Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Und nocheinmal: BOO/Sinowal.A

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 16.06.2008, 01:04   #1
Sinowal?
 
Und nocheinmal: BOO/Sinowal.A - Standard

Und nocheinmal: BOO/Sinowal.A



Hallo! Ich habe ebenfalls ein Problem mit dem Virus BOO/Sinowal.A, bin aber mit den bisherigen Threads nicht weitergekommen. Und da in den Regeln ja steht, dass man immer ein eigenes Thema erstellen soll, um Verwirrung zu vermeiden, tue ich das halt, ich hoffe, das ist so in Ordnung.

Ich verwende Windows XP mit Service Pack 3. Der Virenscanner hat den Virus BOO/Sinowal.A im Bootsektor gefunden und konnte ihn nicht löschen, es kam eine Fehlermeldung, dass der Bootsektor nicht repariert werden kann.
Zunächst mal habe ich (nach vielem googlen) das gleiche gemacht wie Pneumatik es in diesem Thread beschreibt. Also, Windows XP-CD einlegen, von der CD booten, dann R drücken und in der Wiederherstellungskonsole den Befehl fixmbr eingeben. Das hat aber nichts genutzt, Antivir hat den Fund nachher wieder gemeldet.

Dann habe ich in Pneumatiks Thread von dem mbr detector (http://www2.gmer.net/mbr/mbr.exe) gelesen und das mal ausprobiert, mit folgendem Ergebnis:

-----
Stealth MBR rootkit detector 0.2.4 by Gmer, h**p://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x4a98cc5 size 0x1e4 !
copy of MBR has been found in sector 62 !
-----

Also fast genau wie hier,
aber mit dem Unterschied, dass die Zeile "MBR rootkit infection detected ! Use: "mbr.exe -f" to fix." fehlt. Sollte ich das trotzdem versuchen? Geht das überhaupt?

EDIT: Ich hab noch einen Log von Antivir in den Anhang gepackt.
Angehängte Dateien
Dateityp: txt AVSCAN-20080616-005008-D9C2BC47.txt (13,0 KB, 386x aufgerufen)

Geändert von Sinowal? (16.06.2008 um 01:13 Uhr)

Alt 16.06.2008, 01:11   #2
myrtille
/// TB-Ausbilder
 
Und nocheinmal: BOO/Sinowal.A - Standard

Und nocheinmal: BOO/Sinowal.A



Hi,
ja arbeite bitte dieselbe Anleitung ab, wie in dem anderen Thread:

Rufe über start->ausführen->cmd eingeben die Kommandozeile auf.
Navigiere mit dem Befehl cd zu dem Ort an dem du mbr.exe gespeichert hast.
Liegt diese auf deinem Desktop reicht cd Desktop einzugeben.
Wenn du in dem Ordner bist, indem die Datei liegt, gib dort bitte mbr.exe -f ein.

Poste das neue Log bitte ebenfalls hier.

lg myrtille
__________________

__________________

Alt 16.06.2008, 01:16   #3
Sinowal?
 
Und nocheinmal: BOO/Sinowal.A - Standard

Und nocheinmal: BOO/Sinowal.A



Scheint leider nicht zu funktionieren:

-----
Microsoft Windows XP [Version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

C:\Dokumente und Einstellungen\***>cd desktop

C:\Dokumente und Einstellungen\***\Desktop>mbr.exe -f
Stealth MBR rootkit detector 0.2.4 by Gmer, h**p://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x4a98cc5 size 0x1e4 !
copy of MBR has been found in sector 62 !

C:\Dokumente und Einstellungen\***\Desktop>
-----
__________________

Alt 16.06.2008, 01:22   #4
BataAlexander
> MalwareDB
 
Und nocheinmal: BOO/Sinowal.A - Standard

Und nocheinmal: BOO/Sinowal.A



Myrtille hat eine Idee
__________________
If every computer is running a diverse ecosystem, crackers will have
no choice but to resort to small-scale, targetted attacks, and the
days of mass-market malware will be over
[...].
Stuart Udall

Alt 16.06.2008, 01:23   #5
myrtille
/// TB-Ausbilder
 
Und nocheinmal: BOO/Sinowal.A - Standard

Und nocheinmal: BOO/Sinowal.A



Hi,
dann erstell bitte ein DSS-Log, damit wir einen Überblick über deinen Rechner bekommen.

