| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: C:\WINDOWS\system32\sdra64.exe u.v.a.Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
16.07.2010, 22:51
| #1 |
| |  C:\WINDOWS\system32\sdra64.exe u.v.a. Hallo allerseits, das Netbook meiner Freundin zickte die letzten drei Tage ordentlich rum. Dauerte ewig, bis das Gerät hochgefahren war, Word ließ sich nur noch in Ausnahemfällen bedienen, und die Browser verweigerten nacheinander ihren Dienst. Erst ließ sich Firefox nicht mehr benutzen, danach probierte sie es mit Chrome (und vermutete zunächst einen Software-Fehler), der nach kurzem Gebrauch ebenfalls streikte. Zuletzt war sie wohl mit dem Internet Explorer unterwegs, aber auch da: Das gleiche Spiel. Sie hat sich über das lahme Arbeitstempo zunächst keine Gedanken gemacht. Als dann aber zwei Browser ausgefallen waren, hat sie mich dann doch um Hilfe gebeten. Allerdings bin ich auch nur absoluter Laie. Hab mal einen Virenscanner (AVG) drüber geschickt. Der wurde dann bei "userinit.exe" fündig und meldete mir, dass sich das Problem nicht beheben lassen würde, da wichtige Systemdatei und der Trojaner ("Trojan.Generic.4165900 (DB)") auf einer so genannten "White List" (?). Habe danach ein wenig gegoogelt und dann per USB-Stick ein Programm namens "eScan" rübergespielt. Der hat jetzt knapp zwei Stunden gesucht, und zu meinem Erschrecken eine gewaltige Liste an Trojanern und Viren ermittelt. Während des Suchvorgangs hat sich ein Prozess namens "Project1.exe" verabschiedet - was auch immer das gewesen ist. Und unter laufenden Prozessen taucht die sdra64.exe auf, die hier im Board auch mehrfach abgehandelt wurde... Ich habe nicht den blassesten Schimmer, wie der Mist drauf gekommen ist. [Nachtrag]: Habe das Gerät nach dem Scan neugestartet. Jetzt funktioniert rein gar nix mehr, d.h. ich komme nicht mehr in Windows, auch nicht abgesichert. Wenn ich den Benutzer auswähle, meldet er sich an, Desktop leuchtet kurz auf und dann meldet er sich sofort wieder ab!  Ich poste einfach die Funde des eScans hier an: 16 Jul 2010 21:17:29 - ********************************************************************************************* 16 Jul 2010 21:17:29 - Optionen für Kommandozeile angegeben: /xsign 16 Jul 2010 21:17:46 - Aktuellstes Datum der in MWAV enthaltenen Dateien: Fri Jul 16 18:00:44 2010. 16 Jul 2010 21:17:46 - Plugins FileCount: 683 Sign Version: 7.32818 16 Jul 2010 21:17:48 - Loading/Creating FileScan Database C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MicroWorld\MWAV\ESCANDBX.MDB [Log: C:\Dokumente und Einstellungen\Sabrina\Lokale Einstellungen\Temp\ESCANDB.LOG] 16 Jul 2010 21:17:49 - Loaded/Created FileScan Database... 16 Jul 2010 21:17:49 - Loading AV Library [DB]... 16 Jul 2010 21:17:52 - AV Library Loaded [DB-DIRECT]. 16 Jul 2010 21:17:52 - MWAV doing self scanning... 16 Jul 2010 21:17:52 - MWAV files are clean. 16 Jul 2010 21:19:39 - Virendatenbankdatum: 16 Jul 2010 16 Jul 2010 21:19:39 - Virendatenbankzähler: 6519562 16 Jul 2010 21:19:58 - ********************************************************** 16 Jul 2010 21:19:58 - eScan-Antiviren- und Antispyware-Werkzeugsatz. 