Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: BOO/Sinowal weg? Ist da noch mehr?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 01.10.2009, 13:14   #1
Sierrakiller
 
BOO/Sinowal weg? Ist da noch mehr? - Standard

BOO/Sinowal weg? Ist da noch mehr?



Hallo Leute,

nach intensiver Lektüre Eures tollen Boards habe ich doch schon einiges vorbereiten können.
Nach der Benutzung von "mbr.exe", "Gmer", "CCleaner", "Malwarebyte´s Antimalware" und "RSIT" konnte ich meinen PC doch einigermaßen wieder aufräumen.
Trotzdem habe ich bei "Gmer" in der Registry noch etwas gefunden, was ich nicht wegbekomme. Auch "CCLeaner" bekommt es nicht weg.
Und zwar befindet sich das alles in "HKEY_CURRENT_USER/Software/Microsoft/Protected Storage System Provider“
Vielleicht hat von Euch noch jemand eine Idee, wie ich da sauber machen kann?
Was kann/ soll/ muß ich hier alles einstellen, damit ihr mir helfen könnt?

Schöne Grüße,

Sierrakiller

Alt 02.10.2009, 08:06   #2
Sierrakiller
 
BOO/Sinowal weg? Ist da noch mehr? - Standard

BOO/Sinowal weg? Ist da noch mehr?



Guten Morgen zusammen,

so ich habe gestern noch ein paar Berichte zusammengestellt, die ich jetzt versuche, hier rein zu stellen.
Im übrigen habe ich seit gestern das kuriose Phänomen, daß mein Internetbrowser (Opera 9.61) beim ersten öffnen schreibt, der Server meiner Startseite wäre nicht verfügbar. Beim aktualisieren ist die Seite aber sofort da.

So, die Berichte meiner Suchprogramme:

GMER 1.0.15.14966 - http://www.gmer.net
Rootkit scan 2009-10-01 14:10:30
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.15 ----

SSDT sptd.sys ZwCreateKey [0xB7ECE0B0]
SSDT sptd.sys ZwEnumerateKey [0xB7ED3A92]
SSDT sptd.sys ZwEnumerateValueKey [0xB7ED3E20]
SSDT sptd.sys ZwOpenKey [0xB7ECE090]
SSDT sptd.sys ZwQueryKey [0xB7ED3EF8]
SSDT sptd.sys ZwQueryValueKey [0xB7ED3D78]
SSDT sptd.sys ZwSetValueKey [0xB7ED3F8A]

---- Kernel code sections - GMER 1.0.15 ----

? C:\WINDOWS\system32\drivers\sptd.sys Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
.text USBPORT.SYS!DllUnload B656862C 5 Bytes JMP 8B0FA1C8

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [B7ECEAB4] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [B7ECEBFA] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [B7ECEB7C] sptd.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [B7ECF728] sptd.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [B7ECF5FE] sptd.sys
IAT \SystemRoot\System32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [B7EE1C5A] sptd.sys

---- User IAT/EAT - GMER 1.0.15 ----

IAT c:\windows\explorer.exe[1768] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateFile] [01232F20] C:\WINDOWS\TEMP\logishrd\LVPrcInj19.dll (Camera Helper Library./Logitech Inc.)
IAT c:\windows\explorer.exe[1768] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile] [01232C90] C:\WINDOWS\TEMP\logishrd\LVPrcInj19.dll (Camera Helper Library./Logitech Inc.)
IAT c:\windows\explorer.exe[1768] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtClose] [01232CF0] C:\WINDOWS\TEMP\logishrd\LVPrcInj19.dll (Camera Helper Library./Logitech Inc.)
IAT c:\windows\explorer.exe[1768] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDuplicateObject] [01232CC0] C:\WINDOWS\TEMP\logishrd\LVPrcInj19.dll (Camera Helper Library./Logitech Inc.)

