BOO/Sinowal.A

Simon01 · 18.04.2009, 18:34

Hallo Helfer,

ich habe gesehen, dass zu diesem Thema bereits geschrieben wurde, allerdings traue ich mir ein alleiniges Vorgehen nicht zu. Insofern freue ich mich über Eure Hilfe!

Problem: Antivir erkennt den Bootsektoren-Virus BOO/Sinowal.A, kann diesen jedoch nicht beseitigen. Auch das von Antivir bereitgestellte Reparations-tool hat nicht funktioniert.

Beim Hochfahren des Computers kam es bereits zu ersten Fehlern (BlueScreen mit Fehleranzeige), die jedoch nicht jedesmal, sondern eher sporadisch auftreten.

Vielleicht bedeutsam:
- Windows-Version: XP Professional
- keine Windows-Installations-CD verfügbar
- keine Admin-Rechte vorhanden

Ansonsten hoffe ich die Anleitung/Board-Regeln im Folgenden richtig umzusetzten:

1) Malwarebaytes:

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.36
Datenbank Version: 2001
Windows 5.1.2600 Service Pack 3

18.04.2009 19:13:57
mbam-log-2009-04-18 (19-13-57).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 172304
Laufzeit: 39 minute(s), 12 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 8
Infizierte Verzeichnisse: 1
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe (Security.Hijack) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{397686bc-44a9-4081-b8e3-268a79cac847}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.105;85.255.112.224 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{d8bfef05-a1ac-4993-b8bb-8bf78ce469e3}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.105;85.255.112.224 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{397686bc-44a9-4081-b8e3-268a79cac847}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.105;85.255.112.224 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{d8bfef05-a1ac-4993-b8bb-8bf78ce469e3}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.105;85.255.112.224 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{397686bc-44a9-4081-b8e3-268a79cac847}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.105;85.255.112.224 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{d8bfef05-a1ac-4993-b8bb-8bf78ce469e3}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.105;85.255.112.224 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\Tcpip\Parameters\Interfaces\{397686bc-44a9-4081-b8e3-268a79cac847}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.105;85.255.112.224 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\Tcpip\Parameters\Interfaces\{d8bfef05-a1ac-4993-b8bb-8bf78ce469e3}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.105;85.255.112.224 -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\resycled (Trojan.DNSChanger) -> Quarantined and deleted successfully.

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

2) Auswertung Highjackthis

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:22:00, on 18.04.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ACS.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\TOSHIBA\TME3\Tmesrv31.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe
C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\TPSMain.exe
C:\Programme\TOSHIBA\Accessibility\FnKeyHook.exe
C:\Programme\TOSHIBA\TME3\TMEEJME.EXE
C:\Programme\TOSHIBA\TME3\TMERzCtl.EXE
C:\Programme\Apoint2K\Apoint.exe
C:\WINDOWS\system32\ZoomingHook.exe
C:\Programme\OpenVPN\bin\openvpn-gui.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\pdf24\PDFBackend.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Crazy Browser\Crazy Browser.exe
C:\Programme\Highjackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wolfware.de
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [CeEKEY] C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SVPWUTIL] C:\Programme\Toshiba\Windows Utilities\SVPWUTIL.exe SVPwUTIL
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [TOSHIBA Accessibility] C:\Programme\TOSHIBA\Accessibility\FnKeyHook.exe
O4 - HKLM\..\Run: [HWSetup] C:\Programme\TOSHIBA\TOSHIBA Applet\HWSetup.exe hwSetUP
O4 - HKLM\..\Run: [TMESRV.EXE] C:\Programme\TOSHIBA\TME3\TMESRV31.EXE /Logon
O4 - HKLM\..\Run: [TMERzCtl.EXE] C:\Programme\TOSHIBA\TME3\TMERzCtl.EXE /Service
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [Zooming] ZoomingHook.exe
O4 - HKLM\..\Run: [openvpn-gui] C:\Programme\OpenVPN\bin\openvpn-gui.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [PDFPrint] "C:\Programme\pdf24\PDFBackend.exe"
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: PC Health.lnk = C:\Programme\TOSHIBA\TOSHIBA Management Console\TOSHealthLocalS.vbs
O4 - Global Startup: Symantec Fax Starter Edition-Anschluss.lnk = C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE
O4 - Global Startup: uninstall.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1176991982843
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = rummel.local
O17 - HKLM\Software\..\Telephony: DomainName = rummel.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = rummel.local
O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\ACS.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Unknown owner - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe (file missing)
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: OpenVPN Service (OpenVPNService) - Unknown owner - C:\Programme\OpenVPN\bin\openvpnserv.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation  - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Tmesrv3 (Tmesrv) - TOSHIBA - C:\Programme\TOSHIBA\TME3\Tmesrv31.exe

