3 KLFLTDEV;Kaspersky Lab KLFltDev;c:\windows\system32\drivers\klfltdev.sys [13.03.2008 18:02 26640]

R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [30.04.2008 17:06 24592]

R3 PRISM_A00;PRISM 802.11 Driver;c:\windows\system32\drivers\PRISMA00.sys [21.05.2009 02:25 393280]

.

.

------- Zusätzlicher Suchlauf -------

.

FF - ProfilePath - c:\dokumente und einstellungen\t\Anwendungsdaten\Mozilla\Firefox\Profiles\yigjq0oo.default\

FF - prefs.js: browser.startup.homepage - www.google.de

.
 

**************************************************************************
 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-05-21 17:48

Windows 5.1.2600 Service Pack 2 NTFS
 

Scanne versteckte Prozesse... 
 

Scanne versteckte Autostarteinträge... 
 

Scanne versteckte Dateien... 
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
 

- - - - - - - > 'explorer.exe'(2384)

c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll

c:\programme\TortoiseSVN\bin\TortoiseStub.dll

c:\programme\TortoiseSVN\bin\TortoiseSVN.dll

c:\programme\TortoiseSVN\bin\intl3_tsvn.dll

.

------------------------ Weitere laufende Prozesse ------------------------

.

c:\programme\TortoiseSVN\bin\TSVNCache.exe

c:\programme\Cisco Systems\VPN Client\cvpnd.exe

c:\programme\Java\jre6\bin\jqs.exe

c:\windows\system32\wbem\wmiapsrv.exe

c:\windows\system32\wscntfy.exe

.

**************************************************************************

.

Zeit der Fertigstellung: 2009-05-21 17:50 - PC wurde neu gestartet

ComboFix-quarantined-files.txt  2009-05-21 15:50
 

Vor Suchlauf: 11 Verzeichnis(se), 56.011.272.192 Bytes frei

Nach Suchlauf: 10 Verzeichnis(se), 56.084.611.072 Bytes frei
 

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect
 

198

Muss ich jetzt noch irgendwas weiteres machen?

Zitat:

Muss ich jetzt noch irgendwas weiteres machen?

:lach: Das war erst der Anfang, wenn du eine Menge Zeit sparen möchtest, dann geht es hier lang: http://www.trojaner-board.de/51262-a...sicherung.html

Ansonsten:
Systemdetails mit RSIT prüfen

Lade Random's System Information Tool (RSIT) von random/random herunter,
speichere es auf Deinem Desktop.
Starte mit Doppelklick die RSIT.exe.
Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

ciao, andreas

Zitat:

Zitat von john.doe (Beitrag 437402)

:lach: Das war erst der Anfang, wenn du eine Menge Zeit sparen möchtest, dann geht es hier lang: http://www.trojaner-board.de/51262-a...sicherung.html

Hallo Andreas, vielen Dank für deine Hilfe...

Ich bin eigentlich für eine Neuinstallation.
Meine Frage ist nur: Ich habe ja eine Neuinstallation gemacht, nachdem die Probleme aufgetreten sind, aber es hat trotzdem nichts bewirkt bzw. trat das Problem dann wieder auf. Liegt das an meiner externen Festplatte, die ich dann angeschlossen hatte? Kann ich sicher sein, dass die nicht befallen ist?

Der Auslöser für den Befall ist die autorun.inf. ComboFix hat 2 gelöscht:

Zitat:

C:\autorun.inf
E:\Autorun.inf

Sollte deine externe E: sein, dann ist sie jetzt sauber und du läufst keine Gefahr dich erneut zu infizieren.

Aber solltest du noch einen externen Datenträger haben, der, als ComboFix lief, nicht angeschlossen war, dann kann es dir wie ihm hier gehen: http://www.trojaner-board.de/68318-r...-erhalten.html

Dort ist auch alles ausführlich erklärt und Schutzmaßnahmen werden erläutert.

ciao, andreas

Zitat:

Zitat von john.doe (Beitrag 437445)

Der Auslöser für den Befall ist die autorun.inf. ComboFix hat 2 gelöscht:
Sollte deine externe E: sein, dann ist sie jetzt sauber und du läufst keine Gefahr dich erneut zu infizieren.

