Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Hilfe hab den reader_s.exe Virus

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 16.08.2009, 10:09   #1
Jogi313
 
Hilfe hab den reader_s.exe Virus - Standard

Hilfe hab den reader_s.exe Virus



Hallo,

bin neu hier und habe gleich ein richtig schlimmes Problem! Habe mir den reader_s.exe Virus eingefangen und vielleicht noch mehr! Bin durch Spybot darauf aufmerksam geworden. Auch startet mein PC jetzt immer mal wieder plötzlich neu. Bis jetzt könnte ich erlesen das da wenig Hoffung besteht diesen Virus zu löschen.
Wollte es dann mal mit einem neuaufspielen eines Images meines Partition C versuchen. Geht nicht der sitzt nämlich auch im Bootsektor!
Selbst Anti Vir lasst sich nicht mehr installieren weil etwas verändert wird.
Habe mehrere Partitionen C mit dem Betriebssystem D für Daten und G für Daten und Z für die Images die ich von C gemacht habe. Sind die Dateien auf den anderen Partitionen jetzt alles Futsch? Habe Service Pack 3 installiert. Erbitte Hilfe Anleitung zum wiederherstellen meines Systems oder ähnliches.

Hier mal der Log -File:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:01:33, on 16.08.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TomTom HOME 2\TomTomHOMEService.exe
C:\Programme\Gemeinsame Dateien\Siemens\sws\almsrv\almsrvx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\TomTom HOME 2\TomTomHOMERunner.exe
C:\Programme\Rainlendar\Rainlendar.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\reader_s.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
O1 - Hosts: 127.255.255.255 serial.alcohol-soft.com
O2 - BHO: C:\WINDOWS\system32\hs7f3uhduhfukde.dll - {BD56A320-23F2-42AD-F4E4-00AAC39CAA53} - C:\WINDOWS\system32\hs7f3uhduhfukde.dll
O3 - Toolbar: (no name) - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - (no file)
O4 - HKLM\..\Run: [21398] C:\WINDOWS\system32\34.tmp.exe
O4 - HKLM\..\Run: [reader_s] C:\WINDOWS\System32\reader_s.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [RGSC] D:\Programme\Rockstar Games\Rockstar Games Social Club\RGSCLauncher.exe /silent
O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Programme\TomTom HOME 2\TomTomHOMERunner.exe"
O4 - HKCU\..\Run: [AntiSpyware Service] C:\DOKUME~1\JRG~1\LOKALE~1\Temp\pqopqkqdu.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [reader_s] C:\Dokumente und Einstellungen\Jörg\reader_s.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [reader_s] C:\Dokumente und Einstellungen\Jörg\reader_s.exe (User 'Default user')
O4 - Startup: Rainlendar.lnk = C:\Programme\Rainlendar\Rainlendar.exe
O4 - Global Startup: AutoCAD-Startbeschleuniger.lnk = C:\Programme\Gemeinsame Dateien\Autodesk Shared\acstart17.exe
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O22 - SharedTaskScheduler: LKMSFOIVAMFOMSFVIOSVJASIUENFJNDJV - {BD56A320-23F2-42AD-F4E4-00AAC39CAA53} - C:\WINDOWS\system32\hs7f3uhduhfukde.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Automation License Manager Service (almservice) - SIEMENS AG - C:\Programme\Gemeinsame Dateien\Siemens\sws\almsrv\almsrvx.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: AVK Tuner Service - Unknown owner - C:\Programme\G DATA InternetSecurity TotalCare\AVKTuner\AVKTunerService.exe (file missing)
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LVCOMSer - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: TomTomHOMEService - TomTom - C:\Programme\TomTom HOME 2\TomTomHOMEService.exe

--
End of file - 8416 bytes

Hoffe mir kann jemand helfen…

Gruß Jörg

Alt 16.08.2009, 10:23   #2
raman
 
Hilfe hab den reader_s.exe Virus - Standard

Hilfe hab den reader_s.exe Virus



Der Zbot (sdra64.exe) ist dein groesseres Problem. Dies Malware hat dir alles an informationen, Passworte ect geklaut, was auf deinem Rechner gespeichert und eingegeben wurde. Du solltest den PC alleine aus diesem Grund neu aufsetzen und entsprechend alle Passworte von einem anderen sauberen PC aendern.

