Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: sdra64.exe, msmsgrs.exe

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 21.03.2010, 17:25   #1
kaffeefee
 
sdra64.exe, msmsgrs.exe - Unglücklich

sdra64.exe, msmsgrs.exe



Hallo
Habe schon mal versucht hier zu posten, aber nach dem Senden war alles weg..

Ich kriege die Einzelheiten nicht mehr ganz zusammen, aber ich habe mich in den letzten Tagen mehr oder weniger erfolgreich mit Trojanern herumgeschlagen.
ich hatte antivir uns Spybot auf dem Rechner. Als ich am 16.3. gerade am Installieren war, kam die übliche Spybot-(teatimer)Anfrage und ich habe dummerweise gedacht das gehört zu der Installation und habe Erlauben geklickt. ARGH.
Nachdem mir dann ein paar Tage später der Pc während dem Spielen abgestürzt ist und sowohl Antivir als auch die Firewall und Spybot aufgegangen sind, war mir klar was los ist...
beim neustart ist der Rechner dann gleich wieder runtergefahren und beim nächsten Versuch ist er zwar "stabil" gelaufen, allerdigs kamen permanent Fehlermeldungen, die es mehr oder weniger unmöglich machten irgendwas zu tun. ich habe es dann geschafft in den 2 sekunden antivir den Fund löschen zu lassen, dann ist der pc auch scho wieder runtergefahren.. hab dann spybot und antivir nochmal suchen lassen (scan) und die haben nichts gefunden. hab dann bisschen mit spybot rumgespielt und unter "systemstart" erhellende Dinge herausgefunden. sdra64.exe ist wohl "böse" also per taskmanager beendet und gelöscht. danach ging "wundersamerweise" mein Internet wieder und ich habe mich durch diverse Foren gewühlt. Habe dann CCleaner, Malwarebytes' und hijjack-this runtergeladen und in dieser Reihenfolge (mit Neustart) angewendet. Malwarebytes hat dann auch was gefunden und es wurde anscheinend erfolgreich gelöscht (weiß immer nicht wie sicher man sich da sein kann). Die Hijack-this logfile habe ich auf der Internetseite hijackthis.de auswerten lassen. alles was irgendwie fragwürdig markiert war habe ich gelöscht und immer wieder scans laufen lassen...
so, inzwischen habe ich jeweils von der neusten antivir-version, von Malwarebytes und von spybot nach jedem scan das Ergebnis, das nichts mehr gefunden wird..
so ich wüsste jetzt gerne
-Gibt es noch ein Programm dass ich laufen lassen kann? bin inzwischen völlig paranoid...
-Wie kriege ich meine von den Uni(!)-rechnern verseuchte Usb-sticks gefahrlos sauber?
-Ich habe bei spybot unter "werkzeuge->sytemstart" inzwischen alles soweit bereinigt bis auf diesen Eintrag:

Aktuelle Datei: RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup

Datenbank-Status: Nicht benötigt - Viren, Spyware, Malware oder sonstiges Unnötiges
Wert: NvCplDaemon
Dateiname: msmsgrs.exe

Beschreibung
Added by the _DLOADER-YI_ TROJAN!


ich kann die datei ja nicht einfach löschen, ich habe das so verstanden dass meine grafikkarte das braucht.(?) habs jetzt mal deaktiviert. ich wüsste auch nicht wie ich den Eintrag da rausbekomme, ich weiß nichtmal wie man eine Programmbibliothek öffnet geschweige denn wie man darin rumpfuscht...

Also, hier mal die Daten
erster Malwarebytes scan:
http://www.file-upload.net/download-2366466/mbam-log-2010-03-19--05-28-15-.txt.html
erstes hijack-this logfile:
http://www.file-upload.net/download-2366481/hijackthis1.txt.html
beides nachdem ich schon sdra64.exe gelöscht hatte.

aktuelles hijack-this logfile (nach Neustart, nur so um sicherzugehen)
http://www.file-upload.net/download-2366564/hijackthis7.txt.html

wenn man dieses logfile auswerten lässt, kommen zwei "gelbe fragezeichen"
O4 - HKCU\..\Run: [?????????] ??????????????e
ich hab keine ahnung was das sein soll, vermutlich nichts?
und
O4 - HKCU\..\Run: [Getdo] rundll32.exe "C:\Users\Edith\AppData\Roaming\Adobe\Update\flacor.dat""
woran könnte ich sehen ob das ok ist?

Ähm, wieviel Hysterie ist eigentlich angebracht bezüglich meines Onlinebankings oder ähnliches?

