Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Bootsektorvirus BOO/Sinowal.E

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 14.10.2009, 16:06   #1
Bzyk
 
Bootsektorvirus BOO/Sinowal.E - Standard

Bootsektorvirus BOO/Sinowal.E



Hallo zusammen,

ich hab seit heute den genannten Virus auf dem PC. Das zeigte mir AntiVir bei einem Scan an, mit dem Hinweis ich solle mir das dazugehörige Repair Tool runterladen und es damit beheben. Allerdings hab ich genug Threads im Internet gelesen in denen jedesmal gesagt wurde dass besagtes Repair Tool nie richtig funktionieren würde. Unter anderem bin ich auch hier auf den Thread gestoßen: http://www.trojaner-board.de/77899-b...h-den-los.html
Allerdings hier schon die erste Frage:
Habe GMER durchlaufen lassen (dauert das immer so lange... 3 Stunden?).
Ich hab keine Ahnung ob der Virus noch drauf ist bzw. ob er Schaden anrichtet. Habe im Moment auch keine XP CD bei mir, sonst hätte ich das Tool davon zur Reinigung benutzt.

Nun, was sind die nächsten Schritte die ich jetzt angehen sollte?

Gruß

Alt 14.10.2009, 19:40   #2
kira
/// Helfer-Team
 
Bootsektorvirus BOO/Sinowal.E - Standard

Bootsektorvirus BOO/Sinowal.E



Hallo und Herzlich Willkommen!

Gibt es einen "relativ einfachen Weg",wenn eine frische Infektion vorliegt,oder mal bestimmte Probleme bekommt man auch gelöst, was man sogleich ausprobieren sollte:
Zitat:
Windows ME,XP u. Vista enthält ein Programm zur Systemwiederherstellung ( Damit lässt sich das System auf einen früheren Zeitpunkt zurücksetzen ,wo noch alles einwandfrei funktioniert. Die Systemwiederherstellung betrifft nur Systemeinstellungen.(programme die in der zwischenzeit installiert wurden gehen dabei verloren. man kann diesen vorgang auch wieder rückgängig machen, sollte man keinen erfolg damit erzielt haben.)
Du findest das Programm zur Systemwiederherstellung : Start/Programme/Zubehör/Systemprogramme/Systemwiederherstellung
Beim Ausführen der Systemwiederherstellung gehen keine persönlichen Dateien oder Kennwörter verloren. Dokumente, E-Mail-Nachrichten, Browserverlaufsdateien und die eingegebenen Kennwörter werden gespeichert, wenn Sie mithilfe der Systemwiederherstellung einen früheren Zustand wiederherstellen.
Die Systemwiederherstellung schützt Ihre persönlichen Dateien, indem Dateien im Ordner Eigene Dateien nicht wiederhergestellt werden. Darüber hinaus werden keine Dateien mit bekannten Dateinamenerweiterungen, wie DOC oder XLS, wiederhergestellt. Falls Sie nicht sicher sind, ob Ihre persönlichen Dateien bekannte Dateierweiterungen aufweisen, und Sie diese von der Systemwiederherstellung ausschließen möchten, speichern Sie sie im Ordner Eigene Dateien.
Falls ein Programm nach dem ausgewählten Wiederherstellungspunkt installiert wurde, kann das Programm im Rahmen der Wiederherstellung deinstalliert werden. Die mit diesem Programm erstellten Datendateien gehen nicht verloren. Um die Dateien wieder öffnen zu können, müssen Sie jedoch das entsprechende Programm erneut installieren.
Zitat:
Windows erstellt automatisch alle 24 Stunden automatisch einen Wiederherstellungspunkt -
Automatisch erstellte Wiederherstellungspunkte
- bei Treiberinstallationen auch
Wiederherstellungspunkte (RP) werden erstellt, damit Benutzer zu früheren Systemzuständen zurückkehren können. Jeder Wiederherstellungspunkt erfasst die erforderlichen Daten für eine Wiederherstellung eines bestimmten Systemzustands. Wiederherstellungspunkte werden vor größeren Änderungen im System erstellt. Da diese Punkte automatisch erstellt werden, müssen Benutzer sie nicht manuell erzeugen (sofern sie dies nicht bewusst möchten).
Setzt doch dein Windows über die Systemwiederherstellung ganz zurück (falls nötig kannst Du es im abgesicherten Modus [F8] auch ausführen:
(drücke beim Hochfahren des Rechners [F8] solange, bis du eine Auswahlmöglichkeit hast, da "abgesicherten Modus " wählen)

gruß
Coverflow
__________________


Alt 14.10.2009, 19:43   #3
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Bootsektorvirus BOO/Sinowal.E - Standard

Bootsektorvirus BOO/Sinowal.E



Hallo und

Von GMER gibt es ein spezielles Tool um den MBR (Master Boot Record) zu prüfen, der MBR wird zB auch vom Sinowal manipuliert.

Die MBR.exe sollte aus der Konsole ausgeführt werden, also zB so: Die mbr.exe liegt direkt auf C:, dann öffnest Du über Start, Ausführen cmd.exe (schwarze Konsole öffnet sich) und dort tippst Du ein:

c:\mbr.exe -f

Und bestätigst mit Enter. Die Logdatei vom MBR-Tool findest Du im gleichen Pfad, von der die mbr.exe ausgeführt wurde, im obigen Beispiel c:\mbr.log - das bitte öffnen und den Inhalt hier posten.


Danach bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!!
Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.
__________________
__________________

Alt 14.10.2009, 20:27   #4
Bzyk
 
Bootsektorvirus BOO/Sinowal.E - Standard

Bootsektorvirus BOO/Sinowal.E



Ok, hier der mbr.log:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.6 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\ACPI -> 0x885c3f10
NDIS: NVIDIA nForce 10/100/1000 Mbps Ethernet -> SendCompleteHandler -> 0x88600340
Warning: possible MBR rootkit infection !
user & kernel MBR OK
copy of MBR has been found in sector 0x01314FFD8
malicious code @ sector 0x01314FFDB !
PE file found in sector at 0x01314FFF1 !
Use "Recovery Console" command "fixmbr" to clear infection !


