Resycled\boot.com Ist Keine Zulässige Win32-anwendung

Nabend allerseits...

habe seit 2 Stunden ein Problem mit meinem Rechner, und Google hat bis jetzt nichts rausgeschmissen...

Wenn ich im Arbeitsplatz ein Laufwerk öffnen will kommt nur ein Fenster

resycled\boot.com ist keine zulässige Win32-Anwendung

Öffnen kann ich das Laufwerk nicht, im Explorer aber wohl...auch im abgesicherten Modus verhält sich mein Rechner so...

Ich habe auch schon per Boot-CD und aktuellen Viren-Daten gesucht...nichts...auch ein BackUp per TrueImage brachte keinen Erfolg...

hat jemand eine Ahnung was ich machen kann?

Besten dank

Lapje

 

Hallo,

hast du einen Schreibfehler eingebaut, vermutlich "\Recycled\boot.com" ?

Recycled ist der Ordner für den Papierkorb der Partition, und die "boot.com"
vermutlich ein Virus / Trojaner.

Poste ein HiJackThis-Log wie oben im Forum Sicherheit beschrieben.
In der Log-Datei sieht man eventuell wie und wo die "boot.com" gestartet wird.

 

Morgen...


neinm, es ist kein Schreibfehler, ist ein eigener Ordner...

ich schau mal was ich machen kann...

melde mich

Lapje

 

So, hier das Log-File:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 07:19:04, on 19.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\RapidSolution\Tunebite\Tunebite.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\TechniSat DVB\bin\Server4PC.exe
C:\Programme\UltraMon\UltraMon.exe
C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
C:\Programme\UltraMon\UltraMonTaskbar.exe
C:\Programme\TechniSat DVB\bin\Server4PC.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EPSON\EPW!3 SSRP\E_S40RP7.EXE
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: ContributeBHO Class - {074C1DC5-9320-4A9A-947D-C042949C6216} - C:\Programme\Adobe\/Adobe Contribute CS3/contributeieplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Contribute Toolbar - {517BDDE4-E3A7-4570-B21E-2B52B6139FC7} - C:\Programme\Adobe\/Adobe Contribute CS3/contributeieplugin.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [AsusStartupHelp] C:\Programme\ASUS\AASP\1.00.15\AsRunHelp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [amd_dc_opt] C:\Programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [Adobe_ID0EYTHM] C:\PROGRA~1\GEMEIN~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE
O4 - HKLM\..\Run: [OSSelectorReinstall] C:\Programme\Gemeinsame Dateien\Acronis\Acronis Disk Director\oss_reinstall.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [Tunebite] C:\Programme\RapidSolution\Tunebite\Tunebite.exe -tray
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Server4PC.lnk = C:\Programme\TechniSat DVB\bin\Server4PC.exe
O4 - Global Startup: UltraMon.lnk = ?
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/win...ls/en/x86/client/wuweb_site.cab?1206968732406
O17 - HKLM\System\CCS\Services\Tcpip\..\{65D3ECEA-B522-46D9-96C2-AC0914D01733}: NameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{AE5C6B7E-D83D-48D2-AED8-D47E6BA0BA34}: NameServer = 192.168.1.1
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Version Cue CS3 {de_DE} (Adobe Version Cue CS3) - Adobe Systems Incorporated - C:\Programme\Gemeinsame Dateien\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: EPSON V3 Service4(01) (EPSON_PM_RPCV4_01) - SEIKO EPSON CORPORATION - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EPSON\EPW!3 SSRP\E_S40RP7.EXE
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 10983 bytes


könnt ihr damit was anfangen?

Lapje

 

Einen Ordner "resycled" gibt es nicht als Systemordner bei Windows. Eine Boot.com in solch einem Ordner auch nicht. In Deinem Hijackthis Log steht nichts über einen automatischen Start dieser Datei oder diesen Ordner, da wird es schon etwas haariger.

Das Teil findest Du hier beschrieben:

http://www.threatexpert.com/report.aspx?uid=10c62b74-9c48-48d0-9d1c-75063c91c73d

Da musst Du nochmal mit einem anderen Scanner und CD an das System, wenn Deine Notfall-CD versagt hat. Kannst Du den Ordner denn löschen oder ist er gesperrt, weil von einem anderen Prozess darauf zugegriffen wird?

