Hallo,

ich habe im abgesicherten Modus festgestellt, dass der Virus Sinowal.knfal sich auf meinem Computer befindet. Anti Vir entdeckt ihn zwar, aber kann ihn nicht löschen. Bitte helft mir, dass ich diesen Plagegeist vielleicht doch noch zu Weihnachten los bin.
Ich hatte eigentlich schon gehofft von Sinowal befreit zu sein, musste mich heute aber eines Besseren belehren.

Gibt es denn einen Tool zum Entfernen von Sinowal Viren?


Vielen Dank im voraus,

Dekoder

Hi,

bisschen mehr Infos wären nett.. (OS, 32/64-Bit etc.)...


Combofix
Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Antivierenlösung komplett auschalten und zwar so, dass sie sich auch nach einem Reboot NICHT einschaltet!

Achtung: In einigen wenigen Fällen kann es vorkommen, das der Rechner nicht mehr booten kann und Neuaufgesetzt werden muß!

Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report (ComboFix.txt) angezeigt, den bitte kopieren und in deinem Thread einfuegen.

chris

Von Combifix hatte ich schon gehört. Was mich jetzt nur abschreckt ist, dass ich eventuell den Computer nicht mehr booten kann, wenn ich dieses Programm verwende. Dann stünde ich über die Feiertage ohne Rechner da. Das wäre nicht gut. Vielleicht habe ich dich aber auch missverstanden.

Erst einmal schon einmal vielen Dank.

Habe jetzt gerade noch einmal nachgelesen. ich weiß nicht, ob meine PC Kenntnisse ausreichen für Combofix. Kann gebrauchte Dateien fälscherlicherweise löschen? Sie müssen dann wiederhergestellt werden? Keine Ahnung wie das gehen soll.
Über die normale Systemwiederherstellung wahrscheinlich nicht oder?
Hm, vielleicht sollte ich dieses Programm nur mit einem Fachmann durchgehen. Ich habe wohl PC Kenntnisse aber wenn so Fragen nach Hi Jacks oder manuelle Befehle gefragt sind, kann ich schön überfordert sein. Was meint ihr?

Hi,

in wenigen Fälle kann es vorkommen, dass sich der Rechner nicht mehr booten lässt...
Sinowal ist eine "ernsthafte" Infektion, d.h. eigentlich musst Du den Rechner platt machen...

MBR-Check
Lade Dir http://ad13.geekstogo.com/MBRCheck.exe und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.

• Vista und Win7 User mit Rechtsklick "als Administrator starten"

• Das Tool braucht nur eine Sekunde.

• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste bitte den Inhalt des .txt Dokumentes

TDSS-Killer
Download und Anweisung unter: Wie werden Schadprogramme der Familie Rootkit.Win32.TDSS bekämpft?
Entpacke alle Dateien in einem eigenen Verzeichnis (z. B: C:\TDSS)!
Aufruf über den Explorer duch Doppelklick auf die TDSSKiller.exe.
Nach dem Start erscheint ein Fenster, dort dann "Start Scan".
Wenn der Scan fertig ist bitte "Report" anwählen. Es öffnet sich ein Fenster, den Text abkopieren und hier posten...

chris

erstmal vielen Dank für Deine bisherige Hilfe. Vielleicht bin ich ja auch zu zögerlich mit Combifix und wenn ihr mir hier helfen könnt bei Fragen, wäre das super.

Also, ich habe den MBR Check vollzogen und es zeigt folgendes an:

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Home Edition
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x000001fc