16 Jul 2010 21:19:58 - Copyright © MicroWorld 16 Jul 2010 21:19:58 - 16 Jul 2010 21:19:58 - Support: support@escanav.com 16 Jul 2010 21:19:58 - Web: hxxp://www.escanav.com 16 Jul 2010 21:19:58 - ********************************************************** 16 Jul 2010 21:19:58 - Version 12.0.44[DB] (C:\DOKUMENTE UND EINSTELLUNGEN\SABRINA\LOKALE EINSTELLUNGEN\TEMP\MEXETMP.EX~) 16 Jul 2010 21:19:58 - Logdatei: C:\Dokumente und Einstellungen\Sabrina\Lokale Einstellungen\Temp\MWAV.LOG 16 Jul 2010 21:19:58 - User Account: Sabrina (Administrator Mode) 16 Jul 2010 21:19:58 - Windows Root Folder: C:\WINDOWS 16 Jul 2010 21:19:58 - Windows Sys32 Folder: C:\WINDOWS\system32 16 Jul 2010 21:19:58 - OS: Windows XP [OS Install Date: 06 May 2009 00:58:46] 16 Jul 2010 21:19:58 - Ver: Service Pack 3 (Build 2600) 16 Jul 2010 21:19:58 - Aktuellstes Datum der in MWAV enthaltenen Dateien: Fri Jul 16 18:00:44 2010. 16 Jul 2010 21:19:58 - Plugins FileCount: 683 Sign Version: 7.32818 16 Jul 2010 21:19:58 - Vom Benutzer gewählte Optionen: 16 Jul 2010 21:19:58 - Speicherüberprüfung: Aktiviert 16 Jul 2010 21:19:58 - Überprüfung der Registrierungsdatenbank: Aktiviert 16 Jul 2010 21:19:58 - Überprüfung des Startordners: Aktiviert 16 Jul 2010 21:19:58 - Überprüfung des Systemordners: Aktiviert 16 Jul 2010 21:19:58 - Überprüfung der Dienste: Aktiviert 16 Jul 2010 21:19:58 - Scannen Spyware: Aktiviert 16 Jul 2010 21:19:58 - Überprüfung der Laufwerke: Deaktiviert 16 Jul 2010 21:19:58 - Überprüfung aller Laufwerke:Aktiviert 16 Jul 2010 21:19:58 - Überprüfung der Ordner: Aktiviert 16 Jul 2010 21:19:58 - Gewählter Ordner = C:\WINDOWS 16 Jul 2010 21:19:58 - SCAN: All_Files 16 Jul 2010 21:19:58 - MWAV Mode: Scan and Clean files (for viruses, adware and spyware) 16 Jul 2010 21:19:59 - ***** Speicherdateien werden gescannt ***** 16 Jul 2010 21:20:38 - ***** Dateien der Registrierungsdatenbank werden gescannt ***** 16 Jul 2010 21:20:39 - ERROR(3)!!! Invalid Entry = C:\WINDOWS\system32\iebho0E.dll (in key HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D032570A-5F63-4812-A094-87D007C23012}). Action Taken: Removing it. 16 Jul 2010 21:22:31 - Datei C:\WINDOWS\system32\userinit.exe wird gescannt 16 Jul 2010 21:22:35 - [Added C:\WINDOWS\system32\userinit.exe to ZIP FILE] 16 Jul 2010 21:22:35 - No action taken on [C:\WINDOWS\system32\userinit.exe] as it is a Reserved System File! 16 Jul 2010 21:22:35 - Datei C:\WINDOWS\system32\userinit.exe ist durch den Virus "Trojan.Generic.4165900 (DB)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen. 16 Jul 2010 21:22:35 - Successfully copied [C:\WINDOWS\system32\dllcache\userinit.exe] to [C:\WINDOWS\system32\userinit.exe] 16 Jul 2010 21:22:35 - *** SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon hat "RunningProcess" als [C:\WINDOWS\system32\userinit.exe] definiert (die infiziert ist)! 16 Jul 2010 21:22:35 - *** Registrierungswert SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit gelöscht, da er durch einen Virus infiziert worden ist! 16 Jul 2010 21:22:35 - OpenError (C:\WINDOWS\system32\sdra64.exe): Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird. (0x20) 16 Jul 2010 21:22:35 - ** Scannen kann fehlschlagen! Datei gesperrt [SUSPEKT]: C:\WINDOWS\system32\sdra64.exe (????) 