Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Trojaner BOO/Sinowal.A

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 09.05.2009, 21:59   #1
dropshot
 
Trojaner BOO/Sinowal.A - Standard

Trojaner BOO/Sinowal.A



Hallo!

Leider zeigt mir Antivir hartnäckig einen Trojaner an, nämlich BOO/Sinowal.A. Habe das Forum durchforstet und versucht ein paar Sachen anzuwenden, unter anderem auch den mbr detector. Hat nix geholfen und habe soeben mit der Recovery CD den Computer neu aufgesetzt. Leider ist der verdammte BOO/Sinowal.A noch immer hier. Kann mir wer helfen? Habe Windows XP (schätze aber durch das Recovery noch kein SP2 update). Dankeeeeee.

lg,
dropshot

Alt 09.05.2009, 22:49   #2
derDon
 
Trojaner BOO/Sinowal.A - Standard

Trojaner BOO/Sinowal.A



Hallo Dropshot,

Arbeite bitte alles ab Punkt 2 in dem Link unten ab um den Leuten vom Kompetenzteam schonmal ein paar Infos für eine Hilfestellung zu geben.

http://www.trojaner-board.de/69886-a...-beachten.html

Gruß: Christian
__________________

__________________

Alt 11.05.2009, 05:39   #3
undoreal
/// AVZ-Toolkit Guru
 
Trojaner BOO/Sinowal.A - Standard

Trojaner BOO/Sinowal.A



Halli hallo ropshot
Bereinigung nach einer Kompromitierung


Hinweis: Die Analyse eines Virenscanners ist völlig unzureichend, um Aussagen über das System zu machen, kann aber als Hilfsmittel eingesetzt werden, sofern er von einem sauberen System aus betrieben wird.

Leider tauchen momentan immer mehr Schädlinge auf die sich in den Master Boot Record, kurz MBR einschreiben. Dieser wird bei einer herkömmlichen Neuinstallation nicht komplett überschrieben und stellt somit ein erhebliches Sicherheitsrisiko dar. Vor der Neuinstallation sollte daher sichergegangen werden, dass der MBR in Ordnung ist.

Master Boot Record reparieren:

XP:

Um die Wiederherstellungskonsole zu starten, einfach die Windows XP CD in das Laufwerk legen und davon booten.. Wenn Ihr dazu aufgefordert werdet, wählt die erforderliche Optionen für den Start von der Installations-CD aus.
Wenn der textbasierte Teil von Setup startet, wählt die Option zum Reparieren oder Wiederherstellen, indem Ihr die Taste [R] drückt.
Gegebenfalls nun das Administratorkennwort eingeben.
Nun gelangt Ihr zur Eingabeaufforderung der Wiederherstellungskonsole.

Dort bitte den Befehl fixmbr eingeben und mit Enter bestätigen.

Um die Wiederherstellungskonsole zu beenden und den Computer neu zu starten, gebt Ihr 'exit' ein



Einen Personal Computer neuaufsetzen:

Lies dir bitte bevor du dich an die Arbeit machst folgende Anleitung ganz genau durch:

Neuaufsetzen des Systems mit abschließender Absicherung.

Wenn du diese Anleitung zum Neuaufsetzen nicht ganz genau befolgst ist das Neuaufsetzen sinnlos!

Alle Festplatten müssen komplett formatiert werden!

Daten solltest du am besten keine sichern.
Wenn du sehr wichtige, unersetzliche Dateien sichern möchtest so musst du dies nach strengen Kriterien tun:

a) Die Datei darf nicht ausführbar sein. Das heisst sie darf keine der hier aufgeführte Dateiendung haben. Beachte bitte, dass einige Schädlinge ihre Dateiendung tarnen. Abhilfe schafft hier eine vernünftige Ordneransicht.

b) Jede Datei sollte, bevor sie wieder auf den frischen Rechner gelangt mit MWAV/eScan durchsucht werden.

c) Auch wenn du die Punkte a) und b) ganz genau einhältst sind die Dateien nicht vertrauenswürdig!!
Schädlinge können auch nicht-ausführbare Dateien wie .mp3 .doc usw. infizieren!! Und MWAV sowie andere AV-Scanner findet nur einen Bruchteil aller infizierten Dateien!
Nachdem du neuaufgesetzt hast musst du unbedingt alle Passwörter und Zugangsaccounts ändern!!!
__________________
__________________

Alt 13.05.2009, 22:20   #4
dropshot
 
Trojaner BOO/Sinowal.A - Standard

Trojaner BOO/Sinowal.A



Hallo!

Dank erstmals für eure Nachrichten. Leider habe ich bei der ersten nicht ganz verstanden was ich falsch gemacht habe, sorry, bin noch neu und als Mädel auch ein volles Anti-Talent für Computer.

