Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: BOO/Sinowal.A

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 18.04.2009, 18:34   #1
Simon01
 
BOO/Sinowal.A - Standard

BOO/Sinowal.A



Hallo Helfer,

ich habe gesehen, dass zu diesem Thema bereits geschrieben wurde, allerdings traue ich mir ein alleiniges Vorgehen nicht zu. Insofern freue ich mich über Eure Hilfe!

Problem: Antivir erkennt den Bootsektoren-Virus BOO/Sinowal.A, kann diesen jedoch nicht beseitigen. Auch das von Antivir bereitgestellte Reparations-tool hat nicht funktioniert.

Beim Hochfahren des Computers kam es bereits zu ersten Fehlern (BlueScreen mit Fehleranzeige), die jedoch nicht jedesmal, sondern eher sporadisch auftreten.

Vielleicht bedeutsam:
- Windows-Version: XP Professional
- keine Windows-Installations-CD verfügbar
- keine Admin-Rechte vorhanden


Ansonsten hoffe ich die Anleitung/Board-Regeln im Folgenden richtig umzusetzten:

1) Malwarebaytes:
Code:
ATTFilter
Malwarebytes' Anti-Malware 1.36
Datenbank Version: 2001
Windows 5.1.2600 Service Pack 3

18.04.2009 19:13:57
mbam-log-2009-04-18 (19-13-57).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 172304
Laufzeit: 39 minute(s), 12 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 8
Infizierte Verzeichnisse: 1
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe (Security.Hijack) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{397686bc-44a9-4081-b8e3-268a79cac847}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.105;85.255.112.224 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{d8bfef05-a1ac-4993-b8bb-8bf78ce469e3}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.105;85.255.112.224 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{397686bc-44a9-4081-b8e3-268a79cac847}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.105;85.255.112.224 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{d8bfef05-a1ac-4993-b8bb-8bf78ce469e3}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.105;85.255.112.224 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{397686bc-44a9-4081-b8e3-268a79cac847}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.105;85.255.112.224 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{d8bfef05-a1ac-4993-b8bb-8bf78ce469e3}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.105;85.255.112.224 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\Tcpip\Parameters\Interfaces\{397686bc-44a9-4081-b8e3-268a79cac847}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.105;85.255.112.224 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\Tcpip\Parameters\Interfaces\{d8bfef05-a1ac-4993-b8bb-8bf78ce469e3}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.105;85.255.112.224 -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\resycled (Trojan.DNSChanger) -> Quarantined and deleted successfully.

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         
2) Auswertung Highjackthis
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:22:00, on 18.04.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ACS.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\TOSHIBA\TME3\Tmesrv31.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe
C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\TPSMain.exe
C:\Programme\TOSHIBA\Accessibility\FnKeyHook.exe
C:\Programme\TOSHIBA\TME3\TMEEJME.EXE
C:\Programme\TOSHIBA\TME3\TMERzCtl.EXE
C:\Programme\Apoint2K\Apoint.exe
C:\WINDOWS\system32\ZoomingHook.exe
C:\Programme\OpenVPN\bin\openvpn-gui.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\pdf24\PDFBackend.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Crazy Browser\Crazy Browser.exe
C:\Programme\Highjackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wolfware.de
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [CeEKEY] C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SVPWUTIL] C:\Programme\Toshiba\Windows Utilities\SVPWUTIL.exe SVPwUTIL
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [TOSHIBA Accessibility] C:\Programme\TOSHIBA\Accessibility\FnKeyHook.exe
O4 - HKLM\..\Run: [HWSetup] C:\Programme\TOSHIBA\TOSHIBA Applet\HWSetup.exe hwSetUP
O4 - HKLM\..\Run: [TMESRV.EXE] C:\Programme\TOSHIBA\TME3\TMESRV31.EXE /Logon
O4 - HKLM\..\Run: [TMERzCtl.EXE] C:\Programme\TOSHIBA\TME3\TMERzCtl.EXE /Service
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [Zooming] ZoomingHook.exe
O4 - HKLM\..\Run: [openvpn-gui] C:\Programme\OpenVPN\bin\openvpn-gui.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [PDFPrint] "C:\Programme\pdf24\PDFBackend.exe"
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: PC Health.lnk = C:\Programme\TOSHIBA\TOSHIBA Management Console\TOSHealthLocalS.vbs
O4 - Global Startup: Symantec Fax Starter Edition-Anschluss.lnk = C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE
O4 - Global Startup: uninstall.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1176991982843
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = rummel.local
O17 - HKLM\Software\..\Telephony: DomainName = rummel.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = rummel.local
O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\ACS.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Unknown owner - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe (file missing)
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: OpenVPN Service (OpenVPNService) - Unknown owner - C:\Programme\OpenVPN\bin\openvpnserv.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation  - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Tmesrv3 (Tmesrv) - TOSHIBA - C:\Programme\TOSHIBA\TME3\Tmesrv31.exe