DSS
  • Lade dir DSS
  • Schließe alle Anwendungen und führe DSS.exe dann mit einem Doppelklick aus
  • Führe während DSS arbeitet bitte keine anderen Aktionen durch
  • Am Ende öffnen sich 2 Datein main.txt und extra.txt
  • Poste den Inhalt beider Dateien hier

lg myrtille
EDIT: @Bata Das ist grob gelogen Wer hat denn hier was für Ideen. Nabend

__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Geändert von myrtille (16.06.2008 um 01:42 Uhr)

Alt 16.06.2008, 01:47   #6
Sinowal?
 
Und nocheinmal: BOO/Sinowal.A - Standard

Und nocheinmal: BOO/Sinowal.A



So, der Log von HijackThis wird dann also nicht gebraucht, oder? Die von DSS sind im Anhang.
Angehängte Dateien
Dateityp: txt main.txt (15,1 KB, 304x aufgerufen)
Dateityp: txt extra.txt (7,8 KB, 716x aufgerufen)

Alt 16.06.2008, 01:58   #7
BataAlexander
> MalwareDB
 
Und nocheinmal: BOO/Sinowal.A - Standard

Und nocheinmal: BOO/Sinowal.A



Wir werden Dein Problem morgen weiter verfolgen.
__________________
If every computer is running a diverse ecosystem, crackers will have
no choice but to resort to small-scale, targetted attacks, and the
days of mass-market malware will be over
[...].
Stuart Udall

Alt 16.06.2008, 01:59   #8
myrtille
/// TB-Ausbilder
 
Und nocheinmal: BOO/Sinowal.A - Standard

Und nocheinmal: BOO/Sinowal.A



Hast du heute größere Veränderungen an deinem Rechner vorgenommen? SP3 installiert? neuaufgesetzt?

Hijackthis brauchen wir nicht mehr. Ich hätte allerdings gern ein ausführlicheres Listing:
Erstelle ein filelisting mit diesem script:

- Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
- Doppelklick auf listing6.cmd auf dem Desktop
- nach kurzer Zeit erscheint eine listing.txt auf dem Desktop
Diese listing.txt z.B. bei rapidshare hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

lg myrtille

EDIT: So, ich=bett, alles weitere dann morgen.
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Alt 16.06.2008, 02:06   #9
Sinowal?
 
Und nocheinmal: BOO/Sinowal.A - Standard

Und nocheinmal: BOO/Sinowal.A



Ok, ist erledigt: RapidShare: Easy Filehosting

Dann bis morgen, vielen Dank für die schnelle Hilfe!

Ach ja, ich habe das System heute neu aufgesetzt. Dementsprechend überrascht war ich auch, als dann gleich so ein Problem aufgetaucht ist. Aber in diesem Fall kann der Virus ja auch schon vorher dagewesen sein. Und ist eigentlich schon bekannt, was der genau macht? Ich habe bisher noch nichts ungewöhnliches festgestellt.

Alt 16.06.2008, 12:34   #10
myrtille
/// TB-Ausbilder
 
Und nocheinmal: BOO/Sinowal.A - Standard

Und nocheinmal: BOO/Sinowal.A



Hi,
trat das Problem auch vor dem Neuaufsetzen schon auf, oder erst nachdem du neuaufgesetzt hast?

Ein Scan auf Dateien, Prozesse und Registryeinträge, die vor den meisten anderen Scannern versteckt werden (durch ein sogenanntes Rootkit). Während dieser Scans soll(en):
  • alle anderen Scanner gegen Viren, Spyware, usw deaktiviert sein
  • keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen)
  • nichts am Rechner getan werden
  • nach jedem Scan der Rechner neu gestartet werden
Gmer scannen lassen
  • Lade dir GMER von dieser Seite runter und entpacke es auf deinen Desktop.
  • Starte gmer.exe. Alle anderen Programme sollen geschlossen sein.
  • Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
  • Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird GMER beendet.
  • Füge das Log aus der Zwischenablage in deine Antwort hier ein.
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Geändert von myrtille (16.06.2008 um 13:11 Uhr)

Alt 16.06.2008, 13:14   #11
myrtille
/// TB-Ausbilder
 
Und nocheinmal: BOO/Sinowal.A - Standard

Und nocheinmal: BOO/Sinowal.A



Hi,
der Übersicht halber ein neues Post.

