Guten Abend Habe im Forum gelesen das es möglich ist diese amlware oder was auch immer das ist zu beseitigen Könnte mir einer Dabei Helfen??
Ich weiss noch nicht mal wie ich zu dem schrott gekommen bin mein Kaspersky sollte doch das verhindern.Hoffe auf Hilfe

anbei mal eine Hijack Log

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:09:05, on 03.03.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ????????? ???????? QIP: ?????, ?????, ??????, ??????, ??????????, ?????, ????????, ?????, ????, ????????, ????????, ????? ? ????????
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = Microsoft Windows Update
R3 - URLSearchHook: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Tunebite_WebRipPlugin Class - {AA102584-3B97-47e7-B9BC-75D54C110A7D} - C:\Programme\RapidSolution\Tunebite\plugins\IE\TB_ WebRipIePlugin.dll
O2 - BHO: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - (no file)
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\*******\CloneCD\CloneCDTray.exe" /s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKLM\..\Policies\Explorer\Run: [application] C:\Programme\ACSPMonitor\ASMonitor.exe hs
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: An vorhandene PDF-Datei anfügen - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O8 - Extra context menu item: Linkziel an vorhandene PDF-Datei anhängen - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Linkziel in Adobe PDF konvertieren - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Add to VideoGet - {88CFA58B-A63F-4A94-9C54-0C7A58E3333E} - C:\PROGRA~1\NUCLEA~1\VideoGet\Plugins\VIDEOG~1.DLL
O9 - Extra 'Tools' menuitem: Add to &VideoGet - {88CFA58B-A63F-4A94-9C54-0C7A58E3333E} - C:\PROGRA~1\NUCLEA~1\VideoGet\Plugins\VIDEOG~1.DLL
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 6368 bytes

Moin,

ein HijackThis-Log ist ja löblich, aber Dein Problem zu beschreiben wäre auch hilfreich gewesen

Worauf Du Dich mit "diese Malware" beziehst, keine Ahnung, "recycler\s-4-1-94-100007784" hat Dir bestimmt bei Google wenig Hinweis auf Schädlige geliefert. Und mit identischem Wortlaut in mehreren Foren zu posten halte ich ja für eher unfreundlich. Soll das ein Vergleichstest werden?

Fixen:

Code:

R3 - URLSearchHook: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - (no file)
O2 - BHO: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - (no file)
O4 - HKLM\..\Policies\Explorer\Run: [application] C:\Programme\ACSPMonitor\ASMonitor.exe hs

Wobei mir nur der letzte, der ACSPMonitor Sorgen bereitet. oder hast Du selbst Dir auf Deinem PC einen KeyLogger installiert?

Du solltest auch mit Malwarebytes' Anti-Malware säubern.

Grüße,
Thorsten

Ähm erstmal Danke für die antwort.
Sorry wollte nur schnell das problem lösen soll mit sicher heit kein Vergleichstest werden,das liegt mir echt fern habe aber gelesen das dieser Fehler sehr schwer ist?!
Ähm Wenn ich auf Arbeitsplatz gehe und auf mein C Laufwerk zugreifen möchte kommt diese Fehler meldung.
recycler\s-4-1-94-100007784....
Allerdings über den windows explorer komm ich auf das laufwerk.
Sorry noch mal werd as andere thread schliessen auf der Plattform.

-----Doppelpost zusammengeführt am 3.3.2009 um 10:26:45-----

Zitat:

Zitat von Shakurmen

Ähm erstmal Danke für die antwort.
Sorry wollte nur schnell das problem lösen soll mit sicher heit kein Vergleichstest werden,das liegt mir echt fern habe aber gelesen das dieser Fehler sehr schwer ist?!
Ähm Wenn ich auf Arbeitsplatz gehe und auf mein C Laufwerk zugreifen möchte kommt diese Fehler meldung.
recycler\s-4-1-94-100007784....
Allerdings über den windows explorer komm ich auf das laufwerk.
Sorry noch mal werd as andere thread schliessen auf der Plattform.

Ähm ja der keylogger war ein test denn ich mal aussprobieren wollt bekome den aber irgendwie nicht mehr runter weill er bei software nicht aufgeführt wird.

