Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Sinowal.A mal wieder!

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 29.06.2008, 16:09   #1
ajnas
 
Sinowal.A mal wieder! - Standard

Sinowal.A mal wieder!



Hallo,
also folgendes ist mein Problem:

Ich habe mir vor ein paar Tagen einen neuen Rechner zusammenstellen lassen und meine alte Festplatte mit einbauen lassen. Beim Formatieren der alten Festplatte meldet Avira : " MBR 1
Enthält Erkennungsmuster des Bootsektorvirus BOO/Sinowal.A"

Lass ich Avira die Platte scannen,findet er nichts.Deswegen kann ich auch keinen Bericht posten

Hab mir hier ein paar Sachen bezüglich des Themas durchgelesen und mbr ausgeführt mit folgendem Ergebnis:

Stealth MBR rootkit detector 0.2.4 by Gmer, h**p://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

...mehr nicht.

HiJack spuckt folgendes aus:
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:03:20, on 29.06.2008
Platform: Windows XP SP3, v.3311 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\avmwlanstick\wlangui.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Sidebar\sidebar.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\Windows Sidebar\sidebar.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\avmwlanstick\WlanNetService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\Winamp\winamp.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Sidebar] C:\Programme\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1214589761426
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc.exe
         
Was soll ich nun tun?Will den Virus aufjedenfall beseitigen,vorallem weil der PC gerade mal paar Tage alt ist.Oder was kann passieren wenn der Virus nicht beseitigt wird?Ich bitte um Hilfe

Alt 29.06.2008, 16:44   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Sinowal.A mal wieder! - Blinzeln

Sinowal.A mal wieder!



Da gibts mehrere Wege, den MBR neu zu schreiben. Allerdings weiß ich nicht, ob man mit mbr.exe von GMER die Zweitplatte fixen kann. Dann gibt es noch DOS-Programme wie s0kill und killmbr, Du müsstest diese allerdings von einer reinen DOS-Umgebung aus laufen lassen, z.B. wenn Du von einer DOS-Bootdiskette gebootet hast.

Ich würde daher mal vorschlagen, Du startest den PC von der Windows-XP-CD und wechselst in die Wiederherstellungskonsole. Führe dort den Befehl

fixmbr \device\harddisk2

aus, und der MBR auf der zweiten Platte sollte überschrieben sein.
__________________

__________________

Alt 29.06.2008, 18:55   #3
ajnas
 
Sinowal.A mal wieder! - Standard

Sinowal.A mal wieder!



Die erste Platte ist in 2 Teile partitioniert.Das ändert aber an dem Befehl nichts oder?Will nur sicher gehen.
__________________

Alt 29.06.2008, 19:13   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Sinowal.A mal wieder! - Blinzeln

Sinowal.A mal wieder!



Nein sollte nicht so sein. Ganz sicher bin ich mir da aber nicht, da ich fixmbr bisher immer nur ohne Parameter angewendet habe.

Falls das so nicht klappen sollte, kann ich Dir aber noch andere Tools vorschlagen.
__________________
Logs bitte immer in CODE-Tags posten

Alt 30.06.2008, 10:54   #5
Gurkenschurk
 
Sinowal.A mal wieder! - Standard

Sinowal.A mal wieder!



hi, ich habe folgendes gemacht und diesen boo/sinowal.a damit verschwinden lassen.
booten von der cd
R für reparieren
windowsinstallation wählen - bei mir die 1
adminkennwort eingeben.
jetzt ist wichtig, welcher mbr befallen ist - bei mir harddisk1
also habe ich eingegeben:
fixmbr \device\harddisk1
nach fixmbr kommt ein leerzeichen - ganz wichtig.
dann neu starten und antivir laufen lassen.
bei mir war der infekt danach verschwunden.
viel glück
Gurke


Alt 30.06.2008, 19:43   #6
ajnas
 
Sinowal.A mal wieder! - Standard

Sinowal.A mal wieder!