16 Jul 2010 21:22:35 - ** Forcing Rename on Reboot of file C:\WINDOWS\system32\sdra64.exe to C:\WINDOWS\system32\sdra64.exe.10770967 16 Jul 2010 21:22:36 - C:\WINDOWS\system32\sdra64.exe konnte nicht gescannt werden, da sie möglicherweise durch Passwort geschützt ist... 16 Jul 2010 21:22:37 - Invalid Entry DllName = appmgmts.dll (in key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Action Taken: Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}. 16 Jul 2010 21:22:37 - ** NON-STANDARD WINLOGON NOTIFY KEY [SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\avgrsstarter] 16 Jul 2010 21:22:41 - Wert in der Registrierungsdatenbank wird ersetzt: ******** (HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost/netsvcs) Previous Value: [SSHNAS], New Value: [NULL] 16 Jul 2010 21:22:55 - ERROR(3)!!! Invalid Entry ICQ = "C:\PROGRA~1\ICQ6.5\ICQ.exe" silent (in key HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run). Action Taken: Removing it. 16 Jul 2010 21:23:16 - ScanFile took 21.16 Secs [C:\Dokumente und Einstellungen\Sabrina\Lokale Einstellungen\Temp\Fhm.exe]... 16 Jul 2010 21:23:16 - ***** Startordner werden gescannt ***** 16 Jul 2010 21:23:32 - ***** Dateien bezüglich Dienste werden gescannt ***** 16 Jul 2010 21:23:33 - ERROR(2)!!! Invalid Entry %SystemRoot%\System32\appmgmts.dll. Action Taken: Removing HKLM\SYSTEM\CurrentControlSet\Services\AppMgmt. 16 Jul 2010 21:23:48 - ERROR(2)!!! Invalid Entry C:\WINDOWS\system32\sshnas21.dll. Action Taken: Removing HKLM\SYSTEM\CurrentControlSet\Services\SSHNAS. 16 Jul 2010 21:23:51 - ***** Registrierungsdatenbank und Dateisystem werden auf Schnüffelprogramme (Spyware) und werbefinanzierte Software (Adware) geprüft ***** 16 Jul 2010 21:23:53 - Signaturen der Spionageprogramme werden aus einer neuen auswärtigen Datenbank geladen [Name: C:\DOKUME~1\Sabrina\LOKALE~1\Temp\spydb.avs, Größe: 947346]... 16 Jul 2010 21:23:53 - Indexed Spyware Databases Successfully Created... 16 Jul 2010 21:23:54 - System found infected with video activex access Trojan (HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects\{7E853D72-626A-48EC-A868-BA8D5E23E045})! Action taken: Einträge entfernt. 16 Jul 2010 21:23:54 - Objekt "video activex access Trojan" im Dateisystem gefunden! Maßnahme ergriffen: Einträge entfernt. 16 Jul 2010 21:23:58 - Offending file found: C:\WINDOWS\system32\sdra64.exe 16 Jul 2010 21:23:58 - System found infected with Advanced Virus Protection Corrupted Adware/Spyware (sdra64.exe)! Action taken: Datei gelöscht. 16 Jul 2010 21:23:58 - Objekt "Advanced Virus Protection Corrupted Adware/Spyware" im Dateisystem gefunden! Maßnahme ergriffen: Datei gelöscht. 16 Jul 2010 21:24:05 - Offending file found: C:\WINDOWS\system32\sshnas21.dll 16 Jul 2010 21:24:05 - System found infected with Trojan.Renos.PGZ Trojan-Downloader (sshnas21.dll)! Action taken: Datei gelöscht. 16 Jul 2010 21:24:05 - Objekt "Trojan.Renos.PGZ Trojan-Downloader" im Dateisystem gefunden! Maßnahme ergriffen: Datei gelöscht. 16 Jul 2010 21:24:05 - Offending file found: C:\DOKUME~1\Sabrina\LOKALE~1\Temp\winservice.exe 16 Jul 2010 21:24:05 - System found infected with combo Spyware/Adware (winservice.exe)! Action taken: Datei gelöscht. 