|
Log-Analyse und Auswertung: SDRA65.exe BefallWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
22.02.2010, 08:08 | #16 |
/// Helfer-Team | SDRA65.exe Befall Hallo Christian, was passiert genau? Bleibt der Scan bei einer bestimmten Datei stehen? Evtl. noch mal testen, bitte.
__________________ Alle Tipps und Anleitungen ohne Gewähr |
22.02.2010, 21:42 | #17 |
| SDRA65.exe Befall Moin,
__________________ich bleibe nicht die ganze Zeit neben dran, bin aber der Meinung, dass er bis zum Ende scannt, dann aber nichts mehr geht. Kopie kann ich klicken, dann kommt die Meldung, dass es im Zwischenspeicher ist. Danach geht nichts mehr: Hier mal ein Foto vom Bildschirm. Christian |
22.02.2010, 22:21 | #18 |
/// Helfer-Team | SDRA65.exe Befall Es wird wohl eine Systemdatei manipuliert sein. Da sie bei laufendem Windows gesperrt ist, musst du von außen zugreifen, um sie auszutauschen.
__________________Lad Dir bitte von hier eine saubere atapi.sys am besten direkt auf c: herunter, danach: PartedMagic 1. Lade Dir das ISO-Image von PartedMagic herunter, müssten ca. 90 MB sein 2. Brenn es per Imagebrennfunktion auf CD, geht zB mit ImgBurn oder Nero per Imagebrennfunktion unter Windows 3. Boote von der gebrannten CD, im Bootmenü von Option 1 starten und warten bis der Linux-Desktop oben ist 4. Du müsstest ein Symbol "Mount Devices" finden, das doppelklicken 5. Mounte die Partition wo Windows installiert ist, meistens ist es /dev/sda1 6. Benenne auf sda1 die Datei /windows/system32/drivers/atapi.sys um in atapi.bad 7. Kopiere die saubere atapi.sys in den Pfad hinein (/windows/system32/drivers) (müsste eigentlich alles ganz easy über den graphischen Dateibowser in Linux gehen) 8. Starte den Rechner neu und boote Windows 9. Die in Linux umbenannte Datei (atapi.bad in system32\drivers) bei Virustotal auswerten lassen und Ergebnislink posten 10. Einen neuen Durchlauf mit GMER machen und Log posten
__________________ |
23.02.2010, 20:20 | #19 |
| SDRA65.exe Befall Hallo Franz, mein Problem ist nun, dass ich Windows garnicht mehr hochfahren kann. Auch nachdem ich alles rueckgaengig gemacht habe. PC bootet bis @Verifying PMA POOL Data@ und startet dann neu. hab ich was falsch gemacht_ gruss Christian |
23.02.2010, 20:42 | #20 |
/// Helfer-Team | SDRA65.exe Befall Hast du die "alte" atapi.sys erst umbenannt und dann die frisch heruntergeladene atapi.sys an ihre Stelle kopiert (in windows\system32\drivers)?
__________________ Alle Tipps und Anleitungen ohne Gewähr |
23.02.2010, 21:21 | #21 |
| SDRA65.exe Befall Hallo Franz, genau so habe ich es gemacht. Nun faehrt er nicht mehr hoch und von CD bootet er auch nur, wenn ich F8 druecke. Obwohl im BIOS zuerst CD, dann HD steht. Christian |
23.02.2010, 21:26 | #22 |
/// Helfer-Team | SDRA65.exe Befall Hast du die umbenannte Datei, also die atapi.bad, bei Virustotal scannen können?
__________________ Alle Tipps und Anleitungen ohne Gewähr |
23.02.2010, 21:34 | #23 |
| SDRA65.exe Befall Hallo Franz, habe es gerade mal gecheckt. hier das Logfile Virustotal. MD5: 9f3a2f5aa6875c72bf062c712cfa2674 Win32.Rootkit |
23.02.2010, 21:54 | #24 |
/// Helfer-Team | SDRA65.exe Befall Beim Kopieren der sauberen Datei muss etwas schiefgegangen sein. Ein anderer Grund dafür, dass der Rechner plötzlich nicht mehr hoch fährt, kommt eigentlich nicht in Frage. Mach bitte die gesamte Prozedur mit der PartedMagic-CD noch einmal.
