reader_s.exe in C:\Windows\System32\

lionwill · 10.08.2009, 17:19

Hallo Leute, brauche Ihren Rat!

Habe heute reader_s.exe beim scannen mit COMODO AntiVir-Programm auf meimnem Notebook entdeckt und konnte diese Datei mit COMODO aus den folgenden Verzeichnissen entfernen:

C:\Windows\System32\ und C:\Users\...\

Nach dem Entfernen dieser Datei und dem Lesen mehrerer Foren wurde mir klarer, womit ich konfrontiert wurde. Nach der Installation des HiJackThis-v2.0.2, erzeugte ich die folgende Logfile-Datei, die ich auch durch eine automatische Logfileauswertung im Intrenet HijackThis Logfileauswertung durchgejagt habe.

Meinen Fragen sind: Ist das System sauber oder gibt es dennoch versteckte manipulierte Dateien?
Muss ich dennoch das Betriebssystem neu aufsetzen?

Vielen Dank!

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:09:42, on 10.08.2009
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18813)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\RtHDVCpl.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\COMODO\COMODO Internet Security\cfp.exe
C:\Users\...\AppData\Local\Temp\RtkBtMnt.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\system32\wuauclt.exe
C:\Program Files\Acer Inc\Acer GridVista\GridVistaULH.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&s=2&o=vp32&d=1008&m=aspire_7530g
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&s=2&o=vp32&d=1008&m=aspire_7530g
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&s=2&o=vp32&d=1008&m=aspire_7530g
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Program Files\Winamp Toolbar\winamptb.dll
O2 - BHO: ShowBarObj Class - {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} - C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\ActiveToolBand.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDStoolbar.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ProductReg] "C:\Program Files\Acer\WR_PopUp\ProductReg.exe"
O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Program Files\COMODO\COMODO Internet Security\cfp.exe" -h
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O8 - Extra context menu item: &Winamp Search - C:\ProgramData\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O13 - Gopher Prefix: 
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL  C:\Windows\system32\guard32.dll
O23 - Service: NTI Backup Now 5 Agent Service (BUNAgentSvc) - NewTech Infosystems, Inc. - C:\Program Files\NewTech Infosystems\NTI Backup Now 5\Client\Agentsvc.exe
O23 - Service: CLHNService - Unknown owner - C:\Program Files\Acer Arcade Deluxe\HomeMedia\Kernel\DMP\CLHNService.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - COMODO - C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe
O23 - Service: eDataSecurity Service - Egis Incorporated - C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDSService.exe
O23 - Service: Empowering Technology Service (ETService) - Unknown owner - C:\Program Files\Acer\Empowering Technology\Service\ETService.exe
O23 - Service: Google Desktop Manager 5.7.808.7150 (GoogleDesktopManager-080708-050100) - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: MobilityService - Unknown owner - C:\Acer\Mobility Center\MobilityService.exe
O23 - Service: NTI Backup Now 5 Backup Service (NTIBackupSvc) - NewTech InfoSystems, Inc. - C:\Program Files\NewTech Infosystems\NTI Backup Now 5\BackupSvc.exe
O23 - Service: NTI Backup Now 5 Scheduler Service (NTISchedulerSvc) - Unknown owner - C:\Program Files\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software GmbH - C:\Windows\System32\TuneUpDefragService.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

--
End of file - 5915 bytes

Swisstreasure · 10.08.2009, 18:01

>>
Askbar entfernen
Start -> Einstellungen -> Systemsteuerung -> Software >
Schau ob AskBar,SrchAstt oder Ask Search Assistant dazwischen steht,entfernen

>>
Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Einträgen bei: (falls diese noch vorhanden sind)

Code:

ATTFilter

O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll

O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll

und wähle fix checked.

Starte den Rechner neu.

>>
Arbeite nun Punkt 2 aus dem Link in meiner Signatur ab und poste die Logs.

Gruss Swiss

lionwill · 10.08.2009, 22:02

Hallo Swiss, danke für die schnelle und effektive Antwort!

Eine Frage vorab, sind die Toolbars potenzielle Neste für Viren und anderes Ungeziffer?

Folgende Logs (Datei-Anhänge) wurden nach den Ausführungen der Programme erstellt:

Swisstreasure · 10.08.2009, 23:09

Nein muss nicht sein. Es gibt natürlich auch da Toolbars, welche den User ausspionieren.

