Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
"rootkit.Boot.Sinowal.b" eingefangen!

"rootkit.Boot.Sinowal.b" eingefangen!


Log-Analyse und Auswertung: "rootkit.Boot.Sinowal.b" eingefangen!

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

 
Vorheriger Beitrag Vorheriger Beitrag   Nächster Beitrag Nächster Beitrag
Alt 22.09.2013, 01:30   #9
Shadowrunx
 
"rootkit.Boot.Sinowal.b" eingefangen! - Standard

"rootkit.Boot.Sinowal.b" eingefangen!


Zitat:
Ah dann ist es wenig überraschend, dass auch der ESET-Onlinescan nichts mehr findet..
Naja, vor 3 Tagen hatte ich aber den Sinowal noch drauf und er ist auch nicht angesprungen.. Nicht sehr beruhigend.. (Hatte Ihn nach Avira-Check auch mal über alle Dateien laufen lassen)

Jetzt sind doch noch 3 kurze Fragen aufgekommen:

1. Welches der jetzt seit dem Start genutzten Programme hatte Dir versichert, dass ich noch verseucht bin? Combofix? (Oder welches Logfile). Habe gerade noch etwas Sorge, dass Avira und Eset nicht wirklich anschlagen, wenn er doch noch drauf sein - oder wieder kommen sollte.. Malwarebytes hatte zwar ja dann auch angeschlagen, aber ich hatte das Gefühl, dass erst der Combofix alles erkannt und gecleant hat, oder!?

2. Die Ordner "RECYCLER" und "$RECYCLE.BIN" sind nach wie vor als sichtbare Dateien im Explorer. Und wenn ich Systemdateien einblende, keine weiteren.. Sonst hat Delfix brav alles entfernt (Quarantäne) und Combofix hat sich auch deinstalliert. Was also mit den Recycle-Ordnern?

3. Auf C:\System Volume Information habe ich jetzt eine Sys-Datei "{db5f107a-22d7-11e3-8914-e5ed71c66b2a}{3808876b-c176-4e48-b7ae-04046e6cc752}" die 328 MB groß ist. (Nicht im Windows Backup Ordner). Ist das eine Systemwiederherstellungsdatei oder Ähnliches von Delfix, oder muss ich mir mal wieder Sorgen machen?

Ansonsten schon mal VIELEN Dank für die Mühe, speziell heute am wohlverdienten Wochenende!!! und

Und noch eine Kleinigkeit, die mir aufgefallen ist, Avira warnt mich seit ein paar Monaten vor versteckten Objekten/Treibern. Als ich den Sinowal drauf hatte, waren es plötzlich 4-6, davor immer 1. Kann ich das Ignorieren? (Blöderweise sieht man im Avira-Log nie, um welches versteckte Objekt es geht..)

Code:
ATTFilter
Avira Free Antivirus
Erstellungsdatum der Reportdatei: Sonntag, 22. September 2013  01:57


Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira Free Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows 7 Ultimate
Windowsversion : (Service Pack 1)  [6.1.7601]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : BLACKPC

