|
Entfernung von BOO/Sinowal.A, TR/Crypt.XPACK.Gen und TR/Dropper.Gen Hallo an netten Helfer, Avira meldet seit einiger Zeit wiederholt den "Bootsektorvirus BOO/Sinowal.A". Alle Versuche ihn zu entfernen sind leider gescheitert, was mich nach Studium der hiesigen Beiträge jetzt nicht mehr wundert. Heute wurden dann auch noch die beiden o. g. Trojaner gemeldet.:confused: Vielleicht kann mir jemand helfen diese Schädlinge DAUERHAFT zu entfernen. Bin nicht gerade PC-Profi, wurschtel mich so durch und bin für jeden Tip dankbar. Hier schon mal die Meldung von AVIRA: Avira AntiVir Personal Erstellungsdatum der Reportdatei: Dienstag, 15. Juli 2008 10:02 Es wird nach 1422663 Virenstämmen gesucht. Lizenznehmer: Avira AntiVir PersonalEdition Classic Seriennummer: (hab ich mal lieber rausgelöscht) Plattform: Windows XP Windowsversion: (Service Pack 2) [5.1.2600] Boot Modus: Normal gebootet Benutzername: SYSTEM Computername: BUERO-01 Versionsinformationen: BUILD.DAT : 8.1.0.308 16478 Bytes 28.5.2008 17:02:00 AVSCAN.EXE : 8.1.2.12 311553 Bytes 18.3.2008 09:02:52 AVSCAN.DLL : 8.1.1.0 57601 Bytes 30.1.2008 15:10:50 LUKE.DLL : 8.1.2.9 151809 Bytes 28.2.2008 08:41:20 LUKERES.DLL : 8.1.2.0 12545 Bytes 19.2.2008 08:39:40 ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.7.2007 10:33:34 ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.6.2008 06:05:23 ANTIVIR2.VDF : 7.0.5.105 821248 Bytes 13.7.2008 06:05:36 ANTIVIR3.VDF : 7.0.5.107 5120 Bytes 14.7.2008 06:05:37 Engineversion : 8.1.0.64 AEVDF.DLL : 8.1.0.5 102772 Bytes 25.2.2008 09:58:21 AESCRIPT.DLL : 8.1.0.46 283002 Bytes 14.7.2008 06:05:49 AESCN.DLL : 8.1.0.22 119157 Bytes 22.6.2008 09:12:46 AERDL.DLL : 8.1.0.20 418165 Bytes 13.6.2008 06:22:45 AEPACK.DLL : 8.1.1.6 364918 Bytes 22.6.2008 09:12:46 AEOFFICE.DLL : 8.1.0.20 192891 Bytes 22.6.2008 09:12:45 AEHEUR.DLL : 8.1.0.35 1298806 Bytes 14.7.2008 06:05:47 AEHELP.DLL : 8.1.0.15 115063 Bytes 13.6.2008 06:22:40 AEGEN.DLL : 8.1.0.29 307573 Bytes 22.6.2008 09:12:40 AEEMU.DLL : 8.1.0.6 430451 Bytes 13.6.2008 06:22:39 AECORE.DLL : 8.1.0.32 168311 Bytes 14.7.2008 06:05:38 AVWINLL.DLL : 1.0.0.7 14593 Bytes 23.1.2008 17:05:55 AVPREF.DLL : 8.0.0.1 25857 Bytes 18.2.2008 10:29:37 AVREP.DLL : 7.0.0.1 155688 Bytes 16.4.2007 13:25:52 AVREG.DLL : 8.0.0.0 30977 Bytes 23.1.2008 17:05:52 AVARKT.DLL : 1.0.0.23 307457 Bytes 12.2.2008 08:29:19 AVEVTLOG.DLL : 8.0.0.11 114945 Bytes 28.2.2008 08:31:27 SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.1.2008 17:28:02 SMTPLIB.DLL : 1.2.0.19 28929 Bytes 23.1.2008 17:06:34 NETNT.DLL : 8.0.0.1 7937 Bytes 25.1.2008 12:05:07 RCIMAGE.DLL : 8.0.0.35 2371841 Bytes 10.3.2008 14:34:46 RCTEXT.DLL : 8.0.32.0 86273 Bytes 6.3.2008 11:58:49 Konfiguration für den aktuellen Suchlauf: Job Name.........................: Vollständige Systemprüfung Konfigurationsdatei..............: c:\programme\- privat\computer\virenschutz\avira\antivir personaledition classic\sysscan.avp Protokollierung..................: niedrig Primäre Aktion...................: reparieren Sekundäre Aktion.................: ignorieren Durchsuche Masterbootsektoren....: ein Durchsuche Bootsektoren..........: ein Bootsektoren.....................: C:, D:, E:, F:, Durchsuche Speicher..............: ein Durchsuche aktive Programme......: ein Durchsuche Registrierung.........: ein Suche nach Rootkits..............: ein Datei Suchmodus..................: Alle Dateien Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: 20 Archiv Smart Extensions..........: ein Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, Makrovirenheuristik..............: ein Dateiheuristik...................: mittel Abweichende Gefahrenkategorien...: +APPL,+PCK,+SPR, Beginn des Suchlaufs: Dienstag, 15. Juli 2008 10:02 Der Suchlauf nach versteckten Objekten wird begonnen. Fehler in der ARK Lib Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'FINDFAST.