Ob du das Risiko der Reinigung eingehen willst, liegt bei dir.
Siehe dazu die Unterpunkte bei Punkt 2

http://www.trojaner-board.de/69886-a...-beachten.html
__________________

__________________

Alt 16.08.2009, 10:27   #3
kira
/// Helfer-Team
 
Hilfe hab den reader_s.exe Virus - Standard

Hilfe hab den reader_s.exe Virus



Hallo und Herzlich Willkommen!

O1 - Hosts: 127.255.255.255 serial.alcohol-soft.com - das Programm aus unsicherer Quelle genommen?
- Da musst du mit dem Schlimmsten rechnen, zwar dass Du dein Rechner RICHTIG formatieren und neu aufsetzen musst!
Nämlich Du hast auf deinem Rechner einen "Virut" Infektion!
In deisem Fall genügt es nicht,dass System einfach neu zu installieren bzw Daten v. infizierten PC sichern und dann zurückspielen!
Virut infiziert alle *.exe aber andere Dateien auch auf dem laufwerk
Also keine chance für eine Systemreinigung, Du kannst nur eins machen: dein ganzes System neu zu installieren!
Am besten mit Killdisc die Festplatte löschen, darf nichts zurückbleiben! - Dabei sowohl auch auf alle externe Medium gilt, eine totale Löschung erforderlich!!

Meine Diagnose zum Bestätigen:
→ besuche die Seite von virustotal und die Dateien aus Codebox bitte prüfen lassen - inklusive Dateigröße und Name, MD5 und SHA1 auch mitkopieren:
Code:
ATTFilter
C:\WINDOWS\System32\reader_s.exe
C:\WINDOWS\system32\hs7f3uhduhfukde.dll
C:\WINDOWS\system32\34.tmp.exe
C:\Dokumente und Einstellungen\Jörg\reader_s.exe 
         
→ Klicke auf "Durchsuchen"
→ Suche die Datei auf deinem Rechner→ Doppelklick auf die zu prüfende Datei (oder kopiere den Inhalt ab aus der Codebox)
→ "Senden der Datei" und Warte, bis der Scandurchlauf aller Virenscanner beendet ist
→ das Ergebnis wie Du es bekommst da reinkoperen (inklusive Dateigröße und Name, MD5 und SHA1):

** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw

gruß
Coverflow
__________________

Geändert von kira (16.08.2009 um 10:37 Uhr)

Alt 16.08.2009, 10:37   #4
Jogi313
 
Hilfe hab den reader_s.exe Virus - Standard

Hilfe hab den reader_s.exe Virus



Danke erstmal! Ist ja super .
Habt ihr irgenwo eine Anleitung zum Formatieren und dann Systemwiederneuaufsetzen?

@ coverflow:
Ich bekomme den link zu virustotal nicht auf! Liegt das mit am Virus?
Oder ist der Server dicht?

Heißt das jetzt auch alles anderen Partitionen sind zu löschen! AAHHHHHHH das wäre der supergau meine Daten alle futsch!!!

Gruß Jörg

Alt 16.08.2009, 10:42   #5
raman
 
Hilfe hab den reader_s.exe Virus - Standard

Hilfe hab den reader_s.exe Virus



Hier gibts fast alles!
http://www.trojaner-board.de/51262-a...sicherung.html

und ja, der Aufruf von VT kann durch Malware verhindert werden.

__________________
MfG Ralf

Alt 16.08.2009, 10:43   #6
kira
/// Helfer-Team
 
Hilfe hab den reader_s.exe Virus - Standard

Hilfe hab den reader_s.exe Virus



hi

nein der Link ist OK..es liegt ja an "Virut", Backdoor-Server und Rootkits...

