Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Sinowal und Co.

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 02.04.2009, 21:39   #1
Conradye
 
Sinowal und Co. - Standard

Sinowal und Co.



Hallo,

habe das Internet schon durchstöbert. Es gibt auch einiges, aber zum Beispiel lädt sich die Seite gmer.net zur Zeit nicht. Daher die Bitte: Könntet ihr mal drüber schauen?

Das sagt Antivir:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 2. April 2009 21:25

Es wird nach 1337662 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 2) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : H*E

Versionsinformationen:
BUILD.DAT : 9.0.0.387 17962 Bytes 24.03.2009 11:03:00
AVSCAN.EXE : 9.0.3.3 464641 Bytes 24.02.2009 10:13:22
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 10:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 09:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 08:41:59
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 10:30:36
ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11.02.2009 18:33:26
ANTIVIR2.VDF : 7.1.3.0 1330176 Bytes 01.04.2009 19:23:23
ANTIVIR3.VDF : 7.1.3.7 34816 Bytes 02.04.2009 19:23:23
Engineversion : 8.2.0.129
AEVDF.DLL : 8.1.1.0 106868 Bytes 27.01.2009 15:36:42
AESCRIPT.DLL : 8.1.1.70 369019 Bytes 02.04.2009 19:23:30
AESCN.DLL : 8.1.1.8 127346 Bytes 02.04.2009 19:23:29
AERDL.DLL : 8.1.1.3 438645 Bytes 29.10.2008 16:24:41
AEPACK.DLL : 8.1.3.11 397687 Bytes 02.04.2009 19:23:28
AEOFFICE.DLL : 8.1.0.36 196987 Bytes 26.02.2009 18:01:56
AEHEUR.DLL : 8.1.0.111 1679736 Bytes 02.04.2009 19:23:27
AEHELP.DLL : 8.1.2.2 119158 Bytes 26.02.2009 18:01:56
AEGEN.DLL : 8.1.1.31 340341 Bytes 02.04.2009 19:23:24
AEEMU.DLL : 8.1.0.9 393588 Bytes 09.10.2008 12:32:40
AECORE.DLL : 8.1.6.6 176501 Bytes 17.02.2009 12:22:44
AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 12:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 06:47:56
AVPREF.DLL : 9.0.0.1 43777 Bytes 03.12.2008 09:39:55
AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 12:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 13:25:04
AVARKT.DLL : 9.0.0.1 292609 Bytes 09.02.2009 05:52:20
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 08:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 13:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 06:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 13:41:21
RCIMAGE.DLL : 9.0.0.21 2438401 Bytes 09.02.2009 09:41:16
RCTEXT.DLL : 9.0.35.0 87809 Bytes 11.03.2009 13:50:50

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Donnerstag, 2. April 2009 21:25

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '68810' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqgalry.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.bin' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqtra08.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RaUI.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehmsas.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'E_FATIEJE.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpwuSchd2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HDeck.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mcrdsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLSched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SCARDS32.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MDM.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICQ Service.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehSched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehrecvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLMLService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLMLServer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLCapSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'scardsvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '48' Prozesse mit '48' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[FUND] Enthält Code des Bootsektorvirus BOO/Sinowal.A
[WARNUNG] Der Bootsektor kann nicht repariert werden. Weitere Informationen zu diesem Thema finden Sie in der Hilfe.

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[FUND] Enthält Code des Bootsektorvirus BOO/Sinowal.A
[HINWEIS] Der Sektor wurde nicht neu geschrieben!
Bootsektor 'D:\'
[FUND] Enthält Code des Bootsektorvirus BOO/Sinowal.A
[HINWEIS] Der Sektor wurde nicht neu geschrieben!
Bootsektor 'E:\'
[FUND] Enthält Code des Bootsektorvirus BOO/Sinowal.A
[HINWEIS] Der Sektor wurde nicht neu geschrieben!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:

Die Registry wurde durchsucht ( '70' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <BOOT>
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\Dokumente und Einstellungen\r*a\Lokale Einstellungen\Temp\14.tmp
[FUND] Ist das Trojanische Pferd TR/PWS.Sinowal.Gen
C:\Dokumente und Einstellungen\r*a\Lokale Einstellungen\Temporary Internet Files\Content.IE5\EJOJNLAM\index[1]
[FUND] Ist das Trojanische Pferd TR/PWS.Sinowal.Gen
Beginne mit der Suche in 'D:\' <BACKUP>
D:\alter_PC\Dokumente und Einstellungen\Administrator\Eigene Dateien\R*f\Faxe\kazaa setup.exe
[FUND] Ist das Trojanische Pferd TR/Agent.152336
D:\alter_PC\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\FHQ000G7\campaign[1]
[FUND] Enthält verdächtigen Code: HEUR/HTML.Malware
D:\alter_PC\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\FHQ000G7\campaign[3]
[FUND] Enthält verdächtigen Code: HEUR/HTML.Malware
D:\alter_PC\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\V4D5XFI5\ctxad-505[1].0006
[FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/PurityScan.F
D:\alter_PC\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\V4D5XFI5\RevNetPopun[1].htm
[FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/Agent.300
D:\alter_PC\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Z77U4ZTQ\ctxad-494[1].0006
[FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/PurityScan.F
D:\alter_PC\Dokumente und Einstellungen\Default User\Desktop\freeprodtb.exe
[FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/Maxifiles
--> [UnknownDir]/Toolbar888/ToolBar888.dll
[FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/Eztrack.C
D:\alter_PC\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G1EF89E7\freeprodtb[1].exe
[FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/Maxifiles
--> [UnknownDir]/Toolbar888/ToolBar888.dll
[FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/Eztrack.C
D:\alter_PC\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\UPALYHGF\teller2[1].htm
[FUND] Ist das Trojanische Pferd TR/Small.AAA
D:\alter_PC\Programme\AVPersonal\INFECTED\ERASEME_10838.EXE.VIR
[FUND] Enthält verdächtigen Code: HEUR/Crypted
D:\alter_PC\Programme\AVPersonal\INFECTED\GIZ[1].EXE.VIR
[FUND] Enthält verdächtigen Code: HEUR/Crypted
D:\alter_PC\Programme\Common Files\VCClient\VCMain.exe
[FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/Spywarestrike.A.2
D:\alter_PC\Programme\ipwins\ipwins.exe
[FUND] Ist das Trojanische Pferd TR/Downloader.Gen
D:\alter_PC\Programme\ipwins\Uninst.exe
[FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/Maxifiles.D
D:\alter_PC\Programme\StarMoney 4.0 S-Edition\sfmcoreim_ex.exe
[FUND] Ist das Trojanische Pferd TR/Drop.Agent.YC.1
D:\alter_PC\Programme\TClock\tclock.exe
[FUND] Ist das Trojanische Pferd TR/Tclock.A.3
D:\alter_PC\Programme\TClock\tclock_install.exe
[FUND] Ist das Trojanische Pferd TR/Tclock.A.1
--> [UnknownDir]/tclock.exe
[FUND] Ist das Trojanische Pferd TR/Tclock.A.3
D:\alter_PC\Programme\Windows\WinUpdate.exe
[FUND] Enthält Erkennungsmuster des Droppers DR/Agent.Y
Beginne mit der Suche in 'E:\' <RECOVER>

Beginne mit der Desinfektion:
C:\Dokumente und Einstellungen\r*a\Lokale Einstellungen\Temp\14.tmp
[FUND] Ist das Trojanische Pferd TR/PWS.Sinowal.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a03205e.qua' verschoben!
C:\Dokumente und Einstellungen\r*a\Lokale Einstellungen\Temporary Internet Files\Content.IE5\EJOJNLAM\index[1]
[FUND] Ist das Trojanische Pferd TR/PWS.Sinowal.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a392098.qua' verschoben!
D:\alter_PC\Dokumente und Einstellungen\Administrator\Eigene Dateien\R*f\Faxe\kazaa setup.exe
[FUND] Ist das Trojanische Pferd TR/Agent.152336
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a4f208b.qua' verschoben!
D:\alter_PC\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\FHQ000G7\campaign[1]
[FUND] Enthält verdächtigen Code: HEUR/HTML.Malware
[HINWEIS] Der Fund wurde als verdächtig eingestuft.
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a42208b.qua' verschoben!
D:\alter_PC\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\FHQ000G7\campaign[3]
[FUND] Enthält verdächtigen Code: HEUR/HTML.Malware
[HINWEIS] Der Fund wurde als verdächtig eingestuft.
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b3e5c8c.qua' verschoben!
D:\alter_PC\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\V4D5XFI5\ctxad-505[1].0006
[FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/PurityScan.F
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a4d209e.qua' verschoben!
D:\alter_PC\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\V4D5XFI5\RevNetPopun[1].htm
[FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/Agent.300
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a4b208f.qua' verschoben!
D:\alter_PC\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Z77U4ZTQ\ctxad-494[1].0006
[FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/PurityScan.F
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b344437.qua' verschoben!
D:\alter_PC\Dokumente und Einstellungen\Default User\Desktop\freeprodtb.exe
[FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/Maxifiles
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a3a209c.qua' verschoben!
D:\alter_PC\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G1EF89E7\freeprodtb[1].exe
[FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/Maxifiles
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '490aaef5.qua' verschoben!
D:\alter_PC\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\UPALYHGF\teller2[1].htm
[FUND] Ist das Trojanische Pferd TR/Small.AAA
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a41208f.qua' verschoben!
D:\alter_PC\Programme\AVPersonal\INFECTED\ERASEME_10838.EXE.VIR
[FUND] Enthält verdächtigen Code: HEUR/Crypted
[HINWEIS] Der Fund wurde als verdächtig eingestuft.
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a16207c.qua' verschoben!
D:\alter_PC\Programme\AVPersonal\INFECTED\GIZ[1].EXE.VIR
[FUND] Enthält verdächtigen Code: HEUR/Crypted
[HINWEIS] Der Fund wurde als verdächtig eingestuft.
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a2f2073.qua' verschoben!
D:\alter_PC\Programme\Common Files\VCClient\VCMain.exe
[FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/Spywarestrike.A.2
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a22206d.qua' verschoben!
D:\alter_PC\Programme\ipwins\ipwins.exe
[FUND] Ist das Trojanische Pferd TR/Downloader.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a4c209a.qua' verschoben!
D:\alter_PC\Programme\ipwins\Uninst.exe
[FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/Maxifiles.D
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a3e2099.qua' verschoben!
D:\alter_PC\Programme\StarMoney 4.0 S-Edition\sfmcoreim_ex.exe
[FUND] Ist das Trojanische Pferd TR/Drop.Agent.YC.1
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a422091.qua' verschoben!
D:\alter_PC\Programme\TClock\tclock.exe
[FUND] Ist das Trojanische Pferd TR/Tclock.A.3
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a41208e.qua' verschoben!
D:\alter_PC\Programme\TClock\tclock_install.exe
[FUND] Ist das Trojanische Pferd TR/Tclock.A.1
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4976c987.qua' verschoben!
D:\alter_PC\Programme\Windows\WinUpdate.exe
[FUND] Enthält Erkennungsmuster des Droppers DR/Agent.Y
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a432094.qua' verschoben!