16 Jul 2010 21:24:17 - Offending file found: C:\Dokumente und Einstellungen\Sabrina\Lokale Einstellungen\Temp\AVCBack\winservice.exe 16 Jul 2010 21:24:17 - System found infected with combo Spyware/Adware (winservice.exe)! Action taken: Datei gelöscht. 16 Jul 2010 21:24:22 - Offending file found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AVG Security Toolbar\IEToolbar.dll 16 Jul 2010 21:24:22 - System found infected with CoolWebSearch parasite variant Spyware/Adware (IEToolbar.dll)! Action taken: Datei gelöscht. 16 Jul 2010 21:24:22 - Objekt "CoolWebSearch parasite variant Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Datei gelöscht. 16 Jul 2010 21:24:26 - Offending Registry Entry found: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AlwaysUnloadDLL 16 Jul 2010 21:24:26 - System found infected with RegSort Corrupted Adware/Spyware (HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AlwaysUnloadDLL)! Action taken: Einträge entfernt. 16 Jul 2010 21:24:26 - Objekt "RegSort Corrupted Adware/Spyware" im Dateisystem gefunden! Maßnahme ergriffen: Einträge entfernt. 16 Jul 2010 21:24:27 - Offending Registry Entry found: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run/Alcmtr 16 Jul 2010 21:24:27 - System found infected with combo Spyware/Adware (HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run/Alcmtr)! Action taken: Einträge entfernt. 16 Jul 2010 21:24:28 - Offending Registry Entry found: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network/UID 16 Jul 2010 21:24:28 - System found infected with combo Spyware/Adware (HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network/UID)! Action taken: Einträge entfernt. 16 Jul 2010 21:24:28 - Offending file found: C:\WINDOWS\Tasks\{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job 16 Jul 2010 21:24:28 - System found infected with Trojan.Renos.PGZ Trojan-Downloader (C:\WINDOWS\Tasks\{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job)! Action taken: Datei gelöscht. 16 Jul 2010 21:24:28 - Objekt "Trojan.Renos.PGZ Trojan-Downloader" im Dateisystem gefunden! Maßnahme ergriffen: Datei gelöscht. 16 Jul 2010 21:24:28 - Offending file found: C:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job 16 Jul 2010 21:24:28 - System found infected with Trojan.Renos.PGZ Trojan-Downloader (C:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job)! Action taken: Datei gelöscht. 16 Jul 2010 21:24:28 - Objekt "Trojan.Renos.PGZ Trojan-Downloader" im Dateisystem gefunden! Maßnahme ergriffen: Datei gelöscht. 16 Jul 2010 21:24:28 - ***** Dateien der Registrierungsdatenbank werden gescannt ***** 16 Jul 2010 21:24:30 - OpenError (C:\WINDOWS\system32\sdra64.exe): Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird. (0x20) 16 Jul 2010 21:24:30 - ** Scannen kann fehlschlagen! Datei gesperrt [SUSPEKT]: C:\WINDOWS\system32\sdra64.exe (????) 16 Jul 2010 21:24:30 - ** Forcing Rename on Reboot of file C:\WINDOWS\system32\sdra64.exe to C:\WINDOWS\system32\sdra64.exe.16183282 16 Jul 2010 21:24:30 - C:\WINDOWS\system32\sdra64.exe konnte nicht gescannt werden, da sie möglicherweise durch Passwort geschützt ist... 16 Jul 2010 21:24:30 - ** NON-STANDARD WINLOGON NOTIFY KEY [SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\avgrsstarter] 16 Jul 2010 21:24:30 - Clearing Temporary sub-folders as Spyware/Adware found in system... 