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 8B3021E8

AttachedDevice \Driver\Tcpip \Device\Ip NVTcp.sys (NVIDIA Networking Protocol Driver./NVIDIA Corporation)

Device \Driver\usbohci \Device\USBPDO-0 8B0F91E8
Device \Driver\dmio \Device\DmControl\DmIoDaemon 8B3041E8
Device \Driver\dmio \Device\DmControl\DmConfig 8B3041E8
Device \Driver\dmio \Device\DmControl\DmPnP 8B3041E8
Device \Driver\dmio \Device\DmControl\DmInfo 8B3041E8
Device \Driver\usbehci \Device\USBPDO-1 8B0F81E8
Device \Driver\usbohci \Device\USBPDO-2 8B0F91E8
Device \Driver\usbohci \Device\USBPDO-3 8B0F91E8
Device \Driver\usbohci \Device\USBPDO-4 8B0F91E8

AttachedDevice \Driver\Tcpip \Device\Tcp NVTcp.sys (NVIDIA Networking Protocol Driver./NVIDIA Corporation)

Device \Driver\Ftdisk \Device\HarddiskVolume1 8B2991E8
Device \Driver\Ftdisk \Device\HarddiskVolume2 8B2991E8
Device \Driver\Cdrom \Device\CdRom0 8AFF2748
Device \Driver\Cdrom \Device\CdRom1 8AFF2748
Device \Driver\Ftdisk \Device\HarddiskVolume3 8B2991E8
Device \Driver\ubohci \Device\C1394 UB1394.SYS (FireAPI® 1394 Class Driver (XP)/Unibrain S.A.)
Device \Driver\Ftdisk \Device\HarddiskVolume4 8B2991E8
Device \Driver\nvata \Device\00000074 8B3031E8
Device \Driver\nvata \Device\00000074 AnyDVD.sys (AnyDVD Filter Driver/SlySoft, Inc.)
Device \Driver\Ftdisk \Device\HarddiskVolume5 8B2991E8
Device \Driver\nvata \Device\00000075 8B3031E8
Device \Driver\nvata \Device\00000075 AnyDVD.sys (AnyDVD Filter Driver/SlySoft, Inc.)
Device \Driver\Ftdisk \Device\HarddiskVolume6 8B2991E8
Device \Driver\nvata \Device\00000077 8B3031E8
Device \Driver\nvata \Device\00000077 AnyDVD.sys (AnyDVD Filter Driver/SlySoft, Inc.)
Device \Driver\usbohci \Device\USBFDO-0 8B0F91E8
Device \Driver\usbehci \Device\USBFDO-1 8B0F81E8
Device \Driver\nvata \Device\NvAta0 8B3031E8
Device \Driver\nvata \Device\NvAta0 AnyDVD.sys (AnyDVD Filter Driver/SlySoft, Inc.)
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 89CCB1E8
Device \Driver\usbohci \Device\USBFDO-2 8B0F91E8
Device \Driver\nvata \Device\NvAta1 8B3031E8
Device \Driver\nvata \Device\NvAta1 AnyDVD.sys (AnyDVD Filter Driver/SlySoft, Inc.)
Device \FileSystem\MRxSmb \Device\LanmanRedirector 89CCB1E8
Device \Driver\usbohci \Device\USBFDO-3 8B0F91E8
Device \Driver\nvata \Device\NvAta2 8B3031E8
Device \Driver\nvata \Device\NvAta2 AnyDVD.sys (AnyDVD Filter Driver/SlySoft, Inc.)
Device \Driver\usbohci \Device\USBFDO-4 8B0F91E8
Device \Driver\Ftdisk \Device\FtControl 8B2991E8
Device \FileSystem\Cdfs \Cdfs 8AE204A0

