Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Malware Sinowal.knfal bei XP

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 29.12.2011, 22:30   #1
sfaxia
 
Malware Sinowal.knfal bei XP - Standard

Malware Sinowal.knfal bei XP



Guten Abend,
ich habe zu Weihnachten eine Malware names Sinowal.knfal bekommen. Ich habe mir auch schon combofix runtergeladen und kann auch schon einen log - Editor präsentieren. Wer möchte mir (kleinem dummchen) weiterhelfen?
ComboFix 11-12-29.04 - hPeh 29.12.2011 22:08:43.1.1 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1023.632 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\hPeh\Desktop\ComboFix.exe
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
\\.\PhysicalDrive0 - Bootkit Sinowal was found and disinfected
.
\\.\PhysicalDrive0 - Bootkit Sinowal was found and disinfected
.
((((((((((((((((((((((( Dateien erstellt von 2011-11-28 bis 2011-12-29 ))))))))))))))))))))))))))))))
.
.
2011-12-29 20:28 . 2011-12-29 20:28 -------- d-----w- c:\programme\CCleaner
2011-12-25 11:53 . 2011-12-25 11:53 -------- d-----w- c:\programme\Gemeinsame Dateien\xing shared
2011-12-05 19:14 . 2011-12-05 19:14 -------- d-----w- c:\dokumente und einstellungen\hPeh\Lokale Einstellungen\Anwendungsdaten\Thunderbird
2011-12-05 19:14 . 2011-12-05 19:14 -------- d-----w- c:\dokumente und einstellungen\hPeh\Anwendungsdaten\Thunderbird
2011-12-05 19:13 . 2011-12-05 19:14 -------- d-----w- c:\programme\Mozilla Thunderbird
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-12-25 11:52 . 2010-09-26 13:41 499712 ----a-w- c:\windows\system32\msvcp71.dll
2011-12-25 11:52 . 2010-09-26 13:41 348160 ----a-w- c:\windows\system32\msvcr71.dll
2011-11-23 14:40 . 2008-04-14 12:00 1859712 ----a-w- c:\windows\system32\win32k.sys
2011-11-20 20:35 . 2011-06-13 19:13 414368 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2011-11-04 19:13 . 2008-04-14 12:00 916992 ----a-w- c:\windows\system32\wininet.dll
2011-11-04 19:13 . 2008-04-14 12:00 43520 ----a-w- c:\windows\system32\licmgr10.dll
2011-11-04 19:13 . 2008-04-14 12:00 1469440 ----a-w- c:\windows\system32\inetcpl.cpl
2011-11-04 11:23 . 2008-04-14 12:00 385024 ----a-w- c:\windows\system32\html.iec
2011-11-01 16:07 . 2008-04-14 12:00 1288704 ----a-w- c:\windows\system32\ole32.dll
2011-10-28 05:31 . 2008-04-14 12:00 33280 ----a-w- c:\windows\system32\csrsrv.dll
2011-10-26 10:49 . 2008-04-14 12:00 2195072 ----a-w- c:\windows\system32\ntoskrnl.exe
2011-10-26 10:49 . 2008-04-14 07:30 2071680 ----a-w- c:\windows\system32\ntkrnlpa.exe
2011-10-18 11:13 . 2008-04-14 12:00 186880 ----a-w- c:\windows\system32\encdec.dll
2011-10-10 14:22 . 2010-09-08 11:05 692736 ----a-w- c:\windows\system32\inetcomm.dll
2010-09-18 19:23 . 2010-09-18 19:23 159486 -c--a-w- c:\programme\SkypeSetup.exe
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"hpWirelessAssistant"="c:\programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe" [2005-12-13 507904]
"IntelZeroConfig"="c:\programme\Intel\Wireless\bin\ZCfgSvc.exe" [2005-09-27 667718]
"IntelWireless"="c:\programme\Intel\Wireless\Bin\ifrmewrk.exe" [2005-09-27 602182]
"SoundMAXPnP"="c:\programme\Analog Devices\SoundMAX\SMax4PNP.exe" [2004-10-14 1388544]
"AGRSMMSG"="AGRSMMSG.exe" [2004-08-24 88363]
"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2006-03-08 344064]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-11-17 281768]
"AppleSyncNotifier"="c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleSyncNotifier.exe" [2011-04-20 58656]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2011-06-06 937920]
