Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: BOO/Sinowal.D

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 15.07.2009, 09:49   #1
Schlumbel
 
BOO/Sinowal.D - Standard

BOO/Sinowal.D



Hallo zusammen,
habe da ein Problem mit meinem PC und zwar zeigt mir Avira das ich einen Virus im Bootsektor habe . Nun habe ich mir dieses Prog runter geladen was hier im Board schon einmal gepostet wurde, der PC dann aber regelmäßig beim scan abschmiert. Kann euch gerne mal den Bericht von Avira posten, damit ihr seht was für ein Virus es ist und ich würde mich wahnsinnig über Hilfe freuen,. denn ich bin echt ratlos.
Hier der Log:

Avira AntiVir Premium
Erstellungsdatum der Reportdatei: Donnerstag, 9. Juli 2009 09:58

Es wird nach 1485149 Virenstämmen gesucht.

Lizenznehmer : www
Seriennummer : 1103330731-PEPWE-0001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : xxx

Versionsinformationen:
BUILD.DAT : 9.0.0.442 21381 Bytes 09.06.2009 16:45:00
AVSCAN.EXE : 9.0.3.6 466689 Bytes 09.06.2009 10:16:06
AVSCAN.DLL : 9.0.3.0 49409 Bytes 18.03.2009 09:36:44
LUKE.DLL : 9.0.3.2 209665 Bytes 18.03.2009 09:36:59
LUKERES.DLL : 9.0.2.0 13569 Bytes 18.03.2009 09:36:59
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 11:30:36
ANTIVIR1.VDF : 7.1.4.132 5707264 Bytes 24.06.2009 10:21:34
ANTIVIR2.VDF : 7.1.4.198 778752 Bytes 08.07.2009 14:42:48
ANTIVIR3.VDF : 7.1.4.203 93696 Bytes 08.07.2009 16:42:49
Engineversion : 8.2.0.204
AEVDF.DLL : 8.1.1.1 106868 Bytes 30.04.2009 19:34:00
AESCRIPT.DLL : 8.1.2.13 426362 Bytes 02.07.2009 11:49:21
AESCN.DLL : 8.1.2.3 127347 Bytes 15.05.2009 18:46:14
AERDL.DLL : 8.1.2.2 438642 Bytes 02.07.2009 11:49:21
AEPACK.DLL : 8.1.3.18 401783 Bytes 27.05.2009 18:39:31
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 17.06.2009 16:51:15
AEHEUR.DLL : 8.1.0.137 1823095 Bytes 26.06.2009 17:06:44
AEHELP.DLL : 8.1.3.6 205174 Bytes 11.06.2009 13:53:16
AEGEN.DLL : 8.1.1.48 348532 Bytes 02.07.2009 11:49:20
AEEMU.DLL : 8.1.0.9 393588 Bytes 14.10.2008 10:05:56
AECORE.DLL : 8.1.6.12 180599 Bytes 27.05.2009 18:39:31
AEBB.DLL : 8.1.0.3 53618 Bytes 14.10.2008 10:05:56
AVWINLL.DLL : 9.0.0.3 18177 Bytes 18.03.2009 09:36:47
AVPREF.DLL : 9.0.0.1 43777 Bytes 18.03.2009 09:36:43
AVREP.DLL : 8.0.0.3 155905 Bytes 18.03.2009 09:36:35
AVREG.DLL : 9.0.0.0 36609 Bytes 18.03.2009 09:36:43
AVARKT.DLL : 9.0.0.3 292609 Bytes 27.04.2009 11:01:19
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 18.03.2009 09:36:40
SQLITE3.DLL : 3.6.1.0 326401 Bytes 18.03.2009 09:37:02
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 18.03.2009 09:37:02
NETNT.DLL : 9.0.0.0 11521 Bytes 18.03.2009 09:36:59
RCIMAGE.DLL : 9.0.0.28 2623745 Bytes 09.06.2009 10:16:06
RCTEXT.DLL : 9.0.37.0 90881 Bytes 27.04.2009 11:01:19

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +APPL,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Donnerstag, 9. Juli 2009 09:58

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '73424' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'cidaemon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqgpc01.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqbam08.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqste08.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avwebgrd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avmailc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqgalry.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqtra08.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MZCCntrl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'cisvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpwuSchd2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'qttask.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hphmon05.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '40' Prozesse mit '40' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[FUND] Enthält Code des Bootsektorvirus BOO/Sinowal.D
[WARNUNG] Der Bootsektor kann nicht repariert werden. Weitere Informationen zu diesem Thema finden Sie in der Hilfe.
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD3
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD4
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD5
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[FUND] Enthält Code des Bootsektorvirus BOO/Sinowal.D
[HINWEIS] Der Sektor wurde nicht neu geschrieben!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:

Die Registry wurde durchsucht ( '62' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <431405>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\Dokumente und Einstellungen\www\Eigene Dateien\CyberLink.3118_EVR__DVD070604-04(2).exe
[0] Archivtyp: CAB SFX (self extracting)
--> \0x0407.ini
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.