Vielen Dank, an jeden der sich die Mühe macht sich um meine Probleme zu kümmern. ich wusste nicht, dass es so ein Forum gibt, aber ich bin angenehm überrascht worden...

Lg Kaffeefee
PS: Ich habe eigentlich keine Ahnung. also mögliche Hilfestellungen mehr so auf niedrigem level beschreiben...

Alt 21.03.2010, 17:47   #2
Larusso
/// Selecta Jahrusso
 
sdra64.exe, msmsgrs.exe - Standard

sdra64.exe, msmsgrs.exe





Also diese Dateien was da gefunden wurden, sind nicht mehr so ganz ohne.
Generell wenn Du Online Banking weiterhin betreiben willst und angesichts deines Patchzustandes des Betriebssystems würde ich dir eine saubere Neuinstallation ans Herz legen.

Backdoor Warnung

Dein Computer ist mit einer sog. Backdoor (Hintertür) infiziert. Backdoors verursachen diverse Schäden in Windows und erlauben dem Angreifer die komplette Kontrolle über das infizierte System zu übernehmen. Sei Dir bewusst, dass der Angreifer neue Schädlinge bei Bedarf "nachladen" kann, dass er Tastatur-Eingaben mitloggen kann, dass er Programme ausführen kann und/oder sehen kann, was auf Deinem Bildschirm passiert. Daher lautet meine Empfehlung, zu formatieren und Windows neu zu installieren. Das Thema wird sehr kontrovers diskutiert, aber viele Experten aus der "Security Comunity" glauben, dass ein einmal mit einer Backdoor infiziertes System auch nach einer Bereiniung nicht wieder als vertrauenswürdig anzusehen ist.

Bitte trenne den Rechner während der Neuinstallation oder Bereinigung vom Internet (Netz und WLAN), denn wenn der Computer am Netz angeschlossen ist, kann der Angreifer das System weiter modifizieren und vorbeugende Maßnahmen treffen, damit die Bereinigung so manipuliert wird, dass Fixes nicht so ausgeführt werden, wie vorgesehen.

Eine weitere Gefahr bei dieser Art von Infektion ist der Identitätsklau, denn diese Art von Schädlingen können alle Deine Passwörter stehlen, E-Mail-Daten, Bankdaten, Karten-Nummern usw. durch mitloggen der Tastatur-Eingaben ausspionieren. Bis zur Beendigung der Bereinigung Deines Systems kein Online-Banking, Filesharing, Mailing oder Messaging betreiben. Keine Up- und Downloads, außer auf Security-Seiten. Es ist daher eine gute Idee, alle auf diesem System gespeicherten oder benutzten Passwörter von einem garantiert sauberen Rechner aus durch neue Passwörter zu ersetzen.

Tiefergehende Informationen zu diesem Thema findest Du bei Gehen Sie sicher ins Internet.

Lasse mich wissen, ob Du den Rechner neu aufsetzt oder trotz obiger Warnung eine Bereinigung vorziehst.
__________________

__________________

Alt 21.03.2010, 18:46   #3
kaffeefee
 
sdra64.exe, msmsgrs.exe - Standard

sdra64.exe, msmsgrs.exe



Hallo!
Ich habe meine ganzen passwörter von einem, vermutlich sauberen mac aus neu gesetzt.
ich finde es nicht so toll, dass jetzt vermutlich jemand meine kontodaten hat, aber was soll er damit schon anfangen. habe mobileTAN und kriege ja bei jeder kontobewegung eine sms... hab vermutlich nicht genug kriminelle energie um mir das vorzustellen.
na ja. ich weiß nicht was ich jetzt machen soll.
kannst du mit den files was anfangen?

ich hatte meinen laptop während der scans und ähnliches vom internet getrennt. so schlau war ich immerhin.
windows vista war schon auf dem laptop drauf. ich habe also keine cd oder so. ich habe auch keine ahnung wie man sowas macht.
da ich nie irgendwas dubioses downloade und auch keine messenger benutze usw. bin ich bisher von sowas verschont geblieben..
Wie soll ich denn dann meine Daten sichern? Hab mir einen Tag bevor das passiert ist ne externe Festplatte bei amazon gekauft, die müsste bald da sein. aber verseuche ich dann nicht auch die festplatte wenn ich die daten rüberziehen will? und was mache ich mit meinen drei infizierten usb-sticks? hab einen mit Malwarebytes gesäubert, aber ist er jetzt auch wirklich "sauber"?

ich habe in den letzten Tagen zwar viel gelernt, aber im Moment habe ich noch keinen Aktionsplan.
was sind den die Optionen wenn ich nicht neuinstallieren will?

hab mir die verlinkten seiten angesehen. Ich weiß nicht wie ich das hinkriegen soll, bin grad ziemlich erschlagen. ist ja nicht so, dass es mich nicht interessiert. ich habe schon öfter versucht mich mehr zu informieren, aber ich finde einfach keinen anfang in diesem rießigen knäul von informationen...