Rest mache ich jetzt.

Alt 14.10.2009, 20:37   #5
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Bootsektorvirus BOO/Sinowal.E - Standard

Bootsektorvirus BOO/Sinowal.E



Nur mal einen Kommentar zum MBR-Ergebnis:

Warning: possible MBR rootkit infection !
user & kernel MBR OK
copy of MBR has been found in sector 0x01314FFD8
malicious code @ sector 0x01314FFDB !
PE file found in sector at 0x01314FFF1 !
Use "Recovery Console" command "fixmbr" to clear infection !


Dein MBR dürfte mittlerweile okay sein, es werden nur "Reste" am Ende der Platte gefunden. Sollte harmlos sein.

__________________
Logfiles bitte immer in CODE-Tags posten

Alt 14.10.2009, 23:36   #6
Bzyk
 
Bootsektorvirus BOO/Sinowal.E - Standard

Bootsektorvirus BOO/Sinowal.E



So, nun der Rest:

http://www.file-upload.net/download-...sktop.rar.html

Achso, zum Kommentar von Coverflow. Ich hab nachdem ich das mit dem Virus entdeckt hatte einige Stunden später auch die Systemwiederherstellung gemacht, allerdings weiß ich nicht ob der Virus wirklich erst seit heute da ist oder ob er schon länger drauf ist und er nur durch Zufall heute erst entdeckt wurde, denn ich hab seit längerer Zeit auch wieder den AntiVir Scanner durchlaufen lassen. Jedenfalls hatte ich nach der Systemwiederherstellung das Gefühl dass immer noch nicht alles so ist wie es sein sollte, meine Internetverbindung beispielsweise war unfassbar lahm, mittlerweile gehts aber wieder.

Hoffe die ganzen Schritte haben nun etwas positives ergeben.

Geändert von Bzyk (14.10.2009 um 23:44 Uhr)

Alt 15.10.2009, 12:02   #7
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Bootsektorvirus BOO/Sinowal.E - Standard

Bootsektorvirus BOO/Sinowal.E



Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien (sofern diese noch existieren) bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:
Code:
ATTFilter
C:\WINDOWS\system32\winsys2.exe
C:\WINDOWS\system32\drivers\btliajkxwvwy.sys
         


Danach mal den Avenger anwenden:

Vorbereitungen:
a) Deaktiviere den Hintergrundwächter vom Virenscanner.
b) Stöpsele alle externen Datenträger vom Rechner ab.


Danach:

1.) Lade Dir von hier Avenger als gehweg.exe => File-Upload.net - gehweg.exe auf den Desktop

2.) Doppelklick die Datei "gehweg.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:



3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:
Code:
ATTFilter
registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | WinSys2

drivers to delete:
btliajkxwvwy

files to delete:
C:\WINDOWS\system32\winsys2.exe
C:\WINDOWS\system32\drivers\btliajkxwvwy.sys
         
4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 15.10.2009, 18:29   #8
Bzyk
 
Bootsektorvirus BOO/Sinowal.E - Standard

Bootsektorvirus BOO/Sinowal.E



winsys2.exe

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.41 2009.10.15 -
AhnLab-V3 5.0.0.2 2009.10.15 -
AntiVir 7.9.1.35 2009.10.15 -
Antiy-AVL 2.0.3.7 2009.10.15 -
Authentium 5.1.2.4 2009.10.15 -
Avast 4.8.1351.0 2009.10.14 -
AVG 8.5.0.420 2009.10.15 -
BitDefender 7.2 2009.10.15 -
CAT-QuickHeal 10.00 2009.10.15 -
ClamAV 0.94.1 2009.10.15 -
Comodo 2609 2009.10.15 UnclassifiedMalware
DrWeb 5.0.0.12182 2009.10.15 -
eSafe 7.0.17.0 2009.10.15 -
eTrust-Vet 35.1.7069 2009.10.15 -
F-Prot 4.5.1.85 2009.10.15 -
F-Secure 8.0.14470.0 2009.10.15 -
Fortinet 3.120.0.0 2009.10.15 -
GData 19 2009.10.15 -
Ikarus T3.1.1.72.0 2009.10.15 -
Jiangmin 11.0.800 2009.10.15 -
K7AntiVirus 7.10.871 2009.10.15 Trojan.Win32.Malware.1
Kaspersky 7.0.0.125 2009.10.15 -
McAfee 5771 2009.10.14 -
McAfee+Artemis 5771 2009.10.14 -
McAfee-GW-Edition 6.8.5 2009.10.15 -
Microsoft 1.5101 2009.10.15 -
NOD32 4511 2009.10.15 -
Norman 6.03.02 2009.10.15 -
nProtect 2009.1.8.0 2009.10.15 -
Panda 10.0.2.2 2009.10.15 Trj/Agent.ISR
PCTools 4.4.2.0 2009.10.15 -
Prevx 3.0 2009.10.15 -
Rising 21.51.34.00 2009.10.15 -
Sophos 4.46.0 2009.10.15 -
Sunbelt 3.2.1858.2 2009.10.15 -
Symantec 1.4.4.12 2009.10.15 -
TheHacker 6.5.0.2.043 2009.10.15 -
TrendMicro 8.950.0.1094 2009.10.15 -
VBA32 3.12.10.11 2009.10.15 -
ViRobot 2009.10.15.1986 2009.10.15 -
VirusBuster 4.6.5.0 2009.10.15 -
weitere Informationen
File size: 208896 bytes
MD5...: daee383586db76671c43a83c04e51283
SHA1..: fd2d42ae4d08c8c05fd3d83f23226ce5876f2094
SHA256: 276c9f0396e17545b99ca1142b4f2b682ca06f56325c15bc7c9bb73312d8f654
ssdeep: 3072:XRVfFvREIVQFb+W4qTb6BfyztY4fNIA4Yf4xcEQKJtcQcCkpTQ7:BxH3VQF
bb4qTbOyJfff4xcFmc5m

PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0xff14
timedatestamp.....: 0x4452df55 (Sat Apr 29 03:36:53 2006)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x20696 0x21000 6.63 bd377d7cb431186fd1db7f3366661b37
.rdata 0x22000 0x7cfe 0x8000 4.89 562171d06132cc61a3adc5c240a48ca4
.data 0x2a000 0x8e54 0x3000 3.11 2fd85ba7481de3b532c9cedb7ed74e53
CONST 0x33000 0x1f 0x1000 0.09 e1c91d3ead8e57dca21253f563c750c1
.rsrc 0x34000 0x48a8 0x5000 4.41 46abb0b06f7f2c3453dea7320e86064f

( 8 imports )
> MADCHOOK.DLL: InjectLibraryA, UninjectLibraryA
> KERNEL32.dll: SetErrorMode, HeapAlloc, HeapFree, HeapReAlloc, VirtualAlloc, RtlUnwind, GetCommandLineA, GetProcessHeap, GetStartupInfoA, RaiseException, ExitProcess, HeapSize, VirtualFree, HeapDestroy, HeapCreate, GetStdHandle, TerminateProcess, SetUnhandledExceptionFilter, IsDebuggerPresent, Sleep, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, SetHandleCount, GetFileType, QueryPerformanceCounter, GetTickCount, GetSystemTimeAsFileTime, GetACP, GetConsoleCP, GetConsoleMode, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW, SetStdHandle, WriteConsoleA, GetConsoleOutputCP, WriteConsoleW, GetOEMCP, GetCPInfo, CreateFileA, GetCurrentProcess, GetThreadLocale, FlushFileBuffers, SetFilePointer, WriteFile, ReadFile, GlobalFlags, WritePrivateProfileStringA, InterlockedIncrement, TlsFree, DeleteCriticalSection, LocalReAlloc, TlsSetValue, TlsAlloc, InitializeCriticalSection, GlobalHandle, GlobalReAlloc, EnterCriticalSection, TlsGetValue, LeaveCriticalSection, LocalAlloc, GlobalGetAtomNameA, GlobalFindAtomA, lstrcmpW, FreeResource, GetCurrentProcessId, GlobalAddAtomA, CloseHandle, GetCurrentThread, GetCurrentThreadId, ConvertDefaultLocale, GetModuleFileNameA, EnumResourceLanguagesA, GetLocaleInfoA, lstrcmpA, GlobalDeleteAtom, FreeLibrary, InterlockedDecrement, GetModuleFileNameW, GetModuleHandleA, GlobalFree, GlobalAlloc, GlobalLock, GlobalUnlock, FormatMessageA, LocalFree, FindResourceA, LoadResource, LockResource, SizeofResource, MulDiv, SetLastError, GetProcAddress, LoadLibraryA, lstrlenA, CompareStringA, GetVersionExA, GetVersion, GetLastError, WideCharToMultiByte, MultiByteToWideChar, InterlockedExchange, UnhandledExceptionFilter
> USER32.dll: UnregisterClassA, LoadCursorA, GetSysColorBrush, EndPaint, BeginPaint, ReleaseDC, GetDC, ClientToScreen, GrayStringA, DrawTextExA, DrawTextA, TabbedTextOutA, ShowWindow, SetWindowTextA, IsDialogMessageA, RegisterWindowMessageA, SendDlgItemMessageA, WinHelpA, GetCapture, GetClassLongA, GetClassNameA, SetPropA, GetPropA, RemovePropA, SetFocus, GetWindowTextA, GetForegroundWindow, GetTopWindow, GetMessagePos, MapWindowPoints, SetForegroundWindow, UpdateWindow, GetMenu, CreateWindowExA, GetClassInfoExA, GetClassInfoA, RegisterClassA, GetSysColor, AdjustWindowRectEx, CopyRect, PtInRect, GetDlgCtrlID, DefWindowProcA, CallWindowProcA, SetWindowLongA, SetWindowPos, SystemParametersInfoA, GetWindowPlacement, GetWindowRect, GetWindow, GetDesktopWindow, SetActiveWindow, CreateDialogIndirectParamA, DestroyWindow, IsWindow, GetDlgItem, GetNextDlgTabItem, EndDialog, DrawIcon, SendMessageA, GetWindowThreadProcessId, GetWindowLongA, GetLastActivePopup, IsWindowEnabled, MessageBoxA, SetCursor, SetWindowsHookExA, CallNextHookEx, GetMessageA, TranslateMessage, DispatchMessageA, GetActiveWindow, DestroyMenu, GetMessageTime, IsIconic, GetClientRect, SetTimer, KillTimer, LoadIconA, EnableWindow, GetSystemMetrics, GetSubMenu, GetMenuItemCount, GetMenuItemID, GetMenuState, UnhookWindowsHookEx, PostQuitMessage, PostMessageA, IsWindowVisible, GetKeyState, PeekMessageA, GetCursorPos, ValidateRect, SetMenuItemBitmaps, GetMenuCheckMarkDimensions, LoadBitmapA, GetFocus, GetParent, ModifyMenuA, EnableMenuItem, CheckMenuItem
> GDI32.dll: SetWindowExtEx, ScaleWindowExtEx, DeleteDC, GetStockObject, PtVisible, ScaleViewportExtEx, SetViewportExtEx, OffsetViewportOrgEx, SetViewportOrgEx, SelectObject, Escape, ExtTextOutA, TextOutA, GetDeviceCaps, DeleteObject, SetMapMode, RestoreDC, SaveDC, GetObjectA, SetBkColor, SetTextColor, GetClipBox, CreateBitmap, RectVisible
> WINSPOOL.DRV: ClosePrinter, DocumentPropertiesA, OpenPrinterA
> ADVAPI32.dll: RegQueryValueA, RegEnumKeyA, RegDeleteKeyA, RegOpenKeyA, RegOpenKeyExA, RegQueryValueExA, RegCreateKeyExA, RegSetValueExA, RegCloseKey
> SHLWAPI.dll: PathFindFileNameA, PathFindExtensionA
> OLEAUT32.dll: -, -, -

