Hallo,

bin neu hier und habe gleich ein richtig schlimmes Problem! Habe mir den reader_s.exe Virus eingefangen und vielleicht noch mehr! Bin durch Spybot darauf aufmerksam geworden. Auch startet mein PC jetzt immer mal wieder plötzlich neu. Bis jetzt könnte ich erlesen das da wenig Hoffung besteht diesen Virus zu löschen.
Wollte es dann mal mit einem neuaufspielen eines Images meines Partition C versuchen. Geht nicht der sitzt nämlich auch im Bootsektor!
Selbst Anti Vir lasst sich nicht mehr installieren weil etwas verändert wird.
Habe mehrere Partitionen C mit dem Betriebssystem D für Daten und G für Daten und Z für die Images die ich von C gemacht habe. Sind die Dateien auf den anderen Partitionen jetzt alles Futsch? Habe Service Pack 3 installiert. Erbitte Hilfe Anleitung zum wiederherstellen meines Systems oder ähnliches.

Hier mal der Log -File:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:01:33, on 16.08.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TomTom HOME 2\TomTomHOMEService.exe
C:\Programme\Gemeinsame Dateien\Siemens\sws\almsrv\almsrvx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\TomTom HOME 2\TomTomHOMERunner.exe
C:\Programme\Rainlendar\Rainlendar.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\reader_s.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
O1 - Hosts: 127.255.255.255 serial.alcohol-soft.com
O2 - BHO: C:\WINDOWS\system32\hs7f3uhduhfukde.dll - {BD56A320-23F2-42AD-F4E4-00AAC39CAA53} - C:\WINDOWS\system32\hs7f3uhduhfukde.dll
O3 - Toolbar: (no name) - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - (no file)
O4 - HKLM\..\Run: [21398] C:\WINDOWS\system32\34.tmp.exe
O4 - HKLM\..\Run: [reader_s] C:\WINDOWS\System32\reader_s.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [RGSC] D:\Programme\Rockstar Games\Rockstar Games Social Club\RGSCLauncher.exe /silent
O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Programme\TomTom HOME 2\TomTomHOMERunner.exe"
O4 - HKCU\..\Run: [AntiSpyware Service] C:\DOKUME~1\JRG~1\LOKALE~1\Temp\pqopqkqdu.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [reader_s] C:\Dokumente und Einstellungen\Jörg\reader_s.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [reader_s] C:\Dokumente und Einstellungen\Jörg\reader_s.exe (User 'Default user')
O4 - Startup: Rainlendar.lnk = C:\Programme\Rainlendar\Rainlendar.exe
O4 - Global Startup: AutoCAD-Startbeschleuniger.lnk = C:\Programme\Gemeinsame Dateien\Autodesk Shared\acstart17.exe
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O22 - SharedTaskScheduler: LKMSFOIVAMFOMSFVIOSVJASIUENFJNDJV - {BD56A320-23F2-42AD-F4E4-00AAC39CAA53} - C:\WINDOWS\system32\hs7f3uhduhfukde.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Automation License Manager Service (almservice) - SIEMENS AG - C:\Programme\Gemeinsame Dateien\Siemens\sws\almsrv\almsrvx.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: AVK Tuner Service - Unknown owner - C:\Programme\G DATA InternetSecurity TotalCare\AVKTuner\AVKTunerService.exe (file missing)
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LVCOMSer - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: TomTomHOMEService - TomTom - C:\Programme\TomTom HOME 2\TomTomHOMEService.exe

--
End of file - 8416 bytes

Hoffe mir kann jemand helfen…

Gruß Jörg

Der Zbot (sdra64.exe) ist dein groesseres Problem. Dies Malware hat dir alles an informationen, Passworte ect geklaut, was auf deinem Rechner gespeichert und eingegeben wurde. Du solltest den PC alleine aus diesem Grund neu aufsetzen und entsprechend alle Passworte von einem anderen sauberen PC aendern.

Ob du das Risiko der Reinigung eingehen willst, liegt bei dir.
Siehe dazu die Unterpunkte bei Punkt 2

http://www.trojaner-board.de/69886-a...-beachten.html

Hallo und Herzlich Willkommen!

O1 - Hosts: 127.255.255.255 serial.alcohol-soft.com - das Programm aus unsicherer Quelle genommen?
- Da musst du mit dem Schlimmsten rechnen, zwar dass Du dein Rechner RICHTIG formatieren und neu aufsetzen musst!
Nämlich Du hast auf deinem Rechner einen "Virut" Infektion!
In deisem Fall genügt es nicht,dass System einfach neu zu installieren bzw Daten v. infizierten PC sichern und dann zurückspielen!
Virut infiziert alle *.exe aber andere Dateien auch auf dem laufwerk
Also keine chance für eine Systemreinigung, Du kannst nur eins machen: dein ganzes System neu zu installieren!
Am besten mit Killdisc die Festplatte löschen, darf nichts zurückbleiben! - Dabei sowohl auch auf alle externe Medium gilt, eine totale Löschung erforderlich!!