Vielen Dank für deine Hilfe
Kaffeefee
__________________

Alt 21.03.2010, 18:52   #4
Larusso
/// Selecta Jahrusso
 
sdra64.exe, msmsgrs.exe - Standard

sdra64.exe, msmsgrs.exe



Du musst mir sagen ob Du bereinigen oder formatieren willst. Und genau auf deinen Wunsch werde ich Dich dann durch diese Prozedur begleiten.
Auch das mit den USB Stick bekommen wir hin, dass ist das geringste übel

Also welchen Weg gehen wir?
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie

Alt 21.03.2010, 18:59   #5
kaffeefee
 
sdra64.exe, msmsgrs.exe - Standard

sdra64.exe, msmsgrs.exe



ah, mir fällt noch was ein.
in dem einen artikel steht, dass man ja nie wüsste was genau wo passiert ist. ich weiß natürlich nicht wohin es sich auf meinem rechner ausgebreitet hat. aber ich weiß wo die ursache war. hatte ja immer spybot im hintergrund laufen, und da sieht man ja wann um welche uhrzeit was versucht hat einzugreifen. ich habe von dem betreffenden zeitraum einen screenshot gemacht, davor und danach habe ich immer alles verweigert oder es war beabsichtigt und vermutlich auch ok.
hxxp://www4.pic-upload.de/21.03.10/jwl45v878m9i.jpg

ich benutze weder outlook noch internet explorer. ich habe den einen trojaner aus der uni. der andere weiß ich wirklich nicht. mir ziemlich schleierhaft-oder sind die auch auf im laden gekauften pc-spielen?
lg


Alt 21.03.2010, 19:06   #6
Larusso
/// Selecta Jahrusso
 
sdra64.exe, msmsgrs.exe - Standard

sdra64.exe, msmsgrs.exe



Ne, ein Trojaner kommt selten alleine

Meine Frage hast Du aber immer noch nicht beantwortet ^^
__________________
--> sdra64.exe, msmsgrs.exe

Alt 21.03.2010, 19:11   #7
kaffeefee
 
sdra64.exe, msmsgrs.exe - Standard

sdra64.exe, msmsgrs.exe



tut mir leid, du warst schneller als ich.
ich würde lieber neu formatieren, wenn ich das hinbekomme und meine daten irgendwie noch sicherrn kann.
zeit und mühe sind nicht das problem. eher sehe ich das noch nicht so wie ich das machen soll. ich habe keinen garantiert sauberen pc um von dem aus dann wieder programme holen zu können.. oder habe ich das falsch verstanden (?)

ich wollte eigentlich nur hören, was die Bereinigungsoption genau ist.
ich kann nicht einschätzen, ob es tatsächlich nicht geht bzw. was man tun könnte und mit welchem vorrausichtlichen ergebnis. warum kann man sich nie wieder sicher sein? ich verstehe es nicht so ganz, aber ich vertraue mal den experten.
lg

Alt 21.03.2010, 19:45   #8
Larusso
/// Selecta Jahrusso
 
sdra64.exe, msmsgrs.exe - Standard

sdra64.exe, msmsgrs.exe



Mal eine Grundregel, 100%ige Sicherheit gibt es von Haus aus nicht mehr.

Was eine Backdoor alles kann, haste ja gelesen. Die Sache ist, ob auch alle Veränderungen finde. Unsere Tools sind zwar schon sehr gut denoch kann ich niemals eine Garantie geben.

Und gerade bei Online Banking etc rate ich lieber vom Bereinigen ab.
Wie so eine Bereinigungsoption aussieht, kannst Du hier in X- Tausenden Threads lesen.

Nun zum Formatieren.

Die eigentliche Arbeit ist nur die Datensicherung.

Part 1

Aber vorerst kümmern wir uns um deine USB Sticks. Noch Dateien darauf die Du benötigst?
Wenn ja, kopiere diese bitte auf deinen PC.

Danach gehst du auf Computer --> rechtsklick auf den USB Stick --> formatieren.