 

Habe gerade nochwas rausgefunden:

Habe ja - -wie ich geschrieben habe - in auf Laufwerk einen Ordner namens "resycled". Ich habe auf jedem Laufwerk aber auch noch eine autorun.inf wo folgendes drinsteht (habe ich mir schon fast gedacht)

[autorun]
shellexecute="resycled\boot.com e:"
shell\Open\command="resycled\boot.com e:"
shell=Open


e: ist das Laufwerk auf dem ich das gefunden habe. Wenn ich das ganze lösche und neu starte, dann ***** es wieder...weiß aber natürlich nicht wie lange...und ob sich das FIle wieder dahinschleicht...

Vielleicht hilft es ja zu erkennen wo es her kommt...und wenn jemand das gleiche Problem haben sollte weiß er wie er zumindest erst mal wieder auf die laufwerke zugreifen kann...

Auf meinem Notebook habe ich das Ding auch...da hat das löschen und neustarten nichts gebracht, was aber daran liegen kann dass ich bei dem Rechner noch kein BackUp eingespielt habe...das mache ich gerade, vielleicht ist das HauptProg dann wech und es wird nicht mehr alles neu in das Laufwerk geschrieben...

Kennst DU evt eine NOtfall-CD mit der ich das mal scannen könnte?

besten dank

Lapje

Gruß

Lapje

 

Ich habe dieses Mistding mal bei einem Kunden gehabt, kam über einen infizierten USB-Stick, der an den PC angeschlossen wurde. Der Virenscanner hat es nicht aufgehalten, habe dann erstmal die Autoruns mit Sysinternals "Autoruns" Tool analysiert und ausgedruckt, mit einer Windows XP-PE-CD gestartet und dann die entsprechenden Dateien manuell gelöscht. Die AntiVir-Rescue CD hatte es nicht geschafft. Letztendlich war das Thema mit der manuellen Methode in ein Paar Minuten erledigt. Der infizierte USB-Stick wurde an einem Linux-Rechner desinfiziert (Meinem Notebook).

 

Die Dateinamen können natürlich abweichen, dieses Programm kann für die Neuinfektion zufällig benannte und versteckte Dateien im %systemroot%\system32 Verzeichnis (üblicherweise C:\Windows\System32 ablegen. erkennt man daran, das die Dateien versteckt und schreibgeschützt sind. Das wird aber im laufenden System mit dem aktiven Scadprogramm nicht gehen, denn es verändert die Ansicht des Explorers immer wieder auf Standard-Ansicht, d.h. versteckte Dateien werden nicht angezeigt.

 

dann wäre ja die Chance nicht gering dass es durch das BackUp evt nicht mehr drauf ist (das die Ordner nicht neu generiert wurden - was sonst ja der Fall war - scheint auch dafür zu sprechen...)

 

...wen sie den Status vor der Infektion des Systems wiederherstellen können. Viel Erfolg erstmal.

 

Hallo zusammen, bei mir ist gerade auch in etwa das gleiche problem aufgetreten...
Nur, dass ich auf keine Partition mehr zugreifen kann.
Wenn ich auf eine klicke, dass kommt die Meldung:
"resycled\boot.com" konnte nicht gefunden werden überprüfen sie, ob sie die rechte etc.

ich hab das mit dem logfile gelesen, wobei ich mir nicht sicher bin, ob ich das richtig gemacht habe:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:19:35, on 19.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Trust\GM-4600 Gamer Mouse\Amoumain.exe
C:\Programme\Comodo\Firewall\CPF.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DAEMON Tools Lite\daemon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Comodo\Firewall\cmdagent.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\MediaMonkey\MediaMonkey.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\CCleaner\CCleaner.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C
B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Programme\DAEMON Tools Toolbar\DTToolbar.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WheelMouse] C:\Programme\Trust\GM-4600 Gamer Mouse\Amoumain.exe
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Programme\Comodo\Firewall\CPF.exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{1D94F092-F000-4C91-AF24-13E684355D0F}: NameServer = 85.255.113.204,85.255.112.107
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - C:\Programme\Comodo\Firewall\cmdagent.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Programme\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