Erstmal danke für die Rückmeldung und die Hilfe.
Also nun sieht es aus wie folgt.
Ich habe den Befehlt fixmbr \device\harddisk2 eingegen worauf ich eine Vorsichtsmeldung erhalte habe,dass eventuell die Dateien zerstört werden können auf der Partition wenn ich den Befehl weiter führe.Und das ich den Befehl nur ausführen soll wenn ich Zugriffsprobleme mit der Platte habe. Hab dann mit Enter bestätigt und nen Bluescreen erhalten. Beim Versuch die betroffene Platte zu formatieren,hat sich Avira wieder mit dem alten Fund gemeldet. Habs dann auch nochmal mit dem Befehl fixmbr \device\harddisk3 ausprobiert (Dachte das die alte platte als Nr. 3 vielleicht gesehen wird,weil die erste Platte in 2 Teile partitioniert ist.) Daraufhin bekam ich die Meldung das der MBR nicht gelesen werden kann.
Und nun?

Achja und wie sagt ich GMER das er die betroffene Platte überprüfen soll?Hab nämlich den Verdacht das er beim aussführen nur die C\ Platte checkt.

Alt 30.06.2008, 19:47   #7
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Sinowal.A mal wieder! - Icon32

Sinowal.A mal wieder!



Führe in der Konsole den Befehl map aus. Damit solltest Du genauere Infos erhalten, welche Platte mit welchem Gerätepfad angesprochen wird.

Es ist auch gut möglich, daß Deine Zweiplatte mit \device\harddisk1 angesprochen werden muß - ich bin mir da jetzt nicht 100 pro sicher, ob Windows bei der ersten Platte mit Null oder mit Eins anfängt.
__________________
Logs bitte immer in CODE-Tags posten

Alt 30.06.2008, 20:30   #8
Silent sharK
 

Sinowal.A mal wieder! - Standard

Sinowal.A mal wieder!



Leute, es steht doch da, welche HDD:

Zitat:
" MBR 1
Enthält Erkennungsmuster des Bootsektorvirus BOO/Sinowal.A"
Oder nicht?
mfg

Alt 30.06.2008, 20:31   #9
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Sinowal.A mal wieder! - Icon32

Sinowal.A mal wieder!



Zitat:
Zitat von Dark Viruz Beitrag anzeigen
Leute, es steht doch da, welche HDD:


Oder nicht?
mfg
Das Problem hatte ich doch erläutert.
Manche Programme fangen bei 0 an zu zählen, andere bei 1.
__________________
Logs bitte immer in CODE-Tags posten

Alt 30.06.2008, 20:41   #10
Silent sharK
 

Sinowal.A mal wieder! - Standard

Sinowal.A mal wieder!



Hab dann wohl das
Zitat:
Es ist auch gut möglich
falsch verstanden, tut mir leid

Alt 30.06.2008, 20:44   #11
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Sinowal.A mal wieder! - Blinzeln

Sinowal.A mal wieder!



Zitat:
Zitat von Dark Viruz Beitrag anzeigen
Hab dann wohl das falsch verstanden, tut mir leid
Ist doch kein Problem, jeder überliest mal was.
Ich oft genug.
__________________
Logs bitte immer in CODE-Tags posten

Alt 05.07.2008, 12:49   #12
ajnas
 
Sinowal.A mal wieder! - Standard

Sinowal.A mal wieder!



So,hatte die letzten Tage nicht allzu Zeit.Hab das jetzt heute mal gemacht.Wenn ich "map" ausführe, steht bei mir folgendes:

C: \Device\HARDDISK0\PARTITION1
E: \Device\HARDDISK0\PARTITION2
D: \Device\HARDDISK1\PARTITION1


kam mir bisschen seltsam vor weil die Platte E: ist die betroffene!
soll ich jetzt einfach den Befehl "fixmbr \Device\HARDDISK0\PARTITION2" durchführen?

Alt 05.07.2008, 13:23   #13
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Sinowal.A mal wieder! - Icon32

Sinowal.A mal wieder!



Zitat:
Zitat von ajnas Beitrag anzeigen
kam mir bisschen seltsam vor weil die Platte E: ist die betroffene!
soll ich jetzt einfach den Befehl "fixmbr \Device\HARDDISK0\PARTITION2" durchführen?
Nicht ganz mach mal nur den Befehl fixmbr \Device\HARDDISK0
Um sicher zu gehen, daß auf der zweiten Platte auch nichts mehr vom MBR-Schädling drauf ist: fixmbr \Device\HARDDISK1

(In der Wiederherstellungskonsole kann es u.U. sein, daß die Laufwerksbuchstaben anders verteilt sind als im installierten Windows.)
__________________
Logs bitte immer in CODE-Tags posten

Alt 05.07.2008, 19:34   #14
ajnas
 
Sinowal.A mal wieder! - Standard

Sinowal.A mal wieder!