Ende des Suchlaufs: Donnerstag, 9. Juli 2009 12:22
Benötigte Zeit: 2:24:38 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

9320 Verzeichnisse wurden überprüft
388534 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
388533 Dateien ohne Befall
9173 Archive wurden durchsucht
6 Warnungen
2 Hinweise
73424 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden
Für Hilfe bin ich echt dankbar

Alt 15.07.2009, 10:53   #2
Most
 
BOO/Sinowal.D - Standard

BOO/Sinowal.D



hallo und

als erstes hol dir mal http://www.trojaner-board.de/51187-a...i-malware.html . mach damit einen vollständigen systemscan und kopiere den text der im editor hier her. der editor öffnet sich nach dem scan.
__________________

__________________

Geändert von Most (15.07.2009 um 11:01 Uhr)

Alt 15.07.2009, 10:55   #3
Most
 
BOO/Sinowal.D - Standard

BOO/Sinowal.D



du könnest auch noch RSIT runterladen. das programm wird möglicherweiße HijackThis runterladen. wenn das drauf ist, führe es auch aus und kopiere das logfile hier rein
__________________
__________________

Alt 15.07.2009, 11:21   #4
handball10
/// Helfer-Team
 
BOO/Sinowal.D - Standard

BOO/Sinowal.D



moin Schlumbel und

(sry Most, dass ich dir wieder dazwischenschreibe)

Downloade bitte folgendes Tool:
http://www2.gmer.net/mbr/mbr.exe

Kopiere es auf den Desktop und führe es aus.
Es öffnet sich nur für einen Bruchteil ein CMD-Fenster, dass sich sofort wieder schließt.
Auf deinem Desktop ist eine neue Text-Datei: mbr.log

Poste bitte den Inhalt der Datei.

Gruß
Handball10

Alt 15.07.2009, 11:26   #5
Most
 
BOO/Sinowal.D - Standard

BOO/Sinowal.D



@ Handball10

macht nichst, hilfe kommt gerne^^

__________________
Man sollte Niemanden vernachlässigen, nur weil er weniger beiträge geschrieben hat als andere

Alt 15.07.2009, 15:02   #6
Schlumbel
 
BOO/Sinowal.D - Standard

BOO/Sinowal.D



Hallo,
hier also das Ergebnis von mbr:
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.6 by Gmer, GMER - Rootkit Detector and Remover

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\ACPI -> 0x89eaf5a0
\Device\Harddisk0\DR0 -> ParseProcedure -> 0x89eb6060
NDIS: ADMtek AN983 10/100Mbps PCI Adapter -> SendCompleteHandler -> 0x89f163a0
Warning: possible MBR rootkit infection !
copy of MBR has been found in sector 0x012A18AC1
malicious code @ sector 0x012A18AC4 !
PE file found in sector at 0x012A18ADA !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.

Alt 15.07.2009, 20:34   #7
Schlumbel
 
BOO/Sinowal.D - Standard

BOO/Sinowal.D



Hallo,
brauch wirklich Hilfe. Der PC wird immer langsamer und diesen doofen Virus bekomm ich nich runter

Alt 15.07.2009, 20:41   #8
john.doe
 
BOO/Sinowal.D - Standard

BOO/Sinowal.D



Lade den Anhang auf deinen Desktop und starte ihn mit Doppelklick. Poste anschliessend die mbr.log.

ciao, andreas
Angehängte Dateien
Dateityp: bat fixmbr.bat (12 Bytes, 504x aufgerufen)
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Geändert von john.doe (15.07.2009 um 20:46 Uhr)

Alt 15.07.2009, 20:49   #9
Schlumbel
 
BOO/Sinowal.D - Standard

BOO/Sinowal.D



Hier der Log

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.6 by Gmer, GMER - Rootkit Detector and Remover

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x012A18AC1
malicious code @ sector 0x012A18AC4 !
PE file found in sector at 0x012A18ADA !