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x17 0xF4 0xCA 0xAC ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x17 0xF4 0xCA 0xAC ...
Reg HKLM\SYSTEM\ControlSet003\Services\kbiwkmvisjhxjb@start 1
Reg HKLM\SYSTEM\ControlSet003\Services\kbiwkmvisjhxjb@type 1
Reg HKLM\SYSTEM\ControlSet003\Services\kbiwkmvisjhxjb@group file system
Reg HKLM\SYSTEM\ControlSet003\Services\kbiwkmvisjhxjb@imagepath \systemroot\system32\drivers\kbiwkmdjvpbhri.sys
Reg HKLM\SYSTEM\ControlSet003\Services\kbiwkmvisjhxjb\main
Reg HKLM\SYSTEM\ControlSet003\Services\kbiwkmvisjhxjb\main@aid 10437
Reg HKLM\SYSTEM\ControlSet003\Services\kbiwkmvisjhxjb\main@sid 0
Reg HKLM\SYSTEM\ControlSet003\Services\kbiwkmvisjhxjb\main@cmddelay 14400
Reg HKLM\SYSTEM\ControlSet003\Services\kbiwkmvisjhxjb\main\delete
Reg HKLM\SYSTEM\ControlSet003\Services\kbiwkmvisjhxjb\main\injector
Reg HKLM\SYSTEM\ControlSet003\Services\kbiwkmvisjhxjb\main\injector@* kbiwkmwsp8.dll
Reg HKLM\SYSTEM\ControlSet003\Services\kbiwkmvisjhxjb\main\tasks
Reg HKLM\SYSTEM\ControlSet003\Services\kbiwkmvisjhxjb\modules
Reg HKLM\SYSTEM\ControlSet003\Services\kbiwkmvisjhxjb\modules@kbiwkmrk.sys \systemroot\system32\drivers\kbiwkmdjvpbhri.sys
Reg HKLM\SYSTEM\ControlSet003\Services\kbiwkmvisjhxjb\modules@kbiwkmcmd.dll \systemroot\system32\kbiwkmvvqckbns.dll
Reg HKLM\SYSTEM\ControlSet003\Services\kbiwkmvisjhxjb\modules@kbiwkmlog.dat \systemroot\system32\kbiwkmofmqwoov.dat
Reg HKLM\SYSTEM\ControlSet003\Services\kbiwkmvisjhxjb\modules@kbiwkmwsp.dll \systemroot\system32\kbiwkmqyhchvsl.dll
Reg HKLM\SYSTEM\ControlSet003\Services\kbiwkmvisjhxjb\modules@kbiwkm.dat \systemroot\system32\kbiwkmepekejgw.dat
Reg HKLM\SYSTEM\ControlSet003\Services\kbiwkmvisjhxjb\modules@kbiwkmwsp8.dll \systemroot\system32\kbiwkmrilcreql.dll

Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x17 0xF4 0xCA 0xAC ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 698863506
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 -413717385
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x17 0xF4 0xCA 0xAC ...
Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x17 0xF4 0xCA 0xAC ...
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@DeviceNotSelectedTimeout 15
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@GDIProcessHandleQuota 10000
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@Spooler yes
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@swapdisk
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@TransmissionRetryTimeout 90
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@USERProcessHandleQuota 10000
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@Appilpt_Dlls nvrtm
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{386BD8CF-BADE-1DE5-82E2-6E2BEEFCD116}
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{386BD8CF-BADE-1DE5-82E2-6E2BEEFCD116}@jahmpbfjcobfipojjpgo 0x6B 0x61 0x6C 0x6C ...
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{386BD8CF-BADE-1DE5-82E2-6E2BEEFCD116}@iabmbcgmhbaeamhbnn 0x6B 0x61 0x6C 0x6C ...

---- Files - GMER 1.0.15 ----

File C:\WINDOWS\system32\fsync.log (size mismatch) 1812471/1808487 bytes

---- EOF - GMER 1.0.15 ----
__________________


Alt 02.10.2009, 08:11   #3
Sierrakiller
 
BOO/Sinowal weg? Ist da noch mehr? - Standard

BOO/Sinowal weg? Ist da noch mehr?