Zitat:
Zitat von root24 Beitrag anzeigen
Nicht ganz mach mal nur den Befehl fixmbr \Device\HARDDISK0
Um sicher zu gehen, daß auf der zweiten Platte auch nichts mehr vom MBR-Schädling drauf ist: fixmbr \Device\HARDDISK1

(In der Wiederherstellungskonsole kann es u.U. sein, daß die Laufwerksbuchstaben anders verteilt sind als im installierten Windows.)
hab auf der D Partition wichtige Daten drauf,kann da was passieren?

Alt 06.07.2008, 13:27   #15
ajnas
 
Sinowal.A mal wieder! - Standard

Sinowal.A mal wieder!



Entweder ist es zu früh am morgen oder ich find den Edit Button nicht.
mit fixmbr \Device\HARDDISK0 spricht der dann nicht C: und E: zusammen an?obwohl das 2 verschiedene Platten sind? und D: eigentlich zu C: gehören sollte?

Edit: jetzt seh ich den Edit Button zu diesem Post aber nur

Antwort

Themen zu Sinowal.A mal wieder!
antivir, avira, bho, bitte um hilfe, boo/sinowal.a, bootsektorvirus, dsl, excel, festplatte, firefox, hijackthis, hkus\s-1-5-18, internet, internet explorer, logfile, mbr rootkit, mozilla, mozilla firefox, problem, regsvr32, rootkit, rundll, scan, sinowal.a, software, stick, system, urlsearchhook, windows, windows sidebar, windows xp, windows xp sp3, xp sp3



Ähnliche Themen: Sinowal.A mal wieder!


  1. Wie entferne ich BDS/Sinowal.knfal oder generell Sinowal?
    Plagegeister aller Art und deren Bekämpfung - 31.12.2011 (17)
  2. BOO/Sinowal.A
    Plagegeister aller Art und deren Bekämpfung - 24.05.2011 (1)
  3. RKIT/MBR.Sinowal.J ...Boo/Sinowal.C ...W32/Stanit
    Plagegeister aller Art und deren Bekämpfung - 25.02.2011 (15)
  4. BOO/Sinowal.F
    Log-Analyse und Auswertung - 22.07.2010 (2)
  5. 'BDS/Sinowal.ilw' [backdoor] und trojanische Pferde kommen immer wieder
    Log-Analyse und Auswertung - 06.05.2010 (7)
  6. BOO/Sinowal.e
    Plagegeister aller Art und deren Bekämpfung - 22.10.2009 (15)
  7. BOO/Sinowal.E
    Plagegeister aller Art und deren Bekämpfung - 19.10.2009 (9)
  8. BOO/Sinowal.E
    Antiviren-, Firewall- und andere Schutzprogramme - 17.10.2009 (54)
  9. BOO/Sinowal.D
    Plagegeister aller Art und deren Bekämpfung - 02.08.2009 (18)
  10. Sinowal und Co.
    Plagegeister aller Art und deren Bekämpfung - 03.04.2009 (2)
  11. Schon wieder BOO/Sinowal.A
    Plagegeister aller Art und deren Bekämpfung - 31.03.2009 (27)
  12. B00 / Sinowal.A
    Plagegeister aller Art und deren Bekämpfung - 17.03.2009 (4)
  13. B00 / Sinowal.A
    Log-Analyse und Auswertung - 05.03.2009 (0)
  14. wieder mal BOO/Sinowal
    Log-Analyse und Auswertung - 03.01.2009 (1)
  15. boo/sinowal.A
    Plagegeister aller Art und deren Bekämpfung - 17.11.2008 (21)
  16. System wieder sauber? BOO/Sinowal.A
    Plagegeister aller Art und deren Bekämpfung - 21.10.2008 (2)
  17. BOO/Sinowal.A
    Plagegeister aller Art und deren Bekämpfung - 12.08.2008 (17)

Zum Thema Sinowal.A mal wieder! - Hallo, also folgendes ist mein Problem: Ich habe mir vor ein paar Tagen einen neuen Rechner zusammenstellen lassen und meine alte Festplatte mit einbauen lassen. Beim Formatieren der alten Festplatte - Sinowal.A mal wieder!...
Archiv
Du betrachtest: Sinowal.A mal wieder! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.