Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Sinowal.A mal wieder! (https://www.trojaner-board.de/54985-sinowal-a-mal.html)

ajnas 29.06.2008 15:09
Sinowal.A mal wieder!
 
Hallo,
also folgendes ist mein Problem:

Ich habe mir vor ein paar Tagen einen neuen Rechner zusammenstellen lassen und meine alte Festplatte mit einbauen lassen. Beim Formatieren der alten Festplatte meldet Avira : " MBR 1
Enthält Erkennungsmuster des Bootsektorvirus BOO/Sinowal.A"

Lass ich Avira die Platte scannen,findet er nichts.Deswegen kann ich auch keinen Bericht posten ;)

Hab mir hier ein paar Sachen bezüglich des Themas durchgelesen und mbr ausgeführt mit folgendem Ergebnis:

Stealth MBR rootkit detector 0.2.4 by Gmer, h**p://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

...mehr nicht.

HiJack spuckt folgendes aus:
Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:03:20, on 29.06.2008
Platform: Windows XP SP3, v.3311 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\avmwlanstick\wlangui.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Sidebar\sidebar.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\Windows Sidebar\sidebar.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\avmwlanstick\WlanNetService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\Winamp\winamp.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Sidebar] C:\Programme\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1214589761426
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc.exe
Was soll ich nun tun?Will den Virus aufjedenfall beseitigen,vorallem weil der PC gerade mal paar Tage alt ist.Oder was kann passieren wenn der Virus nicht beseitigt wird?Ich bitte um Hilfe

cosinus 29.06.2008 15:44
Da gibts mehrere Wege, den MBR neu zu schreiben. Allerdings weiß ich nicht, ob man mit mbr.exe von GMER die Zweitplatte fixen kann. Dann gibt es noch DOS-Programme wie s0kill und killmbr, Du müsstest diese allerdings von einer reinen DOS-Umgebung aus laufen lassen, z.B. wenn Du von einer DOS-Bootdiskette gebootet hast.

Ich würde daher mal vorschlagen, Du startest den PC von der Windows-XP-CD und wechselst in die Wiederherstellungskonsole. Führe dort den Befehl

fixmbr \device\harddisk2

aus, und der MBR auf der zweiten Platte sollte überschrieben sein.

ajnas 29.06.2008 17:55
Die erste Platte ist in 2 Teile partitioniert.Das ändert aber an dem Befehl nichts oder?Will nur sicher gehen.

cosinus 29.06.2008 18:13
Nein sollte nicht so sein. Ganz sicher bin ich mir da aber nicht, da ich fixmbr bisher immer nur ohne Parameter angewendet habe.

Falls das so nicht klappen sollte, kann ich Dir aber noch andere Tools vorschlagen.

Gurkenschurk 30.06.2008 09:54
hi, ich habe folgendes gemacht und diesen boo/sinowal.a damit verschwinden lassen.
booten von der cd
R für reparieren
windowsinstallation wählen - bei mir die 1
adminkennwort eingeben.
jetzt ist wichtig, welcher mbr befallen ist - bei mir harddisk1
also habe ich eingegeben:
fixmbr \device\harddisk1
nach fixmbr kommt ein leerzeichen - ganz wichtig.
dann neu starten und antivir laufen lassen.
bei mir war der infekt danach verschwunden. :Boogie:
viel glück
Gurke

ajnas 30.06.2008 18:43
Erstmal danke für die Rückmeldung und die Hilfe.
Also nun sieht es aus wie folgt.
Ich habe den Befehlt fixmbr \device\harddisk2 eingegen worauf ich eine Vorsichtsmeldung erhalte habe,dass eventuell die Dateien zerstört werden können auf der Partition wenn ich den Befehl weiter führe.Und das ich den Befehl nur ausführen soll wenn ich Zugriffsprobleme mit der Platte habe. Hab dann mit Enter bestätigt und nen Bluescreen erhalten. Beim Versuch die betroffene Platte zu formatieren,hat sich Avira wieder mit dem alten Fund gemeldet. Habs dann auch nochmal mit dem Befehl fixmbr \device\harddisk3 ausprobiert (Dachte das die alte platte als Nr. 3 vielleicht gesehen wird,weil die erste Platte in 2 Teile partitioniert ist.) Daraufhin bekam ich die Meldung das der MBR nicht gelesen werden kann.
Und nun?