"DivXUpdate"="c:\programme\DivX\DivX Update\DivXUpdate.exe" [2011-03-21 1230704]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2011-04-08 254696]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2011-07-05 421888]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2011-07-19 421736]
"TkBellExe"="c:\programme\real\realplayer\update\realsched.exe" [2011-12-25 273528]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
BTTray.lnk - c:\programme\WIDCOMM\Bluetooth Software\BTTray.exe [2006-2-27 581693]
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\SopCast\\adv\\SopAdver.exe"=
"c:\\Programme\\SopCast\\SopCast.exe"=
"c:\\Programme\\Azureus\\Azureus.exe"=
"c:\\Programme\\Cue.Play.SetList\\Cue.Play.SetList.exe"=
"c:\\Dokumente und Einstellungen\\hPeh\\Desktop\\tinyumbrella-4.33.00.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Apple\\Apple Application Support\\WebKit2WebProcess.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:Remote Desktop
"65533:TCP"= 65533:TCP:Services
"52344:TCP"= 52344:TCP:Services
.
R2 acedrv11;acedrv11;c:\windows\system32\drivers\acedrv11.sys [24.02.2010 11:22 185472]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [08.09.2010 13:57 136360]
R3 GTIPCI21;GTIPCI21;c:\windows\system32\drivers\gtipci21.sys [08.09.2010 13:04 87936]
R3 libusb0;LibUsb-Win32 - Kernel Driver, Version 0.1.12.1;c:\windows\system32\drivers\libusb0.sys [08.05.2011 19:52 28672]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [17.09.2010 18:53 136176]
S3 2aqc_.sys;2aqc_.sys;\??\c:\windows\system32\drivers\2aqc_.sys --> c:\windows\system32\drivers\2aqc_.sys [?]
S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\Google\Update\GoogleUpdate.exe [17.09.2010 18:53 136176]
S3 xcpip;TCP/IP-Protokolltreiber;c:\windows\system32\drivers\xcpip.sys --> c:\windows\system32\drivers\xcpip.sys [?]
S3 xpsec;IPSEC-Treiber;c:\windows\system32\drivers\xpsec.sys --> c:\windows\system32\drivers\xpsec.sys [?]
.
Inhalt des "geplante Tasks" Ordners
.
2011-12-17 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2009-10-22 15:57]
.
2011-12-29 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-09-17 17:53]
.
2011-12-29 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-09-17 17:53]
.
2011-12-29 c:\windows\Tasks\RealUpgradeLogonTaskS-1-5-21-1935655697-2052111302-1417001333-1003.job
- c:\programme\Real\RealUpgrade\realupgrade.exe [2011-09-27 12:40]
.
2011-12-29 c:\windows\Tasks\RealUpgradeScheduledTaskS-1-5-21-1935655697-2052111302-1417001333-1003.job
- c:\programme\Real\RealUpgrade\realupgrade.exe [2011-09-27 12:40]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uInternet Connection Wizard,ShellNext = "c:\programme\Outlook Express\msimn.exe"
uInternet Settings,ProxyOverride = *.local
IE: Google Sidewiki... - c:\programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_D183CA64F05FDD98.dll/cmsidewiki.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Senden an &Bluetooth - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
TCP: DhcpNameServer = 192.168.2.1
DPF: {45A0A292-ECC6-4D8F-9EA9-A4BD411D24C1} - hxxp://www.king.com/ctl/kingcomie.cab
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-12-29 22:15
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(892)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2011-12-29 22:17:06
ComboFix-quarantined-files.txt 2011-12-29 21:16
.
Vor Suchlauf: 6 Verzeichnis(se), 83.267.006.464 Bytes frei
Nach Suchlauf: 8 Verzeichnis(se), 83.316.158.464 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
.
- - End Of File - - 38C30FE14C00BB8A485DBD6DF7830D53

