|
Plagegeister aller Art und deren Bekämpfung: sdra64.exe auf dem laptop aber malwarebytes stürzt ab.Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
04.06.2010, 17:13 | #1 |
| sdra64.exe auf dem laptop aber malwarebytes stürzt ab. Hallo miteinander, das ist ein tolles Board hier und ich wünschte, ich hätte das schon früher entdeckt. Auf dem Laptop meiner Freundin traten einige Fehler auf, die ich versuche zu beheben. Als erstes hatte sie das Problem, dass der PC direkt nach dem Start wieder herunter gefahren wurde. Die Meldung dazu war "dcom-server-prozessstart unerwartet beendet". Das Problem habe ich mit Beiträgen hier aus dem Forum gelöst (http://www.trojaner-board.de/38299-d...tml#post265336). Erst mit "Ausführen > cmd > shutdown -a" das Herunter-Fahren unterbrochen und dann mit "Ausführen > services.msc" das Problem dauerhaft unterbrochen. Ich habe auch HijackThis ausgeführt und entsprechend den Empfehlungen einige Einträge gefixt. Aber es scheint noch mehr Probleme zu geben. Zum Beispiel ist immer noch ein sdra64.exe auf dem Rechner. Also habe ich - als erstes - wie im Forum empfohlen den CCleaner ausgeführt. Funktionierte Prima. Dann Malwarebytes 'runter geladen und gestartet. Aber das stürzt sofort nach Starten des Scan ab. Daher jetzt meine Frage. Was kann ich tun, um Malwarebytes Anti-Malware doch zu starten und worauf muss ich noch achten? Gruß, Gerald |
05.06.2010, 23:05 | #2 |
/// Winkelfunktion /// TB-Süch-Tiger™ | sdra64.exe auf dem laptop aber malwarebytes stürzt ab. Hallo und
__________________Systemscan mit OTL Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
__________________ |
06.06.2010, 11:09 | #3 |
| sdra64.exe auf dem laptop aber malwarebytes stürzt ab. Danke für die Antwort.
__________________Hier sind die beiden Texte: OTL.TXT: OTL logfile created on: 06.06.2010 10:41:59 - Run 2 OTL by OldTimer - Version 3.2.5.3 Folder = C:\Dokumente und Einstellungen\**User Name**\Desktop Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy .... Der Text schein mit 495721 Zeichen viel zu lang zu sein. Welche Teile kann ich den sinnvollerweise kürzen? Gruß, Gerald |
06.06.2010, 11:32 | #4 |
| sdra64.exe auf dem laptop aber malwarebytes stürzt ab. So, dass war der erste Text. Irgendwas habe ich - glaube ich - falsch gemacht, dass der Text so lang ist. Hier ist der zweite. Ich habe die Einträge alle noch mal formatiert, dass der Code als solcher gekennzeichnet wird. Das macht es hoffentlich einfacher zu lesen. EXTRA.TXT: OTL EXTRAS Logfile: Code:
ATTFilter OTL Extras logfile created on: 06.06.2010 10:41:59 - Run 2 OTL by OldTimer - Version 3.2.5.3 Folder = C:\Dokumente und Einstellungen\**User Name**\Desktop Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 1.023,00 Mb Total Physical Memory | 538,00 Mb Available Physical Memory | 53,00% Memory free 2,00 Gb Paging File | 2,00 Gb Available in Paging File | 86,00% Paging File free Paging file location(s): C:\pagefile.sys 1536 3072 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 33,42 Gb Total Space | 8,75 Gb Free Space | 26,18% Space Free | Partition Type: NTFS Drive D: | 105,73 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS E: Drive not present or media not loaded F: Drive not present or media not loaded G: Drive not present or media not loaded H: Drive not present or media not loaded I: Drive not present or media not loaded Computer Name: IBM-4301DAF60CC Current User Name: **User Name** Logged in as Administrator. Current Boot Mode: Normal Scan Mode: All users Company Name Whitelist: Off Skip Microsoft Files: Off File Age = 360 Days Output = Minimal ========== Extra Registry (SafeList) ========== ========== File