|
SDRA65.exe Befall Hallo Leute, melde mich nah langer Zeit mal wieder, da ich erneut ein PRoblem habe. Ich habe seit kurzem den Verdacht auf Virus/Trojanerbefall. Hier mal mein Hijackthis File: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:04:49, on 16.02.2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe C:\WINDOWS\RTHDCPL.EXE C:\WINDOWS\system32\rundll32.exe D:\Programme\pdf24\PDFBackend.exe C:\Programme\Java\jre6\bin\jusched.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\WINDOWS\system32\ctfmon.exe D:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\Bonjour\mDNSResponder.exe C:\WINDOWS\system32\svchost.exe D:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Java\jre6\bin\jqs.exe d:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\wbem\wmiprvse.exe C:\WINDOWS\System32\alg.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe, O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - (no file) O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [PDFPrint] "d:\Programme\pdf24\PDFBackend.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" O4 - HKLM\..\RunOnce: [NoIE4StubProcessing] C:\WINDOWS\system32\reg.exe DELETE "HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components" /v "NoIE4StubProcessing" /f O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Sony Ericsson PC Suite] "d:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" /systray /nologon O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020 O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: add to &BOM - C:\\PROGRA~1\\BIET-O~1\\\\AddToBOM.hta O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://wwwimages.adobe.com/www.adobe.com/products/acrobat/nos/gp.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Programme\NOS\bin\getPlus_HelperSvc.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: Sony Ericsson OMSI download service (OMSI download service) - Unknown owner - d:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe -- End of file - 6497 bytes Habe alles mit CCleaner gereinigt, auch die Registry Hier noch die Logdatei von malwarebytes, sieht irgendwie böse aus. Malwarebytes' Anti-Malware 1.44 Datenbank Version: 3745 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 16.02.2010 20:11:12 mbam-log-2010-02-16 (20-11-12).txt Scan-Methode: Vollständiger Scan (C:\|) Durchsuchte Objekte: 190576 Laufzeit: 27 minute(s), 53 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 3 Infizierte Registrierungswerte: 1 Infizierte Dateiobjekte der Registrierung: 3 Infizierte Verzeichnisse: 1 Infizierte Dateien: 6 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully. HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\AGprotect (Malware.Trace) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Spyware.Zbot) -> Data: c:\windows\system32\sdra64.exe -> Delete on reboot. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Spyware.Zbot) -> Data: system32\sdra64.exe -> Delete on reboot. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.Userinit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,) Good: (Userinit.exe) -> Quarantined and deleted successfully. Infizierte Verzeichnisse: C:\WINDOWS\system32\lowsec (Stolen.data) -> Delete on reboot. Infizierte Dateien: C:\Dokumente und Einstellungen\C\Lokale Einstellungen\Temp\kdnwnd.exe (Spyware.Zbot) -> Quarantined and deleted successfully. C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> Delete on reboot. C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> Delete on reboot. C:\WINDOWS\system32\lowsec\user.ds.lll (Stolen.data) -> Quarantined and deleted successfully. C:\WINDOWS\system32\Drivers\str.sys (Rootkit.Agent) -> Delete on