Kernel Drivers (total 126):
0x804D7000 \windows\system32\ntkrnlpa.exe
0x806E6000 \windows\system32\hal.dll
0xBA5A8000 \windows\system32\KDCOM.DLL
0xBA4B8000 \windows\system32\BOOTVID.dll
0xB9F78000 ACPI.sys
0xBA5AA000 \windows\system32\DRIVERS\WMILIB.SYS
0xB9F67000 pci.sys
0xBA0A8000 isapnp.sys
0xBA670000 pciide.sys
0xBA328000 \windows\system32\DRIVERS\PCIIDEX.SYS
0xBA0B8000 MountMgr.sys
0xB9F48000 ftdisk.sys
0xBA330000 PartMgr.sys
0xBA0C8000 VolSnap.sys
0xB9F30000 atapi.sys
0xB9F0C000 ]ETG@@J@
0xB9EF4000 \windows\system32\DRIVERS\SCSIPORT.SYS
0xBA0D8000 disk.sys
0xBA0E8000 \windows\system32\DRIVERS\CLASSPNP.SYS
0xB9ED4000 fltMgr.sys
0xB9EC2000 sr.sys
0xB9EAF000 TfSysMon.sys
0xB9E9E000 TfFsMon.sys
0xBA0F8000 PxHelp20.sys
0xB9E87000 KSecDD.sys
0xB9DFA000 Ntfs.sys
0xB9DCD000 NDIS.sys
0xB9DB3000 Mup.sys
0xBA308000 \SystemRoot\system32\DRIVERS\AmdK8.sys
0xBA318000 \SystemRoot\system32\DRIVERS\serial.sys
0xB9D49000 \SystemRoot\system32\DRIVERS\serenum.sys
0xB81EC000 \SystemRoot\system32\DRIVERS\parport.sys
0xBA128000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0xBA3E8000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xBA3F0000 \SystemRoot\system32\DRIVERS\nvsmu.sys
0xBA3F8000 \SystemRoot\system32\DRIVERS\usbohci.sys
0xB81C8000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xBA400000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xB81A0000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0xBA138000 \SystemRoot\system32\DRIVERS\nvnetbus.sys
0xB80B8000 \SystemRoot\system32\DRIVERS\NVNRM.SYS
0xBA148000 \SystemRoot\system32\DRIVERS\imapi.sys
0xBA158000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xBA168000 \SystemRoot\system32\DRIVERS\redbook.sys
0xB8095000 \SystemRoot\system32\DRIVERS\ks.sys
0xBA408000 \SystemRoot\System32\DRIVERS\InCDPass.sys
0xB7A08000 \SystemRoot\system32\DRIVERS\nv4_mini.sys
0xB79F4000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xBA7B6000 \SystemRoot\system32\DRIVERS\audstub.sys
0xBA178000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xB9D41000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xB79DD000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xBA188000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xBA198000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xBA410000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xB79CC000 \SystemRoot\system32\DRIVERS\psched.sys
0xBA1A8000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xBA418000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xBA420000 \SystemRoot\system32\DRIVERS\raspti.sys
0xBA1B8000 \SystemRoot\system32\DRIVERS\termdd.sys
0xBA428000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xBA5DE000 \SystemRoot\system32\DRIVERS\swenum.sys
0xB796E000 \SystemRoot\system32\DRIVERS\update.sys
0xBA540000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xBA288000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xBA2A8000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xBA5F2000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xB0309000 \SystemRoot\system32\DRIVERS\NVENETFD.sys
0xAD882000 \SystemRoot\system32\drivers\RtkHDAud.sys
0xAD85E000 \SystemRoot\system32\drivers\portcls.sys
0xB02D9000 \SystemRoot\system32\drivers\drmk.sys
0xB06FC000 \SystemRoot\System32\Drivers\i2omgmt.SYS
0xBA59C000 \SystemRoot\system32\DRIVERS\hidusb.sys
0xAFB8B000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0xAF66B000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0xAF4C0000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS
0xBA66C000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xBA685000 \SystemRoot\System32\Drivers\Null.SYS
0xBA66E000 \SystemRoot\System32\Drivers\Beep.SYS
0xBA490000 \SystemRoot\System32\drivers\vga.sys
0xBA5AC000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xBA5AE000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xBA5B0000 \SystemRoot\System32\Drivers\InCDrec.SYS
0xAAC69000 \SystemRoot\System32\Drivers\InCDfs.SYS
0xBA438000 \SystemRoot\System32\Drivers\Msfs.SYS
0xBA440000 \SystemRoot\System32\Drivers\Npfs.SYS
0xAFC13000 \SystemRoot\system32\DRIVERS\rasacd.sys
0xAAC56000 \SystemRoot\system32\DRIVERS\ipsec.sys
0xAABFD000 \SystemRoot\system32\DRIVERS\tcpip.sys
0xAABD5000 \SystemRoot\system32\DRIVERS\netbt.sys
0xAABAF000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xAAB8D000 \SystemRoot\System32\drivers\afd.sys
0xB0FF1000 \SystemRoot\system32\DRIVERS\mouhid.sys