Associations ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>] .html [@ = Opera.HTML] -- C:\Programme\Opera\opera.exe (Opera Software) [HKEY_USERS\S-1-5-21-1804905703-2966996506-1398010395-1004\SOFTWARE\Classes\<extension>] .html [@ = Opera.HTML] -- Reg Error: Key error. File not found ========== Shell Spawning ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command] batfile [open] -- "%1" %* cmdfile [open] -- "%1" %* comfile [open] -- "%1" %* exefile [open] -- "%1" %* htmlfile [edit] -- "C:\Programme\Microsoft Office\OFFICE11\msohtmed.exe" %1 (Microsoft Corporation) htmlfile [print] -- "C:\Programme\Microsoft Office\OFFICE11\msohtmed.exe" /p %1 (Microsoft Corporation) h**p [open] -- "C:\Programme\Opera\opera.exe" (Opera Software) h**ps [open] -- "C:\Programme\Opera\opera.exe" (Opera Software) piffile [open] -- "%1" %* regfile [merge] -- Reg Error: Key error. scrfile [config] -- "%1" scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation) scrfile [open] -- "%1" /S txtfile [edit] -- Reg Error: Key error. Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1 Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation) Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation) Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) ========== Security Center Settings ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] "AntiVirusDisableNotify" = 0 "FirewallDisableNotify" = 0 "UpdatesDisableNotify" = 0 "AntiVirusOverride" = 0 "FirewallOverride" = 0 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] "EnableFirewall" = 0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] "1900:UDP" = 1900:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22007 "2869:TCP" = 2869:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22008 ========== Authorized Applications List ========== [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] "C:\IBMTOOLS\Updater\ucsmb.exe" = C:\IBMTOOLS\Updater\ucsmb.exe:*:enabled:IBM Update Connector -- (IBM Corporation, Inc.) "C:\IBMTOOLS\Updater\jre\bin\java.exe" = C:\IBMTOOLS\Updater\jre\bin\java.exe:*:enabled:IBM Update Connector -- (IBM) "C:\IBMTOOLS\Updater\jre\bin\javaw.exe" = C:\IBMTOOLS\Updater\jre\bin\javaw.exe:*:enabled:IBM Update Connector -- (IBM) "C:\Programme\Microsoft Office Communicator\communicator.exe" = C:\Programme\Microsoft Office Communicator\communicator.exe:*:Enabled:Microsoft Office Communicator 2007 -- (Microsoft Corporation) "C:\Programme\Windows Live\Messenger\wlcsdk.exe" = C:\Programme\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call -- (Microsoft Corporation) [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\IBMTOOLS\Updater\ucsmb.exe" = C:\IBMTOOLS\Updater\ucsmb.exe:*:enabled:IBM Update Connector -- (IBM Corporation, Inc.) "C:\IBMTOOLS\Updater\jre\bin\java.exe" = C:\IBMTOOLS\Updater\jre\bin\java.exe:*:enabled:IBM Update Connector -- (IBM) "C:\IBMTOOLS\Updater\jre\bin\javaw.exe" = C:\IBMTOOLS\Updater\jre\bin\javaw.exe:*:enabled:IBM Update Connector -- (IBM) "C:\Programme\RealPlayer\realplay.exe" = C:\Programme\RealPlayer\realplay.exe:*:Enabled:RealPlayer -- (RealNetworks, Inc.) "C:\Programme\Ruff-Tech\Ruff-FTP\ftpsck.exe" = C:\Programme\Ruff-Tech\Ruff-FTP\ftpsck.exe:*:Enabled:Ftp-Client -- File not found "C:\Programme\Microsoft Office Communicator\communicator.exe" = C:\Programme\Microsoft Office Communicator\communicator.exe:*:Enabled:Microsoft Office Communicator 2007 -- (Microsoft Corporation) "C:\Dokumente und Einstellungen\**User Name**\Anwendungsdaten\Facebook\facebook.exe" = C:\Dokumente und Einstellungen\**User Name**\Anwendungsdaten\Facebook\facebook.exe:127.0.0.1/255.255.255.255:Enabled:Facebook -- File not found "C:\Programme\Windows Live\Messenger\wlcsdk.exe" = C:\Programme\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call -- (Microsoft Corporation) "C:\Programme\Opera\opera.exe" = C:\Programme\Opera\opera.exe:*:Enabled:Opera Internet Browser -- (Opera Software) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}" = PDFCreator "{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}" = Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148 "{05ADEEC8-BD58-43D9-A9E3-1F53B0DA117A}" = Opera 10.51 "{0BEDBD4E-2D34-47B5-9973-57E62B29307C}" = ATI Control Panel "{0FCA0973-24C0-48EA-8CF6-71B53C135C09}" = Microsoft Office Communicator 2007 "{1A655D51-1423-48A3-B748-8F5A0BE294C8}" = Microsoft Visual J# .NET Redistributable Package 1.1 "{205C6BDD-7B73-42DE-8505-9A093F35A238}" = Windows Live-Uploadtool "{2111B23F-7FDA-4A41-8309-E5A1663CA296}" = Dienstprogramm 'IBM ThinkPad-Tastaturanpassung' "{22B71A00-4DED-11D4-A5E5-0004AC564F43}" = IBM Access Connections "{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}" = MSVCRT "{31C2FBAC-67CF-4093-8F36-15A146613747}" = IBM Update Connector "{3248F0A8-6813-11D6-A77B-00B0D0160040}" = Java(TM) 6 Update 4 "{3248F0A8-6813-11D6-A77B-00B0D0160070}" = Java(TM) 6 Update 7 "{33EFDAD7-1686-465A-AE0A-26F22E380315}" = Product_Min_QFolder "{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP "{39B975A6-93A3-4C71-9EAD-7BE9F9DF3D22}" = Product_Full_QFolder "{3EA9D975-BFDC-4E8E-B88B-0446FBC8CA66}" = ATI HYDRAVISION "{41E654A9-26D0-4EAC-854B-0FA824FFFABB}" = Windows Live Messenger "{43721D86-16D1-46BF-8353-37CD82333BC3}" = OpenOffice.org 2.4 "{45A66726-69BC-466B-A7A4-12FCBA4883D7}" = HiJackThis "{45B8A76B-57EC-4242-B019-066400CD8428}" = BufferChm "{4EA684E9-5C81-4033-A696-3019EC57AC3A}" = HPProductAssistant "{52A73602-D30A-4CAF-A997-D7171C59637F}" = hppCLJCM1017 "{52B97218-98CB-4B8B-9283-D213C85E1AA4}" = Windows Live Anmelde-Assistent "{5396E5FA-91D2-46F0-A95B-D055D8077DD8}" = hppTLBXFXCM1017 "{541DEAC0-5F3D-45E6-B7CB-94ECF3B96748}" = Skype web features "{5791B7D3-8B34-4218-9750-6A8E45D0AD32}" = pdfforge Toolbar v1.1.2 "{5FC68772-6D56-41C6-9DF1-24E868198AE6}" = Windows Live Call "{66910000-8B30-4973-A159-6371345AFFA5}" = WebReg "{66BDF565-6A07-4407-B9D3-229D41A24B0E}" = hppscanCM1017 "{66E6CE0C-5A1E-430C-B40A-0C90FF1804A8}" = eSupportQFolder "{6A5925BF-AC13-4A9E-A3E7-D2A6F7FBFFD2}" = hppFonts "{6C72E14A-C1F3-45E5-8810-83CE3C19ED63}" = IBM 32-bit SDK for Java 2, v1.4.1 "{6CE96A14-61E2-48CC-837E-22710A953ADE}" = IBM Themes "{710C0BB2-FE39-484E-BB23-C9B96835A14A}" = Access IBM Message Center "{72806716-7088-41B2-8FA6-717A2A164DAB}" = IBM System für aktiven Festplattenschutz "{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable "{770657D0-A123-3C07-8E44-1C83EC895118}" = Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053 "{82512BC9-BD5D-4C50-BE4D-B98E7DF78687}" = IBM ThinkPad-UltraNav-Assistent "{8745DEAB-1126-42F5-9585-C66D5497B47B}" = EMEA Wallpaper "{87E2B986-07E8-477a-93DC-AF0B6758B192}" = DocProcQFolder "{8A4CE7FD-9657-4B06-9943-E1819F3D5D67}" = DocProc "{8C82E5F6-2C76-44CF-A23E-1356A022442E}" = hppIOFiles "{8CE4E6E9-9D55-43FB-9DDB-688C976BFC05}" = Unload "{90850407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Word Viewer 2003 "{91110407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003 "{93C069D4-2F86-4570-A6DF-BFABBA1E4AFD}" = hpzTLBXFX "{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting "{98E8A2EF-4EAE-43B8-A172-74842B764777}" = InterVideo WinDVD "{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 "{A1F66FC9-11EE-4F2F-98C9-16F8D1E69FB7}" = Segoe UI "{A6AB9F06-41A7-471A-9C4F-FC95F1129E98}" = hppManualsCM1017 "{AB5D51AE-EBC3-438D-872C-705C7C2084B0}" = DeviceManagementQFolder "{AC76BA86-7AD7-1031-7B44-A90000000001}" = Adobe Reader 9 - Deutsch "{AE751709-EA28-4148-96D5-A524BBB08F05}" = hppusgCM1017 "{B5599ECB-DA72-43EE-8A30-2C80396FF8BB}" = Access IBM "{BB85ED9C-AFC9-43BD-B8DC-258C3C7DF72E}" = HP Software Update "{C7F54CF8-D6FB-4E0A-93A3-E68AE0D6C476}" = SolutionCenter "{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1 "{CF40ACC5-E1BB-4aff-AC72-04C2F616BCA7}" = getPlus(R) for Adobe "{CF44C7A5-5705-41E4-BE84-A9A42977AB05}" = IBM Cleanup Utility "{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.1 "{DBC20735-34E6-4E97-A9E5-2066B66B243D}" = TrayApp "{E78BFA60-5393-4C38-82AB-E8019E464EB4}" = Microsoft .NET Framework 1.1 German Language Pack "{EA664480-3844-11D5-8C25-444553540000}" = Funktion "IBM TrackPoint-Eingabehilfen" "{ED00D08A-3C5F-488D-93A0-A04F21F23956}" = Windows Live Communications Platform "{EEE0E494-7023-45A5-ADA6-CE3144E703BF}" = hppScanTo "{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}" = Microsoft Choice Guard "{F3760724-B29D-465B-BC53-E5D72095BCC4}" = Scan "{F8FF18EE-264A-43FD-B2F6-5EAD40798C2F}" = Windows Live Essentials "{FB15E224-67C3-491F-9F5C-F257BC418412}" = Destinations "Access IBM Tools" = Access IBM Tools "Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX "Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin "Adobe Shockwave Player" = Adobe Shockwave Player "Agere Systems Soft Modem" = Agere Systems AC'97 Modem "Amazon MP3-Downloader" = Amazon MP3-Downloader 1.0.9 "ATI Display Driver" = ATI Display Driver "Audacity_is1" = Audacity 1.2.6 "CCleaner" = CCleaner "Dia" = Dia (nur entfernen) "doIT Online-Meditation" = doIT Online-Meditation Screen Saver "EasyEject Utility" = Dienstprogramm 'IBM ThinkPad EasyEject' "HP Color LaserJet CM1015_CM1017" = HP Color LaserJet CM1015/CM1017 MFP 1.0 "HP Imaging Device Functions" = HP Imaging Device Functions 7.0 "HP Solution Center & Imaging Support Tools" = HP Solution Center 7.0 "HPOCR" = OCR Software by I.R.I.S 7.0 "IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs "ie7" = Windows Internet Explorer 7 "ie8" = Windows Internet Explorer 8 "InstallShield_{6C72E14A-C1F3-45E5-8810-83CE3C19ED63}" = IBM 32-bit SDK for Java 2, v1.4.1 "king.com" = king.com (remove only) "Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware "Microsoft .NET Framework 1.1 (1033)" = Microsoft .NET Framework 1.1 "Mozilla Firefox (3.6.3)" = Mozilla Firefox (3.6.3) "Mozilla Thunderbird (2.0.0.16)" = Mozilla Thunderbird (2.0.0.16) "NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs "Nvu_is1" = Nvu 1.0 "Power Features" = IBM ThinkPad 'Akku-MaxiMiser' und Stromsparfunktionen "Power Management Driver" = IBM ThinkPad Power Management Driver "Presentation Director" = IBM ThinkPad 'Präsentationsdirektor' "PROSet" = Intel(R) PRO Network Adapters and Drivers "QEP-Material-CD-V2" = QEP-Material-CD-V2 "RealPlayer 12.0" = RealPlayer "Shockwave" = Shockwave "SoliPrax" = SoliPrax 12 "Sophos-AntiRootkit" = Sophos Anti-Rootkit 1.5.0 "SuperMailer" = SuperMailer 4.70 "SynTPDeinstKey" = IBM ThinkPad UltraNav Driver "ThinkPad Configuration" = IBM ThinkPad-Konfiguration "ThinkPad FullScreen Magnifier" = ThinkPad FullScreen Magnifier "ThinkPadSoftwareInstaller" = Installationsprogramm für ThinkPad-Software "Windows Media Format Runtime" = Windows Media Format Runtime "Windows Media Player" = Windows Media Player 10 "Windows XP Service Pack" = Windows XP Service Pack 3 "WinLiveSuite_Wave3" = Windows Live Essentials ========== HKEY_USERS Uninstall List ========== [HKEY_USERS\S-1-5-21-1804905703-2966996506-1398010395-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] ========== Last 