Tipps & Tricks:► Bevor du mit deinem PC direkt ins Netz gehst:
  • Ändere deine Passworte und Zugangsdaten! - von einem sauberen System aus
  • solltest Du SP2 einspielen
  • Firewall aktivieren und bereits Antivirensoftware installiert haben
  • Die Service Pack 2 CD (für XP) kannst du dir bestellen,indem du folgende Seite besuchst: Microsoft Windows XP Service Pack 2 (SP2)
  • dann das Service Pack 3 einspielen
wenn Du dir die Zeit nimmst alles durchzulesen, dann kann ja eigentlich nichts mehr schiefgehen

Alt 16.08.2009, 11:46   #7
Jogi313
 
Hilfe hab den reader_s.exe Virus - Standard

Hilfe hab den reader_s.exe Virus



OK! Danke erstmal für das einschätzen und beurteilen der Lage.
Also werde ichs mal angehen!
Habe erstmal ausgestöpselt und bin jetzt an einem anderen Rechner.

Ich werde versuchen nur meine C Partition per Anleitung zu löschen. Werde für die Formatierung die Knoppix Linux CD Variante anwenden. Die anderen Partitionen werde ich nicht löschen da die Dateien hier einfach zu wichtig sind! Es sind teils Dateien die ich über Jahre erstellt und gesammelt habe. Löschen ist hier ein no go!

Macht mein Plan dann so überhaupt einen Sinn? Oder springt mir der Virus dann wieder von einer anderen Partition auf mein frisch aufgesetztes System der anderen Partition?

Eine Frage habe ich noch habe mir vor einiger zeit mit dem Progy iso builder eine XP CD mit SP2 & SP3 (eingebunden) erstellt. Kann ich diese verwenden?

Was meint Ihr? Kann das so funktinieren? Oder soll ich gleich zu einem Hilfe PC Dienst gehen?

Gruß Jörg

Alt 16.08.2009, 12:49   #8
raman
 
Hilfe hab den reader_s.exe Virus - Standard

Hilfe hab den reader_s.exe Virus



Wenn du dir zutraust, das zu machen, mach es. Es kann dich nur weiterbringen. Wichtig ist noch, das du keine der Dateien von der verbliebenen Partition und externen Datentraeger startest, bevor du sie nicht erst mit Antivir oder die am haeufigsten gebrauchten Dateien bei virustotal.com geprueft hast.
Starte eine uebersehene infizierte Datei und sie wird dir alle anderen wieder infizieren!
__________________
MfG Ralf

Alt 16.08.2009, 12:58   #9
klaus1960
 
Hilfe hab den reader_s.exe Virus - Standard

Hilfe hab den reader_s.exe Virus



Hallo,

ich rate Dir die ganze Platte neu zu partitionieren und richtig zu formatieren. Es hat keinen halbe Sachen zu machen.

Du kannst ja Bilder, Texte und Videos aus CD/DVD brennen. Dann kannst Du hinterher den Rechner mit einer RettungsCD starten und diese Sicherheitskopien prüfen.

Klaus

Alt 17.08.2009, 13:23   #10
Jogi313
 
Hilfe hab den reader_s.exe Virus - Standard

Hilfe hab den reader_s.exe Virus



Ich komme nicht weiter...
Bin jetzt auf der Knoppix Oberfläche und bin in der Konsole habe mich auch schon in die Befehle eingelesen aber ich kann hier eine Tabelle meiner Partitionen bekommen. Habe dies über den Fdisk Befehl probiert

knoppix@1[knoppix]$ f disk dev/hda

Meldung:
konnte /dev/hda nicht öffnen

Wie komme ich hier weiter?


Gruß Jörg

Alt 18.08.2009, 09:31   #11
Jogi313
 
Hilfe hab den reader_s.exe Virus - Standard

Hilfe hab den reader_s.exe Virus



So habe jetzt mit Killdisc gemacht.
Installation von Win lief gut durch. Habe jetzt mal alles installiert was hier im Board vorgeschlagen wird.
Anti Vir
CCleaner
Anti Maleware

Beim Ausführen von Anti Vir hat dieser noch was gefunden im Masterbootsektor & Bootsektor der anderen Partitionen!!
Den Bootsektor habe ich neu erstellt mit fixboot aber den Materbootsektor neu zu erstellen war mir zu gefährlich am ende wären meine ganzen dateien weg! Soll ich das trotzdem machen?