( 0 exports )

RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win64 Executable Generic (54.6%)
Win32 Executable MS Visual C++ (generic) (24.0%)
Windows Screen Saver (8.3%)
Win32 Executable Generic (5.4%)
Win32 Dynamic Link Library (generic) (4.8%)
sigcheck:
publisher....:
copyright....: Copyright (C) 2003
product......: DOT Application
description..: DOT MFC Application
original name: DOT.EXE
internal name: DOT
file version.: 1, 0, 0, 2
comments.....:
signers......: -
signing date.: -
verified.....: Unsigned

ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=daee383586db76671c43a83c04e51283' target='_blank'>http://www.threatexpert.com/report.aspx?md5=daee383586db76671c43a83c04e51283</a>

__________________________________________________

btliajkxwvwy.sys

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.41 2009.10.14 -
AhnLab-V3 5.0.0.2 2009.10.13 -
AntiVir 7.9.1.35 2009.10.14 -
Antiy-AVL 2.0.3.7 2009.10.14 -
Authentium 5.1.2.4 2009.10.14 -
Avast 4.8.1351.0 2009.10.13 -
AVG 8.5.0.420 2009.10.14 -
BitDefender 7.2 2009.10.14 -
CAT-QuickHeal 10.00 2009.10.14 -
ClamAV 0.94.1 2009.10.14 -
Comodo 2599 2009.10.13 -
DrWeb 5.0.0.12182 2009.10.14 -
eSafe 7.0.17.0 2009.10.14 -
eTrust-Vet 35.1.7067 2009.10.14 -
F-Prot 4.5.1.85 2009.10.14 -
F-Secure 8.0.14470.0 2009.10.14 -
Fortinet 3.120.0.0 2009.10.14 -
GData 19 2009.10.14 -
Ikarus T3.1.1.72.0 2009.10.14 -
Jiangmin 11.0.800 2009.10.08 -
K7AntiVirus 7.10.870 2009.10.14 -
Kaspersky 7.0.0.125 2009.10.14 -
McAfee 5770 2009.10.13 -
McAfee+Artemis 5770 2009.10.13 -
McAfee-GW-Edition 6.8.5 2009.10.14 Heuristic.BehavesLike.Win32.Suspicious.L
Microsoft 1.5101 2009.10.14 -
NOD32 4507 2009.10.14 -
Norman 6.01.09 2009.10.14 W32/Rootkit.AMIO
nProtect 2009.1.8.0 2009.10.14 -
Panda 10.0.2.2 2009.10.14 -
PCTools 4.4.2.0 2009.10.14 -
Prevx 3.0 2009.10.14 -
Rising 21.51.24.00 2009.10.14 RootKit.Win32.Undef.ov
Sophos 4.46.0 2009.10.14 -
Sunbelt 3.2.1858.2 2009.10.14 -
Symantec 1.4.4.12 2009.10.14 -
TheHacker 6.5.0.2.041 2009.10.14 -
TrendMicro 8.950.0.1094 2009.10.14 -
VBA32 3.12.10.11 2009.10.14 -
ViRobot 2009.10.14.1984 2009.10.14 -
VirusBuster 4.6.5.0 2009.10.14 -
weitere Informationen
File size: 8704 bytes
MD5 : 34d44edd829476e085f5c22ac9dfe315
SHA1 : 409f8e1239c67925b4f7d137af35a30ddb40235a
SHA256: 2634458163d864e03932ae641b001250f26f6a11c53af708f3b26b422e52de3b
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1A05
timedatestamp.....: 0x45ED27C2 (Tue Mar 6 09:35:14 2007)
machinetype.......: 0x14C (Intel I386)

( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x480 0x10F8 0x1100 6.35 e416839d01f2fbab2caa1703442c6784
.rdata 0x1580 0x1A4 0x200 3.36 9bd8d3c2865ba1c958ede96ab7698947
.data 0x1780 0x225 0x280 2.04 db4ace59562be21de38e9c3e3b0f40b5
INIT 0x1A00 0x268 0x280 5.18 bc44fb0521e9ff1b4bcdbf91e57b4504
.rsrc 0x1C80 0x3B0 0x400 3.11 e767b56a15fca24b949375495cd54375
.reloc 0x2080 0x140 0x180 4.81 dbd1d0e9043486d10e10f42bcb32ee71

( 0 imports )


( 0 exports )

TrID : File type identification
Clipper DOS Executable (33.3%)
Generic Win/DOS Executable (33.0%)
DOS Executable Generic (33.0%)
VXD Driver (0.5%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
ThreatExpert: http://www.threatexpert.com/report.aspx?md5=34d44edd829476e085f5c22ac9dfe315
ssdeep: 96:XYZpF8iDwXlJ/2qcCNd1lBScqi3y/Oqgt/IrcSZU/gJ2LmRAA0nu:X4F8isXlfTScquy/UhscVIJ2KiA0nu
PEiD : -
packers (Kaspersky): PE_Patch
CWSandbox: http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=34d44edd829476e085f5c22ac9dfe315
RDS : NSRL Reference Data Set
-

Alt 15.10.2009, 18:34   #9
Bzyk
 
Bootsektorvirus BOO/Sinowal.E - Standard

Bootsektorvirus BOO/Sinowal.E



Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Driver "btliajkxwvwy" deleted successfully.
File "C:\WINDOWS\system32\winsys2.exe" deleted successfully.
File "C:\WINDOWS\system32\drivers\btliajkxwvwy.sys" deleted successfully.
Registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|WinSys2" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Alt 15.10.2009, 19:13   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Bootsektorvirus BOO/Sinowal.E - Standard

Bootsektorvirus BOO/Sinowal.E



Lad mal bitte die Datei c:\avenger\backup.zip bei file-upload.net hoch und verlink sie hier.


