Hallo an netten Helfer,
Avira meldet seit einiger Zeit wiederholt den "Bootsektorvirus BOO/Sinowal.A". Alle Versuche ihn zu entfernen sind leider gescheitert, was mich nach Studium der hiesigen Beiträge jetzt nicht mehr wundert. Heute wurden dann auch noch die beiden o. g. Trojaner gemeldet.
Vielleicht kann mir jemand helfen diese Schädlinge DAUERHAFT zu entfernen.
Bin nicht gerade PC-Profi, wurschtel mich so durch und bin für jeden Tip dankbar.


Hier schon mal die Meldung von AVIRA:
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Dienstag, 15. Juli 2008 10:02

Es wird nach 1422663 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: (hab ich mal lieber rausgelöscht)
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: BUERO-01

Versionsinformationen:
BUILD.DAT : 8.1.0.308 16478 Bytes 28.5.2008 17:02:00
AVSCAN.EXE : 8.1.2.12 311553 Bytes 18.3.2008 09:02:52
AVSCAN.DLL : 8.1.1.0 57601 Bytes 30.1.2008 15:10:50
LUKE.DLL : 8.1.2.9 151809 Bytes 28.2.2008 08:41:20
LUKERES.DLL : 8.1.2.0 12545 Bytes 19.2.2008 08:39:40
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.7.2007 10:33:34
ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.6.2008 06:05:23
ANTIVIR2.VDF : 7.0.5.105 821248 Bytes 13.7.2008 06:05:36
ANTIVIR3.VDF : 7.0.5.107 5120 Bytes 14.7.2008 06:05:37
Engineversion : 8.1.0.64
AEVDF.DLL : 8.1.0.5 102772 Bytes 25.2.2008 09:58:21
AESCRIPT.DLL : 8.1.0.46 283002 Bytes 14.7.2008 06:05:49
AESCN.DLL : 8.1.0.22 119157 Bytes 22.6.2008 09:12:46
AERDL.DLL : 8.1.0.20 418165 Bytes 13.6.2008 06:22:45
AEPACK.DLL : 8.1.1.6 364918 Bytes 22.6.2008 09:12:46
AEOFFICE.DLL : 8.1.0.20 192891 Bytes 22.6.2008 09:12:45
AEHEUR.DLL : 8.1.0.35 1298806 Bytes 14.7.2008 06:05:47
AEHELP.DLL : 8.1.0.15 115063 Bytes 13.6.2008 06:22:40
AEGEN.DLL : 8.1.0.29 307573 Bytes 22.6.2008 09:12:40
AEEMU.DLL : 8.1.0.6 430451 Bytes 13.6.2008 06:22:39
AECORE.DLL : 8.1.0.32 168311 Bytes 14.7.2008 06:05:38
AVWINLL.DLL : 1.0.0.7 14593 Bytes 23.1.2008 17:05:55
AVPREF.DLL : 8.0.0.1 25857 Bytes 18.2.2008 10:29:37
AVREP.DLL : 7.0.0.1 155688 Bytes 16.4.2007 13:25:52
AVREG.DLL : 8.0.0.0 30977 Bytes 23.1.2008 17:05:52
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.2.2008 08:29:19
AVEVTLOG.DLL : 8.0.0.11 114945 Bytes 28.2.2008 08:31:27
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.1.2008 17:28:02
SMTPLIB.DLL : 1.2.0.19 28929 Bytes 23.1.2008 17:06:34
NETNT.DLL : 8.0.0.1 7937 Bytes 25.1.2008 12:05:07
RCIMAGE.DLL : 8.0.0.35 2371841 Bytes 10.3.2008 14:34:46
RCTEXT.DLL : 8.0.32.0 86273 Bytes 6.3.2008 11:58:49

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\- privat\computer\virenschutz\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: reparieren
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:, E:, F:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel
Abweichende Gefahrenkategorien...: +APPL,+PCK,+SPR,