Meine Diagnose zum Bestätigen:
→ besuche die Seite von virustotal und die Dateien aus Codebox bitte prüfen lassen - inklusive Dateigröße und Name, MD5 und SHA1 auch mitkopieren:

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\System32\reader_s.exe
C:\WINDOWS\system32\hs7f3uhduhfukde.dll
C:\WINDOWS\system32\34.tmp.exe
C:\Dokumente und Einstellungen\Jörg\reader_s.exe 
         

→ Klicke auf "Durchsuchen"
→ Suche die Datei auf deinem Rechner→ Doppelklick auf die zu prüfende Datei (oder kopiere den Inhalt ab aus der Codebox)
→ "Senden der Datei" und Warte, bis der Scandurchlauf aller Virenscanner beendet ist
→ das Ergebnis wie Du es bekommst da reinkoperen (inklusive Dateigröße und Name, MD5 und SHA1):

** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw

gruß
Coverflow

Danke erstmal! Ist ja super .
Habt ihr irgenwo eine Anleitung zum Formatieren und dann Systemwiederneuaufsetzen?

@ coverflow:
Ich bekomme den link zu virustotal nicht auf! Liegt das mit am Virus?
Oder ist der Server dicht?

Heißt das jetzt auch alles anderen Partitionen sind zu löschen! AAHHHHHHH das wäre der supergau meine Daten alle futsch!!!

Gruß Jörg

Hier gibts fast alles!
http://www.trojaner-board.de/51262-a...sicherung.html

und ja, der Aufruf von VT kann durch Malware verhindert werden.

hi

nein der Link ist OK..es liegt ja an "Virut", Backdoor-Server und Rootkits...

Tipps & Tricks:

• Anleitung: Neuaufsetzen des Systems + Absicherung
• Killdisc
• Festplatten wirklich löschen
  Screenshotguide zur Erst- und Neuinstallation von Windows XP
• Windows XP installieren (Grundinstallation) Schritt 1. - Bebilderte Anleitung/madeonapc.de
• Windows XP installieren (Grundinstallation) Schritt 2. - Bebilderte Anleitung/madeonapc.de
• Laufwerk C: formatieren
• SETI@home

► Bevor du mit deinem PC direkt ins Netz gehst:

• Ändere deine Passworte und Zugangsdaten! - von einem sauberen System aus
• solltest Du SP2 einspielen
• Firewall aktivieren und bereits Antivirensoftware installiert haben
• Die Service Pack 2 CD (für XP) kannst du dir bestellen,indem du folgende Seite besuchst: Microsoft Windows XP Service Pack 2 (SP2)
• dann das Service Pack 3 einspielen

wenn Du dir die Zeit nimmst alles durchzulesen, dann kann ja eigentlich nichts mehr schiefgehen

OK! Danke erstmal für das einschätzen und beurteilen der Lage.
Also werde ichs mal angehen!
Habe erstmal ausgestöpselt und bin jetzt an einem anderen Rechner.

Ich werde versuchen nur meine C Partition per Anleitung zu löschen. Werde für die Formatierung die Knoppix Linux CD Variante anwenden. Die anderen Partitionen werde ich nicht löschen da die Dateien hier einfach zu wichtig sind! Es sind teils Dateien die ich über Jahre erstellt und gesammelt habe. Löschen ist hier ein no go!

Macht mein Plan dann so überhaupt einen Sinn? Oder springt mir der Virus dann wieder von einer anderen Partition auf mein frisch aufgesetztes System der anderen Partition?

Eine Frage habe ich noch habe mir vor einiger zeit mit dem Progy iso builder eine XP CD mit SP2 & SP3 (eingebunden) erstellt. Kann ich diese verwenden?

Was meint Ihr? Kann das so funktinieren? Oder soll ich gleich zu einem Hilfe PC Dienst gehen?

Gruß Jörg

Wenn du dir zutraust, das zu machen, mach es. Es kann dich nur weiterbringen. Wichtig ist noch, das du keine der Dateien von der verbliebenen Partition und externen Datentraeger startest, bevor du sie nicht erst mit Antivir oder die am haeufigsten gebrauchten Dateien bei virustotal.com geprueft hast.
Starte eine uebersehene infizierte Datei und sie wird dir alle anderen wieder infizieren!

Hallo,

ich rate Dir die ganze Platte neu zu partitionieren und richtig zu formatieren. Es hat keinen halbe Sachen zu machen.

Du kannst ja Bilder, Texte und Videos aus CD/DVD brennen. Dann kannst Du hinterher den Rechner mit einer RettungsCD starten und diese Sicherheitskopien prüfen.

