Hallo Leute
Ich bin neu hier im forum und bitte euch um eure Hilfe

nachdem ich eine SD Karte meiner Freundin angeschlossen habe schlägt mein Virusprogramm (Bitdefender) Ständig und in immer kürzeren abständen Alarm weil Wscript.exe eine Reg eintrag ändern will.

ich fürchte ich habe irgendeinen script wurm auf der platte

Habe mit HijackThis einen Log File erstellt und hänge ihn hier an und hoffe mir kann jemand helfen ...

Gruß Aero

Ps.
Mein BitDefnder hat folgenden Virus gefunden

Generic.ScriptWorm.5CB4D67B

Logfile of Trend Micro HijackThis v2.0.3 (BETA)
Scan saved at 16:57:25, on 22.02.2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\PRISMSTA.EXE
C:\Programme\Softwin\BitDefender Professional Edition\bdswitch.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\OSD.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TomTom HOME 2\TomTomHOMEService.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Brownie\brstswnd.exe
C:\WINDOWS\System32\WScript.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
c:\progra~1\softwin\bitdef~1\bdmcon.exe
C:\Programme\Softwin\BitDefender Professional Edition\vsserv.exe
c:\progra~1\softwin\bitdef~1\bdlite.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\msiexec.exe
D:\Programme auf D\HijackThis\TrendMicro\HiJackThis\HiJackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://alice.aol.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Hacked by SASSI-NOTEBOOK
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Programme\TechSmith\SnagIt 7\SnagItBHO.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: RedirectPage Class - {DC8240DF-E60D-4193-B984-5111847DC7E6} - C:\Programme\Weblookup\weblookup.dll (file missing)
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\SnagIt 7\SnagItIEAddin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] rem C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [BDSwitchAgent] C:\Programme\Softwin\BitDefender Professional Edition\bdswitch.exe
O4 - HKLM\..\Run: [BDNewsAgent] c:\progra~1\softwin\bitdef~1\bdnagent.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [OSD] C:\Programme\Launch Manager\OSD.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [EPSON Stylus C86 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0R2.EXE /P23 "EPSON Stylus C86 Series" /O6 "USB002" /M "Stylus C86"
O4 - HKLM\..\Run: [QuickTime Task] rem "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [BDMCon] c:\progra~1\softwin\bitdef~1\bdmcon.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_1_0
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Device Detector 3.lnk = C:\Programme\Olympus\DeviceDetector\DevDtct2.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NMIndexingService - Unknown owner - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TomTomHOMEService - TomTom - C:\Programme\TomTom HOME 2\TomTomHOMEService.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender Professional Edition\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe

--
End of file - 8484 bytes

Nachtrag
Hier der LogFile vom Bit Defender

leider schafft er es nicht den Virus zu Löschen...


//-----------------------------------------------------------------
//
// BitDefender Berichtdatei
//
// Erstellt am: 22/02/2010 15:34:23
//
//-----------------------------------------------------------------


Statistiken

Pfad prüfen : C:\
D:\
Ordner : 11686
Dateien : 379909
Archive : 10206
Komprimierte Dateien : 18766
Gefundene Viren : 2
Infizierte Dateien : 5
Warnmeldungen : 0
Verdächtige Dateien : 0
Desinfizierte Dateien : 0
Gelöschte Dateien : 5
Kopierte Dateien : 0
Verschobene Dateien : 0
" Umbenannte Dateien : 0
I/O Fehler : 110
Prüfzeit := 01:35:53
Prüfgeschwindigkeit (Dateien/Sekunde) : 66

Virendefinitionen : 4901721
Plugins prüfen : 15
Archiv-Plugins : 41
Entpacker Plugins" : 8
Mail Plugins" : 6
System Plugins" : 1

Prüfoptionen

Finden
[X] Bootsektor prüfen
[X] Archive prüfen
[X] Komprimierte Dateien prüfen
[X] E-Mail prüfen

Dateimaske
[ ] Programme
[X] Alle Dateien
[ ] Benutzerdefinierte Erweiterungen:
[ ] Erweiterungen ausschließen: ;