Beginn des Suchlaufs: Dienstag, 15. Juli 2008 10:02

Der Suchlauf nach versteckten Objekten wird begonnen.
Fehler in der ARK Lib

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FINDFAST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EXCEL.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WINWORD.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EXCEL.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLSched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'tcpsvcs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IoctlSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NBService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MZCCntrl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleUpdaterService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLMLService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLMLServer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLCapSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'cisvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BTNtService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'OSA.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FINDFAST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SchSvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dit.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AGRSMMSG.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '44' Prozesse mit '44' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[FUND] Enthält Erkennungsmuster des Bootsektorvirus BOO/Sinowal.A
[HINWEIS] Der Bootsektor wurde nicht repariert
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Das Gerät ist nicht bereit.
Masterbootsektor HD3
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Das Gerät ist nicht bereit.
Masterbootsektor HD4
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Das Gerät ist nicht bereit.

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'F:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.

Die Registry wurde durchsucht ( '19' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <BOOT>
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Christoph\Lokale Einstellungen\Temporary Internet Files\Content.IE5\HOTEB2VP\common.v0.6[1].js
[FUND] Enthält verdächtigen Code: HEUR/HTML.Malware
[HINWEIS] Der Fund wurde als verdächtig eingestuft.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 48e95cc0.qua erstellt ( QUARANTÄNE )
C:\System Volume Information\_restore{258190E1-38FB-49D6-B96F-C7205C6BB1B6}\RP47\A0013906.exe
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\System Volume Information\_restore{258190E1-38FB-49D6-B96F-C7205C6BB1B6}\RP47\A0014434.exe
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\System Volume Information\_restore{258190E1-38FB-49D6-B96F-C7205C6BB1B6}\RP70\A0024606.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 48ac6525.qua erstellt ( QUARANTÄNE )
C:\System Volume Information\_restore{258190E1-38FB-49D6-B96F-C7205C6BB1B6}\RP70\A0025582.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 48ac6526.qua erstellt ( QUARANTÄNE )
Beginne mit der Suche in 'D:\' <BACKUP>
Beginne mit der Suche in 'E:\' <RECOVER>
Beginne mit der Suche in 'F:\' <DATEN>


Ende des Suchlaufs: Dienstag, 15. Juli 2008 11:39
Benötigte Zeit: 1:36:50 min

Der Suchlauf wurde vollständig durchgeführt.

17336 Verzeichnisse wurden überprüft
550831 Dateien wurden geprüft
3 Viren bzw. unerwünschte Programme wurden gefunden
1 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
1 Viren bzw. unerwünschte Programme wurden repariert
3 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
4 Dateien konnten nicht durchsucht werden
550827 Dateien ohne Befall
34251 Archive wurden durchsucht
7 Warnungen
4 Hinweise
57857 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden


Sowie HJT-File:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:59:56, on 15.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WIN-XP\System32\smss.exe
C:\WIN-XP\system32\winlogon.exe
C:\WIN-XP\system32\services.exe
C:\WIN-XP\system32\lsass.exe
C:\WIN-XP\system32\Ati2evxx.exe
C:\WIN-XP\system32\svchost.exe
C:\WIN-XP\System32\svchost.exe
C:\WIN-XP\system32\Ati2evxx.exe
C:\WIN-XP\system32\spoolsv.exe
C:\Programme\- Privat\Computer\Virenschutz\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WIN-XP\Explorer.EXE
C:\Programme\- Privat\Computer\Virenschutz\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WIN-XP\AGRSMMSG.exe
C:\WIN-XP\system32\RunDll32.exe
C:\WIN-XP\Dit.exe
C:\WIN-XP\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\- Privat\Video\InterVideo\WinDVD4PR\SchSvr.exe
C:\Programme\- Privat\Video\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Microsoft Office\Office\FINDFAST.EXE
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\- Verbindungen\KlickTel\Klick Tel 2007\KSTART32.EXE
C:\Programme\- Privat\Computer\Virenschutz\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\- Verbindungen\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WIN-XP\system32\cisvc.exe
C:\Programme\- Privat\Video\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\Programme\- Privat\Video\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WIN-XP\system32\IoctlSvc.exe
C:\WIN-XP\system32\tcpsvcs.exe
C:\WIN-XP\System32\svchost.exe
C:\Programme\- Privat\Video\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WIN-XP\system32\wuauclt.exe
c:\programme\- privat\computer\virenschutz\avira\antivir personaledition classic\avcenter.exe
C:\WIN-XP\system32\notepad.exe
C:\Programme\- Privat\Computer\Virenschutz\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O2 - BHO: (no name) - {FFFFFFA2-C40D-475D-8C91-9A9876ACFCDD} - C:\PROGRA~1\klickTel\KLICKT~1\KTTOOL~1.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &klickTel Toolbar - {FFFF8BAD-BB43-4A08-8258-BFB40A29FBD7} - C:\PROGRA~1\klickTel\KLICKT~1\KTTOOL~1.DLL
O4 - HKLM\..\Run: [avgnt] "C:\Programme\- Privat\Computer\Virenschutz\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [ctfmon.exe] C:\WIN-XP\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WIN-XP\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WIN-XP\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WIN-XP\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WIN-XP\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: Telefon- und Branchenbuch Herbst 2007 - Schnellstarter.lnk = C:\Programme\- Verbindungen\KlickTel\Klick Tel 2007\KSTART32.EXE
O4 - Global Startup: InterVideo Scheduler server.lnk = C:\Programme\- Privat\Video\InterVideo\WinDVD4PR\SchSvr.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\- Privat\Video\InterVideo\Common\Bin\WinCinemaMgr.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WIN-XP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WIN-XP\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - h**p://w*w.adobe.com/products/acrobat/nos/gp.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C51B4B05-DD38-4BC9-BBCB-3E9C839CECBE}: NameServer = 217.237.151.205 217.237.148.70
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\- Privat\Computer\Virenschutz\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\- Privat\Computer\Virenschutz\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WIN-XP\system32\Ati2evxx.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\- Verbindungen\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\- Privat\Video\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\- Privat\Video\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\- Privat\Video\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WIN-XP\system32\IoctlSvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 7398 bytes

Ich hoffe, ich hab´ keine zu bearbeitenden Links übersehen und warte gespannt auf Tipps !!!

Hey Krifi,

also ich habe die zwei Trojaner ebenfalls auf dem Rechner gehabt und hab hier auch nach Hilfe gefragt.

Neuaufsetzen war der Rat ^^

Ich fürchte das musst du auch machen aber warte besser auf die Experten-Tipps. Will dich nur vorwarnen

Die blöden Mistviecher

Hallo Manju,

Ich hatte Deinen Beitrag schon gelesen und glaube/hoffe, daß Du wegen der "ntos.exe" neuinstallieren solltest.

Werde also Deinem Rat folgen und mal lieber auf die experten warten, vielleicht hab´ ich ja etwas mehr Glück - mache mich aber besser schon mal mit dem worst case vertraut ...


PS: Ist schön im Allgäu, war gerade im Urlaub da.

Zitat:

Zitat von Krifi

Ich hatte Deinen Beitrag schon gelesen und glaube/hoffe, daß Du wegen der "ntos.exe" neuinstallieren solltest.

Genau so ist es..


Hallo Krifi und





Lade dir bitte mbr detector herunter, führe ihn aus und poste das Log hier.


Erstelle außerdem ein Log mit

Cureit Dr.Web

• Downloade Dr.Web CureIt!
• Speichere es auf deinem Desktop.
• Entpacke es in einen eigenen Ordner.
• Lies nun zuerst die deutsche Anleitung und drucke sie dir aus.

• Lass alle Malware in den Quarantaene Ordner verschieben.
• Ignoriere eventuelle Warnungen seitens deines AV Programms, du kannst auch offline gehen und dann dein AV Programm während des Scannens mit Dr. Web CureIt! abstellen.
• Vergiss bitte nicht, dein AV Programm nach dem Scan wieder anzustellen.

• Speichere das Logfile - siehe Anleitung - und poste es.

So, da bin ich wieder

Der mbr.detector hat folgendes Log-File ergeben:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x12a18ac1 size 0x1e4 !
copy of MBR has been found in sector 62 !