Klaus

Ich komme nicht weiter...
Bin jetzt auf der Knoppix Oberfläche und bin in der Konsole habe mich auch schon in die Befehle eingelesen aber ich kann hier eine Tabelle meiner Partitionen bekommen. Habe dies über den Fdisk Befehl probiert

knoppix@1[knoppix]$ f disk dev/hda

Meldung:
konnte /dev/hda nicht öffnen

Wie komme ich hier weiter?


Gruß Jörg

So habe jetzt mit Killdisc gemacht.
Installation von Win lief gut durch. Habe jetzt mal alles installiert was hier im Board vorgeschlagen wird.
Anti Vir
CCleaner
Anti Maleware

Beim Ausführen von Anti Vir hat dieser noch was gefunden im Masterbootsektor & Bootsektor der anderen Partitionen!!
Den Bootsektor habe ich neu erstellt mit fixboot aber den Materbootsektor neu zu erstellen war mir zu gefährlich am ende wären meine ganzen dateien weg! Soll ich das trotzdem machen?

Habe jetzt nochmal den RSIT gestartet geht leider nicht alles in den Thead rein:

Logfile of random's system information tool 1.06 (written by random/random)
Run by Jörg at 2009-08-18 10:26:53
Microsoft Windows XP Professional Service Pack 3
System drive C: has 27 GB (87%) free of 31 GB
Total RAM: 2047 MB (80% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:26:54, on 18.08.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\devldr32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Avira\AntiVir Desktop\avcenter.exe
C:\Programme\Avira\AntiVir Desktop\avscan.exe
C:\Progys\RSIT.exe
C:\Programme\trend micro\Jörg.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.winfuture.de
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe

--
End of file - 2234 bytes

======Scheduled tasks folder======

C:\WINDOWS\tasks\WGASetup.job

======Registry dump======

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"avgnt"=C:\Programme\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145
"NoAutoTrayNotify"=1

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoAutoTrayNotify"=
"HonorAutoRunSetting"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"



Heißt wohl Masterbootsektor von C neu machen und alle bootsektoren der anderen Partitionen auch neu machen und XP nochmal installieren.

Gruß Jörg

hi

Master Boot Record überprüfen:

• Lade Dir die MBR.exe von GMER herunter
• Speichere auf deinem Desktop
• Per Doppelklick starten.
• wenn das Programm fertig ist, das erhaltene Log mbr.log hier posten

Ich habe mal laut einem anderen Thead versucht den Virus mit dem Programm von

softpedia.com/progDownload/Norman-Sinowal-Cleaner-Download-104305.html

auszumerzen. Jetzt findet Anti vir keinen Virus mehr zur Sicherheit habe ich aber nochmal mbr.exe ausgeführt. Hier:

Microsoft Windows XP [Version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

C:\Dokumente und Einstellungen\Jörg>cd..

C:\Dokumente und Einstellungen>cd.

C:\Dokumente und Einstellungen>cd..

C:\>mbr
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.6 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x12a18ac1 size 0x1b6 !
PE file found in sector at 0x012A18AC1 !

Das heißt der Virus is wohl noch da! Mist! Bitte um weitere Anweisungen.

Gruß Jörg

Kann mir nienmand sagen. Ob ich jetzt Virenfrei bin oder nochmal aufsetzen muss! Hier nochmal mein Log:

Logfile of random's system information tool 1.06 (written by random/random)
Run by Jörg at 2009-08-19 23:28:32
Microsoft Windows XP Professional Service Pack 3
System drive C: has 23 GB (75%) free of 31 GB
Total RAM: 2047 MB (73% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:28:45, on 19.08.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\system32\devldr32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Mozilla Firefox\firefox.exe
c:\programme\avira\antivir desktop\avcenter.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Progys\RSIT.exe
C:\Programme\trend micro\Jörg.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.winfuture.de
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe

--
End of file - 3462 bytes

Den gesamten Log kann ich nicht reinsetzen da zu lang. Wie kann ich diesen denn komplett posten?

Gruß Jörg

Hi,

da steht's doch:

Zitat:

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x12a18ac1 size 0x1b6 !
PE file found in sector at 0x012A18AC1 !

Der Rest ist hier nicht relevant. Können Spuren einer vergangenen Infektion sein, die nicht mehr aktiv ist. In diesem Fall würden sie (vielleicht) verschwinden, wenn Du alle Partitionen deines Systems löschst und die Platte komplett neu einrichtest, so als wäre sie frisch gekauft. Vielleicht handelt es sich auch um einen Fehlalarm auf den Inhalt irgendeines anderen Sektors. Der angegebene Wert deutet darauf hin, dass er ca. 149 GByte vom Anfang der Platte wegliegt.

Karl