RECYCLER Virus (verändert) - Trojaner?

#1 Hallo an alle,

ich bin kein IT-Profi und mühe mich seit Tagen mit dem "Recycler" Virus. Es gab ein paar Einträge dazu in diesem Forum, aber das Erscheinungsbild ist bei mir etwas anders und ich bin mit meinem Latein am Ende. Die aktuelle Version von Kaspersky Internet Security findet das Virus nicht und der aktuelle Trojan Remover ist auch machtlos.
Nach langem hin und her hatte ich einen versteckten Ordner gefunden "Recycler", der sich nicht löschen ließ. Dieser Ordner war auf jeder Partition zu finden, auf jeder Festplatte und mitlerweile auf jedem USB-Stick. Der Ordner "Recycler" lässt sich nur löschen, indem man die Shift-Taste und Entf-Taste drückt. Sobal ich versuche eine Datei oder Ordner normal zu löschen erscheint automatisch entweder der Ordner "Recycler" oder die Datei "recycle" mit dem Papierkorb-Icon. Ich hatte im Dateimanager die explorer.exe ausgemacht und über "Neuer Task" die regedit geöffnet und alle "Recycler"-Einträge gelöscht - ohne Erfolg, wobei das Virus sich nicht mehr in die Regestry einträgt. Ich habe auch im Abgesichrtem Modus versucht die Daten zu sichern um anschl. eine halbwegs virenfreie Datensicherung zu machen, aber hatte festgestellt, dass einige Ordner total verseucht sind und ich damit nichts gewinne...
Vielleicht sagt ihr, dass es totaler Blödsinn war, was ich versucht hatte, aber ich bin eben kein IT-Profi...

Hat jemand ein Rat für mich?

Mfg
Hanry

#2

Zitat

Hat jemand ein Rat für mich?

Versteh dein Problem nicht, dachte "Recycler" ist die Windows Mülltonne und ein Feature von Windows.
Somit findest du das auf jeder NTFS basierenden Partition (und damit auch auf jedem USB Stick) -
das dürfte wohl schon vorher da gewesen sein.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#3 Nicht ganz richtig - die Windows Mülltonne heißt "recycle" und die "RECYCLER" muss ein Trojaner sein, zumindest lese ich es u.a. im Netz. Es sind Kleinigkeiten, die auftreten, z.B. mein Kartenleser geht nicht mehr richtig, einige Ordner und Dateien sind auf dem Rechner aufgetaucht, die ich nie erstellt hatte - sie lassen sich übrigens auch nicht löschen. Die Festplatten oder Sticks kann ich nicht mehr formatieren und bei "Harware entfernen" heißt es, dass andere Programme darauf zugreifen und es jetzt nicht geht, usw...
Es ist ein Virus... Ich hatte das ähnliche Ding auf meinem Büro-Laptop in 2010 gehabt. Damalíge Version des Virus probierte mein Bank Account zu knacken...

#4

Zitat

Nicht ganz richtig - die Windows Mülltonne heißt "recycle" und die "RECYCLER" muss ein Trojaner sein, zumindest lese ich es u.a. im Netz.

Nein.

Zitat

Es sind Kleinigkeiten, die auftreten, z.B. mein Kartenleser geht nicht mehr richtig, einige Ordner und Dateien sind auf dem Rechner aufgetaucht, die ich nie erstellt hatte - sie lassen sich übrigens auch nicht löschen. Die Festplatten oder Sticks kann ich nicht mehr formatieren und bei "Harware entfernen" heißt es, dass andere Programme darauf zugreifen und es jetzt nicht geht, usw...
Es ist ein Virus... Ich hatte das ähnliche Ding auf meinem Büro-Laptop in 2010 gehabt. Damalíge Version des Virus probierte mein Bank Account zu knacken...

