Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: BOO/Sinowal.A

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 31.08.2008, 13:52   #1
L0ngBlade
 
BOO/Sinowal.A - Standard

BOO/Sinowal.A



heute habe ich einen virenscan mit antivirus gemacht und dann kam das der bootsector malwarecode enthält BOO/Sinowal.A wie bekomme ich das weg kann mir einer evtl. helfen habe windows xp service pack 3

Alt 31.08.2008, 15:52   #2
undoreal
/// AVZ-Toolkit Guru
 
BOO/Sinowal.A - Standard

BOO/Sinowal.A



Halli hallo.

1) Blacklight bitte laufen lassen und das log posten.. evtl. Funde bitte umbennen/beheben lassen!


2) Master Boot Record überprüfen:

Lade dir die mbr.exe von GMER auf den Desktop und führe die Datei aus.

Poste das log!

Sollte ein MBR Rootkit gefunden worde sein, das wird im log durch den Ausdruck
Zitat:
MBR rootkit code detected !
indiziert und du musst du eine Bereinigung vornehmen.

Downloade dir dafür die mbr.bat.txt von BataAlexander und speichere sie neben der mbr.exe auf dem Desktop.
Ändere die Endung der mbr.txt.bat in mbr.bat Eine vernünftige Ordneransicht ist dafür nötig.
Dann führe die mbr.bat. durch einen Doppelklick aus.
Dabei muss sich die mbr.exe von GMER ebenfalls auf dem Desktop befinden!

Der MBR wird bereinigt und es erscheint ein log. Poste auch diese log!

Gleich danach:

3) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.
__________________

__________________

Alt 01.09.2008, 12:32   #3
L0ngBlade
 
BOO/Sinowal.A - Standard

BOO/Sinowal.A



blacklight hat nichts gefunden aber hier die

mbr LOG

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x4a891c1 size 0x1a8 !
__________________

Alt 01.09.2008, 12:38   #4
undoreal
/// AVZ-Toolkit Guru
 
BOO/Sinowal.A - Standard

BOO/Sinowal.A



Bereinigung des MBR (siehe unten):

Zitat:
Downloade dir dafür die mbr.bat.txt von BataAlexander und speichere sie neben der mbr.exe auf dem Desktop.
Ändere die Endung der mbr.txt.bat in mbr.bat Eine vernünftige Ordneransicht ist dafür nötig.
Dann führe die mbr.bat. durch einen Doppelklick aus.
Dabei muss sich die mbr.exe von GMER ebenfalls auf dem Desktop befinden!

Der MBR wird bereinigt und es erscheint ein log. Poste auch diese log!
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 01.09.2008, 12:52   #5
L0ngBlade
 
BOO/Sinowal.A - Standard

BOO/Sinowal.A



habe ich versucht jedoch kommt in der log die selbe meldung mehr nicht habe jetzt noch die combofix log hier ComboFix 08-08-31.01 - eQuip 2008-09-01 13:43:30.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.283 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\eQuip\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\eQuip\Desktop\WinXP_DE_HOM_BF.EXE
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\eQuip\Anwendungsdaten\macromedia\Flash Player\#SharedObjects\9MZK3QZ6\interclick.com
C:\Dokumente und Einstellungen\eQuip\Anwendungsdaten\macromedia\Flash Player\#SharedObjects\9MZK3QZ6\interclick.com\ud.sol
C:\Dokumente und Einstellungen\eQuip\Anwendungsdaten\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#interclick.com
C:\Dokumente und Einstellungen\eQuip\Anwendungsdaten\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#interclick.com\settings.sol
C:\WINDOWS\system32\Cfx32.lic
C:\WINDOWS\system32\cfx32.ocx
C:\WINDOWS\system32\rtl60.bpl

.
((((((((((((((((((((((( Dateien erstellt von 2008-08-01 bis 2008-09-01 ))))))))))))))))))))))))))))))
.

