| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Malware Sinowal.knfal bei XPWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
29.12.2011, 22:30
| #1 |
 |  Malware Sinowal.knfal bei XP Guten Abend, ich habe zu Weihnachten eine Malware names Sinowal.knfal bekommen. Ich habe mir auch schon combofix runtergeladen und kann auch schon einen log - Editor präsentieren. Wer möchte mir (kleinem dummchen) weiterhelfen? ComboFix 11-12-29.04 - hPeh 29.12.2011 22:08:43.1.1 - x86 Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1023.632 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\hPeh\Desktop\ComboFix.exe AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7} . . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . . . \\.\PhysicalDrive0 - Bootkit Sinowal was found and disinfected . \\.\PhysicalDrive0 - Bootkit Sinowal was found and disinfected . ((((((((((((((((((((((( Dateien erstellt von 2011-11-28 bis 2011-12-29 )))))))))))))))))))))))))))))) . . 2011-12-29 20:28 . 2011-12-29 20:28 -------- d-----w- c:\programme\CCleaner 2011-12-25 11:53 . 2011-12-25 11:53 -------- d-----w- c:\programme\Gemeinsame Dateien\xing shared 2011-12-05 19:14 . 2011-12-05 19:14 -------- d-----w- c:\dokumente und einstellungen\hPeh\Lokale Einstellungen\Anwendungsdaten\Thunderbird 2011-12-05 19:14 . 2011-12-05 19:14 -------- d-----w- c:\dokumente und einstellungen\hPeh\Anwendungsdaten\Thunderbird 2011-12-05 19:13 . 2011-12-05 19:14 -------- d-----w- c:\programme\Mozilla Thunderbird . . . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2011-12-25 11:52 . 2010-09-26 13:41 499712 ----a-w- c:\windows\system32\msvcp71.dll 2011-12-25 11:52 . 2010-09-26 13:41 348160 ----a-w- c:\windows\system32\msvcr71.dll 2011-11-23 14:40 . 2008-04-14 12:00 1859712 ----a-w- c:\windows\system32\win32k.sys 2011-11-20 20:35 . 2011-06-13 19:13 414368 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl 2011-11-04 19:13 . 2008-04-14 12:00 916992 ----a-w- c:\windows\system32\wininet.dll 2011-11-04 19:13 . 2008-04-14 12:00 43520 ----a-w- c:\windows\system32\licmgr10.dll 2011-11-04 19:13 . 2008-04-14 12:00 1469440 ----a-w- c:\windows\system32\inetcpl.cpl 2011-11-04 11:23 . 2008-04-14 12:00 385024 ----a-w- c:\windows\system32\html.iec 2011-11-01 16:07 . 2008-04-14 12:00 1288704 ----a-w- c:\windows\system32\ole32.dll 2011-10-28 05:31 . 2008-04-14 12:00 33280 ----a-w- c:\windows\system32\csrsrv.dll 2011-10-26 10:49 . 2008-04-14 12:00 2195072 ----a-w- c:\windows\system32\ntoskrnl.exe 2011-10-26 10:49 . 2008-04-14 07:30 2071680 ----a-w- c:\windows\system32\ntkrnlpa.exe 2011-10-18 11:13 . 2008-04-14 12:00 186880 ----a-w- c:\windows\system32\encdec.dll 2011-10-10 14:22 . 2010-09-08 11:05 692736 ----a-w- c:\windows\system32\inetcomm.dll 2010-09-18 19:23 . 2010-09-18 19:23 159486 -c--a-w- c:\programme\SkypeSetup.exe . . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 . [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "hpWirelessAssistant"="c:\programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe" [2005-12-13 507904] "IntelZeroConfig"="c:\programme\Intel\Wireless\bin\ZCfgSvc.exe" [2005-09-27 667718] "IntelWireless"="c:\programme\Intel\Wireless\Bin\ifrmewrk.exe" [2005-09-27 602182] "SoundMAXPnP"="c:\programme\Analog Devices\SoundMAX\SMax4PNP.exe" [2004-10-14 1388544] "AGRSMMSG"="AGRSMMSG.exe" [2004-08-24 88363] "ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2006-03-08 344064] "avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-11-17 