Hallo,

ich habe heute von meiner Antiviren SW den Hinweis bekommen, dass mit "BDS/Sinowal.knfal" ein Maleware Programm die Bootsektoren (von HDD C und D) auf meinem Rechner befallen hat.

Leider konnte ich diese SW mit meinem Möglichkeiten/Fähigkeiten nicht beseitigen.

Auf der Suche nach Unterstützung bin ich im Netz auf Ihrer Seite hoffentlich fündig geworden...

Ich habe die von Ihnen genannten Scanns durchgeführt und die Logdateien angehängt.

Ich hoffe, hier kann mir jemand helfen.

Herzliche Grüße
Josef

Hi,

Rootkit...


Fix für OTL

• Doppelklick auf die OTL.exe, um das Programm auszuführen.

• Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.

• Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O33 - MountPoints2\{3da51ba9-bbcb-11dd-b610-00038a000015}\Shell\AutoRun\command - "" = bo1dhu.bat
O33 - MountPoints2\{3da51ba9-bbcb-11dd-b610-00038a000015}\Shell\explore\Command - "" = bo1dhu.bat
O33 - MountPoints2\{3da51ba9-bbcb-11dd-b610-00038a000015}\Shell\open\Command - "" = bo1dhu.bat
O4 - HKLM..\Run: []  File not found
DRV - File not found [Kernel | On_Demand | Running] --  -- (xpsec)
DRV - File not found [Kernel | On_Demand | Running] --  -- (xcpip)

:reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = dword:0x00

:Commands
[emptytemp]
[Reboot]
         

• Den roten Run Fixes! Button anklicken.

• Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.

• Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:

• %systemroot%\_OTL

TDSS-Killer
Download und Anweisung unter: Wie werden Schadprogramme der Familie Rootkit.Win32.TDSS bekämpft?
Entpacke alle Dateien in einem eigenen Verzeichnis (z. B: C:\TDSS)!
Aufruf über den Explorer duch Doppelklick auf die TDSSKiller.exe.
Nach dem Start erscheint ein Fenster, dort dann "Start Scan".
Wenn der Scan fertig ist bitte "Report" anwählen. Es öffnet sich ein Fenster, den Text abkopieren und hier posten...

Superantispyware (SASW):
http://www.trojaner-board.de/51871-a...tispyware.html

chris

Hallo Chris,

danke für Deinen schnelle Antwort, ich habe Deine Anweisungen hoffentlich richtig ausgeführt....

im Anhang die OTL Removedatei, die erzeugt wurde nachdem ich Dein Script habe laufen lassen.

Dann habe ich einen Scan mit TDSS durchgeführt, "BDS/Sinowal.knfal" war leider noch immer da...

Der Scan mit SUPERAntiSpyware hat das Logfile, ebenfalls im Anhang, ergeben.

Übrigens meldet Antivir, das ein Autorun Prozess von Festplatte D (Backup Patition) blockiert wurde, das war vorher (vor dem Befall) nicht so....

Wie geht es nun weiter?

Josef

Hallo Chris,

habe eben nach dem Neustart des Rechners, festgestellt, dass die Meldung "BDS/Sinowal.knfal" nicht mehr kommt :-)

Der Scan in den Bootsektoren der beiden Festplatten hat ebenfalls keinen Alarm gebracht...

... bedeutet das, dass der Rechner wieder sauber ist?

Lediglich die Meldung, dass "D:\Autorun.inf" von Antivir geblockt wurde kommt noch immer...

Wenn wir/Du das noch beseitigen könnten, wäre ich wunschlos glücklich.

Schon mal herzlichen Dank

Josef

Hi,

bitte neues OTL-Log...
ÜBer autorun.in installieren sich die Viecher gern mal automatisch, AVIRA blockt das in den Standardeisntellungen...

chris

Hallo,

hier die OTL Datei, ich hoffe ich hatte die Einstellungen von OTL richtig..

VG
Josef

Hi,

• Doppelklick auf die OTL.exe, um das Programm auszuführen.

• Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.

• Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"

Code: Alles auswählenAufklappen

ATTFilter

:reg
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:0xbd
[Reboot]
         

• Den roten Run Fixes! Button anklicken.

• Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.

• Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:

• %systemroot%\_OTL

Du solltest auf D: eine autorun.inf finden, die löschen...

chris

Hallo chris,

danke!

========== REGISTRY ==========
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\"NoDriveTypeAutoRun"|dword:0xbd /E : value set successfully!

OTL by OldTimer - Version 3.2.31.0 log created on 12292011_194649
=============================

Das Löschen der Datei gelingt nicht, da es sich bei dem Laufwerk D um die Recovery Partitons des Hersteller HP handelt und ich den Schreibschutz nicht aufheben kann, obwohl ich bei den Eigenschafften, den Hacken für Schreibschutz entfernen kann, bleibt dieser bestehn.

============================

Wiederherstellungspartition
Achtung!

Dieser Bereich Ihrer Festplatte (oder Partition)
enthält Dateien, die für die Wiederherstellung
des Systems benötigt werden.

Löschen oder ändern Sie diese Dateien nicht.

Wenn Sie Änderungen an dieser Partition vornehmen,
kann sie unter Umständen für die Wiederherstellung
nicht mehr verwendet werden.
===============================


Was kann ich noch machen.

danke
Josef

Hi,

kommt die Meldung von Avira noch?
Kannst versuchen die Datei als Ausnahme hinzuzufügen, oder die Blockade von autorun aufheben (was gefährlich ist, wenn Du öfters fremde USB-Sticks/Festplatten ansteckst)..
Avira-Personal: (Konfiguration | Guard | Suche | Aktion bei Fund | Autostart-Funktion blockieren)
Avira-Premium: (Konfiguration | Guard | Suche | Weitere Aktionen | Autostart-Funktion blockieren)

chris

Hallo chris4you,

ich habe an AVIRA nicht geändert und trotzdem ist jetzt Ruhe, ich danke Dir für Deine Unterstützung und werde das Trojaner Board weiterempfehlen...

VG und einen guten Rutsch ins neue Jahr!

Josef