2008-08-31 14:44 . 2008-08-31 14:44 250 --a------ C:\WINDOWS\gmer.ini
2008-08-31 03:25 . 2008-08-31 03:26 <DIR> d-------- C:\Programme\Windows Live Safety Center
2008-08-28 03:43 . 2008-08-28 03:49 <DIR> d-------- C:\Programme\ABC Amber Audio Converter
2008-08-28 03:39 . 2008-08-28 03:41 <DIR> d-------- C:\Programme\Bargain Buddy
2008-08-28 03:39 . 2000-05-22 00:00 140,488 --a------ C:\WINDOWS\system32\Comdlg32.ocx
2008-08-28 03:39 . 2001-08-08 21:00 40,960 --a------ C:\WINDOWS\system32\DGPNorm.ocx
2008-08-28 01:05 . 2008-08-28 04:41 <DIR> d-------- C:\Programme\IrfanView
2008-08-28 01:02 . 2008-08-28 01:02 <DIR> d-------- C:\Dokumente und Einstellungen\eQuip\Anwendungsdaten\Eclipsit
2008-08-28 00:54 . 1998-10-29 16:45 306,688 --a------ C:\WINDOWS\IsUninst.exe
2008-08-27 02:14 . 2008-08-27 02:14 <DIR> d-------- C:\WINDOWS\Sun
2008-08-22 12:16 . 2008-08-22 12:16 21,840 --a------ C:\WINDOWS\system32\SIntfNT.dll
2008-08-22 12:16 . 2008-08-22 12:16 17,212 --a------ C:\WINDOWS\system32\SIntf32.dll
2008-08-22 12:16 . 2008-08-22 12:16 12,067 --a------ C:\WINDOWS\system32\SIntf16.dll
2008-08-22 12:08 . 2008-08-22 12:08 102,400 --a------ C:\WINDOWS\DIIUnin.exe
2008-08-22 12:08 . 2008-08-22 12:22 30,523 --a------ C:\WINDOWS\DIIUnin.dat
2008-08-22 12:08 . 2008-08-22 12:08 2,829 --a------ C:\WINDOWS\DIIUnin.pif
2008-08-18 16:16 . 2008-08-18 16:16 <DIR> d-------- C:\Programme\Hamachi
2008-08-18 16:16 . 2008-09-01 13:12 <DIR> d-------- C:\Dokumente und Einstellungen\eQuip\Anwendungsdaten\Hamachi
2008-08-18 16:16 . 2008-08-18 16:16 25,280 --a------ C:\WINDOWS\system32\drivers\hamachi.sys
2008-08-18 14:54 . 2008-08-28 20:23 <DIR> d-------- C:\Programme\ICQ6
2008-08-18 14:54 . 2008-08-18 14:56 <DIR> d-------- C:\Dokumente und Einstellungen\eQuip\Anwendungsdaten\ICQ
2008-08-17 10:25 . 2008-08-17 10:25 <DIR> d--hs---- C:\found.000
2008-08-15 09:20 . 2008-05-01 16:34 331,776 -----c--- C:\WINDOWS\system32\dllcache\msadce.dll
