|
Hilfe hab den reader_s.exe Virus Hallo, bin neu hier und habe gleich ein richtig schlimmes Problem! Habe mir den reader_s.exe Virus eingefangen und vielleicht noch mehr! Bin durch Spybot darauf aufmerksam geworden. Auch startet mein PC jetzt immer mal wieder plötzlich neu. Bis jetzt könnte ich erlesen das da wenig Hoffung besteht diesen Virus zu löschen. Wollte es dann mal mit einem neuaufspielen eines Images meines Partition C versuchen. Geht nicht der sitzt nämlich auch im Bootsektor! Selbst Anti Vir lasst sich nicht mehr installieren weil etwas verändert wird. Habe mehrere Partitionen C mit dem Betriebssystem D für Daten und G für Daten und Z für die Images die ich von C gemacht habe. Sind die Dateien auf den anderen Partitionen jetzt alles Futsch? Habe Service Pack 3 installiert. Erbitte Hilfe Anleitung zum wiederherstellen meines Systems oder ähnliches. Hier mal der Log -File: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 11:01:33, on 16.08.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe C:\WINDOWS\System32\svchost.exe C:\Programme\TomTom HOME 2\TomTomHOMEService.exe C:\Programme\Gemeinsame Dateien\Siemens\sws\almsrv\almsrvx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\TomTom HOME 2\TomTomHOMERunner.exe C:\Programme\Rainlendar\Rainlendar.exe C:\WINDOWS\System32\alg.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\reader_s.exe C:\Programme\Outlook Express\msimn.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe C:\WINDOWS\System32\wbem\wmiprvse.exe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe, O1 - Hosts: 127.255.255.255 serial.alcohol-soft.com O2 - BHO: C:\WINDOWS\system32\hs7f3uhduhfukde.dll - {BD56A320-23F2-42AD-F4E4-00AAC39CAA53} - C:\WINDOWS\system32\hs7f3uhduhfukde.dll O3 - Toolbar: (no name) - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file) O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - (no file) O4 - HKLM\..\Run: [21398] C:\WINDOWS\system32\34.tmp.exe O4 - HKLM\..\Run: [reader_s] C:\WINDOWS\System32\reader_s.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe" /automount O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [RGSC] D:\Programme\Rockstar Games\Rockstar Games Social Club\RGSCLauncher.exe /silent O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Programme\TomTom HOME 2\TomTomHOMERunner.exe" O4 - HKCU\..\Run: [AntiSpyware Service] C:\DOKUME~1\JRG~1\LOKALE~1\Temp\pqopqkqdu.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [reader_s] C:\Dokumente und Einstellungen\Jörg\reader_s.exe (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [reader_s] C:\Dokumente und Einstellungen\Jörg\reader_s.exe (User 'Default user') O4 - Startup: Rainlendar.lnk = C:\Programme\Rainlendar\Rainlendar.exe O4 - Global Startup: AutoCAD-Startbeschleuniger.lnk = C:\Programme\Gemeinsame Dateien\Autodesk Shared\acstart17.exe O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O22 - SharedTaskScheduler: LKMSFOIVAMFOMSFVIOSVJASIUENFJNDJV - {BD56A320-23F2-42AD-F4E4-00AAC39CAA53} - C:\WINDOWS\system32\hs7f3uhduhfukde.dll O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Automation License Manager Service (almservice) - SIEMENS AG - C:\Programme\Gemeinsame Dateien\Siemens\sws\almsrv\almsrvx.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe O23 - Service: AVK Tuner Service - Unknown owner - C:\Programme\G DATA InternetSecurity TotalCare\AVKTuner\AVKTunerService.exe (file missing) O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: LVCOMSer - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe O23 - Service: TomTomHOMEService - TomTom - C:\Programme\TomTom HOME 2\TomTomHOMEService.exe -- End of file - 8416 bytes Hoffe mir kann jemand helfen… Gruß Jörg |
Der Zbot (sdra64.exe) ist dein groesseres Problem. Dies Malware hat dir alles an informationen, Passworte ect geklaut, was auf deinem Rechner gespeichert und eingegeben wurde. Du solltest den PC alleine aus diesem Grund neu aufsetzen und entsprechend alle Passworte von einem anderen sauberen PC aendern. Ob du das Risiko der Reinigung eingehen willst, liegt bei dir. Siehe dazu die Unterpunkte bei Punkt 2 http://www.trojaner-board.de/69886-a...-beachten.html |