--
End of file - 5790 bytes
         
3) Liste installierter Software:
Code:
ATTFilter
Adobe Acrobat and Reader 8.1.2 Security Update 1 (KB403742)
Adobe Flash Player ActiveX
Adobe Reader 8.1.2 - Deutsch
ALPS Touch Pad Driver
Apple Mobile Device Support
Apple Software Update
Atheros Client Utility
Atheros Wireless LAN MiniPCI card Driver
Bonjour
CCleaner (remove only)
Crazy Browser version 2.0.1
HijackThis 2.0.2
Hotfix für Windows XP (KB952287)
Intel(R) Graphics Media Accelerator Driver for Mobile
iTunes
Linguatec VoicePro 11 - Deutsch
Malwarebytes' Anti-Malware
mCore
Microsoft Office 2000 Premium
Microsoft Office Converter Pack
Microsoft Outlook 2000 SR-1
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
mPfMgr
mProSafe
MSXML 4.0 SP2 (KB927978)
MSXML 4.0 SP2 (KB936181)
MSXML 4.0 SP2 (KB954430)
mXML
OpenVPN 2.0.9-gui-1.0.3
pdf24
QuickTime
Realtek AC'97 Audio
SD Secure Module
Sicherheitsupdate für Windows Media Player (KB952069)
Sicherheitsupdate für Windows Media Player 9 (KB917734)
Sicherheitsupdate für Windows XP (KB923789)
Sicherheitsupdate für Windows XP (KB938464)
Sicherheitsupdate für Windows XP (KB938464-v2)
Sicherheitsupdate für Windows XP (KB941569)
Sicherheitsupdate für Windows XP (KB946648)
Sicherheitsupdate für Windows XP (KB950762)
Sicherheitsupdate für Windows XP (KB950974)
Sicherheitsupdate für Windows XP (KB951066)
Sicherheitsupdate für Windows XP (KB951376-v2)
Sicherheitsupdate für Windows XP (KB951698)
Sicherheitsupdate für Windows XP (KB951748)
Sicherheitsupdate für Windows XP (KB952954)
Sicherheitsupdate für Windows XP (KB953838)
Sicherheitsupdate für Windows XP (KB953839)
Sicherheitsupdate für Windows XP (KB954600)
Sicherheitsupdate für Windows XP (KB955069)
Sicherheitsupdate für Windows XP (KB956802)
Sicherheitsupdate für Windows XP (KB956803)
Sicherheitsupdate für Windows XP (KB956841)
Sicherheitsupdate für Windows XP (KB957097)
Sicherheitsupdate für Windows XP (KB958215)
Sicherheitsupdate für Windows XP (KB958644)
Sicherheitsupdate für Windows XP (KB958687)
Sicherheitsupdate für Windows XP (KB958690)
Sicherheitsupdate für Windows XP (KB960225)
Sicherheitsupdate für Windows XP (KB960714)
Sicherheitsupdate für Windows XP (KB960715)
SMSC IrCC V5.1.3600.5 SP2
Texas Instruments PCIxx21/x515 drivers.
TOSHIBA Accessibility
TOSHIBA Assist
TOSHIBA ConfigFree
TOSHIBA Controls
TOSHIBA Hardware Setup
TOSHIBA Hotkey-Dienstprogramm
TOSHIBA Management Console Version 3.5 (3.5.4)
TOSHIBA Mobile Extension3 für Windows XP V3.69.00.XP.C
TOSHIBA PC-Diagnose-Tool
TOSHIBA Power Saver
TOSHIBA SD-Speicherkarten-Formatierung
TOSHIBA Software Modem
TOSHIBA Supervisorkennwort
Update für Windows XP (KB951072-v2)
Update für Windows XP (KB955839)
Update für Windows XP (KB967715)
Windows XP Service Pack 3
Wolf Ware Info (WinNT)
         