2008-08-15 08:54 . 2008-04-11 21:04 691,712 -----c--- C:\WINDOWS\system32\dllcache\inetcomm.dll
2008-08-10 17:02 . 2008-04-14 04:22 221,184 --a------ C:\WINDOWS\system32\wmpns.dll
2008-08-10 11:28 . 2008-08-10 11:28 <DIR> d-------- C:\WINDOWS\system32\de-de
2008-08-10 11:28 . 2008-08-10 11:28 <DIR> d-------- C:\WINDOWS\system32\de
2008-08-10 11:28 . 2008-08-10 11:28 <DIR> d-------- C:\WINDOWS\system32\bits
2008-08-10 11:28 . 2008-08-10 11:28 <DIR> d-------- C:\WINDOWS\l2schemas
2008-08-10 11:24 . 2008-08-10 11:29 <DIR> d-------- C:\WINDOWS\ServicePackFiles
2008-08-10 11:18 . 2008-08-10 11:18 <DIR> d-------- C:\WINDOWS\EHome
2008-08-06 10:46 . 2007-07-30 19:19 271,224 --a------ C:\WINDOWS\system32\mucltui.dll
2008-08-06 10:46 . 2007-07-30 19:19 207,736 --a------ C:\WINDOWS\system32\muweb.dll
2008-08-06 10:46 . 2007-07-30 19:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui
2008-08-05 23:13 . 2008-08-05 23:13 <DIR> d---s---- C:\Dokumente und Einstellungen\eQuip\UserData
2008-08-05 22:53 . 2008-08-05 22:54 <DIR> d-------- C:\Programme\Windows Live
2008-08-05 22:53 . 2008-08-05 22:54 <DIR> d--hsc--- C:\Programme\Gemeinsame Dateien\WindowsLiveInstaller
2008-08-05 22:52 . 2008-08-05 22:53 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WLInstaller
2008-08-05 22:50 . 2008-08-05 22:52 <DIR> d-------- C:\Dokumente und Einstellungen\eQuip\Contacts
2008-08-04 22:59 . 2004-08-04 00:38 701,952 --------- C:\WINDOWS\system32\drivers\ati2mtag.sys
2008-08-03 22:45 . 2008-08-04 01:15 <DIR> d-------- C:\server
2008-08-03 16:32 . 2008-08-03 16:33 <DIR> d-------- C:\Programme\C 2 Delphi Converter 1
2008-08-03 16:32 . 2008-08-03 16:32 74,752 --a------ C:\WINDOWS\cadkasdeinst01e.exe
2008-08-03 16:16 . 2008-08-03 19:23 <DIR> d-------- C:\hooks
2008-08-01 06:46 . 2008-08-01 06:46 <DIR> d-------- C:\nexus_source 0.2
2008-08-01 06:41 . 2008-08-01 06:41 <DIR> d-------- C:\Programme\PE Explorer
2008-08-01 06:41 . 2008-08-01 06:41 <DIR> d-------- C:\Dokumente und Einstellungen\eQuip\Anwendungsdaten\PE Explorer