So, das war der eine! Die rot markierten Zeilen gibt mir GMER auch so aus, wenn ich in der "registry"- Karte alles einzeln durchsuche.
Nun der nächste Report:
Malwarebytes' Anti-Malware 1.41
Datenbank Version: 2775
Windows 5.1.2600 Service Pack 2

01.10.2009 13:07:55
mbam-log-2009-10-01 (13-07-55).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|H:\|)
Durchsuchte Objekte: 211759
Laufzeit: 22 minute(s), 15 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 1
Infizierte Dateien: 13

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{28abc5c0-4fcb-11cf-aax5-81cx1c635612} (Generic.Bot.H) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013 (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Dokumente und Einstellungen\HelpAssistant\Lokale Einstellungen\Temporary Internet Files\Content.IE5\89ANIJE3\install_cr[1].exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\HelpAssistant\Anwendungsdaten\run_setup.exe (Worm.P2P) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\******\Anwendungsdaten\run_setup.exe (Worm.P2P) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\f1fhk.sc (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\f3g4.ge (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\f4hm.es (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\fefe1.an (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\fio0.bbv (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\fvht.pa (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\kbiwkmepekejgw.dat (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\kbiwkmofmqwoov.dat (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\kbiwkmqyhchvsl.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.

So, ich hoffe, dies könnte zur Hilfe meines Problems beitragen.
Ich wünsche allen Helferlein einen schönen Tag;

Sierrakiller
__________________

Alt 02.10.2009, 08:56   #4
Sierrakiller
 
BOO/Sinowal weg? Ist da noch mehr? - Standard

BOO/Sinowal weg? Ist da noch mehr?



Hallo, hier ist noch ein Report vom AVIRA AntiRootkit Tool:

Avira AntiRootkit Tool (1.1.0.1)

========================================================================================================
- Scan started Freitag, 2. Oktober 2009 - 09:49:22
========================================================================================================

--------------------------------------------------------------------------------------------------------
Configuration:
--------------------------------------------------------------------------------------------------------
- [X] Scan files
- [X] Scan registry
- [X] Scan processes
- [ ] Fast scan
- Working disk total size : 48.83 GB
- Working disk free size : 36.76 GB (75 %)
--------------------------------------------------------------------------------------------------------

Results:
Embedded nulls : HKEY_USERS\S-1-5-21-1202660629-682003330-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{386BD8CF-BADE-1DE5-82E2-6E2BEEFCD116}
Hidden value : HKEY_USERS\S-1-5-21-1202660629-682003330-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{386BD8CF-BADE-1DE5-82E2-6E2BEEFCD116} -> jahmpbfjcobfipojjpgo
Hidden value : HKEY_USERS\S-1-5-21-1202660629-682003330-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{386BD8CF-BADE-1DE5-82E2-6E2BEEFCD116} -> iabmbcgmhbaeamhbnn
Hidden key : HKEY_LOCAL_MACHINE\System\ControlSet003\Services\kbiwkmvisjhxjb\main
Hidden key : HKEY_LOCAL_MACHINE\System\ControlSet003\Services\kbiwkmvisjhxjb\modules
Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet003\Services\kbiwkmvisjhxjb -> start
Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet003\Services\kbiwkmvisjhxjb -> type
Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet003\Services\kbiwkmvisjhxjb -> group
Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet003\Services\kbiwkmvisjhxjb -> imagepath