Alt 15.07.2009, 20:50   #10
john.doe
 
BOO/Sinowal.D - Standard

BOO/Sinowal.D



Den bist du los.

ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 15.07.2009, 20:51   #11
Schlumbel
 
BOO/Sinowal.D - Standard

BOO/Sinowal.D



wie jetzt? Das wars? Cool und wie hab ich das jetzt gemacht? Ich versteh grad nur Bahnhof aber danke schön für die Hilfe

Alt 15.07.2009, 20:52   #12
john.doe
 
BOO/Sinowal.D - Standard

BOO/Sinowal.D



Wenn dir das zu schnell ging, dann klicke auf "Für alle Neuen" in meiner Signatur, lies alles aufmerksam und arbeite die komplette Liste unter Punkt 2 ab.

ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 15.07.2009, 21:02   #13
Schlumbel
 
BOO/Sinowal.D - Standard

BOO/Sinowal.D



*grins ne nicht zu schnell. Find das nur cool das er nu weg ist und ich hantier hier schon seit 2 Wochen rum *grins danke könnt dich knutschen *grins

Alt 15.07.2009, 21:04   #14
john.doe
 
BOO/Sinowal.D - Standard

BOO/Sinowal.D



Dann bist du entlassen.

ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 15.07.2009, 21:07   #15
Schlumbel
 
BOO/Sinowal.D - Standard

BOO/Sinowal.D



werde aber gerne wieder kommen. Hier is es nett

Antwort

Themen zu BOO/Sinowal.D
.dll, 1.exe, antivir, avg, avgnt.exe, avira, boo/sinowal.d, bootsektorvirus, desktop, einstellungen, explorer.exe, firefox.exe, log, logon.exe, lsass.exe, modul, neu, nt.dll, problem, programme, prozesse, registry, scan, services.exe, suchlauf, svchost.exe, versteckte objekte, verweise, virus, virus gefunden, warnung, windows, winlogon.exe



Ähnliche Themen: BOO/Sinowal.D


  1. Wie entferne ich BDS/Sinowal.knfal oder generell Sinowal?
    Plagegeister aller Art und deren Bekämpfung - 31.12.2011 (17)
  2. Sinowal ?!
    Plagegeister aller Art und deren Bekämpfung - 27.10.2011 (28)
  3. BOO/Sinowal.A
    Plagegeister aller Art und deren Bekämpfung - 24.05.2011 (1)
  4. Exp/Sinowal.F ?
    Log-Analyse und Auswertung - 09.05.2011 (1)
  5. RKIT/MBR.Sinowal.J ...Boo/Sinowal.C ...W32/Stanit
    Plagegeister aller Art und deren Bekämpfung - 25.02.2011 (15)
  6. BOO/Sinowal.F
    Log-Analyse und Auswertung - 22.07.2010 (2)
  7. BOO/ Sinowal.D
    Plagegeister aller Art und deren Bekämpfung - 11.08.2009 (4)
  8. BOO/Sinowal.A
    Plagegeister aller Art und deren Bekämpfung - 19.04.2009 (15)
  9. B00 / Sinowal.A
    Plagegeister aller Art und deren Bekämpfung - 17.03.2009 (4)
  10. B00 / Sinowal.A
    Log-Analyse und Auswertung - 05.03.2009 (0)
  11. BOO/Sinowal.A
    Plagegeister aller Art und deren Bekämpfung - 21.02.2009 (4)
  12. BOO/Sinowal.A
    Plagegeister aller Art und deren Bekämpfung - 20.02.2009 (1)
  13. BOO/Sinowal.A
    Plagegeister aller Art und deren Bekämpfung - 14.01.2009 (5)
  14. boo/sinowal.A
    Plagegeister aller Art und deren Bekämpfung - 17.11.2008 (21)
  15. BOO/Sinowal.A
    Plagegeister aller Art und deren Bekämpfung - 03.11.2008 (7)
  16. BOO/Sinowal.A
    Plagegeister aller Art und deren Bekämpfung - 01.09.2008 (9)
  17. BOO/Sinowal.A
    Log-Analyse und Auswertung - 07.07.2008 (1)

Zum Thema BOO/Sinowal.D - Hallo zusammen, habe da ein Problem mit meinem PC und zwar zeigt mir Avira das ich einen Virus im Bootsektor habe . Nun habe ich mir dieses Prog runter geladen - BOO/Sinowal.D...
Archiv
Du betrachtest: BOO/Sinowal.D auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.