Trojaner-Board - BOO/Sinowal.A

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - BOO/Sinowal.A (https://www.trojaner-board.de/72170-boo-sinowal-a.html)

Hallo Helfer,

ich habe gesehen, dass zu diesem Thema bereits geschrieben wurde, allerdings traue ich mir ein alleiniges Vorgehen nicht zu. Insofern freue ich mich über Eure Hilfe!

Problem: Antivir erkennt den Bootsektoren-Virus BOO/Sinowal.A, kann diesen jedoch nicht beseitigen. Auch das von Antivir bereitgestellte Reparations-tool hat nicht funktioniert.

Beim Hochfahren des Computers kam es bereits zu ersten Fehlern (BlueScreen mit Fehleranzeige), die jedoch nicht jedesmal, sondern eher sporadisch auftreten.

Vielleicht bedeutsam:
- Windows-Version: XP Professional
- keine Windows-Installations-CD verfügbar
- keine Admin-Rechte vorhanden

Ansonsten hoffe ich die Anleitung/Board-Regeln im Folgenden richtig umzusetzten:

1) Malwarebaytes:

Code:

Malwarebytes' Anti-Malware 1.36

Datenbank Version: 2001

Windows 5.1.2600 Service Pack 3
 

18.04.2009 19:13:57

mbam-log-2009-04-18 (19-13-57).txt
 

Scan-Methode: Vollständiger Scan (C:\|D:\|)

Durchsuchte Objekte: 172304

Laufzeit: 39 minute(s), 12 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 1

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 8

Infizierte Verzeichnisse: 1

Infizierte Dateien: 0
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe (Security.Hijack) -> Quarantined and deleted successfully.
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{397686bc-44a9-4081-b8e3-268a79cac847}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.105;85.255.112.224 -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{d8bfef05-a1ac-4993-b8bb-8bf78ce469e3}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.105;85.255.112.224 -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{397686bc-44a9-4081-b8e3-268a79cac847}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.105;85.255.112.224 -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{d8bfef05-a1ac-4993-b8bb-8bf78ce469e3}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.105;85.255.112.224 -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{397686bc-44a9-4081-b8e3-268a79cac847}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.105;85.255.112.224 -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{d8bfef05-a1ac-4993-b8bb-8bf78ce469e3}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.105;85.255.112.224 -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\Tcpip\Parameters\Interfaces\{397686bc-44a9-4081-b8e3-268a79cac847}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.105;85.255.112.224 -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\Tcpip\Parameters\Interfaces\{d8bfef05-a1ac-4993-b8bb-8bf78ce469e3}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.105;85.255.112.224 -> Quarantined and deleted successfully.
 

Infizierte Verzeichnisse:

C:\resycled (Trojan.DNSChanger) -> Quarantined and deleted successfully.
 

Infizierte Dateien:

(Keine bösartigen Objekte gefunden)

2) Auswertung Highjackthis

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 19:22:00, on 18.04.2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ACS.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Programme\Bonjour\mDNSResponder.exe

C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe

C:\Programme\Intel\Wireless\Bin\RegSrvc.exe

C:\Programme\TOSHIBA\TME3\Tmesrv31.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe

C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe

C:\WINDOWS\system32\hkcmd.exe

C:\Programme\TOSHIBA\E-KEY\CeEKey.exe

C:\WINDOWS\AGRSMMSG.exe

C:\WINDOWS\system32\TPSMain.exe

C:\Programme\TOSHIBA\Accessibility\FnKeyHook.exe

C:\Programme\TOSHIBA\TME3\TMEEJME.EXE

C:\Programme\TOSHIBA\TME3\TMERzCtl.EXE

C:\Programme\Apoint2K\Apoint.exe

C:\WINDOWS\system32\ZoomingHook.exe

C:\Programme\OpenVPN\bin\openvpn-gui.exe

C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe

C:\WINDOWS\system32\TPSBattM.exe

C:\Programme\iTunes\iTunesHelper.exe

C:\Programme\pdf24\PDFBackend.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\Apoint2K\Apntex.exe

C:\Programme\iPod\bin\iPodService.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Programme\Crazy Browser\Crazy Browser.exe

C:\Programme\Highjackthis\HijackThis.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wolfware.de

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe

O4 - HKLM\..\Run: [TFncKy] TFncKy.exe

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [CeEKEY] C:\Programme\TOSHIBA\E-KEY\CeEKey.exe

