Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: sdra64.exe

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 03.05.2015, 07:52   #1
palim palim
 
sdra64.exe - Standard

sdra64.exe



Hallo, habe mir im Vorfeld auch hier ein ähnlichen fred mit diesem Problem durchgelesen.
komme jetzt aber leider nich mehr weiter.
Zum Ausgangspunkt: Wie oft beschrieben wurde mein Rechner auch spürbar langsamer, die erste Zeit hatte ich öfters mal was durchlaufen lassen aber es wurde nie irgendwas gefunden.
dann hatte ich vor kurzem nen vid entdeckt zwecks malware über cmd aufzuspüren die virenscanner ja auch gern mal übersehen.
Hab dann den printkey für winlogon zeigen lassen... und siehe da ....

Zitat:
Volatility Foundation Volatility Framework 2.3.1
Legend: (S) = Stable (V) = Volatile

----------------------------
Registry: \Device\HarddiskVolume1\WINDOWS\system32\config\software
Key name: Winlogon (S)
Last updated: 2010-08-15 19:17:23 UTC+0000

Subkeys:
(S) GPExtensions
(S) Notify
(S) SpecialAccounts
(V) Credentials

Values:
REG_DWORD AutoRestartShell : (S) 1
REG_SZ DefaultDomainName : (S) BILLY-DB5B96DD3
REG_SZ DefaultUserName : (S) Administrator
REG_SZ LegalNoticeCaption : (S)
REG_SZ LegalNoticeText : (S)
REG_SZ PowerdownAfterShutdown : (S) 0
REG_SZ ReportBootOk : (S) 1
REG_SZ Shell : (S) Explorer.exe
REG_SZ ShutdownWithoutLogon : (S) 0
REG_SZ System : (S)
REG_SZ Userinit : (S) C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\
system32\sdra64.exe,
REG_SZ VmApplet : (S) rundll32 shell32,Control_RunDLL "sysdm.cpl"

REG_DWORD SfcQuota : (S) 4294967295
REG_SZ allocatecdroms : (S) 0
REG_SZ allocatedasd : (S) 0
REG_SZ allocatefloppies : (S) 0
REG_SZ cachedlogonscount : (S) 10
REG_DWORD forceunlocklogon : (S) 0
REG_DWORD passwordexpirywarning : (S) 14
REG_SZ scremoveoption : (S) 0
REG_DWORD AllowMultipleTSSessions : (S) 1
REG_EXPAND_SZ UIHost : (S) logonui.exe
REG_DWORD LogonType : (S) 1
REG_SZ Background : (S) 0 0 0
REG_SZ AutoAdminLogon : (S) 0
REG_SZ DebugServerCommand : (S) no
REG_DWORD SFCDisable : (S) 0
REG_SZ WinStationsDisabled : (S) 0
REG_DWORD HibernationPreviouslyEnabled : (S) 1
REG_DWORD ShowLogonOptions : (S) 0
REG_SZ AltDefaultUserName : (S) Administrator
REG_SZ AltDefaultDomainName : (S) BILLY-DB5B96DD3
hab dann auch gleich win neu drauf gemacht... (sah ich in dem Moment als die sichere Variante an)
kürioser Weise blieb mir die "C:\WINDOWS\system32\sdra64.exe" trotzdem erhalten.
System Formatierung lief nur über die win cd...
Ich versucht die Datei dann im 32er Ordner zu suchen... Fehlanzeige.
mein Gedanke war jetzt ob er es doch überlebt haben könnte?
Mein Problem is jetzt also das die datei über cmd immernoch seh, ich aber keinen Pfad mehr finden kann.
HiJack hab ich auch schon drüber geschickt...

