Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: C:\WINDOWS\system32\sdra64.exe u.v.a.

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 16.07.2010, 22:51   #1
henri
 
C:\WINDOWS\system32\sdra64.exe u.v.a. - Standard

C:\WINDOWS\system32\sdra64.exe u.v.a.



Hallo allerseits,

das Netbook meiner Freundin zickte die letzten drei Tage ordentlich rum. Dauerte ewig, bis das Gerät hochgefahren war, Word ließ sich nur noch in Ausnahemfällen bedienen, und die Browser verweigerten nacheinander ihren Dienst. Erst ließ sich Firefox nicht mehr benutzen, danach probierte sie es mit Chrome (und vermutete zunächst einen Software-Fehler), der nach kurzem Gebrauch ebenfalls streikte. Zuletzt war sie wohl mit dem Internet Explorer unterwegs, aber auch da: Das gleiche Spiel. Sie hat sich über das lahme Arbeitstempo zunächst keine Gedanken gemacht. Als dann aber zwei Browser ausgefallen waren, hat sie mich dann doch um Hilfe gebeten. Allerdings bin ich auch nur absoluter Laie. Hab mal einen Virenscanner (AVG) drüber geschickt. Der wurde dann bei "userinit.exe" fündig und meldete mir, dass sich das Problem nicht beheben lassen würde, da wichtige Systemdatei und der Trojaner ("Trojan.Generic.4165900 (DB)") auf einer so genannten "White List" (?). Habe danach ein wenig gegoogelt und dann per USB-Stick ein Programm namens "eScan" rübergespielt. Der hat jetzt knapp zwei Stunden gesucht, und zu meinem Erschrecken eine gewaltige Liste an Trojanern und Viren ermittelt. Während des Suchvorgangs hat sich ein Prozess namens "Project1.exe" verabschiedet - was auch immer das gewesen ist. Und unter laufenden Prozessen taucht die sdra64.exe auf, die hier im Board auch mehrfach abgehandelt wurde...

Ich habe nicht den blassesten Schimmer, wie der Mist drauf gekommen ist.

[Nachtrag]: Habe das Gerät nach dem Scan neugestartet. Jetzt funktioniert rein gar nix mehr, d.h. ich komme nicht mehr in Windows, auch nicht abgesichert. Wenn ich den Benutzer auswähle, meldet er sich an, Desktop leuchtet kurz auf und dann meldet er sich sofort wieder ab!

Ich poste einfach die Funde des eScans hier an:





16 Jul 2010 21:17:29 - *********************************************************************************************



16 Jul 2010 21:17:29 - Optionen für Kommandozeile angegeben: /xsign

16 Jul 2010 21:17:46 - Aktuellstes Datum der in MWAV enthaltenen Dateien: Fri Jul 16 18:00:44 2010.

16 Jul 2010 21:17:46 - Plugins FileCount: 683 Sign Version: 7.32818

16 Jul 2010 21:17:48 - Loading/Creating FileScan Database C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MicroWorld\MWAV\ESCANDBX.MDB [Log: C:\Dokumente und Einstellungen\Sabrina\Lokale Einstellungen\Temp\ESCANDB.LOG]

16 Jul 2010 21:17:49 - Loaded/Created FileScan Database...

16 Jul 2010 21:17:49 - Loading AV Library [DB]...

16 Jul 2010 21:17:52 - AV Library Loaded [DB-DIRECT].

16 Jul 2010 21:17:52 - MWAV doing self scanning...

16 Jul 2010 21:17:52 - MWAV files are clean.
16 Jul 2010 21:19:39 - Virendatenbankdatum: 16 Jul 2010
16 Jul 2010 21:19:39 - Virendatenbankzähler: 6519562

16 Jul 2010 21:19:58 - **********************************************************
16 Jul 2010 21:19:58 - eScan-Antiviren- und Antispyware-Werkzeugsatz.
16 Jul 2010 21:19:58 - Copyright © MicroWorld
16 Jul 2010 21:19:58 -
16 Jul 2010 21:19:58 - Support: support@escanav.com
16 Jul 2010 21:19:58 - Web: hxxp://www.escanav.com
16 Jul 2010 21:19:58 - **********************************************************
16 Jul 2010 21:19:58 - Version 12.0.44[DB] (C:\DOKUMENTE UND EINSTELLUNGEN\SABRINA\LOKALE EINSTELLUNGEN\TEMP\MEXETMP.EX~)
16 Jul 2010 21:19:58 - Logdatei: C:\Dokumente und Einstellungen\Sabrina\Lokale Einstellungen\Temp\MWAV.LOG
16 Jul 2010 21:19:58 - User Account: Sabrina (Administrator Mode)
16 Jul 2010 21:19:58 - Windows Root Folder: C:\WINDOWS
16 Jul 2010 21:19:58 - Windows Sys32 Folder: C:\WINDOWS\system32
16 Jul 2010 21:19:58 - OS: Windows XP [OS Install Date: 06 May 2009 00:58:46]
16 Jul 2010 21:19:58 - Ver: Service Pack 3 (Build 2600)
16 Jul 2010 21:19:58 - Aktuellstes Datum der in MWAV enthaltenen Dateien: Fri Jul 16 18:00:44 2010.
16 Jul 2010 21:19:58 - Plugins FileCount: 683 Sign Version: 7.32818