Achja und wie sagt ich gmer das er die betroffene Platte überprüfen soll?Hab nämlich den Verdacht das er beim aussführen nur die C\ Platte checkt.

cosinus 30.06.2008 18:47
Führe in der Konsole den Befehl map aus. Damit solltest Du genauere Infos erhalten, welche Platte mit welchem Gerätepfad angesprochen wird.

Es ist auch gut möglich, daß Deine Zweiplatte mit \device\harddisk1 angesprochen werden muß - ich bin mir da jetzt nicht 100 pro sicher, ob Windows bei der ersten Platte mit Null oder mit Eins anfängt.

Silent sharK 30.06.2008 19:30
Leute, es steht doch da, welche HDD:

Zitat:
" MBR 1
Enthält Erkennungsmuster des Bootsektorvirus BOO/Sinowal.A"
Oder nicht?
mfg

cosinus 30.06.2008 19:31
Zitat:
Zitat von Dark Viruz (Beitrag 350637)
Leute, es steht doch da, welche HDD:


Oder nicht?
mfg
Das Problem hatte ich doch erläutert. :rolleyes:
Manche Programme fangen bei 0 an zu zählen, andere bei 1.

Silent sharK 30.06.2008 19:41
Hab dann wohl das
Zitat:
Es ist auch gut möglich
falsch verstanden, tut mir leid:daumenhoc

cosinus 30.06.2008 19:44
Zitat:
Zitat von Dark Viruz (Beitrag 350645)
Hab dann wohl das falsch verstanden, tut mir leid:daumenhoc
Ist doch kein Problem, jeder überliest mal was. :party:
Ich oft genug. :balla:

ajnas 05.07.2008 11:49
So,hatte die letzten Tage nicht allzu Zeit.Hab das jetzt heute mal gemacht.Wenn ich "map" ausführe, steht bei mir folgendes:

C: \Device\HARDDISK0\PARTITION1
E: \Device\HARDDISK0\PARTITION2
D: \Device\HARDDISK1\PARTITION1


kam mir bisschen seltsam vor weil die Platte E: ist die betroffene!
soll ich jetzt einfach den Befehl "fixmbr \Device\HARDDISK0\PARTITION2" durchführen?

cosinus 05.07.2008 12:23
Zitat:
Zitat von ajnas (Beitrag 351756)
kam mir bisschen seltsam vor weil die Platte E: ist die betroffene!
soll ich jetzt einfach den Befehl "fixmbr \Device\HARDDISK0\PARTITION2" durchführen?
Nicht ganz mach mal nur den Befehl fixmbr \Device\HARDDISK0
Um sicher zu gehen, daß auf der zweiten Platte auch nichts mehr vom MBR-Schädling drauf ist: fixmbr \Device\HARDDISK1

(In der Wiederherstellungskonsole kann es u.U. sein, daß die Laufwerksbuchstaben anders verteilt sind als im installierten Windows.)

ajnas 05.07.2008 18:34
Zitat:
Zitat von root24 (Beitrag 351757)
Nicht ganz mach mal nur den Befehl fixmbr \Device\HARDDISK0
Um sicher zu gehen, daß auf der zweiten Platte auch nichts mehr vom MBR-Schädling drauf ist: fixmbr \Device\HARDDISK1

(In der Wiederherstellungskonsole kann es u.U. sein, daß die Laufwerksbuchstaben anders verteilt sind als im installierten Windows.)
hab auf der D Partition wichtige Daten drauf,kann da was passieren?

ajnas 06.07.2008 12:27
Entweder ist es zu früh am morgen oder ich find den Edit Button nicht.
mit fixmbr \Device\HARDDISK0 spricht der dann nicht C: und E: zusammen an?obwohl das 2 verschiedene Platten sind? und D: eigentlich zu C: gehören sollte?

Edit: jetzt seh ich den Edit Button zu diesem Post aber nur :)


Alle Zeitangaben in WEZ +1. Es ist jetzt 11:46 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129