Trojaner-Board - SDRA64.exe, Trojan-Downloader.Win32.Piker.ciq

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - SDRA64.exe, Trojan-Downloader.Win32.Piker.ciq (https://www.trojaner-board.de/88570-sdra64-exe-trojan-downloader-win32-piker-ciq.html)

SDRA64.exe, Trojan-Downloader.Win32.Piker.ciq

Guten Morgen an alle,
gestern hat Kaspersky in

Zitat:

C:\Dokumente und Einstellungen\***\Anwendungsdaten

die Datei sdra64.exe als Trojan-Downloader.Win32.Piker.ciq erkannt.

Im Thema http://www.trojaner-board.de/86164-sdra64-exe.htmlwird wird die Datei als Zbot erkannt, allerdings war sie in dem Fall (und in jedem anderen, den ich über Google gefunden habe) in System32 zu finden.

Ich habe danach einen vollständigen Scan mit Kaspersky ausgeführt, allerdings mangels Zeit abgebrochen (48+ Stunden :/).
Hier die Ergebnisse in der Zeit
http://www4.pic-upload.de/23.07.10/tbwekcuc66if.png

Seit dem Virenfund ist der PC 2 mal ohne ersichtlichen Grund neugestartet und hatte einmal einen Bluescreen (hatte das vor ca. 1 Jahr schonmal, bevor ich das System neu aufgesetzt habe, ist er alle paar Stunden ohne Grund neugestartet)
Nach dem zweiten Neustart hatte Kaspersky ein neues Programm gefunden und analysiert
http://www4.pic-upload.de/23.07.10/1z56ugvqg19.png

Außerdem versucht Windows seit etwa 3 Tagen Sicherheitsupdates zu installieren, habe sie auch installiert, aber die Meldung "Neue Updates verfügbar" erscheint immer wieder (mit den selben Updates)
http://www4.pic-upload.de/23.07.10/kwrskmd762v.png

---

Zuletzt habe ich CCleaner durchlaufen lassen, einen Malwarebytes Quick Scan und RSIT

Hier die Logs:

Malwarebytes

Zitat:

Malwarebytes' Anti-Malware 1.46
w*w.malwarebytes.org

Datenbank Version: 4339

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

22.07.2010 21:12:58
mbam-log-2010-07-22 (21-12-58).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 129393
Laufzeit: 8 Minute(n), 7 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Die RSIT Info.txt und Log.txt habe ich wegen der Länge als Anhang angefügt.

Ich bedanke mich im vorraus für jegliche Hilfe.

mfg

Hallo,

bitte nen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Doppelklick auf die OTL.exe
Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
Unter Extra Registry, wähle bitte Use SafeList
Klicke nun auf Run Scan links oben
Wenn der Scan beendet wurde werden 2 Logfiles erstellt
Poste die Logfiles hier in den Thread.

Hallo Arne, danke für deine Hilfe.

Malwarebytes:

Code:

Malwarebytes' Anti-Malware 1.46

w*w.malwarebytes.org
 

Datenbank Version: 4343
 

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702
 

24.07.2010 16:56:20

mbam-log-2010-07-24 (16-56-20).txt
 

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)

Durchsuchte Objekte: 394543

Laufzeit: 4 Stunde(n), 42 Minute(n), 40 Sekunde(n)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 11
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

C:\Dokumente und Einstellungen\***\Desktop\Laptop\new1\download\emu.exe (Spyware.Passwords) -> Quarantined and deleted successfully.

C:\Dokumente und Einstellungen\***\Desktop\Paddy\sichern\eigenedateien\test.exe (Backdoor.RBot) -> Quarantined and deleted successfully.

C:\Dokumente und Einstellungen\***\Desktop\Neuer Ordner\test\test.exe (Backdoor.RBot) -> Quarantined and deleted successfully.

C:\Dokumente und Einstellungen\***\Eigene Dateien\Downloads\germanpatch\lang.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.

C:\Dokumente und Einstellungen\***\Eigene Dateien\Reconnector\nc.exe (PUP.KeyLogger) -> Quarantined and deleted successfully.

C:\Programme\HypreCam Toolbar\somoto.dll (Adware.EcoBar) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{6304AB27-F670-4352-8453-DAF47634969E}\RP128\A0041207.exe (Trojan.Agent) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{6304AB27-F670-4352-8453-DAF47634969E}\RP128\A0041215.exe (Trojan.Agent) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{6304AB27-F670-4352-8453-DAF47634969E}\RP128\A0041218.exe (Trojan.Agent) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{6304AB27-F670-4352-8453-DAF47634969E}\RP128\A0041226.exe (Trojan.Agent) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{6304AB27-F670-4352-8453-DAF47634969E}\RP81\A0021068.exe (PUP.KeyLogger) -> Quarantined and deleted successfully.