Ja, die externe Festplatte ist E:.
Dann mache ich jetzt eine Neuinstallation und formatiere vorher die Partition.
Ich hoffe, damit habe ich dann alles wieder neu und sauber ...

@john.doe: Vielen Dank für deine schnelle, kompetente Hilfe!

Nachdem du neuaufgesetzt hast, schalte entweder die Autoplayfunktion von Windows komplett ab oder halte beim ersten Anschließen die Umschalttaste fest. Dann scanne die externe mit folgenden Scannern:

Sollte nichts gefunden werden => Gut.
Ansonsten poste ein Bericht der Funde.

Du bist entlassen. :)

ciao, andreas

Zitat:

Zitat von john.doe (Beitrag 437481)

Sollte nichts gefunden werden => Gut.
Ansonsten poste ein Bericht der Funde.

Ich bins nochmal ...
Leider: Mist, ... hab jetzt 3 Scans durchgeführt auf der externen Festplatte.
Hier die Log-Dateien:

1. Malwarebytes Anti-Malware

Code:

Malwarebytes' Anti-Malware 1.36

Datenbank Version: 2176

Windows 5.1.2600 Service Pack 2
 

25.05.2009 02:32:17

mbam-log-2009-05-25 (02-32-17).txt
 

Scan-Methode: Vollständiger Scan (E:\|)

Durchsuchte Objekte: 137021

Laufzeit: 23 minute(s), 52 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 5
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

E:\System Volume Information\_restore{17930A07-A23E-4ABB-A1BF-06D5710CCEC2}\RP12\A0000125.com (Trojan.DNSChanger) -> Quarantined and deleted successfully.

E:\System Volume Information\_restore{17930A07-A23E-4ABB-A1BF-06D5710CCEC2}\RP12\A0000126.com (Trojan.DNSChanger) -> Quarantined and deleted successfully.

E:\System Volume Information\_restore{17930A07-A23E-4ABB-A1BF-06D5710CCEC2}\RP12\A0000127.com (Trojan.DNSChanger) -> Quarantined and deleted successfully.

E:\System Volume Information\_restore{17930A07-A23E-4ABB-A1BF-06D5710CCEC2}\RP12\A0000128.com (Trojan.DNSChanger) -> Quarantined and deleted successfully.

E:\System Volume Information\_restore{17930A07-A23E-4ABB-A1BF-06D5710CCEC2}\RP12\A0000129.com (Trojan.DNSChanger) -> Quarantined and deleted successfully.

2. SUPERAntiSpyware

Code:

SUPERAntiSpyware Scann-Protokoll

http://www.superantispyware.com
 

Generiert 05/25/2009 bei 09:47 AM
 

Version der Applikation : 4.26.1002
 

Version der Kern-Datenbank : 3909

Version der Spur-Datenbank : 1853
 

Scan Art       : kompletter Scann

Totale Scann-Zeit : 00:32:15
 

Gescannte Speicherelemente  : 443

Erfasste Speicher-Bedrohungen  : 0

Gescannte Register-Elemente  : 3976

Erfasste Register-Bedrohungen  : 0

Gescannte Datei-Elemente     : 58806

Erfasste Datei-Elemente   : 0

3. DrWeb

Code:

setup.exe/InstallerData/Disk1/InstData/Resource1.zip/$IA_PROJECT_DIR$/Nokia_Connectivity_Framework_1.2.iam.zip/$IA_MERGE_RESOUR;E:\...\setup.exe/InstallerDat;Program.FPort.origin;;

$IA_MERGE_RESOURCES$/Nokia Connectivity Framework 1.2_1105365033021/b71d2db2443c17f09ae385c440743a94/Nokia_Connectivity_Framewo;E:\...\fuer_Installation;Archiv enthält infizierte Objekte;;

$IA_PROJECT_DIR$/Nokia_Connectivity_Framework_1.2.iam.zip;E:\...\fuer_Installation;Archiv enthält infizierte Objekte;;

InstallerData/Disk1/InstData/Resource1.zip;E:\...\fuer_Installation;Archiv enthält infizierte Objekte;;

setup.exe;E:\...\fuer_Installation;Archiv enthält infizierte Objekte;Verschoben.;

setup.exe/InstallerData/Disk1/InstData/Resource1.zip/$IA_PROJECT_DIR$/Nokia_Connectivity_Framework_1.2.iam.zip/$IA_MERGE_RESOUR;E:\...\Nokia_Installation\setup.exe/InstallerData/Disk1/InstData/Resource1.zip/$IA_PROJECT_DIR$/Nokia_Connectiv;Program.FPort.origin;;