Grüße und Vielen Dank

Alt 18.04.2009, 20:27   #2
RushHour777
Gesperrt
 
BOO/Sinowal.A - Standard

BOO/Sinowal.A



bitte installier superantispyware
http://www.trojaner-board.de/51871-a...tispyware.html

bitte alle Malwarebytes funde löschen und ein neues log erstellen

einträge

C:\Programme\TOSHIBA\TME3\TMERzCtl.EXE

bei virus total hochladen und ergebnis posten VirusTotal - Free Online Virus and Malware Scan

zu hijackthis

erstmal

O4 - Global Startup: uninstall.exe

fix checked
__________________


Alt 19.04.2009, 10:16   #3
Simon01
 
BOO/Sinowal.A - Standard

BOO/Sinowal.A



Hallo RushHour777,

1) malwarebytes: nach nochmaligem Durchlauf: keine infizierten Objekte wurden gefunden; hier der Bericht:
Code:
ATTFilter
Malwarebytes' Anti-Malware 1.36
Datenbank Version: 2001
Windows 5.1.2600 Service Pack 3

19.04.2009 09:34:57
mbam-log-2009-04-19 (09-34-57).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 173619
Laufzeit: 41 minute(s), 25 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         
2) Virus Total für die Datei :C:\Programme\TOSHIBA\TME3\TMERzCtl.EXE:
Code:
ATTFilter
Datei TMERzCtl.exe empfangen 2009.04.19 09:38:42 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt 


Ergebnis: 0/39 (0%)
Laden der Serverinformationen... 
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit ist zwischen 38 und 54 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen. 
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. 
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt. 
 Filter Drucken der Ergebnisse  
Datei existiert nicht oder dessen Lebensdauer wurde überschritten 
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. 
 Email:  
  

Antivirus Version letzte aktualisierung Ergebnis 
a-squared 4.0.0.101 2009.04.19 - 
AhnLab-V3 5.0.0.2 2009.04.18 - 
AntiVir 7.9.0.148 2009.04.18 - 
Antiy-AVL 2.0.3.1 2009.04.17 - 
Authentium 5.1.2.4 2009.04.19 - 
Avast 4.8.1335.0 2009.04.18 - 
AVG 8.5.0.287 2009.04.18 - 
BitDefender 7.2 2009.04.19 - 
CAT-QuickHeal 10.00 2009.04.18 - 
ClamAV 0.94.1 2009.04.19 - 
Comodo 1120 2009.04.18 - 
DrWeb 4.44.0.09170 2009.04.19 - 
eSafe 7.0.17.0 2009.04.13 - 
eTrust-Vet 31.6.6455 2009.04.14 - 
F-Prot 4.4.4.56 2009.04.19 - 
Fortinet 3.117.0.0 2009.04.18 - 
GData 19 2009.04.19 - 
Ikarus T3.1.1.49.0 2009.04.19 - 
K7AntiVirus 7.10.707 2009.04.17 - 
Kaspersky 7.0.0.125 2009.04.19 - 
McAfee 5588 2009.04.18 - 
McAfee+Artemis 5588 2009.04.18 - 
McAfee-GW-Edition 6.7.6 2009.04.19 - 
Microsoft 1.4502 2009.04.19 - 
NOD32 4019 2009.04.18 - 
Norman 6.00.06 2009.04.17 - 
nProtect 2009.1.8.0 2009.04.19 - 
Panda 10.0.0.14 2009.04.18 - 
PCTools 4.4.2.0 2009.04.17 - 
Prevx1 V2 2009.04.19 - 
Rising 21.25.60.00 2009.04.19 - 
Sophos 4.40.0 2009.04.19 - 
Sunbelt 3.2.1858.2 2009.04.18 - 
Symantec 1.4.4.12 2009.04.19 - 
TheHacker 6.3.4.0.309 2009.04.16 - 
TrendMicro 8.700.0.1004 2009.04.17 - 
VBA32 3.12.10.2 2009.04.12 - 
ViRobot 2009.4.18.1685 2009.04.18 - 
VirusBuster 4.6.5.0 2009.04.18 - 
weitere Informationen 
File size: 86016 bytes 
MD5...: e8303d66f18d6902df9155aef7b9da9a 
SHA1..: 5d1fe0059ee92eb1c58ff1dc8565f199cf7102c1 
SHA256: 10a97770b11db23d1a49e4a1a662b91ab5a213b1c792d3b5c3e8115a5a37d935 
SHA512: 54333d75de39d293db9f92ed2bc1e945c9529a1226d4259ceb26c5d58e8f1e72
dabe92375597856e8506bc99f60657e5c42c146cbbe4c44eeb316d41b4017ed6 
ssdeep: 1536:oOM/2Dj/K2R8tavS0tV+8xop+4cvM9QjbyBkJ7miLg8bw:oj/2Dj/K2R8ta
5tLxop+4L9QQS7miLg0
 