Na ja, auf jeden Fall verstehe ich jetzt, warum dieser Bootsektor-Virus durch Neu-Formatierung nicht zu beseitigen ist. Leider funktionier bei mir das Master Boot Record reparieren nicht. Wenn ich die Recovery CD(s) einlege läuft er alles normal durch und "R" für Reparieren funktioniert nicht.

Ich habe auch schon das Bootsektor Repairtool von Avira angewendet, aber das scanned irgendwie nur mein Programm aber führt kein Löschung/Reparatur durch. Jetzt bin ich schön langsam verzweifelt, da ich mich halt leider so gar nich auskenne. Vielleicht hilft es, wenn ich mein Log-File post? Na ich füge es mal hinzu:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:07:19, on 13.05.2009
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\SYSTEM32\WISPTIS.EXE
C:\WINDOWS\System32\tabbtnu.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
c:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Gemeinsame Dateien\microsoft shared\ink\TabTip.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\Acer\Notebook Manager\almxptray.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\PowerKey.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\CtrlVol.exe
C:\Programme\Launch Manager\OSD.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\Programme\Gemeinsame Dateien\microsoft shared\ink\TPA.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\ltmoh\Ltmoh.exe
C:\Programme\Acer soft button\wsbklite.exe
C:\Programme\Acer soft button\SB.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Dokumente und Einstellungen\xxxxx\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://global.acer.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [TabletTip] "C:\Programme\Gemeinsame Dateien\microsoft shared\ink\tabtip.exe" /resume
O4 - HKLM\..\Run: [LaunchApp] LaunApp
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [AcerNotebookManager] C:\Programme\Acer\Notebook Manager\almxptray.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [PowerKey] "C:\Programme\Launch Manager\PowerKey.exe"
O4 - HKLM\..\Run: [LManager] C:\Programme\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [LMgrOSD] C:\Programme\Launch Manager\OSD.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Programme\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [Wise Backlight] "C:\Programme\Acer soft button\wsbklite.exe"
O4 - HKLM\..\Run: [Software Button] "C:\Programme\Acer soft button\SB.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Zinio DLM] C:\Program Files\Zinio\ZDLM.exe /hide
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [TabletWizard] %windir%\help\wizard.hta (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: SketchBook Snapshot.lnk = C:\Programme\AliasWavefront\Alias SketchBook Pro 1.0\SketchBookSnap.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: uninstall.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Bluetooth Service (btwdins) - Unknown owner - c:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe

--
End of file - 4896 bytes

Bitte helft mir, bin am verzweifeln. Dankeeeee.

lg,
Angela

Alt 14.05.2009, 13:12   #5
undoreal
/// AVZ-Toolkit Guru
 
Trojaner BOO/Sinowal.A - Standard

Trojaner BOO/Sinowal.A



Hallöle.

Zitat:
Wenn ich die Recovery CD(s) einlege läuft er alles normal durch und "R" für Reparieren funktioniert nicht.
Warum funktioniert das nicht? Bekommst du eine Fehlermeldung? Ist der Punkt "[R] Reparieren" garnicht aufgeführt? Oder was ist das Problem?

__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 15.05.2009, 15:59   #6
dropshot
 
Trojaner BOO/Sinowal.A - Standard

Trojaner BOO/Sinowal.A



Hi!

Genau, der Punkt "R" existiert nicht. Ich kann quasi nur zustimmen, dass der Computer neu aufgesetzt wird, keine andere Wahlmöglichkeiten...

lg,
Angela

Alt 16.05.2009, 09:33   #7
undoreal
/// AVZ-Toolkit Guru
 
Trojaner BOO/Sinowal.A - Standard

Trojaner BOO/Sinowal.A



Hmpf, das ist leider bei Recovery CDs häufiger mal der Fall.

Dann solltest du die Wiederherstellungskonsole fest installieren. Mit auf der CD sollte sie eigentlich sein.

Gehe vor wie hier beschrieben wird.
http://www.paules-pc-forum.de/forum/...artoption.html
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 16.05.2009, 17:38   #8
dropshot
 
Trojaner BOO/Sinowal.A - Standard

Trojaner BOO/Sinowal.A



Na ich dürfte mit meinen 4!!! Recovery CDs mehr als Pech gehabt haben (ob das an Acer liegt???). Habe versucht nach dem Link von dir die Wiederherstellungskonsole fest zu installieren, allerdings findet er leider die Datei cd i386 auf keiner meiner CDs und somit kann ich nicht fortfahren...weißt du noch andere Möglichkeiten?

Alt 17.05.2009, 09:31   #9
undoreal
/// AVZ-Toolkit Guru
 
Trojaner BOO/Sinowal.A - Standard

Trojaner BOO/Sinowal.A



O.k. dann ohne Microsoft Software.

Lade dir TeskDisk von hier: http://www.computerbase.de/downloads/software/systemprogramme/festplatten/testdisk/?url=27826
Du musst dich dafür leider bei CB registrieren. Löschen den Account einfach gleich nach dem Download wieder und registriere dich weder mit deinem richtigen Namen noch mit einer produktiven e-mail Adresse.
Die heruntergeladene Datei brennt sich nach der Ausführung selber. Alles was du brauchst ist ein Brenner und eine beschreibbare CD.