--------------------------------------------------------------------------------------------------------
Files: 0/122250
Registry items: 9/450463
Processes: 0/65
Scan time: 00:03:36
--------------------------------------------------------------------------------------------------------
Active processes:
- qkrzblsk.exe (PID 13692) (Avira AntiRootkit Tool)
- System (PID 4)
- smss.exe (PID 664)
- csrss.exe (PID 844)
- winlogon.exe (PID 868)
- services.exe (PID 928)
- lsass.exe (PID 940)
- svchost.exe (PID 1108)
- svchost.exe (PID 1184)
- svchost.exe (PID 1284)
- svchost.exe (PID 1344)
- svchost.exe (PID 1488)
- explorer.exe (PID 1756)
- spoolsv.exe (PID 1848)
- sched.exe (PID 1924)
- avguard.exe (PID 1960)
- PDVDServ.exe (PID 240)
- EverioService.exe (PID 324)
- jusched.exe (PID 536)
- hpwuSchd2.exe (PID 556)
- Application Launcher.exe (PID 580)
- avgnt.exe (PID 640)
- ctfmon.exe (PID 700)
- NMBgMonitor.exe (PID 712)
- wcescomm.exe (PID 720)
- rapimgr.exe (PID 776)
- AnyDVDtray.exe (PID 788)
- PCSuite.exe (PID 1052)
- CapabilityManager.exe (PID 1252)
- logger.exe (PID 1268)
- hpqtra08.exe (PID 1384)
- LogitechDesktopMessenger.exe (PID 1436)
- SetPoint.exe (PID 1496)
- Generic.exe (PID 1684)
- ClientInitiatedStarter.exe (PID 1468)
- epmworker.exe (PID 308)
- dbgout.exe (PID 484)
- KHALMNPR.exe (PID 532)
- hpqste08.exe (PID 2440)
- HTCVBTServer.exe (PID 2480)
- FsynSrvStarter.exe (PID 2652)
- ATKKBService.exe (PID 3536)
- Apache.exe (PID 3596)
- Apache.exe (PID 3740)
- jqs.exe (PID 3816)
- LVPrcSrv.exe (PID 2940)
- nSvcIp.exe (PID 2956)
- nSvcLog.exe (PID 3112)
- HPZipm12.exe (PID 3176)
- RichVideo.exe (PID 3200)
- svchost.exe (PID 3244)
- TUProgSt.exe (PID 3396)
- wdfmgr.exe (PID 3504)
- nSvcAppFlt.exe (PID 3840)
- NMIndexingService.exe (PID 2792)
- NMIndexStoreSvr.exe (PID 1780)
- wscntfy.exe (PID 3052)
- ServiceLayer.exe (PID 4156)
- wmiapsrv.exe (PID 4504)
- NclUSBSrv.exe (PID 4676)
- NclRSSrv.exe (PID 4724)
- alg.exe (PID 4828)
- svchost.exe (PID 5680)
- hprblog.exe (PID 6028)
- avirarkd.exe (PID 13688)
========================================================================================================
- Scan finished Freitag, 2. Oktober 2009 - 09:52:59
========================================================================================================

Vielen Dank für Eure Hilfe!

Alt 04.10.2009, 16:17   #5
Kos
 
BOO/Sinowal weg? Ist da noch mehr? - Standard

BOO/Sinowal weg? Ist da noch mehr?



Hi

Nach einem Rootkit-Befall ist die beste und sicherste Methode:

Neuaufsetzen des Systems + Absicherung

Insbesondere, wenn der Rechner für sicherheitskritische Aktionen, wie z.B. Online-Banking, benutzt werden sollte, ist von einer Bereinigung abzuraten. Die Entscheidung, ob Bereinigen oder Neuinstallieren, liegt bei dir.

Gruß
Kos


Alt 04.10.2009, 16:57   #6
Sierrakiller
 
BOO/Sinowal weg? Ist da noch mehr? - Standard

BOO/Sinowal weg? Ist da noch mehr?



Entschuldigung??

Ist das eine Standard- Antwort?

Trotzdem Danke für die Auskunft, das hat mir auch schon jemand von den "Gelben Seiten" gesagt!

Alt 04.10.2009, 17:05   #7
Kos
 
BOO/Sinowal weg? Ist da noch mehr? - Standard

BOO/Sinowal weg? Ist da noch mehr?



Zitat:
Ist das eine Standard- Antwort?
Ist es. Am Kern der Sache ändert das allerdings nichts.

Gruß
Kos

Alt 07.10.2009, 10:15   #8
Sierrakiller
 
BOO/Sinowal weg? Ist da noch mehr? - Standard

BOO/Sinowal weg? Ist da noch mehr?



