| |
| |||||||
Log-Analyse und Auswertung: reader_s.exe in C:\Windows\System32\Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
10.08.2009, 17:19
| #1 |
 |  reader_s.exe in C:\Windows\System32\ Hallo Leute, brauche Ihren Rat! Habe heute reader_s.exe beim scannen mit COMODO AntiVir-Programm auf meimnem Notebook entdeckt und konnte diese Datei mit COMODO aus den folgenden Verzeichnissen entfernen: C:\Windows\System32\ und C:\Users\...\ Nach dem Entfernen dieser Datei und dem Lesen mehrerer Foren wurde mir klarer, womit ich konfrontiert wurde. Nach der Installation des HiJackThis-v2.0.2, erzeugte ich die folgende Logfile-Datei, die ich auch durch eine automatische Logfileauswertung im Intrenet HijackThis Logfileauswertung durchgejagt habe. Meinen Fragen sind: Ist das System sauber oder gibt es dennoch versteckte manipulierte Dateien? Muss ich dennoch das Betriebssystem neu aufsetzen? Vielen Dank! Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:09:42, on 10.08.2009 Platform: Windows Vista SP2 (WinNT 6.00.1906) MSIE: Internet Explorer v8.00 (8.00.6001.18813) Boot mode: Normal Running processes: C:\Windows\system32\taskeng.exe C:\Windows\system32\Dwm.exe C:\Windows\Explorer.EXE C:\Windows\RtHDVCpl.exe C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\Program Files\COMODO\COMODO Internet Security\cfp.exe C:\Users\...\AppData\Local\Temp\RtkBtMnt.exe C:\Program Files\Synaptics\SynTP\SynTPHelper.exe C:\Program Files\Windows Media Player\wmpnscfg.exe C:\Windows\system32\wuauclt.exe C:\Program Files\Acer Inc\Acer GridVista\GridVistaULH.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&s=2&o=vp32&d=1008&m=aspire_7530g R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&s=2&o=vp32&d=1008&m=aspire_7530g R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&s=2&o=vp32&d=1008&m=aspire_7530g R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O1 - Hosts: ::1 localhost O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Program Files\Winamp Toolbar\winamptb.dll O2 - BHO: ShowBarObj Class - {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} - C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\ActiveToolBand.dll O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDStoolbar.dll O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [ProductReg] "C:\Program Files\Acer\WR_PopUp\ProductReg.exe" O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Program Files\COMODO\COMODO Internet Security\cfp.exe" -h O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST') O8 - Extra context menu item: &Winamp Search - C:\ProgramData\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O13 - Gopher Prefix: O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL C:\Windows\system32\guard32.dll O23 - Service: NTI Backup Now 5 Agent Service (BUNAgentSvc) - NewTech Infosystems, Inc. - C:\Program Files\NewTech Infosystems\NTI Backup Now 5\Client\Agentsvc.exe O23 - Service: CLHNService - Unknown owner - C:\Program Files\Acer Arcade Deluxe\HomeMedia\Kernel\DMP\CLHNService.exe O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - COMODO - C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe O23 - Service: eDataSecurity Service - Egis Incorporated - C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDSService.exe O23 - Service: Empowering Technology Service (ETService) - Unknown owner - C:\Program Files\Acer\Empowering Technology\Service\ETService.exe O23 - Service: Google Desktop Manager 5.7.808.7150 (GoogleDesktopManager-080708-050100) - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe O23 - Service: MobilityService - Unknown owner - C:\Acer\Mobility Center\MobilityService.exe O23 - Service: NTI Backup Now 5 Backup Service (NTIBackupSvc) - NewTech InfoSystems, Inc. - C:\Program Files\NewTech Infosystems\NTI Backup Now 5\BackupSvc.exe O23 - Service: NTI Backup Now 5 Scheduler Service (NTISchedulerSvc) - Unknown owner - C:\Program Files\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software GmbH - C:\Windows\System32\TuneUpDefragService.exe O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe -- End of file - 5915 bytes |
|
10.08.2009, 18:01
| #2 |
| /// Malwareteam   | reader_s.exe in C:\Windows\System32\ >>
__________________Askbar entfernen Start -> Einstellungen -> Systemsteuerung -> Software > Schau ob AskBar,SrchAstt oder Ask Search Assistant dazwischen steht,entfernen >> Schliesse alle Fenster und starte Hijack This Klicke: Do a Systemscan only Setze ein Häckchen in das Kästchen vor den genannten Einträgen bei: (falls diese noch vorhanden sind) Code:
ATTFilter O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
Starte den Rechner neu. >> Arbeite nun Punkt 2 aus dem Link in meiner Signatur ab und poste die Logs. Gruss Swiss |
|
10.08.2009, 22:02
| #3 |
| | reader_s.exe in C:\Windows\System32\ Hallo Swiss, danke für die schnelle und effektive Antwort!