0xBA258000 \SystemRoot\system32\DRIVERS\netbios.sys
0xBA2D8000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xBA4A0000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0xAAB62000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xA94F5000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xB0AC4000 \SystemRoot\System32\Drivers\Fips.SYS
0xA6CE9000 \SystemRoot\system32\DRIVERS\avkmgr.sys
0xA617A000 \SystemRoot\system32\DRIVERS\avipbb.sys
0xB066D000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xA9690000 \SystemRoot\System32\Drivers\dump_diskdump.sys
0xA5FC2000 \SystemRoot\System32\Drivers\dump_nvgts.sys
0xBF800000 \SystemRoot\System32\win32k.sys
0xA8E1D000 \SystemRoot\System32\drivers\Dxapi.sys
0xB0975000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xBA6F6000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF012000 \SystemRoot\System32\nv4_disp.dll
0xBF597000 \SystemRoot\System32\ATMFD.DLL
0xA5A48000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0xB8218000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0xA59E5000 \SystemRoot\system32\drivers\xpsec.sys
0xA598C000 \SystemRoot\system32\drivers\xcpip.sys
0xA571F000 \SystemRoot\system32\drivers\wdmaud.sys
0xA7108000 \SystemRoot\system32\drivers\sysaudio.sys
0xBA5EE000 \SystemRoot\System32\Drivers\ParVdm.SYS
0xA5421000 \SystemRoot\system32\DRIVERS\srv.sys
0xA4EB8000 \SystemRoot\System32\Drivers\HTTP.sys
0xA4FA1000 \??\C:\windows\system32\drivers\TfNetMon.sys
0xA65C6000 \SystemRoot\System32\Drivers\TDTCP.SYS
0xA4D2D000 \SystemRoot\System32\Drivers\RDPWD.SYS
0xA4D78000 \SystemRoot\system32\DRIVERS\psi_mf.sys
0xBA460000 \??\C:\windows\system32\drivers\mbamswissarmy.sys
0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 58):
0 System Idle Process
4 System
748 C:\WINDOWS\system32\smss.exe
852 csrss.exe
912 C:\WINDOWS\system32\winlogon.exe
972 C:\WINDOWS\system32\services.exe
984 C:\WINDOWS\system32\lsass.exe
1164 C:\WINDOWS\system32\svchost.exe
1204 C:\WINDOWS\system32\svchost.exe
1316 C:\WINDOWS\system32\svchost.exe
1336 C:\Programme\Ahead\InCD\InCDsrv.exe
1544 svchost.exe
1576 svchost.exe
1764 C:\WINDOWS\system32\spoolsv.exe
1816 C:\Programme\Avira\AntiVir Desktop\sched.exe
584 C:\WINDOWS\explorer.exe
1476 C:\WINDOWS\system32\rundll32.exe
1488 C:\WINDOWS\RTHDCPL.exe
1536 C:\Programme\Winamp\winampa.exe
2008 C:\Program Files\Real\RealPlayer\Update\realsched.exe
2052 C:\Programme\Avira\AntiVir Desktop\avgnt.exe
2064 C:\Programme\ThreatFire\TFTray.exe
2076 C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
2084 C:\Programme\phonostar\ps_agent.exe
2096 C:\Programme\phonostar\ps_timer.exe
2132 C:\WINDOWS\system32\ctfmon.exe
2196 C:\Programme\Secunia\PSI\psi_tray.exe
2252 C:\Programme\OpenOffice.org 3\program\soffice.exe
2348 C:\Programme\OpenOffice.org 3\program\soffice.bin
3620 C:\Programme\Avira\AntiVir Desktop\avguard.exe
3660 C:\Programme\Firebird\Firebird_2_1\bin\fbguard.exe
3772 C:\Programme\Java\jre6\bin\jqs.exe
3840 C:\WINDOWS\system32\nvsvc32.exe
3868 locator.exe
532 C:\Programme\Secunia\PSI\psia.exe
2356 C:\Programme\Avira\AntiVir Desktop\avshadow.exe
2736 C:\WINDOWS\system32\svchost.exe
2804 C:\Programme\ThreatFire\TFService.exe
3528 C:\Programme\Firebird\Firebird_2_1\bin\fbserver.exe
4052 C:\WINDOWS\system32\wbem\wmiapsrv.exe
2176 alg.exe
2520 C:\Programme\Secunia\PSI\sua.exe
3084 C:\Programme\Avira\AntiVir Desktop\avcenter.exe
3180 C:\Programme\Avira\AntiVir Desktop\avscan.exe
3212 C:\WINDOWS\system32\vssvc.exe
3100 C:\WINDOWS\system32\dllhost.exe
2744 C:\WINDOWS\system32\dllhost.exe
2848 msdtc.exe
2604 D:\Tag der Einheit\opera.exe
948 C:\Dokumente und Einstellungen\Jan93\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe
1796 C:\Dokumente und Einstellungen\Jan93\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe
308 C:\Dokumente und Einstellungen\Jan93\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe
3140 C:\Dokumente und Einstellungen\Jan93\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe
3328 C:\Dokumente und Einstellungen\Jan93\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe
260 C:\Dokumente und Einstellungen\Jan93\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe
592 C:\Dokumente und Einstellungen\Jan93\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe
4604 C:\Dokumente und Einstellungen\Jan93\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe
2772 D:\Umgewandelte Musik\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x0000000c`34f34a00 (NTFS)

