[GELÖST] XP Fehlermeldung Recycler konnte nicht gefunden werden

curious030 · 20.03.2009, 17:01

Hallo,

ich hab da das Problem, welches hier schon öfter aufgetaucht ist: Bei mir wird
"RECYCLER/S-6-1-50-100000517-100027457-100028849-6024.com" nicht gefunden, wenn ich auf meinem Arbeitsplatz die Laufwerke D: (Partition auf der Festplatte) und G: (Externe Festplatte) mit Doppelklick öffnen möchte. Weiter heißt es:
"...Stellen Sie sicher, dass Sie den Namen korrekt eingegeben haben und wiederholen Sie den Vorgang. Klicken Sie auf "Start" und anschließend auf "Suchen", um eine Datei zu suchen."

Ich habe nun schon die Schritte wie in der Anweisung befolgt.
Doch sobald ich combofix.exe starte, erscheint die Fehlermeldung
"Error - Some installation files are corrupt. Please download a fresh copy and retry the installation"

Was soll ich tun???????

IchGoogleAlles · 20.03.2009, 17:58

Moin,

bete, dass es nicht Virut ist.

GMER - Rootkit Detection

Lade Tralala von File-Upload.net - Tralala.exe
Klick auf Download (rechts in der Mitte) und speichere es auf den Desktop
Beende alle Programme
Doppelklick auf Tralala.exe
Der Reiter Rootkit oben ist schon angewählt

Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
nach Beendigung des Scan, drücke "Copy"
nun kannst Du das Ergebnis hier einfügen. Sollte das Log zu lang sein, dann lade es bei einem Filehoster wie z.B. Materialordner hoch und poste den Link.
Sollte Gmer sagen "Gmer hasen´t found any System Modifikation", so hat Gmer keine Einträge gefunden.

ciao, andreas

curious030 · 20.03.2009, 19:03

Also hab das durchlaufen lassen und da steht:

GMER hasn't found any system modification.

Was soll ich jetzt tun???????

IchGoogleAlles · 20.03.2009, 19:07

Das ist sehr gut. Versuche ComboFix noch einmal runterzuladen und zu starten. Falls das wieder nicht klappt, dann Malwarebytes Anti-Malware - Reviews and free Malwarebytes Anti-Malware downloads at Download.com

ciao, andreas

curious030 · 20.03.2009, 19:22

Combofix funktioniert noch immer nicht.

Wenn ich Malwarebytes Anti-Malware 1.34 installieren will kommt folgende Meldung:

"The setup files are corrupted. Please obtain a new copy of the program."

Was soll ich jetzt tun???????

IchGoogleAlles · 20.03.2009, 19:30

Das hört sich übelst nach Virut an. Der befällt und zerstört jede Datei die er bekommt. Laufen deine anderen Programme noch oder kommen da auch Fehlermeldungen?

ciao, andreas

curious030 · 20.03.2009, 19:39

Na ich habe das System (XP) extra neu installiert, weil ich dachte das Problem damit beheben zu können. Daher sind noch nicht viele Programme installiert, die ich testen könnte. Ich habe aber auf jeden Fall schon z.B. Nero Burning Room installiert, oder WinRAR und diese Programme funktionieren auch. Das Problem ist aber nach wie vor da.
Würde es was bringen, wenn ich alle wichtigen Daten sichere und die komplette Platte formatiere?
Also ich habe eine Festplatte im Rechner und auf der ist die Partition C: (die ich formatiert hatte bevor ich XP neu installierte) und dennoch ist das Problem da.
Wenn ich jetzt C: und D: (2.Partition) wieder zu einer Partition zusammenführe, komplett Formatiere und danach XP neu drauf spiele, bringt das was?

Habe die Befürchtung, dass es dann immer noch nicht geht, denn es hat ja mit C: auch schon nicht geklappt.

Was kann ich sonst tun???? Muss ich mir um meine wichtigen Dateien (Fotos, Videos und Dokumente) auf Partition D: Sorgen machen?

IchGoogleAlles · 20.03.2009, 20:06

Nein, wenn es sonst keine Fehlermeldungen gibt, dann ist es nicht Virut. Kann sein, dass der Download nur fehlerhaft war. Hast du einen anderen Rechner zum Runterladen zur Verfügung?

Es gibt noch eine Alternative, muss ich allerdings erst suchen.

ciao, andreas

curious030 · 20.03.2009, 20:10

Ich habe die Programme alle an einem funktionierenden Rechner runtergeladen und dann per Stick auf den betroffenen Rechner übertragen. Es liegt also auf keinen Fall am Download.