reboot. C:\WINDOWS\system32\sdra64.exe (Spyware.Zbot) -> Delete on reboot. [/I] Ich glaube ich kann da nicht mehr vielmachen, ausser alles löschen... oder was sagt Ihr experten dazu??? Hier noch das Logfile von RSIT Logfile of random's system information tool 1.06 (written by random/random) Run by C at 2010-02-16 20:05:41 Microsoft Windows XP Professional Service Pack 3 System drive C: has 1 GB (7%) free of 20 GB Total RAM: 1790 MB (53% free) Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:05:42, on 16.02.2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\RTHDCPL.EXE C:\WINDOWS\system32\rundll32.exe D:\Programme\pdf24\PDFBackend.exe C:\Programme\Java\jre6\bin\jusched.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\WINDOWS\system32\ctfmon.exe D:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\Bonjour\mDNSResponder.exe C:\WINDOWS\system32\svchost.exe D:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Java\jre6\bin\jqs.exe d:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe C:\WINDOWS\System32\alg.exe C:\Programme\Java\jre6\bin\jucheck.exe C:\Programme\Malwarebytes' Anti-Malware\mbam.exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\Skype\Plugin Manager\skypePM.exe C:\WINDOWS\system32\wbem\wmiprvse.exe D:\Eigene dateien\downloads\RSIT.exe C:\Programme\Trend Micro\HijackThis\C.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe, O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - (no file) O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [PDFPrint] "d:\Programme\pdf24\PDFBackend.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" O4 - HKLM\..\RunOnce: [NoIE4StubProcessing] C:\WINDOWS\system32\reg.exe DELETE "HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components" /v "NoIE4StubProcessing" /f O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Sony Ericsson PC Suite] "d:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" /systray /nologon O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020 O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: add to &BOM - C:\\PROGRA~1\\BIET-O~1\\\\AddToBOM.hta O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://wwwimages.adobe.com/www.adobe.com/products/acrobat/nos/gp.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Programme\NOS\bin\getPlus_HelperSvc.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: Sony Ericsson OMSI download service (OMSI download service) - Unknown owner - d:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe -- End of file - 6614 bytes ======Scheduled tasks folder====== C:\WINDOWS\tasks\OGALogon.job C:\WINDOWS\tasks\WGASetup.job ======Registry dump====== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}] Spybot-S&D IE Protection - C:\Programme\Spybot - Search & Destroy\SDHelper.dll [2009-01-26 1879896] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}] Java(tm) Plug-In SSV Helper - C:\Programme\Java\jre6\bin\ssv.dll [2008-11-11 320920] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}] Java(tm) Plug-In 2 SSV Helper - C:\Programme\Java\jre6\bin\jp2ssv.dll [2008-11-11 34816] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}] JQSIEStartDetectorImpl Class - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2008-11-11 73728] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "Adobe Reader Speed Launcher"=C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe [2008-06-12 34672] "RTHDCPL"=C:\WINDOWS\RTHDCPL.EXE [2008-09-30 16864768] "Alcmtr"=C:\WINDOWS\ALCMTR.EXE [2008-06-19 57344] "BluetoothAuthenticationAgent"=bthprops.cpl,,BluetoothAuthenticationAgent [] "PDFPrint"=d:\Programme\pdf24\PDFBackend.exe [2008-01-31 134144] "SunJavaUpdateSched"=C:\Programme\Java\jre6\bin\jusched.exe [2008-11-11 