Hallo und Herzlich Willkommen! :) O1 - Hosts: 127.255.255.255 serial.alcohol-soft.com - das Programm aus unsicherer Quelle genommen? - Da musst du mit dem Schlimmsten rechnen, zwar dass Du dein Rechner RICHTIG formatieren und neu aufsetzen musst! Nämlich Du hast auf deinem Rechner einen "Virut" Infektion! In deisem Fall genügt es nicht,dass System einfach neu zu installieren bzw Daten v. infizierten PC sichern und dann zurückspielen! Virut infiziert alle *.exe aber andere Dateien auch auf dem laufwerk:o Also keine chance für eine Systemreinigung, Du kannst nur eins machen: dein ganzes System neu zu installieren! Am besten mit Killdisc die Festplatte löschen, darf nichts zurückbleiben! - Dabei sowohl auch auf alle externe Medium gilt, eine totale Löschung erforderlich!! Meine Diagnose zum Bestätigen: → besuche die Seite von virustotal und die Dateien aus Codebox bitte prüfen lassen - inklusive Dateigröße und Name, MD5 und SHA1 auch mitkopieren: Code: C:\WINDOWS\System32\reader_s.exe→ Suche die Datei auf deinem Rechner→ Doppelklick auf die zu prüfende Datei (oder kopiere den Inhalt ab aus der Codebox) → "Senden der Datei" und Warte, bis der Scandurchlauf aller Virenscanner beendet ist → das Ergebnis wie Du es bekommst da reinkoperen (inklusive Dateigröße und Name, MD5 und SHA1): ** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw gruß Coverflow |
Danke erstmal! Ist ja super :heulen:. Habt ihr irgenwo eine Anleitung zum Formatieren und dann Systemwiederneuaufsetzen? @ coverflow: Ich bekomme den link zu virustotal nicht auf! Liegt das mit am Virus? Oder ist der Server dicht? Heißt das jetzt auch alles anderen Partitionen sind zu löschen! AAHHHHHHH das wäre der supergau meine Daten alle futsch!!! Gruß Jörg |
Hier gibts fast alles!:) http://www.trojaner-board.de/51262-a...sicherung.html und ja, der Aufruf von VT kann durch Malware verhindert werden. |
hi nein der Link ist OK..es liegt ja an "Virut", Backdoor-Server und Rootkits... Tipps & Tricks:
|
OK! Danke erstmal für das einschätzen und beurteilen der Lage. Also werde ichs mal angehen! Habe erstmal ausgestöpselt und bin jetzt an einem anderen Rechner. Ich werde versuchen nur meine C Partition per Anleitung zu löschen. Werde für die Formatierung die Knoppix Linux CD Variante anwenden. Die anderen Partitionen werde ich nicht löschen da die Dateien hier einfach zu wichtig sind! Es sind teils Dateien die ich über Jahre erstellt und gesammelt habe. Löschen ist hier ein no go! Macht mein Plan dann so überhaupt einen Sinn? Oder springt mir der Virus dann wieder von einer anderen Partition auf mein frisch aufgesetztes System der anderen Partition? Eine Frage habe ich noch habe mir vor einiger zeit mit dem Progy iso builder eine XP CD mit SP2 & SP3 (eingebunden) erstellt. Kann ich diese verwenden? Was meint Ihr? Kann das so funktinieren? Oder soll ich gleich zu einem Hilfe PC Dienst gehen? Gruß Jörg |
Wenn du dir zutraust, das zu machen, mach es. Es kann dich nur weiterbringen. Wichtig ist noch, das du keine der Dateien von der verbliebenen Partition und externen Datentraeger startest, bevor du sie nicht erst mit Antivir oder die am haeufigsten gebrauchten Dateien bei virustotal.com geprueft hast. Starte eine uebersehene infizierte Datei und sie wird dir alle anderen wieder infizieren! |
Hallo, ich rate Dir die ganze Platte neu zu partitionieren und richtig zu formatieren. Es hat keinen halbe Sachen zu machen. Du kannst ja Bilder, Texte und Videos aus CD/DVD brennen. Dann kannst Du hinterher den Rechner mit einer RettungsCD starten und diese Sicherheitskopien prüfen. Klaus |
Ich komme nicht weiter... Bin jetzt auf der Knoppix Oberfläche und bin in der Konsole habe mich auch schon in die Befehle eingelesen aber ich kann hier eine Tabelle meiner Partitionen bekommen. Habe dies über den Fdisk Befehl probiert knoppix@1[knoppix]$ f disk dev/hda Meldung: konnte /dev/hda nicht öffnen Wie komme ich hier weiter? Gruß Jörg |