16 Jul 2010 21:24:31 - Few files will be deleted *ONLY* on reboot... 16 Jul 2010 21:24:35 - ** Value in HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\main/Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157 16 Jul 2010 21:24:35 - ** Value in HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\main/Start Page = hxxp://start.icq.com/ 16 Jul 2010 21:24:35 - ***** System32-Ordner werden gescannt ***** 16 Jul 2010 21:27:33 - C:\WINDOWS\system32\sdra64.exe konnte nicht gescannt werden, da sie möglicherweise durch Passwort geschützt ist... 16 Jul 2010 21:28:35 - ScanFile took 8.08 Secs [C:\Dokumente und Einstellungen\Sabrina\Lokale Einstellungen\Temp\download.exe]... 16 Jul 2010 21:28:45 - ScanFile took 6.53 Secs [C:\Dokumente und Einstellungen\Sabrina\Lokale Einstellungen\Temp\esupdate.exe]... 16 Jul 2010 21:29:24 - ScanFile took 39.45 Secs [C:\Dokumente und Einstellungen\Sabrina\Lokale Einstellungen\Temp\Fhj.exe]... 16 Jul 2010 21:29:24 - Zeit überschritten beim Scannen von C:\Dokumente und Einstellungen\Sabrina\Lokale Einstellungen\Temp\Fhj.exe!!! 16 Jul 2010 21:29:27 - Datei C:\Dokumente und Einstellungen\Sabrina\Lokale Einstellungen\Temp\Fhl.exe wird gescannt 16 Jul 2010 21:29:27 - Datei C:\Dokumente und Einstellungen\Sabrina\Lokale Einstellungen\Temp\Fhl.exe ist markiert als "NULL.Corrupted". Maßnahme ergriffen: Datei gelöscht. 16 Jul 2010 21:29:30 - Datei C:\Dokumente und Einstellungen\Sabrina\Lokale Einstellungen\Temp\in3.tmp wird gescannt 16 Jul 2010 21:29:32 - ERROR!!! Unable to Delete file C:\Dokumente und Einstellungen\Sabrina\Lokale Einstellungen\Temp\in3.tmp! Reason is Zugriff verweigert (0x5). File will be deleted on reboot(A). 16 Jul 2010 21:29:32 - Datei C:\Dokumente und Einstellungen\Sabrina\Lokale Einstellungen\Temp\in3.tmp ist durch den Virus "Trojan.Gadja.Injected.A (DB)" infiziert! Maßnahme ergriffen: Datei wird beim Neustart gelöscht. 16 Jul 2010 21:29:47 - ScanFile took 7.13 Secs [C:\Dokumente und Einstellungen\Sabrina\Lokale Einstellungen\Temp\MWAVL.exe]... 16 Jul 2010 21:30:17 - Datei C:\Dokumente und Einstellungen\Sabrina\Lokale Einstellungen\Temp\sshnas21.dll.58482071.mwt wurde bereits einmal gescannt... aber konnte nicht gesäubert werden. 16 Jul 2010 21:30:34 - ScanFile took 6.67 Secs [C:\Dokumente und Einstellungen\Sabrina\Lokale Einstellungen\Temp\viewtcp.exe]... 16 Jul 2010 21:30:35 - ***** Alle Laufwerke werden gescannt ***** 16 Jul 2010 21:30:36 - Laufwerk C:\ wird gescannt ... 16 Jul 2010 21:33:03 - ScanFile took 7.99 Secs [C:\Dokumente und Einstellungen\chris\Desktop\gimp-2.6.7-i686-setup.exe]... 16 Jul 2010 21:33:12 - Datei C:\Dokumente und Einstellungen\chris\Lokale Einstellungen\Temp\in1.tmp wird gescannt 16 Jul 2010 21:33:12 - Datei C:\Dokumente und Einstellungen\chris\Lokale Einstellungen\Temp\in1.tmp ist durch den Virus "Trojan.Gadja.Injected.A (DB)" infiziert! Maßnahme ergriffen: Datei gelöscht. 16 Jul 2010 21:33:13 - Datei C:\Dokumente und Einstellungen\chris\Lokale Einstellungen\Temp\in2.tmp wird gescannt 16 Jul 2010 21:33:13 - Datei C:\Dokumente und Einstellungen\chris\Lokale Einstellungen\Temp\in2.tmp ist durch den Virus "Trojan.Gadja.Injected.A (DB)" infiziert! Maßnahme ergriffen: Datei gelöscht. 