Aktion

Infizierte Objekte
[ ] Ignorieren
[ ] Desinfiziert
[X] Löschen
[ ] Kopieren
[ ] In den Quarantäne-Ordner verschieben
[ ] Umbenennen
[ ] Benutzer abfragen

Zweite Aktion
[X] Ignorieren
[ ] Löschen
[ ] Kopieren
[ ] In den Quarantäne-Ordner verschieben
[ ] Umbenennen
[ ] Benutzer abfragen

Prüfoptionen
[X] Warnmeldungen aktivieren
[X] Heuristik aktivieren
[ ] Alle Dateien im Bericht anzeigen"
[X] Berichtdatei : vscan.log
[ ] Zum Bericht hinzufügen

Zusammenfassung:

C:\BESITZER-30983A.vbs Infiziert Generic.ScriptWorm.5CB4D67B
C:\BESITZER-30983A.vbs Gelöscht
C:\SASSI-NOTEBOOK.vbs Infiziert Generic.ScriptWorm.5CB4D67B
C:\SASSI-NOTEBOOK.vbs Gelöscht
C:\WINDOWS\system32\SASSI-NOTEBOOK.vbs Infiziert Generic.ScriptWorm.5CB4D67B
C:\WINDOWS\system32\SASSI-NOTEBOOK.vbs Gelöscht
D:\BESITZER-30983A.vbs Infiziert Generic.ScriptWorm.5CB4D67B
D:\BESITZER-30983A.vbs Gelöscht
D:\SASSI-NOTEBOOK.vbs Infiziert Generic.ScriptWorm.5CB4D67B
D:\SASSI-NOTEBOOK.vbs Gelöscht
Geprüfte Dateien

Hi,

vergiss die VBS-Dateien, der Feind sitzt hier:

Zitat:

C:\WINDOWS\system32\sdra64.exe

Zbot : Backdoorserver, Keylogger und Datendieb. Als erstes solltest Du im Falle von Onlinebanking deine Bank benachrichtigen, alles andere, wo es um Geld geht ist auch gefährlich. Dann die Windows-CD raussuchen, Platte neu partitionieren, formatieren und installieren und schon sind die VBS-Dateien weg, ohne dass Du was gegen sie tun musstest. Die externen Datenträger dann sorgfältig scannen und untersuchen, beim Anschließen Umschalt gedrückt halten. Diese VBS-Datei ist aber harmlos, fällt in die Kategorie derber Scherz.

Karl

Hallo Karl
vielen dank für die schnelle antwort


gibt es eine Möglichkeit die sache zu erledigen ohne zu formatieren ? ich habe leider keine windows cd :-(

kann ich den file zb mit diesem HijackThis entfernen ?

oder bezog sich das mit dem formatieren auf die VBS dateien bzw hängen die mit dem C:\WINDOWS\system32\sdra64.exe zusammen ?

und was passiert bei diesem anschließen mit Umschalt gedrückt halten und was muss ich da noch beachten ?

sorry bin nicht so der experte was den pc betrifft.


vielen dank für die hilfe
Jens

sodele
ich habe jetzt noch mal den Malwarebytes drüber laufen lassen und dieses programm hat auch so das ein oder andere gefunden und gelöscht und im letzten log von HijackThis taucht auch das C:\WINDOWS\system32\sdra64.exe nicht mehr auf

ich poste die log dateien mal

ist die sache damit erledigt oder muss ich doch noch formatieren ??

allerdings hab ich jetzt das problem, das jetzt der doppelklick nicht mehr die partition C oder D öffnet !?!