Anschließend bitte ein Durchlauf mit Combofix:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 15.10.2009, 21:21   #11
Bzyk
 
Bootsektorvirus BOO/Sinowal.E - Standard

Bootsektorvirus BOO/Sinowal.E



Bei den Schritten die ich jetzt ausführen soll treten zwei Probleme auf. Und zwar beim CCleaner, wenn ich da auf "Analysieren" klicke meldet sich AntiVir mit folgendem:

In der Datei 'C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\~TMA.tmp'
wurde ein Virus oder unerwünschtes Programm 'BDS/Bredolab.aih' [backdoor] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Das hat er mir auch schon gestern so angezeigt.

Und zweitens: Ebenfalls CCleaner, wenn ich in der Registry nach Fehlern suche bleibt immer ein einziger Schlüssel übrig, der nicht gelöscht wird egal wie oft ich die zwei Schritte wiederhole:

Ungenutzte Datei-Endungen {80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}



Soll ich dennoch mit den Schritten der cofi.exe fortfahren?

Alt 15.10.2009, 21:36   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Bootsektorvirus BOO/Sinowal.E - Standard

Bootsektorvirus BOO/Sinowal.E



AntiVir bitte deaktivieren, dann CCleaner nochmals löschen lassen.
Manche Schlüssel bleiben einfach in der Registry, halte Dich da nicht auf, mach dann mit Combofix weiter.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 15.10.2009, 21:53   #13
Bzyk
 
Bootsektorvirus BOO/Sinowal.E - Standard

Bootsektorvirus BOO/Sinowal.E



Ich kriege nun die Warnmeldung von cofix dass Avira AntiVir PersonalEdition Classic immer noch aktiv ist, obwohl ich den Guard DEaktiviert habe (der Regenschirm ist eingeklappt). Im cofix Tutorium wo man auf http://www.bleepingcomputer.com/forums/topic114351.html verwiesen wird, steht bei AntiVir auch nur das was ich bereits gemacht habe.

Ich bin mir nicht sicher ob ich cofix so wirklich ausführen soll, der Warnhinweis gibt mir zu Denken.

Alt 16.10.2009, 07:45   #14
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Bootsektorvirus BOO/Sinowal.E - Standard

Bootsektorvirus BOO/Sinowal.E



Mehr als deaktivieren kannst Du nicht. Wenn der Regenschirm eingeklappt ist, kannst Du Combofix ausführen.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 16.10.2009, 11:46   #15
Bzyk
 
Bootsektorvirus BOO/Sinowal.E - Standard

Bootsektorvirus BOO/Sinowal.E



So, Combofix ausgeführt, hier die Logdatei:

ComboFix 09-10-15.04 - **** 16.10.2009 12:35.1.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.1535.1152 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\****\Desktop\cofi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Outdated) {00000000-0000-0000-0000-000000000000}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804FD0EC-FFA4-00DA-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804FD2B8-FFA4-00DA-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804FD2B8-FFA4-00EB-0D24-347CA8A3377C}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\LHTE.tmp
c:\programme\kernel
c:\programme\kernel\Nucleus-Kernel-ZIP-Demo.exe
c:\programme\pdfforge Toolbar\SearchSettings.dll
c:\windows\Installer\18f8b8.msi
c:\windows\system32\Data

.
((((((((((((((((((((((( Dateien erstellt von 2009-09-16 bis 2009-10-16 ))))))))))))))))))))))))))))))
.

2009-10-14 22:18 . 2009-10-14 22:18 -------- d-----w- C:\rsit
2009-10-14 22:18 . 2009-10-14 22:18 -------- d-----w- c:\programme\trend micro
2009-10-14 19:51 . 2009-10-14 19:51 -------- d-----w- c:\dokumente und einstellungen\****\Anwendungsdaten\Malwarebytes
2009-10-14 19:51 . 2009-09-10 12:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-10-14 19:50 . 2009-10-14 19:50 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-10-14 19:50 . 2009-09-10 12:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-10-14 19:49 . 2009-10-14 19:50 -------- d-----w- c:\programme\Malware Bytes
2009-10-14 19:29 . 2009-10-14 19:32 -------- d-----w- c:\programme\crapcleaner
2009-10-14 19:21 . 2009-10-14 19:21 71680 ----a-w- C:\mbr.exe
2009-10-14 16:56 . 2009-10-14 17:04 -------- d--h--w- c:\dokumente und einstellungen\HelpAssistant\Lokale Einstellungen
2009-10-14 16:56 . 2009-10-14 17:04 -------- d-----w- c:\dokumente und einstellungen\HelpAssistant\Favoriten
2009-10-14 16:56 . 2009-10-14 16:57 -------- d--h--r- c:\dokumente und einstellungen\HelpAssistant\Anwendungsdaten
2009-10-14 16:56 . 2006-06-02 15:53 -------- d--h--w- c:\dokumente und einstellungen\HelpAssistant\Druckumgebung
2009-10-14 16:56 . 2006-06-02 15:53 -------- d-----r- c:\dokumente und einstellungen\HelpAssistant\Startmenü
2009-10-14 16:56 . 2006-06-02 14:56 -------- d--h--w- c:\dokumente und einstellungen\HelpAssistant\Vorlagen
2009-10-14 16:56 . 2009-10-14 17:10 -------- d-----w- c:\dokumente und einstellungen\HelpAssistant
2009-10-14 16:48 . 2009-10-14 16:48 -------- d-----w- c:\windows\system32\wbem\Repository
2009-10-14 08:56 . 2009-10-14 08:56 -------- d-----w- c:\dokumente und einstellungen\LocalService\PrivacIE
2009-10-14 08:56 . 2009-10-14 08:56 -------- d-----w- c:\dokumente und einstellungen\LocalService\IECompatCache
2009-10-14 08:56 . 2009-10-14 08:56 -------- d-----w- c:\dokumente und einstellungen\LocalService\IETldCache
2009-10-13 19:04 . 2009-10-13 19:04 -------- d-----w- c:\dokumente und einstellungen\****\Lokale Einstellungen\Anwendungsdaten\Blizzard Entertainment
2009-09-29 22:14 . 2009-09-29 22:14 -------- d-----w- c:\dokumente und einstellungen\****\Anwendungsdaten\Search Settings
2009-09-29 22:14 . 2009-09-29 22:14 -------- d-----w- c:\dokumente und einstellungen\****\Anwendungsdaten\pdfforge
2009-09-29 21:34 . 2009-10-16 10:39 -------- d-----w- c:\programme\pdfforge Toolbar
2009-09-29 21:34 . 2001-10-28 15:42 116224 ----a-w- c:\windows\system32\pdfcmnnt.dll
2009-09-29 21:33 . 1998-07-06 16:56 125712 ----a-w- c:\windows\system32\VB6DE.DLL
2009-09-29 21:33 . 1998-07-06 16:55 158208 ----a-w- c:\windows\system32\MSCMCDE.DLL
2009-09-29 21:33 . 1998-07-06 16:55 64512 ----a-w- c:\windows\system32\MSCC2DE.DLL
2009-09-29 21:33 . 1998-07-05 23:00 23552 ----a-w- c:\windows\system32\MSMPIDE.DLL
2009-09-29 21:31 . 2009-09-29 21:33 -------- d-----w- c:\programme\PDF Creator