Hallo zusammen,

jetzt hab ich also doch meine Festplatte formatiert.
Dann hab ich versucht Windows neu zu installlieren. Leider ist dann mein Rechner komplett ausgetickt. Nach dem Kopieren der Dateien au die Festplatte hat der Rechner neu gestartet und kam nur bis "BOOT FROM CD ROM".
Dann ging er aus, und hat von vorne angefangen bis zum "BOOT FROM CD ROM". Usw, usw, usw ...
Bis ich ihn dann letztendlich ausgemacht hab.

Hat da vielleicht noch mal jemand einen Trick, Tip oder Hinweis!!

Vielen Dank,

Martin

Antwort

Themen zu BOO/Sinowal weg? Ist da noch mehr?
antimalware, befindet, benutzung, boards, ccleaner, current, einigermaßen, einstellen, gefunde, gmer, konnte, leute, mbr.exe, provider, registry, rsit, sauber, stelle, storage, system, tolle, vorbereiten



Ähnliche Themen: BOO/Sinowal weg? Ist da noch mehr?


  1. l+f: Noch mehr Hintertüren bei Cisco
    Nachrichten - 03.07.2015 (0)
  2. Noch mehr großes Lob an Schrauber
    Lob, Kritik und Wünsche - 09.02.2015 (0)
  3. MBR I/O Error und noch mehr
    Plagegeister aller Art und deren Bekämpfung - 22.11.2012 (6)
  4. Wie entferne ich BDS/Sinowal.knfal oder generell Sinowal?
    Plagegeister aller Art und deren Bekämpfung - 31.12.2011 (17)
  5. mahmud.exe, wahrscheinlich noch mehr...
    Log-Analyse und Auswertung - 08.12.2011 (12)
  6. RKIT/MBR.Sinowal.J ...Boo/Sinowal.C ...W32/Stanit
    Plagegeister aller Art und deren Bekämpfung - 25.02.2011 (15)
  7. Boo/Sinowal.A und noch mehr
    Log-Analyse und Auswertung - 11.02.2010 (3)
  8. boo-sinowal erfolgreich bekämpft aber noch Fragen
    Plagegeister aller Art und deren Bekämpfung - 05.10.2009 (5)
  9. BOO/Sinowal.C nach neuaufsetzten immer noch da
    Log-Analyse und Auswertung - 17.03.2009 (0)
  10. Probleme mit IE und Firefox! Und noch mehr...
    Plagegeister aller Art und deren Bekämpfung - 24.09.2007 (9)
  11. Trojaner auf PC und noch mehr....?
    Mülltonne - 27.08.2006 (1)
  12. HILFEEEE ! lsas.exe, noch mehr ???
    Log-Analyse und Auswertung - 27.05.2006 (8)
  13. spyaxe und noch mehr?
    Plagegeister aller Art und deren Bekämpfung - 17.12.2005 (8)
  14. Noch mehr SpyAxe
    Plagegeister aller Art und deren Bekämpfung - 17.12.2005 (2)
  15. Es gibt noch mehr Laien!!
    Log-Analyse und Auswertung - 18.11.2005 (2)
  16. Web Rebates und noch einiges mehr >.>
    Log-Analyse und Auswertung - 07.03.2005 (7)
  17. Neo toolbar und wohl noch mehr
    Log-Analyse und Auswertung - 30.09.2004 (6)

Zum Thema BOO/Sinowal weg? Ist da noch mehr? - Hallo Leute, nach intensiver Lektüre Eures tollen Boards habe ich doch schon einiges vorbereiten können. Nach der Benutzung von "mbr.exe", "Gmer", "CCleaner", "Malwarebyte´s Antimalware" und "RSIT" konnte ich meinen PC - BOO/Sinowal weg? Ist da noch mehr?...
Archiv
Du betrachtest: BOO/Sinowal weg? Ist da noch mehr? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.