So habe jetzt mit Killdisc gemacht. Installation von Win lief gut durch. Habe jetzt mal alles installiert was hier im Board vorgeschlagen wird. Anti Vir CCleaner Anti Maleware Beim Ausführen von Anti Vir hat dieser noch was gefunden im Masterbootsektor & Bootsektor der anderen Partitionen!! Den Bootsektor habe ich neu erstellt mit fixboot aber den Materbootsektor neu zu erstellen war mir zu gefährlich am ende wären meine ganzen dateien weg! Soll ich das trotzdem machen? Habe jetzt nochmal den Rsit gestartet geht leider nicht alles in den Thead rein: Logfile of random's system information tool 1.06 (written by random/random) Run by Jörg at 2009-08-18 10:26:53 Microsoft Windows XP Professional Service Pack 3 System drive C: has 27 GB (87%) free of 31 GB Total RAM: 2047 MB (80% free) Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 10:26:54, on 18.08.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\WINDOWS\Explorer.EXE C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\devldr32.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Avira\AntiVir Desktop\avcenter.exe C:\Programme\Avira\AntiVir Desktop\avscan.exe C:\Progys\RSIT.exe C:\Programme\trend micro\Jörg.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.winfuture.de O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe -- End of file - 2234 bytes ======Scheduled tasks folder====== C:\WINDOWS\tasks\WGASetup.job ======Registry dump====== [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "avgnt"=C:\Programme\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] "dontdisplaylastusername"=0 "legalnoticecaption"= "legalnoticetext"= "shutdownwithoutlogon"=1 "undockwithoutlogon"=1 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "NoDriveTypeAutoRun"=145 "NoAutoTrayNotify"=1 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "NoAutoTrayNotify"= "HonorAutoRunSetting"= [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" Heißt wohl Masterbootsektor von C neu machen und alle bootsektoren der anderen Partitionen auch neu machen und XP nochmal installieren. Gruß Jörg |
hi Master Boot Record überprüfen:
|
Ich habe mal laut einem anderen Thead versucht den Virus mit dem Programm von softpedia.com/progDownload/Norman-Sinowal-Cleaner-Download-104305.html auszumerzen. Jetzt findet Anti vir keinen Virus mehr zur Sicherheit habe ich aber nochmal mbr.exe ausgeführt. Hier: Microsoft Windows XP [Version 5.1.2600] (C) Copyright 1985-2001 Microsoft Corp. C:\Dokumente und Einstellungen\Jörg>cd.. C:\Dokumente und Einstellungen>cd. C:\Dokumente und Einstellungen>cd.. C:\>mbr Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.6 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully kernel: MBR read successfully user & kernel MBR OK malicious code @ sector 0x12a18ac1 size 0x1b6 ! PE file found in sector at 0x012A18AC1 ! Das heißt der Virus is wohl noch da! Mist! Bitte um weitere Anweisungen. Gruß Jörg |
Kann mir nienmand sagen. Ob ich jetzt Virenfrei bin oder nochmal aufsetzen muss! Hier nochmal mein Log: Logfile of random's system information tool 1.06 (written by random/random) Run by Jörg at 2009-08-19 23:28:32 Microsoft Windows XP Professional Service Pack 3 System drive C: has 23 GB (75%) free of 31 GB Total RAM: 2047 MB (73% free) Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 23:28:45, on 19.08.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\WINDOWS\Explorer.EXE C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe C:\WINDOWS\system32\devldr32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Mozilla Firefox\firefox.exe c:\programme\avira\antivir desktop\avcenter.exe C:\WINDOWS\system32\wuauclt.exe C:\Progys\RSIT.exe C:\Programme\trend micro\Jörg.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.winfuture.de O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe -- End of file - 3462 bytes Den gesamten Log kann ich nicht reinsetzen da zu lang. Wie kann ich diesen denn komplett posten? Gruß Jörg |
Hi, da steht's doch: Zitat:
Karl |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 13:38 Uhr. |
Copyright ©2000-2024, Trojaner-Board