10 Event Log Errors ========== [ Application Events ] Error - 13.05.2010 12:28:12 | Computer Name = IBM-4301DAF60CC | Source = Microsoft Office 11 | ID = 2001 Description = Rejected Safe Mode action : Microsoft Office Outlook. Error - 13.05.2010 12:28:24 | Computer Name = IBM-4301DAF60CC | Source = Application Error | ID = 1000 Description = Fehlgeschlagene Anwendung svchost.exe, Version 5.1.2600.5512, fehlgeschlagenes Modul unknown, Version 0.0.0.0, Fehleradresse 0x00000000. Error - 13.05.2010 12:31:18 | Computer Name = IBM-4301DAF60CC | Source = Application Error | ID = 1000 Description = Fehlgeschlagene Anwendung svchost.exe, Version 5.1.2600.5512, fehlgeschlagenes Modul unknown, Version 0.0.0.0, Fehleradresse 0x00000000. Error - 13.05.2010 12:35:49 | Computer Name = IBM-4301DAF60CC | Source = Application Error | ID = 1000 Description = Fehlgeschlagene Anwendung svchost.exe, Version 5.1.2600.5512, fehlgeschlagenes Modul unknown, Version 0.0.0.0, Fehleradresse 0x00000000. Error - 13.05.2010 12:35:50 | Computer Name = IBM-4301DAF60CC | Source = Microsoft Office 11 | ID = 2000 Description = Accepted Safe Mode action : Microsoft Office Outlook. Error - 13.05.2010 12:40:47 | Computer Name = IBM-4301DAF60CC | Source = Application Error | ID = 1000 Description = Fehlgeschlagene Anwendung svchost.exe, Version 5.1.2600.5512, fehlgeschlagenes Modul unknown, Version 0.0.0.0, Fehleradresse 0x00000000. Error - 13.05.2010 12:51:40 | Computer Name = IBM-4301DAF60CC | Source = Application Error | ID = 1000 Description = Fehlgeschlagene Anwendung svchost.exe, Version 5.1.2600.5512, fehlgeschlagenes Modul unknown, Version 0.0.0.0, Fehleradresse 0x00000000. Error - 13.05.2010 13:00:33 | Computer Name = IBM-4301DAF60CC | Source = Application Error | ID = 1004 Description = Fehlgeschlagene Anwendung svchost.exe, Version 5.1.2600.5512, fehlgeschlagenes Modul unknown, Version 0.0.0.0, Fehleradresse 0x00000000. Error - 13.05.2010 13:27:27 | Computer Name = IBM-4301DAF60CC | Source = Microsoft Office 11 | ID = 2001 Description = Rejected Safe Mode action : Microsoft Office Outlook. Error - 14.05.2010 03:40:22 | Computer Name = IBM-4301DAF60CC | Source = Application Error | ID = 1000 Description = Fehlgeschlagene Anwendung svchost.exe, Version 5.1.2600.5512, fehlgeschlagenes Modul unknown, Version 0.0.0.0, Fehleradresse 0x00000000. [ System Events ] Error - 19.05.2010 15:57:11 | Computer Name = IBM-4301DAF60CC | Source = Service Control Manager | ID = 7032 Description = Der Versuch des Dienststeuerungs-Managers, nach dem unerwarteten Beenden des Dienstes "Windows-Verwaltungsinstrumentation" Korrekturmaßnahmen (Starten Sie den Dienst neu.) durchzuführen, ist fehlgeschlagen. Fehler: %%1056 Error - 19.05.2010 16:02:42 | Computer Name = IBM-4301DAF60CC | Source = Service Control Manager | ID = 7032 Description = Der Versuch des Dienststeuerungs-Managers, nach dem unerwarteten Beenden des Dienstes "Windows-Verwaltungsinstrumentation" Korrekturmaßnahmen (Starten Sie den Dienst neu.) durchzuführen, ist fehlgeschlagen. Fehler: %%1056 Error - 20.05.2010 03:42:34 | Computer Name = IBM-4301DAF60CC | Source = Service Control Manager | ID = 7011 Description = Zeitüberschreitung (30000 ms) beim Warten auf eine Transaktionsrückmeldung von Dienst stisvc. < End of report > Gruß, Gerald Geändert von mondspeer (06.06.2010 um 11:46 Uhr) |
06.06.2010, 14:02 | #5 |
/// Winkelfunktion /// TB-Süch-Tiger™ | sdra64.exe auf dem laptop aber malwarebytes stürzt ab. Das ist etwas unübersichtlich. Verpack alle Logs in eine ZIP-Datei und häng sie hier an oder lad sie bei file-upload.net hoch und verlink das hier.
