Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Bootsektor Virus "BOO/Sinowal.C"

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 30.12.2008, 12:00   #1
Gumma
 
Bootsektor Virus "BOO/Sinowal.C" - Standard

Bootsektor Virus "BOO/Sinowal.C"



Hi, ich hab grade mit dem AntiVir Personal den Virus BOO/Sinowal.C gefunden, anscheinend ein Bootsektor-Virus...

Der Scanner schlägt mir nun vor das Bootsektor-Reperaturtool von Avira runterzuladen, was ich auch getan habe, auf ne CD gebrannt habe und danach von dieser gebootet habe. Das Programm lief auch an und hat den Virus auch gefunden, allerdings macht es keine Anstalten daran etwas zu ändern... ich lande danach einfach wieder in der Eingabeaufforderung. Ich hab ein bisschen im Internet hinundher gesucht, aber wirklich viel hab ich zu dem Virus nicht gefunden... vielleicht könnt ihr mir ja helfen das Ding loszuwerden.


------------------

Hier der HijackThis Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:56:34, on 30.12.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\NETGEAR\WG111 Configuration Utility\WG111CFG.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\NOTEPAD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.raginghordes.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [GBB36X Configure] C:\WINDOWS\system32\JMRaidTool.exe boot
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Smart Wizard Wireless Settings.lnk = ?
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1213121476160
O17 - HKLM\System\CCS\Services\Tcpip\..\{B4A0FFAE-93D6-401A-A127-CC0C30C408CB}: NameServer = 192.168.1.1
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

--
End of file - 4246 bytes




-----

In dem anderen Thread http://forum.avira.com/wbb/index.php?page=Thread&threadID=69566 wurde auch nach einem GMER Scan gefragt, hab diesen auch schonmal gemacht:

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2008-12-30 02:55:48
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.14 ----

SSDT BAFB39E4 ZwCreateThread
SSDT BAFB39D0 ZwOpenProcess
SSDT BAFB39D5 ZwOpenThread
SSDT BAFB39DF ZwTerminateProcess
SSDT BAFB39DA ZwWriteVirtualMemory

---- Registry - GMER 1.0.14 ----

Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System@OODEFRAG10.00.00.01WORKSTATION 9465246BF90B25A946C6EC4BBE76198BB1D62B06C0088B7611B50EFC2BDB544C6E2A979AD889B3CD0E5786ADD03A7997EE4145FEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74C FEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CA6A0AC4980AC79339DB7CE019D40AA5CA6A0AC4980AC79338EDD5E5BE2F6E66794BD08BF697D4C45446D1DEA07933EBAD01E3A F6EBACF86D35AC5F15F55B29AAFB92CCFE6C55A3231DD72230F770E1DB211FC310F6B55F2F1CB621C89E7CB8627743B99A699A1E4606717B4BD6212069F242F11D012C3A5BF4DE3D59F642 3F00D67CE4EC6FBF09F15557EF924BD8FE70C1B6548BE3A56B68FC05AF6B2C429D04BFF0D8F322FB5FCDB42E37FB0C8EBAE0DAB071EB8CF98BADC90DEC4A0355694E2BD695D2B7C65465A0 1B7BA2E47EBF8FE36842F3FAC466EA42E05963CE98E9A7E5E50D51FDE04BA7EB495E49B62633B45018B37B47E57A3FA1ED50C77B6D9B380FDD2859514A6168BC6873D175C9686CEC7F2500 9702FA32F9A29E2D07F8B00F9E7E3F7A26CB60DE8C29C344AA6FEC37D7E2ED222B02D12CAC75866F04A40B9F5A0FA367046DCB2629434A4D70E37DF9838AD627D21118F972DD3F0B971D46 3F60D89777867DD83F3371763C79B48C7D38411C78729F9D4ED759EF227DD32CA821A851A45B0F708BA172AC0508B5426C0FD66EA18661E63D3BE8B97B0

---- Disk sectors - GMER 1.0.14 ----

Disk \Device\Harddisk0\DR0 sector 61: malicious code @ sector 0x1749ddc1 size 0x1e4

---- EOF - GMER 1.0.14 ----





Schätze die Zeile

Disk \Device\Harddisk0\DR0 sector 61: malicious code @ sector 0x1749ddc1 size 0x1e4

zeigt recht deutlich, dass da irgendwas nicht stimmt, ich weiss nur leider nicht, was ich jetzt dagegen tun kann... ich habe was von nem fixmbr gelesen, der den Masterbootsektor neu schreibt und das Problem evtl beheben kann, allerdings hab ich auch gelesen, dass das manchmal problematisch sein kann und wenn es sich irgendwie vermeiden lässt würde ich ungern das Risiko eingehn mein C: Laufwerk zu verlieren

So, ich hoffe ihr könnt mir helfen, danke schonmal im vorraus !