Dr.Web Cureit habe ich wie angegeben heruntergeladen, entpackt und nach Anleitung eingestellt. Dann (nach Anleitung) einen Komplettscan gemacht, der über 6 Std gedauert hat. Die-Log-Datei ist mit über 92 MB entsprechend groß ausgefallen: 27162 Word-Seiten (kein Scherz)! Ich glaube nicht, das ich das hier wirklich so posten soll. Es gibt aber einen (kürzeren) Prüfbericht, der als Excel-Datei gespeichert wurde:

mzccntrl.exe;c:\programme\gemeinsame dateien\marmiko shared;Adware.Msearch.origin;Falscher Pfad zur Datei ;
proxy.exe;C:\Programme\- Privat\PC-Zubehör\Proxy\AnalogX\Proxy;Program.AnalogProxy;Verschoben.;
MZCCntrl.exe;C:\Programme\Gemeinsame Dateien\Marmiko Shared;Adware.Msearch.origin;Verschoben.;
Dc237.exe\327882R2FWJFW\psexec.cfexe;C:\RECYCLER\S-1-5-21-746137067-2139871995-1801674531-1004\Dc237.exe;Program.PsExec.171;;
Dc237.exe;C:\RECYCLER\S-1-5-21-746137067-2139871995-1801674531-1004;Archiv enthält infizierte Objekte;Verschoben.;
0025582.exe;C:\System Volume Information\_restore{258190E1-38FB-49D6-B96F-C7205C6BB1B6}\RP70;Trojan.Packed.511;Verschoben.;
A0026297.exe;C:\System Volume Information\_restore{258190E1-38FB-49D6-B96F-C7205C6BB1B6}\RP72;Program.AnalogProxy;Verschoben.;
A0026299.exe;C:\System Volume Information\_restore{258190E1-38FB-49D6-B96F-C7205C6BB1B6}\RP72;Adware.Msearch.origin;Verschoben.;
A0026301.exe\327882R2FWJFW\psexec.cfexe;C:\System Volume Information\_restore{258190E1-38FB-49D6-B96F-C7205C6BB1B6}\RP72\A0026301.exe;Program.PsExec.171;;
A0026301.exe;C:\System Volume Information\_restore{258190E1-38FB-49D6-B96F-C7205C6BB1B6}\RP72;Archiv enthält infizierte Objekte;Verschoben.;
970303EL.TXT.lnk;D:\Sicherheitskopien\Datensicherung vom 15.06.2008\- Betrieb\Archiv\Alle Jahre\4 - Rechnungen;Modifikation von Win32.Bumblebee.3864;Verschoben.;
A0010196.lnk;D:\System Volume Information\_restore{258190E1-38FB-49D6-B96F-C7205C6BB1B6}\RP46;Modifikation von Win32.Bumblebee.3864;Verschoben.;
A0026307.lnk;D:\System Volume Information\_restore{258190E1-38FB-49D6-B96F-C7205C6BB1B6}\RP72;Modifikation von Win32.Bumblebee.3864;Verschoben.;
970303EL.TXT.lnk;F:\Eigene Dateien\- Betrieb\Archiv\Alle Jahre\4 - Rechnungen;Modifikation von Win32.Bumblebee.3864;Verschoben.;
970303EL.TXT.lnk;M:\- Betrieb\Archiv\Alle Jahre\4 - Rechnungen;Modifikation von Win32.Bumblebee.3864;;


Auch wenn Ihr das wahrscheinlich selber seht ein kuzer Hinweis:
Der Eintrag der ersten Zeile stammt wohl aus dem Expreßscan, den ich beim Starten von CureIT nicht umgehen konnte. Der Trojaner (oder was auch immer das ist) wurde dann beim Komplettscan nocheinmal gefunden und verschoben, darum die Angabe "falscher Pfad".

Das wars erst mal. Falls ich Euch die Log-Datei irgendwie anders doch noch schicken soll müsste ich nur wissen, wie Ihr das haben wollt.