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-10-16 07:13 . 2008-10-12 10:02 -------- d-----w- c:\dokumente und einstellungen\****\Anwendungsdaten\FileZilla
2009-10-14 16:48 . 2008-12-09 15:59 -------- d-----w- c:\programme\AnitVir
2009-10-14 16:38 . 2006-07-16 19:31 -------- d-----w- c:\programme\Winamp
2009-10-09 17:43 . 2006-07-08 11:34 -------- d-----w- c:\programme\Emule
2009-09-16 14:12 . 2006-12-25 12:22 -------- d-----w- c:\dokumente und einstellungen\****\Anwendungsdaten\ConvertTemp
2009-09-16 14:09 . 2001-08-18 11:00 82776 ----a-w- c:\windows\system32\perfc007.dat
2009-09-16 14:09 . 2001-08-18 11:00 453122 ----a-w- c:\windows\system32\perfh007.dat
2009-09-11 08:58 . 2006-06-03 12:43 -------- d-----w- c:\programme\DivX
2009-09-11 08:58 . 2009-09-11 08:58 -------- d-----w- c:\programme\Gemeinsame Dateien\DivX Shared
2009-09-08 20:02 . 2009-09-08 20:02 -------- d-----w- c:\programme\Direct X
2009-09-08 19:53 . 2008-02-04 16:15 -------- d-----w- c:\programme\SystemRequirementsLab
2009-09-08 19:44 . 2008-12-17 08:03 -------- d-----w- c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-09-08 19:44 . 2009-04-17 11:50 -------- d-----w- c:\programme\AGEIA Technologies
2009-09-08 19:43 . 2009-09-08 19:43 -------- d-----w- c:\programme\NVIDIA Corporation
2009-09-08 19:43 . 2009-09-08 19:43 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\NVIDIA Corporation
2009-09-08 19:40 . 2008-02-04 13:49 -------- d-----w- c:\programme\Grafikkartentreiber
2009-09-05 15:33 . 2006-06-16 17:13 -------- d-----w- c:\dokumente und einstellungen\****\Anwendungsdaten\teamspeak2
2009-08-20 12:44 . 2009-08-20 12:43 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Blizzard Entertainment
2009-08-17 01:03 . 2009-08-17 01:03 3674112 ----a-w- c:\windows\system32\nvwssr.dll
2009-08-17 01:02 . 2009-08-17 01:02 229376 ----a-w- c:\windows\system32\nvmccs.dll
2009-08-16 22:57 . 2009-08-16 22:57 1706528 ----a-w- c:\windows\system32\nvcuvenc.dll
2009-08-16 22:57 . 2009-08-16 22:57 1597690 ----a-w- c:\windows\system32\nvdata.bin
2009-08-16 22:57 . 2009-03-27 08:03 2189856 ----a-w- c:\windows\system32\nvcuvid.dll
2009-08-16 22:57 . 2007-12-05 00:41 2002944 ----a-w- c:\windows\system32\nvcuda.dll
2009-08-16 22:57 . 2006-06-02 15:18 485920 ----a-w- c:\windows\system32\nvudisp.exe
2009-08-16 22:57 . 2005-10-10 19:49 868352 ----a-w- c:\windows\system32\nvapi.dll
2009-08-16 22:57 . 2005-10-10 19:49 7729568 ----a-w- c:\windows\system32\drivers\nv4_mini.sys
2009-08-16 22:57 . 2005-10-10 19:49 5845760 ----a-w- c:\windows\system32\nv4_disp.dll
2009-08-16 22:57 . 2005-10-10 19:49 155648 ----a-w- c:\windows\system32\nvcodins.dll
2009-08-16 22:57 . 2005-10-10 19:49 155648 ----a-w- c:\windows\system32\nvcod.dll
2009-08-16 22:57 . 2005-10-10 19:49 10457088 ----a-w- c:\windows\system32\nvoglnt.dll
2009-08-14 11:36 . 2009-08-14 11:36 70936 ----a-w- c:\windows\system32\PhysXLoader.dll
2009-08-11 10:35 . 2006-06-02 15:03 485920 ----a-w- c:\windows\system32\NVUNINST.EXE
2009-08-07 23:26 . 2009-05-15 08:03 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-08-02 22:21 . 2009-08-02 22:21 23320 ----a-w- c:\windows\system32\PhysXDevice.dll
2009-04-20 10:40 . 2009-04-20 10:40 3169552 ----a-w- c:\programme\DriverScanner.exe
2008-07-08 19:54 . 2008-07-09 22:33 194484158 ----a-w- c:\programme\Ashes to Ashes vs Illidan.wmv
2007-06-01 12:42 . 2007-06-01 12:42 23510720 ----a-w- c:\programme\Microsoft Networks.exe
2009-05-01 21:02 . 2009-05-01 21:02 1044480 ----a-w- c:\programme\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02 200704 ----a-w- c:\programme\mozilla firefox\plugins\ssldivx.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B922D405-6D13-4A2B-AE89-08A030DA4402}]
2009-07-31 00:00 698880 ----a-w- c:\programme\pdfforge Toolbar\pdfforgeToolbarIE.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{B922D405-6D13-4A2B-AE89-08A030DA4402}"= "c:\programme\pdfforge Toolbar\pdfforgeToolbarIE.dll" [2009-07-31 698880]