IchGoogleAlles · 20.03.2009, 20:21

Dann ist der Stick jetzt auch befallen. Öffne mit dem Windowsexplorer den Stick und doppelklicke auf Autorun.inf. Poste den kompletten Text.

ciao, andreas

curious030 · 20.03.2009, 20:34

Eine Datei "autorun.inf" befindet sich nicht auf dem Stick.

Würde meine Formatierungsidee etwas bringen?
Wenns irgendwie geht, würde ich gern nur alles Platt machen und danach neu installieren...

IchGoogleAlles · 20.03.2009, 20:43

Das Problem hast du also nur mit Laufwerk D: und G:?

Dann öffne erstmal D: und mache dort ein Doppelklick auf Autorun.inf und poste den Inhalt.

Zitat:

Würde meine Formatierungsidee etwas bringen?

Nein, es sei denn du formatierst alles.

ciao, andreas

curious030 · 20.03.2009, 20:52

Ja genau, das Problem ist nur bei D: und G:

Es gibt aber auf beiden kein "autorun.inf"

Was heißt, ich müsste alles formatieren? Muss ich davor auch C: und D: wieder zu einem einzigen Laufwerk zusammenführen?

Wenn ich weiß, dass das Problem danach weg ist, würde ich eine Komplettformatierung durchführen. Es geht mir nämlich langsam auf den Geist das hier nichts so richtig funktioniert.
Wie müsste ich dabei am Besten vorgehen?

-----Doppelpost zusammengeführt am 20.3.2009 um 20:59:33-----

Ich habe jetzt mal Laufwerk G: an einem funktionierenden System angeschlossen und ein Virusprogramm hat "BV:AutoRun-T [Wrm]" darauf entdeckt und in die Quarantäne verschoben.

Hilft das weiter?

IchGoogleAlles · 20.03.2009, 20:59

Stell sicher, daß Dir auch alle Dateien angezeigt werden. Dann kontrolliere nochmal.

ciao, andreas

curious030 · 20.03.2009, 21:14

Ok du hattest recht, die Suche war nicht richtig eingestellt.
in der "autorun.inf" von Laufwerk D: steht:

[autorun]
;ombvxvrgyzl
shellexecute="RECYCLER\S-6-1-50-100000517-100027457-100028849-6024.com f:\"
;ooeqvqfnbhuuxqoesg
shell\Open\command="RECYCLER\S-6-1-50-100000517-100027457-100028849-6024.com f:\"
;eerklsrmgllksulmgjgtrcjilfufzbwgetoncjmcxqscgontc emcjlyynu
shell=Open

IchGoogleAlles · 20.03.2009, 21:18

Lösche die Datei autorun.inf und führe eine Datenträgerbereinigung durch. Danach solltest du wieder auf D: zugreifen können. Suche auf allen Laufwerken nach autorun.inf und lösche alle. Hole dir CCleaner, falls du ihn noch nicht hast und lösche alles.

ciao, andreas

curious030 · 20.03.2009, 21:26

Zugriff auf das Laufwerk funktioniert wieder mit Doppelklick. Danke!
Muss ich weiterhin noch etwas machen? Oder war es doch nicht so schlimm wie ich anfangs befürchtete?

IchGoogleAlles · 20.03.2009, 21:36

Zitat:

Muss ich weiterhin noch etwas machen?

Das weder ComboFix noch MbAM läuft, macht mich stutzig. Versuche es mit SuperAntiSpyware.

Zitat:

Oder war es doch nicht so schlimm wie ich anfangs befürchtete?

Wenn die Meldung nur beim Zugriff auf externe erscheint, dann nicht.

Poste bitte ein HijackThis-Log.

ciao, andreas

curious030 · 20.03.2009, 21:48

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 05:12:31, on 01.01.2002
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\PCI Audio Applications\Bin\EchoCtrl.exe
C:\WINDOWS\Mixer.exe
C:\WINDOWS\Twain_32\SlimU2TA\HotKey.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O4 - HKLM\..\Run: [C-Media Echo Control] C:\Programme\PCI Audio Applications\Bin\EchoCtrl.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\SlimU2TA\HotKey.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe

--
End of file - 2474 bytes

IchGoogleAlles · 20.03.2009, 21:56

Starte HJT => Do a system scan only => Markiere:

Code:

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)

=> Fix checked

Auch wenn du nicht mit dem MSIE surfst (und das solltest du nicht), hole dir den MSIE7.

ciao, andreas

-----Doppelpost zusammengeführt am 20.3.2009 um 22:32:57-----

Hast du mit dem PC Internetzugang? Dann lade dir direkt vom Internet MbAM und nicht über den Umweg mit dem Stick und versuche es nochmal.

So langsam hege ich den Verdacht, dass dein anderer Rechner befallen ist. Erstelle auch mit dem noch ein HJT-Log.

ciao, andreas