Relativ demnach gibt es klassische Viren auch nicht mehr.... es mag ja sein das dein System infiziert ist, dann solltest du hier weiterlesen: http://board.protecus.de/t40182.htm
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#5 Trollige Sache...
aber der Name des Windows-Ordners, welcher den Inhalt des Papierkorbs enthält heißt nunmal "Recycler" und nicht Recycle.
Erklär mal, wie Du überhaupt darauf kommst, dass Du es mit einem Trojaner o.ä zu tun hast. Einer Meldung des AV-Scnners ist es nicht zu verdanken, der findet lt. d. Aussage ja nichts. Also...woher nimmst Du deine Erkenntnis ? Wenn es lediglich eine Annahme ist, dass das Vorhandensein des Ordners "Recycler" auf eine Infektion hinweist, dann hast Du falsche Informationen augeschnappt.
__________
Durchsuchen --> Aussuchen --> Untersuchen

#6 Ich kann hier nur @joschi zustimmen, der Ordner heisst "Recycler" und ist auf jeder NTFS Partition vorhanden. Dieser Ordner enthält für jeden Benutzer einen Papierkorb. Aber auch Recycle gibt es, genauer gesagt Recycle.Bin, dein Papierkorb.

Da du auch schreibst das einige Dateien und Ordner aufgetaucht sind, die du nicht kennst bzw. erstellt hast. Der Ordner Recycler und auch Recycle.Bin, sowie auch einige andere Ordner und Dateien tauchen nur auf, wenn der Haken bei Systemdateien ausblenden (empfohlen) rausgenommen und Ausgeblendete Ordner, Dateien, Laufwerke anzeigen, markiert ist. Da musst du irgendwie oder ein anderer etwas gemacht haben und du eben nun erstaunt über die zugekommenden Ordner und Dateien bist. Das ist aber alles normal. Aber zu einem Trojaner sehe ich mit dem so wie du es schilderst keine Verbindung.

Und Programme oder auch Systemdateien greifen nunmal auch auf angeschlossenen USB Geräte zu, die dann wenn man sie entfernen möchte, manchmal gesperrt sind, gerade wenn man vorher mit dennen gearbeitet hat.

Wenn du wirklich eine Trojaner haben solltest, dann in einem anderen Zusammehang. Lass mal Emsisoft Emergency Kit 1.0: http://www.emsisoft.de/de/software/eek/ drüber laufen und poste die Reportdatei.

#7 Hallo Joschi,

der Trojaner auf meinem PC ist unter dem Namen "Recycler\s-1-5-21xxxxxxx unterwegs und befällt div. Dateien. Es tarnt sich u.a. als eine xy.jpg Datei oder auch x.y.smg (Outlook email), die nicht gelöscht werden können. Die Namen der Ordner, wo die Dateien liegen, sind manchmal von mir erstellt, manchmal aber tragen sie einen komischen Namen, z.b. "awina~" - ich hatte sie nie erstellt und kann aber auch nicht löschen.

Hallo Hochsitz,

ich lasse die Software, die du aufgeschrieben hast auch noch drüberlaufen und stelle den Bericht hier ein. Vielen Dank für den Tipp!!!

Mfg Hanry

Für alle Frohe Weihnachten!!!!

#8

Zitat

Hanry postete
Hallo Joschi,

der Trojaner auf meinem PC ist unter dem Namen "Recycler\s-1-5-21xxxxxxx unterwegs und befällt

Hallo nochmals,

Trojaner, welcher Trojaner denn ?
Wenn du denkst, Du hättest den schon 2010 mal gehabt, dann würde Kaspersky das Ding in jedem Fall finden.
Hier mal ein paar Screenshots von meinem System, vl. beruhigt dich das... und sollte das emisoft-Tool nichts finden, dann ist der Trojaner entweder brandgefährlich, oder Du hast tatsächlich keinen




__________
Durchsuchen --> Aussuchen --> Untersuchen

#9 Ich weiß gar nich was es da zu überlegen gibt - man kann nichts in den Papierkorb verschieben was bereits da drin ist **.
Ich rate mal den unlink syscall zu verwenden, dann geht das auch - ein gepflegtes rm auf Seiten non-windows Systeme funktioniert auch äußerst zuverlässig.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#10 Hallo Joschi,

