Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: SDFix ändert die falschen Einträge in meinen Servicen

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 19.08.2008, 22:51   #1
2five
 
SDFix ändert die falschen Einträge in meinen Servicen - Standard

SDFix ändert die falschen Einträge in meinen Servicen



Hi all, es scheint so als hätte ich nen kleinen virus am pc...

und zwar, ich hatte ungefair so ähnlich wie
http://www.trojaner-board.de/50537-blauer-hintergrund-und-meldung-warning-spyware-detected-your-computer.html
den virus mit "blauer bildschirm blablabla", ich habe sofort im taskmanager die prozesse die ich nicht kannte beendet, und erstmal im abgesicherten modus hochgefahren.
dort hab ich dann im msconfig die unbekannten autostarts entfernt,
im autostart ordner geschaut ob etwas drin ist - dem war nicht so,
in den geplanten task geschaut - war au nix,
und schließlich die dienste durchgeschaut - au nix...

sodelle, also konnte ich normal hochfahren ohne ein "virus" laufen zu haben.
jetzt waren noch die registry einträge geändert worden vom "virus" wesshalb ich den desktop hintergrund nicht ändern konnte und den super tollen bildschirmschoner aka fake bluescreen... das übliche halt.

also hab ich mit sdfix besorgt und mal schön durchlaufen lassen.
danach, ging (auf den ersten blick) alles wieder.
wenn ich genauer hinschaute dann kann ich jetzt mit meinem netzwerkpc mehr auf meinen zugreifen.

im SDFix-log steht:

Zitat:
SDFix: Version 1.218
Run by S***** on 19.08.2008 at 21:53

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File
Restoring Default Desktop Wallpaper
Restoring Default ScreenSaver value
Restoring Missing Security Center Service
Restoring Missing SharedAccess Service

Rebooting


Checking Files :

Trojan Files Found:

C:\WINDOWS\system32\lphc962j0ev5v.exe - Deleted
C:\WINDOWS\SYSTEM32\PHC962~1.BMP - Deleted
C:\WINDOWS\system32\blphc962j0ev5v.scr - Deleted
C:\DOKUME~1\Sascha\LOKALE~1\Temp\.tt9.tmp - Deleted
C:\DOKUME~1\Sascha\LOKALE~1\Temp\.ttC.tmp - Deleted
C:\WINDOWS\system32\a.exe - Deleted
C:\WINDOWS\system32\admdll.dll - Deleted



Folder C:\Dokumente und Einstellungen\Sascha\Anwendungsdaten\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#w*w.redtube.com - Removed


Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-19 21:58:07
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
"h0"=dword:00000002

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"p0"="C:\Programme\Alcohol Soft\Alcohol 120\"
"h0"=dword:00000001
"ujdew"=hex:a2,17,68,3e,6a,60,1c,85,1c,50,9e,c7,81,69,67,27,c0,7d,d9,fe,13,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Programme\DAEMON Tools Lite\"
"h0"=dword:00000000
"khjeh"=hex:f6,f4,1f,ae,27,bc,f3,88,c4,32,12,1e,83,96,4b,5e,b6,78,63,71,fd,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,f7,1b,5d,81,ac,d4,6a,87,4b,41,bf,47,69,75,bf,43,e9,..
"khjeh"=hex:8d,2b,2a,93,34,3b,0a,1e,8a,a9,dc,04,49,32,14,37,6b,ad,61,01,7a,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:43,db,29,22,41,5f,8d,5f,04,40,62,e2,79,77,10,ca,0c,b3,89,fc,02,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"p0"="C:\Programme\Alcohol Soft\Alcohol 120\"
"h0"=dword:00000001
"ujdew"=hex:a2,17,68,3e,6a,60,1c,85,1c,50,9e,c7,81,69,67,27,c0,7d,d9,fe,13,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Programme\DAEMON Tools Lite\"
"h0"=dword:00000000
"khjeh"=hex:f6,f4,1f,ae,27,bc,f3,88,c4,32,12,1e,83,96,4b,5e,b6,78,63,71,fd,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,f7,1b,5d,81,ac,d4,6a,87,4b,41,bf,47,69,75,bf,43,e9,..
"khjeh"=hex:8d,2b,2a,93,34,3b,0a,1e,8a,a9,dc,04,49,32,14,37,6b,ad,61,01,7a,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:43,db,29,22,41,5f,8d,5f,04,40,62,e2,79,77,10,ca,0c,b3,89,fc,02,..

