Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: SDRA65.exe Befall

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 22.02.2010, 08:08   #16
Franz1968
/// Helfer-Team
 
SDRA65.exe Befall - Standard

SDRA65.exe Befall



Hallo Christian,

was passiert genau? Bleibt der Scan bei einer bestimmten Datei stehen? Evtl. noch mal testen, bitte.
__________________
Alle Tipps und Anleitungen ohne Gewähr

Alt 22.02.2010, 21:42   #17
christian_p
 
SDRA65.exe Befall - Standard

SDRA65.exe Befall



Moin,

ich bleibe nicht die ganze Zeit neben dran, bin aber der Meinung, dass er bis zum Ende scannt, dann aber nichts mehr geht.
Kopie kann ich klicken, dann kommt die Meldung, dass es im Zwischenspeicher ist.
Danach geht nichts mehr:

Hier mal ein Foto vom Bildschirm.




Christian
__________________


Alt 22.02.2010, 22:21   #18
Franz1968
/// Helfer-Team
 
SDRA65.exe Befall - Standard

SDRA65.exe Befall



Es wird wohl eine Systemdatei manipuliert sein. Da sie bei laufendem Windows gesperrt ist, musst du von außen zugreifen, um sie auszutauschen.


Lad Dir bitte von hier eine saubere atapi.sys am besten direkt auf c: herunter, danach:

PartedMagic

1. Lade Dir das ISO-Image von PartedMagic herunter, müssten ca. 90 MB sein
2. Brenn es per Imagebrennfunktion auf CD, geht zB mit ImgBurn oder Nero per Imagebrennfunktion unter Windows
3. Boote von der gebrannten CD, im Bootmenü von Option 1 starten und warten bis der Linux-Desktop oben ist



4. Du müsstest ein Symbol "Mount Devices" finden, das doppelklicken
5. Mounte die Partition wo Windows installiert ist, meistens ist es /dev/sda1
6. Benenne auf sda1 die Datei /windows/system32/drivers/atapi.sys um in atapi.bad
7. Kopiere die saubere atapi.sys in den Pfad hinein (/windows/system32/drivers) (müsste eigentlich alles ganz easy über den graphischen Dateibowser in Linux gehen)
8. Starte den Rechner neu und boote Windows
9. Die in Linux umbenannte Datei (atapi.bad in system32\drivers) bei Virustotal auswerten lassen und Ergebnislink posten
10. Einen neuen Durchlauf mit GMER machen und Log posten
__________________
__________________

Alt 23.02.2010, 20:20   #19
christian_p
 
SDRA65.exe Befall - Standard

SDRA65.exe Befall



Hallo Franz,

mein Problem ist nun, dass ich Windows garnicht mehr hochfahren kann.
Auch nachdem ich alles rueckgaengig gemacht habe.
PC bootet bis

@Verifying PMA POOL Data@ und startet dann neu.

hab ich was falsch gemacht_

gruss
Christian

Alt 23.02.2010, 20:42   #20
Franz1968
/// Helfer-Team
 
SDRA65.exe Befall - Standard

SDRA65.exe Befall



Hast du die "alte" atapi.sys erst umbenannt und dann die frisch heruntergeladene atapi.sys an ihre Stelle kopiert (in windows\system32\drivers)?

__________________
Alle Tipps und Anleitungen ohne Gewähr

Alt 23.02.2010, 21:21   #21
christian_p
 
SDRA65.exe Befall - Standard

SDRA65.exe Befall



Hallo Franz,
genau so habe ich es gemacht.

Nun faehrt er nicht mehr hoch und von CD bootet er auch nur, wenn ich F8 druecke.
Obwohl im BIOS zuerst CD, dann HD steht.

Christian

Alt 23.02.2010, 21:26   #22
Franz1968
/// Helfer-Team
 
SDRA65.exe Befall - Standard

SDRA65.exe Befall



Hast du die umbenannte Datei, also die atapi.bad, bei Virustotal scannen können?
__________________
Alle Tipps und Anleitungen ohne Gewähr

Alt 23.02.2010, 21:34   #23
christian_p
 
SDRA65.exe Befall - Standard

SDRA65.exe Befall



Hallo Franz,
habe es gerade mal gecheckt.
hier das Logfile
Virustotal. MD5: 9f3a2f5aa6875c72bf062c712cfa2674 Win32.Rootkit

