|
Plagegeister aller Art und deren Bekämpfung: Au._Exe hat Kaspersky gemeldet, permanenter Bluescreen mit Problemen bei SPTD.sysWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
25.10.2009, 12:32 | #1 |
| Au._Exe hat Kaspersky gemeldet, permanenter Bluescreen mit Problemen bei SPTD.sys Hallo liebe Leute, habe seit zwei Tagen ein wirklich schweres Problem. War wie immer ganz normal im Internet surfen, bis auf einmal mein Rechner unerklärlicherweise stark etwas zu laden anfing und mir Kaspersky Internet Security 2009 eine Meldung gab ,ob irgendein Programm zugreifen soll. Habe ohne groß darauf zu achten was es war, einfach verbieten angeklickt und kurz darauf startete mein Rechner neu. Jedoch blieb es beim Neustarten, da er ab Beginn des Windows Symbols beim Booten gleich wieder runter fuhr Wollte dann erstmal in den abgesicherten Modus rein, wo ich gefragt wurde: Please Enter to Cancel loading SPTD.sys und danach das selbe zu VAX347b.sys. Blockierte ich das Laden nicht, machte er wieder einen Neustart, so dass ich nicht in den Abgesicherten Modus kam. Drückte ich enter, und übersprang somit die Vorgänge, kam ich in den Abgesicherten rein. Dort musste ich noch feststellen, dass Kaspersky nicht mehr ging...beschädigte Datenbanken, bitte aktualisieren. Hmmh...komm ja nicht mehr ins Internet, also fiel die Virensuche bzw. Aktualisierung der Datenbanken auch flach. Danach stellte ich den automatischen Neustart aus und bekam folgenden Bluescreen: IRQL_Not_Less_Or Equal Technische Infos: Stop 0X0000000A (0X00000000, 0X00000002, 0X 00000001, 0X804DC11D) Hmmh leider fand ich dazu bei meiner Freundin ne ganze Menge im Internet und bin ehrich gesagt etwas überfordert. Also sagte ich mir O.k. gehe ich doch mal zu Kaspersky rein und sehe mir die Programmkontrolle an, da ja kurz bevor er abstürzte, er mir ein Programm anzeigte. Hierbei fand ich die Au_. exe, die auch hier schon im Forum ihr Unwesen getrieben hat. Sie sollte unter C./Admin/lokale Einstellungen/temp/~nsu.tmp/au_.exe sein, war jedoch dort nicht mehr vorhanden. Mir war gleich klar, dass diese Dateien suspekt waren. Machte danach diverse Systemwiederherstellungen ohne Wirkung, der Bluescreen kam immer noch. Also durchsuchte ich die Registry auf diese Datei und fand folgende Einträge: HKEY_Current_User/Software/Microsoft/Search Assistant/ACMru/5603 und in 5604 000 Reg_SZ au_.exe 001 Reg_SZ ~nsu.tmp Dann fand ich noch unter Software/MIcrosoft/ Windows/ Shell No Roam/ Muicache wieder C:/ Dokumente Einstellungen/Admin......siehe oben und zu guter letzt einen Eintag unter: Software_Kaspersky LAb/AVP 8/ Profiles/ Hins/Settings/ application/ Childs/0001 Was hängt nun wie zusammen???? O.K. Au_.exe scheint Spyware zu sein. Aber wie kommt es zum Bluescreen und was haben die beiden Sys.Dateien damit zu tun. Habe erfahren, das dei SPTD. sys bei Daemon Tools vorkommt und bei Alkohol 120%, welches ich habe. Jedoch schon Ewigkeiten nicht mehr benutzt habe. Hat es wirklich damit zu tun? Oder tarnt sich darunter ein Virus. Hat der Bluescrenen nun einen Hardwarefehler, defekter RAM soll gängig bei diesem Bluescreen sein? Aber warum passierte alles plötzlich nachdem Kaspersky etwas wollte und es abstürzte? Brauche dringend Hilfe, wie ich den Rechner erstmal wieder zum Laufen kriege, Neuaufsetzen soll wirklich nur den letzten Ausweg darstellen! Mit welchen Programmen, die ich bei mir im Abgesicherten starten könnte, kann ich das Problem eventuell lösen? Bin über jede Hilfe dankbar und poste noch zur besseren Informaionsbereitstellung mein Logfile, welches ich per HijackThis auf ein USB-Sick zog. Vielen Dank im Vorraus für ihre Mühen und Hilfen. MfG Günter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 13:55:19, on 24.10.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18241) Boot mode: Safe mode Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\WISPTIS.EXE F:\Programme\Steganos Security Suite 2007\SteganosAgent.exe D:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = google.