Versionsinformationen:
BUILD.DAT      : 13.0.0.4052    55009 Bytes  29.08.2013 17:56:00
AVSCAN.EXE     : 13.6.20.2100   639032 Bytes  20.09.2013 13:26:27
AVSCANRC.DLL   : 13.6.20.2174    63032 Bytes  20.09.2013 13:26:27
LUKE.DLL       : 13.6.20.2174    65080 Bytes  20.09.2013 13:26:42
AVSCPLR.DLL    : 13.6.20.2174    92216 Bytes  20.09.2013 13:26:27
AVREG.DLL      : 13.6.20.2174   250424 Bytes  20.09.2013 13:26:26
avlode.dll     : 13.6.20.2174   497720 Bytes  20.09.2013 13:26:25
avlode.rdf     : 13.0.1.42      26846 Bytes  20.09.2013 13:27:03
VBASE000.VDF   : 7.11.70.0   66736640 Bytes  04.04.2013 13:25:44
VBASE001.VDF   : 7.11.74.226  2201600 Bytes  30.04.2013 13:25:46
VBASE002.VDF   : 7.11.80.60   2751488 Bytes  28.05.2013 13:25:49
VBASE003.VDF   : 7.11.85.214  2162688 Bytes  21.06.2013 13:25:51
VBASE004.VDF   : 7.11.91.176  3903488 Bytes  23.07.2013 13:25:55
VBASE005.VDF   : 7.11.98.186  6822912 Bytes  29.08.2013 13:26:02
VBASE006.VDF   : 7.11.98.187     2048 Bytes  29.08.2013 13:26:02
VBASE007.VDF   : 7.11.98.188     2048 Bytes  29.08.2013 13:26:02
VBASE008.VDF   : 7.11.98.189     2048 Bytes  29.08.2013 13:26:02
VBASE009.VDF   : 7.11.98.190     2048 Bytes  29.08.2013 13:26:03
VBASE010.VDF   : 7.11.98.191     2048 Bytes  29.08.2013 13:26:03
VBASE011.VDF   : 7.11.98.192     2048 Bytes  29.08.2013 13:26:03
VBASE012.VDF   : 7.11.98.193     2048 Bytes  29.08.2013 13:26:03
VBASE013.VDF   : 7.11.99.52    270848 Bytes  30.08.2013 13:26:03
VBASE014.VDF   : 7.11.99.167   210944 Bytes  02.09.2013 13:26:03
VBASE015.VDF   : 7.11.100.3    265216 Bytes  03.09.2013 13:26:04
VBASE016.VDF   : 7.11.100.95   220160 Bytes  04.09.2013 13:26:04
VBASE017.VDF   : 7.11.100.197   143872 Bytes  05.09.2013 13:26:04
VBASE018.VDF   : 7.11.101.11   227840 Bytes  06.09.2013 13:26:04
VBASE019.VDF   : 7.11.101.79   148480 Bytes  07.09.2013 13:26:05
VBASE020.VDF   : 7.11.101.169   305664 Bytes  10.09.2013 13:26:05
VBASE021.VDF   : 7.11.102.9    253440 Bytes  12.09.2013 13:26:05
VBASE022.VDF   : 7.11.102.151   282624 Bytes  15.09.2013 13:26:05
VBASE023.VDF   : 7.11.102.253   316416 Bytes  18.09.2013 13:26:06
VBASE024.VDF   : 7.11.103.49   142848 Bytes  19.09.2013 13:26:06
VBASE025.VDF   : 7.11.103.139   142848 Bytes  21.09.2013 17:25:33
VBASE026.VDF   : 7.11.103.140     2048 Bytes  21.09.2013 17:25:33
VBASE027.VDF   : 7.11.103.141     2048 Bytes  21.09.2013 17:25:33
VBASE028.VDF   : 7.11.103.142     2048 Bytes  21.09.2013 17:25:33
VBASE029.VDF   : 7.11.103.143     2048 Bytes  21.09.2013 17:25:33
VBASE030.VDF   : 7.11.103.144     2048 Bytes  21.09.2013 17:25:33
VBASE031.VDF   : 7.11.103.146    57344 Bytes  21.09.2013 17:25:33
Engineversion  : 8.2.12.120
AEVDF.DLL      : 8.1.3.4       102774 Bytes  20.09.2013 13:26:12
AESCRIPT.DLL   : 8.1.4.148     516478 Bytes  20.09.2013 13:26:12
AESCN.DLL      : 8.1.10.4      131446 Bytes  20.09.2013 13:26:12
AESBX.DLL      : 8.2.16.26    1245560 Bytes  20.09.2013 13:26:13
AERDL.DLL      : 8.2.0.128     688504 Bytes  20.09.2013 13:26:12
AEPACK.DLL     : 8.3.2.28      749945 Bytes  20.09.2013 13:26:11
AEOFFICE.DLL   : 8.1.2.76      205181 Bytes  20.09.2013 13:26:11
AEHEUR.DLL     : 8.1.4.630    6164858 Bytes  20.09.2013 13:26:11
AEHELP.DLL     : 8.1.27.6      266617 Bytes  20.09.2013 13:26:08
AEGEN.DLL      : 8.1.7.14      446839 Bytes  20.09.2013 13:26:08
AEEXP.DLL      : 8.4.1.62      328055 Bytes  20.09.2013 13:26:13
AEEMU.DLL      : 8.1.3.2       393587 Bytes  20.09.2013 13:26:07
AECORE.DLL     : 8.1.32.0      201081 Bytes  20.09.2013 13:26:07
AEBB.DLL       : 8.1.1.4        53619 Bytes  20.09.2013 13:26:07
AVWINLL.DLL    : 13.6.20.2174    23608 Bytes  20.09.2013 13:24:33
AVPREF.DLL     : 13.6.20.2174    48184 Bytes  20.09.2013 13:26:26
AVREP.DLL      : 13.6.20.2174   175672 Bytes  20.09.2013 13:26:26
AVARKT.DLL     : 13.6.20.2174   258104 Bytes  20.09.2013 13:26:20
AVEVTLOG.DLL   : 13.6.20.2174   165432 Bytes  20.09.2013 13:26:22
SQLITE3.DLL    : 3.7.0.1       394824 Bytes  20.09.2013 13:26:52
AVSMTP.DLL     : 13.6.20.2174    60472 Bytes  20.09.2013 13:26:28
NETNT.DLL      : 13.6.20.2174    13368 Bytes  20.09.2013 13:26:46
RCIMAGE.DLL    : 13.6.20.2174  4786744 Bytes  20.09.2013 13:24:33
RCTEXT.DLL     : 13.6.20.2174    68152 Bytes  20.09.2013 13:24:34

