Der Trojaner sdra64.exe ist nicht leicht loszubekommen, aber es geht. Generell ist autoruns (for Windows, ehemals von SysInternals, was M$ sich eingekauft hat) ein jederzeit nützliches Tool, um auch die versteckten "Updates" und "Mitesser" (beim Hochfahren) aufzuspueren. Findet sich aber unter WinLogon so etwas wie eine sdr64.exe hat man sich einen Trojaner / Keylogger eingefangen. Das aeussert sich gern bereits beim Hochfahren, wenn der Explorer gar nicht gestartet wird. Aber mit etwas Muehen ist auch das Biest sdra64.exe loszubekommen:
Erstmal den sogen. "Process Explorer" runterladen (Suma Deiner Wahl wirds finden, bitte aber nur von vertrauenswürdigen Quellen runterladen, sonst hat man nachher nur noch die Vermehrung angestossen
).
Process Explorer starten und dann:
1. CTRL+F drücken, und sdra64.exe eingeben
2. Unten in den Suchergebnissen den Eintrag selektieren, Rechtsklick und Close Handle auswaehlen
3. Das selbe wie in 1. und 2. wiederholen, aber für den Suchbegriff lowsec
3. Jetzt Husch nach c:\windows\system32 huepfen und dort das Biest sdra64.exe loeschen
4. Oben in die Adressleiste des Explorers eingeben (da Ordner versteckt) c:\windows\system32\lowsec - auch diesen Ordner (enthaelt Erspaehtes) loeschen. Keine Angst, ist definitiv kein Windows-Ordner.
5. Rechner neu starten.
6. Registry Editor starten mit: Start > Ausfuehren > regedit
7. In Schluessel ungefaehr HKEY_LOCAL_MACHINE > SOFTWARE > MICROSOFT > WINDOWS NT > WINLOGON huepfen (oder Suche benutzen nach WinLogon)
8. Im "richtigen" WinLogOn Schluessel ist so etwas eingetragen wie C:\WINDOWS\system32\userinit.exe,<....> (bzw. C:\WINNT\.... je nach System)
9. Alles nach und incl. dem Komma loeschen, denn dort wird u.a. sdra64.exe aufgerufen
10. Hat man alle Anweisungen richtig befolgt duerfte nach Klick auf Ansicht > Aktualisieren der Eintrag bei C:\WINDOWS\system32\userinit.exe bleiben
sdra64.exe ist nun ausgestanden. Wer ganz sicher gehen will laesst noch einen Virencheck drueberlaufen. Uebrigens findet Avira AntiVir den Virus nicht einmal wenn man einen Rechtsklick auf die sdra64.exe macht und es anweist "Diese Datei ueberpruefen", auch nicht mit den neuesten Viren-Signatur-Updates. Liegt ggf. daran dass sich avira AntiVir nicht "traut", weil die Datei normalerweise im laufenden Betrieb wegen winlogon gelocked ist?
Das erspart einem zwar nicht das entfernen der Registry-Einträge, wirkt aber dafür auch gegen hartnäckige Würmer, da man sich ausserhalb der Kontrolle des zu überprüfenden Betriebssystems befindet ...
In einer solchen Situation empfiehlt sich dann auch gleichmal ein Virenscan von der Live-CD aus (Kanotix liefert clam mit, ermöglicht es aber auch antivir, etc. zu nutzen um die Windows-Partitionen nach potentiellen schädlingen zu durchsuchen)...
Falls man sich ein Windows Kernel Rootkit eingefangen hat, hat man afaik auch kaum eine andere Wahl als den Schaden ausserhalb des OS zu beheben...
(zu deinem Verdacht mit dem Locking: Das sollte antivir idr. egal sein - es ist gängige Praxis der Würmer die digitale Wegfahrsperre so hartnäckig wie möglich auszufahren )
[Link zu http://kopfhoerer-shop24.de]
Ich hab langsam auch keine lust mehr auf diesen ganzen Windows Mü.. KRAM!
[Link zu http://bauherren-informationen.de]