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Steganos Password Manager AutoFill - {1427A821-7B93-4F08-9A34-9FA03A3D93DB} - F:\Programme\Steganos Security Suite 2007\PasswordManagerBHO.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - D:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [AVP] "D:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe" O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" O4 - HKLM\..\Run: [SSS2007 PasswordManagerFFAutoFill] "F:\Programme\Steganos Security Suite 2007\PasswordManagerFFAutoFill.exe" O4 - HKLM\..\Run: [SSS2007 HotKeys] "F:\Programme\Steganos Security Suite 2007\SteganosHotKeyService.exe" O4 - HKLM\..\Run: [SSS2007 File Redirection Starter] "F:\Programme\Steganos Security Suite 2007\fredirstarter.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "E:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [AnyDVD] D:\Programme\SlySoft\AnyDVD\AnyDVD.exe O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: Hinzufügen zu Anti-Banner - D:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll (file missing) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll (file missing) O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - D:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\Programme\PartyGaming\PartyPoker\RunApp.exe O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\Programme\PartyGaming\PartyPoker\RunApp.exe O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - AppInit_DLLs: D:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,D:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,D:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - D:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe -- End of file - 5943 bytes |
25.10.2009, 16:31 | #2 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Au._Exe hat Kaspersky gemeldet, permanenter Bluescreen mit Problemen bei SPTD.sys Hallo und
__________________Deinstallier doch mal im abgesicherten Modus Alcohol 120% und wenn vorhanden auch die Daemon-Tools. Mach einen Neustart, probier dann gleich mal den normalen Modus.
__________________ |
25.10.2009, 22:59 | #3 |
| Au._Exe hat Kaspersky gemeldet, permanenter Bluescreen mit Problemen bei SPTD.sys Vielen lieben Dank!
__________________Das werde ich dann machen! Aber was hat es mit der Au_.exe in der Registry auf sich? Soll ich die Eintraäge löschen? Aber ist das rein theoretisch möglich mit Alcohol, da ich so etwas noch nie hatte und es ja spontan mit der Meldung von Kaspersky kam??? MfG Günter! |
26.10.2009, 10:53 | #4 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Au._Exe hat Kaspersky gemeldet, permanenter Bluescreen mit Problemen bei SPTD.sys Das Problem ist mir bekannt, aber das ist als nächstes dran. Erstmal musst Du die Kiste wieder normal booten können, dann können wir uns um mögliche Schadsoftware kümmern.
__________________ Logfiles bitte immer in CODE-Tags posten |
28.10.2009, 11:09 | #5 |
| Au._Exe hat Kaspersky gemeldet, permanenter Bluescreen mit Problemen bei SPTD.sys Hi Cosinus, danke für den Tipp. Leider will er im Abgesicherten nicht Alcohol deinstallieren, da Abgesicherter Modus oder der Windows Installer nicht korrekt installiert ist. Ok, könnte ja die Sptd.sys manuell löschen, die unter Windows/System32/Drivers steckt. Habe dann mal nach der Vax347b.sys geguckt, die ja auch beim Laden für den Bluescreen sorgt. Die ist ebenfalls unter System32/Drivers und ist der Treiber von Plug and Play Bios Extension???? Gleichzeitig zeigt er mir unter dem Gerätemanager an, das der Plug and Play Bios Extension einen Fehler hat, also er kann den Treiber nicht initailisieren. Was soll ich bloß machen????? Habe anscheinend ein dickes Hard- und Software-Problem oder wurde das durch einen Virus verursacht. Hoffe das du mir auch in Richtung des Probelmes weiter helfen kannst! |
28.10.2009, 13:29 | #6 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Au._Exe hat Kaspersky gemeldet, permanenter Bluescreen mit Problemen bei SPTD.sys Benenn doch mal bitte beide Dateien um, zB ein Unterstrich _ am Anfang bei beiden Dateinamen einfügen. Versuch dann mal den Rechner wieder im normalen Modus zu starten.