16 Jul 2010 21:33:13 - Datei C:\Dokumente und Einstellungen\chris\Lokale Einstellungen\Temp\in3.tmp wird gescannt 16 Jul 2010 21:33:13 - Datei C:\Dokumente und Einstellungen\chris\Lokale Einstellungen\Temp\in3.tmp ist durch den Virus "Trojan.Gadja.Injected.A (DB)" infiziert! Maßnahme ergriffen: Datei gelöscht. 16 Jul 2010 21:33:27 - C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG konnte nicht gescannt werden, da sie möglicherweise durch Passwort geschützt ist... 16 Jul 2010 21:33:28 - C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG konnte nicht gescannt werden, da sie möglicherweise durch Passwort geschützt ist... 16 Jul 2010 21:33:28 - C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG konnte nicht gescannt werden, da sie möglicherweise durch Passwort geschützt ist... 16 Jul 2010 21:33:41 - C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG konnte nicht gescannt werden, da sie möglicherweise durch Passwort geschützt ist... 16 Jul 2010 21:35:26 - ScanFile took 5.91 Secs [C:\Dokumente und Einstellungen\Sabrina\Eigene Dateien\Downloads\FreePDF4.02.EXE]... 16 Jul 2010 21:35:32 - ScanFile took 5.63 Secs [C:\Dokumente und Einstellungen\Sabrina\Eigene Dateien\Downloads\gs870w32.exe]... 16 Jul 2010 21:35:55 - ScanFile took 16.03 Secs [C:\Dokumente und Einstellungen\Sabrina\Eigene Dateien\Downloads\SoftonicDownloader36594.exe]... 16 Jul 2010 21:36:01 - ScanFile took 5.33 Secs [C:\Dokumente und Einstellungen\Sabrina\Eigene Dateien\Downloads\Update_Service_Setup-2.10.2.50.exe]... 16 Jul 2010 21:36:47 - C:\Dokumente und Einstellungen\Sabrina\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG konnte nicht gescannt werden, da sie möglicherweise durch Passwort geschützt ist... 16 Jul 2010 21:37:10 - Datei C:\Dokumente und Einstellungen\Sabrina\Lokale Einstellungen\Temp\in3.tmp.63385673.mwt wurde bereits einmal gescannt... aber konnte nicht gesäubert werden. 16 Jul 2010 21:37:22 - Datei C:\Dokumente und Einstellungen\Sabrina\Lokale Einstellungen\Temp\sshnas21.dll.58482071.mwt wurde bereits einmal gescannt... aber konnte nicht gesäubert werden. 16 Jul 2010 21:38:45 - C:\Dokumente und Einstellungen\Sabrina\ntuser.dat.LOG konnte nicht gescannt werden, da sie möglicherweise durch Passwort geschützt ist... 16 Jul 2010 21:40:02 - ScanFile took 7.88 Secs [C:\Programme\AVG\AVG8\AVGToolbarInstall.exe]... 16 Jul 2010 21:45:18 - ScanFile took 6.14 Secs [C:\Programme\Google\Google SketchUp 6\MFC71U.dll]... 16 Jul 2010 21:54:37 - ScanFile took 14.80 Secs [C:\Programme\Skype\Phone\Skype.exe]... 16 Jul 2010 21:54:52 - ScanFile took 14.88 Secs [C:\Programme\Skype\Plugin Manager\ezPMUtils.dll]... 16 Jul 2010 21:55:11 - ScanFile took 14.33 Secs [C:\Programme\Skype\Plugin Manager\spmServices.dll]... 16 Jul 2010 22:00:08 - ScanFile took 7.38 Secs [C:\Programme\Sun\StarOffice 8\program\soa-13.01.00-bin-windows-multi.exe]... 16 Jul 2010 22:06:02 - ScanFile took 5.63 Secs [C:\Programme\WIDCOMM\Bluetooth Software\BTStackServer.exe]... 16 Jul 2010 22:06:15 - ScanFile took 5.76 Secs [C:\Programme\Windows Live\Mail\maillang.dll]... 16 Jul 2010 22:08:02 - ScanFile took 6.47 Secs [C:\Programme\Zattoo\Zattoo1.exe]... 16 Jul 2010 22:10:51 - ScanFile took 6.94 Secs [C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP181\A0040952.exe]... 