$IA_MERGE_RESOURCES$/Nokia Connectivity Framework 1.2_1105365033021/b71d2db2443c17f09ae385c440743a94/Nokia_Connectivity_Framewo;E:\...\Nokia_Installation;Archiv enthält infizierte Objekte;;

$IA_PROJECT_DIR$/Nokia_Connectivity_Framework_1.2.iam.zip;E:\...\Nokia_Installation;Archiv enthält infizierte Objekte;;

InstallerData/Disk1/InstData/Resource1.zip;E:\...\Nokia_Installation;Archiv enthält infizierte Objekte;;

setup.exe;E:\...\Nokia_Installation;Archiv enthält infizierte Objekte;Verschoben.;

UltraVNC-102-Setup.exe\data014;E:\Programme\UltraVNC-102-Setup.exe;Program.RemoteAdmin.37;;

UltraVNC-102-Setup.exe;E:\Programme;Archiv enthält infizierte Objekte;Verschoben.;

A0015875.exe/InstallerData/Disk1/InstData/Resource1.zip/$IA_PROJECT_DIR$/Nokia_Connectivity_Framework_1.2.iam.zip/$IA_MERGE_RES;E:\System Volume Information\_restore{3CFD232B-2ADE-491E-ABE8-118ED58C3F9B}\RP51\A0015875.exe/InstallerData/Disk1/InstData/Reso;Program.FPort.origin;;

$IA_MERGE_RESOURCES$/Nokia Connectivity Framework 1.2_1105365033021/b71d2db2443c17f09ae385c440743a94/Nokia_Connectivity_Framewo;E:\System Volume Information\_restore{3CFD232B-2ADE-491E-ABE8-118ED58C3F9B}\RP51;Archiv enthält infizierte Objekte;;

$IA_PROJECT_DIR$/Nokia_Connectivity_Framework_1.2.iam.zip;E:\System Volume Information\_restore{3CFD232B-2ADE-491E-ABE8-118ED58C3F9B}\RP51;Archiv enthält infizierte Objekte;;

InstallerData/Disk1/InstData/Resource1.zip;E:\System Volume Information\_restore{3CFD232B-2ADE-491E-ABE8-118ED58C3F9B}\RP51;Archiv enthält infizierte Objekte;;

A0015875.exe;E:\System Volume Information\_restore{3CFD232B-2ADE-491E-ABE8-118ED58C3F9B}\RP51;Archiv enthält infizierte Objekte;Verschoben.;

A0002159.exe/InstallerData/Disk1/InstData/Resource1.zip/$IA_PROJECT_DIR$/Nokia_Connectivity_Framework_1.2.iam.zip/$IA_MERGE_RES;E:\System Volume Information\_restore{DDE8D70A-97F9-4716-91AB-102847CF0213}\RP21\A0002159.exe/InstallerData/Disk1/InstData/Reso;Program.FPort.origin;;

$IA_MERGE_RESOURCES$/Nokia Connectivity Framework 1.2_1105365033021/b71d2db2443c17f09ae385c440743a94/Nokia_Connectivity_Framewo;E:\System Volume Information\_restore{DDE8D70A-97F9-4716-91AB-102847CF0213}\RP21;Archiv enthält infizierte Objekte;;

$IA_PROJECT_DIR$/Nokia_Connectivity_Framework_1.2.iam.zip;E:\System Volume Information\_restore{DDE8D70A-97F9-4716-91AB-102847CF0213}\RP21;Archiv enthält infizierte Objekte;;

InstallerData/Disk1/InstData/Resource1.zip;E:\System Volume Information\_restore{DDE8D70A-97F9-4716-91AB-102847CF0213}\RP21;Archiv enthält infizierte Objekte;;

A0002159.exe;E:\System Volume Information\_restore{DDE8D70A-97F9-4716-91AB-102847CF0213}\RP21;Archiv enthält infizierte Objekte;Verschoben.;