die Ordner mit Mülleimer Icon sehen bei mir genauso aus, aber ist es denn wirklich sicher, dass es keine Tarnung des Virus ist? Ich bin jetzt etwas beruhigter, wobei alles andere kann ich nicht erklären. Warum hört mein PC nicht auf zu arbeiten, wenn bei XP home sich noch keiner angemeldet hat, d.h. windows ist gerade mal gestertet und der PC "kriegt sich nicht ein" und ist die ganze Zeit am laden - aber was??? Da läuft kein Programm oder irgendwelche automatische updates. Selbst wenn es so wäre, irgendwann mal muss doch endlich gut sein.
1. Der PC ist ohne Anwender am blinken/arbeiten wie verrückt, wobei noch keine Anmeldung/Passworteingabe erfolgte und nur windows hochgelaufen ist (???).
2. Es gibt Dateien und Ordner, die ich nie angelegt hatte und die ich anfangs nicht löschen konnte. Wenn es z.B. 2 verdächtige Ordner zu sehen sind und mir gelingt einen von beiden zu löschen, dann verschwindet der 2. Ordner auch (???).
3. Nach der Datensicherung auf den Stick wollte ich den Stick formatieren - ohne Erfolg, weil in einem der kopierten Ordner eine komische Datei lag. Dieser Ordner auf dem Stick konnte nur nach dem Löschen des Ursprungsordners auf meinem PC deletet werden (???)
4. Warum verschachtelt sich der Ordner, wie in deinem Screenshot 1 zu sehen ist, immer tiefer auf dem PC, wenn du diesen löschst??? Es werden automatisch Unterordner angelegt, wo z.B. nach 31 Unterordnern nur 2 Dateien zu finden sind - desktop.ini und "INFO", die sich mit keinem Programm öffnen lässt, zumindest die ich auf dem PC habe????
5. Warum meckerte Kasperski über eine xxx.jpg Datei oder eine archivierte email - xxx.smg??? (Diese hatte ich sofort von Kasperski löschen lassen).
6. Warum habe ich immer wieder Aussetzer beim SD-Kartenleser - die Karten werden nicht mehr erkannt? Nach dem Entfernen "verdächtiger Ordner" ging es auf einmal wieder???
7. Warum kann ich die Festplatten oder USB-Sticks nicht formatieren oder verdächtige Dateien über die rechte Maustaste in die Quarantäne verschieben - ist inaktiv geschaltet???

Ich habe nur Fragen und bis jetzt keine wirkliche Antworten...

P.S. in 2010 hatte ich etwas ähnliches, aber auf meinem Büro-Laptop. Das Ding ist sofort von unserer IT neu aufgesetzt worden. Damals war der "MC Affi" (?) auch machtlos dagegen... Das Virus war im Bootsektor und lies sich nicht entfernen. Nach Meldung des Virusbefalls kam 3 Tage später ein update von der IT in unserem Unternehmen und danach war Ruhe... Jetzt kam ich aus Indien zurück, wie damals auch, und mir ist mein priv. PC aufgefallen, dass er nicht rund lief...

...aber trotzdem vielen Dank für Deine Zeit, die Du für mich investierst!!!

Nette Grüße
Hanry

#11 Warum warum, warum ist die Banane krum?
Da müßte man aber sehr weit ausholen um alle deine Fragen zu beantworten -
MS Windows ist einfach nicht so perfekt wie du es dir vorstellst, ganz im Gegenteil sogar.
Es ist auch ganz normal das dieses OS ab und zu mal neu installiert werden muss - das ist ganz ok.
Man kann zwar frickeln bis der Arzt kommt über zich Ecken und Kanten bekommt man es unter Umständen auch nochmal repariert (zb. bei einer Malware Infektion) aber das alles ist Aeonen entfernt davon seriös oder produktiv zu sein (oder gar beides).

Den erhöhten I/O den du beschreibst ist ebenfalls normal, Win ist nicht wirklich bekannt dafür Effektiv zu arbeiten,
zum Glück hat man das in Win7 stark optimiert, in WinXP ists schlimm und in Win Vista noch viel schlimmer.
Das liegt zu einem an irgendwelchen indizierungs Diensten aber zum anderen auch daran das die I/O Operationen zum Teil sehr ineffektiv gestaltet sind.

Für jemanden wie dich dürfte bei Windows so ziemlig alles verdächtig sein weil du ja sicherlich nicht all zu viel Ahnung von IT oder den Aufbau der Betriebssysteme hast - MS Windows hat zich hunderte komische Verzeichnisse die entweder tempoären Zwecken dienen (da bleibt dann ganz viel Müll liegen irgendwo) oder zu integralen Zwecken die aber nicht weiter dokumentiert sind.