__________________ --> Au._Exe hat Kaspersky gemeldet, permanenter Bluescreen mit Problemen bei SPTD.sys |
19.11.2009, 22:42 | #7 |
| Au._Exe hat Kaspersky gemeldet, permanenter Bluescreen mit Problemen bei SPTD.sys Hi Cosinus, möchte mich erstmal für meine verspätete Antwort entschuldigen. Hatte viel zu tun und dadurch das ich bei meiner Freundin den Rechner nutzen konnte, habe ich das Problem etwas aufgeschoben. Habe die Woche jedoch deinen Trick mit der Umbennung der Dateien probiert und er fuhr wieder hoch Vielen Dank!!! Nun nehme ich an das trotzdem noch Viren, Malware oder sonstiges auf meinen Rechner schlummert. (vgl. die Au._exe in der Registry) Was soll ich als nächstes tun???? Wie gesagt Kaspersky geht nicht und ins Internet möchte ich unter diesen Umständen auch nicht. Bin über jeden weiteren Tipp sehr dankbar. Somal was mich auch irritiert, warum das mit den Dateien so spontan kam??? Hoffe das du mir trotz meiner Auszeit weiter hilfst Ansonsten schonmal einen schönen Start ins Wochenende......Bis dann! |
19.11.2009, 23:10 | #8 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Au._Exe hat Kaspersky gemeldet, permanenter Bluescreen mit Problemen bei SPTD.sys Klar kann ich weiterhelfen. Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.
__________________ Logfiles bitte immer in CODE-Tags posten |
12.12.2009, 23:25 | #9 |
| Au._Exe hat Kaspersky gemeldet, permanenter Bluescreen mit Problemen bei SPTD.sys Hi Cosinus, also folgendes: Habe alles sowie du es beschireben hast gemacht. Er hatte lediglich den Trojan.Agent gefunden, denn ich dann gelöscht habe. Nachdem ich dann ins Internet ging um Kaspersky upzudaten, fand er beim Scannen folgende Sachen: Win32.tdss.z sowie den Rootkit.Win32.Tdss.c, der sich jedoch nicht entfernen ließ. Habe auch gleich gelesen, dass ich um eine Neuinstallation nicht rum kommen werde. Lasse es daher mit dem Posten der Files. Jedoch wäre noch interessant, ob ich bei der Neuaufsetzung bzw. Formatierung zu beachten gibt. Bzw. was passiert, wenn ich jetzt trotz dieser Schädlinge ins Internet gehe??? Wäre über ne Antwort sehr dankbar. Ansonsten einen schönen 3. Advent und vielen Dank für deine Mühe!!!! |
14.12.2009, 09:43 | #10 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Au._Exe hat Kaspersky gemeldet, permanenter Bluescreen mit Problemen bei SPTD.sys Man kann den TDSS entfernen. Kann aber schwierig werden. Wenn Du lieber Neuaufsetzen willst das hier beachten => http://www.trojaner-board.de/51262-a...sicherung.html
__________________ Logfiles bitte immer in CODE-Tags posten |
Themen zu Au._Exe hat Kaspersky gemeldet, permanenter Bluescreen mit Problemen bei SPTD.sys |
0x0000000a, abgesicherten modus, adobe, auf einmal, banke, banken, bho, bluescree, bluescreen, booten, dringend, excel, exe, explorer, hijack, hijackthis, hkus\s-1-5-18, hotkeys, hängt, internet, internet explorer, internet security, jusched.exe, kaspersky, letzt, logfile, pdf, programm, registry, rundll, schutz, security, security suite, sptd.sys, spyware, suspekt, warum, windows, windows xp |