__________________Eine Frage vorab, sind die Toolbars potenzielle Neste für Viren und anderes Ungeziffer? Folgende Logs (Datei-Anhänge) wurden nach den Ausführungen der Programme erstellt: |
|
10.08.2009, 23:09
| #4 |
| /// Malwareteam | reader_s.exe in C:\Windows\System32\ Nein muss nicht sein. Es gibt natürlich auch da Toolbars, welche den User ausspionieren. Weisst Du was das hier ist: C:\_Activation__keys_dir_ >> mache einen Onlinescan mit eset + poste den report http://virus-protect.org/artikel/tools/eset-nod.html >> Mach ein Onlinescan mit Bitdefender und poste das Log: http://virus-protect.org/artikel/tools/bitdefender.html Gruss Swiss |
|
11.08.2009, 00:55
| #5 |
| | reader_s.exe in C:\Windows\System32\ hi Swiss, führe gerade die Onlinescann durch... C:\_Activation__keys_dir_ ist ein leerer Ordner. Ich habe vor kurzem versucht den Schlüssel für ein Demoprogramm im Internet zu finden, um die Zeitbegrenzung des Programms zu deaktivieren, nach erfolgloser Suche hat sich herausgestellt, dass es direkt vom Programm aus geht. Ich vermute, das die Geschichte mit dem Virus, durch diese Suche entstanden ist. |
|
11.08.2009, 01:30
| #6 |
| /// Malwareteam | reader_s.exe in C:\Windows\System32\ Und das wird dann mit diesem leeren Ordner in Verbindung stehen? Mal schauen was die Onlinescans sagen. Gruss Swiss |
|
11.08.2009, 01:38
| #7 |
| | reader_s.exe in C:\Windows\System32\ Hi Swiss! Mit dem ESET Online Scanner wurde nichts gefunden. Beim BitDefender Online Scanner konnte die Datenbank nicht aktualisiert werden und der Scannvorgang wurde abgebrochen. Swiss, was ist dein Fazit zu meiner Angelegenheit? Und was ist mit mehreren DLL's und .exe Dateien, die durch die automatische Logfileauswertung HijackThis Logfileauswertung der Log-Datei als schädlich gekennzeichnet worden sind? Vielen Dank! |
|
11.08.2009, 01:42
| #8 |
| /// Malwareteam | reader_s.exe in C:\Windows\System32\ Diese Einträge werden nun nicht mehr erscheinen. Poste doch mal ein neues HJT Log. Gruss Swiss |
|
11.08.2009, 01:47
| #9 |
| | reader_s.exe in C:\Windows\System32\ soll ich das HJT oder das RSIT zur Erzeugung der Log-Datei heranziehen? |
|
11.08.2009, 02:06
| #10 |
| | reader_s.exe in C:\Windows\System32\ hier ist aktuelle Log-Datei: |
|
11.08.2009, 11:25
| #11 |
| /// Malwareteam | reader_s.exe in C:\Windows\System32\ Wo siehst du denn hier noch schädliche Dateien und Einträge?? Gruss Swiss |
|
11.08.2009, 14:55
| #12 |
| | reader_s.exe in C:\Windows\System32\ wenn ich diese Log-Datei hier hochlade: HijackThis Logfileauswertung, gibt es ein paar rote Kreuze, sind die harmlos? Gruss! |
|
11.08.2009, 18:26
| #14 |
| | reader_s.exe in C:\Windows\System32\ hab kapiert! probleme sind keine mehr da! tausend Dank!!  |
|
11.08.2009, 18:30
| #15 |
| /// Malwareteam | reader_s.exe in C:\Windows\System32\ Gern geschehen  Happy Surfing. Gruss Swiss |
|
| Themen zu reader_s.exe in C:\Windows\System32\ |
| adobe, ask toolbar, askbar, bho, desktop, entfernen, explorer, firefox, frage, google, hijack, installation, internet, internet explorer, internet security, intrenet, local\temp, mozilla, neu aufsetzen, notebook, nvidia, pdf, popup, programdata, rundll, scan, security, software, system, temp, tuneup.defrag, vista, windows |
Linear-Darstellung