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\program files (x86)\avira\antivir desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: Interaktiv
Sekundäre Aktion......................: Ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:, F:, G:, 
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Prüfe alle Dateien....................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Sonntag, 22. September 2013  01:57

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD1
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD2
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'E:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'F:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'G:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf nach versteckten Objekten wird begonnen.
Versteckter Treiber
  [HINWEIS]   Eine Speicherveränderung wurde entdeckt, die möglicherweise zur versteckten Dateizugriffen missbraucht werden könnte.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'svchost.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '106' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'atiesrxx.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '96' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '125' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '116' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '159' Modul(e) wurden durchsucht
Durchsuche Prozess 'atieclxx.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'WUDFHost.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'WUDFHost.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '88' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '79' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskhost.exe' - '74' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'AVWEBGRD.EXE' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'apnmcp.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLHNServiceForPowerDVD.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '181' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLMSMonitorService.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLMSServer.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'HauppaugeTVServer.exe' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrA.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeamViewer_Service.exe' - '108' Modul(e) wurden durchsucht
Durchsuche Prozess 'CaptureGenUSB.exe' - '87' Modul(e) wurden durchsucht
Durchsuche Prozess 'LGDevAgt.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'LCDMon.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'LGDCore.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'LWEMon.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'ACDSeePro6InTouch2.exe' - '81' Modul(e) wurden durchsucht
Durchsuche Prozess 'tlbHost.exe' - '89' Modul(e) wurden durchsucht
Durchsuche Prozess 'Rainmeter.exe' - '86' Modul(e) wurden durchsucht
Durchsuche Prozess 'WinTVTray.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'Rainlendar.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'PDVD11Serv.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '95' Modul(e) wurden durchsucht
Durchsuche Prozess 'MOM.exe' - '72' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskhost.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'CCC.exe' - '217' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'PresentationFontCache.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'sppsvc.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'OUTLOOK.EXE' - '167' Modul(e) wurden durchsucht
Durchsuche Prozess 'LcdStudio.exe' - '86' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskhost.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '95' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '122' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '76' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '31' Modul(e) wurden durchsucht

 

Themen zu "rootkit.Boot.Sinowal.b" eingefangen!
4d36e972-e325-11ce-bfc1-08002be10318, adblock, antivir, blockiert, branding, ccsetup, computer, cpu-z, downloader, ebay, email, excel, farbar, farbar recovery scan tool, fehlalarm, flash player, geliefert, helper, homepage, kaspersky, logfile, mp3, object, plug-in, popup, problem, programm, richtlinie, rootkit, scan, security, sinowal.b, software, spielen, surface, svchost.exe, virus, vista, windows


« Windows 8 & IE 10: Webseiten werden auf Werbung umgeleitet (pricerunner bei ebay) | C:\Programm Files\HomeTab\TBUpdater.dll erscheint beim Win7 Start »


Ähnliche Themen: "rootkit.Boot.Sinowal.b" eingefangen!