16 Jul 2010 21:19:58 - Vom Benutzer gewählte Optionen:
16 Jul 2010 21:19:58 - Speicherüberprüfung: Aktiviert
16 Jul 2010 21:19:58 - Überprüfung der Registrierungsdatenbank: Aktiviert
16 Jul 2010 21:19:58 - Überprüfung des Startordners: Aktiviert
16 Jul 2010 21:19:58 - Überprüfung des Systemordners: Aktiviert
16 Jul 2010 21:19:58 - Überprüfung der Dienste: Aktiviert
16 Jul 2010 21:19:58 - Scannen Spyware: Aktiviert
16 Jul 2010 21:19:58 - Überprüfung der Laufwerke: Deaktiviert
16 Jul 2010 21:19:58 - Überprüfung aller Laufwerke:Aktiviert
16 Jul 2010 21:19:58 - Überprüfung der Ordner: Aktiviert
16 Jul 2010 21:19:58 - Gewählter Ordner = C:\WINDOWS
16 Jul 2010 21:19:58 - SCAN: All_Files
16 Jul 2010 21:19:58 - MWAV Mode: Scan and Clean files (for viruses, adware and spyware)


16 Jul 2010 21:19:59 - ***** Speicherdateien werden gescannt *****

16 Jul 2010 21:20:38 - ***** Dateien der Registrierungsdatenbank werden gescannt *****
16 Jul 2010 21:20:39 - ERROR(3)!!! Invalid Entry = C:\WINDOWS\system32\iebho0E.dll (in key HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D032570A-5F63-4812-A094-87D007C23012}). Action Taken: Removing it.
16 Jul 2010 21:22:31 - Datei C:\WINDOWS\system32\userinit.exe wird gescannt
16 Jul 2010 21:22:35 - [Added C:\WINDOWS\system32\userinit.exe to ZIP FILE]
16 Jul 2010 21:22:35 - No action taken on [C:\WINDOWS\system32\userinit.exe] as it is a Reserved System File!
16 Jul 2010 21:22:35 - Datei C:\WINDOWS\system32\userinit.exe ist durch den Virus "Trojan.Generic.4165900 (DB)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.

16 Jul 2010 21:22:35 - Successfully copied [C:\WINDOWS\system32\dllcache\userinit.exe] to [C:\WINDOWS\system32\userinit.exe]
16 Jul 2010 21:22:35 - *** SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon hat "RunningProcess" als [C:\WINDOWS\system32\userinit.exe] definiert (die infiziert ist)!
16 Jul 2010 21:22:35 - *** Registrierungswert SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit gelöscht, da er durch einen Virus infiziert worden ist!
16 Jul 2010 21:22:35 - OpenError (C:\WINDOWS\system32\sdra64.exe): Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird. (0x20)
16 Jul 2010 21:22:35 - ** Scannen kann fehlschlagen! Datei gesperrt [SUSPEKT]: C:\WINDOWS\system32\sdra64.exe (????)
16 Jul 2010 21:22:35 - ** Forcing Rename on Reboot of file C:\WINDOWS\system32\sdra64.exe to C:\WINDOWS\system32\sdra64.exe.10770967
16 Jul 2010 21:22:36 - C:\WINDOWS\system32\sdra64.exe konnte nicht gescannt werden, da sie möglicherweise durch Passwort geschützt ist...
16 Jul 2010 21:22:37 - Invalid Entry DllName = appmgmts.dll (in key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Action Taken: Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}.
16 Jul 2010 21:22:37 - ** NON-STANDARD WINLOGON NOTIFY KEY [SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\avgrsstarter]
16 Jul 2010 21:22:41 - Wert in der Registrierungsdatenbank wird ersetzt: ******** (HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost/netsvcs) Previous Value: [SSHNAS], New Value: [NULL]
16 Jul 2010 21:22:55 - ERROR(3)!!! Invalid Entry ICQ = "C:\PROGRA~1\ICQ6.5\ICQ.exe" silent (in key HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run). Action Taken: Removing it.
16 Jul 2010 21:23:16 - ScanFile took 21.16 Secs [C:\Dokumente und Einstellungen\Sabrina\Lokale Einstellungen\Temp\Fhm.exe]...