PEiD..: InstallShield 2000 
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%) 
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x77d0
timedatestamp.....: 0x41c2bb0f (Fri Dec 17 10:55:11 2004)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xc839 0xd000 6.27 de8c2527ebf32df084dd00199a1268f5
.rdata 0xe000 0x1a7e 0x2000 4.70 9f3e3a865070dd972118b316693d0593
.data 0x10000 0x5264 0x4000 2.08 bbbea504546e4b9f103c1624e09cc0a8
.rsrc 0x16000 0x9e0 0x1000 2.92 bd45a01dafbd9c51936bec3f99b52016

( 6 imports ) 
> KERNEL32.dll: CreateProcessA, lstrcmpiA, TerminateProcess, GetLastError, GetVersionExA, CreateFileA, lstrcatA, MultiByteToWideChar, DeviceIoControl, OpenEventA, GetExitCodeProcess, Sleep, lstrlenA, FindFirstFileA, FindClose, GetModuleHandleA, GetWindowsDirectoryA, lstrcpyA, FreeLibrary, LoadLibraryA, GetProcAddress, LocalSize, CreateEventA, lstrcmpA, LocalFree, LocalAlloc, WaitForSingleObject, TerminateThread, CloseHandle, ResetEvent, GetModuleFileNameA, WTSGetActiveConsoleSessionId, InterlockedIncrement, GetStartupInfoA, HeapAlloc, HeapFree, GetLocaleInfoA, GetStringTypeW, GetStringTypeA, IsBadCodePtr, IsBadWritePtr, IsBadReadPtr, SetUnhandledExceptionFilter, WriteFile, GetFileType, GetStdHandle, SetHandleCount, GetEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsW, FreeEnvironmentStringsA, UnhandledExceptionFilter, SetEvent, CreateThread, RtlUnwind, GetCurrentProcess, LCMapStringA, WideCharToMultiByte, GetOEMCP, GetACP, GetCPInfo, TlsGetValue, SetLastError, TlsAlloc, TlsSetValue, LCMapStringW, DeleteCriticalSection, SetFilePointer, SetStdHandle, GetLocaleInfoW, FlushFileBuffers, VirtualAlloc, GetCommandLineA, GetCurrentThreadId, GetVersion, InterlockedDecrement, LeaveCriticalSection, EnterCriticalSection, VirtualFree, ExitProcess, HeapDestroy, HeapCreate, InitializeCriticalSection
> USER32.dll: RegisterWindowMessageA, DispatchMessageA, TranslateMessage, GetMessageA, FindWindowA, RegisterClassA, UpdateWindow, ShowWindow, CreateWindowExA, KillTimer, SendMessageA, PostQuitMessage, DefWindowProcA, SetTimer, wsprintfA, MessageBoxA, LoadStringA, EnumDisplaySettingsExA, EnumDisplayDevicesA, ChangeDisplaySettingsExA, ChangeDisplaySettingsA, OpenInputDesktop, GetUserObjectInformationA, CloseDesktop
> GDI32.dll: GetStockObject
> ADVAPI32.dll: AllocateAndInitializeSid, FreeSid, RegQueryValueExA, SetSecurityDescriptorDacl, InitializeSecurityDescriptor, AddAccessAllowedAce, AddAccessDeniedAce, InitializeAcl, GetLengthSid, RegSetValueExA, RegCreateKeyExA, RegCloseKey, RegOpenKeyExA

