|
BOO/sinwal.c - bitte um Hilfe Hallo, mein Antivir meldete mir gestern einen "BOO/sinwal.c" Malbootsektor HD1 Habe mir auf deren Rat hin so ein Repairteil auf Diskette kopiert und damit gebootet. Das BOO war danach aber immer noch da :-( Nach ein bisschen googeln ( ich hab nicht wirklich Ahnung von solchem Kram ) hab ich antivir deinstalliert und es mal mit avast versucht: avast fand nix "grübel" Avast wieder runter antivir wieder drauf. Antivir meldet immer noch BOO/... Auf Empfehlung von "hier" hab ich CCleaner durchlaufen lassen, und auch Malewarebytes... Nun hab ich antivir wieder runter geschmissen und es mal mit der Test-Version von Kaspersky versucht: Der meldet nun win32/sinowal.ck auf mehreren bootsektoren ( meist in system volume informations ) - nach dem (scheinbaren) Entfernen sind sie gleich wieder da. Ich muss dazu sagen, dass mein Rechner bisher(!) ohne Probs läuft. Kann der ganze Mist vielleicht daher kommen, dass ich irgendwann mal auf einer mit-eingebauten Festplatte Software zum Verstecken von Ordnern installiert hatte ( Lockfolder oder so ). Wie auch immer.....ich würde mich sehr freuen, wenn mir jemand helfen kann ! Hier das log von HiJackThis: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:36:37, on 15.05.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Lavasoft\Ad-Aware\aawservice.exe C:\WINDOWS\Explorer.EXE C:\Programme\FreePDF_XP\fpassist.exe C:\WINDOWS\Mixer.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe C:\Programme\Home Cinema\PowerCinema\PCMService.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe C:\Programme\AZ 6-1\derby\wrapper.exe C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\AZ 6-1\jre1.6.0\bin\java.exe C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe C:\Programme\iPod\bin\iPodService.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\HiJackThis\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\ievkbd.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe" O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe" O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [EPSON Stylus DX4400 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICAE.EXE /FU "C:\DOKUME~1\BRBEL~1\LOKALE~1\Temp\E_S3.tmp" /EF "HKCU" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: AZ 6-1.launcher.teens.lnk = C:\Programme\AZ 6-1\Teens\AZ6-1.launcher.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe O23 - Service: Apache Derby Database (derby) - Unknown owner - C:\Programme\AZ 6-1\derby\wrapper.exe O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe -- End of file - 6514 bytes LG Taby |
Hallo und:hallo: Arbeite bitte mal genau den Punkt 2a-d unter "Zuerst einmal" in meiner Signatur ab. Poste bitte die genauen Pfade wo Antivir und Kaspersky die Schädlinge gefunden haben. .keNNy# |
Hallo liebe Community! Ich habe anscheinend das Gleiche Problem wie tabea_64 und wollte deshalb keinen neuen Post aufmachen. Bei wird der Trojaner auf der Datenplatte im MBR gefunden. Dh. die Systemplatte ist sauber (wurde neu partioniert und seitdem keine Probleme damit). Wie kann ich nun am Besten den MBR der Datenplatte wiederherstellen? Die Festplatte möchte ich nicht neu partionieren oder formatieren, da hier meine ganzen Daten (ca. 150 GB) liegen. Schon mal herzlichen Dank im voraus Liebe Grüße Vanessa |
Hallo Vanessa! Zitat:
Dann wird sich ein Experte bestimmt darum kümmern;) .keNNy# |
@tabea_64 Hallo, du hast durch Sinowal.C ein Rootkit im Master Boot Record. Gehe wie folgt vor. rootkit in master boot record Lade dir da das MBR.Exe herunter und führe es aus. Wenn er fertig ist wird ein Log angezeigt. Das Log postest Du bitte hier rein. |
Hi Angel, erstmal danke für die Hilfe. Hab das mit mbr.exe versucht, bekam aber sofort ne Mahnung von "Kapersky" : Jemand versucht heimlich..... Ist das normal ? |
Viele Tools, die von uns eingesetzt werden sind aufen Kicker von manchen Antiviren Programmen. Führe es ganz normal aus. |
hab mich getraut ;-) Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.6 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully kernel: MBR read successfully user & kernel MBR OK |
Stell mal bitte ein Avira Log rein. Falls du diese nicht mehr hast aufgrund der Deinstallation von Avira, dann überprüfe das System nochmal im Fullscan und poste das Log. |
Hi Angel, schade, dass du jetzt off bist. So wie das log aussieht, ist das alles wohl doch vielleicht nur ein Fehlalarm, oder *hoff* ? @all: hat mal jemand nen Blick auf das Log von HijackThis geworfen? Ist da irgend etwas "verdächtiges" ? Kann womöglich ein Programm wie lockfolder/hidefolder zu solchen Meldungen geführt haben ? Mein Rechner arbeitet immer noch ganz artig ... @Vanessa: gibt's was neues bei dir? Auch wenn es nicht wirklich schön ist, freue ich mich doch, dass es jemandem ähnlich geht wie mir... LG Taby |
Hi Angel, da bist du ja wieder :-) OK, ich mach antivir noch mal rauf und lasse durchlaufen...kann aber ne Weile dauern... |