PhysicalDrive0 Model Number: ST3500410AS, Rev: CC34

Size Device Name MBR Status
--------------------------------------------
465 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11


Done!

Der TDSS Killer findet Sinowal und zeigt an:

\Device\Harddisc0\DRO (Backdoor.Win32Sinowal.knf)

Sonst keine infizierten Dateien. Ich weiß auch nicht, wie ich einen Report bekomme.


Und nun? Bitte helfe mir weiter? Das Programm zeigt an, dass dieses Sinowal Teil nach einem Reboot "Cure" wird? Soll ich den Computer neu starten? Bitte um Hilfe.

Ich habe jetzt den TDSS Killer noch einmal durchlaufen lassen. Jetzt findet er keine Bedrohung oder Sinowal Datei mir. Ist sie gelöscht bereits?

Ich muss jetzt doch noch einmal nachfragen, nachdem ich hier meine Log Files gepostet habe.
Wie schaut es aus mit meinem PC? Neuinstallation oder was würdet ihr empfehlen?

Viele Grüße und ein frohes Fest Euch allen

Hi,

wenn möglich neuinstallieren...
TDSS-Killer zeigt mit CURE an, das beim nächsten Systemstart versucht wird die Bedrohung zu "beseitigen"...
DAs hat wohl geklapptl...

MAM updaten und einen neuen Fullscann und ein neues OTL.exe-Log posten...

Malwarebytes Antimalware (MAM)
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html
Falls der Download nicht klappt, bitte hierüber eine generische Version runterladen:
http://filepony.de/download-chameleon/
Danach bitte update der Signaturdateien (Reiter "Update" -> Suche nach Aktualisierungen")
Fullscan und alles bereinigen lassen! Log posten.

chris

Erstmal vielen Dank für Deine bisherigen Bemühungen. Ich möchte natürlich eine Neuinstallation vermeiden, wenn es geht. Also, Malewarbytes habe ich aktualisert und er hat drei Funde gehabt, u. a. einem Backdoor Virus. Hier zunächst die OTL Daten:
OTL EXTRAS Logfile:

Code: Alles auswählenAufklappen

ATTFilter

OTL Extras logfile created on: 25.12.2011 15:49:56 - Run 1
OTL by OldTimer - Version 3.2.31.0     Folder = C:\Dokumente und Einstellungen\Jan93\Desktop
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,94 Gb Total Physical Memory | 2,18 Gb Available Physical Memory | 74,19% Memory free
4,78 Gb Paging File | 4,01 Gb Available in Paging File | 83,91% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\windows | %ProgramFiles% = C:\Programme
Drive C: | 48,83 Gb Total Space | 17,48 Gb Free Space | 35,80% Space Free | Partition Type: NTFS
Drive D: | 416,92 Gb Total Space | 233,10 Gb Free Space | 55,91% Space Free | Partition Type: NTFS
 
Computer Name: JAN | User Name: Jan93 | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.html [@ = Opera.HTML] -- D:\Tag der Einheit\Opera.exe (Opera Software)
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = Opera.HTML] -- D:\Tag der Einheit\Opera.exe (Opera Software)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
http [open] -- "C:\Programme\Opera\opera.exe"
https [open] -- "C:\Programme\Opera\opera.exe"
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Directory [Winamp.Bookmark] -- "C:\Programme\Winamp\Winamp.exe" /BOOKMARK "%1" (Nullsoft)
Directory [Winamp.Enqueue] -- "C:\Programme\Winamp\Winamp.exe" /ADD "%1" (Nullsoft)
Directory [Winamp.Play] -- "C:\Programme\Winamp\Winamp.exe" "%1" (Nullsoft)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall" = 1
"DisableNotifications" = 0
"DoNotAllowExceptions" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"3389:TCP" = 3389:TCP:*:Enabled:Remote Desktop
"65533:TCP" = 65533:TCP:*:Enabled:Services
"52344:TCP" = 52344:TCP:*:Enabled:Services
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"3389:TCP" = 3389:TCP:*:Enabled:Remote Desktop
"65533:TCP" = 65533:TCP:*:Enabled:Services
"52344:TCP" = 52344:TCP:*:Enabled:Services
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\windows\TEMP\tidy.tmp\svchost.exe" = C:\windows\TEMP\tidy.tmp\svchost.exe:*:Enabled:svchost
"D:\Tag der Einheit\opera.exe" = D:\Tag der Einheit\opera.exe:*:Enabled:Opera Internet Browser -- (Opera Software)
"C:\Programme\Java\jre6\bin\javaw.exe" = C:\Programme\Java\jre6\bin\javaw.exe:*:Enabled:Java(TM) Platform SE binary -- (Sun Microsystems, Inc.)
"C:\Programme\VideoLAN\VLC\vlc.exe" = C:\Programme\VideoLAN\VLC\vlc.exe:*:Disabled:VLC media player -- ()
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0138F525-6C8A-333F-A105-14AE030B9A54}" = Visual C++ 9.0 CRT (x86) WinSXS MSM
"{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{20C45B32-5AB6-46A4-94EF-58950CAF05E5}" = EPSON Attach To Email
"{22B0E143-2B0B-435B-9F56-136A3D16065F}" = No23 Recorder
"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java(TM) 6 Update 30
"{26A24AE4-039D-4CA4-87B4-2F83216022F0}" = Java(TM) 6 Update 22
"{2A88F1BF-7041-4E42-84B1-6B4ACB83AC64}" = EPSON Scan Assistant
"{2EB81825-E9EE-44F4-8F51-1240C3898DC6}" = EPSON File Manager
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{4286716B-1287-48E7-9078-3DC8248DBA96}" = OpenOffice.org 3.3
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{612C34C7-5E90-47D8-9B5C-0F717DD82726}" = swMSM