__________________ Logfiles bitte immer in CODE-Tags posten |
06.06.2010, 15:19 | #6 |
| sdra64.exe auf dem laptop aber malwarebytes stürzt ab. OK, ich habe die .zip-Datei angehängt. Ich fand das auch unübersichtlich. Danke. |
06.06.2010, 21:44 | #7 |
/// Winkelfunktion /// TB-Süch-Tiger™ | sdra64.exe auf dem laptop aber malwarebytes stürzt ab. Hatte das Notebook mal Probleme mit der Zeit und dem Datum? Ich seh da unzählige Dateien, die einen Datumsstempel vom 1.1.1980 haben
__________________ Logfiles bitte immer in CODE-Tags posten |
07.06.2010, 10:46 | #8 |
| sdra64.exe auf dem laptop aber malwarebytes stürzt ab. Ja, das ist mir auch aufgefallen. Sie hatte eine Zeitlang dauernd mit dem Datum Probleme. |
11.06.2010, 21:04 | #9 |
| sdra64.exe auf dem laptop aber malwarebytes stürzt ab. Mein Problem besteht immer noch. Inzwischen auch Probleme bei verschiedenen Online-Konten. Hat jemand eine Idee? Gruß, Mondspeer |
13.06.2010, 13:38 | #10 |
/// Winkelfunktion /// TB-Süch-Tiger™ | sdra64.exe auf dem laptop aber malwarebytes stürzt ab. Mach mal einen Durchgang mit CF, das Tool nimmt uns viel Arbeit ab: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
__________________ Logfiles bitte immer in CODE-Tags posten |
14.06.2010, 08:56 | #11 |
| sdra64.exe auf dem laptop aber malwarebytes stürzt ab. hallo Cosinus, danke für deine Antwort. Mondspeer ist bis Donnerstag auf Urlaub, ich bin die Freundin, um deren PC es sich dreht, deshalb lese ich hier in seinem Auftrag mit. Ich werde ihn jedoch am Freitag bitten, das durchzuführen, ich traue es mir ehrlich gesagt nicht zu. Aber vorab schon mal danke, Kerstin |
11.07.2010, 21:35 | #12 |
| sdra64.exe auf dem laptop aber malwarebytes stürzt ab. Hallo Cosinus und Hallo Helper-Team, jetzt konnte ich endlich wieder mal an den Laptop (zum Glück waren wir zwischendurch mal im Urlaub). Habe also deine Anleitung befolgt und CCleaner sowie ComboFix ausgefüht. Hier die Log-Datei von ComboFix: Code:
ATTFilter ComboFix 10-07-11.02 - ##UserName## 11.07.2010 22:18:30.1.1 - x86 Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1023.772 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\##UserName##\Desktop\cofi.exe.exe * Neuer Wiederherstellungspunkt wurde erstellt . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\dokumente und einstellungen\##UserName##\Anwendungsdaten\.# c:\dokumente und einstellungen\##UserName##\Anwendungsdaten\.#\MBX@F98@394180.### c:\dokumente und einstellungen\##UserName##\Anwendungsdaten\.#\MBX@F98@3941B0.### c:\dokumente und einstellungen\##UserName##\Anwendungsdaten\.#\MBX@F98@3941E0.### c:\dokumente und einstellungen\##UserName##\Anwendungsdaten\Desktopicon c:\dokumente und einstellungen\##UserName##\Anwendungsdaten\Desktopicon\eBayShortcuts.exe c:\programme\pdfforge Toolbar\SeARchsettings.dll c:\windows\system32\lowsec c:\windows\system32\lowsec\local.ds c:\windows\system32\lowsec\user.ds c:\windows\system32\lowsec\user.ds.lll c:\windows\system32\sdra64.exe . ((((((((((((((((((((((( Dateien erstellt von 2010-06-11 bis 2010-07-11 )))))))))))))))))))))))))))))) . 2010-07-11 19:53 . 2010-07-11 19:53 -------- d-----w- c:\programme\Outlook Backup Assistant 2010-06-29 10:29 . 2010-06-29 10:29 -------- d-----w- c:\dokumente und einstellungen\##UserName##\Anwendungsdaten\InterVideo 2010-06-18 14:50 . 2010-06-18 14:50 -------- d-sh--w- c:\dokumente und einstellungen\NetworkService\IETldCache 2010-06-12 08:53 . 2010-06-12 08:53 70144 ----a-w- c:\windows\system32\nsetup.dll . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-07-11 20:24 . 2009-11-05 09:34 -------- d-----w- c:\programme\pdfforge Toolbar 2010-07-11 19:52 . 2009-09-24 16:13 -------- d-----w- c:\dokumente und einstellungen\##UserName##\Anwendungsdaten\Skype 2010-07-11 19:34 . 2008-09-12 06:19 -------- d-----w- c:\dokumente und einstellungen\##UserName##\Anwendungsdaten\OpenOffice.org2 2010-07-11 19:18 . 2010-05-06 10:47 -------- d-----w- c:\programme\SoliPrax 2010-07-11 19:12 . 2009-09-24 16:15 -------- d-----w- c:\dokumente und einstellungen\##UserName##\Anwendungsdaten\skypePM 2010-06-23 09:00 . 1980-01-01 07:00 395074 ----a-w- c:\windows\system32\perfh007.dat 2010-06-23 09:00 . 1980-01-01 07:00 64994 ----a-w- c:\windows\system32\perfc007.dat 2010-06-04 15:43 . 