Wenn du etwas in den Papierkorb verschiebst ist es ja nicht gelöscht ( wie ich bereits angedeutet hatte ), es wird verschoben.
Auch der Papierkorb ist letztendlich nur ein Metaverzeichnis in dem sich nun mal deine offensichtlich "gelöschten" Dateien befinden, auch hier pflegt Microsoft wieder ein Namensschema das seines gleichen sucht - diese lange mit S beginnende Nummer deutet aber auf den Benutzer hin der die Datei gelöscht hat.

Zu deinen restlichen Problemen müßtest du mal mehr Details geben, niemand kann etwas damit anfangen wenn du sagst "ich kann xy nicht formatieren oder abc nicht löschen" - woher sollte das irgendjemand wissen.
Eventuell sind die Ressourcen die du formatieren oder löschen willst ja in Benutzung dann sind diese gelockt.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#12 Hallo Hanry,

hat denn Emsisoft was gefunden oder nicht? Sage mal dazu etwas.

Zitat

die Ordner mit Mülleimer Icon sehen bei mir genauso aus, aber ist es denn wirklich sicher, dass es keine Tarnung des Virus ist?

ja es ist ziemlich sicher das es keine Tarnung ist.

Aber wie gesagt, ich sehe hier keinen Virus in Verbindung mit deinem gschilderten Problem. Diese Vorgänge sind aber alle ganz normal.

#13 Lange Rede, kurzer Sinn:

1. Installiere Malwarebytes
http://www.malwarebytes.org/
(Download Now)
lasse die Aktualisierung zu, führe einen Quick Scan durch, lasse evtl. Funde von Malwarebytes entfernen und poste anschließend das Log.

2. OTL
http://oldtimer.geekstogo.com/OTL.exe
Starte das Programm, setze Häckchen bei "Scanne alle Benutzer", "LOP Prüfung" und "Purity Prüfung", kopiere unten in das Script-Feld rein:

Zitat

safebootminimal
msconfig
netsvcs

und klicke auf Scan. Poste die OTL.txt und Extras.txt

Danach sehen wir klarer.

#14 Hallo an alle,

vielen Dank für die Antworten!

@gangren, ich bin ein paar Tage dienstl. unterwegs und führe die Schritte später durch, die Du aufgeschrieben hast, aber noch dieses Jahr.

@Hochsitz, der Report vom Emsisoft und vielen Dank für die Mühe:



Emsisoft Emergency Kit - Version 1.0
Letztes Update: 24.12.2011 12:52:07

Scan Einstellungen:

Scan Methode: Detail Scan
Objekte: Speicher, Traces, Cookies, C:\, D:\, E:\, F:\
Archiv Scan: An
Heuristik: Aus
ADS Scan: An