--
End of file - 5790 bytes

3) Liste installierter Software:

Code:

ATTFilter

Adobe Acrobat and Reader 8.1.2 Security Update 1 (KB403742)
Adobe Flash Player ActiveX
Adobe Reader 8.1.2 - Deutsch
ALPS Touch Pad Driver
Apple Mobile Device Support
Apple Software Update
Atheros Client Utility
Atheros Wireless LAN MiniPCI card Driver
Bonjour
CCleaner (remove only)
Crazy Browser version 2.0.1
HijackThis 2.0.2
Hotfix für Windows XP (KB952287)
Intel(R) Graphics Media Accelerator Driver for Mobile
iTunes
Linguatec VoicePro 11 - Deutsch
Malwarebytes' Anti-Malware
mCore
Microsoft Office 2000 Premium
Microsoft Office Converter Pack
Microsoft Outlook 2000 SR-1
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
mPfMgr
mProSafe
MSXML 4.0 SP2 (KB927978)
MSXML 4.0 SP2 (KB936181)
MSXML 4.0 SP2 (KB954430)
mXML
OpenVPN 2.0.9-gui-1.0.3
pdf24
QuickTime
Realtek AC'97 Audio
SD Secure Module
Sicherheitsupdate für Windows Media Player (KB952069)
Sicherheitsupdate für Windows Media Player 9 (KB917734)
Sicherheitsupdate für Windows XP (KB923789)
Sicherheitsupdate für Windows XP (KB938464)
Sicherheitsupdate für Windows XP (KB938464-v2)
Sicherheitsupdate für Windows XP (KB941569)
Sicherheitsupdate für Windows XP (KB946648)
Sicherheitsupdate für Windows XP (KB950762)
Sicherheitsupdate für Windows XP (KB950974)
Sicherheitsupdate für Windows XP (KB951066)
Sicherheitsupdate für Windows XP (KB951376-v2)
Sicherheitsupdate für Windows XP (KB951698)
Sicherheitsupdate für Windows XP (KB951748)
Sicherheitsupdate für Windows XP (KB952954)
Sicherheitsupdate für Windows XP (KB953838)
Sicherheitsupdate für Windows XP (KB953839)
Sicherheitsupdate für Windows XP (KB954600)
Sicherheitsupdate für Windows XP (KB955069)
Sicherheitsupdate für Windows XP (KB956802)
Sicherheitsupdate für Windows XP (KB956803)
Sicherheitsupdate für Windows XP (KB956841)
Sicherheitsupdate für Windows XP (KB957097)
Sicherheitsupdate für Windows XP (KB958215)
Sicherheitsupdate für Windows XP (KB958644)
Sicherheitsupdate für Windows XP (KB958687)
Sicherheitsupdate für Windows XP (KB958690)
Sicherheitsupdate für Windows XP (KB960225)
Sicherheitsupdate für Windows XP (KB960714)
Sicherheitsupdate für Windows XP (KB960715)
SMSC IrCC V5.1.3600.5 SP2
Texas Instruments PCIxx21/x515 drivers.
TOSHIBA Accessibility
TOSHIBA Assist
TOSHIBA ConfigFree
TOSHIBA Controls
TOSHIBA Hardware Setup
TOSHIBA Hotkey-Dienstprogramm
TOSHIBA Management Console Version 3.5 (3.5.4)
TOSHIBA Mobile Extension3 für Windows XP V3.69.00.XP.C
TOSHIBA PC-Diagnose-Tool
TOSHIBA Power Saver
TOSHIBA SD-Speicherkarten-Formatierung
TOSHIBA Software Modem
TOSHIBA Supervisorkennwort
Update für Windows XP (KB951072-v2)
Update für Windows XP (KB955839)
Update für Windows XP (KB967715)
Windows XP Service Pack 3
Wolf Ware Info (WinNT)