16 Jul 2010 21:23:16 - ***** Startordner werden gescannt *****

16 Jul 2010 21:23:32 - ***** Dateien bezüglich Dienste werden gescannt *****
16 Jul 2010 21:23:33 - ERROR(2)!!! Invalid Entry %SystemRoot%\System32\appmgmts.dll. Action Taken: Removing HKLM\SYSTEM\CurrentControlSet\Services\AppMgmt.
16 Jul 2010 21:23:48 - ERROR(2)!!! Invalid Entry C:\WINDOWS\system32\sshnas21.dll. Action Taken: Removing HKLM\SYSTEM\CurrentControlSet\Services\SSHNAS.

16 Jul 2010 21:23:51 - ***** Registrierungsdatenbank und Dateisystem werden auf Schnüffelprogramme (Spyware) und werbefinanzierte Software (Adware) geprüft *****
16 Jul 2010 21:23:53 - Signaturen der Spionageprogramme werden aus einer neuen auswärtigen Datenbank geladen [Name: C:\DOKUME~1\Sabrina\LOKALE~1\Temp\spydb.avs, Größe: 947346]...
16 Jul 2010 21:23:53 - Indexed Spyware Databases Successfully Created...

16 Jul 2010 21:23:54 - System found infected with video activex access Trojan (HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects\{7E853D72-626A-48EC-A868-BA8D5E23E045})! Action taken: Einträge entfernt.
16 Jul 2010 21:23:54 - Objekt "video activex access Trojan" im Dateisystem gefunden! Maßnahme ergriffen: Einträge entfernt.

16 Jul 2010 21:23:58 - Offending file found: C:\WINDOWS\system32\sdra64.exe
16 Jul 2010 21:23:58 - System found infected with Advanced Virus Protection Corrupted Adware/Spyware (sdra64.exe)! Action taken: Datei gelöscht.
16 Jul 2010 21:23:58 - Objekt "Advanced Virus Protection Corrupted Adware/Spyware" im Dateisystem gefunden! Maßnahme ergriffen: Datei gelöscht.

16 Jul 2010 21:24:05 - Offending file found: C:\WINDOWS\system32\sshnas21.dll
16 Jul 2010 21:24:05 - System found infected with Trojan.Renos.PGZ Trojan-Downloader (sshnas21.dll)! Action taken: Datei gelöscht.
16 Jul 2010 21:24:05 - Objekt "Trojan.Renos.PGZ Trojan-Downloader" im Dateisystem gefunden! Maßnahme ergriffen: Datei gelöscht.

16 Jul 2010 21:24:05 - Offending file found: C:\DOKUME~1\Sabrina\LOKALE~1\Temp\winservice.exe
16 Jul 2010 21:24:05 - System found infected with combo Spyware/Adware (winservice.exe)! Action taken: Datei gelöscht.
16 Jul 2010 21:24:17 - Offending file found: C:\Dokumente und Einstellungen\Sabrina\Lokale Einstellungen\Temp\AVCBack\winservice.exe
16 Jul 2010 21:24:17 - System found infected with combo Spyware/Adware (winservice.exe)! Action taken: Datei gelöscht.
16 Jul 2010 21:24:22 - Offending file found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AVG Security Toolbar\IEToolbar.dll
16 Jul 2010 21:24:22 - System found infected with CoolWebSearch parasite variant Spyware/Adware (IEToolbar.dll)! Action taken: Datei gelöscht.
16 Jul 2010 21:24:22 - Objekt "CoolWebSearch parasite variant Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Datei gelöscht.

16 Jul 2010 21:24:26 - Offending Registry Entry found: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AlwaysUnloadDLL
16 Jul 2010 21:24:26 - System found infected with RegSort Corrupted Adware/Spyware (HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AlwaysUnloadDLL)! Action taken: Einträge entfernt.
16 Jul 2010 21:24:26 - Objekt "RegSort Corrupted Adware/Spyware" im Dateisystem gefunden! Maßnahme ergriffen: Einträge entfernt.

16 Jul 2010 21:24:27 - Offending Registry Entry found: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run/Alcmtr
16 Jul 2010 21:24:27 - System found infected with combo Spyware/Adware (HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run/Alcmtr)! Action taken: Einträge entfernt.
16 Jul 2010 21:24:28 - Offending Registry Entry found: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network/UID
16 Jul 2010 21:24:28 - System found infected with combo Spyware/Adware (HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network/UID)! Action taken: Einträge entfernt.
16 Jul 2010 21:24:28 - Offending file found: C:\WINDOWS\Tasks\{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job
16 Jul 2010 21:24:28 - System found infected with Trojan.Renos.PGZ Trojan-Downloader (C:\WINDOWS\Tasks\{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job)! Action taken: Datei gelöscht.
16 Jul 2010 21:24:28 - Objekt "Trojan.Renos.PGZ Trojan-Downloader" im Dateisystem gefunden! Maßnahme ergriffen: Datei gelöscht.

