Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: reader_s.exe in C:\Windows\System32\

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 10.08.2009, 18:19   #1
lionwill
 
reader_s.exe in C:\Windows\System32\ - Standard

reader_s.exe in C:\Windows\System32\



Hallo Leute, brauche Ihren Rat!

Habe heute reader_s.exe beim scannen mit COMODO AntiVir-Programm auf meimnem Notebook entdeckt und konnte diese Datei mit COMODO aus den folgenden Verzeichnissen entfernen:

C:\Windows\System32\ und C:\Users\...\

Nach dem Entfernen dieser Datei und dem Lesen mehrerer Foren wurde mir klarer, womit ich konfrontiert wurde. Nach der Installation des HiJackThis-v2.0.2, erzeugte ich die folgende Logfile-Datei, die ich auch durch eine automatische Logfileauswertung im Intrenet HijackThis Logfileauswertung durchgejagt habe.

Meinen Fragen sind: Ist das System sauber oder gibt es dennoch versteckte manipulierte Dateien?
Muss ich dennoch das Betriebssystem neu aufsetzen?

Vielen Dank!

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:09:42, on 10.08.2009
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18813)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\RtHDVCpl.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\COMODO\COMODO Internet Security\cfp.exe
C:\Users\...\AppData\Local\Temp\RtkBtMnt.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\system32\wuauclt.exe
C:\Program Files\Acer Inc\Acer GridVista\GridVistaULH.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&s=2&o=vp32&d=1008&m=aspire_7530g
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&s=2&o=vp32&d=1008&m=aspire_7530g
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&s=2&o=vp32&d=1008&m=aspire_7530g
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Program Files\Winamp Toolbar\winamptb.dll
O2 - BHO: ShowBarObj Class - {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} - C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\ActiveToolBand.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDStoolbar.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ProductReg] "C:\Program Files\Acer\WR_PopUp\ProductReg.exe"
O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Program Files\COMODO\COMODO Internet Security\cfp.exe" -h
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O8 - Extra context menu item: &Winamp Search - C:\ProgramData\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O13 - Gopher Prefix: 
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL  C:\Windows\system32\guard32.dll
O23 - Service: NTI Backup Now 5 Agent Service (BUNAgentSvc) - NewTech Infosystems, Inc. - C:\Program Files\NewTech Infosystems\NTI Backup Now 5\Client\Agentsvc.exe
O23 - Service: CLHNService - Unknown owner - C:\Program Files\Acer Arcade Deluxe\HomeMedia\Kernel\DMP\CLHNService.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - COMODO - C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe
O23 - Service: eDataSecurity Service - Egis Incorporated - C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDSService.exe
O23 - Service: Empowering Technology Service (ETService) - Unknown owner - C:\Program Files\Acer\Empowering Technology\Service\ETService.exe
O23 - Service: Google Desktop Manager 5.7.808.7150 (GoogleDesktopManager-080708-050100) - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: MobilityService - Unknown owner - C:\Acer\Mobility Center\MobilityService.exe
O23 - Service: NTI Backup Now 5 Backup Service (NTIBackupSvc) - NewTech InfoSystems, Inc. - C:\Program Files\NewTech Infosystems\NTI Backup Now 5\BackupSvc.exe
O23 - Service: NTI Backup Now 5 Scheduler Service (NTISchedulerSvc) - Unknown owner - C:\Program Files\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software GmbH - C:\Windows\System32\TuneUpDefragService.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

--
End of file - 5915 bytes
         

Alt 10.08.2009, 19:01   #2
Swisstreasure
/// Malwareteam
 
reader_s.exe in C:\Windows\System32\ - Standard

reader_s.exe in C:\Windows\System32\



>>
Askbar entfernen
Start -> Einstellungen -> Systemsteuerung -> Software >
Schau ob AskBar,SrchAstt oder Ask Search Assistant dazwischen steht,entfernen

>>
Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Einträgen bei: (falls diese noch vorhanden sind)

Code:
ATTFilter
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll

O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
         
und wähle fix checked.

Starte den Rechner neu.

>>
Arbeite nun Punkt 2 aus dem Link in meiner Signatur ab und poste die Logs.

Gruss Swiss
__________________


Alt 10.08.2009, 23:02   #3
lionwill
 
reader_s.exe in C:\Windows\System32\ - Standard

reader_s.exe in C:\Windows\System32\



Hallo Swiss, danke für die schnelle und effektive Antwort!