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'EXCEL.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'WINWORD.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'EXCEL.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'CLSched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'tcpsvcs.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'IoctlSvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'NBService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'MZCCntrl.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'GoogleUpdaterService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'CLMLService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'CLMLServer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'CLCapSvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'cisvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'BTNtService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'OSA.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'FINDFAST.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SchSvr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Dit.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AGRSMMSG.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '44' Prozesse mit '44' Modulen durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD1 [FUND] Enthält Erkennungsmuster des Bootsektorvirus BOO/Sinowal.A [HINWEIS] Der Bootsektor wurde nicht repariert Masterbootsektor HD2 [INFO] Es wurde kein Virus gefunden! [WARNUNG] Das Gerät ist nicht bereit. Masterbootsektor HD3 [INFO] Es wurde kein Virus gefunden! [WARNUNG] Das Gerät ist nicht bereit. Masterbootsektor HD4 [INFO] Es wurde kein Virus gefunden! [WARNUNG] Das Gerät ist nicht bereit. Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'D:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'E:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'F:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. Die Registry wurde durchsucht ( '19' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' <BOOT> C:\hiberfil.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\Christoph\Lokale Einstellungen\Temporary Internet Files\Content.IE5\HOTEB2VP\common.v0.6[1].js [FUND] Enthält verdächtigen Code: HEUR/HTML.Malware [HINWEIS] Der Fund wurde als verdächtig eingestuft. [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 48e95cc0.qua erstellt ( QUARANTÄNE ) C:\System Volume Information\_restore{258190E1-38FB-49D6-B96F-C7205C6BB1B6}\RP47\A0013906.exe [WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen. C:\System Volume Information\_restore{258190E1-38FB-49D6-B96F-C7205C6BB1B6}\RP47\A0014434.exe [WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen. C:\System Volume Information\_restore{258190E1-38FB-49D6-B96F-C7205C6BB1B6}\RP70\A0024606.exe [FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 48ac6525.qua erstellt ( QUARANTÄNE ) C:\System Volume Information\_restore{258190E1-38FB-49D6-B96F-C7205C6BB1B6}\RP70\A0025582.exe [FUND] Ist das Trojanische Pferd TR/Dropper.Gen [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 48ac6526.qua erstellt ( QUARANTÄNE ) Beginne mit der Suche in 'D:\' <BACKUP> Beginne mit der Suche in 'E:\' <RECOVER> Beginne mit der Suche in 'F:\' <DATEN> Ende des Suchlaufs: Dienstag, 15. Juli 2008 11:39 Benötigte Zeit: 1:36:50 min Der Suchlauf wurde vollständig durchgeführt. 