Alt 23.02.2010, 21:54   #24
Franz1968
/// Helfer-Team
 
SDRA65.exe Befall - Standard

SDRA65.exe Befall



Beim Kopieren der sauberen Datei muss etwas schiefgegangen sein. Ein anderer Grund dafür, dass der Rechner plötzlich nicht mehr hoch fährt, kommt eigentlich nicht in Frage.
Mach bitte die gesamte Prozedur mit der PartedMagic-CD noch einmal.
__________________
Alle Tipps und Anleitungen ohne Gewähr

Alt 24.02.2010, 00:30   #25
christian_p
 
SDRA65.exe Befall - Standard

SDRA65.exe Befall



Moin,

hab alles nochmal gemacht, ausser die CD zu brennen.
Es sieht so aus, als ob garnichtb auf die Festplatte yugegriffen wird, yum booten.
was hat das mit dem mounten eigentlich auf sich?

Gruss
Christian

Alt 24.02.2010, 17:05   #26
Franz1968
/// Helfer-Team
 
SDRA65.exe Befall - Standard

SDRA65.exe Befall



Mounten bedeutet, deine logischen Laufwerke für Linux - du hattest ja mit einer Linux-Live-CD gebootet - zugänglich zu machen. Linux verwendet im Gegensatz zu Windows keine Buchstaben für die logischen Laufwerke, sondern bindet sie bzw. ihre Dateistruktur quasi in seine "eigene" Struktur ein. So konntest du von Linux aus auf deine Dateien auf der Festplatte zugreifen.

Wenn der Rechner nach wie vor nicht von der Festplatte bootet, boote noch einmal Linux und benenne die atapi.bad wieder um in atapi.sys. Wir müssen dann noch mal aus einer anderen Richtung ran.
__________________
Alle Tipps und Anleitungen ohne Gewähr

Alt 25.02.2010, 22:03   #27
christian_p
 
SDRA65.exe Befall - Standard

SDRA65.exe Befall



Hallo Franz,

nachdem nun doch alles wieder finktioniert, habe ich GMER nochmal gestartet.
diesesmal konnte ich das Log speichern, aber danach kein Firefox starten und den PC auch nicht herunterfahren --> RESET

hier das LOG
Zitat:
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-02-25 20:58:11
Windows 5.1.2600 Service Pack 3
Running: j80uh0p0.exe; Driver: C:\DOKUME~1\C\LOKALE~1\Temp\pxtdqpow.sys


---- System - GMER 1.0.15 ----

SSDT BA711A46 ZwCreateKey
SSDT BA711A3C ZwCreateThread
SSDT BA711A4B ZwDeleteKey
SSDT BA711A55 ZwDeleteValueKey
SSDT BA711A5A ZwLoadKey
SSDT BA711A28 ZwOpenProcess
SSDT BA711A2D ZwOpenThread
SSDT BA711A64 ZwReplaceKey
SSDT BA711A5F ZwRestoreKey
SSDT BA711A50 ZwSetValueKey
SSDT BA711A37 ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.text C:\WINDOWS\system32\DRIVERS\ati2mtag.sys section is writeable [0xB4B0C000, 0x188C14, 0xE8000020]

---- User code sections - GMER 1.0.15 ----

.text D:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[2576] USER32.dll!DefWindowProcA + 11A 7E37C298 7 Bytes JMP 10031D10 D:\Programme\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
.text D:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[2576] USER32.dll!SetWindowRgn + 2BD 7E37E7E5 7 Bytes JMP 10031C80 D:\Programme\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
.text D:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[2576] USER32.dll!SetClipboardData + 19D 7E38113B 7 Bytes JMP 10031CF0 D:\Programme\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)

---- Devices - GMER 1.0.15 ----

Device \Driver\BTHUSB \Device\00000078 bthport.sys (Bluetooth-Bustreiber/Microsoft Corporation)
Device \Driver\BTHUSB \Device\0000007a bthport.sys (Bluetooth-Bustreiber/Microsoft Corporation)

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001bdc0f9fa8
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xF8 0xE4 0x47 0xCB ...
Reg HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\001bdc0f9fa8 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xF8 0xE4 0x47 0xCB ...

---- EOF - GMER 1.0.15 ----
Gruss
Christian

Alt 26.02.2010, 15:54   #28
Franz1968
/// Helfer-Team
 
SDRA65.exe Befall - Standard

SDRA65.exe Befall



GMER sieht gut aus. Was hast du gemacht, um den Rechner wieder ans Laufen zu bringen? Hat das Zurückbenennen ausgereicht?
__________________
Alle Tipps und Anleitungen ohne Gewähr

Alt 26.02.2010, 21:08   #29
christian_p
 
SDRA65.exe Befall - Standard

SDRA65.exe Befall



Hallo Franz,

hatte es schon vor meinem letzten Posting zurückgeändert, hat nicht geklappt.
Hab dann die ganze Prozedur, wie schon geschrieben nochmal gemacht, hatte aber auch nichts gebracht.