16 Jul 2010 22:11:01 - ScanFile took 10.41 Secs [C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP181\A0040956.exe]... 16 Jul 2010 22:11:14 - ScanFile took 10.19 Secs [C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP181\A0040959.exe]... 16 Jul 2010 22:17:49 - ScanFile took 6.88 Secs [C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP197\A0049324.exe]... 16 Jul 2010 22:20:39 - Datei C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP205\A0051261.dll wird gescannt 16 Jul 2010 22:21:11 - Datei C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP205\A0051261.dll ist durch den Virus "Trojan.Generic.3999278 (DB)" infiziert! Maßnahme ergriffen: Datei umbenannt. 16 Jul 2010 22:21:39 - ScanFile took 6.50 Secs [C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP207\A0051487.dll]... 16 Jul 2010 22:21:48 - ScanFile took 5.34 Secs [C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP207\A0051493.dll]... 16 Jul 2010 22:22:39 - ScanFile took 8.48 Secs [C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP209\A0051693.dll]... 16 Jul 2010 22:23:08 - INVALID ATTRIBUTES FOR FOLDER [C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP213]. IGNORING. 16 Jul 2010 22:23:32 - INVALID ATTRIBUTES FOR FOLDER [C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP215]. IGNORING. 16 Jul 2010 22:23:32 - INVALID ATTRIBUTES FOR FOLDER [C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP216]. IGNORING. 16 Jul 2010 22:29:31 - ScanFile took 6.53 Secs [C:\WINDOWS\Help\Tours\mmTour\tour.exe]... 16 Jul 2010 22:39:46 - ScanFile took 5.34 Secs [C:\WINDOWS\SoftwareDistribution\Download\2381c010bbd54db6bd2998844a083287b3c76688]... 16 Jul 2010 22:40:07 - ScanFile took 5.53 Secs [C:\WINDOWS\SoftwareDistribution\Download\a05d6e916515124e6c2243eb687d4baeb6ecc035]... 16 Jul 2010 22:40:41 - C:\WINDOWS\system32\CatRoot2\edb.log konnte nicht gescannt werden, da sie möglicherweise durch Passwort geschützt ist... 16 Jul 2010 22:40:41 - C:\WINDOWS\system32\CatRoot2\tmp.edb konnte nicht gescannt werden, da sie möglicherweise durch Passwort geschützt ist... 16 Jul 2010 22:40:42 - C:\WINDOWS\system32\config\default konnte nicht gescannt werden, da sie möglicherweise durch Passwort geschützt ist... 16 Jul 2010 22:40:42 - C:\WINDOWS\system32\config\default.LOG konnte nicht gescannt werden, da sie möglicherweise durch Passwort geschützt ist... 16 Jul 2010 22:40:43 - C:\WINDOWS\system32\config\SAM konnte nicht gescannt werden, da sie möglicherweise durch Passwort geschützt ist... 16 Jul 2010 22:40:43 - C:\WINDOWS\system32\config\SAM.LOG konnte nicht gescannt werden, da sie möglicherweise durch Passwort geschützt ist... 16 Jul 2010 22:40:43 - C:\WINDOWS\system32\config\SECURITY konnte nicht gescannt werden, da sie möglicherweise durch Passwort geschützt ist... 16 Jul 2010 22:40:43 - C:\WINDOWS\system32\config\SECURITY.LOG konnte nicht gescannt werden, da sie möglicherweise durch Passwort geschützt ist... 16 Jul 2010 22:40:43 - C:\WINDOWS\system32\config\software konnte nicht gescannt werden, da sie möglicherweise durch Passwort geschützt ist... 16 Jul 2010 22:40:43 - C:\WINDOWS\system32\config\software.LOG konnte nicht gescannt werden, da sie möglicherweise durch Passwort geschützt