2010-06-04 15:43 -------- d-----w- c:\programme\CCleaner 2010-06-04 15:20 . 2010-03-31 10:10 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2010-06-04 14:57 . 2010-06-04 14:57 388096 ----a-r- c:\dokumente und einstellungen\##UserName##\Anwendungsdaten\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe 2010-05-26 16:26 . 2010-03-26 08:10 443912 ----a-w- c:\dokumente und einstellungen\##UserName##\Anwendungsdaten\Real\Update\setup3.10\setup.exe 2010-05-14 08:05 . 2010-02-24 11:14 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\BitDefender 2010-05-14 08:05 . 2010-02-24 11:12 -------- d-----w- c:\programme\Gemeinsame Dateien\BitDefender 2010-05-14 07:37 . 2009-07-10 07:21 -------- d-----w- c:\dokumente und einstellungen\##UserName##\Anwendungsdaten\Toolbars 2010-05-13 17:08 . 2010-04-07 19:17 -------- d-----w- c:\programme\plus700 2010-05-13 17:05 . 2008-09-05 06:49 -------- d--h--w- c:\programme\InstallShield Installation Information 2010-05-13 17:04 . 2009-08-23 16:04 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton 2010-05-13 17:04 . 2008-09-05 07:01 -------- d-----w- c:\programme\Gemeinsame Dateien\Symantec Shared 2010-05-06 10:31 . 1980-01-01 07:00 916480 ----a-w- c:\windows\system32\wininet.dll 2010-05-02 08:05 . 1980-01-01 07:00 1851392 ----a-w- c:\windows\system32\win32k.sys 2010-04-29 10:19 . 2010-03-31 10:10 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2010-04-29 10:19 . 2010-03-31 10:10 20952 ----a-w- c:\windows\system32\drivers\mbam.sys 2010-04-20 05:29 . 1980-01-01 07:00 285696 ----a-w- c:\windows\system32\atmfd.dll 2008-09-10 11:04 . 2008-09-10 11:04 14852 ----a-w- c:\programme\settings.dat . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ibmmessages"="c:\programme\IBM\Messages By IBM\ibmmessages.exe" [2003-08-18 536576] "Skype"="c:\programme\Skype\Phone\Skype.exe" [2009-09-02 25623336] "msnmsgr"="c:\programme\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883840] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "S3TRAY2"="S3Tray2.exe" [2001-10-12 69632] "SynTPLpr"="c:\programme\Synaptics\SynTP\SynTPLpr.exe" [2003-08-28 110592] "SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2003-08-28 512000] "TpShocks"="TpShocks.exe" [2003-09-04 77824] "TPHOTKEY"="c:\progra~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe" [2004-08-07 94208] "BMMLREF"="c:\programme\ThinkPad\Utilities\BMMLREF.EXE" [2003-07-11 20480] "TPKMAPHELPER"="c:\programme\ThinkPad\Utilities\TpKmapAp.exe" [2003-09-02 897024] "TP4EX"="tp4ex.exe" [2002-09-04 53248] "EZEJMNAP"="c:\progra~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe" [2003-07-18 208896] "AGRSMMSG"="AGRSMMSG.exe" [2003-06-27 88363] "ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-09-12 335872] "ATIModeChange"="Ati2mdxx.exe" [2001-09-04 28672] "UC_Start"="c:\ibmtools\Updater\ucstartup.exe" [2003-03-17 32768] "ibmmessages"="c:\programme\IBM\Messages By IBM\ibmmessages.exe" [2003-08-18 536576] "BMMGAG"="c:\progra~1\ThinkPad\UTILIT~1\pwrmonit.dll" [2003-07-11 94208] "ToolBoxFX"="c:\programme\HP\ToolBoxFX\bin\HPTLBXFX.exe" [2006-06-15 49152] "HP Software Update"="c:\programme\HP\HP Software Update\HPWuSchd2.exe" [2006-02-19 49152] "HPUsageTracking"="c:\programme\HP\HP UT\bin\hppusg.exe" [2006-06-14 36864] "SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784] "Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672] "TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2009-08-24 198160] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] c:\dokumente und einstellungen\##UserName##\Startmen\Programme\Autostart\ OpenOffice.org 2.4.lnk - c:\programme\OpenOffice.org 2.4\program\quickstart.exe [2008-1-21 393216] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ HP Digital Imaging Monitor.lnk - c:\programme\HP\Digital Imaging\bin\hpqtra08.exe [2006-2-19 288472] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\QConGina] 2004-08-18 10:30 258048 ----a-w- c:\windows\system32\QConGina.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "LoadAppInit_DLLs"=1 (0x1) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "c:\\IBMTOOLS\\Updater\\ucsmb.exe"= "c:\\IBMTOOLS\\Updater\\jre\\bin\\java.exe"= "c:\\IBMTOOLS\\Updater\\jre\\bin\\javaw.exe"= "%windir%\\system32\\sessmgr.