__________________ Alle Tipps und Anleitungen ohne Gewähr |
24.02.2010, 00:30 | #25 |
| SDRA65.exe Befall Moin, hab alles nochmal gemacht, ausser die CD zu brennen. Es sieht so aus, als ob garnichtb auf die Festplatte yugegriffen wird, yum booten. was hat das mit dem mounten eigentlich auf sich? Gruss Christian |
24.02.2010, 17:05 | #26 |
/// Helfer-Team | SDRA65.exe Befall Mounten bedeutet, deine logischen Laufwerke für Linux - du hattest ja mit einer Linux-Live-CD gebootet - zugänglich zu machen. Linux verwendet im Gegensatz zu Windows keine Buchstaben für die logischen Laufwerke, sondern bindet sie bzw. ihre Dateistruktur quasi in seine "eigene" Struktur ein. So konntest du von Linux aus auf deine Dateien auf der Festplatte zugreifen. Wenn der Rechner nach wie vor nicht von der Festplatte bootet, boote noch einmal Linux und benenne die atapi.bad wieder um in atapi.sys. Wir müssen dann noch mal aus einer anderen Richtung ran.
__________________ Alle Tipps und Anleitungen ohne Gewähr |
25.02.2010, 22:03 | #27 | |
| SDRA65.exe Befall Hallo Franz, nachdem nun doch alles wieder finktioniert, habe ich GMER nochmal gestartet. diesesmal konnte ich das Log speichern, aber danach kein Firefox starten und den PC auch nicht herunterfahren --> RESET hier das LOG Zitat:
Christian |
26.02.2010, 15:54 | #28 |
/// Helfer-Team | SDRA65.exe Befall GMER sieht gut aus. Was hast du gemacht, um den Rechner wieder ans Laufen zu bringen? Hat das Zurückbenennen ausgereicht?
__________________ Alle Tipps und Anleitungen ohne Gewähr |
26.02.2010, 21:08 | #29 |
| SDRA65.exe Befall Hallo Franz, hatte es schon vor meinem letzten Posting zurückgeändert, hat nicht geklappt. Hab dann die ganze Prozedur, wie schon geschrieben nochmal gemacht, hatte aber auch nichts gebracht. Am nächsten Tag habe ich den PC eingeschaltet und es ging. Kann aber nicht sagen warum Meinst du mein PC ist asuber, oder sollte ich noch was unternehmen? Gruss Christian |
27.02.2010, 20:21 | #30 |
/// Helfer-Team | SDRA65.exe Befall Wir werden gucken, bis keine Malware-Einträge mehr zu sehen sind, aber das heißt grundsätzlich nicht, dass keine Malware mehr da ist. Eine Garantie auf einen sauberen Rechner gibt es grundsätzlich nur nach einer sachgerecht ausgeführten Neuinstallation. Da GMER wider Erwarten keinen Hinweis auf ein Rootkit erbracht hat, möchte noch mal nachhaken: Führe dazu TDSS-Killer aus: - Download von hier - ZIP entpacken in einen eigenen Ordner - ALLE Programme schließen, v.a. Virenscanner deaktivieren! - Wenn Du aufgefordert wirst den PC neuzustarten, so drücke y um das zu tun - nach dem Neustart Log vom TDSS-Killer posten (sollte direkt auf c: liegen) Führe außerdem noch einmal aus: 1.) Malwarebytes (vorher aktualisieren), danach: 2.) RSIT, diesmal auch die info.txt posten
__________________ Alle Tipps und Anleitungen ohne Gewähr |
Themen zu SDRA65.exe Befall |
antivir, antivir guard, avg, avgntflt.sys, avira, bho, browser, components, desktop, device driver, einstellungen, excel, firefox, fontcache, gereinigt, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, logfile, malware.trace, mozilla, notepad.exe, plug-in, realtek, registrierungsschlüssel, rundll, sdra64.exe, security, software, spyware.zbot, stolen.data, system, userinit.exe, windows, windows xp |