Dies löscht alle Dateien auf den Sticks.

schritt 2

Benutzerkontensteuerung deaktivieren:

Start --> msconfig (unten reinschreiben) -> ENTER
Es öffnet sich das Fenster Systemkonfiguration.
Reiter "Tools" -> suchen nach:
Benutzerkontensteuerung deaktivieren -> starten -> ok
Rechner neu starten.


schritt 3

Desinfizierung/Absicherung externer Medien

Lade Dir den Flash Disinfector von sUBs und speichere Flash_Disinfector.exe auf Deinem Desktop ab.
Gehe nun wie folgt vor:
  1. Trenne den Rechner physikalisch vom Netz.
  2. Deaktiviere den Hintergrundwächter deines AVP.
  3. Schließe jetzt alle externe Datenträgeran Deinen Rechner an.
    Sollten nicht alle auf einmal gehen, kannst Du das auch öfter machen.
  4. Starte den Flash Disinfector mit einem rechtsklick --> als Admin starten und folge ggf. den Anweisungen.
  5. Wenn der Scan zuende ist, kannst du das Programm schließen.
  6. Starte Deinen Rechner neu.
Hinweis:
Flash Disinfector desinfiziert all Deine Laufwerke von Autoruninfektionen und erstellt einen versteckten Ordner mit demselben Namen, so dass dein Datenträger in Zukunft vor dieser Infektion geschützt ist.
Während dem Scan wird Dein Desktop kurzfristig verschwinden und dann wiederkommen. Das ist normal.


USB Sticks erledigt.

Part 2

Datensicherung und Neuinstallation.
Ich habe hier eine hilfreiche Anleitung von Petra zur Datensicherung.

Nun zur Neuinstallation. Wenn Du das alles erledigt hast, USB desinfisziert, Daten gesichert.
Jz wäre ein Handbuch deines Laptops sehr hilfreich. Da Du ja keine Vista DVD hast, sollte sich eine Recovery Partition auf dem Laptop befinden.

Dazu sollte im Handbuch genaueres stehen wie Du hiermit den Laptop neu installierst.
Wenn Du das Handbuch nicht mehr hast, brauche ich die genaue Bezeichnung deines Laptops.


Part 3

Externe Medien nach Infektion checken (by Petra)
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie

Alt 21.03.2010, 20:21   #9
kaffeefee
 
sdra64.exe, msmsgrs.exe - Standard

sdra64.exe, msmsgrs.exe



"Wie so eine Bereinigungsoption aussieht, kannst Du hier in X- Tausenden Threads lesen."

Tausend beiträge habe ich nicht gelesen. aber einige. daher auch mein vorgehen mit ccleaner, malwarebytes und hijackthis. an combofix habe ich mich nicht alleine rangetraut, da überall betont wird das man das als laie nicht tun sollte.
sonst fällt mir nur noch SUPERAntiSpyware ein, das wird bei den "tausenden bereinigungsaktionen" als auch eingesetzt, habe ich so den eindruck.
es wird in so ziehmlcih jedem einführenden beitrag in diesem Forum erwähnt, man solle sich mit seinem speziellen fall an jemand kompetenten hier wenden.

Die anleitung habe ich gelesen. ich würde sagen, es ist immer eher einfach wenn man eine dvd hat und man nur einem installationsprogramm folgen muss. ich habe keine dvd, was nicht etwa daran liegt, dass ich eine illegale kopie oder ähnliches benutze sondern vista war auf meinem laptop vorinstalliert.
ein handbuch gab es nicht.
ich denke ich werde mal bei acer nachforschen. ich werde schon rausfinden was für treiber ich brauche.

ich habe keine ahnung ob ich eine rescue-partition habe. wo sehe ich das?
lg

Alt 27.03.2010, 15:57   #10
Larusso
/// Selecta Jahrusso
 
sdra64.exe, msmsgrs.exe - Standard

sdra64.exe, msmsgrs.exe



Wieso bekomm ich keine Nachricht von deiner Antwort -.-

Sorry. Bei Acer brauchst du beim starten nur F10 drücken, dann sollte sich die Recoverysache starten.
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie

Alt 08.04.2010, 23:26   #11
kaffeefee
 
sdra64.exe, msmsgrs.exe - Standard

sdra64.exe, msmsgrs.exe



Hallo!
hab inzwischen wieder ein jungfräuliches, neu installiertes Vista :-)
Ich habe einige Seiten, die sich mit Internetsicherheit beschäftigen gelesen und auch einige Foren durchwühlt.