17336 Verzeichnisse wurden überprüft 550831 Dateien wurden geprüft 3 Viren bzw. unerwünschte Programme wurden gefunden 1 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 1 Viren bzw. unerwünschte Programme wurden repariert 3 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 4 Dateien konnten nicht durchsucht werden 550827 Dateien ohne Befall 34251 Archive wurden durchsucht 7 Warnungen 4 Hinweise 57857 Objekte wurden beim Rootkitscan durchsucht 0 Versteckte Objekte wurden gefunden Sowie HJT-File: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 13:59:56, on 15.07.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16674) Boot mode: Normal Running processes: C:\WIN-XP\System32\smss.exe C:\WIN-XP\system32\winlogon.exe C:\WIN-XP\system32\services.exe C:\WIN-XP\system32\lsass.exe C:\WIN-XP\system32\Ati2evxx.exe C:\WIN-XP\system32\svchost.exe C:\WIN-XP\System32\svchost.exe C:\WIN-XP\system32\Ati2evxx.exe C:\WIN-XP\system32\spoolsv.exe C:\Programme\- Privat\Computer\Virenschutz\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WIN-XP\Explorer.EXE C:\Programme\- Privat\Computer\Virenschutz\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WIN-XP\AGRSMMSG.exe C:\WIN-XP\system32\RunDll32.exe C:\WIN-XP\Dit.exe C:\WIN-XP\system32\ctfmon.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Programme\- Privat\Video\InterVideo\WinDVD4PR\SchSvr.exe C:\Programme\- Privat\Video\InterVideo\Common\Bin\WinCinemaMgr.exe C:\Programme\Microsoft Office\Office\FINDFAST.EXE C:\Programme\Microsoft Office\Office\OSA.EXE C:\Programme\- Verbindungen\KlickTel\Klick Tel 2007\KSTART32.EXE C:\Programme\- Privat\Computer\Virenschutz\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\- Verbindungen\IVT Corporation\BlueSoleil\BTNtService.exe C:\WIN-XP\system32\cisvc.exe C:\Programme\- Privat\Video\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe C:\Programme\- Privat\Video\Nero\Nero8\Nero BackItUp\NBService.exe C:\WIN-XP\system32\IoctlSvc.exe C:\WIN-XP\system32\tcpsvcs.exe C:\WIN-XP\System32\svchost.exe C:\Programme\- Privat\Video\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe C:\Programme\Internet Explorer\iexplore.exe C:\WIN-XP\system32\wuauclt.exe c:\programme\- privat\computer\virenschutz\avira\antivir personaledition classic\avcenter.exe C:\WIN-XP\system32\notepad.exe C:\Programme\- Privat\Computer\Virenschutz\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll O2 - BHO: (no name) - {FFFFFFA2-C40D-475D-8C91-9A9876ACFCDD} - C:\PROGRA~1\klickTel\KLICKT~1\KTTOOL~1.DLL O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &klickTel Toolbar - {FFFF8BAD-BB43-4A08-8258-BFB40A29FBD7} - C:\PROGRA~1\klickTel\KLICKT~1\KTTOOL~1.DLL O4 - HKLM\..\Run: [avgnt] "C:\Programme\- Privat\Computer\Virenschutz\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [ctfmon.exe] C:\WIN-XP\system32\ctfmon.exe O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WIN-XP\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WIN-XP\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WIN-XP\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WIN-XP\system32\CTFMON.EXE (User 'Default user') O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE O4 - Startup: Telefon- und Branchenbuch Herbst 2007 - Schnellstarter.lnk = C:\Programme\- Verbindungen\KlickTel\Klick Tel 2007\KSTART32.EXE O4 - Global Startup: InterVideo Scheduler server.lnk = C:\Programme\- Privat\Video\InterVideo\WinDVD4PR\SchSvr.