Eine Frage vorab, sind die Toolbars potenzielle Neste für Viren und anderes Ungeziffer?

Folgende Logs (Datei-Anhänge) wurden nach den Ausführungen der Programme erstellt:
__________________
Angehängte Dateien
Dateityp: txt log.txt (65,0 KB, 319x aufgerufen)
Dateityp: txt info.txt (22,1 KB, 352x aufgerufen)
Dateityp: txt mbam-log-2009-08-10 (22-24-23).txt (1,2 KB, 216x aufgerufen)

Alt 11.08.2009, 00:09   #4
Swisstreasure
/// Malwareteam
 
reader_s.exe in C:\Windows\System32\ - Standard

reader_s.exe in C:\Windows\System32\



Nein muss nicht sein. Es gibt natürlich auch da Toolbars, welche den User ausspionieren.

Weisst Du was das hier ist: C:\_Activation__keys_dir_

>>
mache einen Onlinescan mit eset + poste den report
http://virus-protect.org/artikel/tools/eset-nod.html

>>
Mach ein Onlinescan mit Bitdefender und poste das Log:
http://virus-protect.org/artikel/tools/bitdefender.html

Gruss Swiss

Alt 11.08.2009, 01:55   #5
lionwill
 
reader_s.exe in C:\Windows\System32\ - Standard

reader_s.exe in C:\Windows\System32\



hi Swiss, führe gerade die Onlinescann durch...

C:\_Activation__keys_dir_ ist ein leerer Ordner.

Ich habe vor kurzem versucht den Schlüssel für ein Demoprogramm im Internet zu finden, um die Zeitbegrenzung des Programms zu deaktivieren, nach erfolgloser Suche hat sich herausgestellt, dass es direkt vom Programm aus geht.

Ich vermute, das die Geschichte mit dem Virus, durch diese Suche entstanden ist.


Alt 11.08.2009, 02:30   #6
Swisstreasure
/// Malwareteam
 
reader_s.exe in C:\Windows\System32\ - Standard

reader_s.exe in C:\Windows\System32\



Und das wird dann mit diesem leeren Ordner in Verbindung stehen?
Mal schauen was die Onlinescans sagen.

Gruss Swiss

Alt 11.08.2009, 02:38   #7
lionwill
 
reader_s.exe in C:\Windows\System32\ - Standard

reader_s.exe in C:\Windows\System32\



Hi Swiss!

Mit dem ESET Online Scanner wurde nichts gefunden.

Beim BitDefender Online Scanner konnte die Datenbank nicht aktualisiert werden und der Scannvorgang wurde abgebrochen.

Swiss, was ist dein Fazit zu meiner Angelegenheit?
Und was ist mit mehreren DLL's und .exe Dateien, die durch die automatische Logfileauswertung HijackThis Logfileauswertung der Log-Datei als schädlich gekennzeichnet worden sind?

Vielen Dank!

Alt 11.08.2009, 02:42   #8
Swisstreasure
/// Malwareteam
 
reader_s.exe in C:\Windows\System32\ - Standard

reader_s.exe in C:\Windows\System32\



Diese Einträge werden nun nicht mehr erscheinen. Poste doch mal ein neues HJT Log.

Gruss Swiss

Alt 11.08.2009, 02:47   #9
lionwill
 
reader_s.exe in C:\Windows\System32\ - Standard

reader_s.exe in C:\Windows\System32\



soll ich das HJT oder das RSIT zur Erzeugung der Log-Datei heranziehen?

Alt 11.08.2009, 03:06   #10
lionwill
 
reader_s.exe in C:\Windows\System32\ - Standard

reader_s.exe in C:\Windows\System32\



hier ist aktuelle Log-Datei:
Angehängte Dateien
Dateityp: txt log.txt (65,7 KB, 279x aufgerufen)

Alt 11.08.2009, 12:25   #11
Swisstreasure
/// Malwareteam
 
reader_s.exe in C:\Windows\System32\ - Standard

reader_s.exe in C:\Windows\System32\



Wo siehst du denn hier noch schädliche Dateien und Einträge??

Gruss Swiss

Alt 11.08.2009, 15:55   #12
lionwill
 
reader_s.exe in C:\Windows\System32\ - Standard

reader_s.exe in C:\Windows\System32\



wenn ich diese Log-Datei hier hochlade: HijackThis Logfileauswertung, gibt es ein paar rote Kreuze, sind die harmlos?

Gruss!