Hab trotzdem noch ein paar Probleme. Ich habe noch vermutlich infizierte USB-Sticks. (ja, ich hab die Anleitung zum desinfizieren gelesen. hxxp://www.hijackthis-forum.de/tipps-tricks/27560-neuaufsetzen-windows-xp-vista-und-windows-7-anleitungen.html#post255576
und ich habe meine ganzen daten auf eine Externe Festplatte gezogen.
wenn ich die desinfiziere und vllt. scanne ist dass dann alles top?

Mein größtes Problem ist aber eher, wie ich in Zukunft damit umgehen soll. ich muss auch in Zukunft Daten von Uni-Servern auf meinen Laptop übertragen. ich habe das bis jetzt über usb-stick bzw Festplatte gemacht. und mir dabei was eingefangen. wenn ich autorun deaktiviere, bin ich dann "sicher"? Ich überlege ob es besser wäre mich mittels vpn-client direkt auf den server zu gehen, aber das geht nur bei manchen. ich muss auch öfter mit anderen Personen daten und dokumente austauschen.
wie kann ich denn verhindern dass ich mir dadurch was hole? Ich habe also kein Internet-sicherheits-problem mehr (das ist ja immerhin was) sondern ein Daten-ausstauschproblem oder so. und dazu finde ich irgendwie nix, oder ich bin zu doof zum suchen!
Wäre sehr nett, wenn du mir auf die Sprünge helfen könntest.
Lg Kaffeefee

Antwort

Themen zu sdra64.exe, msmsgrs.exe
?????, adobe, antivir, auswerten, dll, firewall, flacor.dat, frage, grafikkarte, installation, internet, logfile, logfile auswerten, löschen, neustart, programm, rundll, scan, sekunden, senden, spielen, spyware, suche, taskmanager, trojaner, viren, windows, öffnet



Ähnliche Themen: sdra64.exe, msmsgrs.exe


  1. sdra64.exe
    Plagegeister aller Art und deren Bekämpfung - 03.05.2015 (1)
  2. sdra64.exe auf dem laptop aber malwarebytes stürzt ab.
    Plagegeister aller Art und deren Bekämpfung - 26.01.2012 (21)
  3. SDRA64.exe, Trojan-Downloader.Win32.Piker.ciq
    Plagegeister aller Art und deren Bekämpfung - 26.07.2010 (10)
  4. C:\WINDOWS\system32\sdra64.exe u.v.a.
    Plagegeister aller Art und deren Bekämpfung - 25.07.2010 (3)
  5. Trojaner sdra64
    Plagegeister aller Art und deren Bekämpfung - 19.07.2010 (12)
  6. sdra64.exe wird andauernd von Malwarebytes gefunden
    Plagegeister aller Art und deren Bekämpfung - 31.05.2010 (2)
  7. trojan.js agent apa /sdra64.exe
    Plagegeister aller Art und deren Bekämpfung - 29.05.2010 (3)
  8. sdra64.exe
    Plagegeister aller Art und deren Bekämpfung - 28.05.2010 (15)
  9. sdra64.exe
    Plagegeister aller Art und deren Bekämpfung - 20.05.2010 (28)
  10. sdra64 entfernen, aber wie?
    Plagegeister aller Art und deren Bekämpfung - 20.05.2010 (6)
  11. sdra64.exe und andere Trojaner
    Log-Analyse und Auswertung - 01.05.2010 (13)
  12. sdra64.exe ++
    Log-Analyse und Auswertung - 01.05.2010 (17)
  13. Infektion durch Exploit mit sdra64.exe
    Plagegeister aller Art und deren Bekämpfung - 29.04.2010 (20)
  14. C:\WINDOWS\system32\sdra64.exe mit TR/Spy.ZBot.ahgi infiziert
    Log-Analyse und Auswertung - 19.04.2010 (12)
  15. sdra64.exe... was nun?
    Plagegeister aller Art und deren Bekämpfung - 24.03.2010 (1)
  16. Windows Vista: Desktop schwarz und sdra64.exe
    Log-Analyse und Auswertung - 11.01.2010 (1)
  17. TR/Dropper.Gen in twex.exe, twext.exe und sdra64.exe + mehr
    Plagegeister aller Art und deren Bekämpfung - 15.11.2009 (4)

Zum Thema sdra64.exe, msmsgrs.exe - Hallo Habe schon mal versucht hier zu posten, aber nach dem Senden war alles weg.. Ich kriege die Einzelheiten nicht mehr ganz zusammen, aber ich habe mich in den letzten - sdra64.exe, msmsgrs.exe...
Archiv
Du betrachtest: sdra64.exe, msmsgrs.exe auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.