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\- Privat\Video\InterVideo\Common\Bin\WinCinemaMgr.exe O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WIN-XP\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WIN-XP\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - h**p://w*w.adobe.com/products/acrobat/nos/gp.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{C51B4B05-DD38-4BC9-BBCB-3E9C839CECBE}: NameServer = 217.237.151.205 217.237.148.70 O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\- Privat\Computer\Virenschutz\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\- Privat\Computer\Virenschutz\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WIN-XP\system32\Ati2evxx.exe O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\- Verbindungen\IVT Corporation\BlueSoleil\BTNtService.exe O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\- Privat\Video\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\- Privat\Video\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\- Privat\Video\Nero\Nero8\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WIN-XP\system32\IoctlSvc.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe -- End of file - 7398 bytes Ich hoffe, ich hab´ keine zu bearbeitenden Links übersehen und warte gespannt auf Tipps !!! |
Hey Krifi, also ich habe die zwei Trojaner ebenfalls auf dem Rechner gehabt und hab hier auch nach Hilfe gefragt. Neuaufsetzen war der Rat ^^ Ich fürchte das musst du auch machen aber warte besser auf die Experten-Tipps. Will dich nur vorwarnen ;) Die blöden Mistviecher :schrei: |
Hallo Manju, Ich hatte Deinen Beitrag schon gelesen und glaube/hoffe, daß Du wegen der "ntos.exe" neuinstallieren solltest. Werde also Deinem Rat folgen und mal lieber auf die experten warten, vielleicht hab´ ich ja etwas mehr Glück - mache mich aber besser schon mal mit dem worst case vertraut ... PS: Ist schön im Allgäu, war gerade im Urlaub da. |
Zitat:
Genau so ist es.. ;) Hallo Krifi und http://www.mysmilie.de/generator/ablage/156/257.png Lade dir bitte mbr detector herunter, führe ihn aus und poste das Log hier. Erstelle außerdem ein Log mit Cureit Dr.Web
|
So, da bin ich wieder Der mbr.detector hat folgendes Log-File ergeben: Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully kernel: MBR read successfully user & kernel MBR OK malicious code @ sector 0x12a18ac1 size 0x1e4 ! copy of MBR has been found in sector 62 ! Dr.Web Cureit habe ich wie angegeben heruntergeladen, entpackt und nach Anleitung eingestellt. Dann (nach Anleitung) einen Komplettscan gemacht, der über 6 Std gedauert hat. Die-Log-Datei ist mit über 92 MB entsprechend groß ausgefallen: 27162 Word-Seiten (kein Scherz)! Ich glaube nicht, das ich das hier wirklich so posten soll. Es gibt aber einen (kürzeren) Prüfbericht, der als Excel-Datei gespeichert wurde: mzccntrl.exe;c:\programme\gemeinsame dateien\marmiko shared;Adware.Msearch.origin;Falscher Pfad zur Datei ; proxy.exe;C:\Programme\- Privat\PC-Zubehör\Proxy\AnalogX\Proxy;Program.AnalogProxy;Verschoben.; MZCCntrl.exe;C:\Programme\Gemeinsame Dateien\Marmiko