Alt 29.12.2011, 23:01   #2
Chris4You
 
Malware Sinowal.knfal bei XP - Standard

Malware Sinowal.knfal bei XP



Hi,

TDSS-Killer
Download und Anweisung unter: Wie werden Schadprogramme der Familie Rootkit.Win32.TDSS bekämpft?
Entpacke alle Dateien in einem eigenen Verzeichnis (z. B: C:\TDSS)!
Aufruf über den Explorer duch Doppelklick auf die TDSSKiller.exe.
Nach dem Start erscheint ein Fenster, dort dann "Start Scan".
Wenn der Scan fertig ist bitte "Report" anwählen. Es öffnet sich ein Fenster, den Text abkopieren und hier posten...

Malwarebytes Antimalware (MAM)
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html
Falls der Download nicht klappt, bitte hierüber eine generische Version runterladen:
http://filepony.de/download-chameleon/
Danach bitte update der Signaturdateien (Reiter "Update" -> Suche nach Aktualisierungen")
Fullscan und alles bereinigen lassen! Log posten.

OTL
Lade Dir OTL von Oldtimer herunter (http://filepony.de/download-otl/) und speichere es auf Deinem Desktop
  • Vista/Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
  • Unter Extra Registry, wähle bitte Use SafeList
  • Klicke nun auf Run Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt (OTL.TXT und EXTRAS.TXT)
  • Poste die Logfiles hier in den Thread

chris
__________________

__________________

Alt 29.12.2011, 23:13   #3
sfaxia
 
Malware Sinowal.knfal bei XP - Standard

Malware Sinowal.knfal bei XP



Hallo,
ich habe das mit dem TDSS Killer gemacht, aber ich kann nicht Report auswählen, denn er schreibt: Threats detected und ich soll mich entscheiden zwischen: Copy all to quarantine oder Restore deafult actions

Was soll ich nun tun?

Muss ich eigentlich alles, von dir genannte durchführen? Gleichzeitig oder nacheinander?

Kriegen wir das wieder hin?
__________________

Geändert von sfaxia (29.12.2011 um 23:34 Uhr)

Alt 30.12.2011, 07:27   #4
Chris4You
 
Malware Sinowal.knfal bei XP - Standard

Malware Sinowal.knfal bei XP



Hi,

kommt darauf an was erkannt wurde... poste einen screenshot... ;o)...

Nacheinander durchführen, erst den Killer dann MAM (unter dem Mantel des 'Rootkits kann nach dessen "Terminierung" noch so einiges anderes zum Vorschein kommen)...

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Antwort

Themen zu Malware Sinowal.knfal bei XP
adobe, antivir, avg, avgnt, avira, bonjour, combofix, dateien, desktop, einstellungen, excel, google, libusb0.sys, log, malware, mozilla, opera, programme, scan, security, senden, software, system, tiere, windows, windows xp, winlogon.exe



Ähnliche Themen: Malware Sinowal.knfal bei XP


  1. email link Malware Funde Heur.PE@4294967295, Malware@#nwdk01o66rpro, Malware@#2x6qrvr63cjrw
    Plagegeister aller Art und deren Bekämpfung - 29.10.2012 (10)
  2. Wie entferne ich BDS/Sinowal.knfal oder generell Sinowal?
    Plagegeister aller Art und deren Bekämpfung - 31.12.2011 (17)
  3. Entfernungsprobleme mit Backdoorprogramm BDS\Sinowal.knfal....
    Plagegeister aller Art und deren Bekämpfung - 31.12.2011 (5)
  4. BDS/Sinowal.knfal von Avira Antivirus Premium 2012 gefunden
    Log-Analyse und Auswertung - 30.12.2011 (9)
  5. BDS/Sinowal.knfal im Masterbootsektor HDO sagt Virenprogramm
    Plagegeister aller Art und deren Bekämpfung - 28.12.2011 (12)
  6. BOO/Sinowal.A
    Plagegeister aller Art und deren Bekämpfung - 24.05.2011 (1)
  7. Exp/Sinowal.F ?
    Log-Analyse und Auswertung - 09.05.2011 (1)
  8. RKIT/MBR.Sinowal.J ...Boo/Sinowal.C ...W32/Stanit
    Plagegeister aller Art und deren Bekämpfung - 25.02.2011 (15)
  9. BOO/Sinowal.e
    Plagegeister aller Art und deren Bekämpfung - 22.10.2009 (15)
  10. BOO/Sinowal.E
    Plagegeister aller Art und deren Bekämpfung - 19.10.2009 (9)
  11. BOO/Sinowal.E
    Antiviren-, Firewall- und andere Schutzprogramme - 17.10.2009 (54)
  12. BOO/Sinowal.A
    Plagegeister aller Art und deren Bekämpfung - 19.04.2009 (15)
  13. BOO/Sinowal.A
    Plagegeister aller Art und deren Bekämpfung - 20.02.2009 (1)
  14. boo/sinowal.A
    Plagegeister aller Art und deren Bekämpfung - 17.11.2008 (21)
  15. BOO/Sinowal.A
    Plagegeister aller Art und deren Bekämpfung - 03.11.2008 (7)
  16. BOO/Sinowal.A
    Log-Analyse und Auswertung - 07.07.2008 (1)
  17. BOO/Sinowal.A
    Mülltonne - 29.06.2008 (0)

Zum Thema Malware Sinowal.knfal bei XP - Guten Abend, ich habe zu Weihnachten eine Malware names Sinowal.knfal bekommen. Ich habe mir auch schon combofix runtergeladen und kann auch schon einen log - Editor präsentieren. Wer möchte mir - Malware Sinowal.knfal bei XP...
Archiv
Du betrachtest: Malware Sinowal.knfal bei XP auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.