"{67EDD823-135A-4D59-87BD-950616D6E857}" = EPSON Copy Utility 3
"{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}" = Windows Media Player Firefox Plugin
"{710f4c1c-cc18-4c49-8cbf-51240c89a1a2}" = Microsoft Visual C++ 2005 Redistributable
"{7F14F68C-17FA-4F88-B3FD-7F449C1EBF32}" = EPSON Web-To-Page
"{8DAC1AE4-33D1-4A78-8A42-00E09EDECC3E}" = Camera RAW Plug-In for EPSON Creativity Suite
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9BE518E6-ECC6-35A9-88E4-87755C07200F}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A8D93648-9F7F-407D-915C-62044644C3DA}" = MSI to redistribute MS VS2005 CRT libraries
"{AC76BA86-7AD7-1031-7B44-A94000000001}" = Adobe Reader 9.4.7 - Deutsch
"{AC76BA86-7AD7-5464-3428-900000000004}" = Spelling Dictionaries Support For Adobe Reader 9
"{ACF60000-22B9-4CE9-98D6-2CCF359BAC07}" = ABBYY FineReader 6.0 Sprint
"{B66E665A-DF96-4C38-9422-C7F74BC1B4E5}" = EPSON Easy Photo Print
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C151CE54-E7EA-4804-854B-F515368B0798}" = AMD Processor Driver
"{C2C284D2-6BD7-3B34-B0C5-B2CAED168DF7}" = Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU
"{C314CE45-3392-3B73-B4E1-139CD41CA933}" = Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}" = Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"3554AA4B-9B0B-451a-A269-2B5F53982209_is1" = ThreatFire
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Adobe Shockwave Player" = Adobe Shockwave Player 11.6
"Amazon MP3-Downloader" = Amazon MP3-Downloader 1.0.9
"Audiograbber" = Audiograbber 1.83 SE 
"Audiograbber-Lame" = Audiograbber Lame-MP3-Plugin
"Avira AntiVir Desktop" = Avira Free Antivirus
"Benutzerhandbuch ESDX5000_CX4900" = Benutzerhandbuch ESDX5000_CX4900
"CCleaner" = CCleaner
"Elf_1.15 Toolbar" = Elf 1.15 Toolbar
"EPSON Printer and Utilities" = EPSON-Drucker-Software
"EPSON Scanner" = EPSON Scan
"FBDBServer_2_1_is1" = Firebird 2.1.4.18393 (Win32)
"FileZilla Client" = FileZilla Client 3.5.0
"Free YouTube to MP3 Converter_is1" = Free YouTube to MP3 Converter version 3.10.11.923
"Glary Registry Repair_is1" = Glary Registry Repair 3.3.0.852
"ie8" = Windows Internet Explorer 8
"InCD!UninstallKey" = InCD
"InstallShield_{20C45B32-5AB6-46A4-94EF-58950CAF05E5}" = EPSON Attach To Email
"JDownloader" = JDownloader
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware Version 1.51.2.1300
"Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Mozilla Firefox 9.0 (x86 en-GB)" = Mozilla Firefox 9.0 (x86 en-GB)
"Nero - Burning Rom!UninstallKey" = Nero 6 Ultra Edition
"NeroVision!UninstallKey" = NeroVision Express 3
"NVIDIA Drivers" = NVIDIA Drivers
"Opera 11.51.1087" = Opera 11.51
"phonostar3RadioPlayer_is1" = phonostar-Player Version 3.02.4
"phonostarRadioPlayer_is1" = phonostar-Player Version 2.01.5
"RolandRDID0079" = EDIROL UA-25EX Driver
"Secunia PSI" = Secunia PSI (2.0.0.4003)
"Security Task Manager" = Security Task Manager 1.7h
"Virtual DJ - Atomix Productions" = Virtual DJ - Atomix Productions
"VLC media player" = VLC media player 1.1.11
"VoiceSwitch 1.4" = VoiceSwitch 1.4
"Winamp" = Winamp (nur entfernen)
"Winamp Toolbar" = Winamp Toolbar
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"WinGimp-2.0_is1" = GIMP 2.6.6
"WinRAR archiver" = WinRAR
 
