Lappi von Trojanern befreien ohne formatieren

[Fierlord]

Poste den Inhalt der Log Datei. Die Datei bekommste so nicht hochgeladen.

[c1ox]

Inhalt posten oder hochladen auf z.b. Rapidshare.
Wobei Inhalt posten einfach er wäre.

[xAndrex1212]

magnet:?&xt=urn:sha1:VGMLTQJ34FDYDL6...7BF500&xl=6328

vorerst gehts nur so! hoffe der link funzt!
Posten ist in bearbeitung....

[c1ox]

Öffne die Datei doch einfach nur mit dem Editor und kopiere den Inhalt hier rein?! O.o

[Apex]

Bringt nichts. Kopier den Log hier rein und stell den Link in dein Edit oder in einen neuen Beitrag.

[Styler]

Sonst klick halt einfach auf "Do a systemscan and safe logfile" und kopier dann einfach alles hier rein (wenn er den editor öffnet).

[xAndrex1212]

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 17:19:28, on 13.06.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\system32\sdra64.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Dokumente und Einstellungen\Josephine\Anwendungsdaten\SystemProc \lsass.exe
C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
H:\HiJackThis204.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDO WS\system32\sdra64.exe,
O2 - BHO: (no name) - {0BE38B5E-2948-4E5D-8BA7-5967A739005b} - C:\WINDOWS\system32\eapsvc32.dll
O2 - BHO: (no name) - {138F730C-2E35-4207-BEF2-77DAE3125E41} - C:\WINDOWS\system32\fldrclnr32.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin .dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugi n.dll
O3 - Toolbar: (no name) - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - (no file)
O3 - Toolbar: TerraTec Home Cinema - {AD6E6555-FB2C-47D4-8339-3E2965509877} - C:\PROGRA~1\TerraTec\TerraTec Home Cinema\ThcDeskBand.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Anti Trojan Elite] C:\Programme\Anti Trojan Elite\TJEnder.exe :NO
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [RTHDBPL] C:\Dokumente und Einstellungen\Josephine\Anwendungsdaten\SystemProc \lsass.exe
O4 - HKCU\..\Run: [userinit] C:\Dokumente und Einstellungen\Josephine\Anwendungsdaten\sdra64.exe
O4 - HKCU\..\Run: [Anti Trojan Elite] C:\Programme\Anti Trojan Elite\TJEnder.exe :NO
O4 - HKCU\..\Run: [{164073B4-489B-428A-E290-A137FFF961B4}] "C:\Dokumente und Einstellungen\Josephine\Anwendungsdaten\Baguuk\ocp i.exe"
O4 - HKCU\..\Run: [HijackThis startup scan] H:\HijackThis.exe /startupscan
O4 - HKLM\..\Policies\Explorer\Run: [RTHDBPL] C:\Dokumente und Einstellungen\admin\Anwendungsdaten\SystemProc\lsa ss.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O20 - AppInit_DLLs: C:\WINDOWS\system32\es32.dll
O20 - Winlogon Notify: 387f01e2918 - C:\WINDOWS\system32\es32.dll
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: 3DSP Corporation Monitor Service - Unknown owner - C:\Programme\3DSP\BluetoothWLAN_usb\Utilities\USBM s.exe
O23 - Service: Avira Firewall (AntiVirFirewallService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avfwsvc.exe
O23 - Service: Avira AntiVir MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avmailc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Avira AntiVir WebGuard (AntiVirWebService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: Start BT in service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\StartSkysolSvc.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

--
End of file - 6327 bytes




Gibts ja garnich!!! so leicht kanns gehen! Danke für eure geduld....!

[Styler]

C:\Dokumente und Einstellungen\Josephine\Anwendungsdaten\SystemProc \lsass.exe
Das mal auf Rapidshare (am besten mit PW).

Nochmal die Frage: Darf ich ihm/ihr hier den DL-Link zu nem gecrackten remove tool reinstellen?

[Apex]

@Styler Die Datei ist nicht schädlich.. Die Datei ist der lokale Sicherheitsdienst auf deinem PC und steuert die Richtlinen für die User.. Der Grund der Datei ist, dass man nicht als Administrator eingelogt ist oder auf bestimmte Daten keinen Zugriff hat.

C:\WINDOWS\system32\sdra64.exe <- Die Datei ist schädlich. Bitte den Computer im abgesicherten Modus starten und die Datei dann löschen oder umbennen, wobei löschen besser wäre. DAnach startest du den Computer neu und gehst in deine Regstry. Danach navigierst du zu:

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/Winlogon

und dort machste einen Doppelklick auf den "Userint" Eintrag und entfernst alles nach dem Kommer. Danach starteste wieder neu und machst wieder einen HiJackThislog und postest wieder hier.

[Ratchet]

@Styler Die Datei ist nicht schädlich.. Die Datei ist der lokale Sicherheitsdienst auf deinem PC und steuert die Richtlinen für die User.. Der Grund der Datei ist, dass man nicht als Administrator eingelogt ist oder auf bestimmte Daten keinen Zugriff hat.

C:\WINDOWS\system32\sdra64.exe <- Die Datei ist schädlich. Bitte den Computer im abgesicherten Modus starten und die Datei dann löschen oder umbennen, wobei löschen besser wäre. DAnach startest du den Computer neu und gehst in deine Regstry. Danach navigierst du zu:

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/Winlogon

und dort machste einen Doppelklick auf den "Userint" Eintrag und entfernst alles nach dem Kommer. Danach starteste wieder neu und machst wieder einen HiJackThislog und postest wieder hier.

Doch es handelt sich sehr wahrscheinlich um einen Virus, der sich nur genauso wie die systemdatei nennt. Die richtige lsass.exe liegt im Systemverzeichnis.

EDIT: Es ist 100% ein Virus, da es hier beim Systemstart ausgeführt wird. Typisch für malware. Vermutlich einer der Vielen Trojaner.
O4 - HKCU\..\Run: [RTHDBPL] C:\Dokumente und Einstellungen\Josephine\Anwendungsdaten\SystemProc \lsass.exe