16 Jul 2010 21:24:28 - Offending file found: C:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job
16 Jul 2010 21:24:28 - System found infected with Trojan.Renos.PGZ Trojan-Downloader (C:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job)! Action taken: Datei gelöscht.
16 Jul 2010 21:24:28 - Objekt "Trojan.Renos.PGZ Trojan-Downloader" im Dateisystem gefunden! Maßnahme ergriffen: Datei gelöscht.


16 Jul 2010 21:24:28 - ***** Dateien der Registrierungsdatenbank werden gescannt *****
16 Jul 2010 21:24:30 - OpenError (C:\WINDOWS\system32\sdra64.exe): Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird. (0x20)
16 Jul 2010 21:24:30 - ** Scannen kann fehlschlagen! Datei gesperrt [SUSPEKT]: C:\WINDOWS\system32\sdra64.exe (????)
16 Jul 2010 21:24:30 - ** Forcing Rename on Reboot of file C:\WINDOWS\system32\sdra64.exe to C:\WINDOWS\system32\sdra64.exe.16183282
16 Jul 2010 21:24:30 - C:\WINDOWS\system32\sdra64.exe konnte nicht gescannt werden, da sie möglicherweise durch Passwort geschützt ist...
16 Jul 2010 21:24:30 - ** NON-STANDARD WINLOGON NOTIFY KEY [SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\avgrsstarter]
16 Jul 2010 21:24:30 - Clearing Temporary sub-folders as Spyware/Adware found in system...
16 Jul 2010 21:24:31 - Few files will be deleted *ONLY* on reboot...
16 Jul 2010 21:24:35 - ** Value in HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\main/Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
16 Jul 2010 21:24:35 - ** Value in HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\main/Start Page = hxxp://start.icq.com/

16 Jul 2010 21:24:35 - ***** System32-Ordner werden gescannt *****
16 Jul 2010 21:27:33 - C:\WINDOWS\system32\sdra64.exe konnte nicht gescannt werden, da sie möglicherweise durch Passwort geschützt ist...

16 Jul 2010 21:28:35 - ScanFile took 8.08 Secs [C:\Dokumente und Einstellungen\Sabrina\Lokale Einstellungen\Temp\download.exe]...

16 Jul 2010 21:28:45 - ScanFile took 6.53 Secs [C:\Dokumente und Einstellungen\Sabrina\Lokale Einstellungen\Temp\esupdate.exe]...

16 Jul 2010 21:29:24 - ScanFile took 39.45 Secs [C:\Dokumente und Einstellungen\Sabrina\Lokale Einstellungen\Temp\Fhj.exe]...

16 Jul 2010 21:29:24 - Zeit überschritten beim Scannen von C:\Dokumente und Einstellungen\Sabrina\Lokale Einstellungen\Temp\Fhj.exe!!!
16 Jul 2010 21:29:27 - Datei C:\Dokumente und Einstellungen\Sabrina\Lokale Einstellungen\Temp\Fhl.exe wird gescannt
16 Jul 2010 21:29:27 - Datei C:\Dokumente und Einstellungen\Sabrina\Lokale Einstellungen\Temp\Fhl.exe ist markiert als "NULL.Corrupted". Maßnahme ergriffen: Datei gelöscht.

16 Jul 2010 21:29:30 - Datei C:\Dokumente und Einstellungen\Sabrina\Lokale Einstellungen\Temp\in3.tmp wird gescannt
16 Jul 2010 21:29:32 - ERROR!!! Unable to Delete file C:\Dokumente und Einstellungen\Sabrina\Lokale Einstellungen\Temp\in3.tmp! Reason is Zugriff verweigert (0x5). File will be deleted on reboot(A).
16 Jul 2010 21:29:32 - Datei C:\Dokumente und Einstellungen\Sabrina\Lokale Einstellungen\Temp\in3.tmp ist durch den Virus "Trojan.Gadja.Injected.A (DB)" infiziert! Maßnahme ergriffen: Datei wird beim Neustart gelöscht.

16 Jul 2010 21:29:47 - ScanFile took 7.13 Secs [C:\Dokumente und Einstellungen\Sabrina\Lokale Einstellungen\Temp\MWAVL.exe]...