Grüße und Vielen Dank

RushHour777 · 18.04.2009, 20:27

bitte installier superantispyware
http://www.trojaner-board.de/51871-a...tispyware.html

bitte alle Malwarebytes funde löschen und ein neues log erstellen

einträge

C:\Programme\TOSHIBA\TME3\TMERzCtl.EXE

bei virus total hochladen und ergebnis posten VirusTotal - Free Online Virus and Malware Scan

zu hijackthis

erstmal

O4 - Global Startup: uninstall.exe

fix checked

Simon01 · 19.04.2009, 10:16

Hallo RushHour777,

1) malwarebytes: nach nochmaligem Durchlauf: keine infizierten Objekte wurden gefunden; hier der Bericht:

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.36
Datenbank Version: 2001
Windows 5.1.2600 Service Pack 3

19.04.2009 09:34:57
mbam-log-2009-04-19 (09-34-57).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 173619
Laufzeit: 41 minute(s), 25 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

2) Virus Total für die Datei :C:\Programme\TOSHIBA\TME3\TMERzCtl.EXE:

Code:

ATTFilter

Datei TMERzCtl.exe empfangen 2009.04.19 09:38:42 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt 


Ergebnis: 0/39 (0%)
Laden der Serverinformationen... 
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit ist zwischen 38 und 54 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen. 
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. 
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt. 
 Filter Drucken der Ergebnisse  
Datei existiert nicht oder dessen Lebensdauer wurde überschritten 
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. 
 Email:  
  

Antivirus Version letzte aktualisierung Ergebnis 
a-squared 4.0.0.101 2009.04.19 - 
AhnLab-V3 5.0.0.2 2009.04.18 - 
AntiVir 7.9.0.148 2009.04.18 - 
Antiy-AVL 2.0.3.1 2009.04.17 - 
Authentium 5.1.2.4 2009.04.19 - 
Avast 4.8.1335.0 2009.04.18 - 
AVG 8.5.0.287 2009.04.18 - 
BitDefender 7.2 2009.04.19 - 
CAT-QuickHeal 10.00 2009.04.18 - 
ClamAV 0.94.1 2009.04.19 - 
Comodo 1120 2009.04.18 - 
DrWeb 4.44.0.09170 2009.04.19 - 
eSafe 7.0.17.0 2009.04.13 - 
eTrust-Vet 31.6.6455 2009.04.14 - 
F-Prot 4.4.4.56 2009.04.19 - 
Fortinet 3.117.0.0 2009.04.18 - 
GData 19 2009.04.19 - 
Ikarus T3.1.1.49.0 2009.04.19 - 
K7AntiVirus 7.10.707 2009.04.17 - 
Kaspersky 7.0.0.125 2009.04.19 - 
McAfee 5588 2009.04.18 - 
McAfee+Artemis 5588 2009.04.18 - 
McAfee-GW-Edition 6.7.6 2009.04.19 - 
Microsoft 1.4502 2009.04.19 - 
NOD32 4019 2009.04.18 - 
Norman 6.00.06 2009.04.17 - 
nProtect 2009.1.8.0 2009.04.19 - 
Panda 10.0.0.14 2009.04.18 - 
PCTools 4.4.2.0 2009.04.17 - 
Prevx1 V2 2009.04.19 - 
Rising 21.25.60.00 2009.04.19 - 
Sophos 4.40.0 2009.04.19 - 
Sunbelt 3.2.1858.2 2009.04.18 - 
Symantec 1.4.4.12 2009.04.19 - 
TheHacker 6.3.4.0.309 2009.04.16 - 
TrendMicro 8.700.0.1004 2009.04.17 - 
VBA32 3.12.10.2 2009.04.12 - 
ViRobot 2009.4.18.1685 2009.04.18 - 
VirusBuster 4.6.5.0 2009.04.18 - 
weitere Informationen 
File size: 86016 bytes 
MD5...: e8303d66f18d6902df9155aef7b9da9a 
SHA1..: 5d1fe0059ee92eb1c58ff1dc8565f199cf7102c1 
SHA256: 10a97770b11db23d1a49e4a1a662b91ab5a213b1c792d3b5c3e8115a5a37d935 
SHA512: 54333d75de39d293db9f92ed2bc1e945c9529a1226d4259ceb26c5d58e8f1e72
dabe92375597856e8506bc99f60657e5c42c146cbbe4c44eeb316d41b4017ed6 
ssdeep: 1536:oOM/2Dj/K2R8tavS0tV+8xop+4cvM9QjbyBkJ7miLg8bw:oj/2Dj/K2R8ta
5tLxop+4L9QQS7miLg0
 