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher]
"TracesProcessed"=dword:00000095
"TracesSuccessful"=dword:00000003

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

Remaining Files :


File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes :

Thu 27 Mar 2008 24 ..SH. --- "C:\WINDOWS\SB6BED993.tmp"
Fri 28 Mar 2008 88 ..SHR --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ADBC368447.sys"
Mon 18 Aug 2008 4,182 A.SH. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\KGyGaAvL.sys"
Tue 19 Aug 2008 165,232 A..H. --- "C:\Dokumente und Einstellungen\Sascha\Anwendungsdaten\Microsoft\Virtual PC\VPCKeyboard.dll"
Sat 24 May 2008 1,714 ...HR --- "C:\Dokumente und Einstellungen\Sascha\Anwendungsdaten\SecuROM\UserData\securom_v7_01.bak"

Finished!

ich vermute mal einfach der hat mir meine schönen dienste zerschossen.
denn ich habe nun in meinen diensten 2 neue einträge zum einen ein "Security Center" und ein "Windows Firewall/Internet Connection Sharing (ICS)
ihr merkt schon diese dienste sind beide english und wenn man sieht öffnet kommt:
Konfigurations-Manager: Die angegebene Gerätezugriffsnummer netspricht keinem vorhandenen Gerät.


das war jetzt erstmal viel text, aber ich denke so könnt ihr euch am besten in mein problem hineinversetzen.
fals ihr noch irgendwelche materialien braucht, logs, screens oder desktopvideos dann sagt bescheid

vielen vielen dank schonmal

grüße 2five

(ps: japp ich war auf redtube :P ja und *g* next time wenn ich surfen will mach ich das über nen virtualpc...)

Alt 21.08.2008, 15:05   #2
2five
 
SDFix ändert die falschen Einträge in meinen Servicen - Standard

SDFix ändert die falschen Einträge in meinen Servicen



*up* (hoffe das is hier erlaubt, aber die anfrage ist immernoch brandaktuell)
__________________


Alt 21.08.2008, 15:24   #3
myrtille
/// TB-Ausbilder
 
SDFix ändert die falschen Einträge in meinen Servicen - Standard

SDFix ändert die falschen Einträge in meinen Servicen



Hi,

was hat dich denn dazu bewogen SDFix laufen lassen?

Wie sieht es aus, wenn du die Dienste deaktvierst?

lg myrtille
__________________
__________________

Alt 21.08.2008, 17:44   #4
2five
 
SDFix ändert die falschen Einträge in meinen Servicen - Standard

SDFix ändert die falschen Einträge in meinen Servicen



hi myrtille,

also wie ich oben geschrieben hatte, ich hatte einen virus angriff
ich hab zum glück schnell genug reagiert und nichts falsches geklickt so das nur in der registry die einträge verändert worden sind
(In der "Anzeige" wurden die registerkarten bildschirmschoner und Desktop entfernt, im hintergrund war nen blaues bild mit ner nachricht: blabla, virus gefahr, blabla, installier ein anti virus tool,blabla *g*
und zeitgleich dazu kam ein dialog zum installieren von anti virus 2008 ;D
und der bildschirmschoner war ein bluescreen als bild gespeichert.... also ziemlich sinnfrei programmiert das ding... *g*

also ich wollte nur die reg einträge back haben
und da hab ich hier im forum gelesen das einer das gleiche prob hatte wie ich und du hast ihm das programm empfohlen, also nahm ichs auch.
und peng reg war ok, aber der rest war "zu gut gemeint" vom programm ^^

die 2 service die er hinzugefügt hat sind deaktiviert, aber ich kann trotzdem nicht auf meinen pc zugreifen von anderen computern...
und ganz erlich, neuinstalliern würd ich ganz gern vermeiden...

was kann ich dir noch geben damit du mir vieleicht helfen kannst?
kann ich nen backup von dem programm wiederherstellen?
im ordner davon steht nämlich: backup.....

gruß 2five

Alt 21.08.2008, 18:31   #5
myrtille
/// TB-Ausbilder
 
SDFix ändert die falschen Einträge in meinen Servicen - Standard

SDFix ändert die falschen Einträge in meinen Servicen



Heya,

der TO hatte in dem Thread ganz andere Probleme, gegen die ich ihm SDFix empfohlen hab. SDFix ist für deine Art von Befall eine eher ungewöhnliche Wahl.