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [SVPWUTIL] C:\Programme\Toshiba\Windows Utilities\SVPWUTIL.exe SVPwUTIL

O4 - HKLM\..\Run: [TPSMain] TPSMain.exe

O4 - HKLM\..\Run: [TOSHIBA Accessibility] C:\Programme\TOSHIBA\Accessibility\FnKeyHook.exe

O4 - HKLM\..\Run: [HWSetup] C:\Programme\TOSHIBA\TOSHIBA Applet\HWSetup.exe hwSetUP

O4 - HKLM\..\Run: [TMESRV.EXE] C:\Programme\TOSHIBA\TME3\TMESRV31.EXE /Logon

O4 - HKLM\..\Run: [TMERzCtl.EXE] C:\Programme\TOSHIBA\TME3\TMERzCtl.EXE /Service

O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe

O4 - HKLM\..\Run: [Zooming] ZoomingHook.exe

O4 - HKLM\..\Run: [openvpn-gui] C:\Programme\OpenVPN\bin\openvpn-gui.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [PDFPrint] "C:\Programme\pdf24\PDFBackend.exe"

O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: PC Health.lnk = C:\Programme\TOSHIBA\TOSHIBA Management Console\TOSHealthLocalS.vbs

O4 - Global Startup: Symantec Fax Starter Edition-Anschluss.lnk = C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE

O4 - Global Startup: uninstall.exe

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1176991982843

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = rummel.local

O17 - HKLM\Software\..\Telephony: DomainName = rummel.local

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = rummel.local

O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\ACS.exe

O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Unknown owner - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe (file missing)

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe

O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe

O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe

O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe

O23 - Service: OpenVPN Service (OpenVPNService) - Unknown owner - C:\Programme\OpenVPN\bin\openvpnserv.exe

O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe

O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation  - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe

O23 - Service: Tmesrv3 (Tmesrv) - TOSHIBA - C:\Programme\TOSHIBA\TME3\Tmesrv31.exe
 

--

End of file - 5790 bytes

3) Liste installierter Software:

Code:

Adobe Acrobat and Reader 8.1.2 Security Update 1 (KB403742)

Adobe Flash Player ActiveX

Adobe Reader 8.1.2 - Deutsch

ALPS Touch Pad Driver

Apple Mobile Device Support

Apple Software Update

Atheros Client Utility

Atheros Wireless LAN MiniPCI card Driver

Bonjour

CCleaner (remove only)

Crazy Browser version 2.0.1

HijackThis 2.0.2

Hotfix für Windows XP (KB952287)

Intel(R) Graphics Media Accelerator Driver for Mobile

iTunes

Linguatec VoicePro 11 - Deutsch

Malwarebytes' Anti-Malware

mCore

Microsoft Office 2000 Premium

Microsoft Office Converter Pack

Microsoft Outlook 2000 SR-1

Microsoft Visual C++ 2005 Redistributable

Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17

mPfMgr

mProSafe

MSXML 4.0 SP2 (KB927978)

MSXML 4.0 SP2 (KB936181)

MSXML 4.0 SP2 (KB954430)

mXML

OpenVPN 2.0.9-gui-1.0.3

pdf24

QuickTime

Realtek AC'97 Audio

SD Secure Module

Sicherheitsupdate für Windows Media Player (KB952069)

Sicherheitsupdate für Windows Media Player 9 (KB917734)

Sicherheitsupdate für Windows XP (KB923789)

Sicherheitsupdate für Windows XP (KB938464)

Sicherheitsupdate für Windows XP (KB938464-v2)

Sicherheitsupdate für Windows XP (KB941569)

Sicherheitsupdate für Windows XP (KB946648)

Sicherheitsupdate für Windows XP (KB950762)

Sicherheitsupdate für Windows XP (KB950974)

Sicherheitsupdate für Windows XP (KB951066)

Sicherheitsupdate für Windows XP (KB951376-v2)

Sicherheitsupdate für Windows XP (KB951698)

Sicherheitsupdate für Windows XP (KB951748)

Sicherheitsupdate für Windows XP (KB952954)

Sicherheitsupdate für Windows XP (KB953838)

Sicherheitsupdate für Windows XP (KB953839)

Sicherheitsupdate für Windows XP (KB954600)

Sicherheitsupdate für Windows XP (KB955069)

Sicherheitsupdate für Windows XP (KB956802)

Sicherheitsupdate für Windows XP (KB956803)

Sicherheitsupdate für Windows XP (KB956841)

Sicherheitsupdate für Windows XP (KB957097)

Sicherheitsupdate für Windows XP (KB958215)

Sicherheitsupdate für Windows XP (KB958644)

Sicherheitsupdate für Windows XP (KB958687)

Sicherheitsupdate für Windows XP (KB958690)

Sicherheitsupdate für Windows XP (KB960225)

Sicherheitsupdate für Windows XP (KB960714)

Sicherheitsupdate für Windows XP (KB960715)

SMSC IrCC V5.1.3600.5 SP2

Texas Instruments PCIxx21/x515 drivers.