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-01 11:12 --------- d-----w C:\Dokumente und Einstellungen\eQuip\Anwendungsdaten\teamspeak2
2008-09-01 11:06 --------- d-----w C:\Dokumente und Einstellungen\eQuip\Anwendungsdaten\OpenOffice.org2
2008-08-31 00:50 137,472 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-08-31 00:50 111,928 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
2008-08-29 01:55 --------- d-----w C:\Dokumente und Einstellungen\eQuip\Anwendungsdaten\mIRC
2008-08-29 00:34 --------- d-----w C:\Programme\mIRC
2008-08-21 18:43 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-08-12 03:52 --------- d-----w C:\Dokumente und Einstellungen\eQuip\Anwendungsdaten\skypePM
2008-08-12 03:52 --------- d-----w C:\Dokumente und Einstellungen\eQuip\Anwendungsdaten\Skype
2008-08-03 00:04 --------- d-----w C:\Dokumente und Einstellungen\eQuip\Anwendungsdaten\Winamp
2008-07-28 00:56 43,520 ----a-w C:\WINDOWS\system32\CmdLineExt03.dll
2008-07-27 16:14 271,360 ----a-w C:\WINDOWS\system32\drivers\atksgt.sys
2008-07-27 16:14 18,048 ----a-w C:\WINDOWS\system32\drivers\lirsgt.sys
2008-07-25 12:18 --------- d-----w C:\Programme\GW Team Builder
2008-07-23 11:47 --------- d-----w C:\Dokumente und Einstellungen\eQuip\Anwendungsdaten\DAoC Portal
2008-07-23 11:31 --------- d-----w C:\Dokumente und Einstellungen\eQuip\Anwendungsdaten\Electronic Arts
2008-07-22 23:41 --------- d-----w C:\Programme\DivX
2008-07-21 17:34 --------- d-----w C:\Programme\Avira
2008-07-21 17:34 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-07-21 14:01 --------- d-----w C:\Programme\Skype
2008-07-21 14:01 --------- d-----w C:\Programme\Gemeinsame Dateien\Skype
2008-07-21 14:01 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2008-07-21 13:43 --------- d-----w C:\Programme\Xenon
2008-07-20 22:37 --------- d-----w C:\Dokumente und Einstellungen\eQuip\Anwendungsdaten\Talkback
2008-07-20 22:13 --------- d-----w C:\Programme\Java
2008-07-20 22:11 --------- d-----w C:\Programme\Gemeinsame Dateien\Java
2008-07-19 17:09 --------- d-----w C:\Dokumente und Einstellungen\eQuip\Anwendungsdaten\DivX
2008-07-19 12:58 --------- d-----w C:\Programme\Warcraft III
2008-07-17 14:39 --------- d-----w C:\Dokumente und Einstellungen\eQuip\Anwendungsdaten\Warsow
2008-07-13 11:20 --------- d-----w C:\Programme\QIP
2008-07-08 21:56 --------- d-----w C:\Dokumente und Einstellungen\eQuip\Anwendungsdaten\Apple Computer
2008-07-08 13:58 --------- d-----w C:\Dokumente und Einstellungen\eQuip\Anwendungsdaten\vlc
2008-07-07 20:26 253,952 ----a-w C:\WINDOWS\system32\es.dll
2008-07-04 20:50 --------- d-----w C:\Programme\4Media
2008-07-04 10:21 69,632 ----a-w C:\WINDOWS\ScUnin.exe
2008-07-01 21:15 --------- d-----w C:\Programme\MSXML 4.0
2008-06-30 13:00 66,872 ----a-w C:\WINDOWS\system32\PnkBstrA.exe
2008-06-24 16:42 74,240 ----a-w C:\WINDOWS\system32\mscms.dll
2008-06-23 15:10 671,744 ----a-w C:\WINDOWS\system32\wininet.dll
2008-06-20 17:46 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-06-18 17:52 161,096 ----a-w C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2008-06-11 00:07 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe
2008-06-11 00:07 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll
2008-06-11 00:07 129,784 ------w C:\WINDOWS\system32\pxafs.dll
2008-06-11 00:07 120,056 ------w C:\WINDOWS\system32\pxcpyi64.exe
2008-06-11 00:07 118,520 ------w C:\WINDOWS\system32\pxinsi64.exe
2008-06-11 00:04 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2008-06-11 00:04 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 04:22 15360]
"QIP2005"="C:\Programme\QIP\qip.exe" [2008-07-01 18:34 3256320]
"MsnMsgr"="C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 11:34 5724184]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-12-09 10:52 5898240]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2005-12-09 10:52 86016]
"UpdReg"="C:\WINDOWS\UpdReg.EXE" [2000-05-11 01:00 90112]
"Jet Detection"="C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe" [2001-11-29 01:00 28672]
"WinampAgent"="C:\Programme\Winamp\winampa.exe" [2008-04-01 20:49 36352]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-05-27 10:50 413696]
"Sony Ericsson PC Suite"="C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2007-04-26 09:45 401408]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 04:27 144784]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]
"Bsx3"="C:\WINDOWS\bs3.dll" [2003-08-19 08:09 139264]
"nwiz"="nwiz.exe" [2005-12-09 10:52 1519616 C:\WINDOWS\system32\nwiz.exe]
"CTHelper"="CTHELPER.EXE" [2003-08-28 10:45 24576 C:\WINDOWS\system32\CTHELPER.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 04:22 15360]