========== HKEY_CURRENT_USER Uninstall List ==========
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Google Chrome" = Google Chrome
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 21.11.2011 05:38:18 | Computer Name = JAN | Source = Microsoft Security Client | ID = 5000
Description = 
 
Error - 21.11.2011 05:38:21 | Computer Name = JAN | Source = Microsoft Security Client | ID = 1001
Description = 
 
Error - 20.12.2011 04:28:00 | Computer Name = JAN | Source = ESENT | ID = 490
Description = svchost (1248) Versuch, Datei "C:\windows\system32\CatRoot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb"
 für den Lese-/Schreibzugriff zu öffnen, ist mit Systemfehler 32 (0x00000020): "Der
 Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet
 wird. " fehlgeschlagen. Fehler -1032 (0xfffffbf8) beim Öffnen von Dateien.
 
Error - 20.12.2011 04:28:01 | Computer Name = JAN | Source = ESENT | ID = 490
Description = svchost (1248) Versuch, Datei "C:\windows\system32\CatRoot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb"
 für den Lese-/Schreibzugriff zu öffnen, ist mit Systemfehler 32 (0x00000020): "Der
 Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet
 wird. " fehlgeschlagen. Fehler -1032 (0xfffffbf8) beim Öffnen von Dateien.
 
Error - 20.12.2011 04:28:02 | Computer Name = JAN | Source = ESENT | ID = 490
Description = svchost (1248) Versuch, Datei "C:\windows\system32\CatRoot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb"
 für den Lese-/Schreibzugriff zu öffnen, ist mit Systemfehler 32 (0x00000020): "Der
 Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet
 wird. " fehlgeschlagen. Fehler -1032 (0xfffffbf8) beim Öffnen von Dateien.
 
Error - 22.12.2011 16:02:14 | Computer Name = JAN | Source = LoadPerf | ID = 3001
Description = Der Wert für die Namenszeichenfolge im Leistungsindikator in der Registrierung
ist
 falsch formatiert. Die ungültige Zeichenfolge ist 10958 und der ungültige  Indexwert
 ist das erste DWORD im Datenbereich, während die letzten gültigen  Indexwerte die
 zweiten und dritten DWORD im Datenbereich sind.
 
Error - 22.12.2011 16:02:14 | Computer Name = JAN | Source = LoadPerf | ID = 3001
Description = Der Wert für die Namenszeichenfolge im Leistungsindikator in der Registrierung
ist
 falsch formatiert. Die ungültige Zeichenfolge ist 10958 und der ungültige  Indexwert
 ist das erste DWORD im Datenbereich, während die letzten gültigen  Indexwerte die
 zweiten und dritten DWORD im Datenbereich sind.
 
Error - 22.12.2011 16:02:14 | Computer Name = JAN | Source = LoadPerf | ID = 3011
Description = Fehler beim Herunterladen der Zeichenfolgen der Leistungsindikatoren
 für  Dienst WmiApRpl (WmiApRpl). Der Fehlercode ist das erste DWORD im Datenbereich.
 
Error - 22.12.2011 16:02:17 | Computer Name = JAN | Source = LoadPerf | ID = 3001
Description = Der Wert für die Namenszeichenfolge im Leistungsindikator in der Registrierung
ist
 falsch formatiert. Die ungültige Zeichenfolge ist 10958 und der ungültige  Indexwert
 ist das erste DWORD im Datenbereich, während die letzten gültigen  Indexwerte die
 zweiten und dritten DWORD im Datenbereich sind.
 
Error - 23.12.2011 03:45:25 | Computer Name = JAN | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung no23 recorder.exe, Version 2.1.0.3, fehlgeschlagenes
 Modul kernel32.dll, Version 5.1.2600.5781, Fehleradresse 0x00012afb.
 
[ System Events ]
Error - 22.12.2011 17:23:57 | Computer Name = JAN | Source = sr | ID = 1
Description = Beim Verarbeiten der Datei "" auf Volume "HarddiskVolume1" ist im 
Wiederherstellungsfilter der unerwartete Fehler "0xC0000001" aufgetreten. Die Volumeüberwachung
 wurde angehalten.
 