Habe jetzt nochmal den RSIT gestartet geht leider nicht alles in den Thead rein:

Logfile of random's system information tool 1.06 (written by random/random)
Run by Jörg at 2009-08-18 10:26:53
Microsoft Windows XP Professional Service Pack 3
System drive C: has 27 GB (87%) free of 31 GB
Total RAM: 2047 MB (80% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:26:54, on 18.08.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\devldr32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Avira\AntiVir Desktop\avcenter.exe
C:\Programme\Avira\AntiVir Desktop\avscan.exe
C:\Progys\RSIT.exe
C:\Programme\trend micro\Jörg.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.winfuture.de
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe

--
End of file - 2234 bytes

======Scheduled tasks folder======

C:\WINDOWS\tasks\WGASetup.job

======Registry dump======

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"avgnt"=C:\Programme\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145
"NoAutoTrayNotify"=1

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoAutoTrayNotify"=
"HonorAutoRunSetting"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"



Heißt wohl Masterbootsektor von C neu machen und alle bootsektoren der anderen Partitionen auch neu machen und XP nochmal installieren.

Gruß Jörg

Alt 18.08.2009, 11:11   #12
kira
/// Helfer-Team
 
Hilfe hab den reader_s.exe Virus - Standard

Hilfe hab den reader_s.exe Virus



hi

Master Boot Record überprüfen:
  • Lade Dir die MBR.exe von GMER herunter
  • Speichere auf deinem Desktop
  • Per Doppelklick starten.
  • wenn das Programm fertig ist, das erhaltene Log mbr.log hier posten

Alt 18.08.2009, 14:14   #13
Jogi313
 
Hilfe hab den reader_s.exe Virus - Standard

Hilfe hab den reader_s.exe Virus



Ich habe mal laut einem anderen Thead versucht den Virus mit dem Programm von

softpedia.com/progDownload/Norman-Sinowal-Cleaner-Download-104305.html

auszumerzen. Jetzt findet Anti vir keinen Virus mehr zur Sicherheit habe ich aber nochmal mbr.exe ausgeführt. Hier:

Microsoft Windows XP [Version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

C:\Dokumente und Einstellungen\Jörg>cd..

C:\Dokumente und Einstellungen>cd.

C:\Dokumente und Einstellungen>cd..

C:\>mbr
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.6 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x12a18ac1 size 0x1b6 !
PE file found in sector at 0x012A18AC1 !

Das heißt der Virus is wohl noch da! Mist! Bitte um weitere Anweisungen.

Gruß Jörg

Alt 19.08.2009, 22:37   #14
Jogi313
 
Hilfe hab den reader_s.exe Virus - Standard

Hilfe hab den reader_s.exe Virus



Kann mir nienmand sagen. Ob ich jetzt Virenfrei bin oder nochmal aufsetzen muss! Hier nochmal mein Log:

Logfile of random's system information tool 1.06 (written by random/random)
Run by Jörg at 2009-08-19 23:28:32
Microsoft Windows XP Professional Service Pack 3
System drive C: has 23 GB (75%) free of 31 GB
Total RAM: 2047 MB (73% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:28:45, on 19.08.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\system32\devldr32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Mozilla Firefox\firefox.exe
c:\programme\avira\antivir desktop\avcenter.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Progys\RSIT.exe
C:\Programme\trend micro\Jörg.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.winfuture.de
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe

--
End of file - 3462 bytes

Den gesamten Log kann ich nicht reinsetzen da zu lang. Wie kann ich diesen denn komplett posten?