C:\Dokumente und Einstellungen\eQuip\Startmen\Programme\Autostart\
hamachi.lnk - C:\Programme\Hamachi\hamachi.exe [2008-08-18 16:16:09 625952]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.ctmp3"= C:\WINDOWS\system32\ctmp3.acm

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\games\\Steam\\SteamApps\\equipt\\counter-strike\\hl.exe"=
"C:\\games\\Steam\\Steam.exe"=
"C:\\Programme\\QIP\\qip.exe"=
"C:\\games\\Warcraft III\\Frozen Throne.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\games\\Steam\\SteamApps\\medusa_51\\counter-strike\\hl.exe"=
"E:\\d\\Program Files\\Wolfenstein - Enemy Territory\\ET.exe"=
"C:\\games\\Warcraft III\\Warcraft III.exe"=
"C:\\Programme\\mIRC\\mirc.exe"=
"C:\\Programme\\NetMeeting\\conf.exe"=
"C:\\Programme\\4Media\\MP4 to MP3 Converter 3\\videoenc.exe"=
"C:\\games\\Wolfenstein - Enemy Territory\\ET.exe"=
"C:\\games\\Anno 1701\\Anno1701.exe"=
"C:\\hooks\\ET MultiHack\\HoDLoader.exe"=
"C:\\server\\pServer2.exe"=
"C:\\server\\fertiges\\HoDLoader.exe"=
"C:\\Dokumente und Einstellungen\\eQuip\\Desktop\\Neuer Ordner (5)\\Chat1\\pChat1.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Dokumente und Einstellungen\\eQuip\\Desktop\\Neuer Ordner (6)\\Clipboard Exchange - EXEn\\ClipboardServer.exe"=
"C:\\Dokumente und Einstellungen\\eQuip\\Desktop\\Remote_Adm1987864172006\\Delphi Server\\Server.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"6112:TCP"= 6112:TCP:wc3

S3 SetupNTGLM7X;SetupNTGLM7X;D:\NTGLM7X.sys []

*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
.
Inhalt des "geplante Tasks" Ordners
.
.
------- Zusätzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\eQuip\Anwendungsdaten\Mozilla\Firefox\Profiles\6y00alob.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - google.de
FF -: plugin - C:\Programme\Adobe\Acrobat 5.0\Reader\browser\nppdf32.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-01 13:46:10
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-09-01 13:49:07
ComboFix-quarantined-files.txt 2008-09-01 11:49:05

Pre-Run: 8,702,865,408 Bytes frei
Post-Run: 8,976,764,928 Bytes frei

WinXP_DE_HOM_BF.EXE
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

211 --- E O F --- 2008-08-15 20:10:32


zeigt aber nix besonderes wie ich das sehe


Alt 01.09.2008, 12:56   #6
undoreal
/// AVZ-Toolkit Guru
 
BOO/Sinowal.A - Standard

BOO/Sinowal.A



GMER - Rootkit Detection
  • Lade GMER von hier
  • entpacke es auf den Dektop
  • Dopperlklicke die gmer.exe
  • Der Reiter Rootkit oben ist schon angewählt
  • Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
  • nach Beendigung des Scan, drücke "Copy"
  • nun kannst Du das Ergebnis hier posten
  • Sollte GMER sagen "Gmer hasen´t found any System Modifikation", so hat GMER keine Einträge gefunden.
__________________
--> BOO/Sinowal.A

Alt 01.09.2008, 13:08   #7
L0ngBlade
 
BOO/Sinowal.A - Standard

BOO/Sinowal.A



GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2008-09-01 14:07:37
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.14 ----

SSDT F8BCED5C ZwCreateThread
SSDT F8BCED48 ZwOpenProcess
SSDT F8BCED4D ZwOpenThread
SSDT F8BCED57 ZwTerminateProcess
SSDT F8BCED52 ZwWriteVirtualMemory

---- Kernel code sections - GMER 1.0.14 ----

? C:\DOKUME~1\eQuip\LOKALE~1\Temp\mbr.sys Das System kann die angegebene Datei nicht finden. !
? C:\WINDOWS\system32\Drivers\PROCEXP90.SYS Das System kann die angegebene Datei nicht finden. !
? C:\ComboFix\catchme.sys Das System kann den angegebenen Pfad nicht finden. !