Auf jeden Fall schon mal: Danke für die Hilfe

LG, Krifi

Ach ja, doch noch was:

Ich hab´ in der (kurzen) Wartezeit nach meiner ersten Problemschilderung in einigen Beiträgen vom CCleaner gelesen, diesen heruntergeladen und einmal durchlaufen lassen.
Könnte ja sein, dass Ihr sonst in den mbr.- und Cureit.Logs nach mittlerweile verschwundenen Einträgen/Dateien sucht.
Ich hoffe, das war jetzt kein Fehler.

Liebe Grüße und bis morgen

Krifi

Ich will ja (wirklich) nicht drängeln, aber wie geht´s denn jetzt weiter ...
Kann ich die Dateien aus der Quarantäne jetzt einfach löschen und sind die dann auch wirklich weg ???

Ich sehe einfach mal regelmäßig rein. Hab eh noch ein anderes Problem mit Vernetzung und Internetzugang. Macht Ihr hier nur Beratung in Bezug auf Viren, Würmer und Trojaner oder helft Ihr an anderer Foren-Stelle auch bei Netzwerkproblemen ?

Liebe Grüße und DANKE schon mal.

Ich

Ich habe jetzt ein paar Tage nichts von Euch gehört also versuch ich es noch mal.
Habe nochmal mbr laufen lassen, hier das log-file:

Stealth MBR rootkit detector 0.2.4 by Gmer, h**p://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x12a18ac1 size 0x1e4 !
copy of MBR has been found in sector 62 !



Und hier die Berichtsdatei von DrWeb:

proxy.exe;C:\Programme\- Verbindungen\Proxy\AnalogX\Proxy;Program.AnalogProxy;Verschoben.;
proxyi-setup.exe;C:\Programme\- Verbindungen\Proxy\AnalogX\Proxy\Setup;Program.AnalogProxy;Verschoben.;
A0024606.exe;C:\System Volume Information\_restore{258190E1-38FB-49D6-B96F-C7205C6BB1B6}\RP70;Trojan.Packed.511;Verschoben.;
A0025582.exe;C:\System Volume Information\_restore{258190E1-38FB-49D6-B96F-C7205C6BB1B6}\RP70;Trojan.Packed.511;Verschoben.;
A0026483.exe;C:\System Volume Information\_restore{258190E1-38FB-49D6-B96F-C7205C6BB1B6}\RP76;Program.AnalogProxy;Verschoben.;
A0027676.exe;C:\System Volume Information\_restore{258190E1-38FB-49D6-B96F-C7205C6BB1B6}\RP79;Program.AnalogProxy;Verschoben.;
A0027677.exe;C:\System Volume Information\_restore{258190E1-38FB-49D6-B96F-C7205C6BB1B6}\RP79;Program.AnalogProxy;Verschoben.;
A0026487.exe;D:\System Volume Information\_restore{258190E1-38FB-49D6-B96F-C7205C6BB1B6}\RP76;Program.AnalogProxy;Verschoben.;
Df3.exe;F:\RECYCLER\S-1-5-21-746137067-2139871995-1801674531-1004;Program.AnalogProxy;Verschoben.;
A0027678.exe;F:\System Volume Information\_restore{258190E1-38FB-49D6-B96F-C7205C6BB1B6}\RP79;Program.AnalogProxy;Verschoben.;
970303EL.TXT.lnk;M:\- Betrieb\Archiv\Alle Jahre\4 - Rechnungen;Modifikation von Win32.Bumblebee.3864;;

Was mache ich jetzt damit ???

Liebe Grüße

Ich habe hier jetzt leider seit einer Woche nichts mehr gehört und mich entschlossen, das System neu aufzusetzen.
Weil ich dazu uch ein paar Fragen habe und das Thema ja eigentlich nicht hierhin gehört, habe ich wegen des Neu-Aufsetzens ein neues Thema an anderer Stelle in diesem Forum aufgemacht. Ich hoffe, das wird jetzt nicht als Cross-Posting angesehen.
Dieses Thema hier hat sich damit natürlich erstmal erledigt und könnte geschlossen werden.