Nach dem Brennen legst du die CD ins Laufwerk ein und startest den Rechner neu. Er sollte jetzt von der CD booten.

Hier findest du die offizielle Beschriebung aller Menüpunkte: http://www.cgsecurity.org/wiki/Ausf%C3%BChren_von_TestDisk (auf der Seite ganz unten)
Dort findet sich der Menüpunkt
Zitat:
MBR Code Write TestDisk MBR code to first sector -> (Schreibe TestDisk MBR-Code auf den ersten Sektor)
Lasse den MBR neu schreiben.

Danach kannst du ohne Probleme Neuaufsetzen und absichern.
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 18.05.2009, 14:59   #10
dropshot
 
Trojaner BOO/Sinowal.A - Standard

Trojaner BOO/Sinowal.A



Hallo!

Ich glaube, dass dürfte nun funktioniert haben. Zumindest findet mein Virenprogramm (Avira Antivir) keinen Boo/Sinowal.A mehr. Vielen lieben Dank für die Hilfe und die Geduld mit mir als Computer-Un-Genie. :-)

DANKE!!!! Alles Liebe,

Angela

Antwort

Themen zu Trojaner BOO/Sinowal.A
anderem, antivir, boo/sinowal.a, compu, computer, forum, geholfen, hartnäckig, neu, recovery, recovery cd, sache, sachen, schätze, sp2, troja, trojaner, update, verdammte, versuch, versucht, windows, windows xp



Ähnliche Themen: Trojaner BOO/Sinowal.A


  1. GEMA-Trojaner, Java-Exploits, BDS/Sinowal.bogyo, etc. auf PC
    Plagegeister aller Art und deren Bekämpfung - 16.02.2012 (21)
  2. Wie entferne ich BDS/Sinowal.knfal oder generell Sinowal?
    Plagegeister aller Art und deren Bekämpfung - 31.12.2011 (17)
  3. Trojaner (BDS/Sinowal.yakl)
    Log-Analyse und Auswertung - 25.11.2011 (1)
  4. Trojaner: PSW.Sinowal.BM
    Plagegeister aller Art und deren Bekämpfung - 20.11.2011 (5)
  5. Trojan Hunt findet die Trojaner sinowal.727 und agent.28. Malwarebytes findet nichts?
    Plagegeister aller Art und deren Bekämpfung - 15.11.2011 (1)
  6. Trojaner:"TR/PSW.Sinowal.Y.3585 / / /C:\Users\Jeinsen\kload63.VIR ...was nun?
    Log-Analyse und Auswertung - 21.09.2011 (1)
  7. Trojaner TR/Crypt.XPACK.Gen2 und JAVA/Exdoer.BY und EXP/Sinowal.A auf dem PC
    Log-Analyse und Auswertung - 01.06.2011 (23)
  8. RKIT/MBR.Sinowal.J ...Boo/Sinowal.C ...W32/Stanit
    Plagegeister aller Art und deren Bekämpfung - 25.02.2011 (15)
  9. Sinowal Trojaner? Browser sehr langsam
    Log-Analyse und Auswertung - 31.08.2010 (21)
  10. BOO/Sinowal.F
    Log-Analyse und Auswertung - 22.07.2010 (2)
  11. Trojaner BDS/Sinowal.fsp: Richtig entfernt? Datensicherung etc.?
    Plagegeister aller Art und deren Bekämpfung - 24.12.2009 (1)
  12. EXP/Pidief.GI und TR/PWS.Sinowal.gen Trojaner... SOS
    Plagegeister aller Art und deren Bekämpfung - 15.12.2009 (2)
  13. BOO/Sinowal.E
    Antiviren-, Firewall- und andere Schutzprogramme - 17.10.2009 (54)
  14. Sinowal und Co.
    Plagegeister aller Art und deren Bekämpfung - 03.04.2009 (2)
  15. B00 / Sinowal.A
    Plagegeister aller Art und deren Bekämpfung - 17.03.2009 (4)
  16. Hilfe Trojaner Win32.Sinowal.aha
    Log-Analyse und Auswertung - 24.01.2009 (1)
  17. hartnäckiger Trojaner TR/PSW.Sinowal.AY.2
    Log-Analyse und Auswertung - 13.01.2007 (5)

Zum Thema Trojaner BOO/Sinowal.A - Hallo! Leider zeigt mir Antivir hartnäckig einen Trojaner an, nämlich BOO/Sinowal.A. Habe das Forum durchforstet und versucht ein paar Sachen anzuwenden, unter anderem auch den mbr detector. Hat nix geholfen - Trojaner BOO/Sinowal.A...
Archiv
Du betrachtest: Trojaner BOO/Sinowal.A auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.