So, antivir ist wieder drauf...gleich der Schnelldurchlauf sagte mir : Masterbootsektor HD1 Enthält Code des Bootsektorvirus BOO/sinowal.c An ein LOg komm ich grad noch nicht ran....muss erstmal löschen...ich gucke mal weiter.... |
C:\Programme\AZ 6-1\Teens\AZ6-1.launcher.exe Kennst du diesen Eintrag von irgendwoher? Ist der dir bekannt? Wenn nicht, dann lasse ihn mal bei Virustotal.com auswerten. |
Hier der Report: Avira AntiVir Personal Erstellungsdatum der Reportdatei: Freitag, 15. Mai 2009 23:30 Es wird nach 1284893 Virenstämmen gesucht. Lizenznehmer : Avira AntiVir Personal - FREE Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows XP Windowsversion : (Service Pack 3) [5.1.2600] Boot Modus : Normal gebootet Benutzername : xxxxx Computername : xxxx Versionsinformationen: BUILD.DAT : 9.0.0.394 17962 Bytes 17.04.2009 11:13:00 AVSCAN.EXE : 9.0.3.5 466689 Bytes 17.04.2009 07:57:24 AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10 LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44 LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59 ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 11:30:36 ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11.02.2009 19:33:26 ANTIVIR2.VDF : 7.1.2.105 513536 Bytes 03.03.2009 06:41:14 ANTIVIR3.VDF : 7.1.2.127 110592 Bytes 05.03.2009 13:58:20 Engineversion : 8.2.0.100 AEVDF.DLL : 8.1.1.0 106868 Bytes 27.01.2009 16:36:42 AESCRIPT.DLL : 8.1.1.56 352634 Bytes 26.02.2009 19:01:56 AESCN.DLL : 8.1.1.7 127347 Bytes 12.02.2009 10:44:25 AERDL.DLL : 8.1.1.3 438645 Bytes 29.10.2008 17:24:41 AEPACK.DLL : 8.1.3.10 397686 Bytes 04.03.2009 12:06:10 AEOFFICE.DLL : 8.1.0.36 196987 Bytes 26.02.2009 19:01:56 AEHEUR.DLL : 8.1.0.100 1618295 Bytes 25.02.2009 14:49:16 AEHELP.DLL : 8.1.2.2 119158 Bytes 26.02.2009 19:01:56 AEGEN.DLL : 8.1.1.24 336244 Bytes 04.03.2009 12:06:10 AEEMU.DLL : 8.1.0.9 393588 Bytes 09.10.2008 13:32:40 AECORE.DLL : 8.1.6.6 176501 Bytes 17.02.2009 13:22:44 AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 13:32:40 AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56 AVPREF.DLL : 9.0.0.1 43777 Bytes 03.12.2008 10:39:55 AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 13:34:28 AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04 AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:37 AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04 SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49 SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28 NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21 RCIMAGE.DLL : 9.0.0.21 2438401 Bytes 09.02.2009 10:41:16 RCTEXT.DLL : 9.0.37.0 87809 Bytes 17.04.2009 09:13:12 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Kurze Systemprüfung nach Installation Konfigurationsdatei...................: c:\programme\avira\antivir desktop\setupprf.dat Protokollierung.......................: niedrig Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Durchsuche aktive Programme...........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: aus Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Intelligente Dateiauswahl Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: mittel Abweichende Gefahrenkategorien........: -DIAL,+GAME,-PHISH, Beginn des Suchlaufs: Freitag, 15. Mai 2009 23:30 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avconfig.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'setup.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'msiexec.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'presetup.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avira_antivir_personal_de_bd394.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wscntfy.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'CLSched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'java.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'CLMLService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wrapper.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'CLMLServer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'CLCapSvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SUPERAntiSpyware.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'PCMService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'PDVDServ.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'mixer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'fpassist.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'aawservice.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '48' Prozesse mit '48' Modulen durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD1 [FUND] Enthält Code des Bootsektorvirus BOO/Sinowal.C [WARNUNG] Der Bootsektor kann nicht repariert werden. Weitere Informationen zu diesem Thema finden Sie in der Hilfe. Masterbootsektor HD2 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD3 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD4 |
Ja, AZ6-1 ist ein - offiziell erworbenes - Kateikartenprogramm, mit dem mein Sohn Vokabeln büffelt....mir war der Eintrag auch schon aufgefallen.... |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 09:34 Uhr. |
Copyright ©2000-2024, Trojaner-Board