--
End of file - 4683 bytes


wäre nett, wenn sich einer meldet:-)

 

das Log scheint imao sauber
zukünftig einen eigenen Thread aufmachen

 

ich wäre euch ja verbunden, wenn ihr mir irgendeinen lösungsansatz bieten würdet.

mein antiviren programm hat 11 mal TR/agent.adzg
gefunden und ich kann auf keine meiner partitionen zugreifen, um irgendwas zu löschen, da die oben beschriebene fehlermeldung kommt.

 

neuaufsetzen

 

Wenn ihr den Schädling drauf habt "resycled\boot.com" der sich
über verseuchte USB-Sticks verbreitet dann müsst ihr zuerst die
"Autorun.inf" Dateien löschen und diesen Ordner "resycled\**" komplett.
Zusätzlich die Datenträger nach "boot.com" durchsuchen.

Das kann so schwer nicht sein. Wenn die Maschine nicht mehr bootet dann dann mit einer Bart's PE Builder booten und von dort dieses Zeugs löschen.

Auch die USB-Sticks und in letzter Zeit selbst gebrannte CD's müssen
untersucht werden ob dort diese Autorun.inf vorhanden ist..

Inhalt ..

 

@David2

Hallo,

was machst du jetzt hier, das läuft ja völlig durcheinander
Du scheinst noch eine andere Infektion hinter dir zu haben, dein Internet-Datenverkehr wird über DNS-Server in der Ukraine geleitet (früher Sowjetunion) .. nicht sehr gut ..

O17 - HKLM\System\CCS\Services\Tcpip\..\{1D94F092-F000-4C91-AF24-13E684355D0F}: NameServer = 85.255.113.204,85.255.112.107

85.255.113.204
org-name: UkrTeleGroup Ltd.
address: UkrTeleGroup Ltd.
address: Mechnikova 58/5 65029 Odessa

 

wie kommt das denn?

so etwas habe ich nie eingestellt...schon mysteriös.
wie kann ich das abstellen?


ich habe trotzdem auch noch das eben genannte problem und da ich keinen usb stick besitze und auch nicht verwende habe ich keine ahnung was ich machen soll...
ich kann über den arbeitsplatz nicht auf meine partionen zugreifen, wenn ich das ganze über die adressleiste in einem ordner laufen lasse kann ich ohne probleme auf alles zugreifen.
nachdem ich den ordner mit dem virus gelöscht hatte, hat sich trotzdem nichts geändert.

lohnt es sich wirklich neu zu formatieren?
ich habe nämlich die befürchtung, dass alle meine partitionen verseucht sind und dann würde es ja nicht so viel bringen.

 

Hast du auch die Autorun.inf gelöscht, also nicht nur diesen Ordner löschen.
Die "autorun.inf" müsste eigentlich im Haupverzeichnis jeweils liegen, also
zum Beispiel unter c:\

Umleitung über Ukraine um dich auf gefälschte Webseiten zu leiten:

Wie gehst du in das Internet, über einen Router ?
Welcher Provider ?, sind dir die DNS-Server deines Providers bekannt ?

Einstellungen Netzwerkkarte (TCP/IP - Einstellungen) überprüfen und
diese zwei DNS-Server die nach Russland führen entfernen.

 

ich bin bei 1und1 und geh über einen router ins internet, wir haben hier 3 pcs mit netzwerkkabeln zur fritzbox.

wenn ich die DNS nummer lösche und das ganze speicher, stellt sich der server wieder automatisch ein.

ich formatier grad eine partition, mal sehn, ob sich was ändert.


die autorun.inf finde ich nicht

 

Fixe mit HiJakThis den Eintrag ..

O17 - HKLM\System\CCS\Services\Tcpip\..\{1D94F092-F000-4C91-AF24-13E684355D0F}: NameServer = 85.255.113.204,85.255.112.107

.. dann neu booten.

Beziehst du deine IP-Adresse automatisch von der FritzBox per DHCP ?.