Shared;Adware.Msearch.origin;Verschoben.; Dc237.exe\327882R2FWJFW\psexec.cfexe;C:\RECYCLER\S-1-5-21-746137067-2139871995-1801674531-1004\Dc237.exe;Program.PsExec.171;; Dc237.exe;C:\RECYCLER\S-1-5-21-746137067-2139871995-1801674531-1004;Archiv enthält infizierte Objekte;Verschoben.; 0025582.exe;C:\System Volume Information\_restore{258190E1-38FB-49D6-B96F-C7205C6BB1B6}\RP70;Trojan.Packed.511;Verschoben.; A0026297.exe;C:\System Volume Information\_restore{258190E1-38FB-49D6-B96F-C7205C6BB1B6}\RP72;Program.AnalogProxy;Verschoben.; A0026299.exe;C:\System Volume Information\_restore{258190E1-38FB-49D6-B96F-C7205C6BB1B6}\RP72;Adware.Msearch.origin;Verschoben.; A0026301.exe\327882R2FWJFW\psexec.cfexe;C:\System Volume Information\_restore{258190E1-38FB-49D6-B96F-C7205C6BB1B6}\RP72\A0026301.exe;Program.PsExec.171;; A0026301.exe;C:\System Volume Information\_restore{258190E1-38FB-49D6-B96F-C7205C6BB1B6}\RP72;Archiv enthält infizierte Objekte;Verschoben.; 970303EL.TXT.lnk;D:\Sicherheitskopien\Datensicherung vom 15.06.2008\- Betrieb\Archiv\Alle Jahre\4 - Rechnungen;Modifikation von Win32.Bumblebee.3864;Verschoben.; A0010196.lnk;D:\System Volume Information\_restore{258190E1-38FB-49D6-B96F-C7205C6BB1B6}\RP46;Modifikation von Win32.Bumblebee.3864;Verschoben.; A0026307.lnk;D:\System Volume Information\_restore{258190E1-38FB-49D6-B96F-C7205C6BB1B6}\RP72;Modifikation von Win32.Bumblebee.3864;Verschoben.; 970303EL.TXT.lnk;F:\Eigene Dateien\- Betrieb\Archiv\Alle Jahre\4 - Rechnungen;Modifikation von Win32.Bumblebee.3864;Verschoben.; 970303EL.TXT.lnk;M:\- Betrieb\Archiv\Alle Jahre\4 - Rechnungen;Modifikation von Win32.Bumblebee.3864;; Auch wenn Ihr das wahrscheinlich selber seht ein kuzer Hinweis: Der Eintrag der ersten Zeile stammt wohl aus dem Expreßscan, den ich beim Starten von Cureit nicht umgehen konnte. Der Trojaner (oder was auch immer das ist) wurde dann beim Komplettscan nocheinmal gefunden und verschoben, darum die Angabe "falscher Pfad". Das wars erst mal. Falls ich Euch die Log-Datei irgendwie anders doch noch schicken soll müsste ich nur wissen, wie Ihr das haben wollt. Auf jeden Fall schon mal: Danke für die Hilfe LG, Krifi |
Ach ja, doch noch was: Ich hab´ in der (kurzen) Wartezeit nach meiner ersten Problemschilderung in einigen Beiträgen vom CCleaner gelesen, diesen heruntergeladen und einmal durchlaufen lassen. Könnte ja sein, dass Ihr sonst in den mbr.- und Cureit.Logs nach mittlerweile verschwundenen Einträgen/Dateien sucht. Ich hoffe, das war jetzt kein Fehler. Liebe Grüße und bis morgen Krifi |
Ich will ja (wirklich) nicht drängeln, aber wie geht´s denn jetzt weiter ... Kann ich die Dateien aus der Quarantäne jetzt einfach löschen und sind die dann auch wirklich weg ??? Ich sehe einfach mal regelmäßig rein. Hab eh noch ein anderes Problem mit Vernetzung und Internetzugang. Macht Ihr hier nur Beratung in Bezug auf Viren, Würmer und Trojaner oder helft Ihr an anderer Foren-Stelle auch bei Netzwerkproblemen ? Liebe Grüße und DANKE schon mal. Ich |
Ich habe jetzt ein paar Tage nichts von Euch gehört also versuch ich es noch mal. Habe nochmal mbr laufen lassen, hier das log-file: Stealth MBR rootkit detector 0.2.4 by Gmer, h**p://www.gmer.net device: opened successfully user: MBR read successfully kernel: MBR read successfully user & kernel MBR OK malicious code @ sector 0x12a18ac1 size 0x1e4 ! copy of MBR has been found in sector 62 ! Und hier die Berichtsdatei von DrWeb: proxy.exe;C:\Programme\- Verbindungen\Proxy\AnalogX\Proxy;Program.AnalogProxy;Verschoben.; proxyi-setup.exe;C:\Programme\- Verbindungen\Proxy\AnalogX\Proxy\Setup;Program.AnalogProxy;Verschoben.; A0024606.exe;C:\System