Alt 11.08.2009, 16:59   #13
Swisstreasure
/// Malwareteam
 
reader_s.exe in C:\Windows\System32\ - Standard

reader_s.exe in C:\Windows\System32\



Du musst aber nicht das ganze Log von RSIT hochladen. Dies ist nur für HJT-Log.



Hast Du denn noch Probleme?

Gruss Swiss

Alt 11.08.2009, 19:26   #14
lionwill
 
reader_s.exe in C:\Windows\System32\ - Standard

reader_s.exe in C:\Windows\System32\



hab kapiert! probleme sind keine mehr da!

tausend Dank!!

Alt 11.08.2009, 19:30   #15
Swisstreasure
/// Malwareteam
 
reader_s.exe in C:\Windows\System32\ - Standard

reader_s.exe in C:\Windows\System32\



Gern geschehen

Happy Surfing.

Gruss Swiss

Antwort

Themen zu reader_s.exe in C:\Windows\System32\
adobe, ask toolbar, bho, desktop, entfernen, explorer, firefox, frage, google, hijack, installation, internet, internet explorer, internet security, intrenet, local\temp, mozilla, neu aufsetzen, notebook, nvidia, pdf, popup, programdata, rundll, scan, security, software, system, temp, tuneup.defrag, vista, windows



Ähnliche Themen: reader_s.exe in C:\Windows\System32\


  1. Avira meldet TR/Sirefef.BV.2 -- C:\\windows\system32\ac97inctc.ddl und nach Quarantäne c:\\windows\system32\persfw.dll
    Plagegeister aller Art und deren Bekämpfung - 12.12.2012 (4)
  2. Malware-gen in C:\Windows\System32\services.exe Windows 7 Service Pack 1 x86 NTFS
    Log-Analyse und Auswertung - 11.11.2012 (13)
  3. incredibar eingefangen/ DLL C:\Windows\system32\MSCTF.dll ist keine gültige windows datei
    Plagegeister aller Art und deren Bekämpfung - 22.10.2012 (22)
  4. Trojaner C:\Windows\system32\rundll32.exe Folgender Eintrag fehlt: FQ10 Fehler in C:\Windows\system32\rundll32.exe Folgender Eintrag fehlt:
    Plagegeister aller Art und deren Bekämpfung - 06.10.2012 (19)
  5. @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\windows\System32\alg.exe
    Plagegeister aller Art und deren Bekämpfung - 17.04.2011 (1)
  6. HiJackThis Log/OTL/ Reader_s.exe welche daten sind zu retten und wie?
    Log-Analyse und Auswertung - 26.04.2010 (7)
  7. Trojan.Agent/Gen-Reader_S und weitere Funde
    Log-Analyse und Auswertung - 15.04.2010 (9)
  8. reader_s.exe - Problem mit div. Viren...
    Log-Analyse und Auswertung - 12.04.2010 (3)
  9. reader_s und restorer32_a in Ordner system32
    Log-Analyse und Auswertung - 21.11.2009 (31)
  10. reader_s Virus!
    Log-Analyse und Auswertung - 27.08.2009 (1)
  11. Hilfe hab den reader_s.exe Virus
    Plagegeister aller Art und deren Bekämpfung - 20.08.2009 (14)
  12. reader_s.exe - Virusbekämpfung?!
    Plagegeister aller Art und deren Bekämpfung - 05.08.2009 (6)
  13. Ist mein WinXP noch zu retten? (reader_s.exe)
    Log-Analyse und Auswertung - 21.07.2009 (22)
  14. services.exe / reader_s.exe Virus?
    Log-Analyse und Auswertung - 02.07.2009 (5)
  15. Hilfe Hartnäckiger Virus in meinem System reader_s.exe
    Log-Analyse und Auswertung - 28.06.2009 (1)
  16. [HILFE] services/reader_s lässt sich nicht löschen
    Log-Analyse und Auswertung - 23.03.2009 (3)
  17. F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDO WS\system32\n
    Log-Analyse und Auswertung - 05.10.2007 (10)

Zum Thema reader_s.exe in C:\Windows\System32\ - Hallo Leute, brauche Ihren Rat! Habe heute reader_s.exe beim scannen mit COMODO AntiVir-Programm auf meimnem Notebook entdeckt und konnte diese Datei mit COMODO aus den folgenden Verzeichnissen entfernen: C:\Windows\System32\ und - reader_s.exe in C:\Windows\System32\...
Archiv
Du betrachtest: reader_s.exe in C:\Windows\System32\ auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.