Die nc.exe, die MBAM gelöscht hat, war teil eines Programmes, um eine neue IP (bei fritz.box) zu erhalten.
Wenn diese Datei schädlich ist - kennst du eine Alternative für mich?

Die OTL Logs waren zu groß für den Anhang, hier die Links :
hxxp://www.file-upload.net/download-2694724/OTL.Txt.html
hxxp://www.file-upload.net/download-2694725/Extras.Txt.html

mfg

Die nc.exe ist ein Fehlalarm, die wird idR auch von Cryptload benutzt.

Zitat:

C:\Dokumente und Einstellungen\***\Desktop\Paddy\sichern\eigenedateien\test.exe (Backdoor.RBot) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Desktop\Neuer Ordner\test\test.exe (Backdoor.RBot) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Eigene Dateien\Downloads\germanpatch\lang.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.

Was ist test.exe und was genau soll ein "germanpatch" sein?

Der germanpatch sollte wohl die englische Version von Anno 1701 auf Deutsch einstellen - geklappt hats nicht :/
Was diese test.exe bewirkt, weiß ich nichtmehr..

mfg

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

:OTL

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://tr.nopp.co.kr/index.asp

IE - HKCU\..\URLSearchHook:  - Reg Error: Key error. File not found

IE - HKCU\..\URLSearchHook: {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll (ICQ)

FF - prefs.js..browser.search.defaultenginename: "ICQ Search"

FF - prefs.js..browser.search.selectedEngine: "Google"

FF - prefs.js..browser.startup.homepage: "http://start.icq.com/"

O32 - AutoRun File - [2010.04.06 19:17:55 | 000,000,000 | R--D | M] - F:\Autoplay -- [ UDF ]

O32 - AutoRun File - [2010.04.06 19:17:57 | 003,048,072 | R--- | M] () - F:\autorun.exe -- [ UDF ]

O32 - AutoRun File - [2010.04.06 19:17:57 | 000,000,050 | R--- | M] () - F:\autorun.inf -- [ UDF ]

O33 - MountPoints2\{e583c981-7bd0-11df-a806-00248c37cb97}\Shell - "" = AutoRun

O33 - MountPoints2\{e583c981-7bd0-11df-a806-00248c37cb97}\Shell\AutoRun - "" = Auto&Play

O33 - MountPoints2\{e583c981-7bd0-11df-a806-00248c37cb97}\Shell\AutoRun\command - "" = F:\autorun.exe -- [2010.04.06 19:17:57 | 003,048,072 | R--- | M] ()

[2010.07.23 14:37:11 | 185,600,232 | ---- | C] (Macrovision Corporation) -- C:\Dokumente und Einstellungen\***\Desktop\anno1701_patch104_ger.exe

[2010.07.23 14:29:16 | 096,548,530 | ---- | C] (                                                            ) -- C:\Dokumente und Einstellungen\***\Desktop\D.E.A.P.!70!V2.02.exe

[2010.07.06 17:11:15 | 000,000,032 | ---- | M] () -- C:\WINDOWS\0

[2010.07.06 17:09:56 | 000,000,000 | ---- | M] () -- C:\WINDOWS\System32\0

:Commands

[purity]

[resethosts]

[emptytemp]

Klick dann auf den Button Run Fixes!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Nach dem Neustart kamen einige Fehler...
Hier ein Bild : hxxp://img3.imagebanana.com/img/k17o204s/fehler.png

OTL Log:

Code:

All processes killed

========== OTL ==========

HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page| /E : value set successfully!

Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\\ deleted successfully.

Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\\{855F3B16-6D32-4fe6-8A56-BBB695989046} deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{855F3B16-6D32-4fe6-8A56-BBB695989046}\ deleted successfully.

C:\Programme\ICQ6Toolbar\ICQToolBar.dll moved successfully.

Prefs.js: "ICQ Search" removed from browser.search.defaultenginename

Prefs.js: "Google" removed from browser.search.selectedEngine

Prefs.js: "hxxp://start.icq.com/" removed from browser.startup.homepage

File  not found.

File move failed. F:\autorun.exe scheduled to be moved on reboot.