Volume Information\_restore{258190E1-38FB-49D6-B96F-C7205C6BB1B6}\RP70;Trojan.Packed.511;Verschoben.; A0025582.exe;C:\System Volume Information\_restore{258190E1-38FB-49D6-B96F-C7205C6BB1B6}\RP70;Trojan.Packed.511;Verschoben.; A0026483.exe;C:\System Volume Information\_restore{258190E1-38FB-49D6-B96F-C7205C6BB1B6}\RP76;Program.AnalogProxy;Verschoben.; A0027676.exe;C:\System Volume Information\_restore{258190E1-38FB-49D6-B96F-C7205C6BB1B6}\RP79;Program.AnalogProxy;Verschoben.; A0027677.exe;C:\System Volume Information\_restore{258190E1-38FB-49D6-B96F-C7205C6BB1B6}\RP79;Program.AnalogProxy;Verschoben.; A0026487.exe;D:\System Volume Information\_restore{258190E1-38FB-49D6-B96F-C7205C6BB1B6}\RP76;Program.AnalogProxy;Verschoben.; Df3.exe;F:\RECYCLER\S-1-5-21-746137067-2139871995-1801674531-1004;Program.AnalogProxy;Verschoben.; A0027678.exe;F:\System Volume Information\_restore{258190E1-38FB-49D6-B96F-C7205C6BB1B6}\RP79;Program.AnalogProxy;Verschoben.; 970303EL.TXT.lnk;M:\- Betrieb\Archiv\Alle Jahre\4 - Rechnungen;Modifikation von Win32.Bumblebee.3864;; Was mache ich jetzt damit ??? Liebe Grüße |
Ich habe hier jetzt leider seit einer Woche nichts mehr gehört und mich entschlossen, das System neu aufzusetzen. Weil ich dazu uch ein paar Fragen habe und das Thema ja eigentlich nicht hierhin gehört, habe ich wegen des Neu-Aufsetzens ein neues Thema an anderer Stelle in diesem Forum aufgemacht. Ich hoffe, das wird jetzt nicht als Cross-Posting angesehen. Dieses Thema hier hat sich damit natürlich erstmal erledigt und könnte geschlossen werden. Liebe Grüße und danke nochmal Krifi |
Entschuldige @Sunny wenn ich hier mal dazwischen poste. Krifi in deinem andere Post schreibst du, dass du die NTOS.EXE auf deinem Rechner gefunden hast. Da gibt es eigentlich nur eines, Neuaufsetzen und anschließend alle Zugangskennungen ändern. Da hast du bestimmt schon einige Programme über dein System laufen lassen bevor du hier gepostet hast. Deine Partition mit den MP3 und anderen, da wirst du eine Sicherung auf eine CD ev. DVD machen müssen oder aber auf eine exterene Platte. Die internen HDD müssen dann auch alle geplättet werden. Wie es mit der Recoverpartition gehen soll, muss ich erst noch rausfinden. Vielleicht kann dir auch Sunny helfen. |
Den MBR kannst du auch manuell reparieren: Zitat:
Zitat:
mfg |
@blow-in Ja, das hatte ich befürchtet. Sind so etwa 50 GB zu sichern (stöhn) - aber wenn´s denn sein muß. Ich hatte gehofft, dass ich erst die eine Partition runderneuere, dann die Daten-Dateien von einer auf die andere Partition rüberziehen kann, um dann die nächste Partition zu formatieren ... @Dark Viruz Bin leider Laie und brauche noch ein paar Erklärungen: Muß ich denn nun doch ganz neu aufsetzen oder nicht ? Was ist denn eigentlich MBR ? Was passiert wenn ich "fixmbr \device\harddisk1 " eingebe - Werden dabei Daten gelöscht ??? Kenne mich leider nicht so gut aus und bin etwas vorsichtig, weil eigentlich zur Zeit alles ganz prima läuft. Auf jedenfall beiden DANKE, bin ganz erleichtert, dass sich hier jemand um mich kümmert:aplaus: LG - Krifi |
Also, zu deinen Fragen: Zitat:
Zitat:
Zitat:
Datenverluste können eintreten, müssen aber nicht. Zu deinem Backup-Problem: In Zukunft könntest du auch ein Backup-Programm installieren, das macht das Neuaufsetzen einfacher. mfg |
Ok - Dann greife ich jetzt erst mal den MBR an. Ich melde mich wieder |