ist... 16 Jul 2010 22:40:43 - C:\WINDOWS\system32\config\system konnte nicht gescannt werden, da sie möglicherweise durch Passwort geschützt ist... 16 Jul 2010 22:40:43 - C:\WINDOWS\system32\config\system.LOG konnte nicht gescannt werden, da sie möglicherweise durch Passwort geschützt ist... 16 Jul 2010 22:46:46 - C:\WINDOWS\system32\lowsec\local.ds konnte nicht gescannt werden, da sie möglicherweise durch Passwort geschützt ist... 16 Jul 2010 22:46:46 - C:\WINDOWS\system32\lowsec\user.ds konnte nicht gescannt werden, da sie möglicherweise durch Passwort geschützt ist... 16 Jul 2010 22:48:22 - Laufwerk D:\ wird gescannt ... 16 Jul 2010 22:52:50 - C:\WINDOWS\system32\config\software konnte nicht gescannt werden, da sie möglicherweise durch Passwort geschützt ist... 16 Jul 2010 22:52:50 - C:\WINDOWS\system32\config\software.LOG konnte nicht gescannt werden, da sie möglicherweise durch Passwort geschützt ist... 16 Jul 2010 22:53:18 - *****Auf bestimmte ITW-Viren wird geprüft ***** 16 Jul 2010 22:53:19 - ***** Scannen abgeschlossen ***** 16 Jul 2010 22:53:19 - Zahl der gescannten Objekte: 150085 16 Jul 2010 22:53:19 - Zahl der kritischen Objekte: 13 16 Jul 2010 22:53:19 - Zahl der desinfizierten Objekte: 0 16 Jul 2010 22:53:19 - Zahl der umbenannten Objekte: 1 16 Jul 2010 22:53:19 - Zahl der gelöschten Objekte: 11 16 Jul 2010 22:53:19 - Gesamtzahl der Fehler: 6 16 Jul 2010 22:53:19 - Zeit verstrichen: 01:33:09 16 Jul 2010 22:53:19 - Virendatenbankdatum: 16 Jul 2010 16 Jul 2010 22:53:19 - Virendatenbankzähler: 6519562 16 Jul 2010 22:53:19 - Scannen abgeschlossen. |
|
17.07.2010, 14:50
| #2 |
| /// Selecta Jahrusso   | C:\WINDOWS\system32\sdra64.exe u.v.a. Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.
Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg. Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist. Vista und Win7 User Alle Tools mit Rechtsklick "als Administrator ausführen" starten. Netbook, also kein CD Laufwerk ? Schritt 1 Erstellen wir einen bootbaren USB Stick für OTLPE Wichtig: Der USB Stick muss mindestens 512 MB oder mehr haben. Sichere gegebenfalls alle Dateien von dem USB Stick, diese werden nach den folgenden Schritten nicht mehr vorhanden sein. [list=1][*]
Nun kannst Du mit dem USB Stick dein System starten!
__________________ |
|
25.07.2010, 10:04
| #4 |
| /// Selecta Jahrusso | C:\WINDOWS\system32\sdra64.exe u.v.a. Fehlende Rückmeldung Dieses Thema wurde aus den Abos gelöscht. Somit bekomm ich keine Benachrichtigung über neue Antworten. PN an mich falls Du denoch weiter machen willst. Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner schon sauber ist. Jeder andere eröffnet bitte einen eigenen Thread.
__________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie |
|
| Themen zu C:\WINDOWS\system32\sdra64.exe u.v.a. |
| adware, avg, avg security toolbar, browser, dateisystem, desktop, einstellungen, error, firefox, gesperrt, google, helper, internet, internet explorer, laufwerk c, laufwerk d:, load.exe, maßnahme, problem, programm, prozess, prozesse, registrierungsdatenbank, registry, registry key, scan, security, sketchup, skype.exe, suspekt, system, trojan.generic., trojaner, white, windows, windows xp, zugriff verweigert |
Linear-Darstellung