Am nächsten Tag habe ich den PC eingeschaltet und es ging.
Kann aber nicht sagen warum

Meinst du mein PC ist asuber, oder sollte ich noch was unternehmen?

Gruss
Christian

Alt 27.02.2010, 20:21   #30
Franz1968
/// Helfer-Team
 
SDRA65.exe Befall - Standard

SDRA65.exe Befall



Zitat:
Zitat von christian_p Beitrag anzeigen
Meinst du mein PC ist asuber, oder sollte ich noch was unternehmen?
Wir werden gucken, bis keine Malware-Einträge mehr zu sehen sind, aber das heißt grundsätzlich nicht, dass keine Malware mehr da ist. Eine Garantie auf einen sauberen Rechner gibt es grundsätzlich nur nach einer sachgerecht ausgeführten Neuinstallation.

Da GMER wider Erwarten keinen Hinweis auf ein Rootkit erbracht hat, möchte noch mal nachhaken: Führe dazu TDSS-Killer aus:

- Download von hier
- ZIP entpacken in einen eigenen Ordner
- ALLE Programme schließen, v.a. Virenscanner deaktivieren!
- Wenn Du aufgefordert wirst den PC neuzustarten, so drücke y um das zu tun
- nach dem Neustart Log vom TDSS-Killer posten (sollte direkt auf c: liegen)


Führe außerdem noch einmal aus:

1.) Malwarebytes (vorher aktualisieren), danach:

2.) RSIT, diesmal auch die info.txt posten
__________________
Alle Tipps und Anleitungen ohne Gewähr

Antwort

Themen zu SDRA65.exe Befall
antivir, antivir guard, avg, avgntflt.sys, avira, bho, browser, components, desktop, device driver, einstellungen, excel, firefox, fontcache, gereinigt, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, logfile, malware.trace, mozilla, notepad.exe, plug-in, realtek, registrierungsschlüssel, rundll, sdra64.exe, security, software, spyware.zbot, stolen.data, system, userinit.exe, windows, windows xp




Ähnliche Themen: SDRA65.exe Befall


  1. Befall mit cdncache-a
    Log-Analyse und Auswertung - 22.09.2014 (3)
  2. virus befall ???
    Log-Analyse und Auswertung - 28.05.2013 (3)
  3. GVU Trojaner Befall
    Plagegeister aller Art und deren Bekämpfung - 04.04.2013 (16)
  4. Gvu Trojaner Befall mit cam
    Log-Analyse und Auswertung - 05.12.2012 (2)
  5. Incredibar Befall
    Plagegeister aller Art und deren Bekämpfung - 20.11.2012 (3)
  6. GVU 2.07 Befall
    Plagegeister aller Art und deren Bekämpfung - 19.08.2012 (4)
  7. Mehrfachtrojaner-Befall
    Plagegeister aller Art und deren Bekämpfung - 06.07.2012 (7)
  8. Dropper.gen befall
    Plagegeister aller Art und deren Bekämpfung - 09.10.2010 (8)
  9. Verdacht auf Befall
    Log-Analyse und Auswertung - 24.09.2010 (1)
  10. Your Protection Befall
    Plagegeister aller Art und deren Bekämpfung - 05.05.2010 (7)
  11. Verdacht auf Befall
    Log-Analyse und Auswertung - 18.02.2010 (1)
  12. Trjoaner befall ?
    Mülltonne - 09.01.2008 (0)
  13. TR/Vundo.Gen Befall
    Plagegeister aller Art und deren Bekämpfung - 27.11.2007 (28)
  14. PC Befall
    Plagegeister aller Art und deren Bekämpfung - 24.11.2007 (0)
  15. PC befall!!!!
    Plagegeister aller Art und deren Bekämpfung - 30.05.2007 (1)
  16. W32 Befall
    Plagegeister aller Art und deren Bekämpfung - 05.04.2006 (4)
  17. Befall!
    Log-Analyse und Auswertung - 27.11.2004 (7)

Zum Thema SDRA65.exe Befall - Hallo Christian, was passiert genau? Bleibt der Scan bei einer bestimmten Datei stehen? Evtl. noch mal testen, bitte. - SDRA65.exe Befall...
Archiv
Du betrachtest: SDRA65.exe Befall auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.