Alt 30.12.2008, 12:37   #2
DeeWayne
 
Bootsektor Virus "BOO/Sinowal.C" - Standard

Bootsektor Virus "BOO/Sinowal.C"





Bitte das Service Pack 3 installieren
Code:
ATTFilter
 	Platform: Windows XP SP2 (WinNT 5.01.2600)
         
Es ist leider ein sehr großes Problem von Avira dass es zwar Boot Sektoren Viren findet aber nicht löschen kann.
Versuche mal das Antiviren-Tool von Avast.
Damit hab ich schon einige der Sorte fertigbekommen ^^
Dein HJT-Protokoll ist sauber
__________________


Antwort

Themen zu Bootsektor Virus "BOO/Sinowal.C"
adobe, antivir, antivirus, avira, bho, bootsektor virus, dll, explorer, firefox, gservice, hijack, hijackthis, hijackthis log, hkus\s-1-5-18, internet, internet explorer, malicious code, masterbootsektor, mozilla, netgear, nvidia, outlook express, problem, programm, registry, rundll, scan, software, system, virus, windows, windows xp



Ähnliche Themen: Bootsektor Virus "BOO/Sinowal.C"


  1. "Suspicious.Cloud.9" (Trojaner) und "SAPE.DnwldSponsor.2" (Virus?, vielleicht False Positive)
    Plagegeister aller Art und deren Bekämpfung - 22.08.2015 (23)
  2. Diverse Malware ("CoolSaleCoupon", "ddownlloaditkeep", "omiga-plus", "SaveSense", "SaleItCoupon"); lahmer PC & viel Werbung!
    Plagegeister aller Art und deren Bekämpfung - 11.01.2015 (16)
  3. "monstermarketplace.com" Infektion und ihre Folgen; "Anti-Virus-Blocker"," unsichtbare Toolbars" + "Browser-Hijacker" von selbst installiert
    Log-Analyse und Auswertung - 16.11.2013 (21)
  4. "rootkit.Boot.Sinowal.b" eingefangen!
    Log-Analyse und Auswertung - 22.09.2013 (8)
  5. Sicherheitscenter deaktiviert und Virus "ADWARE/InstallCo.HA" "ADWARE/bProtect.D" "TR/Mevade.A.95" gefunden
    Log-Analyse und Auswertung - 10.09.2013 (10)
  6. Avira findet "BOO/Whistler.A" in Masterbootsektor HD0 Bootsektor 'C:\', lässt sich nicht entfernen
    Plagegeister aller Art und deren Bekämpfung - 16.08.2012 (51)
  7. "Falsche" E-Mail von Freund mit Link ins Netz -> Virus oder nur "Werbung"?
    Log-Analyse und Auswertung - 30.07.2012 (1)
  8. Verspätetes "Xmas-geschenk": 50€-Virus mit Text "System wird aus sicherheitsgründen blockiert"
    Log-Analyse und Auswertung - 02.01.2012 (5)
  9. Dringend Hilfe gesucht!! Virus "BOO/TDss.D" auf dem Bootsektor, Masterbootsektor HD0
    Log-Analyse und Auswertung - 11.10.2011 (1)
  10. Virus BOO/Sinowal.A auf Bootsektor.....
    Plagegeister aller Art und deren Bekämpfung - 05.02.2011 (26)
  11. Bootsektor Virus "BOO/Alureon.A"
    Plagegeister aller Art und deren Bekämpfung - 16.10.2010 (3)
  12. BOO/Sinowal.F - Virus im Bootsektor (Windows XP)
    Plagegeister aller Art und deren Bekämpfung - 13.09.2010 (0)
  13. Bootsektor Virus "BOO/Sinowal.A"
    Log-Analyse und Auswertung - 01.04.2009 (29)
  14. Problem mit Bootsektor-Virus BOO/Sinowal.A
    Mülltonne - 07.10.2008 (0)
  15. "Adware.Virtumonde"/"Downloader.MisleadApp"/"TR/VB.agt.4"/"NewDotNet.A.1350"/"Fakerec
    Plagegeister aller Art und deren Bekämpfung - 22.08.2008 (6)
  16. Wie entferne ich einen "BOO/Sinowal.A-Virus" der im MBR ist?
    Plagegeister aller Art und deren Bekämpfung - 01.07.2008 (13)
  17. Bekomme "http://default.home/" und "ACCESS BLOCKED - VIRUS WARNING" nicht mehr los
    Log-Analyse und Auswertung - 16.01.2005 (5)

Zum Thema Bootsektor Virus "BOO/Sinowal.C" - Hi, ich hab grade mit dem AntiVir Personal den Virus BOO/Sinowal.C gefunden, anscheinend ein Bootsektor-Virus... Der Scanner schlägt mir nun vor das Bootsektor-Reperaturtool von Avira runterzuladen, was ich auch getan - Bootsektor Virus "BOO/Sinowal.C"...
Archiv
Du betrachtest: Bootsektor Virus "BOO/Sinowal.C" auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.