Hier der Logfile von Hijack nach dem scan mit Malwarebytes

Logfile of Trend Micro HijackThis v2.0.3 (BETA)
Scan saved at 22:18:53, on 22.02.2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TomTom HOME 2\TomTomHOMEService.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\PRISMSTA.EXE
C:\Programme\Softwin\BitDefender Professional Edition\bdswitch.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\OSD.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\progra~1\softwin\bitdef~1\bdmcon.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\System32\WScript.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Softwin\BitDefender Professional Edition\vsserv.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wscript.exe
C:\WINDOWS\system32\wscript.exe
C:\WINDOWS\system32\wscript.exe
C:\WINDOWS\system32\wscript.exe
C:\Programme\Brownie\brstswnd.exe
C:\WINDOWS\system32\wscript.exe
D:\Programme auf D\HijackThis\TrendMicro\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = ALICE - Willkommen
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Hacked by SASSI-NOTEBOOK
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll (file missing)
O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Programme\TechSmith\SnagIt 7\SnagItBHO.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: RedirectPage Class - {DC8240DF-E60D-4193-B984-5111847DC7E6} - C:\Programme\Weblookup\weblookup.dll (file missing)
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll (file missing)
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\SnagIt 7\SnagItIEAddin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] rem C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [BDSwitchAgent] C:\Programme\Softwin\BitDefender Professional Edition\bdswitch.exe
O4 - HKLM\..\Run: [BDNewsAgent] c:\progra~1\softwin\bitdef~1\bdnagent.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [OSD] C:\Programme\Launch Manager\OSD.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [EPSON Stylus C86 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0R2.EXE /P23 "EPSON Stylus C86 Series" /O6 "USB002" /M "Stylus C86"
O4 - HKLM\..\Run: [QuickTime Task] rem "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [BDMCon] c:\progra~1\softwin\bitdef~1\bdmcon.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [SASSI-NOTEBOOK] C:\WINDOWS\SYSTEM32\SASSI-NOTEBOOK.vbs
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_1_0
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Device Detector 3.lnk = C:\Programme\Olympus\DeviceDetector\DevDtct2.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NMIndexingService - Unknown owner - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TomTomHOMEService - TomTom - C:\Programme\TomTom HOME 2\TomTomHOMEService.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender Professional Edition\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe

--
End of file - 8306 bytes

x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-


Malwarebytes log file vorher

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3776
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

22.02.2010 18:36:09
mbam-log-2010-02-22 (18-36-09).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 127784
Laufzeit: 7 minute(s), 13 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 6
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 6
Infizierte Verzeichnisse: 1
Infizierte Dateien: 7

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Trojan.BHO) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.PWS) -> Data: c:\windows\system32\sdra64.exe -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.PWS) -> Data: system32\sdra64.exe -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.Userinit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,) Good: (Userinit.exe) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\WINDOWS\system32\lowsec (Stolen.data) -> Delete on reboot.

Infizierte Dateien:
C:\WINDOWS\system32\sdra64.exe (Trojan.PWS) -> Delete on reboot.
C:\WINDOWS\Temp\50D.tmp (Trojan.PWS) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> Delete on reboot.
C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> Delete on reboot.
C:\WINDOWS\system32\lowsec\user.ds.lll (Stolen.data) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\sysReserve.ini (Malware.Trace) -> Quarantined and deleted successfully.
C:\Programme\ICQToolbar\toolbaru.dll (Trojan.BHO) -> Quarantined and deleted successfully.


x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-


Malwarebytes log Nachher

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3776
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

22.02.2010 22:15:59
mbam-log-2010-02-22 (22-15-59).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 239887
Laufzeit: 1 hour(s), 12 minute(s), 26 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

So ich hab den File

O4 - HKLM\..\Run: [SASSI-NOTEBOOK] C:\WINDOWS\SYSTEM32\SASSI-NOTEBOOK.vbs

aus dem Log von HijackThis bei virustotal.com getestet mit unten stehendem ergebnis!

jetzt die Frage wie werde ich das teil wieder los und zwar am besten ohne formatieren oder so. Mein Bitdefender findet ihn auch immer und versucht ihn zu löschen aber leider gelingt ihm das nicht. oder nur teilweise und bei jedem weitern Scan ist der auch wieder in den vorher gelöschten Verzeichnissen drin.

das LogFile von Bitdefender hänge ich auch mal weiter unten mit an.

Weiterhin besteht das Problem das ich Partitionen nicht mehr mit dem Doppelklick öffnen kann.

Bis hier hin schon mal vielen Dank ohne Euch und Karl wäre ich wohl hier verzweifelt ...


Ach ja ... Ist die sache mit dem
C:\WINDOWS\system32\sdra64.exe
den Karl gefunden hatte nun nach "Malwarebytes" erledigt ? In den Log von HijackThis taucht er zumindest nicht mehr auf. Oder muss ich da noch mal ran !?!?!



XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXX Virustoal Log XXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

Antivirus Version Last Update Result
a-squared 4.5.0.50 2010.02.23 Virus.VBS.AutoRun.c!IK
AhnLab-V3 5.0.0.2 2010.02.23 VBS/Solow.Gen
AntiVir 8.2.1.172 2010.02.23 HTML/Silly.Gen
Antiy-AVL 2.0.3.7 2010.02.23 -
Authentium 5.2.0.5 2010.02.23 VBS/Solow.A
Avast 4.8.1351.0 2010.02.23 VBS:Solow-L
AVG 9.0.0.730 2010.02.22 VBS/Small
BitDefender 7.2 2010.02.23 Generic.ScriptWorm.5CB4D67B
CAT-QuickHeal 10.00 2010.02.23 VBS/IETitle
ClamAV 0.96.0.0-git 2010.02.23 Worm.VBS.AutoRun-28-unic
Comodo 4034 2010.02.23 -
DrWeb 5.0.1.12222 2010.02.23 VBS.Generic.552
eSafe 7.0.17.0 2010.02.22 -
eTrust-Vet 35.2.7323 2010.02.23 VBS/Slogod
F-Prot 4.5.1.85 2010.02.22 VBS/Solow.A
F-Secure 9.0.15370.0 2010.02.23 Generic.ScriptWorm.5CB4D67B
Fortinet 4.0.14.0 2010.02.21 -
GData 19 2010.02.23 Generic.ScriptWorm.5CB4D67B
Ikarus T3.1.1.80.0 2010.02.23 Virus.VBS.AutoRun.c
Jiangmin 13.0.900 2010.02.23 I-Worm/LoveLetter.by
K7AntiVirus 7.10.980 2010.02.22 -
Kaspersky 7.0.0.125 2010.02.23 Virus.VBS.AutoRun.c
McAfee 5900 2010.02.22 VBS/Generic
McAfee+Artemis 5900 2010.02.22 VBS/Generic
McAfee-GW-Edition 6.8.5 2010.02.23 Script.Silly.Gen
Microsoft 1.5406 2010.02.23 Worm:VBS/Slogod.F
NOD32 4888 2010.02.22 VBS/Butsur.E
Norman 6.04.08 2010.02.23 VBS/Solow.I
nProtect 2009.1.8.0 2010.02.23 Script-VBS/W32.Runauto.E
Panda 10.0.2.2 2010.02.22 -
PCTools 7.0.3.5 2010.02.23 VBS.Niric.B
Prevx 3.0 2010.02.23 -
Rising 22.34.01.03 2010.02.11 Worm.VBS.Sowel.a
Sophos 4.50.0 2010.02.23 VBS/Solow-Gen
Sunbelt 5694 2010.02.23 Trojan.VBS.Autorun.a (v)
Symantec 20091.2.0.41 2010.02.23 VBS.Solow
TheHacker 6.5.1.6.206 2010.02.23 -
TrendMicro 9.120.0.1004 2010.02.23 VBS_SOLOW.AK
VBA32 3.12.12.2 2010.02.23 Worm.VBS.Solow.gen
ViRobot 2010.2.23.2197 2010.02.23 VBS.Autorun.4228.B
VirusBuster 5.0.27.0 2010.02.22 VBS.Niric.B
Additional information
File size: 4298 bytes
MD5...: 576c7ccbbf6c3af3cb779fe7bf44b64f
SHA1..: 806997195d0b8cef6e97ead77896b92b4b9b3621
SHA256: e92fe404b658fbf22ec899663127aed53fab317623fadee0bfdad376b2fe7510
ssdeep: 48:HWDi2qhvXLviovTMsV2HUEu2TjajvUXDXsPqLle7QJvIGusqWk+uvv7:HBouN
2Te4esvIpb+q
PEiD..: -
PEInfo: -
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Text - UTF-16 (LE) encoded (64.4%)
MP3 audio (32.2%)
Lumena CEL bitmap (2.0%)
Corel Photo Paint (1.3%)
packers (Authentium): Unicode
packers (F-Prot): Unicode
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned


XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXX Bitdefender Log File XXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

//-----------------------------------------------------------------
//
// BitDefender Berichtdatei
//
// Erstellt am: 23/02/2010 09:28:04
//
//-----------------------------------------------------------------


Statistiken

Pfad prüfen : C:\
D:\
Ordner : 11704
Dateien : 378304
Archive : 10138
Komprimierte Dateien : 18808
Gefundene Viren : 2
Infizierte Dateien : 3
Warnmeldungen : 0
Verdächtige Dateien : 0
Desinfizierte Dateien : 0
Gelöschte Dateien : 2
Kopierte Dateien : 0
Verschobene Dateien : 0
" Umbenannte Dateien : 0
I/O Fehler : 110
Prüfzeit := 01:31:30
Prüfgeschwindigkeit (Dateien/Sekunde) : 68

Virendefinitionen : 4906147
Plugins prüfen : 15
Archiv-Plugins : 41
Entpacker Plugins" : 8
Mail Plugins" : 6
System Plugins" : 1

Prüfoptionen

Finden
[X] Bootsektor prüfen
[X] Archive prüfen
[X] Komprimierte Dateien prüfen
[X] E-Mail prüfen

Dateimaske
[ ] Programme
[X] Alle Dateien
[ ] Benutzerdefinierte Erweiterungen:
[ ] Erweiterungen ausschließen: ;

Aktion

Infizierte Objekte
[ ] Ignorieren
[ ] Desinfiziert
[X] Löschen
[ ] Kopieren
[ ] In den Quarantäne-Ordner verschieben
[ ] Umbenennen
[ ] Benutzer abfragen

Zweite Aktion
[X] Ignorieren
[ ] Löschen
[ ] Kopieren
[ ] In den Quarantäne-Ordner verschieben
[ ] Umbenennen
[ ] Benutzer abfragen

Prüfoptionen
[X] Warnmeldungen aktivieren
[X] Heuristik aktivieren
[ ] Alle Dateien im Bericht anzeigen"
[X] Berichtdatei : vscan.log
[ ] Zum Bericht hinzufügen

Zusammenfassung:

C:\SASSI-NOTEBOOK.vbs Infiziert Generic.ScriptWorm.5CB4D67B
C:\SASSI-NOTEBOOK.vbs Gelöscht
C:\WINDOWS\system32\SASSI-NOTEBOOK.vbs Infiziert Generic.ScriptWorm.5CB4D67B
C:\WINDOWS\system32\SASSI-NOTEBOOK.vbs Löschen fehlgeschlagen
D:\SASSI-NOTEBOOK.vbs Infiziert Generic.ScriptWorm.5CB4D67B
D:\SASSI-NOTEBOOK.vbs Gelöscht
Geprüfte Dateien

Bei Notebooks gibt es meistens keine Windows-CD, dafür aber eine versteckte Recovery-Partition, von der aus man das System neu installieren kann. Wie man die startet, ist modellabhängig. Erst mal halte ich es für die einzig sichere Methode, ein System, das per Backdoor umgebaut wurde, durch eine Neuinstallation in einen sicheren Zustand zu versetzen. Und wer mit Keygens rumspielt, sollte sich ganz dringend schlau machen, wie er sein System neu aufsetzt, das braucht man dann öfter.

Was die Ausrede in einem anderen Thread

Zitat:

Wie du an der Partition J: erkennen kannst befand sich dieser KeyGen auf einer meiner älteren Externen Platten und dort in einem Sammel Ordner für so allerlei den mir jemand mal dort hin kopiert hat. Das dort irgendwelche KeyGen dinge mit bei sind hab ich wie du auch erst durch den VirenScan gesehen
wie auch immer ....

angeht: Wer sich einfach irgendwelche Sachen unkontrolliert irgendwelche Sachen aufs System kopieren lässt, wird immer wieder ein Verlierer sein.

Ergänzend sollten auch alle Speicherkarten, externe Platten, Sticks und Handys formatiert werden, denn eine Seuche, die auf auch nur einem Gerät überlebt, macht sich schnell wieder breit.