TOSHIBA Accessibility

TOSHIBA Assist

TOSHIBA ConfigFree

TOSHIBA Controls

TOSHIBA Hardware Setup

TOSHIBA Hotkey-Dienstprogramm

TOSHIBA Management Console Version 3.5 (3.5.4)

TOSHIBA Mobile Extension3 für Windows XP V3.69.00.XP.C

TOSHIBA PC-Diagnose-Tool

TOSHIBA Power Saver

TOSHIBA SD-Speicherkarten-Formatierung

TOSHIBA Software Modem

TOSHIBA Supervisorkennwort

Update für Windows XP (KB951072-v2)

Update für Windows XP (KB955839)

Update für Windows XP (KB967715)

Windows XP Service Pack 3

Wolf Ware Info (WinNT)

Grüße und Vielen Dank

bitte installier superantispyware
http://www.trojaner-board.de/51871-a...tispyware.html

bitte alle malwarebytes funde löschen und ein neues log erstellen

einträge

C:\Programme\TOSHIBA\TME3\TMERzCtl.EXE

bei virus total hochladen und ergebnis posten VirusTotal - Free Online Virus and Malware Scan

zu hijackthis

erstmal

O4 - Global Startup: uninstall.exe

fix checked

Hallo RushHour777,

1) malwarebytes: nach nochmaligem Durchlauf: keine infizierten Objekte wurden gefunden; hier der Bericht:

Code:

Malwarebytes' Anti-Malware 1.36

Datenbank Version: 2001

Windows 5.1.2600 Service Pack 3
 

19.04.2009 09:34:57

mbam-log-2009-04-19 (09-34-57).txt
 

Scan-Methode: Vollständiger Scan (C:\|D:\|)

Durchsuchte Objekte: 173619

Laufzeit: 41 minute(s), 25 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 0
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

(Keine bösartigen Objekte gefunden)

2) Virus Total für die Datei :C:\Programme\TOSHIBA\TME3\TMERzCtl.EXE:

Code:

Datei TMERzCtl.exe empfangen 2009.04.19 09:38:42 (CET)

Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt 
 
 

Ergebnis: 0/39 (0%)

Laden der Serverinformationen... 

Ihre Datei wartet momentan auf Position: 1.

Geschätzte Startzeit ist zwischen 38 und 54 Sekunden.

Dieses Fenster bis zum Abschluss des Scans nicht schließen. 

Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.

Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. 

Ihre Datei wird momentan von VirusTotal überprüft,

Ergebnisse werden sofort nach der Generierung angezeigt. 

 Filter Drucken der Ergebnisse  

Datei existiert nicht oder dessen Lebensdauer wurde überschritten 

Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.
 

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. 

 Email:  

  
 