Aber egal, es gibt ein Backup von SDFix mit dem man die Registry von vorm der Bereinigun wieder herstellen kann:
Gib dafür unter Start-> Ausführen folgendes ein:

%SystemRoot%\ERUNT\SDFix\ERDNT.EXE

Lasse nach dem Einspielen des Backups bitte malwarebytes über deinen Rechner laufen und poste das Ergebnis des Scans hier.

lg myrtille

__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Alt 22.08.2008, 23:15   #6
2five
 
SDFix ändert die falschen Einträge in meinen Servicen - Standard

SDFix ändert die falschen Einträge in meinen Servicen



sodelle
hab alles gemacht was du mir gesagt hast:
das backup hab ich im abgesicherten modus ausgeführt, funktionierte
die "virus"änderungen in der registry waren wieder da + meine guten dienste !!!!
und nach 5 stunden hier das ergebnis von Malware :

Zitat:
Malwarebytes' Anti-Malware 1.25
Datenbank Version: 1076
Windows 5.1.2600 Service Pack 2

23:51:18 22.08.2008
mbam-log-08-22-2008 (23-51-11).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|H:\|I:\|)
Durchsuchte Objekte: 262204
Laufzeit: 4 hour(s), 58 minute(s), 55 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 4
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> No action taken.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\Control Panel\Desktop\wallpaper (Hijack.Wallpaper) -> No action taken.
HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> No action taken.
HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper (Hijack.Wallpaper) -> No action taken.
HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe (Hijack.Wallpaper) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispScrSavPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
hab dann alle korrigieren lassen
und es "scheint" so als würde nun alles funktionieren,
ich kann per netzwerk auf den pc zugreifen und nun muss ein langzeittest beweisen ob es wirklich alles im lot is ;D

ich danke dir vielmals

kannst du mir mal eben erklären wofür SDFix normalerweise ist?
und ich denk mal wenn ich wieder was hab dann eher mit malware wa?

gruß 2five

Alt 22.08.2008, 23:24   #7
myrtille
/// TB-Ausbilder
 
SDFix ändert die falschen Einträge in meinen Servicen - Standard

SDFix ändert die falschen Einträge in meinen Servicen



SDFix ist ein Fixtool für den SDBot... eigentlich ist der Name recht eindeutig.

Malwarebytes ist derzeit nen sehr gutes Tool, mit dem man einen Großteil der Infektionen, die die Antivirenprogramme nicht sehen auffinden kann.
Es ist vor allem kein Tool, dass sich auf eine Sorte von Befällen spezialisiert hat, weswegen es eigentlich nie "ganz falsch" ist.

Das Programm empfehle ich eigentlich meist ohne Einschränkung, auch wenn es natürlich immer die Möglichkeit gibt, dass ein Fehler auftritt.

Der Programmierer des Tools meint übrigens, dass in 99% Fälle ein Quickscan reicht, weil eigentlich alle Befälle auch so gefunden werden. Falls du das nächste mal nicht 6 Stunden warten willst.

lg myrtille
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Geändert von myrtille (23.08.2008 um 00:24 Uhr) Grund: verben hinzugefügt :balla: Deutsch Sprach...

Alt 22.08.2008, 23:49   #8
2five
 
SDFix ändert die falschen Einträge in meinen Servicen - Standard

SDFix ändert die falschen Einträge in meinen Servicen



suuuuper dann bin ich jetzt auch etwas informiert ^^

ach ich wollt mal komplett scannen
und ich hatte eh noch 2 weitere pcs daheim, von daher also kein problem

kleine info noch: nach dem backup vom SDFix war meine "LAN-Verbindung" fehlerhaft, ich musste sie reparieren, also die ganzen protokolle von der verbindung neu hinzugefügt... keine ahnung warum das weg war...
auf jedenfall gehts ja jetzt (bis jetzt )

grüßli 2five!