  1. Rootkit.Boot.Sinowal.b entdeckt!
    Plagegeister aller Art und deren Bekämpfung - 22.06.2015 (26)
  2. Diverse Malware ("CoolSaleCoupon", "ddownlloaditkeep", "omiga-plus", "SaveSense", "SaleItCoupon"); lahmer PC & viel Werbung!
    Plagegeister aller Art und deren Bekämpfung - 11.01.2015 (16)
  3. Beim Treiber Update "wiederspenstige" Software eingefangen. "SpeedUpMyComputer"
    Plagegeister aller Art und deren Bekämpfung - 27.05.2014 (3)
  4. "monstermarketplace.com" Infektion und ihre Folgen; "Anti-Virus-Blocker"," unsichtbare Toolbars" + "Browser-Hijacker" von selbst installiert
    Log-Analyse und Auswertung - 16.11.2013 (21)
  5. Malware läßt sich nicht entfernen" Virus.Boot.Parity.b"
    Log-Analyse und Auswertung - 05.03.2013 (1)
  6. "Webseite kann nicht angezeigt werden" bei Windows 7 Boot
    Plagegeister aller Art und deren Bekämpfung - 03.12.2012 (2)
  7. "Webseite kann nicht angezeigt werden" bei Windows 7 Boot
    Plagegeister aller Art und deren Bekämpfung - 29.10.2012 (25)
  8. PC bootet nicht mehr, "Select Proper Boot Device"
    Alles rund um Windows - 24.06.2010 (2)
  9. Problem "Cannot start windows please insert Boot disc"
    Alles rund um Windows - 03.04.2010 (1)
  10. AVG findet "Trojan horse Generic15.EAM", Antimalware "Trojan.Agent" + "Rootkit.Agent"
    Plagegeister aller Art und deren Bekämpfung - 03.11.2009 (13)
  11. "resycled\boot.com" konte nicht gefunden werden.Stellen Sie sicher...
    Log-Analyse und Auswertung - 10.02.2009 (7)
  12. Kriege "TR/Rootkit.Gen" und "TR/PSW.PdPi.CT.1.D" nicht von Rechner runter!
    Plagegeister aller Art und deren Bekämpfung - 05.02.2009 (30)
  13. "resycled\boot.com" konte nicht gefunden werden
    Plagegeister aller Art und deren Bekämpfung - 29.01.2009 (3)
  14. Nach Neuinstallation: "Resycled\boot.com ist keine zulässige Win32-Anwendung"
    Log-Analyse und Auswertung - 21.12.2008 (1)
  15. "resycled\boot.com ist keine zulaessige win32-anwendung"
    Log-Analyse und Auswertung - 12.12.2008 (9)
  16. "Adware.Virtumonde"/"Downloader.MisleadApp"/"TR/VB.agt.4"/"NewDotNet.A.1350"/"Fakerec
    Plagegeister aller Art und deren Bekämpfung - 22.08.2008 (6)
  17. Wie entferne ich einen "BOO/Sinowal.A-Virus" der im MBR ist?
    Plagegeister aller Art und deren Bekämpfung - 01.07.2008 (13)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema "rootkit.Boot.Sinowal.b" eingefangen! - Zitat: Ah dann ist es wenig überraschend, dass auch der ESET-Onlinescan nichts mehr findet.. Naja, vor 3 Tagen hatte ich aber den Sinowal noch drauf und er ist auch nicht - "rootkit.Boot.Sinowal.b" eingefangen!...
Archiv
Du betrachtest: "rootkit.Boot.Sinowal.b" eingefangen! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58