16 Jul 2010 21:30:17 - Datei C:\Dokumente und Einstellungen\Sabrina\Lokale Einstellungen\Temp\sshnas21.dll.58482071.mwt wurde bereits einmal gescannt... aber konnte nicht gesäubert werden.
16 Jul 2010 21:30:34 - ScanFile took 6.67 Secs [C:\Dokumente und Einstellungen\Sabrina\Lokale Einstellungen\Temp\viewtcp.exe]...


16 Jul 2010 21:30:35 - ***** Alle Laufwerke werden gescannt *****
16 Jul 2010 21:30:36 - Laufwerk C:\ wird gescannt ...
16 Jul 2010 21:33:03 - ScanFile took 7.99 Secs [C:\Dokumente und Einstellungen\chris\Desktop\gimp-2.6.7-i686-setup.exe]...

16 Jul 2010 21:33:12 - Datei C:\Dokumente und Einstellungen\chris\Lokale Einstellungen\Temp\in1.tmp wird gescannt
16 Jul 2010 21:33:12 - Datei C:\Dokumente und Einstellungen\chris\Lokale Einstellungen\Temp\in1.tmp ist durch den Virus "Trojan.Gadja.Injected.A (DB)" infiziert! Maßnahme ergriffen: Datei gelöscht.

16 Jul 2010 21:33:13 - Datei C:\Dokumente und Einstellungen\chris\Lokale Einstellungen\Temp\in2.tmp wird gescannt
16 Jul 2010 21:33:13 - Datei C:\Dokumente und Einstellungen\chris\Lokale Einstellungen\Temp\in2.tmp ist durch den Virus "Trojan.Gadja.Injected.A (DB)" infiziert! Maßnahme ergriffen: Datei gelöscht.

16 Jul 2010 21:33:13 - Datei C:\Dokumente und Einstellungen\chris\Lokale Einstellungen\Temp\in3.tmp wird gescannt
16 Jul 2010 21:33:13 - Datei C:\Dokumente und Einstellungen\chris\Lokale Einstellungen\Temp\in3.tmp ist durch den Virus "Trojan.Gadja.Injected.A (DB)" infiziert! Maßnahme ergriffen: Datei gelöscht.

16 Jul 2010 21:33:27 - C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG konnte nicht gescannt werden, da sie möglicherweise durch Passwort geschützt ist...
16 Jul 2010 21:33:28 - C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG konnte nicht gescannt werden, da sie möglicherweise durch Passwort geschützt ist...
16 Jul 2010 21:33:28 - C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG konnte nicht gescannt werden, da sie möglicherweise durch Passwort geschützt ist...
16 Jul 2010 21:33:41 - C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG konnte nicht gescannt werden, da sie möglicherweise durch Passwort geschützt ist...
16 Jul 2010 21:35:26 - ScanFile took 5.91 Secs [C:\Dokumente und Einstellungen\Sabrina\Eigene Dateien\Downloads\FreePDF4.02.EXE]...

16 Jul 2010 21:35:32 - ScanFile took 5.63 Secs [C:\Dokumente und Einstellungen\Sabrina\Eigene Dateien\Downloads\gs870w32.exe]...

16 Jul 2010 21:35:55 - ScanFile took 16.03 Secs [C:\Dokumente und Einstellungen\Sabrina\Eigene Dateien\Downloads\SoftonicDownloader36594.exe]...

16 Jul 2010 21:36:01 - ScanFile took 5.33 Secs [C:\Dokumente und Einstellungen\Sabrina\Eigene Dateien\Downloads\Update_Service_Setup-2.10.2.50.exe]...

16 Jul 2010 21:36:47 - C:\Dokumente und Einstellungen\Sabrina\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG konnte nicht gescannt werden, da sie möglicherweise durch Passwort geschützt ist...
16 Jul 2010 21:37:10 - Datei C:\Dokumente und Einstellungen\Sabrina\Lokale Einstellungen\Temp\in3.tmp.63385673.mwt wurde bereits einmal gescannt... aber konnte nicht gesäubert werden.
16 Jul 2010 21:37:22 - Datei C:\Dokumente und Einstellungen\Sabrina\Lokale Einstellungen\Temp\sshnas21.dll.58482071.mwt wurde bereits einmal gescannt... aber konnte nicht gesäubert werden.
16 Jul 2010 21:38:45 - C:\Dokumente und Einstellungen\Sabrina\ntuser.dat.LOG konnte nicht gescannt werden, da sie möglicherweise durch Passwort geschützt ist...
16 Jul 2010 21:40:02 - ScanFile took 7.88 Secs [C:\Programme\AVG\AVG8\AVGToolbarInstall.exe]...

