nicht löschbare malware (19aqp.exe , lsass.exe , sdra64.exe)
 

Hallo erst Mal an alle Mitglieder des Forums.
Meine größte Sorge ist im Moment, dass ich gegen irgendwelche Forumregeln verstoße :crazy:

Ich schildere jetzt erst mal mein Problem:
Ich habe vor einigen Tagen mir ein Virus oder Malware - Programm eingefangen( Was es genau ist weiss ich nicht und es scheinen auch eher mehrere zu sein :( ).
Es fing damit an dass ich grad im Internet surfte und plötzlich ging so ein security anti malware Teil auf und scannte in zehn sekunden meinen pc...
ich konnte dass dann noch beenden aber mein lämpchen am switch blinkte die ganze zeit obwohl ich nichts runtergeladen hab oder anderswie im internet tätig war also denk ich mal dass diese Malware irgendwas runtergeladen hat...
Mein Computer hat dann auch nicht mehr reagiert(er lief noch aber er wurde immer langsamer) also hab ich ihn neugestartet.
dann hab ich gleich nach dem Start den taskmanager geöffnet und alle seltsamen prozesse beendet. Dann passierte erst mal nichts seltsames mehr und ich hab mir zonealarm runtergeladen um zu verhindern, dass das Programm noch weiter nachlädt:daumenrunter: .
Soweit so gut.
Aber immer wenn ich starte taucht im Taskmanager der Prozess 19aqp.exe und der Prozess lsass.exe auf. Beide tauchen nicht bei Ccleaner im Autostart auf und ich kann auch nur den 19aqp beenden denn bei dem lsass sagt mir der Taskmanager dass er diesen kritischen Systemprozess nicht beenden kann.
Seltsam ist außerdem dass ich keine 19aqp.exe finde(lsass.exe schon).
denn in dem Pfad den mir Avira sagt gibt es die datei gar nicht.
Was soll ich jetzt also tun ?

Zur besseren Übersicht poste ich den inhalt von log.txt und info.txt mal hier:
Erstal mal log.txt:

RSIT Logfile:
--- --- ---







und dann info.txt:



info.txtRSIT Logfile:
--- --- ---

du hast malwarebytes benutzt? dann öffnen, logdateien, log(s) posten.
ootl:
Systemscan mit OTL
download otl:
http://filepony.de/download-otl/

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt
poste beide

ok malware bytes log:
Malwarebytes' Anti-Malware 1.46
Malwarebytes

Datenbank Version: 4388

Windows 5.1.2600 Service Pack 3, v.5938
Internet Explorer 7.0.5730.13

04.08.2010 16:56:13
mbam-log-2010-08-04 (16-56-13).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 137249
Laufzeit: 6 Minute(n), 17 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 19
Infizierte Registrierungswerte: 4
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 4
Infizierte Dateien: 8

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\AppID\{84c3c236-f588-4c93-84f4-147b2abbe67b} (Adware.Adrotator) -> No action taken.
HKEY_CLASSES_ROOT\AppID\{38061edc-40bb-4618-a8da-e56353347e6d} (Adware.EZlife) -> No action taken.
HKEY_CLASSES_ROOT\AppID\{7b6a2552-e65b-4a9e-add4-c45577ffd8fd} (Adware.EZLife) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> No action taken.
HKEY_CLASSES_ROOT\adgj.aghlp (Adware.EZLife) -> No action taken.
HKEY_CLASSES_ROOT\adgj.aghlp.1 (Adware.EZLife) -> No action taken.
HKEY_CURRENT_USER\Software\Antimalware Doctor Inc (Rogue.AntimalwareDoctor) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Antimalware Doctor (Rogue.AntimalwareDoctor) -> No action taken.
HKEY_CURRENT_USER\Software\Street-Ads (Adware.Adrotator) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\$NtUninstallMTF1011$ (Adware.Adrotator) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Street-Ads (Adware.Adrotator) -> No action taken.
HKEY_CURRENT_USER\Software\SolutionAV (Rogue.AntivirSolutionPro) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{434aeee1-4b83-4606-b70f-8f9cea6a955b} (Adware.AdRotator) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{434aeee1-4b83-4606-b70f-8f9cea6a955b} (Adware.AdRotator) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\taskman (Worm.Palevo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\jgyo0w (Trojan.Downloader) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\rthdbpl (Trojan.Agent) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.UserInit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,) Good: (userinit.exe) -> No action taken.

Infizierte Verzeichnisse:
C:\Dokumente und Einstellungen\Corny\Anwendungsdaten\Street-Ads (Adware.Adrotator) -> No action taken.
C:\Dokumente und Einstellungen\Corny\Anwendungsdaten\Street-Ads\sta (Adware.Adrotator) -> No action taken.
C:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.
C:\WINDOWS\$NtUninstallMTF1011$ (Adware.Adrotator) -> No action taken.

Infizierte Dateien:
C:\Dokumente und Einstellungen\Corny\Lokale Einstellungen\Temp\gamkxw.exe (Adware.BHO) -> No action taken.
C:\Dokumente und Einstellungen\Corny\Lokale Einstellungen\Temp\d8p9ujg8.exe (Trojan.LVBP) -> No action taken.
C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> No action taken.
C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> No action taken.
C:\WINDOWS\$NtUninstallMTF1011$\apUninstall.exe (Adware.Adrotator) -> No action taken.
C:\WINDOWS\$NtUninstallMTF1011$\zrpt.xml (Adware.Adrotator) -> No action taken.
C:\Dokumente und Einstellungen\Corny\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Antimalware Doctor.lnk (Rogue.AntimalwareDoctor) -> No action taken.
C:\Dokumente und Einstellungen\Corny\Startmenü\Antimalware Doctor.lnk (Rogue.AntimalwareDoctor) -> No action taken.

hab doch geschrieben komplett scan, das ist nen quick scan