[HKEY_CLASSES_ROOT\clsid\{b922d405-6d13-4a2b-ae89-08a030da4402}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Creative Detector"="c:\programme\Creative\MediaSource\Detector\CTDetect.exe" [2004-12-02 102400]
"BLASC"="c:\programme\Spiele\Blasc\BLASC.exe" [2007-05-23 1736704]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTSysVol"="c:\programme\Creative\SBAudigy\Surround Mixer\CTSysVol.exe" [2005-02-15 57344]
"UpdReg"="c:\windows\UpdReg.EXE" [2000-05-10 90112]
"EPSON Stylus DX4200 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE" [2005-03-08 98304]
"razer"="c:\programme\Razer\razerhid.exe" [2005-05-17 147456]
"Lycosa"="c:\programme\Razer\Lycosa\razerhid.exe" [2007-11-20 147456]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2009-01-09 413696]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2009-06-03 198160]
"nwiz"="c:\programme\NVIDIA Corporation\nView\nwiz.exe" [2009-08-12 1657376]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-08-17 13877248]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-08-17 86016]
"SearchSettings"="c:\programme\pdfforge Toolbar\SearchSettings.exe" [2009-07-29 1024512]
" Malwarebytes Anti-Malware (reboot)"="c:\programme\Malware Bytes\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]
"BluetoothAuthenticationAgent"="bthprops.cpl" - c:\windows\system32\bthprops.cpl [2004-08-03 110592]
"P17Helper"="P17.dll" - c:\windows\system32\P17.dll [2005-05-03 64512]
"SoundMan"="SOUNDMAN.EXE" - c:\windows\SOUNDMAN.EXE [2005-07-12 81920]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" - c:\windows\KHALMNPR.Exe [2007-07-17 55824]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-03 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-23 29696]
DVD@ccess.lnk - c:\programme\Apple Computer\DVD@ccess\DVDAccess.exe [2009-2-28 888832]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]
SetPointII.lnk - c:\programme\Logitech\SetPoint II\SetpointII.exe [2007-8-30 319488]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"midi1"=c_952068.nls
"wave1"=c_952068.nls
"midi2"=c_952068.nls
"mixer1"=c_952068.nls
"wave2"=c_952068.nls
"mixer2"=c_952068.nls
"aux1"=c_952068.nls
"aux2"=c_952068.nls

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Spiele\\World of Warcraft\\BackgroundDownloader.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Programme\\Emule\\emule.exe"=
"c:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"c:\\Programme\\MSN Messenger\\msncall.exe"=
"c:\\Programme\\Codemasters\\Der Herr der Ringe Online\\lotroclient.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Programme\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"c:\\Programme\\Spiele\\SuM RotWK\\game.dat"=
"c:\\Programme\\Spiele\\SuM 2\\game.dat"=
"c:\\Programme\\Spiele\\SuM RotWK\\patchget.dat"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\Spiele\\World of Warcraft\\Launcher.exe"=
"c:\\Programme\\Spiele\\World of Warcraft\\WoW-3.1.3.9947-to-3.2.0.10192-deDE-downloader.exe"=
"c:\\Programme\\Spiele\\World of Warcraft\\WoW-3.2.0.10192-to-3.2.0.10314-deDE-downloader.exe"=
"c:\\Programme\\Spiele\\World of Warcraft\\WoW-3.2.0.10314-to-3.2.2.10482-deDE-downloader.exe"=
"c:\\Programme\\Spiele\\World of Warcraft\\WoW-3.2.2.10482-to-3.2.2.10505-deDE-downloader.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3724:TCP"= 3724:TCP:Blizzard Downloader
"6112:TCP"= 6112:TCP:Blizzard Downloader
"8081:TCP"= 8081:TCP:LotRO
"5015:TCP"= 5015:TCP:LotRO
"9000:TCP"= 9000:TCP:LotRO
"2900:TCP"= 2900:TCP:LotRO
"2916:TCP"= 2916:TCP:LotRO
"2900:UDP"= 2900:UDP:LotRO
"2901:UDP"= 2901:UDP:LotRO
"2902:UDP"= 2902:UDP:LotRO
"2903:UDP"= 2903:UDP:LotRO
"2904:UDP"= 2904:UDP:LotRO
"2905:UDP"= 2905:UDP:LotRO
"2906:UDP"= 2906:UDP:LotRO
"2907:UDP"= 2907:UDP:LotRO
"2908:UDP"= 2908:UDP:LotRO
"2909:UDP"= 2909:UDP:LotRO
"5015:UDP"= 5015:UDP:LotRO
"9001:UDP"= 9001:UDP:LotRO
"9002:UDP"= 9002:UDP:LotRO
"9003:UDP"= 9003:UDP:LotRO
"9004:UDP"= 9004:UDP:LotRO
"9005:UDP"= 9005:UDP:LotRO
"9006:UDP"= 9006:UDP:LotRO
"9007:UDP"= 9007:UDP:LotRO
"9008:UDP"= 9008:UDP:LotRO
"9009:UDP"= 9009:UDP:LotRO
"9010:UDP"= 9010:UDP:LotRO
"9011:UDP"= 9011:UDP:LotRO
"9012:UDP"= 9012:UDP:LotRO
"3389:TCP"= 3389:TCP:Remote Desktop