Weisst Du was das hier ist: C:\_Activation__keys_dir_

>>
mache einen Onlinescan mit eset + poste den report
http://virus-protect.org/artikel/tools/eset-nod.html

>>
Mach ein Onlinescan mit Bitdefender und poste das Log:
http://virus-protect.org/artikel/tools/bitdefender.html

Gruss Swiss

lionwill · 11.08.2009, 00:55

hi Swiss, führe gerade die Onlinescann durch...

C:\_Activation__keys_dir_ ist ein leerer Ordner.

Ich habe vor kurzem versucht den Schlüssel für ein Demoprogramm im Internet zu finden, um die Zeitbegrenzung des Programms zu deaktivieren, nach erfolgloser Suche hat sich herausgestellt, dass es direkt vom Programm aus geht.

Ich vermute, das die Geschichte mit dem Virus, durch diese Suche entstanden ist.

Swisstreasure · 11.08.2009, 01:30

Und das wird dann mit diesem leeren Ordner in Verbindung stehen?
Mal schauen was die Onlinescans sagen.

Gruss Swiss

lionwill · 11.08.2009, 01:38

Hi Swiss!

Mit dem ESET Online Scanner wurde nichts gefunden.

Beim BitDefender Online Scanner konnte die Datenbank nicht aktualisiert werden und der Scannvorgang wurde abgebrochen.

Swiss, was ist dein Fazit zu meiner Angelegenheit?
Und was ist mit mehreren DLL's und .exe Dateien, die durch die automatische Logfileauswertung HijackThis Logfileauswertung der Log-Datei als schädlich gekennzeichnet worden sind?

Vielen Dank!

Swisstreasure · 11.08.2009, 01:42

Diese Einträge werden nun nicht mehr erscheinen. Poste doch mal ein neues HJT Log.

Gruss Swiss

lionwill · 11.08.2009, 01:47

soll ich das HJT oder das RSIT zur Erzeugung der Log-Datei heranziehen?

lionwill · 11.08.2009, 02:06

hier ist aktuelle Log-Datei:

Swisstreasure · 11.08.2009, 11:25

Wo siehst du denn hier noch schädliche Dateien und Einträge??

Gruss Swiss

lionwill · 11.08.2009, 14:55

wenn ich diese Log-Datei hier hochlade: HijackThis Logfileauswertung, gibt es ein paar rote Kreuze, sind die harmlos?

Gruss!

Swisstreasure · 11.08.2009, 15:59

Du musst aber nicht das ganze Log von RSIT hochladen. Dies ist nur für HJT-Log.

Hast Du denn noch Probleme?

Gruss Swiss

lionwill · 11.08.2009, 18:26

hab kapiert! probleme sind keine mehr da!

tausend Dank!!

Swisstreasure · 11.08.2009, 18:30

Gern geschehen

Happy Surfing.

Gruss Swiss

11.08.2009, 01:30	#6
Swisstreasure /// Malwareteam	$reader_s.exe in C:\Windows\System32\ - Standard$ reader_s.exe in C:\Windows\System32\ Und das wird dann mit diesem leeren Ordner in Verbindung stehen? Mal schauen was die Onlinescans sagen. Gruss Swiss

11.08.2009, 01:42	#8
Swisstreasure /// Malwareteam	$reader_s.exe in C:\Windows\System32\ - Standard$ reader_s.exe in C:\Windows\System32\ Diese Einträge werden nun nicht mehr erscheinen. Poste doch mal ein neues HJT Log. Gruss Swiss

11.08.2009, 11:25	#11
Swisstreasure /// Malwareteam	$reader_s.exe in C:\Windows\System32\ - Standard$ reader_s.exe in C:\Windows\System32\ Wo siehst du denn hier noch schädliche Dateien und Einträge?? Gruss Swiss

11.08.2009, 15:59	#13
Swisstreasure /// Malwareteam	$reader_s.exe in C:\Windows\System32\ - Standard$ reader_s.exe in C:\Windows\System32\ Du musst aber nicht das ganze Log von RSIT hochladen. Dies ist nur für HJT-Log. Hast Du denn noch Probleme? Gruss Swiss

11.08.2009, 18:30	#15
Swisstreasure /// Malwareteam	$reader_s.exe in C:\Windows\System32\ - Standard$ reader_s.exe in C:\Windows\System32\ Gern geschehen Happy Surfing. Gruss Swiss

reader_s.exe in C:\Windows\System32\

Log-Analyse und Auswertung: reader_s.exe in C:\Windows\System32\