Falls du noch nichts gemacht hast, führe bitte folgendes zuerst aus:
Rufe wieder die Kommandozeile auf und navigiere mit dem Befehl cd zu dem Ort an dem du mbr.exe gespeichert hast.
Gib dort bitte mbr -c 0x4a98cc5 0x1e4 mbr.txt.
Poste das Log bitte dann hier.


Erstelle bitte außerdem noch einen Scan mit Cureit Dr.Web
  • Downloade Dr.Web CureIt!
  • Speichere es auf deinem Desktop.
  • Entpacke es in einen eigenen Ordner.
  • Lies nun zuerst die deutsche Anleitung und drucke sie dir aus.
  • Lass alle Malware in den Quarantaene Ordner verschieben.
  • Ignoriere eventuelle Warnungen seitens deines AV Programms, du kannst auch offline gehen und -> dann dein AV Programm während des Scannens mit Dr. Web CureIt! abstellen.
  • Vergiss bitte nicht, dein AV Programm nach dem Scan wieder anzustellen.
  • Speichere das Logfile - siehe Anleitung - und poste es.

lg myrtille
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Alt 16.06.2008, 13:26   #12
Sinowal?
 
Und nocheinmal: BOO/Sinowal.A - Standard

Und nocheinmal: BOO/Sinowal.A



Ich habe den Scan mit GMER schon gemacht. Soll ich das, was du geschrieben hast, jetzt trotzdem machen? Oder willst du lieber erstmal den Log von GMER lesen?

Ob das Problem schon vorher da war, kann ich leider nicht genau sagen. Mein Bruder meinte, da wäre ein Virus auf dem PC, den Antivir nicht löschen kann, und der PC war allgemein auch schon ziemlich vollgemüllt, also haben wir beschlossen, das System neu aufzusetzen. Um den Virus hab ich mich nicht weiter gekümmert, da ich ganz naiv davon ausgegangen bin, dass der ja mit dem Formatieren der Festplatte verschwinden müsste. Nachdem ich dann im Internet mehr über Bootsektor-Viren gelesen habe, habe ich dann meinen Bruder gefragt, ob das der Virus war, den er vorher gefunden hatte. Er meinte nicht, konnte sich an den Name von dem anderen Virus aber nicht mehr erinnern. Jedenfalls ist BOO/Sinowal.A der einzige Virus den Antivir zur Zeit findet.


Also, hier mal der Log von Gmer:

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2008-06-16 13:12:35
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.14 ----

SSDT F7B3001C ZwCreateThread
SSDT F7B30008 ZwOpenProcess
SSDT F7B3000D ZwOpenThread
SSDT F7B30017 ZwTerminateProcess
SSDT F7B30012 ZwWriteVirtualMemory

---- User code sections - GMER 1.0.14 ----

.text C:\Programme\Winamp Remote\bin\OrbTray.exe[1592] kernel32.dll!SetUnhandledExceptionFilter 7C8449FD 5 Bytes JMP 00413C70 C:\Programme\Winamp Remote\bin\OrbTray.exe (Orb/Orb Networks)

---- Devices - GMER 1.0.14 ----

AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- Disk sectors - GMER 1.0.14 ----

Disk \Device\Harddisk0\DR0 sector 61: malicious code @ sector 0x4a98cc5 size 0x1e4
Disk \Device\Harddisk0\DR0 sector 62: copy of MBR

---- EOF - GMER 1.0.14 ----

Alt 16.06.2008, 13:41   #13
myrtille
/// TB-Ausbilder
 
Und nocheinmal: BOO/Sinowal.A - Standard

Und nocheinmal: BOO/Sinowal.A



Hi,
ja fahre bitte mit dem nächsten Post fort.
Führe zuerst die Anleitung für mbr.exe durch.

lg myrtille
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Alt 16.06.2008, 14:15   #14
Sinowal?
 