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [15.05.2009 10:03 108289]
R2 DVDAccss;DVDAccss;c:\windows\system32\drivers\DVDAccss.sys [28.02.2009 19:15 29156]
R2 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [23.06.2008 17:58 222456]
R3 LycoFltr;Lycosa Keyboard;c:\windows\system32\drivers\Lycosa.sys [01.06.2008 14:09 21888]
S3 DTV_Capture_2X0;Digital TV Receiver;c:\windows\system32\drivers\DTV_Capture_2X0.sys [05.03.2007 12:40 18432]
S3 DTV_Loader_2X1;Digital TV Loader;c:\windows\system32\drivers\DTV_Loader_2X1.sys [05.03.2007 12:39 19328]
S3 Fadpu16E;Fadpu16E;\??\c:\dokume~1\****\LOKALE~1\Temp\Fadpu16E.sys --> c:\dokume~1\****\LOKALE~1\Temp\Fadpu16E.sys [?]
S3 Razerlow;Razerlow USB Filter Driver;c:\windows\system32\drivers\Razerlow.sys [03.06.2006 20:10 13225]
S3 SetupNTGLM7X;SetupNTGLM7X;\??\d:\ntglm7x.sys --> d:\NTGLM7X.sys [?]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
Inhalt des "geplante Tasks" Ordners

2009-10-10 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyOverride = *.local
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
DPF: {1E54D648-B804-468d-BC78-4AFFED8E262F} - hxxp://www.nvidia.com/content/DriverDownload/srl/3.0.0.4/srl_bin/sysreqlab_nvd.cab
DPF: {56924A80-972E-4238-9238-8CCEE7C6FB96} - hxxp://www.****.***/files/DownloadManager.cab
FF - ProfilePath - c:\dokumente und einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\5oc5g1ul.default\
FF - prefs.js: browser.search.selectedEngine - ICQ Search
FF - prefs.js: browser.startup.homepage - hxxp://start.icq.com/
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q=
FF - component: c:\programme\Mozilla Firefox\extensions\{B922D405-6D13-4A2B-AE89-08A030DA4402}\components\pdfforgeToolbarFF.dll
FF - component: c:\programme\Mozilla Firefox\extensions\search@searchsettings.com\components\SearchSettingsFF.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nppl3260.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprjplug.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprpjplug.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-10-16 12:39
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-448539723-412668190-725345543-1003\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
.
Zeit der Fertigstellung: 2009-10-16 12:41
ComboFix-quarantined-files.txt 2009-10-16 10:41

Vor Suchlauf: 16 Verzeichnis(se), 23.195.795.456 Bytes frei
Nach Suchlauf: 18 Verzeichnis(se), 23.298.080.768 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn

265 --- E O F --- 2007-10-10 21:19

Geändert von Bzyk (16.10.2009 um 11:53 Uhr)

Antwort

Themen zu Bootsektorvirus BOO/Sinowal.E
ahnung, anderem, antivir, boo/sinowal.e, bootsektorvirus, dauert, frage, funktionieren, gmer, hallo zusammen, heute, hinweis, interne, internet, reinigung, richtig, runterladen, scan, schaden, stunde, stunden, threads, tool, virus, zusammen




Ähnliche Themen: Bootsektorvirus BOO/Sinowal.E


  1. Bootsektorvirus BOO/TDss.o
    Plagegeister aller Art und deren Bekämpfung - 17.11.2013 (9)
  2. Scarevirus und Bootsektorvirus
    Log-Analyse und Auswertung - 26.03.2013 (23)
  3. Bootsektorvirus BOO/Sinowal.A
    Log-Analyse und Auswertung - 31.05.2012 (17)
  4. Wie entferne ich BDS/Sinowal.knfal oder generell Sinowal?
    Plagegeister aller Art und deren Bekämpfung - 31.12.2011 (17)
  5. Bootsektorvirus BOO/TDss.M zeigt Antivir
    Log-Analyse und Auswertung - 14.12.2011 (3)
  6. Bootsektorvirus BOO/TDss.M
    Log-Analyse und Auswertung - 06.12.2011 (7)
  7. Bootsektorvirus BOO/TDss.D mehrmals im System
    Log-Analyse und Auswertung - 10.10.2011 (11)
  8. wie entferne ich den bootsektorvirus BOO/TDss.M
    Log-Analyse und Auswertung - 11.09.2011 (1)
  9. Bootsektorvirus BOO/TDss.D 3 mal im system
    Log-Analyse und Auswertung - 06.09.2011 (12)
  10. Bootsektorvirus BOO/TDss.M
    Plagegeister aller Art und deren Bekämpfung - 15.08.2011 (13)
  11. Bootsektorvirus? - festplatte D verschwunden
    Log-Analyse und Auswertung - 22.07.2011 (1)
  12. RKIT/MBR.Sinowal.J ...Boo/Sinowal.C ...W32/Stanit
    Plagegeister aller Art und deren Bekämpfung - 25.02.2011 (15)
  13. Bootsektorvirus BOO/Alureon.A
    Log-Analyse und Auswertung - 21.10.2010 (0)
  14. Bootsektorvirus! Was tun?
    Plagegeister aller Art und deren Bekämpfung - 16.10.2010 (4)
  15. Bootsektorvirus BOO/Sinowal.D und kann nicht repariert werden.
    Plagegeister aller Art und deren Bekämpfung - 19.11.2009 (1)
  16. Bootsektorvirus BOO/Sinowal.A Entfernung
    Log-Analyse und Auswertung - 04.09.2008 (2)
  17. BootsektorVirus BOO/Sinowal.A wie entferne ich den?
    Plagegeister aller Art und deren Bekämpfung - 10.07.2008 (9)

Zum Thema Bootsektorvirus BOO/Sinowal.E - Hallo zusammen, ich hab seit heute den genannten Virus auf dem PC. Das zeigte mir AntiVir bei einem Scan an, mit dem Hinweis ich solle mir das dazugehörige Repair Tool - Bootsektorvirus BOO/Sinowal.E...
Archiv
Du betrachtest: Bootsektorvirus BOO/Sinowal.E auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.