PEiD..: InstallShield 2000 
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%) 
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x77d0
timedatestamp.....: 0x41c2bb0f (Fri Dec 17 10:55:11 2004)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xc839 0xd000 6.27 de8c2527ebf32df084dd00199a1268f5
.rdata 0xe000 0x1a7e 0x2000 4.70 9f3e3a865070dd972118b316693d0593
.data 0x10000 0x5264 0x4000 2.08 bbbea504546e4b9f103c1624e09cc0a8
.rsrc 0x16000 0x9e0 0x1000 2.92 bd45a01dafbd9c51936bec3f99b52016

( 6 imports ) 
> KERNEL32.dll: CreateProcessA, lstrcmpiA, TerminateProcess, GetLastError, GetVersionExA, CreateFileA, lstrcatA, MultiByteToWideChar, DeviceIoControl, OpenEventA, GetExitCodeProcess, Sleep, lstrlenA, FindFirstFileA, FindClose, GetModuleHandleA, GetWindowsDirectoryA, lstrcpyA, FreeLibrary, LoadLibraryA, GetProcAddress, LocalSize, CreateEventA, lstrcmpA, LocalFree, LocalAlloc, WaitForSingleObject, TerminateThread, CloseHandle, ResetEvent, GetModuleFileNameA, WTSGetActiveConsoleSessionId, InterlockedIncrement, GetStartupInfoA, HeapAlloc, HeapFree, GetLocaleInfoA, GetStringTypeW, GetStringTypeA, IsBadCodePtr, IsBadWritePtr, IsBadReadPtr, SetUnhandledExceptionFilter, WriteFile, GetFileType, GetStdHandle, SetHandleCount, GetEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsW, FreeEnvironmentStringsA, UnhandledExceptionFilter, SetEvent, CreateThread, RtlUnwind, GetCurrentProcess, LCMapStringA, WideCharToMultiByte, GetOEMCP, GetACP, GetCPInfo, TlsGetValue, SetLastError, TlsAlloc, TlsSetValue, LCMapStringW, DeleteCriticalSection, SetFilePointer, SetStdHandle, GetLocaleInfoW, FlushFileBuffers, VirtualAlloc, GetCommandLineA, GetCurrentThreadId, GetVersion, InterlockedDecrement, LeaveCriticalSection, EnterCriticalSection, VirtualFree, ExitProcess, HeapDestroy, HeapCreate, InitializeCriticalSection
> USER32.dll: RegisterWindowMessageA, DispatchMessageA, TranslateMessage, GetMessageA, FindWindowA, RegisterClassA, UpdateWindow, ShowWindow, CreateWindowExA, KillTimer, SendMessageA, PostQuitMessage, DefWindowProcA, SetTimer, wsprintfA, MessageBoxA, LoadStringA, EnumDisplaySettingsExA, EnumDisplayDevicesA, ChangeDisplaySettingsExA, ChangeDisplaySettingsA, OpenInputDesktop, GetUserObjectInformationA, CloseDesktop
> GDI32.dll: GetStockObject
> ADVAPI32.dll: AllocateAndInitializeSid, FreeSid, RegQueryValueExA, SetSecurityDescriptorDacl, InitializeSecurityDescriptor, AddAccessAllowedAce, AddAccessDeniedAce, InitializeAcl, GetLengthSid, RegSetValueExA, RegCreateKeyExA, RegCloseKey, RegOpenKeyExA

> WTSAPI32.dll: WTSRegisterSessionNotification
> COMCTL32.dll: -

( 0 exports ) 
 
RDS...: NSRL Reference Data Set

3) O4 - Global Startup: uninstall.exe - fix checked: erledigt

4) Superantipyware:

Code:

ATTFilter

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 04/19/2009 at 11:06 AM

Application Version : 4.26.1000

Core Rules Database Version : 3852
Trace Rules Database Version: 1805

Scan type       : Complete Scan
Total Scan Time : 01:12:11

Memory items scanned      : 439
Memory threats detected   : 0
Registry items scanned    : 4054
Registry threats detected : 8
File items scanned        : 88246
File threats detected     : 2

Rootkit.NDisProt/Fake
	HKLM\System\ControlSet001\Services\Ndisprot
	C:\WINDOWS\SYSTEM32\DRIVERS\NDISPROT.SYS
	HKLM\System\ControlSet001\Enum\Root\LEGACY_Ndisprot
	HKLM\System\ControlSet003\Services\Ndisprot
	HKLM\System\ControlSet003\Enum\Root\LEGACY_Ndisprot
	HKLM\System\ControlSet004\Services\Ndisprot
	HKLM\System\ControlSet004\Enum\Root\LEGACY_Ndisprot
	HKLM\System\CurrentControlSet\Services\Ndisprot
	HKLM\System\CurrentControlSet\Enum\Root\LEGACY_Ndisprot