> WTSAPI32.dll: WTSRegisterSessionNotification
> COMCTL32.dll: -

( 0 exports ) 
 
RDS...: NSRL Reference Data Set
         
3) O4 - Global Startup: uninstall.exe - fix checked: erledigt

4) Superantipyware:
Code:
ATTFilter
SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 04/19/2009 at 11:06 AM

Application Version : 4.26.1000

Core Rules Database Version : 3852
Trace Rules Database Version: 1805

Scan type       : Complete Scan
Total Scan Time : 01:12:11

Memory items scanned      : 439
Memory threats detected   : 0
Registry items scanned    : 4054
Registry threats detected : 8
File items scanned        : 88246
File threats detected     : 2

Rootkit.NDisProt/Fake
	HKLM\System\ControlSet001\Services\Ndisprot
	C:\WINDOWS\SYSTEM32\DRIVERS\NDISPROT.SYS
	HKLM\System\ControlSet001\Enum\Root\LEGACY_Ndisprot
	HKLM\System\ControlSet003\Services\Ndisprot
	HKLM\System\ControlSet003\Enum\Root\LEGACY_Ndisprot
	HKLM\System\ControlSet004\Services\Ndisprot
	HKLM\System\ControlSet004\Enum\Root\LEGACY_Ndisprot
	HKLM\System\CurrentControlSet\Services\Ndisprot
	HKLM\System\CurrentControlSet\Enum\Root\LEGACY_Ndisprot

Adware.Tracking Cookie
	C:\Dokumente und Einstellungen\WR\Cookies\wr@komtrack[2].txt
         
__________________

Alt 19.04.2009, 10:21   #4
Angel21
 
BOO/Sinowal.A - Standard

BOO/Sinowal.A



Lass bitte nochmal GMER laufen.
Hier zu finden und Log hier rein: GMER - Rootkit Detector and Remover - Files
__________________
Avira Upgrade 10 ist auf dem Markt!
Agressive Einstellung von Avira

What goes around comes around!

Alt 19.04.2009, 11:50   #5
Simon01
 
BOO/Sinowal.A - Standard

BOO/Sinowal.A



hier der Berich von GMER:
Code:
ATTFilter
GMER 1.0.15.14966 - http://www.gmer.net
Rootkit scan 2009-04-19 12:50:11
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.15 ----

SSDT    \??\C:\Programme\SUPERAntiSpyware\SASKUTIL.sys (SASKUTIL.SYS/SUPERAdBlocker.com and SUPERAntiSpyware.com)  ZwTerminateProcess [0xAA8F5DF0]

---- Kernel code sections - GMER 1.0.15 ----

PAGE    CLASSPNP.SYS!ClassInitialize + F4                                                                          F86AA42C 4 Bytes  [94, C6, 0A, 82]
PAGE    CLASSPNP.SYS!ClassInitialize + FF                                                                          F86AA437 4 Bytes  [DE, 81, 0A, 82]
PAGE    CLASSPNP.SYS!ClassInitialize + 10A                                                                         F86AA442 4 Bytes  [A6, C6, 0A, 82]
PAGE    CLASSPNP.SYS!ClassInitialize + 111                                                                         F86AA449 4 Bytes  [9A, C6, 0A, 82]
PAGE    CLASSPNP.SYS!ClassInitialize + 118                                                                         F86AA450 4 Bytes  [A0, C6, 0A, 82]
PAGE    ...                                                                                                        

---- Devices - GMER 1.0.15 ----

Device  \Driver\Cdrom \Device\CdRom0                                                                               820AC694
Device  \Driver\Disk \Device\Harddisk0\DR0                                                                         820AC694