Error - 22.12.2011 18:05:04 | Computer Name = JAN | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "netman"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {BA126AE5-2166-11D1-B1D0-00805FC1270E}
 
Error - 22.12.2011 18:05:16 | Computer Name = JAN | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "EventSystem"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {1BE1F766-5536-11D1-B726-00C04FB926AF}
 
Error - 22.12.2011 18:05:24 | Computer Name = JAN | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {A1F4E726-8CF1-11D1-BF92-0060081ED811}
 
Error - 22.12.2011 18:05:24 | Computer Name = JAN | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {A1F4E726-8CF1-11D1-BF92-0060081ED811}
 
Error - 22.12.2011 18:06:21 | Computer Name = JAN | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "netman"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {BA126AE5-2166-11D1-B1D0-00805FC1270E}
 
Error - 22.12.2011 18:06:26 | Computer Name = JAN | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "EventSystem"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {1BE1F766-5536-11D1-B726-00C04FB926AF}
 
Error - 23.12.2011 06:36:56 | Computer Name = JAN | Source = Service Control Manager | ID = 7000
Description = Der Dienst "MBAMSwissArmy" wurde aufgrund folgenden Fehlers nicht 
gestartet:   %%2
 
Error - 23.12.2011 07:17:53 | Computer Name = JAN | Source = Service Control Manager | ID = 7009
Description = Zeitüberschreitung (30000 ms) beim Verbindungsversuch mit Dienst Secunia
 Update Agent.
 
Error - 23.12.2011 07:17:53 | Computer Name = JAN | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Secunia Update Agent" wurde aufgrund folgenden Fehlers
 nicht gestartet:   %%1053
 
[ TuneUp Events ]
Error - 28.09.2009 15:28:14 | Computer Name = JAN | Source = TuneUp Program Statistics | ID = 131840
Description = 
 
Error - 19.10.2009 13:52:55 | Computer Name = JAN | Source = TuneUp Program Statistics | ID = 131840
Description = 
 
 
< End of report >
         

--- --- ---

Und hier der Malewarebytes Report. Vergessen habe ich zu erwähnen, dass der PC neuerdings eine fehlende DLL Verbindung immer beim Hochbooten anzeigt. Gibt es dafür vielleicht ein gutes Reperaturprogramm. Wenn der Sinowal wirklich weg wäre, wäre das ja echt super:

Malwarebytes' Anti-Malware 1.51.2.1300
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: 911122502

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

25.12.2011 16:58:27
mbam-log-2011-12-25 (16-58-27).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 279752
Laufzeit: 59 Minute(n), 34 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
d:\eigene dateien\My Music\downloadsetup (82).exe (Affiliate.Downloader) -> Quarantined and deleted successfully.
d:\TL\TL 1109\voiceswitch_setup.exe (Adware.Onlinegames) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\Jan93\startmenü\programme\autostart\0.02444490307348912.exe.lnk (Backdoor.Agent) -> Quarantined and deleted successfully.

Hi,

welche dll fehlt?
Die Firewall muss noch dicht gemacht werden (tidy.tmp\svchost.exe)..

Chris

Hi Chris,

vielen Dank Dir bzw. dem Troyaner Board.
Der verfluchte Synowal ist weg!!!
Ich habe gerade nochmal im abgesicherten Modus Anti Vir laufen lassen und das Programm findet auch nichts mehr.
Echt super. Die Kiste läuft seitdem auch wie geölt.
Selbst die fehlende DLL wird jetzt nicht mehr angezeigt.

Was die Firewall betrifft: Soll ich da ein Programm deinstallieren? Ich weiß nicht genau, welches Programm gemeint ist. Zusätzlich habe ich Anti Vir, Threatfire und seit Kurzem Secnuia PSI. Letzteres könnte ich ohne Probleme entfernen. Ich hatte es nur draufgepackt, als ich mit dem Sinuwal nicht weiterkam bzw. hier nicht gefragt habe.

PS Das einzig Auffällige ist bei meinem PC (aber das Problem habe ich schon länger), dass er beim Hochbooten eine fehlende Datei anzeigt (wenn der Bildschirm noch schwarz ist), hat aber bisher keine weiteren Probleme verursacht.

Hi,

Fix für OTL:

• Doppelklick auf die OTL.exe, um das Programm auszuführen.

• Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.

• Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"

Code: Alles auswählenAufklappen

ATTFilter

:reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = dword:0x00


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\windows\TEMP\tidy.tmp\svchost.exe"=-

:Commands
[emptytemp]
[Reboot]
         

• Den roten Run Fixes! Button anklicken.

• Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.

• Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:

• %systemroot%\_OTL

Lass mal CCleaner laufen...

chris