16 Jul 2010 21:45:18 - ScanFile took 6.14 Secs [C:\Programme\Google\Google SketchUp 6\MFC71U.dll]...

16 Jul 2010 21:54:37 - ScanFile took 14.80 Secs [C:\Programme\Skype\Phone\Skype.exe]...

16 Jul 2010 21:54:52 - ScanFile took 14.88 Secs [C:\Programme\Skype\Plugin Manager\ezPMUtils.dll]...

16 Jul 2010 21:55:11 - ScanFile took 14.33 Secs [C:\Programme\Skype\Plugin Manager\spmServices.dll]...

16 Jul 2010 22:00:08 - ScanFile took 7.38 Secs [C:\Programme\Sun\StarOffice 8\program\soa-13.01.00-bin-windows-multi.exe]...

16 Jul 2010 22:06:02 - ScanFile took 5.63 Secs [C:\Programme\WIDCOMM\Bluetooth Software\BTStackServer.exe]...

16 Jul 2010 22:06:15 - ScanFile took 5.76 Secs [C:\Programme\Windows Live\Mail\maillang.dll]...

16 Jul 2010 22:08:02 - ScanFile took 6.47 Secs [C:\Programme\Zattoo\Zattoo1.exe]...

16 Jul 2010 22:10:51 - ScanFile took 6.94 Secs [C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP181\A0040952.exe]...

16 Jul 2010 22:11:01 - ScanFile took 10.41 Secs [C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP181\A0040956.exe]...

16 Jul 2010 22:11:14 - ScanFile took 10.19 Secs [C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP181\A0040959.exe]...

16 Jul 2010 22:17:49 - ScanFile took 6.88 Secs [C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP197\A0049324.exe]...

16 Jul 2010 22:20:39 - Datei C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP205\A0051261.dll wird gescannt
16 Jul 2010 22:21:11 - Datei C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP205\A0051261.dll ist durch den Virus "Trojan.Generic.3999278 (DB)" infiziert! Maßnahme ergriffen: Datei umbenannt.

16 Jul 2010 22:21:39 - ScanFile took 6.50 Secs [C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP207\A0051487.dll]...

16 Jul 2010 22:21:48 - ScanFile took 5.34 Secs [C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP207\A0051493.dll]...

16 Jul 2010 22:22:39 - ScanFile took 8.48 Secs [C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP209\A0051693.dll]...

16 Jul 2010 22:23:08 - INVALID ATTRIBUTES FOR FOLDER [C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP213]. IGNORING.
16 Jul 2010 22:23:32 - INVALID ATTRIBUTES FOR FOLDER [C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP215]. IGNORING.
16 Jul 2010 22:23:32 - INVALID ATTRIBUTES FOR FOLDER [C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP216]. IGNORING.
16 Jul 2010 22:29:31 - ScanFile took 6.53 Secs [C:\WINDOWS\Help\Tours\mmTour\tour.exe]...

16 Jul 2010 22:39:46 - ScanFile took 5.34 Secs [C:\WINDOWS\SoftwareDistribution\Download\2381c010bbd54db6bd2998844a083287b3c76688]...

16 Jul 2010 22:40:07 - ScanFile took 5.53 Secs [C:\WINDOWS\SoftwareDistribution\Download\a05d6e916515124e6c2243eb687d4baeb6ecc035]...