Antivirus Version letzte aktualisierung Ergebnis 

a-squared 4.0.0.101 2009.04.19 - 

AhnLab-V3 5.0.0.2 2009.04.18 - 

AntiVir 7.9.0.148 2009.04.18 - 

Antiy-AVL 2.0.3.1 2009.04.17 - 

Authentium 5.1.2.4 2009.04.19 - 

Avast 4.8.1335.0 2009.04.18 - 

AVG 8.5.0.287 2009.04.18 - 

BitDefender 7.2 2009.04.19 - 

CAT-QuickHeal 10.00 2009.04.18 - 

ClamAV 0.94.1 2009.04.19 - 

Comodo 1120 2009.04.18 - 

DrWeb 4.44.0.09170 2009.04.19 - 

eSafe 7.0.17.0 2009.04.13 - 

eTrust-Vet 31.6.6455 2009.04.14 - 

F-Prot 4.4.4.56 2009.04.19 - 

Fortinet 3.117.0.0 2009.04.18 - 

GData 19 2009.04.19 - 

Ikarus T3.1.1.49.0 2009.04.19 - 

K7AntiVirus 7.10.707 2009.04.17 - 

Kaspersky 7.0.0.125 2009.04.19 - 

McAfee 5588 2009.04.18 - 

McAfee+Artemis 5588 2009.04.18 - 

McAfee-GW-Edition 6.7.6 2009.04.19 - 

Microsoft 1.4502 2009.04.19 - 

NOD32 4019 2009.04.18 - 

Norman 6.00.06 2009.04.17 - 

nProtect 2009.1.8.0 2009.04.19 - 

Panda 10.0.0.14 2009.04.18 - 

PCTools 4.4.2.0 2009.04.17 - 

Prevx1 V2 2009.04.19 - 

Rising 21.25.60.00 2009.04.19 - 

Sophos 4.40.0 2009.04.19 - 

Sunbelt 3.2.1858.2 2009.04.18 - 

Symantec 1.4.4.12 2009.04.19 - 

TheHacker 6.3.4.0.309 2009.04.16 - 

TrendMicro 8.700.0.1004 2009.04.17 - 

VBA32 3.12.10.2 2009.04.12 - 

ViRobot 2009.4.18.1685 2009.04.18 - 

VirusBuster 4.6.5.0 2009.04.18 - 

weitere Informationen 

File size: 86016 bytes 

MD5...: e8303d66f18d6902df9155aef7b9da9a 

SHA1..: 5d1fe0059ee92eb1c58ff1dc8565f199cf7102c1 

SHA256: 10a97770b11db23d1a49e4a1a662b91ab5a213b1c792d3b5c3e8115a5a37d935 

SHA512: 54333d75de39d293db9f92ed2bc1e945c9529a1226d4259ceb26c5d58e8f1e72

dabe92375597856e8506bc99f60657e5c42c146cbbe4c44eeb316d41b4017ed6 

ssdeep: 1536:oOM/2Dj/K2R8tavS0tV+8xop+4cvM9QjbyBkJ7miLg8bw:oj/2Dj/K2R8ta

5tLxop+4L9QQS7miLg0

 

PEiD..: InstallShield 2000 

TrID..: File type identification

Win32 Executable MS Visual C++ (generic) (65.2%)

Win32 Executable Generic (14.7%)

Win32 Dynamic Link Library (generic) (13.1%)

Generic Win/DOS Executable (3.4%)

DOS Executable Generic (3.4%) 

PEInfo: PE Structure information
 

( base data )

entrypointaddress.: 0x77d0

timedatestamp.....: 0x41c2bb0f (Fri Dec 17 10:55:11 2004)

machinetype.......: 0x14c (I386)
 

( 4 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0xc839 0xd000 6.27 de8c2527ebf32df084dd00199a1268f5

.rdata 0xe000 0x1a7e 0x2000 4.70 9f3e3a865070dd972118b316693d0593

.data 0x10000 0x5264 0x4000 2.08 bbbea504546e4b9f103c1624e09cc0a8

.rsrc 0x16000 0x9e0 0x1000 2.92 bd45a01dafbd9c51936bec3f99b52016
 

( 6 imports ) 

> KERNEL32.dll: CreateProcessA, lstrcmpiA, TerminateProcess, GetLastError, GetVersionExA, CreateFileA, lstrcatA, MultiByteToWideChar, DeviceIoControl, OpenEventA, GetExitCodeProcess, Sleep, lstrlenA, FindFirstFileA, FindClose, GetModuleHandleA, GetWindowsDirectoryA, lstrcpyA, FreeLibrary, LoadLibraryA, GetProcAddress, LocalSize, CreateEventA, lstrcmpA, LocalFree, LocalAlloc, WaitForSingleObject, TerminateThread, CloseHandle, ResetEvent, GetModuleFileNameA, WTSGetActiveConsoleSessionId, InterlockedIncrement, GetStartupInfoA, HeapAlloc, HeapFree, GetLocaleInfoA, GetStringTypeW, GetStringTypeA, IsBadCodePtr, IsBadWritePtr, IsBadReadPtr, SetUnhandledExceptionFilter, WriteFile, GetFileType, GetStdHandle, SetHandleCount, GetEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsW, FreeEnvironmentStringsA, UnhandledExceptionFilter, SetEvent, CreateThread, RtlUnwind, GetCurrentProcess, LCMapStringA, WideCharToMultiByte, GetOEMCP, GetACP, GetCPInfo, TlsGetValue, SetLastError, TlsAlloc, TlsSetValue, LCMapStringW, DeleteCriticalSection, SetFilePointer, SetStdHandle, GetLocaleInfoW, FlushFileBuffers, VirtualAlloc, GetCommandLineA, GetCurrentThreadId, GetVersion, InterlockedDecrement, LeaveCriticalSection, EnterCriticalSection, VirtualFree, ExitProcess, HeapDestroy, HeapCreate, InitializeCriticalSection