-----Doppelpost zusammengeführt am 3.3.2009 um 10:59:15-----

Mein Kaspersky Hat unter anderem dies gefunden,warum hat das prog es aber erst jetzt gefunden un d nicht gestern da hab ich im abgesicherten modus gesucht??!
gelöscht: trojanisches Programm Trojan.Win32.TDSS.qdw Datei: C:\Recycler\S-1-5-21-789336058-1592454029-839522115-1003\Dc4.exe

-----Doppelpost zusammengeführt am 3.3.2009 um 11:01:00-----

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1814
Windows 5.1.2600 Service Pack 3

03.03.2009 11:00:19
mbam-log-2009-03-03 (11-00-19).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 63851
Laufzeit: 6 minute(s), 45 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\g aopdxserv.sys (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\g aopdxserv.sys (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\gaopdxserv.sys (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\RECYCLER\S-1-5-21-789336058-1592454029-839522115-1003\Dc4.exe (Trojan.DNSChanger) -> Quarantined and deleted successfully.
C:\RECYCLER\S-0-2-59-100008300-100012182-100031464-1033.com (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\gaopdxserv.sys (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\svchost.exe (Trojan.Agent) -> Quarantined and deleted successfully.

Mmh Leider Hab ich Immer noch Das Prob mit dem Zugriffen auf die Festplatte!!

Moin,

wie Du merkst ist etwas Zeit vergangen in Ratlosigkeit. Das Problem ist, dass da offenbar was unter der Oberfläche brütet, über HijackThis war es sogar verborgen, Malwarebytes findet noch ein bisschen was - und trotzdem ist offenbar das Problem nicht abschließend beseitigt.

Die aktuellen Schädlinge werden immer dreckiger, und der beste Rat mit der im Endeffekt größten Sicherheit, dass Du wieder vor einem nicht ferngesteuerten und sicheren System sitzt, die ist wohl: Neu aufsetzen. Ab vom Netz, in Ruhe gründliches Backup erstellen, und von Grund auf, mit formatierten Platten neu installieren. (Und natürlich Daten aus dem Backup nur gut geprüft wieder übernehmen.)

Alternativ kannst Du natürlich im anderen Forum trotzdem nochmal versuchen, aber meines Wissens kommen die auch immer öfter zu dieser frustrierenden, radikalen Schlussfolgerung.

Und für die Zukunft natürlich mal drüber nachdenken, wo Du Dir das eingefangen haben könntest. Z.B. mit Keyloggern rumspielen usw. ist bestimmt nicht die beste Idee.

Sorry,
Thorsten

Hey Danke für die Antwort.

Ja des ist echt ein Müll mit diesem Trojaner.
Hab mein System komplett neu gemacht jedoch denke ich das sich das auf meine externe Festplatte übertragen hat.denn seit heut habe ich paar datein rübergeladen die mit 100%er sicherheit schon ewig drauf sind und von sicheren quellen stammen und nu ist mein system wieder infiziert,was für ein filter kann ich zwischen platte und laptop setzen kaspersky oder Adaware finden nichts auf der platte.
Würde diese ja auch formatieren doch wenn ich eine zweite daran hänge könnte es doch sein das diese auch infiziert würde???oder?????
so und nu hab ich ein210gb Dilämmer!!!
Hoffe weisst nen kleinen rat für mich.

Der Nick kommt mir doch irgendwie bekannt vor:
Gelöst Trojan.Win32.TDSS.qdw
Offen Trojan.Win32.TDSS.qdw
Offen Habe Probleme Mit recycler\s-4-1-94-100007784....

Quelle (s. besonders Punkt 5) http://www.jumper.ch/netikette_crossposting.htm:

Zitat:

Crossposting bedeutet, dass ein und dieselbe Frage in mehreren Foren und Newsgroups gleichzeitig gestellt wird. Ein solches Verhalten wird von den meisten Helfern nicht toleriert, denn damit stellst Du einerseits die Kompetenz der Helfer jedes einzelnen Forums und Newsgroup in Frage und bewirkst zudem, dass ein zig-faches an Stunden aufgewendet wird, um nur ein einziges Problem zu lösen, denn überall werden sich die Helfer daran setzen, eine Lösung für Dich zu finden. Das ist ganz klar ein Missbrauch an dem kostenlosen und freiwilligen Support, der hier angeboten wird. Such Dir eine einzige Newsgroup aus. Wenn Deine Frage klar und deutlich gestellt wurde, dann wirst Du ganz bestimmt innert kürzester Zeit eine Antwort erhalten. Sollte dies auch nach mehreren Tagen nicht der Fall sein, dann versuche bitte die Frage besser zu formulieren. Falls Du dennoch in einem zweiten Forum posten solltest, erwähne bitte, dass Du die Frage schon woanders gestellt hast, und dass Du es tust, weil keine Lösung gefunden werden konnte.

ciao, andreas

Danke für diese Kritik,
Ähm ich denke doch das die meinung von dir gerechtfertigt ist aber für mich eine kleine Rolle spielt.

Ich denke das ich Mir Hilfe Bei Polizei,privat Dedektiv oder Kopfgeldjäger suchen kann um eine person zu finden.

Und Alle diese haben mit sicherheit kein prob damit, wenn du verstehts was ich damit sagen will.
Das ich versuche für mein hier nicht beantwortes problem woanders hilfe suche, finde ich mehr als gerechtfertigt und wie oben SCHON MAL erwähnt sollt dies mit sicherheit kein Wetstreit oder Kompetenz Kapf werden.
Danke Trotzdem für dein Beitrag und nicht Lösung meines Problems!!!!!

MfG Shakur

Zitat:

für mich eine kleine Rolle spielt.

Ja, genau das ist ja das Traurige daran. Egoismus ? Wikipedia

Zitat:

Ich denke das ich Mir Hilfe Bei Polizei,privat Dedektiv oder Kopfgeldjäger suchen kann um eine person zu finden.

Der Vergleich hinkt so dermaßen, dass er schon als abstrus zu bezeichnen ist.

1.) Werden alle genannten Personen bezahlt.

2.) Ist die Suche nach einer vermissten Person wohl kaum mit jemandem zu vergleichen, der durch Dummheit und Unaufgeklärtheit (Brain.exe hat versagt) sich selbst infiziert hat und dann sich helfen lässt.

Bei der ganzen Sache tröstet mich ja nur eins. Beim TB bist du an Anfänger geraten, die dich neu aufsetzen haben lassen. Dämlicherweise hast du dich durch deine externe Festplatte sofort erneut infiziert.

Zitat:

Und Alle diese haben mit sicherheit kein prob damit, wenn du verstehts was ich damit sagen will.

Nein, ganz und gar nicht.

Zitat:

Das ich versuche für mein hier nicht beantwortes problem woanders hilfe suche, finde ich mehr als gerechtfertigt

Du scheinst tatsächlich zu glauben, dass die unbezahlten freiwilligen Helfen nur auf dich gewartet haben und es das Selbstverständlichste der Welt ist, dir zu helfen? Werd erwachsen.

Beim TB hast du eine Verwarnung erhalten und brauchst dich auch nicht mehr blicken zu lassen. Wir Helfer auf den Boards stehen in engem Kontakt und daher kann ich dir sagen, dass weder auf dem HJT-Forum noch bei board.protecus.de dir irgendjemand in Zukunft helfen wird.

Zitat:

Danke Trotzdem für dein Beitrag und nicht Lösung meines Problems!!!!!

Wie sagte noch Terry Pratchett?

Zitat:

Five exclamation marks, the sure sign of an insane mind.

Andreas

Hi, ich hatte das selbe Porpblem und habe die Lösung dafür!!

Verantwortlich hierfür ist die Regedit.exe.

Such mal in der regedit "Mountpoint2."

Under diesem Schlüssel findest du nicht nur die Laufwerkbuchstaben, Andere Schlüßel mit "{}" solchen klammern.

eenn du entweder auf die Untermenüs der Klammern oder Der Lauferksbuchstaben gehst, findest du unter dem Untermenü von "Open" dien Dateinamen Aufgelistet.

Behebung:

Lösche den Inhalt vom Temp Ordner!

Löche dann sämtliche Mountpoint informationen aus der regedit.

Nicht erschrecken, das immerwieder "Mountpoin2" in der regedit steht!!