---- Threads - GMER 1.0.15 ----

Thread  System [4:2004]                                                                                            820E3190
Thread  System [4:2008]                                                                                            820D11B0
Thread  System [4:2012]                                                                                            821168D0
Thread  System [4:2016]                                                                                            820B4540

---- Disk sectors - GMER 1.0.15 ----

Disk    \Device\Harddisk0\DR0                                                                                      sector 00: rootkit-like behavior; MBR rootkit code detected                      <-- ROOTKIT !!!
Disk    \Device\Harddisk0\DR0                                                                                      sector 60: rootkit-like behavior; 
Disk    \Device\Harddisk0\DR0                                                                                      sector 61: rootkit-like behavior; malicious code @ sector 0x950e4c1 size 0x1c2
Disk    \Device\Harddisk0\DR0                                                                                      sector 62: rootkit-like behavior; copy of MBR

---- EOF - GMER 1.0.15 ----
         


Alt 19.04.2009, 12:36   #6
Sunny
Administrator
> Competence Manager
 

BOO/Sinowal.A - Standard

BOO/Sinowal.A



Random's System Information Tool (RSIT)
  • Lade Random's System Information Tool (RSIT) von random/random herunter,
  • speichere es auf Deinem Desktop.
  • Starte mit Doppelklick die RSIT.exe.
  • Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
  • Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren.
  • In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro für HJT akzeptieren I accept.
  • Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen.
  • Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
  • Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
  • Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.
__________________
--> BOO/Sinowal.A

Geändert von Sunny (19.04.2009 um 12:51 Uhr) Grund: Anleitung Kaspersky entfernt

Alt 19.04.2009, 12:51   #7
Sunny
Administrator
> Competence Manager
 

BOO/Sinowal.A - Standard

BOO/Sinowal.A



Sorry...ich hab nicht korrektur gelesen, ich hab den falschen Text kopiert, der hier sollte anstelle von Kaspersky kommen:


Rootkit im MBR (Master Boot Record)


Lade dir zunächst diese Datei -> mbr.exe direkt auf das Laufwerk
wo dein Betriebssystem installiert ist. (also auf c: )

Windows Vista:
Start -> bei "Suche starten" -> cmd (eintippen) -> ENTER

Windows 2000 - XP:
klick auf Start -> Ausführen -> cmd (eintippen) -> ENTER

Dann folgende Text in die Box eingeben: mbr.exe -f (siehe Bild)


Auf c:\ wir dann ein mbr.log angelegt, öffne dieses mit dem Editor, kopiere den Text ab und füge ihn in deinen Beitrag ein.
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 19.04.2009, 13:50   #8
Simon01
 
BOO/Sinowal.A - Standard

BOO/Sinowal.A



bei mir kommt in dem kasten "C:\Dokumente und Einstellungen/WR" anstatt nur C:\ - vielleicht ist das der Grund, warum die Eingabe nicht funktioniert "der Befehl ist entweder falsch geschrieben oder konnte nicht gefunden werden")?
oder muss ich mbr.exe erst per Doppelklick installieren?

Alt 19.04.2009, 14:01   #9
Sunny
Administrator
> Competence Manager
 

BOO/Sinowal.A - Standard

BOO/Sinowal.A



Die mbr.exe direkt auf Laufwerk c:\ speichern, nicht installieren, mach es nochmal..

Start -> Ausführen -> cmd [ENTER]

dann eingeben -> cd\ [ENTER]

dann eingeben -> mbr.exe -f [ENTER]
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 19.04.2009, 14:07   #10
Simon01
 
BOO/Sinowal.A - Standard

BOO/Sinowal.A



ah, jetzt hat es funktioniert:
Code:
ATTFilter
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.1 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
MBR rootkit code detected !
malicious code @ sector 0x950e4c1 size 0x1c2 !
copy of MBR has been found in sector 62 !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.
PE file found in sector at 0x0950E4C1 !
original MBR restored successfully !
         

Alt 19.04.2009, 14:11   #11
Sunny
Administrator
> Competence Manager
 

BOO/Sinowal.A - Standard

BOO/Sinowal.A



Führe nochmal "cmd" aus, und führe diesesmal den Befehl mbr.exe ohne -f aus...
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 19.04.2009, 14:14   #12
Simon01
 
BOO/Sinowal.A - Standard

BOO/Sinowal.A



Code:
ATTFilter
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.1 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
PE file found in sector at 0x0950E4C1 !
         