> USER32.dll: RegisterWindowMessageA, DispatchMessageA, TranslateMessage, GetMessageA, FindWindowA, RegisterClassA, UpdateWindow, ShowWindow, CreateWindowExA, KillTimer, SendMessageA, PostQuitMessage, DefWindowProcA, SetTimer, wsprintfA, MessageBoxA, LoadStringA, EnumDisplaySettingsExA, EnumDisplayDevicesA, ChangeDisplaySettingsExA, ChangeDisplaySettingsA, OpenInputDesktop, GetUserObjectInformationA, CloseDesktop

> GDI32.dll: GetStockObject

> ADVAPI32.dll: AllocateAndInitializeSid, FreeSid, RegQueryValueExA, SetSecurityDescriptorDacl, InitializeSecurityDescriptor, AddAccessAllowedAce, AddAccessDeniedAce, InitializeAcl, GetLengthSid, RegSetValueExA, RegCreateKeyExA, RegCloseKey, RegOpenKeyExA
 

> WTSAPI32.dll: WTSRegisterSessionNotification

> COMCTL32.dll: -
 

( 0 exports ) 

 

RDS...: NSRL Reference Data Set

3) O4 - Global Startup: uninstall.exe - fix checked: erledigt

4) Superantipyware:

Code:

SUPERAntiSpyware Scan Log

http://www.superantispyware.com
 

Generated 04/19/2009 at 11:06 AM
 

Application Version : 4.26.1000
 

Core Rules Database Version : 3852

Trace Rules Database Version: 1805
 

Scan type       : Complete Scan

Total Scan Time : 01:12:11
 

Memory items scanned      : 439

Memory threats detected   : 0

Registry items scanned    : 4054

Registry threats detected : 8

File items scanned        : 88246

File threats detected     : 2
 

Rootkit.NDisProt/Fake

        HKLM\System\ControlSet001\Services\Ndisprot

        C:\WINDOWS\SYSTEM32\DRIVERS\NDISPROT.SYS

        HKLM\System\ControlSet001\Enum\Root\LEGACY_Ndisprot

        HKLM\System\ControlSet003\Services\Ndisprot

        HKLM\System\ControlSet003\Enum\Root\LEGACY_Ndisprot

        HKLM\System\ControlSet004\Services\Ndisprot

        HKLM\System\ControlSet004\Enum\Root\LEGACY_Ndisprot

        HKLM\System\CurrentControlSet\Services\Ndisprot

        HKLM\System\CurrentControlSet\Enum\Root\LEGACY_Ndisprot
 

Adware.Tracking Cookie

        C:\Dokumente und Einstellungen\WR\Cookies\wr@komtrack[2].txt

Lass bitte nochmal Gmer laufen.
Hier zu finden und Log hier rein: GMER - Rootkit Detector and Remover - Files

hier der Berich von GMER:

Code:

GMER 1.0.15.14966 - http://www.gmer.net

Rootkit scan 2009-04-19 12:50:11

Windows 5.1.2600 Service Pack 3
 
 

---- System - GMER 1.0.15 ----
 

SSDT    \??\C:\Programme\SUPERAntiSpyware\SASKUTIL.sys (SASKUTIL.SYS/SUPERAdBlocker.com and SUPERAntiSpyware.com)  ZwTerminateProcess [0xAA8F5DF0]
 

---- Kernel code sections - GMER 1.0.15 ----
 

PAGE    CLASSPNP.SYS!ClassInitialize + F4                                                                          F86AA42C 4 Bytes  [94, C6, 0A, 82]

PAGE    CLASSPNP.SYS!ClassInitialize + FF                                                                          F86AA437 4 Bytes  [DE, 81, 0A, 82]

PAGE    CLASSPNP.SYS!ClassInitialize + 10A                                                                         F86AA442 4 Bytes  [A6, C6, 0A, 82]