281768] "AppleSyncNotifier"="c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleSyncNotifier.exe" [2011-04-20 58656] "Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2011-06-06 937920] "DivXUpdate"="c:\programme\DivX\DivX Update\DivXUpdate.exe" [2011-03-21 1230704] "SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2011-04-08 254696] "QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2011-07-05 421888] "iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2011-07-19 421736] "TkBellExe"="c:\programme\real\realplayer\update\realsched.exe" [2011-12-25 273528] . [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] . c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\ BTTray.lnk - c:\programme\WIDCOMM\Bluetooth Software\BTTray.exe [2006-2-27 581693] . [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusOverride"=dword:00000001 . [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\SopCast\\adv\\SopAdver.exe"= "c:\\Programme\\SopCast\\SopCast.exe"= "c:\\Programme\\Azureus\\Azureus.exe"= "c:\\Programme\\Cue.Play.SetList\\Cue.Play.SetList.exe"= "c:\\Dokumente und Einstellungen\\hPeh\\Desktop\\tinyumbrella-4.33.00.exe"= "c:\\Programme\\Gemeinsame Dateien\\Apple\\Apple Application Support\\WebKit2WebProcess.exe"= "c:\\Programme\\Bonjour\\mDNSResponder.exe"= "c:\\Programme\\iTunes\\iTunes.exe"= . [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "3389:TCP"= 3389:TCP:Remote Desktop "65533:TCP"= 65533:TCP:Services "52344:TCP"= 52344:TCP:Services . R2 acedrv11;acedrv11;c:\windows\system32\drivers\acedrv11.sys [24.02.2010 11:22 185472] R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [08.09.2010 13:57 136360] R3 GTIPCI21;GTIPCI21;c:\windows\system32\drivers\gtipci21.sys [08.09.2010 13:04 87936] R3 libusb0;LibUsb-Win32 - Kernel Driver, Version 0.1.12.1;c:\windows\system32\drivers\libusb0.sys [08.05.2011 19:52 28672] S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [17.09.2010 18:53 136176] S3 2aqc_.sys;2aqc_.sys;\??\c:\windows\system32\drivers\2aqc_.sys --> c:\windows\system32\drivers\2aqc_.sys [?] S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\Google\Update\GoogleUpdate.exe [17.09.2010 18:53 136176] S3 xcpip;TCP/IP-Protokolltreiber;c:\windows\system32\drivers\xcpip.sys --> c:\windows\system32\drivers\xcpip.sys [?] S3 xpsec;IPSEC-Treiber;c:\windows\system32\drivers\xpsec.sys --> c:\windows\system32\drivers\xpsec.sys [?] . Inhalt des "geplante Tasks" Ordners . 2011-12-17 c:\windows\Tasks\AppleSoftwareUpdate.job - c:\programme\Apple Software Update\SoftwareUpdate.exe [2009-10-22 15:57] . 2011-12-29 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job - c:\programme\Google\Update\GoogleUpdate.exe [2010-09-17 17:53] . 2011-12-29 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job - c:\programme\Google\Update\GoogleUpdate.exe [2010-09-17 17:53] . 2011-12-29 c:\windows\Tasks\RealUpgradeLogonTaskS-1-5-21-1935655697-2052111302-1417001333-1003.job - c:\programme\Real\RealUpgrade\realupgrade.exe [2011-09-27 12:40] . 2011-12-29 c:\windows\Tasks\RealUpgradeScheduledTaskS-1-5-21-1935655697-2052111302-1417001333-1003.job - c:\programme\Real\RealUpgrade\realupgrade.exe [2011-09-27 12:40] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.google.de/ uInternet Connection Wizard,ShellNext = "c:\programme\Outlook Express\msimn.exe" uInternet Settings,ProxyOverride = *.local IE: Google Sidewiki... - c:\programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_D183CA64F05FDD98.dll/cmsidewiki.html IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 