136600] "QuickTime Task"=D:\Programme\QuickTime\qttask.exe [2009-01-05 413696] "avgnt"=C:\Programme\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153] "NBKeyScan"=C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe [] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce] "NoIE4StubProcessing"=C:\WINDOWS\system32\reg.exe [2008-04-14 53248] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360] "Sony Ericsson PC Suite"=d:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe [2009-09-24 434176] "SpybotSD TeaTimer"=C:\Programme\Spybot - Search & Destroy\TeaTimer.exe [2009-01-26 2144088] "IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"=C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe ASO-616B5711-6DAE-4795-A05F-39A1E5104020 [] C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart Microsoft Office.lnk - D:\Programme\Microsoft Office\Office10\OSA.EXE [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent] C:\WINDOWS\system32\Ati2evxx.dll [2008-03-19 126976] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon] C:\WINDOWS\system32\WgaLogon.dll [2008-09-05 267304] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] "dontdisplaylastusername"=0 "legalnoticecaption"= "legalnoticetext"= "shutdownwithoutlogon"=1 "undockwithoutlogon"=1 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "NoDriveTypeAutoRun"=145 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "HonorAutoRunSetting"= [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "C:\Programme\Java\jre6\launch4j-tmp\JDownloader.exe"="C:\Programme\Java\jre6\launch4j-tmp\JDownloader.exe:*:Enabled:Java(TM) Platform SE binary" "C:\WINDOWS\system32\java.exe"="C:\WINDOWS\system32\java.exe:*:Enabled:Java(TM) Platform SE binary" "D:\Eigene dateien\downloads\spiele\worms 4mayhem\WORMS 4 MAYHEM.EXE"="D:\Eigene dateien\downloads\spiele\worms 4mayhem\WORMS 4 MAYHEM.EXE:*:Disabled:Worms 4 Mayhem" "D:\Programme\Mozilla Firefox\firefox.exe"="D:\Programme\Mozilla Firefox\firefox.exe:*:Disabled:Firefox" "C:\Programme\Zattoo\zattood.exe"="C:\Programme\Zattoo\zattood.exe:*:Enabled:zattood" "C:\Programme\Zattoo\Zattoo2.exe"="C:\Programme\Zattoo\Zattoo2.exe:*:Enabled: " "C:\Programme\Java\jre6\bin\javaw.exe"="C:\Programme\Java\jre6\bin\javaw.exe:*:Enabled:Java(TM) Platform SE binary" "C:\Programme\Bonjour\mDNSResponder.exe"="C:\Programme\Bonjour\mDNSResponder.exe:*:Enabled:Bonjour" "C:\Programme\TVUPlayer\TVUPlayer.exe"="C:\Programme\TVUPlayer\TVUPlayer.exe:*:Enabled:TVUPlayer Component" "C:\Programme\Skype\Phone\Skype.exe"="C:\Programme\Skype\Phone\Skype.exe:*:Enabled:Skype" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8c2be4bc-ba55-11dd-a59b-001bdc0f9fa8}] shell\AutoRun\command - I:\Setup.exe ======File associations====== .scr - open - C:\WINDOWS\system32\notepad.exe "%1" .scr - install - .scr - config - ======List of files/folders created in the last 1 months====== 2010-02-16 20:04:00 ----D---- C:\rsit 2010-02-16 19:05:55 ----D---- C:\WINDOWS\system32\zh-TW 2010-02-16 19:05:55 ----D---- C:\WINDOWS\system32\zh-HK 2010-02-16 19:05:55 ----D---- C:\WINDOWS\system32\tr-TR 2010-02-16 19:05:55 ----D---- C:\WINDOWS\system32\sv-SE 2010-02-16 19:05:55 ----D---- C:\WINDOWS\system32\pt-BR 2010-02-16 19:05:55 ----D---- C:\WINDOWS\system32\nl-NL 2010-02-16 19:05:55 ----D---- C:\WINDOWS\system32\nb-NO 2010-02-16 19:05:55 ----D---- C:\WINDOWS\system32\ko-KR 2010-02-16 19:05:55 ----D---- C:\WINDOWS\system32\it-IT 2010-02-16 19:05:55 ----D---- C:\WINDOWS\system32\he-IL 2010-02-16 19:05:55 ----D---- C:\WINDOWS\system32\fr-FR 2010-02-16 19:05:55 ----D---- C:\WINDOWS\system32\fi-FI 2010-02-16 19:05:55 ----D---- C:\WINDOWS\system32\es-ES 2010-02-16 19:05:55 ----D---- C:\WINDOWS\system32\el-GR 2010-02-16 19:05:55 ----D---- C:\WINDOWS\system32\da-DK 2010-02-16 19:05:55 ----D---- C:\WINDOWS\system32\ar-SA 2010-02-16 19:01:17 ----A---- C:\WINDOWS\ntbtlog.txt 2010-02-16 18:32:50 ----SHD---- C:\WINDOWS\system32\lowsec 2010-02-16 16:14:43 ----D---- C:\Programme\CCleaner 2010-02-16 10:19:24 ----D---- C:\Dokumente und Einstellungen\C\Anwendungsdaten\Malwarebytes 2010-02-16 10:19:18 ----D---- C:\Programme\Malwarebytes' Anti-Malware 2010-02-16 10:19:18 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2010-02-16 09:55:21 ----D---- C:\Programme\ClearProg 2010-02-16 01:14:59 ----D---- C:\WINDOWS\ie8updates 2010-02-14 22:42:22 ----D---- C:\WINDOWS\WBEM 2010-02-14 22:41:24 ----HDC---- C:\WINDOWS\ie8 2010-02-14 21:10:17 ----D---- C:\Programme\Spybot - Search & Destroy 2010-02-14 21:10:17 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2010-02-14 21:05:06 ----D---- C:\Programme\Trend Micro 2010-02-14 20:48:20 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan 2010-02-14 20:48:17 ----D---- C:\Programme\Security Task Manager 2010-02-14 20:38:28 ----D---- C:\Dokumente und Einstellungen\C\Anwendungsdaten\QuickScan 2010-02-14 20:23:27 ----A---- C:\WINDOWS\system32\info.tmp 2010-02-14 20:21:27 ----SHD---- C:\WINDOWS\CSC 2010-02-10 23:03:08 ----HDC---- C:\WINDOWS\$NtUninstallKB978262$ 2010-02-10 23:03:04 ----HDC---- C:\WINDOWS\$NtUninstallKB971468$ 2010-02-10 23:02:00 ----HDC---- C:\WINDOWS\$NtUninstallKB978037$ 2010-02-10 23:01:57 ----HDC---- C:\WINDOWS\$NtUninstallKB975713$ 2010-02-10 23:01:53 ----HDC---- C:\WINDOWS\$NtUninstallKB978251$ 2010-02-10 23:01:48 ----HDC---- C:\WINDOWS\$NtUninstallKB975560$ 2010-02-10 23:01:20 ----HDC---- C:\WINDOWS\$NtUninstallKB977914$ 2010-02-10 23:01:15 ----HDC---- C:\WINDOWS\$NtUninstallKB978706$ 2010-02-10 23:01:02 ----HDC---- C:\WINDOWS\$NtUninstallKB977165$ 2010-02-09 12:42:27 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TVU Networks 2010-02-09 12:42:20 ----D---- C:\Programme\TVUPlayer 2010-01-22 23:07:42 ----HDC---- C:\WINDOWS\$NtUninstallKB978207$ ======List of files/folders modified in the last 1 months====== 2010-02-16 20:04:48 ----D---- C:\Dokumente und Einstellungen\C\Anwendungsdaten\Skype 2010-02-16 20:04:03 ----D---- C:\WINDOWS\Prefetch 2010-02-16 20:00:21 ----D---- C:\WINDOWS\Temp 2010-02-16 19:12:43 ----D---- C:\Dokumente und Einstellungen\C\Anwendungsdaten\skypePM 2010-02-16 19:08:21 ----D---- C:\WINDOWS\system32 2010-02-16 19:08:21 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI 2010-02-16 19:05:56 ----SHD---- C:\WINDOWS\Installer 2010-02-16 19:05:55 ----SD---- C:\WINDOWS\Tasks 2010-02-16 19:04:29 ----D---- C:\WINDOWS\system32\CatRoot2 2010-02-16 19:01:17 ----AD---- C:\WINDOWS 2010-02-16 18:59:51 ----A---- C:\WINDOWS\SchedLgU.Txt 2010-02-16 18:02:10 ----D---- C:\WINDOWS\system32\drivers 2010-02-16 18:01:30 ----SD---- C:\WINDOWS\Downloaded Program Files 2010-02-16 17:56:10 ----D---- C:\Dokumente und Einstellungen\C\Anwendungsdaten\BOM 2010-02-16 17:46:24 ----D---- C:\Dokumente und Einstellungen\C\Anwendungsdaten\vlc 2010-02-16 17:41:58 ----D---- C:\Dokumente und Einstellungen\C\Anwendungsdaten\dvdcss 2010-02-16 16:15:59 ----D---- C:\WINDOWS\Debug 2010-02-16 16:14:43 ----RD---- C:\Programme 2010-02-16 10:03:29 ----D---- C:\Programme\Bonjour 2010-02-16 01:15:16 ----HD---- C:\WINDOWS\inf 2010-02-16 01:15:13 ----RSHDC---- C:\WINDOWS\system32\dllcache 2010-02-16 01:15:13 ----D---- C:\Programme\Internet Explorer 2010-02-16 01:15:06 ----HD---- C:\WINDOWS\$hf_mig$ 2010-02-15 15:03:36 ----SHD---- C:\RECYCLER 2010-02-15 14:56:51 ----D---- C:\Dokumente und Einstellungen 2010-02-14 22:50:02 ----D---- C:\WINDOWS\system32\de-de 2010-02-14 22:50:01 ----D---- C:\WINDOWS\Help 2010-02-14 22:42:25 ----D---- C:\WINDOWS\system32\config 2010-02-14 22:42:17 ----D---- C:\WINDOWS\Media 2010-02-14 21:36:38 ----D---- C:\Programme\Biet-O-Matic 2010-02-14 20:29:01 ----D---- C:\WINDOWS\system32\wbem 2010-02-14 20:27:30 ----D---- C:\WINDOWS\Registration 2010-02-09 12:44:26 ----A---- C:\WINDOWS\NeroDigital.ini 2010-02-01 19:26:20 ----A---- C:\WINDOWS\system32\MRT.exe 2010-01-20 19:02:55 ----D---- C:\Programme\Microsoft Silverlight ======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R1 avgio;avgio; \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys [] R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-04-27 96104] R1 ElbyCDIO;ElbyCDIO Driver; C:\WINDOWS\System32\Drivers\ElbyCDIO.sys [2009-01-29 23976] R1 hwinterface;hwinterface; C:\WINDOWS\System32\Drivers\hwinterface.sys [2010-01-10 2996] R1 mbmiodrvr;mbmiodrvr; \??\C:\WINDOWS\system32\mbmiodrvr.sys [] R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2009-06-17 28520] R1 WmiAcpi;Microsoft Windows-Verwaltungsschnittstelle für ACPI; C:\WINDOWS\system32\DRIVERS\wmiacpi.sys [2008-04-13 8832] R2 avgntflt;avgntflt; C:\WINDOWS\system32\DRIVERS\avgntflt.sys [2009-12-08 56816] R3 AnyDVD;AnyDVD; C:\WINDOWS\System32\Drivers\AnyDVD.sys [2009-01-29 103488] R3 AR5211;TP-LINK Wireless Network Adapter Service; C:\WINDOWS\system32\DRIVERS\ar5211.sys [2005-12-21 470048] R3 Arp1394;1394-ARP-Clientprotokoll; C:\WINDOWS\system32\DRIVERS\arp1394.sys [2008-04-13 60800] R3 ati2mtag;ati2mtag; C:\WINDOWS\system32\DRIVERS\ati2mtag.sys [2008-03-19 2871296] R3 BthEnum;Bluetooth-Anforderungsblocktreiber; C:\WINDOWS\system32\DRIVERS\BthEnum.sys [2008-04-13 17024] R3 BTHMODEM;Bluetooth-Modemkommunikationstreiber; C:\WINDOWS\system32\DRIVERS\bthmodem.sys [2008-04-13 37888] R3 BthPan;Bluetooth-Gerät (PAN); C:\WINDOWS\system32\DRIVERS\bthpan.sys [2008-04-13 101120] R3 BTHUSB;USB-Treiber für Bluetooth-Funkgerät; C:\WINDOWS\System32\Drivers\BTHUSB.sys [2008-04-13 18944] R3 HDAudBus;Microsoft UAA-Bustreiber für High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2008-04-13 144384] R3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-13 10368] R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\WINDOWS\system32\drivers\RtkHDAud.sys [2008-10-02 4878336] R3 MBAMSwissArmy;MBAMSwissArmy; \??\C:\WINDOWS\system32\drivers\mbamswissarmy.sys [] R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-18 12288] R3 NIC1394;1394-Netzwerktreiber; C:\WINDOWS\system32\DRIVERS\nic1394.sys [2008-04-13 61824] R3 RFCOMM;Bluetooth-Gerät (RFCOMM-Protokoll-TDI); C:\WINDOWS\system32\DRIVERS\rfcomm.sys [2008-04-13 59136] R3 RTLE8023xp;Realtek 10/100/1000 PCI-E NIC Family NDIS XP Driver; C:\WINDOWS\system32\DRIVERS\Rtenicxp.sys [2008-01-04 105856] R3 seehcri;Sony Ericsson seehcri Device Driver; C:\WINDOWS\system32\DRIVERS\seehcri.sys [2008-01-09 27632] R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-13 30208] R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-14 59520] R3 usbohci;Miniporttreiber für Microsoft USB Open Host-Controller; C:\WINDOWS\system32\DRIVERS\usbohci.sys [2008-04-13 17152] S1 kbdhid;Tastatur-HID-Treiber; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2008-04-14 14720] S3 BTHPORT;Bluetooth-Porttreiber; C:\WINDOWS\System32\Drivers\BTHport.sys [2008-06-14 273024] S3 gdrv;gdrv; \??