Alt 19.04.2009, 14:15   #13
Sunny
Administrator
> Competence Manager
 

BOO/Sinowal.A - Standard

BOO/Sinowal.A



Das sieht doch soweit ganz gut aus, gibt es noch Probleme mit dem System?!
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 19.04.2009, 14:17   #14
Simon01
 
BOO/Sinowal.A - Standard

BOO/Sinowal.A



da der BlueScreen nur sporadisch aufgetreten war, kann ich das wohl erst in ein paar Tagen sehen..

soll ich vielleicht antivir nochmal durchlaufen lassen, um zu sehen ob BOO/Sinowal.A jetzt weg ist?

Alt 19.04.2009, 14:23   #15
Sunny
Administrator
> Competence Manager
 

BOO/Sinowal.A - Standard

BOO/Sinowal.A



Japp..lass Antivir komplett laufen, am besten so:


http://www.trojaner-board.de/54192-a...tellungen.html
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Antwort

Themen zu BOO/Sinowal.A
adobe, antivir, antivirus, avira, bho, bluescree, bluescreen, bonjour, boo/sinowal.a, browser, converter, explorer, fehler, flash player, hijackthis, internet, internet explorer, logfile, malwarebytes' anti-malware, monitor, pdf, registrierungsschlüssel, registry, sched.exe, sd-speicherkarte, security update, security.hijack, software, symantec, system, userinit.exe, windows xp, wireless lan



Ähnliche Themen: BOO/Sinowal.A


  1. Wie entferne ich BDS/Sinowal.knfal oder generell Sinowal?
    Plagegeister aller Art und deren Bekämpfung - 31.12.2011 (17)
  2. Sinowal ?!
    Plagegeister aller Art und deren Bekämpfung - 27.10.2011 (28)
  3. BOO/Sinowal.A
    Plagegeister aller Art und deren Bekämpfung - 24.05.2011 (1)
  4. Exp/Sinowal.F ?
    Log-Analyse und Auswertung - 09.05.2011 (1)
  5. RKIT/MBR.Sinowal.J ...Boo/Sinowal.C ...W32/Stanit
    Plagegeister aller Art und deren Bekämpfung - 25.02.2011 (15)
  6. BOO/Sinowal.F
    Log-Analyse und Auswertung - 22.07.2010 (2)
  7. BOO/ Sinowal.D
    Plagegeister aller Art und deren Bekämpfung - 11.08.2009 (4)
  8. BOO/Sinowal.D
    Plagegeister aller Art und deren Bekämpfung - 02.08.2009 (18)
  9. B00 / Sinowal.A
    Plagegeister aller Art und deren Bekämpfung - 17.03.2009 (4)
  10. B00 / Sinowal.A
    Log-Analyse und Auswertung - 05.03.2009 (0)
  11. BOO/Sinowal.A
    Plagegeister aller Art und deren Bekämpfung - 21.02.2009 (4)
  12. BOO/Sinowal.A
    Plagegeister aller Art und deren Bekämpfung - 20.02.2009 (1)
  13. BOO/Sinowal.A
    Plagegeister aller Art und deren Bekämpfung - 14.01.2009 (5)
  14. boo/sinowal.A
    Plagegeister aller Art und deren Bekämpfung - 17.11.2008 (21)
  15. BOO/Sinowal.A
    Plagegeister aller Art und deren Bekämpfung - 03.11.2008 (7)
  16. BOO/Sinowal.A
    Plagegeister aller Art und deren Bekämpfung - 01.09.2008 (9)
  17. BOO/Sinowal.A
    Log-Analyse und Auswertung - 07.07.2008 (1)

Zum Thema BOO/Sinowal.A - Hallo Helfer, ich habe gesehen, dass zu diesem Thema bereits geschrieben wurde, allerdings traue ich mir ein alleiniges Vorgehen nicht zu. Insofern freue ich mich über Eure Hilfe! Problem: Antivir - BOO/Sinowal.A...
Archiv
Du betrachtest: BOO/Sinowal.A auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.