Ok, viel Erfolg dabei. Und Neuaufsetzen musst du nicht wegen dem ZBot, sondern wegen Sinowal mfg |
So, da bin ich wieder. System neu auflegen dauert doch ganz schön lang ... Wollte mich eigentlich nur schnell nochmal für die freundliche Hilfe BEDANKEN und nicht einfach so still und leise verschwinden. Die Ratschläge für eine sichere Neuinstallation habe ich nach Kräften beherzigt. Etliche Gefahren waren mir tatsächlich gar nicht bewusst (Ja, ich bin auch ständig als Admin. im Netz unterwegs gewesen...) Aber jetzt läuft fast alles wieder :huepp: Trotzdem noch eine letzte Frage: Kann ich denn jetzt sicher sein, dass auch wirklich alle Viren, Würmer, Trojaner etc. weg sind - oder sollte ich das jetzt noch mit einer von Eurer speziellen AV-Software überprüfen. Und - wenn´s nicht stört - bei der Gelegenheit doch noch eine allerletzte Frage: Mein ehemals vorinstalliertes Programm für den TV-Empfang (Cyber-Link Home Cinema von Medion) ist nach der Neuinstallation leider Futsch: Kann mir evtl. jemand ein downloadbares aber trotzdem sicheres Programm empfehlen (Kenne mich auch in dem Bereich nicht wirklich aus). Ganz liebe Grüße Krifi |
Zitat:
Hier zum überprüfen: Lade dir bitte mbr detector herunter und führe ihn aus. Poste das Ergebnis dann hier. Zitat:
Wenn ja, einfach auf dessen Seite gehn, da gibts den Treiber und die Software bestimmt dafür. War bei mir auch der Fall, da ich die CD verschlampt habe. :D mfg |
Hier die mbr.log: Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.netIch hoffe, das ist jetzt o.k. Zitat:
mfg Krifi |
Da scheint was schiefgelaufen zu sein, der Mist sitzt immernoch drin. Ich melde mich wieder, wenn ich eine Lösung gefunden habe. mfg |
|
Hallo Krifi Hast du die MBR.EXE noch? Lade die direkt unter c:\mbr.exe Dann führe CMD aus und gibt in dem Fenster dann mbr.exe -f dabei auf das Leerzeichen zwischen exe und - achten. Im anschluss dann noch einmal nur mbr.exe ausführen und das Log posten. |
Also nochmal: mbr.exe -f ausgeführt wie von blow-in vorgeschlagen. Hier das mbr.log: Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.netScheint nicht viel gebracht zu haben ... Zu dem Vorschlag von Dark Viruz hab ich erst mal ne Frage Bin nach der Anleitung über die Wiederherstellungskonsole bis zur Eingabe von C:\Windows\fixmbr vorgedrungen - da kam dann folgende Warnmeldung: Zitat:
Also bin ich mir da jetzt überhaupt nicht sicher. Habe gerade erst mühevoll neu installiert und bin da ehrlich nicht scharf drauf , das direkt zu wiederholen. Was mach ich denn nun :confused: mfg Krifi |
Hallo Krifi Ich habe mir mal dein Anfangsposting angesehen. Der Virus ist doch nicht auf C: (HD0)sondern auf deiner HD1. Zur Bereinigung musst du dann fixmbr \device\harddisk1 eingeben. Was ich gerade noch gefunden habe ist der Hinweis von @Karl Das Ergebnis auf die HD1 bezogen, ist noch wichtig. |
Sein MBR ist ok, wie schon KarlKarl geschrieben hat. Ich war nur auf das Malicious code fixiert. Kein Grund zur Sorge ;) @blow-in Siehe da: Klick |
Supi - das sind ja mal richtig gute Nachrichten.:aplaus: @blow-in Zitat:
Jetzt freu´ich mich erst mal, dass das Problem gelöst ist :Boogie: und bedanke mich noch mal ganz doll für die freundliche Hilfe.:daumenhoc Ohne Euch wäre ich hier echt überfordert gewesen Lieben Gruß und noch einen schönen Tag:party: Krifi |
Kein Problem, dir auch noch einen schönen Tag. :party: |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 16:18 Uhr. |
Copyright ©2000-2025, Trojaner-Board