\C:\WINDOWS\gdrv.sys [] S3 HidBth;Microsoft Bluetooth-HID-Miniport; C:\WINDOWS\system32\DRIVERS\hidbth.sys [2008-04-14 25856] S3 RTHDMIAzAudService;Service for HDMI; C:\WINDOWS\system32\drivers\RtHDMI.sys [2007-05-14 3526464] S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2008-04-13 25856] S3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368] S3 WudfPf;Windows Driver Foundation - User-mode Driver Framework Platform Driver; C:\WINDOWS\system32\DRIVERS\WudfPf.sys [2006-09-28 77568] S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944] S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys [] ======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Programme\Avira\AntiVir Desktop\sched.exe [2009-06-17 108289] R2 AntiVirService;Avira AntiVir Guard; C:\Programme\Avira\AntiVir Desktop\avguard.exe [2009-08-12 185089] R2 Ati HotKey Poller;Ati HotKey Poller; C:\WINDOWS\system32\Ati2evxx.exe [2008-03-19 536576] R2 Bonjour Service;Bonjour-Dienst; C:\Programme\Bonjour\mDNSResponder.exe [2008-12-12 238888] R2 BthServ;Bluetooth Support Service; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336] R2 JavaQuickStarterService;Java Quick Starter; C:\Programme\Java\jre6\bin\jqs.exe [2008-11-11 152984] R2 OMSI download service;Sony Ericsson OMSI download service; d:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe [2009-04-30 90112] S3 aspnet_state;ASP.NET-Zustandsdienst; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-07-25 34312] S3 Autodesk Licensing Service;Autodesk Licensing Service; C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe [2008-11-24 85096] S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2008-07-25 69632] S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [2008-07-29 46104] S3 getPlus(R) Helper;getPlus(R) Helper; C:\Programme\NOS\bin\getPlus_HelperSvc.exe [2008-08-29 33752] S3 idsvc;Windows CardSpace; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2008-07-29 881664] S3 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336] S4 NetTcpPortSharing;Net.Tcp-Portfreigabedienst; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2008-07-29 132096] -----------------EOF----------------- vielen Dank soweit.. Gruss Christian |
Hallo, die sdra64.exe ist böse, denn sie hat es auf deine Passwörter abgesehen. Alle Passwörter, die du von diesem Rechner aus verwendet hast (Mail, ebay, Onlinebanking, Facebook & Co.) solltest du umgehend von einem sauberen Rechner aus sperren lassen. Neuinstallation ist in diesem Fall eine gute Idee, ich werde aber auch im Internbereich noch einmal nachfragen, ob etwas anderes für dich in Frage kommt. |
moin, meine natürlich sdra64.exe das ist ja keine gute nachricht, muss ich wohl morgen mal ran, is nur nicht so einfach einen sauberen pc zu finden |
Zitat:
Mach bitte einen Durchlauf mit GMER nach dieser Anleitung. |
Hallo, zunächst möchte ich mich entschuldigen, dass ich mich erst jetzt melde, hab aber recht viel zu tun momentan. Habe versucht einen Durchlauf mit GMER zu machen, dieses hängt sich aber nach wenigen Sekunden auf "c:\windows\system32\drivers\atapi.sys Der Prozess kann nicht auf die Datei ..." weiter kann ich nicht sagen, weil das Fenster zu klein war. Daraufhin muss ich den PC per "RESET" neu starten, da nichts mehr geht. Auf die Fehler bin ich gestossen, da sich der PC seit zwei Tagen nach dem Neustart aufhängt und ich ihn nur per RESET neustarten kann. manchmal lässt sich die Maus noch bewegen, meist ist aber alles still. Wenn man 3-10 mal neu startet, hängt er sich normal nicht wieder auf. Vielen Dank für eure Hilfe. Christian |
Hast du GMER mit Administrator-Rechten ausgeführt? Wenn ja, lass zunächst noch einmal Malwarebytes laufen (vorher aktualisieren), um zu schauen, was noch gelöscht wurde. |
Hallo Franz, danke für deine bisherige Hilfe. Ja, ich war als Admin eingeloggt, hier die Logdatei vom neuen Malware-Scan. Zitat:
Christian |