IE: Senden an &Bluetooth - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm TCP: DhcpNameServer = 192.168.2.1 DPF: {45A0A292-ECC6-4D8F-9EA9-A4BD411D24C1} - hxxp://www.king.com/ctl/kingcomie.cab . - - - - Entfernte verwaiste Registrierungseinträge - - - - . WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file) . . . ************************************************************************** . catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net Rootkit scan 2011-12-29 22:15 Windows 5.1.2600 Service Pack 3 NTFS . Scanne versteckte Prozesse... . Scanne versteckte Autostarteinträge... . Scanne versteckte Dateien... . Scan erfolgreich abgeschlossen versteckte Dateien: 0 . ************************************************************************** . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- . - - - - - - - > 'winlogon.exe'(892) c:\windows\system32\Ati2evxx.dll . Zeit der Fertigstellung: 2011-12-29 22:17:06 ComboFix-quarantined-files.txt 2011-12-29 21:16 . Vor Suchlauf: 6 Verzeichnis(se), 83.267.006.464 Bytes frei Nach Suchlauf: 8 Verzeichnis(se), 83.316.158.464 Bytes frei . WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons UnsupportedDebug="do not select this" /debug multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect . - - End Of File - - 38C30FE14C00BB8A485DBD6DF7830D53 |
|
29.12.2011, 23:01
| #2 |
  | Malware Sinowal.knfal bei XP Hi,
__________________TDSS-Killer Download und Anweisung unter: Wie werden Schadprogramme der Familie Rootkit.Win32.TDSS bekämpft? Entpacke alle Dateien in einem eigenen Verzeichnis (z. B: C:\TDSS)! Aufruf über den Explorer duch Doppelklick auf die TDSSKiller.exe. Nach dem Start erscheint ein Fenster, dort dann "Start Scan". Wenn der Scan fertig ist bitte "Report" anwählen. Es öffnet sich ein Fenster, den Text abkopieren und hier posten... Malwarebytes Antimalware (MAM) Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html Falls der Download nicht klappt, bitte hierüber eine generische Version runterladen: http://filepony.de/download-chameleon/ Danach bitte update der Signaturdateien (Reiter "Update" -> Suche nach Aktualisierungen") Fullscan und alles bereinigen lassen! Log posten. OTL Lade Dir OTL von Oldtimer herunter (http://filepony.de/download-otl/) und speichere es auf Deinem Desktop
chris
__________________ |
|
29.12.2011, 23:13
| #3 |
| | Malware Sinowal.knfal bei XP Hallo,
__________________ich habe das mit dem TDSS Killer gemacht, aber ich kann nicht Report auswählen, denn er schreibt: Threats detected und ich soll mich entscheiden zwischen: Copy all to quarantine oder Restore deafult actions Was soll ich nun tun? Muss ich eigentlich alles, von dir genannte durchführen? Gleichzeitig oder nacheinander? Kriegen wir das wieder hin? Geändert von sfaxia (29.12.2011 um 23:34 Uhr) |
|
30.12.2011, 07:27
| #4 |
| | Malware Sinowal.knfal bei XP Hi, kommt darauf an was erkannt wurde... poste einen screenshot... ;o)... Nacheinander durchführen, erst den Killer dann MAM (unter dem Mantel des 'Rootkits kann nach dessen "Terminierung" noch so einiges anderes zum Vorschein kommen)... chris
__________________  Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden  ) |
|
| Themen zu Malware Sinowal.knfal bei XP |
| adobe, antivir, avg, avgnt, avira, bonjour, combofix, dateien, desktop, einstellungen, excel, google, libusb0.sys, log, malware, mozilla, opera, programme, scan, security, senden, software, system, tiere, windows, windows xp, winlogon.exe |
Linear-Darstellung