Scan Beginn: 24.12.2011 12:54:09

c:\dokumente und einstellungen\alexander\startmenü\programme\Cliprex DVD Player Professional gefunden: Trace.Directory.Cliprex DVD Player Professional!A2
c:\programme\GameSpy Arcade gefunden: Trace.Directory.GameSpy Arcade!A2
c:\windows\system32\_id.dat gefunden: Trace.File.silzefos.cn!A2
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\services --> del gefunden: Trace.Registry.cakpapaz.cn!A2
c:\dokumente und einstellungen\alexander\startmenü\programme\Cliprex DVD Player Professional\(www.cliprex.com) .. Cliprex - Video Software.lnk gefunden: Trace.File.Cliprex DVD Player Professional!A2
c:\dokumente und einstellungen\alexander\startmenü\programme\Cliprex DVD Player Professional\About AdVantage.lnk gefunden: Trace.File.Cliprex DVD Player Professional!A2
c:\dokumente und einstellungen\alexander\startmenü\programme\Cliprex DVD Player Professional\AdVantage Customer Support.lnk gefunden: Trace.File.Cliprex DVD Player Professional!A2
c:\dokumente und einstellungen\alexander\startmenü\programme\Cliprex DVD Player Professional\Cliprex DVD Player Professional.lnk gefunden: Trace.File.Cliprex DVD Player Professional!A2
c:\dokumente und einstellungen\alexander\startmenü\programme\Cliprex DVD Player Professional\License Agreement.lnk gefunden: Trace.File.Cliprex DVD Player Professional!A2
c:\programme\GameSpy Arcade\INSTALL.LOG gefunden: Trace.File.GameSpy Arcade!A2
Key: HKEY_LOCAL_MACHINE\system\currentcontrolset\services\svchost gefunden: Trace.Registry.AdvancedKEYLOGGER!A2
Value: HKEY_CURRENT_USER\Software\Cliprex DVD Player Professional --> Volume gefunden: Trace.Registry.Cliprex DVD Player Professional!A2
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Cliprex DVD Player Professional --> DisplayIcon gefunden: Trace.Registry.Cliprex DVD Player Professional!A2
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Cliprex DVD Player Professional --> DisplayName gefunden: Trace.Registry.Cliprex DVD Player Professional!A2
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Cliprex DVD Player Professional --> UninstallString gefunden: Trace.Registry.Cliprex DVD Player Professional!A2
Value: HKEY_USERS\Irina\Software\GameSpy\GameSpy Arcade --> InstDir gefunden: Trace.Registry.GameSpy Arcade!A2
Value: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\svchost\Enum --> 0 gefunden: Trace.Registry.HandyKeylogger!A2
Value: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\svchost\Enum --> Count gefunden: Trace.Registry.HandyKeylogger!A2
Value: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\svchost\Enum --> NextInstance gefunden: Trace.Registry.HandyKeylogger!A2
Value: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\svchost\Security --> Security gefunden: Trace.Registry.HandyKeylogger!A2
Value: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\svchost --> DisplayName gefunden: Trace.Registry.HandyKeylogger!A2
Value: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\svchost --> ErrorControl gefunden: Trace.Registry.HandyKeylogger!A2
Value: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\svchost --> ImagePath gefunden: Trace.Registry.HandyKeylogger!A2
Value: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\svchost --> ObjectName gefunden: Trace.Registry.HandyKeylogger!A2
Value: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\svchost --> Start gefunden: Trace.Registry.HandyKeylogger!A2
Value: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\svchost --> Type gefunden: Trace.Registry.HandyKeylogger!A2
C:\Dokumente und Einstellungen\Irina\Cookies\irina@com[1].txt gefunden: Trace.TrackingCookie.com!A2
C:\Dokumente und Einstellungen\Irina\Cookies\irina@link[1].txt gefunden: Trace.TrackingCookie.link!A2
C:\Dokumente und Einstellungen\Irina\Cookies\irina@mediaplex[1].txt gefunden: Trace.TrackingCookie.mediaplex!A2
C:\Dokumente und Einstellungen\Jonathan\Cookies\jonathan@2o7[2].txt gefunden: Trace.TrackingCookie.2o7!A2
C:\Dokumente und Einstellungen\Jonathan\Cookies\jonathan@bs.serving-sys[1].txt gefunden: Trace.TrackingCookie.bs.serving-sys!A2
C:\Dokumente und Einstellungen\Jonathan\Cookies\jonathan@fastclick[1].txt gefunden: Trace.TrackingCookie.fastclick!A2
C:\Dokumente und Einstellungen\Jonathan\Cookies\jonathan@mediaplex[2].txt gefunden: Trace.TrackingCookie.mediaplex!A2
C:\Dokumente und Einstellungen\Alexander\Desktop\cnet2_trj682_exe.exe gefunden: Riskware.Win32.InstallCore.AMN!A2
C:\Dokumente und Einstellungen\Alexander\Lokale Einstellungen\Temp\ICReinstall\cnet2_trj682_exe.exe gefunden: Riskware.Win32.InstallCore.AMN!A2
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\426f70e\SGDSys\vd952342.bd gefunden: Trojan.Win32.FakeAV!IK
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WURQPP6B\ng[1].exe gefunden: Trojan.Win32.Remhead!IK
D:\Programme\net4home\BusConnector\n4h_bc_config.exe gefunden: Trojan.Win32.VkHost!IK

Gescannt

Dateien: 246419
Traces: 581358
Cookies: 778
Prozesse: 47

Gefunden

Dateien: 5
Traces: 26
Cookies: 7
Prozesse: 0
Registry Keys: 0

Scan Ende: 24.12.2011 17:21:59
Scan Zeit: 4:27:50

D:\Programme\net4home\BusConnector\n4h_bc_config.exe Quarantäne Trojan.Win32.VkHost!IK
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WURQPP6B\ng[1].exe Quarantäne Trojan.Win32.Remhead!IK
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\426f70e\SGDSys\vd952342.bd Quarantäne Trojan.Win32.FakeAV!IK

Quarantäne

Dateien: 3
Traces: 0
Cookies: 0