Führe bitte Combofix aus: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix * Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe. http://saved.im/mtm0nzyzmzd5/cofi.jpg * Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung * Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser. * Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen. * Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen. * Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt. Wichtiger Hinweis: Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren. Danach bitte ein neues RSIT-Logfile. |
Hallo, hier das Logfile von combofix Zitat:
Christian |
Es fehlt noch ein neues RSIT-Logfile. Reiche das bitte nach. |
Hallo Franz, dass hatte ich überlesen. hier das rsit Logfile Zitat:
|
Zitat:
1.) Lade Dir von hier Avenger: Swandog46's Public Anti-Malware Tools (Download, linksseitig) 2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen: http://mitglied.multimania.de/efunct...23/avenger.png 3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld: Code: files to delete:5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein. 6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso. 7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier. Außerdem: Schau bitte, ob sich die zwei Dateien (falls du sie nicht siehst, evtl. vorher sichtbar machen) Code: c:\windows\system32\d3d9caps.dat |
Hallo Franz, hier zunächst das Avenger Logfile Zitat:
Hier die beiden Links. Virustotal. MD5: ec8ef3190d95a6cd8f59c245ea972aaa Virustotal. MD5: 89220b427890aa1dffd1a02648ae51c3 Danke Christian |
Poste ein neues RSIT-Logfile bitte. Läuft GMER jetzt? |
Hier das RSIT Logfile Zitat:
Wird das irgendwo gespeichert? Gruss Christian |
Hallo Christian, was passiert genau? Bleibt der Scan bei einer bestimmten Datei stehen? Evtl. noch mal testen, bitte. |
Moin, ich bleibe nicht die ganze Zeit neben dran, bin aber der Meinung, dass er bis zum Ende scannt, dann aber nichts mehr geht. Kopie kann ich klicken, dann kommt die Meldung, dass es im Zwischenspeicher ist. Danach geht nichts mehr: Hier mal ein Foto vom Bildschirm. http://img251.imageshack.us/img251/7329/desktoplu.jpg Christian |
Es wird wohl eine Systemdatei manipuliert sein. Da sie bei laufendem Windows gesperrt ist, musst du von außen zugreifen, um sie auszutauschen. Lad Dir bitte von hier eine saubere atapi.sys am besten direkt auf c: herunter, danach: PartedMagic 1. Lade Dir das ISO-Image von PartedMagic herunter, müssten ca. 90 MB sein 2. Brenn es per Imagebrennfunktion auf CD, geht zB mit ImgBurn oder Nero per Imagebrennfunktion unter Windows 3. Boote von der gebrannten CD, im Bootmenü von Option 1 starten und warten bis der Linux-Desktop oben ist http://www.raiden.net/images/article...tedmagic40.jpg 4. Du müsstest ein Symbol "Mount Devices" finden, das doppelklicken 5. Mounte die Partition wo Windows installiert ist, meistens ist es /dev/sda1 6. Benenne auf sda1 die Datei /windows/system32/drivers/atapi.sys um in atapi.bad 7. Kopiere die saubere atapi.sys in den Pfad hinein (/windows/system32/drivers) (müsste eigentlich alles ganz easy über den graphischen Dateibowser in Linux gehen) 8. Starte den Rechner neu und boote Windows 9. Die in Linux umbenannte Datei (atapi.bad in system32\drivers) bei Virustotal auswerten lassen und Ergebnislink posten 10. Einen neuen Durchlauf mit GMER machen und Log posten |
Hallo Franz, mein Problem ist nun, dass ich Windows garnicht mehr hochfahren kann. Auch nachdem ich alles rueckgaengig gemacht habe. PC bootet bis @Verifying PMA POOL Data@ und startet dann neu. hab ich was falsch gemacht_ gruss Christian |
Hast du die "alte" atapi.sys erst umbenannt und dann die frisch heruntergeladene atapi.sys an ihre Stelle kopiert (in windows\system32\drivers)? |
Hallo Franz, genau so habe ich es gemacht. Nun faehrt er nicht mehr hoch und von CD bootet er auch nur, wenn ich F8 druecke. Obwohl im BIOS zuerst CD, dann HD steht. Christian |