---- User IAT/EAT - GMER 1.0.14 ----

IAT C:\Programme\Mozilla Firefox\firefox.exe[2288] @ C:\WINDOWS\system32\ADVAPI32.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [018B73CC] C:\PROGRA~1\MOZILL~1\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programme\Mozilla Firefox\firefox.exe[2288] @ C:\WINDOWS\system32\ADVAPI32.dll [KERNEL32.dll!LoadLibraryA] [018B7376] C:\PROGRA~1\MOZILL~1\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programme\Mozilla Firefox\firefox.exe[2288] @ C:\WINDOWS\system32\RPCRT4.dll [KERNEL32.dll!LoadLibraryA] [018B7376] C:\PROGRA~1\MOZILL~1\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programme\Mozilla Firefox\firefox.exe[2288] @ C:\WINDOWS\system32\RPCRT4.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [018B73CC] C:\PROGRA~1\MOZILL~1\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programme\Mozilla Firefox\firefox.exe[2288] @ C:\WINDOWS\system32\Secur32.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [018B73CC] C:\PROGRA~1\MOZILL~1\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programme\Mozilla Firefox\firefox.exe[2288] @ C:\WINDOWS\system32\Secur32.dll [KERNEL32.dll!LoadLibraryA] [018B7376] C:\PROGRA~1\MOZILL~1\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programme\Mozilla Firefox\firefox.exe[2288] @ C:\WINDOWS\system32\WS2_32.dll [KERNEL32.dll!LoadLibraryA] [018B7376] C:\PROGRA~1\MOZILL~1\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programme\Mozilla Firefox\firefox.exe[2288] @ C:\WINDOWS\system32\WS2_32.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [018B73CC] C:\PROGRA~1\MOZILL~1\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programme\Mozilla Firefox\firefox.exe[2288] @ C:\WINDOWS\system32\WS2HELP.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [018B73CC] C:\PROGRA~1\MOZILL~1\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programme\Mozilla Firefox\firefox.exe[2288] @ C:\WINDOWS\system32\WS2HELP.dll [KERNEL32.dll!LoadLibraryA] [018B7376] C:\PROGRA~1\MOZILL~1\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programme\Mozilla Firefox\firefox.exe[2288] @ C:\WINDOWS\system32\GDI32.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [018B73CC] C:\PROGRA~1\MOZILL~1\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programme\Mozilla Firefox\firefox.exe[2288] @ C:\WINDOWS\system32\GDI32.dll [KERNEL32.dll!LoadLibraryA] [018B7376] C:\PROGRA~1\MOZILL~1\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programme\Mozilla Firefox\firefox.exe[2288] @ C:\WINDOWS\system32\USER32.dll [KERNEL32.dll!LoadLibraryA] [018B7376] C:\PROGRA~1\MOZILL~1\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programme\Mozilla Firefox\firefox.exe[2288] @ C:\WINDOWS\system32\USER32.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [018B73CC] C:\PROGRA~1\MOZILL~1\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programme\Mozilla Firefox\firefox.exe[2288] @ C:\WINDOWS\system32\SHELL32.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [018B73CC] C:\PROGRA~1\MOZILL~1\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programme\Mozilla Firefox\firefox.exe[2288] @ C:\WINDOWS\system32\SHELL32.dll [KERNEL32.dll!LoadLibraryA] [018B7376] C:\PROGRA~1\MOZILL~1\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programme\Mozilla Firefox\firefox.exe[2288] @ C:\WINDOWS\system32\SHLWAPI.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [018B73CC] C:\PROGRA~1\MOZILL~1\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programme\Mozilla Firefox\firefox.exe[2288] @ C:\WINDOWS\system32\SHLWAPI.dll [KERNEL32.dll!LoadLibraryA] [018B7376] C:\PROGRA~1\MOZILL~1\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programme\Mozilla Firefox\firefox.exe[2288] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!LoadLibraryA] [018B7376] C:\PROGRA~1\MOZILL~1\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programme\Mozilla Firefox\firefox.exe[2288] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [018B73CC] C:\PROGRA~1\MOZILL~1\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programme\Mozilla Firefox\firefox.exe[2288] @ C:\WINDOWS\system32\iphlpapi.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [018B73CC] C:\PROGRA~1\MOZILL~1\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programme\Mozilla Firefox\firefox.exe[2288] @ C:\WINDOWS\system32\iphlpapi.dll [KERNEL32.dll!LoadLibraryA] [018B7376] C:\PROGRA~1\MOZILL~1\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)

---- Disk sectors - GMER 1.0.14 ----

Disk \Device\Harddisk0\DR0 sector 61: malicious code @ sector 0x4a891c1 size 0x1a8

---- EOF - GMER 1.0.14 ----

Alt 01.09.2008, 13:11   #8
L0ngBlade
 
BOO/Sinowal.A - Standard

BOO/Sinowal.A



was nun wie bekomme ich das weg

und was macht das ding überhaupt

Alt 01.09.2008, 13:48   #9
undoreal
/// AVZ-Toolkit Guru
 
BOO/Sinowal.A - Standard

BOO/Sinowal.A



Starte den Rechner von deiner Windows XP CD aus und wechsel mit "R" in die Wiederherstellungskonsole.