16 Jul 2010 22:40:41 - C:\WINDOWS\system32\CatRoot2\edb.log konnte nicht gescannt werden, da sie möglicherweise durch Passwort geschützt ist...
16 Jul 2010 22:40:41 - C:\WINDOWS\system32\CatRoot2\tmp.edb konnte nicht gescannt werden, da sie möglicherweise durch Passwort geschützt ist...
16 Jul 2010 22:40:42 - C:\WINDOWS\system32\config\default konnte nicht gescannt werden, da sie möglicherweise durch Passwort geschützt ist...
16 Jul 2010 22:40:42 - C:\WINDOWS\system32\config\default.LOG konnte nicht gescannt werden, da sie möglicherweise durch Passwort geschützt ist...
16 Jul 2010 22:40:43 - C:\WINDOWS\system32\config\SAM konnte nicht gescannt werden, da sie möglicherweise durch Passwort geschützt ist...
16 Jul 2010 22:40:43 - C:\WINDOWS\system32\config\SAM.LOG konnte nicht gescannt werden, da sie möglicherweise durch Passwort geschützt ist...
16 Jul 2010 22:40:43 - C:\WINDOWS\system32\config\SECURITY konnte nicht gescannt werden, da sie möglicherweise durch Passwort geschützt ist...
16 Jul 2010 22:40:43 - C:\WINDOWS\system32\config\SECURITY.LOG konnte nicht gescannt werden, da sie möglicherweise durch Passwort geschützt ist...
16 Jul 2010 22:40:43 - C:\WINDOWS\system32\config\software konnte nicht gescannt werden, da sie möglicherweise durch Passwort geschützt ist...
16 Jul 2010 22:40:43 - C:\WINDOWS\system32\config\software.LOG konnte nicht gescannt werden, da sie möglicherweise durch Passwort geschützt ist...
16 Jul 2010 22:40:43 - C:\WINDOWS\system32\config\system konnte nicht gescannt werden, da sie möglicherweise durch Passwort geschützt ist...
16 Jul 2010 22:40:43 - C:\WINDOWS\system32\config\system.LOG konnte nicht gescannt werden, da sie möglicherweise durch Passwort geschützt ist...
16 Jul 2010 22:46:46 - C:\WINDOWS\system32\lowsec\local.ds konnte nicht gescannt werden, da sie möglicherweise durch Passwort geschützt ist...
16 Jul 2010 22:46:46 - C:\WINDOWS\system32\lowsec\user.ds konnte nicht gescannt werden, da sie möglicherweise durch Passwort geschützt ist...
16 Jul 2010 22:48:22 - Laufwerk D:\ wird gescannt ...
16 Jul 2010 22:52:50 - C:\WINDOWS\system32\config\software konnte nicht gescannt werden, da sie möglicherweise durch Passwort geschützt ist...
16 Jul 2010 22:52:50 - C:\WINDOWS\system32\config\software.LOG konnte nicht gescannt werden, da sie möglicherweise durch Passwort geschützt ist...

16 Jul 2010 22:53:18 - *****Auf bestimmte ITW-Viren wird geprüft *****

16 Jul 2010 22:53:19 - ***** Scannen abgeschlossen *****

16 Jul 2010 22:53:19 - Zahl der gescannten Objekte: 150085
16 Jul 2010 22:53:19 - Zahl der kritischen Objekte: 13
16 Jul 2010 22:53:19 - Zahl der desinfizierten Objekte: 0
16 Jul 2010 22:53:19 - Zahl der umbenannten Objekte: 1
16 Jul 2010 22:53:19 - Zahl der gelöschten Objekte: 11
16 Jul 2010 22:53:19 - Gesamtzahl der Fehler: 6
16 Jul 2010 22:53:19 - Zeit verstrichen: 01:33:09
16 Jul 2010 22:53:19 - Virendatenbankdatum: 16 Jul 2010
16 Jul 2010 22:53:19 - Virendatenbankzähler: 6519562

16 Jul 2010 22:53:19 - Scannen abgeschlossen.

Alt 17.07.2010, 14:50   #2
Larusso
/// Selecta Jahrusso
 
C:\WINDOWS\system32\sdra64.exe u.v.a. - Standard

C:\WINDOWS\system32\sdra64.exe u.v.a.





Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.
  • Bitte arbeite alle Schritte der Reihe nach ab.
  • Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
  • Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
  • Bitte kein Crossposting ( posten in mehreren Foren).
  • Installiere oder Deinstalliere während der Bereinigung keine Software ausser Du wurdest dazu aufgefordert.
  • Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
  • Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.


Netbook, also kein CD Laufwerk ?

Schritt 1

Erstellen wir einen bootbaren USB Stick für OTLPE

Wichtig:
Der USB Stick muss mindestens 512 MB oder mehr haben. Sichere gegebenfalls alle Dateien von dem USB Stick, diese werden nach den folgenden Schritten nicht mehr vorhanden sein.
[list=1][*]
  • Download OTLPE.iso von einem dieser Downloadspiegeln und speichere die Datei auf dem Desktop Mirror1 or mirror2
  • Download eeepcfr.zip von hier und speichere diese ebenfalls am Desktop.
  • Solltest Du kein 7-zip or Winrar auf deinem System haben, lade dir 7-zip herunter und installiere es
  • Nach der Installation von 7-zip, extrahiere OTLPE.iso mit einem Rechtsklick auf OTLPE.iso und wähle Entpacken nach "OTLPE\".

    ( englishe Ansicht )


  • Nun entpacke eeepcfr nach systemroot (meistens C:\).
  • Leere den USB Stick auf den Du OTLPE erstellen willst.
  • Navigiere nach C:\eeecpfr und starte usb_prep8.cmd.
  • Drücke im DOS Fenster eine beliebige Taste.
  • Gehe nun sicher das der richtige Laufwerksbuchstabe deines USB Sticks ganz oben steht.
    Für Drive Label: gib ein OTLPE.
    Unter Source Path to built BartPE/WinPE Files klicke ... und wähle den vorher erstellten OTLPE Ordner .
    Setze ein Häckchen bei Enable File Copy.