Gruß Jörg

Alt 20.08.2009, 02:22   #15
KarlKarl
/// Helfer-Team
 
Hilfe hab den reader_s.exe Virus - Standard

Hilfe hab den reader_s.exe Virus



Hi,

da steht's doch:
Zitat:
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x12a18ac1 size 0x1b6 !
PE file found in sector at 0x012A18AC1 !
Der Rest ist hier nicht relevant. Können Spuren einer vergangenen Infektion sein, die nicht mehr aktiv ist. In diesem Fall würden sie (vielleicht) verschwinden, wenn Du alle Partitionen deines Systems löschst und die Platte komplett neu einrichtest, so als wäre sie frisch gekauft. Vielleicht handelt es sich auch um einen Fehlalarm auf den Inhalt irgendeines anderen Sektors. Der angegebene Wert deutet darauf hin, dass er ca. 149 GByte vom Anfang der Platte wegliegt.

Karl

Antwort

Themen zu Hilfe hab den reader_s.exe Virus
adobe, antispyware, antivir, avira, bho, bonjour, computer, einstellungen, excel, firefox, g data, hijack, hijackthis, hkus\s-1-5-18, home, internet, internet explorer, konvertieren, monitor, mozilla, outlook express, pdf-datei, problem, sdra64.exe, security, software, temp, userinit.exe, virus, virus eingefangen, windows, windows xp



Ähnliche Themen: Hilfe hab den reader_s.exe Virus


  1. HiJackThis Log/OTL/ Reader_s.exe welche daten sind zu retten und wie?
    Log-Analyse und Auswertung - 26.04.2010 (7)
  2. Habe ich einen Virus?? Bitte um Hilfe - Virus userinit.exe
    Log-Analyse und Auswertung - 20.04.2010 (8)
  3. Trojan.Agent/Gen-Reader_S und weitere Funde
    Log-Analyse und Auswertung - 15.04.2010 (9)
  4. reader_s.exe - Problem mit div. Viren...
    Log-Analyse und Auswertung - 12.04.2010 (3)
  5. reader_s und restorer32_a in Ordner system32
    Log-Analyse und Auswertung - 21.11.2009 (31)
  6. reader_s Virus!
    Log-Analyse und Auswertung - 27.08.2009 (1)
  7. reader_s.exe in C:\Windows\System32\
    Log-Analyse und Auswertung - 11.08.2009 (14)
  8. reader_s.exe - Virusbekämpfung?!
    Plagegeister aller Art und deren Bekämpfung - 04.08.2009 (6)
  9. Ist mein WinXP noch zu retten? (reader_s.exe)
    Log-Analyse und Auswertung - 21.07.2009 (22)
  10. services.exe / reader_s.exe Virus?
    Log-Analyse und Auswertung - 02.07.2009 (5)
  11. Hilfe Hartnäckiger Virus in meinem System reader_s.exe
    Log-Analyse und Auswertung - 28.06.2009 (1)
  12. [HILFE] services/reader_s lässt sich nicht löschen
    Log-Analyse und Auswertung - 23.03.2009 (3)
  13. Batch-Virus Probleme: VIRUS ALERT! Benötige Hilfe zur vollständigen Reinigung
    Plagegeister aller Art und deren Bekämpfung - 25.08.2008 (15)
  14. Hilfe Virus! Antivir, internet usw außer gefächt!!! Bitte um Hilfe
    Mülltonne - 15.07.2008 (0)
  15. Oh man brauch so dringend Hilfe!!!! Virus?Spyware? Hilfe für einen Laien!Bitte!
    Log-Analyse und Auswertung - 13.06.2007 (6)
  16. Virus W32/Nsag.B HILFE HILFE HILFE
    Plagegeister aller Art und deren Bekämpfung - 15.09.2005 (4)
  17. Hilfe!!! Ich glaub ich hab ein Virus -bitte um Hilfe-
    Antiviren-, Firewall- und andere Schutzprogramme - 15.10.2004 (5)

Zum Thema Hilfe hab den reader_s.exe Virus - Hallo, bin neu hier und habe gleich ein richtig schlimmes Problem! Habe mir den reader_s.exe Virus eingefangen und vielleicht noch mehr! Bin durch Spybot darauf aufmerksam geworden. Auch startet mein - Hilfe hab den reader_s.exe Virus...
Archiv
Du betrachtest: Hilfe hab den reader_s.exe Virus auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.