Ende des Suchlaufs: Donnerstag, 2. April 2009 22:29
Benötigte Zeit: 48:42 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

11033 Verzeichnisse wurden überprüft
549102 Dateien wurden geprüft
23 Viren bzw. unerwünschte Programme wurden gefunden
4 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
20 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
549077 Dateien ohne Befall
10796 Archive wurden durchsucht
3 Warnungen
25 Hinweise
68810 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

Vielen Dank!!!

Alt 02.04.2009, 22:24   #2
undoreal
/// AVZ-Toolkit Guru
 
Sinowal und Co. - Standard

Sinowal und Co.



Halli hallo.

Dein Rechner ist höchstgradig kompromitiert! Trenne umgehend physikalisch die Verbindung zum www => LAN-Stecker ziehen.
Der Angreifer besitzt bei physikalisch bestehender Internet Verbindung vollen Zugriff auf deinen Rechner! Kann sogar lesen was du hier grade liest.

Lade dir alle erforderlichen Programme und Informationen über einen sauberen Rechner.
Von eine sauberen Rechner aus solltest du dringend alle deine Passwörter und Zugansaccounts ändern! Informiere deine Bank falls du online-Banking betreibst.

Bereinigung nach einer Kompromitierung


Hinweis: Die Analyse eines Virenscanners ist völlig unzureichend, um Aussagen über das System zu machen, kann aber als Hilfsmittel eingesetzt werden, sofern er von einem sauberen System aus betrieben wird.



Master Boot Record reparieren

Lade dir die mbr.exe von GMER auf den Desktop und führe die Datei mit Administrator-Rechten aus.

Es sollte ein MBR Rootkit gefunden werden, das wird im log durch den Ausdruck
Zitat:
MBR rootkit code detected !
indiziert. Du musst eine Bereinigung vornehmen.
Downloade dir dafür die mbr.bat.txt von BataAlexander und speichere sie neben der mbr.exe auf dem Desktop.
Ändere die Endung der mbr.txt.bat in mbr.bat Eine vernünftige Ordneransicht ist dafür nötig.
Dann führe die mbr.bat. durch einen Doppelklick aus.
Dabei muss sich die mbr.exe von GMER ebenfalls auf dem Desktop befinden!

Der MBR wird bereinigt und es erscheint ein log. Dieses log solltest du hier posten!
Nachdem das O.k. durch deinen Helfer gegeben wurde kannst du mit der sicheren Neuinstallation beginnen.

Lies dir bitte bevor du dich an die Arbeit machst folgende Anleitung ganz genau durch:

Neuaufsetzen des Systems mit abschließender Absicherung.

Wenn du diese Anleitung zum Neuaufsetzen nicht ganz genau befolgst ist das Neuaufsetzen sinnlos!

Alle Festplatten müssen komplett formatiert werden!