Und nocheinmal: BOO/Sinowal.A - Standard

Und nocheinmal: BOO/Sinowal.A



In dem Dr. Web Ordner, den du verlinkt hast, waren nur 2 Dateien, drwtoday.txt und drwtoday.vdb.

Ich lade mir mal die Version von Dr. Web, die in der Anleitung verlinkt ist, runter.

Außerdem noch die Datei, die mbr ausgegeben hat: RapidShare: Easy Filehosting

Alt 16.06.2008, 14:21   #15
myrtille
/// TB-Ausbilder
 
Und nocheinmal: BOO/Sinowal.A - Standard

Und nocheinmal: BOO/Sinowal.A



Hi,
danke für den Hinweis. Da hat sich wohl was geändert.
Tut mir Leid für dich. Der richtige Link ist der ausm Tutorial: Link

Ich änder dann mal meine Anleitung.

lg myrtille
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Antwort

Themen zu Und nocheinmal: BOO/Sinowal.A
antivir, boo/sinowal.a, booten, bootsektor, code, detected, ergebnis, fehlermeldung, folge, google, log, löschen, mbr rootkit, nicht löschen, nichts, problem, regeln, rootkit, scan, scanner, service, virenscanner, virus, windows, windows xp



Ähnliche Themen: Und nocheinmal: BOO/Sinowal.A


  1. Nocheinmal Verschlüsselungstrojaner
    Plagegeister aller Art und deren Bekämpfung - 26.04.2012 (1)
  2. Wie entferne ich BDS/Sinowal.knfal oder generell Sinowal?
    Plagegeister aller Art und deren Bekämpfung - 31.12.2011 (17)
  3. RKIT/MBR.Sinowal.J ...Boo/Sinowal.C ...W32/Stanit
    Plagegeister aller Art und deren Bekämpfung - 25.02.2011 (15)
  4. Nocheinmal der icq-Virus
    Plagegeister aller Art und deren Bekämpfung - 30.05.2010 (2)
  5. Und nocheinmal der leidige Antimalware-Doctor...
    Plagegeister aller Art und deren Bekämpfung - 03.05.2010 (3)
  6. BOO/Sinowal.A
    Plagegeister aller Art und deren Bekämpfung - 19.04.2009 (15)
  7. Sinowal und Co.
    Plagegeister aller Art und deren Bekämpfung - 03.04.2009 (2)
  8. B00 / Sinowal.A
    Plagegeister aller Art und deren Bekämpfung - 17.03.2009 (4)
  9. B00 / Sinowal.A
    Log-Analyse und Auswertung - 05.03.2009 (0)
  10. BOO/Sinowal.A
    Log-Analyse und Auswertung - 26.02.2009 (0)
  11. BOO/Sinowal.A
    Plagegeister aller Art und deren Bekämpfung - 21.02.2009 (4)
  12. BOO/Sinowal.A
    Plagegeister aller Art und deren Bekämpfung - 20.02.2009 (1)
  13. boo/sinowal.A
    Plagegeister aller Art und deren Bekämpfung - 17.11.2008 (21)
  14. BOO/Sinowal.A
    Plagegeister aller Art und deren Bekämpfung - 03.11.2008 (7)
  15. nocheinmal ein hijackthis log!
    Log-Analyse und Auswertung - 21.12.2004 (6)
  16. Und bitte nocheinmal überprüfen
    Log-Analyse und Auswertung - 29.11.2004 (5)
  17. Nocheinmal bitte nachschauen!
    Log-Analyse und Auswertung - 12.10.2004 (4)

Zum Thema Und nocheinmal: BOO/Sinowal.A - Hallo! Ich habe ebenfalls ein Problem mit dem Virus BOO/Sinowal.A, bin aber mit den bisherigen Threads nicht weitergekommen. Und da in den Regeln ja steht, dass man immer ein eigenes - Und nocheinmal: BOO/Sinowal.A...
Archiv
Du betrachtest: Und nocheinmal: BOO/Sinowal.A auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.