Liebe Grüße und danke nochmal

Krifi

Entschuldige @Sunny wenn ich hier mal dazwischen poste.
Krifi in deinem andere Post schreibst du, dass du die NTOS.EXE
auf deinem Rechner gefunden hast.
Da gibt es eigentlich nur eines, Neuaufsetzen und anschließend alle Zugangskennungen ändern.
Da hast du bestimmt schon einige Programme über dein System laufen lassen bevor du hier gepostet hast.
Deine Partition mit den MP3 und anderen, da wirst du eine Sicherung auf eine CD ev. DVD machen müssen oder aber auf eine exterene Platte.
Die internen HDD müssen dann auch alle geplättet werden.
Wie es mit der Recoverpartition gehen soll, muss ich erst noch rausfinden. Vielleicht kann dir auch Sunny helfen.

Den MBR kannst du auch manuell reparieren:

Zitat:

Gehen Sie folgendermaßen vor, um die Wiederherstellungskonsole von der Windows XP-Startdiskette oder der Windows XP-CD-ROM zu starten:
1. Legen Sie die Windows XP-Startdiskette in das Diskettenlaufwerk ein, oder legen Sie die Windows XP-CD-ROM in das CD-ROM-Laufwerk ein, und starten Sie den Computer anschließend erneut.

Wenn Sie dazu aufgefordert werden, wählen Sie alle Optionen aus, die für einen Start des Computers von CD-ROM erforderlich sind.
2. Wenn die Willkommensseite angezeigt wird, starten Sie mit der Taste [R] die Wiederherstellungskonsole.
3. Wählen Sie die Installation aus, auf die Sie von der Wiederherstellungskonsole aus zugreifen möchten, falls Sie über ein Dual-Boot- oder Multiple-Boot-System verfügen.
4. Geben Sie das Administratorkennwort ein, wenn Sie dazu aufgefordert werden. Wenn es sich bei dem Administratorkennwort um ein leeres Kennwort handelt, drücken Sie einfach die [EINGABETASTE].
5. Geben Sie an der Eingabeaufforderung die erforderlichen Befehle ein, um Ihre Windows XP-Installation zu diagnostizieren und zu reparieren.

In deinem Fall:

Zitat:

fixmbr \device\harddisk1

Achte auf das Leerzeichen zwischen fixmbr und \device!
mfg

@blow-in
Ja, das hatte ich befürchtet. Sind so etwa 50 GB zu sichern (stöhn) - aber wenn´s denn sein muß.
Ich hatte gehofft, dass ich erst die eine Partition runderneuere, dann die Daten-Dateien von einer auf die andere Partition rüberziehen kann, um dann die nächste Partition zu formatieren ...

@Dark Viruz
Bin leider Laie und brauche noch ein paar Erklärungen:

Muß ich denn nun doch ganz neu aufsetzen oder nicht ?
Was ist denn eigentlich MBR ?
Was passiert wenn ich "fixmbr \device\harddisk1 " eingebe - Werden dabei Daten gelöscht ???

Kenne mich leider nicht so gut aus und bin etwas vorsichtig, weil eigentlich zur Zeit alles ganz prima läuft.


Auf jedenfall beiden DANKE,
bin ganz erleichtert, dass sich hier jemand um mich kümmert:aplaus:

LG - Krifi

Also, zu deinen Fragen:

Zitat:

Muß ich denn nun doch ganz neu aufsetzen oder nicht ?

Es führt leider kein Weg davon vorbei, das musst du machen, nachdem der MBR erneuert wurde.

Zitat:

Was ist denn eigentlich MBR ?

MBR auch Master Boot Record, hier dazu mehr => Link

Zitat:

Was passiert wenn ich "fixmbr \device\harddisk1 " eingebe - Werden dabei Daten gelöscht ???

Dadurch wird der durch Sinowal befallene MBR gelöscht und erneuert.
Datenverluste können eintreten, müssen aber nicht.

Zu deinem Backup-Problem:
In Zukunft könntest du auch ein Backup-Programm installieren, das macht das Neuaufsetzen einfacher.

mfg

Ok - Dann greife ich jetzt erst mal den MBR an.

Ich melde mich wieder

Ok, viel Erfolg dabei.

Und Neuaufsetzen musst du nicht wegen dem ZBot, sondern wegen Sinowal

mfg