Trojaner-Board - Masterbootsektor HD5 BOO/Sinowal.A

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Masterbootsektor HD5 BOO/Sinowal.A (https://www.trojaner-board.de/59276-masterbootsektor-hd5-boo-sinowal-a.html)

Sorry, kommt nicht wieder vor.

Ich dachte nur, der MBR ist okay, da er ja erfolgreich gelesen wurde - was eigentlich bedeutet, dass Sinowal inaktiv ist.

Zitat:

Zitat von Dark Viruz (Beitrag 369787)

Ich dachte nur, der MBR ist okay, da er ja erfolgreich gelesen wurde - was eigentlich bedeutet, dass Sinowal inaktiv ist.

Der MBR ist auch okay, normalerweise bräuchte der User gar nichts mehr machen, jedoch liegt der Code immer noch in Sektoren (inaktiv).

Und das Sinowal aktiv ist solltest du mir auch anhand von Dateien zeigen, ich lasse mich auch gerne eines besseren belehren! ;)

Wo sind die Dateien/Verzeichnisse/Emails welche zu Sinowal passen?
Sicherlich hätte man vorerst mal einen Scan mit Blacklight/Sophos durchführen können. ;)

Zitat:

%programfiles%\common files\microsoft shared\web folders
%windir%\temp\$_2341233.tmp
%windir%\temp\$_2341234.tmp

Zitat:

Der MBR ist auch okay, normalerweise bräuchte der User gar nichts mehr machen, jedoch liegt der Code immer noch in Sektoren (inaktiv).

Hier dazu mehr.

Zitat:

Und das Sinowal aktiv ist solltest du mir auch anhand von Dateien zeigen, ich lasse mich auch gerne eines besseren belehren!

Sinowal ist ja "nur" ein MBR Rootkit, die Backdoor, damit man auf Phishingseiten umgeleitet wird/werden kann (war zumindest früher so, für was Sinowal jetzt ist, kann natürlich was Anderes sein).

Zitat:

Wo sind die Dateien/Verzeichnisse/Emails welche zu Sinowal passen?

Von Sinowal existiert IMHO nur der Dropper als ausführbare Datei.

Sinowal != Sinowal?

Wie schon geschrieben, du weißt am was für den User am besten ist! ;)

Wir haben den MBR neu geschrieben, somit wirklich alles eliminiert, jedoch ist immer noch die Frage offen was der Dropper nun wirklich alles (abgesehen vom Boot Record) gedroppt hat!

Nur soviel, Malware entwickelt sich auch weiter.

Egal, der User hat sich selbst für eine Neuinstallation entschlossen, und damit ist gut!

EOD

Zitat:

Zitat von [GC]Sunny (Beitrag 369793)

Der MBR ist auch okay, normalerweise bräuchte der User gar nichts mehr machen, jedoch liegt der Code immer noch in Sektoren (inaktiv).

D.h. also es passiert eh nichts mehr bzw. besteht keine Gefahr mehr ?

Zitat:

Zitat von Apetito (Beitrag 369801)

D.h. also es passiert eh nichts mehr bzw. besteht keine Gefahr mehr ?

Rein theoretisch wurde "nur" der MBR gedroppt, das ein Rootkit aktiv ist/war hat sich mir noch nicht gezeigt!
d.h. normalerweise würden dann dementsprechend Dateien zu finden sein.
aber bislang konnte ich dazu noch nichts entdecken!

Also auf jeden Fall den MessengerPlus!3 deinstallieren!

Und nochmal sicherheitshalber einen Scan hiermit durchführen:

Blacklight scannen lassen

* Lade F-Secure Blacklight runter in einen eigenen Ordner, z.B. C:\programme\blacklight. Sollte der Download nicht klappen, dann probiere es mit diesem Link.
* Starte in diesem Ordner blbeta.exe. Alle anderen Programme schließen.
* Klick "I accept the agreement", "next", "Scan".
* Wenn der Scan fertig ist beende Blacklight mit "Close".
* Im Verzeichnis von Blacklight findest Du das erstellte Log fsbl-XXX.log, anstelle der XXX steht eine längere Folge von Ziffern.

Gmer scannen lassen

Lade dir Gmer von dieser Seite runter und entpacke es auf deinen Desktop.

Starte gmer.exe und gehe zum Tab Rootkit. Alle anderen Programme sollen geschlossen sein.

Stelle sicher, daß in der Leiste rechts alles von "System" bis "ADS" angehakt ist
(Wichtig: "Show all" darf nicht angehakt sein)

Starte den Durchlauf mit "Scan".

Mache nichts am Computer während der Scan läuft.

Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird Gmer beendet.

Füge das Log aus der Zwischenablage in deine Antwort hier ein.

Wenn danach alle Ergebnisse negativ ausfallen, würde ich dir nicht mehr zu einer Neuinstallation raten! ;)

Gruß
Sunny

Hi, hier nun die Ergebnisse:

Blacklight :

fsbl-20080906201103

09/06/08 22:11:03 [Info]: BlackLight Engine 1.0.67 initialized
09/06/08 22:11:03 [Info]: OS: 5.1 build 2600 (Service Pack 3)
09/06/08 22:11:03 [Note]: 7019 4
09/06/08 22:11:03 [Note]: 7005 0
09/06/08 22:11:20 [Note]: 7006 0
09/06/08 22:11:20 [Note]: 7011 1608
09/06/08 22:11:20 [Note]: 7026 0
09/06/08 22:11:21 [Note]: 7026 0
09/06/08 22:11:23 [Note]: FSRAW library version 1.7.1024
09/06/08 22:12:35 [Note]: 7007 0

Gmer :

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2008-09-06 22:20:10
Windows 5.1.2600 Service Pack 3

---- System - GMER 1.0.14 ----

SSDT F8BC3CCC ZwCreateThread
SSDT F8BC3CB8 ZwOpenProcess
SSDT F8BC3CBD ZwOpenThread
SSDT F8BC3CC7 ZwTerminateProcess
SSDT F8BC3CC2 ZwWriteVirtualMemory

---- Devices - GMER 1.0.14 ----

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- Disk sectors - GMER 1.0.14 ----

Disk \Device\Harddisk0\DR0 sector 61: malicious code @ sector 0x1d1c06c0 size 0x1c6
Disk \Device\Harddisk0\DR0 sector 62: copy of MBR

---- EOF - GMER 1.0.14 ----

Zitat:

Zitat von Apetito (Beitrag 369820)

Was sagst du nun dazu ?

MFG

Die Reporte sehen gut aus, es deutet nichts draufhin das noch mehr gedroppt wurde!

Wenn keine Probleme mehr bestehen sollte es das für dich gewesen sein.. ;)

Zitat:

Zitat von [GC]Sunny (Beitrag 370525)

Die Reporte sehen gut aus, es deutet nichts draufhin das noch mehr gedroppt wurde!

Wenn keine Probleme mehr bestehen sollte es das für dich gewesen sein.. ;)

Na dann lass ich das erst mal mit der formatierung.

Danke für die Hilfe.

MFG