File move failed. F:\autorun.inf scheduled to be moved on reboot.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e583c981-7bd0-11df-a806-00248c37cb97}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e583c981-7bd0-11df-a806-00248c37cb97}\ not found.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e583c981-7bd0-11df-a806-00248c37cb97}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e583c981-7bd0-11df-a806-00248c37cb97}\ not found.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e583c981-7bd0-11df-a806-00248c37cb97}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e583c981-7bd0-11df-a806-00248c37cb97}\ not found.

File move failed. F:\autorun.exe scheduled to be moved on reboot.

File C:\Dokumente und Einstellungen\Besitzer\Desktop\anno1701_patch104_ger.exe not found.

File C:\Dokumente und Einstellungen\Besitzer\Desktop\D.E.A.P.!70!V2.02.exe not found.

C:\WINDOWS\0 moved successfully.

C:\WINDOWS\system32\0 moved successfully.

========== COMMANDS ==========

C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.

HOSTS file reset successfully

 

[EMPTYTEMP]

 

User: All Users

 

User: Besitzer

->Temp folder emptied: 3272805435 bytes

->Temporary Internet Files folder emptied: 3940046 bytes

->Java cache emptied: 1313 bytes

->FireFox cache emptied: 62618939 bytes

->Opera cache emptied: 0 bytes

->Flash cache emptied: 7190 bytes

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

->Flash cache emptied: 41620 bytes

 

User: LocalService

->Temp folder emptied: 66016 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

User: NetworkService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 1138654 bytes

%systemroot%\System32 .tmp files removed: 102791 bytes

%systemroot%\System32\dllcache .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 217860936 bytes

RecycleBin emptied: 280411 bytes

 

Total Files Cleaned = 3.394,00 mb

 

 

OTL by OldTimer - Version 3.2.9.1 log created on 07262010_175004
 

Files\Folders moved on Reboot...

File\Folder F:\autorun.exe not found!

File\Folder F:\autorun.inf not found!
 

Registry entries deleted on Reboot...

Zum Log : Habe kein Laufwerk F:\

Zitat:

File C:\Dokumente und Einstellungen\Besitzer\Desktop\anno1701_patch104_ger.exe not found.
File C:\Dokumente und Einstellungen\Besitzer\Desktop\D.E.A.P.!70!V2.02.exe not found.

Habe ich beide gelöscht, ersteres ist der Patch vom Entwicklerstudio, das zweite ist ein Mod für Anno (beides nie ausgeführt, falls das hilft)

-- Wenn ich die ganzen Fehler sehe, halte ich es langsam für sinnvoll, das System neu aufzusetzen..
Denkst du es ist ohne riesigen Aufwand möglich, das System zu bereinigen?

Ein Bekannter hat mir Ubuntu empfohlen, ich habe mich darüber informiert - und Wine bietet alles, was ich benötige, um Windows zu ersetzen.
Für Anwendungen, die auf Wine partout nicht laufen, würde ich auf eine weitere Partition Windows installieren.
Hälst du diese Aufteilung für sinnvoll?

mfg

Zitat:

Ein Bekannter hat mir Ubuntu empfohlen, ich habe mich darüber informiert - und Wine bietet alles, was ich benötige, um Windows zu ersetzen.
Für Anwendungen, die auf Wine partout nicht laufen, würde ich auf eine weitere Partition Windows installieren.
Hälst du diese Aufteilung für sinnvoll?

Wenn das für Dich ok ist, dann nimm Ubuntu, ich setze es auch viel ein, fast nur noch und Windows boote ich bei mir zuhause fast garnicht mehr :)

Alles klar, dann werde ich das wohl machen.
Kannst du mir ein paar Tipps geben - sollte ich etwas bestimmtes bei Ubuntu zuerst machen?
Muss ich beim Datensichern auf etwas bestimmtes achten?
(Auf der zweiten Windows Partition würde ich keine Extra Firewall installieren - allerdings habe ich dort auch nicht vor zu surfen oder irgendetwas herunterzuladen)

mfg

Bei der Installation bzw. nach der Installation von Ubuntu ist das nicht so wie bei Windows.
Windows muss erstmal mit allen möglichen Programmen "betankt" werden, da es nach der Installation quasi nackt ist. Hast Du bei Ubuntu nicht, es ist auch gleich von vornherein sicher konfiguriert, Virenscanner und Software-Firewall wären unter Linux Nonsens.

Lies mal hier => Ubuntu Installation ? Wiki ? ubuntuusers.de

Du solltest allerdings erst Windows installieren, dann Ubuntu. Lass bei der Windows-Installation Platz über für Ubuntu, dann musst Du später nicht die Partitionen verkleinern, was immer mit einem kleineren Risiko verbunden ist.

Gut, dann nutze ich die Anleitung dort.

Vielen Dank für die Mühe.