Hast du die umbenannte Datei, also die atapi.bad, bei Virustotal scannen können? |
Hallo Franz, habe es gerade mal gecheckt. hier das Logfile Virustotal. MD5: 9f3a2f5aa6875c72bf062c712cfa2674 Win32.Rootkit |
Beim Kopieren der sauberen Datei muss etwas schiefgegangen sein. Ein anderer Grund dafür, dass der Rechner plötzlich nicht mehr hoch fährt, kommt eigentlich nicht in Frage. Mach bitte die gesamte Prozedur mit der PartedMagic-CD noch einmal. |
Moin, hab alles nochmal gemacht, ausser die CD zu brennen. Es sieht so aus, als ob garnichtb auf die Festplatte yugegriffen wird, yum booten. was hat das mit dem mounten eigentlich auf sich? Gruss Christian |
Mounten bedeutet, deine logischen Laufwerke für Linux - du hattest ja mit einer Linux-Live-CD gebootet - zugänglich zu machen. Linux verwendet im Gegensatz zu Windows keine Buchstaben für die logischen Laufwerke, sondern bindet sie bzw. ihre Dateistruktur quasi in seine "eigene" Struktur ein. So konntest du von Linux aus auf deine Dateien auf der Festplatte zugreifen. Wenn der Rechner nach wie vor nicht von der Festplatte bootet, boote noch einmal Linux und benenne die atapi.bad wieder um in atapi.sys. Wir müssen dann noch mal aus einer anderen Richtung ran. :dummguck: |
Hallo Franz, nachdem nun doch alles wieder finktioniert, habe ich GMER nochmal gestartet. diesesmal konnte ich das Log speichern, aber danach kein Firefox starten und den PC auch nicht herunterfahren --> RESET hier das LOG Zitat:
Christian |
GMER sieht gut aus. Was hast du gemacht, um den Rechner wieder ans Laufen zu bringen? Hat das Zurückbenennen ausgereicht? |
Hallo Franz, hatte es schon vor meinem letzten Posting zurückgeändert, hat nicht geklappt. Hab dann die ganze Prozedur, wie schon geschrieben nochmal gemacht, hatte aber auch nichts gebracht. Am nächsten Tag habe ich den PC eingeschaltet und es ging. Kann aber nicht sagen warum Meinst du mein PC ist asuber, oder sollte ich noch was unternehmen? Gruss Christian |
Zitat:
Da GMER wider Erwarten keinen Hinweis auf ein Rootkit erbracht hat, möchte noch mal nachhaken: Führe dazu TDSS-Killer aus: - Download von hier - ZIP entpacken in einen eigenen Ordner - ALLE Programme schließen, v.a. Virenscanner deaktivieren! - Wenn Du aufgefordert wirst den PC neuzustarten, so drücke y um das zu tun - nach dem Neustart Log vom TDSS-Killer posten (sollte direkt auf c: liegen) Führe außerdem noch einmal aus: 1.) Malwarebytes (vorher aktualisieren), danach: 2.) RSIT, diesmal auch die info.txt posten |
Hallo Franz, hier die Logfiles Zitat:
Zitat:
Zitat:
Zitat:
Christian |
Einen weiteren Durchlauf mit Avenger bitte noch, und zwar mit folgendem Skript: Code: Registry keys to delete:Ich lege dir sehr ans Herz, auf Software-Updates zu achten! Gerade Java, der Adobe Reader und der Adobe Flash Player machen regelmäßig durch Sicherheitslücken von sich reden, die zum Einschleusen von Schädlingen ausgenutzt werden! (Der Adobe Reader lässt sich übrigens durch weniger anfällige, alternative Software wie den ebenfalls kostenlosen Foxit Reader ersetzen.) Schalte auch die automatischen Windows-Updates ein und aktiviere, sofern du nicht hinter einem NAT-fähigen Router bist, die Windows-Firewall. Aktuelle Software-Versionen findest du hier: Adobe - Adobe Flash Player Adobe - Adobe Reader herunterladen - Alle Versionen Java-Downloads für alle Betriebssysteme - Sun Microsystems (alle alten Java-Versionen zuvor über die Systemsteuerung deinstallieren!) Webbrowser Firefox auf Deutsch | Schneller, sicherer und anpassbar |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 10:49 Uhr. |
Copyright ©2000-2025, Trojaner-Board