Logfile:
Zitat:
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 02:37:13, on 03.05.2015
Platform: Windows 7 (WinNT 6.00.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files (x86)\Avira\My Avira\Avira.OE.Systray.exe
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
C:\Program Files\Sandboxie\32\SbieSvc.exe
C:\Program Files (x86)\Mozilla Firefox\plugin-container.exe
C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerPlugin_17_0_0_169.exe
C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerPlugin_17_0_0_169.exe
C:\Users\peter\Desktop\HiJackThis204.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=userinit.exe
O4 - HKLM\..\Run: [LoadFUJ02E3] C:\Program Files (x86)\Fujitsu\FUJ02E3\FUJ02E3.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Avira Systray] C:\Program Files (x86)\Avira\My Avira\Avira.OE.Systray.exe
O4 - HKCU\..\Run: [SandboxieControl] "C:\Program Files\Sandboxie\SbieCtrl.exe"
O4 - HKCU\..\Run: [RESTART_STICKY_NOTES] C:\Windows\system32\StikyNot.exe
O4 - HKUS\S-1-5-21-794259683-2587775646-4051321-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\..\Run: [SandboxieControl] "C:\Program Files\Sandboxie\SbieCtrl.exe" (User '?')
O4 - HKUS\S-1-5-21-794259683-2587775646-4051321-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\..\Run: [RESTART_STICKY_NOTES] C:\Windows\system32\StikyNot.exe (User '?')
O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe
O23 - Service: Avira Email-Schutz (AntiVirMailService) - Avira Operations GmbH & Co. KG - C:\Program Files (x86)\Avira\AntiVir Desktop\avmailc7.exe
O23 - Service: Avira Planer (AntiVirSchedulerService) - Avira Operations GmbH & Co. KG - C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira Echtzeit-Scanner (AntiVirService) - Avira Operations GmbH & Co. KG - C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Avira Browser-Schutz (AntiVirWebService) - Avira Operations GmbH & Co. KG - C:\Program Files (x86)\Avira\AntiVir Desktop\avwebg7.exe
O23 - Service: Avira Service Host (Avira.OE.ServiceHost) - Avira Operations GmbH & Co. KG - C:\Program Files (x86)\Avira\My Avira\Avira.OE.ServiceHost.exe
O23 - Service: MBAMScheduler - Malwarebytes Corporation - C:\Program Files (x86)\ Malwarebytes Anti-Malware \mbamscheduler.exe
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Program Files (x86)\ Malwarebytes Anti-Malware \mbamservice.exe
O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Program Files (x86)\Mozilla Maintenance Service\maintenanceservice.exe
ja zum allem hatte ich dann auch noch blue screen vorhin, konnte nur noch was von memory-dumps lesen und dann wars auch schon dunkel.
hab mir dann gesagt bevor ich noch weiter stunden davor sitz frag ich jetzt einfach mal in die runde.

malwarebytes hatte ich auch drüber laufen.
keine treffer.


vielen dank auf jeden fall schon im vorraus.

Geändert von palim palim (03.05.2015 um 08:16 Uhr)

Alt 03.05.2015, 10:17   #2
schrauber
/// the machine
/// TB-Ausbilder
 

sdra64.exe - Standard

sdra64.exe



hi,

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST Download FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)
  • Starte jetzt FRST.
  • Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
  • Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
  • Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

__________________

__________________

Antwort

Themen zu sdra64.exe
adobe, adobe flash player, antivir, avg, avira, desktop, dll, firefox, flash player, hijackthis, internet, internet explorer, malware, microsoft, mozilla, neu, opera, ordner, problem, rundll, scan, suche, system, windows, wmp




Ähnliche Themen: sdra64.exe


  1. sdra64.exe auf dem laptop aber malwarebytes stürzt ab.
    Plagegeister aller Art und deren Bekämpfung - 26.01.2012 (21)
  2. SDRA64.exe, Trojan-Downloader.Win32.Piker.ciq
    Plagegeister aller Art und deren Bekämpfung - 26.07.2010 (10)
  3. C:\WINDOWS\system32\sdra64.exe u.v.a.
    Plagegeister aller Art und deren Bekämpfung - 25.07.2010 (3)
  4. Trojaner sdra64
    Plagegeister aller Art und deren Bekämpfung - 19.07.2010 (12)
  5. sdra64.exe wird andauernd von Malwarebytes gefunden
    Plagegeister aller Art und deren Bekämpfung - 30.05.2010 (2)
  6. trojan.js agent apa /sdra64.exe
    Plagegeister aller Art und deren Bekämpfung - 29.05.2010 (3)
  7. sdra64.exe
    Plagegeister aller Art und deren Bekämpfung - 28.05.2010 (15)
  8. sdra64.exe
    Plagegeister aller Art und deren Bekämpfung - 20.05.2010 (28)
  9. sdra64 entfernen, aber wie?
    Plagegeister aller Art und deren Bekämpfung - 20.05.2010 (6)
  10. sdra64.exe und andere Trojaner
    Log-Analyse und Auswertung - 01.05.2010 (13)
  11. sdra64.exe ++
    Log-Analyse und Auswertung - 30.04.2010 (17)
  12. Infektion durch Exploit mit sdra64.exe
    Plagegeister aller Art und deren Bekämpfung - 29.04.2010 (20)
  13. C:\WINDOWS\system32\sdra64.exe mit TR/Spy.ZBot.ahgi infiziert
    Log-Analyse und Auswertung - 19.04.2010 (12)
  14. sdra64.exe, msmsgrs.exe
    Plagegeister aller Art und deren Bekämpfung - 08.04.2010 (10)
  15. sdra64.exe... was nun?
    Plagegeister aller Art und deren Bekämpfung - 24.03.2010 (1)
  16. Windows Vista: Desktop schwarz und sdra64.exe
    Log-Analyse und Auswertung - 11.01.2010 (1)
  17. TR/Dropper.Gen in twex.exe, twext.exe und sdra64.exe + mehr
    Plagegeister aller Art und deren Bekämpfung - 15.11.2009 (4)

Zum Thema sdra64.exe - Hallo, habe mir im Vorfeld auch hier ein ähnlichen fred mit diesem Problem durchgelesen. komme jetzt aber leider nich mehr weiter. Zum Ausgangspunkt: Wie oft beschrieben wurde mein Rechner auch - sdra64.exe...
Archiv
Du betrachtest: sdra64.exe auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.