Alt 23.08.2008, 00:26   #9
myrtille
/// TB-Ausbilder
 
SDFix ändert die falschen Einträge in meinen Servicen - Standard

SDFix ändert die falschen Einträge in meinen Servicen



Na dann drücken wir dir doch mal die Daumen, dass alles so bleibt wie es ist.

Malwarebytes ist ein Programm, dass zusätzlich zu Antivirenprogrammen genutzt werden sollte, es ersetzt diese nicht. Wollt ich nurmal erwähnt haben.

lg myrtille
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Antwort

Themen zu SDFix ändert die falschen Einträge in meinen Servicen
abgesicherten modus, application, bildschirm, bildschirmschoner, bluescree, controlset002, desktop, einstellungen, fake, flash player, kgygaavl.sys, malware, neue, ordner, problem, programme, prozesse, registry, saver, scan, screensaver, security, software, super, surfen, system, taskmanager, temp, vielen dank, virus, wallpaper, windows, windows xp, ändern, öffnet



Ähnliche Themen: SDFix ändert die falschen Einträge in meinen Servicen


  1. Verbindungsabrüche bei verschiedenen Servicen
    Plagegeister aller Art und deren Bekämpfung - 29.01.2015 (21)
  2. BKA MAil mit falschen Absender Virus?
    Plagegeister aller Art und deren Bekämpfung - 16.04.2014 (5)
  3. VLC von der falschen Seite geladen..
    Plagegeister aller Art und deren Bekämpfung - 27.01.2014 (9)
  4. Google öffnet die falschen Links
    Plagegeister aller Art und deren Bekämpfung - 10.03.2013 (20)
  5. Suchmaschinenergebnisse führen zu falschen Seiten!
    Log-Analyse und Auswertung - 02.11.2012 (29)
  6. Booten vom falschen Controller Raid
    Netzwerk und Hardware - 23.10.2012 (7)
  7. SDfix startet nicht (vs. winudpmgr.exe Trojaner)
    Antiviren-, Firewall- und andere Schutzprogramme - 04.06.2010 (3)
  8. falschen Admin gelöscht
    Alles rund um Windows - 28.01.2010 (6)
  9. Warum ändert sich meine Uhrzeit und das Datum jedesmal wenn ich meinen PC hochfahre?
    Plagegeister aller Art und deren Bekämpfung - 28.07.2009 (9)
  10. ALG.EXE-Datei im falschen Ordner?
    Plagegeister aller Art und deren Bekämpfung - 30.05.2009 (5)
  11. Google-Links führen zu falschen Seiten
    Log-Analyse und Auswertung - 12.05.2009 (0)
  12. Trojaner (mglw Generic!atr) blockiert McAfee und SDFix
    Plagegeister aller Art und deren Bekämpfung - 03.03.2009 (0)
  13. nach ''sdfix.exe'' spyware warnung
    Plagegeister aller Art und deren Bekämpfung - 23.10.2008 (2)
  14. Google verlinkt zu falschen Seiten
    Log-Analyse und Auswertung - 03.10.2008 (16)
  15. Das leidige problem mit falschen verlinkungen im ie7
    Plagegeister aller Art und deren Bekämpfung - 05.05.2007 (12)
  16. Icons in der Systemsteuerung am falschen Platz
    Alles rund um Windows - 16.09.2006 (13)

Zum Thema SDFix ändert die falschen Einträge in meinen Servicen - Hi all, es scheint so als hätte ich nen kleinen virus am pc... und zwar, ich hatte ungefair so ähnlich wie http://www.trojaner-board.de/50537-blauer-hintergrund-und-meldung-warning-spyware-detected-your-computer.html den virus mit "blauer bildschirm blablabla", ich habe - SDFix ändert die falschen Einträge in meinen Servicen...
Archiv
Du betrachtest: SDFix ändert die falschen Einträge in meinen Servicen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.