Hallo liebe Leute,

habe seit zwei Tagen ein wirklich schweres Problem.

War wie immer ganz normal im Internet surfen, bis auf einmal mein Rechner unerklärlicherweise stark etwas zu laden anfing und mir Kaspersky Internet Security 2009 eine Meldung gab ,ob irgendein Programm zugreifen soll.

Habe ohne groß darauf zu achten was es war, einfach verbieten angeklickt und kurz darauf startete mein Rechner neu.

Jedoch blieb es beim Neustarten, da er ab Beginn des Windows Symbols beim Booten gleich wieder runter fuhr

Wollte dann erstmal in den abgesicherten Modus rein, wo ich gefragt wurde:

Please Enter to Cancel loading SPTD.sys und danach das selbe zu VAX347b.sys.

Blockierte ich das Laden nicht, machte er wieder einen Neustart, so dass ich nicht in den Abgesicherten Modus kam.

Drückte ich enter, und übersprang somit die Vorgänge, kam ich in den Abgesicherten rein.

Dort musste ich noch feststellen, dass Kaspersky nicht mehr ging...beschädigte Datenbanken, bitte aktualisieren.
Hmmh...komm ja nicht mehr ins Internet, also fiel die Virensuche bzw. Aktualisierung der Datenbanken auch flach.

Danach stellte ich den automatischen Neustart aus und bekam folgenden Bluescreen:

IRQL_Not_Less_Or Equal

Technische Infos: Stop 0X0000000A (0X00000000, 0X00000002, 0X 00000001, 0X804DC11D)

Hmmh leider fand ich dazu bei meiner Freundin ne ganze Menge im Internet und bin ehrich gesagt etwas überfordert.

Also sagte ich mir O.k. gehe ich doch mal zu Kaspersky rein und sehe mir die Programmkontrolle an, da ja kurz bevor er abstürzte, er mir ein Programm anzeigte.

Hierbei fand ich die Au_. exe, die auch hier schon im Forum ihr Unwesen getrieben hat.

Sie sollte unter C./Admin/lokale Einstellungen/temp/~nsu.tmp/au_.exe sein, war jedoch dort nicht mehr vorhanden.

Mir war gleich klar, dass diese Dateien suspekt waren.

Machte danach diverse Systemwiederherstellungen ohne Wirkung, der Bluescreen kam immer noch.

Also durchsuchte ich die Registry auf diese Datei und fand folgende Einträge:

HKEY_Current_User/Software/Microsoft/Search Assistant/ACMru/5603 und in 5604

000 Reg_SZ au_.exe
001 Reg_SZ ~nsu.tmp

Dann fand ich noch unter Software/MIcrosoft/ Windows/ Shell No Roam/ Muicache wieder C:/ Dokumente Einstellungen/Admin......siehe oben

und zu guter letzt einen Eintag unter:

Software_Kaspersky LAb/AVP 8/ Profiles/ Hins/Settings/ application/ Childs/0001

Was hängt nun wie zusammen????

O.K. Au_.exe scheint Spyware zu sein.

Aber wie kommt es zum Bluescreen und was haben die beiden Sys.Dateien damit zu tun.

Habe erfahren, das dei SPTD. sys bei Daemon Tools vorkommt und bei Alkohol 120%, welches ich habe. Jedoch schon Ewigkeiten nicht mehr benutzt habe.

Hat es wirklich damit zu tun? Oder tarnt sich darunter ein Virus.

Hat der Bluescrenen nun einen Hardwarefehler, defekter RAM soll gängig bei diesem Bluescreen sein?

Aber warum passierte alles plötzlich nachdem Kaspersky etwas wollte und es abstürzte?

Brauche dringend Hilfe, wie ich den Rechner erstmal wieder zum Laufen kriege, Neuaufsetzen soll wirklich nur den letzten Ausweg darstellen!

Mit welchen Programmen, die ich bei mir im Abgesicherten starten könnte, kann ich das Problem eventuell lösen?

Bin über jede Hilfe dankbar und poste noch zur besseren Informaionsbereitstellung mein Logfile, welches ich per HijackThis auf ein USB-Sick zog.

Vielen Dank im Vorraus für ihre Mühen und Hilfen.