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Programme\\RealPlayer\\realplay.exe"= "c:\\Programme\\Microsoft Office Communicator\\communicator.exe"= "c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"= "c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= "c:\\Programme\\Opera\\opera.exe"= "c:\\Programme\\Skype\\Phone\\Skype.exe"= R1 TPPWR;TPPWR;c:\windows\system32\drivers\TPPWR.SYS [05.09.2008 08:50 15360] R3 PCX504;Cisco Systems Wireless LAN Adapter Driver;c:\windows\system32\drivers\PCX504.sys [01.01.1980 09:00 119296] S3 LucentSoftModem;Lucent Technologies Soft Modem;c:\windows\system32\drivers\LTSM.sys [25.02.2003 00:36 802683] S3 QCNDISIF;QCNDISIF;c:\windows\system32\drivers\qcndisif.sys [05.09.2008 08:51 12288] S4 Application Updater;Application Updater;c:\programme\Application Updater\ApplicationUpdater.exe [08.01.2010 01:51 380928] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] tapisrv REG_MULTI_SZ Tapisrv getPlusHelper REG_MULTI_SZ getPlusHelper . Inhalt des "geplante Tasks" Ordners 2008-09-05 c:\windows\Tasks\BMMTask.job - c:\progra~1\ThinkPad\UTILIT~1\BMMTASK.EXE [2008-09-05 08:34] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.google.de IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 . - - - - Entfernte verwaiste Registrierungseinträge - - - - HKLM-Run-UC_SMB - (no file) ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net Rootkit scan 2010-07-11 22:25 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€–€|ÿÿÿÿÀ•€|ù•6~*] "7040111900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL" . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(836) c:\windows\system32\Ati2evxx.dll . Zeit der Fertigstellung: 2010-07-11 22:27:40 ComboFix-quarantined-files.txt 2010-07-11 20:27 Vor Suchlauf: 8.952.324.096 Bytes frei Nach Suchlauf: 8.913.121.280 Bytes frei WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect - - End Of File - - A7BA54922753E2D6FCDBB5228F65C8ED Wir haben in den letzten Wochen immer mal wieder Probleme gehabt. Zuletzt mit dem MBR. Gruß, Mondspeer |
12.07.2010, 10:23 | #13 |
/// Winkelfunktion /// TB-Süch-Tiger™ | sdra64.exe auf dem laptop aber malwarebytes stürzt ab. Bitte den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus. Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen. Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt.
__________________ Logfiles bitte immer in CODE-Tags posten |
26.07.2010, 18:06 | #14 |
| sdra64.exe auf dem laptop aber malwarebytes stürzt ab. Hi Cosinus, jetzt bin ich zum nächsten Mal an den den Laptop meiner Freundin gekommen. Hier ist der Output von remover.exe: Code:
ATTFilter Bootkit Remover (c) 2009 eSage Lab Program version: 1.1.0.0 OS Version: Microsoft Windows XP Professional Service Pack 3 (build 2600) System volume is \\.\C: \\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 Boot sector MD5 is: ade06705878de37b12425bf38fcb52a4 Size Device Name MBR Status ------------------------------------------------- 33 GB \\.\PhysicalDrive0 Unknown boot code Unknown boot code has been found on some of your physical disks. To inspect the boot code manually, dump the master boot sector: remover.exe dump (device name) [output_file] To disinfect the master boot sector, use the following command: remover.exe fix (device_name) Done; Press any key to quit ... Gruß, Gerald PS: Danke für die Hilfe bis jetzt. Läuft schon besser. |
26.07.2010, 22:26 | #15 |
/// Winkelfunktion /// TB-Süch-Tiger™ | sdra64.exe auf dem laptop aber malwarebytes stürzt ab. Zuerst mal bitte - falls noch nicht getan - die Datei remover.exe (vom BootkitRemover) vom Desktop nach c:\windows\system32 kopieren! Danach die Konsole starten über Start, Ausführen, cmd eintippen, ok. Den Text im folgenden Codefeld eintippen und mit Enter/Return ausführen: Code:
ATTFilter remover.exe dump \\.\PhysicalDrive0 c:\mbr.dat
__________________ Logfiles bitte immer in CODE-Tags posten |
Themen zu sdra64.exe auf dem laptop aber malwarebytes stürzt ab. |
anti-malware, beendet, board, ccleaner, cmd, direkt, direkt nach dem start, down, einträge, entdeck, fehler, forum, freundin, gelöst, hijack, hijackthis, laptop, malwarebyte startet nicht, malwarebytes, malwarebytes stürzt ab, meldung, problem, probleme, scan, sdra64.exe, shutdown, start, starten, stürzt ab |