  • Klicke Start, akzeptiere die Nutzungsbestimmungen.

Nun kannst Du mit dem USB Stick dein System starten!
__________________

__________________

Alt 17.07.2010, 18:45   #3
Larusso
/// Selecta Jahrusso
 
C:\WINDOWS\system32\sdra64.exe u.v.a. - Standard

C:\WINDOWS\system32\sdra64.exe u.v.a.



Sorry, der OTLPE DownloadLink hat sich geändert.

OTLPE.iso
__________________
__________________

Alt 25.07.2010, 10:04   #4
Larusso
/// Selecta Jahrusso
 
C:\WINDOWS\system32\sdra64.exe u.v.a. - Standard

C:\WINDOWS\system32\sdra64.exe u.v.a.



Fehlende Rückmeldung

Dieses Thema wurde aus den Abos gelöscht. Somit bekomm ich keine Benachrichtigung über neue Antworten.

PN an mich falls Du denoch weiter machen willst.

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner schon sauber ist.

Jeder andere eröffnet bitte einen eigenen Thread.
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie

Antwort

Themen zu C:\WINDOWS\system32\sdra64.exe u.v.a.
adware, avg, avg security toolbar, browser, dateisystem, desktop, einstellungen, error, firefox, gesperrt, google, helper, internet, internet explorer, laufwerk c, load.exe, maßnahme, problem, programm, prozess, prozesse, registrierungsdatenbank, registry, registry key, scan, security, sketchup, skype.exe, suspekt, system, trojan.generic., trojaner, white, windows, windows xp, zugriff verweigert



Ähnliche Themen: C:\WINDOWS\system32\sdra64.exe u.v.a.


  1. sdra64.exe
    Plagegeister aller Art und deren Bekämpfung - 03.05.2015 (1)
  2. Avira meldet TR/Sirefef.BV.2 -- C:\\windows\system32\ac97inctc.ddl und nach Quarantäne c:\\windows\system32\persfw.dll
    Plagegeister aller Art und deren Bekämpfung - 12.12.2012 (4)
  3. @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\windows\System32\alg.exe
    Plagegeister aller Art und deren Bekämpfung - 17.04.2011 (1)
  4. Trojaner sdra64
    Plagegeister aller Art und deren Bekämpfung - 19.07.2010 (12)
  5. trojan.js agent apa /sdra64.exe
    Plagegeister aller Art und deren Bekämpfung - 29.05.2010 (3)
  6. sdra64.exe
    Plagegeister aller Art und deren Bekämpfung - 28.05.2010 (15)
  7. Trojaner TR/Dropper.Gen in C:\\windows\system32\sdra64.exe - was muss ich tun?
    Plagegeister aller Art und deren Bekämpfung - 21.05.2010 (34)
  8. sdra64.exe
    Plagegeister aller Art und deren Bekämpfung - 20.05.2010 (28)
  9. sdra64 entfernen, aber wie?
    Plagegeister aller Art und deren Bekämpfung - 20.05.2010 (6)
  10. sdra64.exe und andere Trojaner
    Log-Analyse und Auswertung - 01.05.2010 (13)
  11. sdra64.exe ++
    Log-Analyse und Auswertung - 30.04.2010 (17)
  12. C:\WINDOWS\system32\sdra64.exe mit TR/Spy.ZBot.ahgi infiziert
    Log-Analyse und Auswertung - 19.04.2010 (12)
  13. sdra64.exe, msmsgrs.exe
    Plagegeister aller Art und deren Bekämpfung - 08.04.2010 (10)
  14. sdra64.exe... was nun?
    Plagegeister aller Art und deren Bekämpfung - 24.03.2010 (1)
  15. Trojaner Trojan-Spy.Win32.Zbot.gen in C:\windows\system32\sdra64.exe
    Plagegeister aller Art und deren Bekämpfung - 19.03.2010 (4)
  16. Windows Vista: Desktop schwarz und sdra64.exe
    Log-Analyse und Auswertung - 11.01.2010 (1)
  17. F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDO WS\system32\n
    Log-Analyse und Auswertung - 05.10.2007 (10)

Zum Thema C:\WINDOWS\system32\sdra64.exe u.v.a. - Hallo allerseits, das Netbook meiner Freundin zickte die letzten drei Tage ordentlich rum. Dauerte ewig, bis das Gerät hochgefahren war, Word ließ sich nur noch in Ausnahemfällen bedienen, und die - C:\WINDOWS\system32\sdra64.exe u.v.a....
Archiv
Du betrachtest: C:\WINDOWS\system32\sdra64.exe u.v.a. auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.