A0002160.exe/InstallerData/Disk1/InstData/Resource1.zip/$IA_PROJECT_DIR$/Nokia_Connectivity_Framework_1.2.iam.zip/$IA_MERGE_RES;E:\System Volume Information\_restore{DDE8D70A-97F9-4716-91AB-102847CF0213}\RP21\A0002160.exe/InstallerData/Disk1/InstData/Reso;Program.FPort.origin;;

$IA_MERGE_RESOURCES$/Nokia Connectivity Framework 1.2_1105365033021/b71d2db2443c17f09ae385c440743a94/Nokia_Connectivity_Framewo;E:\System Volume Information\_restore{DDE8D70A-97F9-4716-91AB-102847CF0213}\RP21;Archiv enthält infizierte Objekte;;

$IA_PROJECT_DIR$/Nokia_Connectivity_Framework_1.2.iam.zip;E:\System Volume Information\_restore{DDE8D70A-97F9-4716-91AB-102847CF0213}\RP21;Archiv enthält infizierte Objekte;;

InstallerData/Disk1/InstData/Resource1.zip;E:\System Volume Information\_restore{DDE8D70A-97F9-4716-91AB-102847CF0213}\RP21;Archiv enthält infizierte Objekte;;

A0002160.exe;E:\System Volume Information\_restore{DDE8D70A-97F9-4716-91AB-102847CF0213}\RP21;Archiv enthält infizierte Objekte;Verschoben.;

A0002161.exe\data014;E:\System Volume Information\_restore{DDE8D70A-97F9-4716-91AB-102847CF0213}\RP21\A0002161.exe;Program.RemoteAdmin.37;;

A0002161.exe;E:\System Volume Information\_restore{DDE8D70A-97F9-4716-91AB-102847CF0213}\RP21;Archiv enthält infizierte Objekte;Verschoben.;

Sieht nicht gut aus, oder? Was muss ich tun?

Zitat:

Sieht nicht gut aus, oder?

:D Nun mache dir mal keine unnötigen Sorgen. DrWeb hat den bösen Nokiavirus :) gefunden und das böse Fernsteuerprogramm VLC. Um diese Meldungen muss man sich keine wirklichen Sorgen machen. :)

Zitat:

Was muss ich tun?

1.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.
Nach Neustart kann sie wieder aktiviert werden.

2.) Kaspersky - Onlinescanner

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Kaspersky Lab: Anti-Virus, Internet Security, Mobile Security & Antiviren-Software und Services für Unternehmen
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen

ciao, andreas

Zitat:

Zitat von john.doe (Beitrag 438412)

2.) Kaspersky - Onlinescanner

=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
ciao, andreas

Hier mein Kaspersky-Log:

Code:

-------------------------------------------------------------------------------

 PROTOKOLL FÜR KASPERSKY ONLINE SCANNER

 Dienstag, 26. Mai 2009 03:43:47

 Betriebssystem: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)

 Version von Kaspersky Online Scanner: 5.0.98.2

 Letztes Update der Antiviren-Datenbanken: 25/05/2009

 Anzahl der Einträge in den Antiviren-Datenbanken: 2029953

-------------------------------------------------------------------------------
 

Scan-Einstellungen:

        Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Standard

        Archive untersuchen: ja

        Mail-Datenbanken untersuchen: ja
 

Untersuchungsobjekt - Arbeitsplatz:

        C:\

        D:\

        E:\
 

Untersuchungsergebnisse:

        Untersuchte Objekte insgesamt: 150090

        Viren gefunden: 0

        Infizierte Objekte gefunden: 0

        Verdächtige Objekte gefunden: 0

        Untersuchungszeit: 04:58:22
 

Name des infizierten Objekts / Virusname / Letzte Aktion

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\avguard.tmp        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\...\Anwendungsdaten\Mozilla\Firefox\Profiles\pa5xugqj.default\cert8.db        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\...\Anwendungsdaten\Mozilla\Firefox\Profiles\pa5xugqj.default\content-prefs.sqlite        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\...\Anwendungsdaten\Mozilla\Firefox\Profiles\pa5xugqj.default\cookies.sqlite        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\...\Anwendungsdaten\Mozilla\Firefox\Profiles\pa5xugqj.default\downloads.sqlite        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\...\Anwendungsdaten\Mozilla\Firefox\Profiles\pa5xugqj.default\formhistory.sqlite        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\...\Anwendungsdaten\Mozilla\Firefox\Profiles\pa5xugqj.default\key3.db        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\...\Anwendungsdaten\Mozilla\Firefox\Profiles\pa5xugqj.default\parent.lock        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\...\Anwendungsdaten\Mozilla\Firefox\Profiles\pa5xugqj.default\permissions.sqlite        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\...\Anwendungsdaten\Mozilla\Firefox\Profiles\pa5xugqj.default\places.sqlite        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\...\Anwendungsdaten\Mozilla\Firefox\Profiles\pa5xugqj.default\places.sqlite-journal        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\...\Anwendungsdaten\Mozilla\Firefox\Profiles\pa5xugqj.default\search.sqlite        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\...\Cookies\index.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\...\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\...\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\...\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\pa5xugqj.default\Cache\_CACHE_001_        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\...\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\pa5xugqj.default\Cache\_CACHE_002_        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\...\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\pa5xugqj.default\Cache\_CACHE_003_        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\...\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\pa5xugqj.default\Cache\_CACHE_MAP_        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\...\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\pa5xugqj.default\urlclassifier3.sqlite        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\...\Lokale Einstellungen\Temp\etilqs_8jRNNHTUtG7ZanNzfuZe        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\...\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\...\Lokale Einstellungen\Verlauf\History.IE5\index.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\...\Lokale Einstellungen\Verlauf\History.IE5\MSHist012009052520090526\index.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\...\NTUSER.DAT        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\...\ntuser.dat.LOG        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\...\UserData\index.dat        Das Objekt ist gesperrt        übersprungen

C:\System Volume Information\MountPointManagerRemoteDatabase        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\Debug\PASSWD.LOG        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\Internet Logs\tvDebug.log        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\SchedLgU.Txt        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\CatRoot2\edb.log        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\CatRoot2\tmp.edb        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\config\AppEvent.Evt        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\config\default        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\config\default.LOG        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\config\SAM        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\config\SAM.LOG        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\config\SecEvent.Evt        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\config\SECURITY        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\config\SECURITY.LOG        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\config\software        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\config\software.LOG        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\config\SysEvent.Evt        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\config\system        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\config\system.LOG        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\h323log.txt        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\Temp\Perflib_Perfdata_ec.dat        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\WindowsUpdate.log        Das Objekt ist gesperrt        übersprungen

E:\System Volume Information\MountPointManagerRemoteDatabase        Das Objekt ist gesperrt        übersprungen
 

Die Untersuchung wurde abgeschlossen.

Bin ich den Mist nun endgültig los?

Zitat:

Bin ich den Mist nun endgültig los?

Das sieht schon nicht schlecht aus, aber einen noch, dann hast du es hinter dir.

Prevx

Deaktiviere die Wächter aller anderen AntiViren Produkte!
Downloade dir Prevx und installiere das Programm wie vorgeschlagen.
Der Computer wird dabei überprüft. Sollte der Trojaner gefunden werden so folge bitte den vorgeschlagenen Desinfektions Methoden.
Nachdem der Scan beendet ist und die Bereinigung abgeschlossen wähle im Hauptfenster die Tools Sektion aus und klicke danach Save the last Scan an. Wähle als Speicherort den Desktop und gib der Datei den Namen: "Scan bei Installation"
Nachdem die Installation abgeschlossen ist wechsel im Hauptfenster des Programms in die Settings Sektion. Dort findest du die Heuristic Settings Sektion.
Dort schiebe bitte den obersten Regler Advanced Heuristics Settings ganz nach rechts auf Maximum!
Klicke danach den blauen Button Save Changes um die Änderungen zu speichern.
Starte den Rechner neu.
Nach dem Neustart wechsel aus dem Hauptfenster wieder in die Tools Sektion und wähle dort Advanced Scan -> Deep Scan -> Scan now aus.
Nachdem der deep Scan beendet ist und die Bereinigung abgeschlossen wähle im Hauptfenster die Tools Sektion aus und klicke danach Save the last Scan an. Wähle als Speicherort den Desktop und gib der Datei den Namen: "depp Scan".
Beide auf dem Desktop gespeicherten logs lade bitte bei rapidshare hoch und poste die Downloadlinks in deinem nächsten Beitrag!
Anleitung von undoreal

ciao, andreas