Dort gib in der Eingabeaufforderung folgendes ein:
Code:
ATTFilter
fixmbr \Device\HardDisk0
         
zwischen fixmbr und \Device\ steht ein Leerzeichen! bestätige mit Enter und starte den Rechner neu.
Übeprüfe das Ergebnis indem du die mbr.exe nochmal ausführst. Poste das log!
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 01.09.2008, 16:39   #10
Silent sharK
 

BOO/Sinowal.A - Standard

BOO/Sinowal.A



Zitat:
Zitat von L0ngBlade Beitrag anzeigen
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

malicious code @ sector 0x4a891c1 size 0x1a8 !
Hi,
wenn ich mich mal einklinken darf:
Beachtet das fettgeschriebene!

Der malicious code ist ein (inaktiver) Ueberbleibsel des Sinowal in einem nicht verwendeten Sektor. Um den zu Entfernen muesste man DBAN laufen lassen.

solong..
__________________
mfg, Patrick


Technische Kompromittierung
=> Tatort Internet
Keine Windows-CD? Selbst brennen.


Antwort

Themen zu BOO/Sinowal.A
antivirus, boo/sinowal.a, enthält, helfen, heute, scan, sector, service, service pack 3, virenscan, windows, windows xp




Ähnliche Themen: BOO/Sinowal.A


  1. Wie entferne ich BDS/Sinowal.knfal oder generell Sinowal?
    Plagegeister aller Art und deren Bekämpfung - 31.12.2011 (17)
  2. Sinowal ?!
    Plagegeister aller Art und deren Bekämpfung - 27.10.2011 (28)
  3. BOO/Sinowal.A
    Plagegeister aller Art und deren Bekämpfung - 24.05.2011 (1)
  4. Exp/Sinowal.F ?
    Log-Analyse und Auswertung - 09.05.2011 (1)
  5. RKIT/MBR.Sinowal.J ...Boo/Sinowal.C ...W32/Stanit
    Plagegeister aller Art und deren Bekämpfung - 25.02.2011 (15)
  6. BOO/Sinowal.F
    Log-Analyse und Auswertung - 22.07.2010 (2)
  7. BOO/ Sinowal.D
    Plagegeister aller Art und deren Bekämpfung - 11.08.2009 (4)
  8. BOO/Sinowal.D
    Plagegeister aller Art und deren Bekämpfung - 02.08.2009 (18)
  9. BOO/Sinowal.A
    Plagegeister aller Art und deren Bekämpfung - 19.04.2009 (15)
  10. B00 / Sinowal.A
    Plagegeister aller Art und deren Bekämpfung - 17.03.2009 (4)
  11. B00 / Sinowal.A
    Log-Analyse und Auswertung - 05.03.2009 (0)
  12. BOO/Sinowal.A
    Plagegeister aller Art und deren Bekämpfung - 21.02.2009 (4)
  13. BOO/Sinowal.A
    Plagegeister aller Art und deren Bekämpfung - 20.02.2009 (1)
  14. BOO/Sinowal.A
    Plagegeister aller Art und deren Bekämpfung - 14.01.2009 (5)
  15. boo/sinowal.A
    Plagegeister aller Art und deren Bekämpfung - 17.11.2008 (21)
  16. BOO/Sinowal.A
    Plagegeister aller Art und deren Bekämpfung - 03.11.2008 (7)
  17. BOO/Sinowal.A
    Log-Analyse und Auswertung - 07.07.2008 (1)

Zum Thema BOO/Sinowal.A - heute habe ich einen virenscan mit antivirus gemacht und dann kam das der bootsector malwarecode enthält BOO/Sinowal.A wie bekomme ich das weg kann mir einer evtl. helfen habe windows xp - BOO/Sinowal.A...
Archiv
Du betrachtest: BOO/Sinowal.A auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.