PAGE    CLASSPNP.SYS!ClassInitialize + 111                                                                         F86AA449 4 Bytes  [9A, C6, 0A, 82]

PAGE    CLASSPNP.SYS!ClassInitialize + 118                                                                         F86AA450 4 Bytes  [A0, C6, 0A, 82]

PAGE    ...                                                                                                        
 

---- Devices - GMER 1.0.15 ----
 

Device  \Driver\Cdrom \Device\CdRom0                                                                               820AC694

Device  \Driver\Disk \Device\Harddisk0\DR0                                                                         820AC694
 

---- Threads - GMER 1.0.15 ----
 

Thread  System [4:2004]                                                                                            820E3190

Thread  System [4:2008]                                                                                            820D11B0

Thread  System [4:2012]                                                                                            821168D0

Thread  System [4:2016]                                                                                            820B4540
 

---- Disk sectors - GMER 1.0.15 ----
 

Disk    \Device\Harddisk0\DR0                                                                                      sector 00: rootkit-like behavior; MBR rootkit code detected                      <-- ROOTKIT !!!

Disk    \Device\Harddisk0\DR0                                                                                      sector 60: rootkit-like behavior; 

Disk    \Device\Harddisk0\DR0                                                                                      sector 61: rootkit-like behavior; malicious code @ sector 0x950e4c1 size 0x1c2

Disk    \Device\Harddisk0\DR0                                                                                      sector 62: rootkit-like behavior; copy of MBR
 

---- EOF - GMER 1.0.15 ----

Random's System Information Tool (RSIT)

Lade Random's System Information Tool (RSIT) von random/random herunter,
speichere es auf Deinem Desktop.
Starte mit Doppelklick die RSIT.exe.
Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren.
In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro für HJT akzeptieren I accept.
Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen.
Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

Sorry...ich hab nicht korrektur gelesen, ich hab den falschen Text kopiert, der hier sollte anstelle von Kaspersky kommen:

Rootkit im MBR (Master Boot Record)

Lade dir zunächst diese Datei -> mbr.exe direkt auf das Laufwerk
wo dein Betriebssystem installiert ist. (also auf c: )

Windows Vista:
Start -> bei "Suche starten" -> cmd (eintippen) -> ENTER

Windows 2000 - XP:
klick auf Start -> Ausführen -> cmd (eintippen) -> ENTER

Dann folgende Text in die Box eingeben: mbr.exe -f (siehe Bild)
http://saved.im/ndc4mda3m2z3/cmd-mbr-f.jpg

Auf c:\ wir dann ein mbr.log angelegt, öffne dieses mit dem Editor, kopiere den Text ab und füge ihn in deinen Beitrag ein.

bei mir kommt in dem kasten "C:\Dokumente und Einstellungen/WR" anstatt nur C:\ - vielleicht ist das der Grund, warum die Eingabe nicht funktioniert "der Befehl ist entweder falsch geschrieben oder konnte nicht gefunden werden")?
oder muss ich mbr.exe erst per Doppelklick installieren?

Die mbr.exe direkt auf Laufwerk c:\ speichern, nicht installieren, mach es nochmal..

Start -> Ausführen -> cmd [ENTER]

dann eingeben -> cd\ [ENTER]

dann eingeben -> mbr.exe -f [ENTER]

ah, jetzt hat es funktioniert:

Code:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.1 by Gmer, http://www.gmer.net
 

device: opened successfully

user: MBR read successfully

kernel: MBR read successfully

MBR rootkit code detected !

malicious code @ sector 0x950e4c1 size 0x1c2 !

copy of MBR has been found in sector 62 !

MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.

PE file found in sector at 0x0950E4C1 !

original MBR restored successfully !

Führe nochmal "cmd" aus, und führe diesesmal den Befehl mbr.exe ohne -f aus...

Code:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.1 by Gmer, http://www.gmer.net
 

device: opened successfully

user: MBR read successfully

kernel: MBR read successfully

PE file found in sector at 0x0950E4C1 !

Das sieht doch soweit ganz gut aus, gibt es noch Probleme mit dem System?!

da der BlueScreen nur sporadisch aufgetreten war, kann ich das wohl erst in ein paar Tagen sehen..

soll ich vielleicht antivir nochmal durchlaufen lassen, um zu sehen ob BOO/Sinowal.A jetzt weg ist?

Japp..lass Antivir komplett laufen, am besten so:

http://www.trojaner-board.de/54192-a...tellungen.html