Adware.Tracking Cookie
	C:\Dokumente und Einstellungen\WR\Cookies\wr@komtrack[2].txt

Angel21 · 19.04.2009, 10:21

Lass bitte nochmal GMER laufen.
Hier zu finden und Log hier rein: GMER - Rootkit Detector and Remover - Files

Simon01 · 19.04.2009, 11:50

hier der Berich von GMER:

Code:

ATTFilter

GMER 1.0.15.14966 - http://www.gmer.net
Rootkit scan 2009-04-19 12:50:11
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.15 ----

SSDT    \??\C:\Programme\SUPERAntiSpyware\SASKUTIL.sys (SASKUTIL.SYS/SUPERAdBlocker.com and SUPERAntiSpyware.com)  ZwTerminateProcess [0xAA8F5DF0]

---- Kernel code sections - GMER 1.0.15 ----

PAGE    CLASSPNP.SYS!ClassInitialize + F4                                                                          F86AA42C 4 Bytes  [94, C6, 0A, 82]
PAGE    CLASSPNP.SYS!ClassInitialize + FF                                                                          F86AA437 4 Bytes  [DE, 81, 0A, 82]
PAGE    CLASSPNP.SYS!ClassInitialize + 10A                                                                         F86AA442 4 Bytes  [A6, C6, 0A, 82]
PAGE    CLASSPNP.SYS!ClassInitialize + 111                                                                         F86AA449 4 Bytes  [9A, C6, 0A, 82]
PAGE    CLASSPNP.SYS!ClassInitialize + 118                                                                         F86AA450 4 Bytes  [A0, C6, 0A, 82]
PAGE    ...                                                                                                        

---- Devices - GMER 1.0.15 ----

Device  \Driver\Cdrom \Device\CdRom0                                                                               820AC694
Device  \Driver\Disk \Device\Harddisk0\DR0                                                                         820AC694

---- Threads - GMER 1.0.15 ----

Thread  System [4:2004]                                                                                            820E3190
Thread  System [4:2008]                                                                                            820D11B0
Thread  System [4:2012]                                                                                            821168D0
Thread  System [4:2016]                                                                                            820B4540

---- Disk sectors - GMER 1.0.15 ----

Disk    \Device\Harddisk0\DR0                                                                                      sector 00: rootkit-like behavior; MBR rootkit code detected                      <-- ROOTKIT !!!
Disk    \Device\Harddisk0\DR0                                                                                      sector 60: rootkit-like behavior; 
Disk    \Device\Harddisk0\DR0                                                                                      sector 61: rootkit-like behavior; malicious code @ sector 0x950e4c1 size 0x1c2
Disk    \Device\Harddisk0\DR0                                                                                      sector 62: rootkit-like behavior; copy of MBR

---- EOF - GMER 1.0.15 ----

**Sunny** · 19.04.2009, 12:36

Random's System Information Tool (RSIT)

Lade Random's System Information Tool (RSIT) von random/random herunter,
speichere es auf Deinem Desktop.
Starte mit Doppelklick die RSIT.exe.
Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren.
In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro für HJT akzeptieren I accept.
Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen.
Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

**Sunny** · 19.04.2009, 12:51

Sorry...ich hab nicht korrektur gelesen, ich hab den falschen Text kopiert, der hier sollte anstelle von Kaspersky kommen:

Rootkit im MBR (Master Boot Record)

Lade dir zunächst diese Datei -> mbr.exe direkt auf das Laufwerk
wo dein Betriebssystem installiert ist. (also auf c: )

Windows Vista:
Start -> bei "Suche starten" -> cmd (eintippen) -> ENTER

Windows 2000 - XP:
klick auf Start -> Ausführen -> cmd (eintippen) -> ENTER

Dann folgende Text in die Box eingeben: mbr.exe -f (siehe Bild)

Auf c:\ wir dann ein mbr.log angelegt, öffne dieses mit dem Editor, kopiere den Text ab und füge ihn in deinen Beitrag ein.

Simon01 · 19.04.2009, 13:50

bei mir kommt in dem kasten "C:\Dokumente und Einstellungen/WR" anstatt nur C:\ - vielleicht ist das der Grund, warum die Eingabe nicht funktioniert "der Befehl ist entweder falsch geschrieben oder konnte nicht gefunden werden")?
oder muss ich mbr.exe erst per Doppelklick installieren?