Daten solltest du am besten keine sichern.
Wenn du sehr wichtige, unersetzliche Dateien sichern möchtest so musst du dies nach strengen Kriterien tun:

a) Die Datei darf nicht ausführbar sein. Das heisst sie darf keine der hier aufgeführte Dateiendung haben. Beachte bitte, dass einige Schädlinge ihre Dateiendung tarnen. Abhilfe schafft hier eine vernünftige Ordneransicht.

b) Jede Datei sollte, bevor sie wieder auf den frischen Rechner gelangt mit MWAV/eScan durchsucht werden.

c) Auch wenn du die Punkte a) und b) ganz genau einhältst sind die Dateien nicht vertrauenswürdig!!
Schädlinge können auch nicht-ausführbare Dateien wie .mp3 .doc usw. infizieren!! Und MWAV sowie andere AV-Scanner findet nur einen Bruchteil aller infizierten Dateien!
Nachdem du neuaufgesetzt hast musst du unbedingt alle Passwörter und Zugangsaccounts ändern!!!
__________________

__________________

Alt 03.04.2009, 10:24   #3
grandnic11
 
Sinowal und Co. - Standard

Sinowal und Co.



HI,

Zitat:
23 Viren bzw. unerwünschte Programme wurden gefunden
Warscheinlich nur ein bruchteil deiner Infektionen!!!

Zitat:
Windowsversion : (Service Pack 2) [5.1.2600]
Das neuste ist SP3!!!

Beides zeigt das du sehr schlecht mit deinem PC umgehst. Du solltest nach dem Neuaufsetzen unbedingt behutsamer mit deinem PC umgehen wenn du nicht anzeigen weger Kinderpornografie oder derartiges bekommen willst! Tu dir selber und deiner Umwelt einen gefallen und passe beim surfen und downloaden besser auf!!! Und glaub mir ich spreche aus Erfahrung.

mfg grandnic11
__________________

Antwort

Themen zu Sinowal und Co.
.dll, administrator, antivir, avg, avgnt.exe, bootsektorvirus, content.ie5, desktop, dllhost.exe, einstellungen, firefox.exe, handel, icq, index, infected, internet, logon.exe, lsass.exe, mdm.exe, modul, neu, nt.dll, programme, prozesse, recover, registry, sched.exe, services.exe, sinowal, spyware, starmoney, suchlauf, svchost.exe, versteckte objekte, verweise, warnung, windows, winlogon.exe, wuauclt.exe




Ähnliche Themen: Sinowal und Co.


  1. Wie entferne ich BDS/Sinowal.knfal oder generell Sinowal?
    Plagegeister aller Art und deren Bekämpfung - 31.12.2011 (17)
  2. Sinowal ?!
    Plagegeister aller Art und deren Bekämpfung - 27.10.2011 (28)
  3. BOO/Sinowal.A
    Plagegeister aller Art und deren Bekämpfung - 24.05.2011 (1)
  4. Exp/Sinowal.F ?
    Log-Analyse und Auswertung - 09.05.2011 (1)
  5. RKIT/MBR.Sinowal.J ...Boo/Sinowal.C ...W32/Stanit
    Plagegeister aller Art und deren Bekämpfung - 25.02.2011 (15)
  6. BOO/Sinowal.F
    Log-Analyse und Auswertung - 22.07.2010 (2)
  7. BOO/ Sinowal.D
    Plagegeister aller Art und deren Bekämpfung - 11.08.2009 (4)
  8. BOO/Sinowal.D
    Plagegeister aller Art und deren Bekämpfung - 02.08.2009 (18)
  9. BOO/Sinowal.A
    Plagegeister aller Art und deren Bekämpfung - 19.04.2009 (15)
  10. B00 / Sinowal.A
    Plagegeister aller Art und deren Bekämpfung - 17.03.2009 (4)
  11. B00 / Sinowal.A
    Log-Analyse und Auswertung - 05.03.2009 (0)
  12. BOO/Sinowal.A
    Plagegeister aller Art und deren Bekämpfung - 21.02.2009 (4)
  13. BOO/Sinowal.A
    Plagegeister aller Art und deren Bekämpfung - 20.02.2009 (1)
  14. BOO/Sinowal.A
    Plagegeister aller Art und deren Bekämpfung - 14.01.2009 (5)
  15. boo/sinowal.A
    Plagegeister aller Art und deren Bekämpfung - 17.11.2008 (21)
  16. BOO/Sinowal.A
    Plagegeister aller Art und deren Bekämpfung - 03.11.2008 (7)
  17. BOO/Sinowal.A
    Plagegeister aller Art und deren Bekämpfung - 01.09.2008 (9)

Zum Thema Sinowal und Co. - Hallo, habe das Internet schon durchstöbert. Es gibt auch einiges, aber zum Beispiel lädt sich die Seite gmer.net zur Zeit nicht. Daher die Bitte: Könntet ihr mal drüber schauen? Das - Sinowal und Co....
Archiv
Du betrachtest: Sinowal und Co. auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.