MfG Günter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:55:19, on 24.10.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18241)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\WISPTIS.EXE
F:\Programme\Steganos Security Suite 2007\SteganosAgent.exe
D:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Steganos Password Manager AutoFill - {1427A821-7B93-4F08-9A34-9FA03A3D93DB} - F:\Programme\Steganos Security Suite 2007\PasswordManagerBHO.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - D:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [AVP] "D:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [SSS2007 PasswordManagerFFAutoFill] "F:\Programme\Steganos Security Suite 2007\PasswordManagerFFAutoFill.exe"
O4 - HKLM\..\Run: [SSS2007 HotKeys] "F:\Programme\Steganos Security Suite 2007\SteganosHotKeyService.exe"
O4 - HKLM\..\Run: [SSS2007 File Redirection Starter] "F:\Programme\Steganos Security Suite 2007\fredirstarter.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "E:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AnyDVD] D:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Hinzufügen zu Anti-Banner - D:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll (file missing)
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - D:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: D:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,D:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,D:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - D:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

--
End of file - 5943 bytes

Hallo und

Deinstallier doch mal im abgesicherten Modus Alcohol 120% und wenn vorhanden auch die Daemon-Tools. Mach einen Neustart, probier dann gleich mal den normalen Modus.

Vielen lieben Dank!

Das werde ich dann machen!

Aber was hat es mit der Au_.exe in der Registry auf sich?

Soll ich die Eintraäge löschen?


Aber ist das rein theoretisch möglich mit Alcohol, da ich so etwas noch nie hatte und es ja spontan mit der Meldung von Kaspersky kam???

MfG Günter!

Das Problem ist mir bekannt, aber das ist als nächstes dran. Erstmal musst Du die Kiste wieder normal booten können, dann können wir uns um mögliche Schadsoftware kümmern.

Hi Cosinus,

danke für den Tipp.

Leider will er im Abgesicherten nicht Alcohol deinstallieren, da Abgesicherter Modus oder der Windows Installer nicht korrekt installiert ist.

Ok, könnte ja die Sptd.sys manuell löschen, die unter Windows/System32/Drivers steckt.



Habe dann mal nach der Vax347b.sys geguckt, die ja auch beim Laden für den Bluescreen sorgt.
Die ist ebenfalls unter System32/Drivers und ist der Treiber von Plug and Play Bios Extension????


Gleichzeitig zeigt er mir unter dem Gerätemanager an, das der Plug and Play Bios Extension einen Fehler hat, also er kann den Treiber nicht initailisieren.

Was soll ich bloß machen?????

Habe anscheinend ein dickes Hard- und Software-Problem oder wurde das durch einen Virus verursacht.


Hoffe das du mir auch in Richtung des Probelmes weiter helfen kannst!

Benenn doch mal bitte beide Dateien um, zB ein Unterstrich _ am Anfang bei beiden Dateinamen einfügen.
Versuch dann mal den Rechner wieder im normalen Modus zu starten.

Hi Cosinus,

möchte mich erstmal für meine verspätete Antwort entschuldigen.

Hatte viel zu tun und dadurch das ich bei meiner Freundin den Rechner nutzen konnte, habe ich das Problem etwas aufgeschoben.

Habe die Woche jedoch deinen Trick mit der Umbennung der Dateien probiert und er fuhr wieder hoch

Vielen Dank!!!

Nun nehme ich an das trotzdem noch Viren, Malware oder sonstiges auf meinen Rechner schlummert. (vgl. die Au._exe in der Registry)

Was soll ich als nächstes tun????

Wie gesagt Kaspersky geht nicht und ins Internet möchte ich unter diesen Umständen auch nicht.

Bin über jeden weiteren Tipp sehr dankbar.

Somal was mich auch irritiert, warum das mit den Dateien so spontan kam???


Hoffe das du mir trotz meiner Auszeit weiter hilfst


Ansonsten schonmal einen schönen Start ins Wochenende......Bis dann!

Klar kann ich weiterhelfen. Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!!
Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

Hi Cosinus,

also folgendes:

Habe alles sowie du es beschireben hast gemacht.

Er hatte lediglich den Trojan.Agent gefunden, denn ich dann gelöscht habe.

Nachdem ich dann ins Internet ging um Kaspersky upzudaten, fand er beim Scannen folgende Sachen:


Win32.tdss.z

sowie den Rootkit.Win32.Tdss.c, der sich jedoch nicht entfernen ließ.

Habe auch gleich gelesen, dass ich um eine Neuinstallation nicht rum kommen werde.

Lasse es daher mit dem Posten der Files.

Jedoch wäre noch interessant, ob ich bei der Neuaufsetzung bzw. Formatierung zu beachten gibt.

Bzw. was passiert, wenn ich jetzt trotz dieser Schädlinge ins Internet gehe???

Wäre über ne Antwort sehr dankbar.

Ansonsten einen schönen 3. Advent und vielen Dank für deine Mühe!!!!

Man kann den TDSS entfernen. Kann aber schwierig werden. Wenn Du lieber Neuaufsetzen willst das hier beachten => http://www.trojaner-board.de/51262-a...sicherung.html