**Sunny** · 19.04.2009, 14:01

Die mbr.exe direkt auf Laufwerk c:\ speichern, nicht installieren, mach es nochmal..

Start -> Ausführen -> cmd [ENTER]

dann eingeben -> cd\ [ENTER]

dann eingeben -> mbr.exe -f [ENTER]

Simon01 · 19.04.2009, 14:07

ah, jetzt hat es funktioniert:

Code:

ATTFilter

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.1 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
MBR rootkit code detected !
malicious code @ sector 0x950e4c1 size 0x1c2 !
copy of MBR has been found in sector 62 !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.
PE file found in sector at 0x0950E4C1 !
original MBR restored successfully !

**Sunny** · 19.04.2009, 14:11

Führe nochmal "cmd" aus, und führe diesesmal den Befehl mbr.exe ohne -f aus...

Simon01 · 19.04.2009, 14:14

Code:

ATTFilter

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.1 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
PE file found in sector at 0x0950E4C1 !

**Sunny** · 19.04.2009, 14:15

Das sieht doch soweit ganz gut aus, gibt es noch Probleme mit dem System?!

Simon01 · 19.04.2009, 14:17

da der BlueScreen nur sporadisch aufgetreten war, kann ich das wohl erst in ein paar Tagen sehen..

soll ich vielleicht antivir nochmal durchlaufen lassen, um zu sehen ob BOO/Sinowal.A jetzt weg ist?

**Sunny** · 19.04.2009, 14:23

Japp..lass Antivir komplett laufen, am besten so:

http://www.trojaner-board.de/54192-a...tellungen.html

19.04.2009, 14:01	#9
Sunny Administrator > Competence Manager	BOO/Sinowal.A Die mbr.exe direkt auf Laufwerk c:\ speichern, nicht installieren, mach es nochmal.. Start -> Ausführen -> cmd [ENTER] dann eingeben -> cd\ [ENTER] dann eingeben -> mbr.exe -f [ENTER] __________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare.

19.04.2009, 14:11	#11
Sunny Administrator > Competence Manager	BOO/Sinowal.A Führe nochmal "cmd" aus, und führe diesesmal den Befehl mbr.exe ohne -f aus... __________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare.

19.04.2009, 14:15	#13
Sunny Administrator > Competence Manager	BOO/Sinowal.A Das sieht doch soweit ganz gut aus, gibt es noch Probleme mit dem System?! __________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare.

19.04.2009, 14:23	#15
Sunny Administrator > Competence Manager	BOO/Sinowal.A Japp..lass Antivir komplett laufen, am besten so: http://www.trojaner-board.de/54192-a...tellungen.html __________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare.

BOO/Sinowal.A

Plagegeister aller Art und deren Bekämpfung: BOO/Sinowal.A

BOO/Sinowal.A

BOO/Sinowal.A

BOO/Sinowal.A

BOO/Sinowal.A

BOO/Sinowal.A

BOO/Sinowal.A

BOO/Sinowal.A

BOO/Sinowal.A

BOO/Sinowal.A

BOO/Sinowal.A

BOO/Sinowal.A

BOO/Sinowal.A

BOO/Sinowal.A

BOO/Sinowal.A

BOO/Sinowal.A

Ähnliche Themen: BOO/Sinowal.A

19.04.2009, 10:21	#4
Angel21	BOO/Sinowal.A Lass bitte nochmal GMER laufen. Hier zu finden und Log hier rein: GMER - Rootkit Detector and Remover - Files __________________ Avira Upgrade 10 ist auf dem Markt! Agressive Einstellung von Avira What goes around comes around!

19.04.2009, 13:50	#8
Simon01	BOO/Sinowal.A bei mir kommt in dem kasten "C:\Dokumente und Einstellungen/WR" anstatt nur C:\ - vielleicht ist das der Grund, warum die Eingabe nicht funktioniert "der Befehl ist entweder falsch geschrieben oder konnte nicht gefunden werden")? oder muss ich mbr.exe erst per Doppelklick installieren?

19.04.2009, 14:17	#14
Simon01	BOO/Sinowal.A da der BlueScreen nur sporadisch aufgetreten war, kann ich das wohl erst in ein paar Tagen sehen.. soll ich vielleicht antivir nochmal durchlaufen lassen, um zu sehen ob BOO/Sinowal.A jetzt weg ist?