| |
| |||||||
Log-Analyse und Auswertung: BOO/Sinowal.A AW undorealWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
17.07.2008, 10:05
| #1 |
 |  BOO/Sinowal.A AW undoreal Hallo undoreal, vielen Dank für Deine schnelle Antwort, die ich heute morgen aus der Mülltonne gefischt habe. Zur Aktualisierung der Sachlage nochmal eine Kopie davon: Hallo Patatakia. GMER - Rootkit Detection * Lade GMER von hier * entpacke es auf den Dektop * Dopperlklicke die gmer.exe * Der Reiter Rootkit oben ist schon angewählt * Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern * nach Beendigung des Scan, drücke "Copy" * nun kannst Du das Ergebnis hier posten * Sollte GMER sagen "Gmer hasen´t found any System Modifikation", so hat GMER keine Einträge gefunden. Blacklight bitte laufen lassen und das log posten.. evtl. Funde bitte umbennen/beheben lassen! __________________ . Gruß For a new monitor nail here Undoreal Ich habe nun also GMER laufen lassen, hier das Ergebnis. Blacklight schicke ich später. Viele Grüße - Patatakia GMER 1.0.14.14536 - http://www.gmer.net Rootkit scan 2008-07-17 11:05:15 Windows 5.1.2600 Service Pack 1 ---- System - GMER 1.0.14 ---- SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwConnectPort [0xF5CB7040] SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateFile [0xF5CB3930] SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateKey [0xF5CBEA80] SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreatePort [0xF5CB7510] SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateProcess [0xF5CBD870] SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateProcessEx [0xF5CBDAA0] SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateSection [0xF5CC0FD0] SSDT F8A4216C ZwCreateThread SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateWaitablePort [0xF5CB7600] SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwDeleteFile [0xF5CB3F20] SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwDeleteKey [0xF5CBF6E0] SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwDeleteValueKey [0xF5CBF440] SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwDuplicateObject [0xF5CBD580] SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwLoadKey [0xF5CBF8B0] SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwOpenFile [0xF5CB3D70] SSDT F8A42158 ZwOpenProcess SSDT F8A4215D ZwOpenThread SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwRenameKey [0xF5CC0250] SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwReplaceKey [0xF5CBFCB0] SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwRequestWaitReplyPort [0xF5CB6C00] SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwRestoreKey [0xF5CC0080] SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwSecureConnectPort [0xF5CB7220] SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwSetInformationFile [0xF5CB4120] SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwSetValueKey [0xF5CBF140] SSDT F8A42167 ZwTerminateProcess SSDT F8A42162 ZwWriteVirtualMemory ---- Kernel code sections - GMER 1.0.14 ---- .text ntoskrnl.exe!KeInitializeInterrupt + B67 804DA23C 1 Byte [ 06 ] .text ntoskrnl.exe!KeI386Call16BitCStyleFunction + 188 80502604 4 Bytes [ 40, 70, CB, F5 ] .text ntoskrnl.exe!KeI386Call16BitCStyleFunction + 1A0 8050261C 4 Bytes [ 30, 39, CB, F5 ] .text ntoskrnl.exe!KeI386Call16BitCStyleFunction + 1B0 8050262C 4 Bytes JMP 674FF5CB .text ntoskrnl.exe!KeI386Call16BitCStyleFunction + 1C4 80502640 12 Bytes [ 10, 75, CB, F5, 70, D8, CB, ... ] .text ntoskrnl.exe!KeI386Call16BitCStyleFunction + 1D4 80502650 4 Bytes [ D0, 0F, CC, F5 ] .text ... ? srescan.sys Das System kann die angegebene Datei nicht finden. ! ---- Kernel IAT/EAT - GMER 1.0.14 ---- IAT \SystemRoot\System32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisCloseAdapter] [F5CBC320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) IAT \SystemRoot\System32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisOpenAdapter] [F5CBC1C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) IAT \SystemRoot\System32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisRegisterProtocol] [F5CBBCA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) IAT \SystemRoot\System32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisDeregisterProtocol] [F5CBBE10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) IAT \SystemRoot\System32\DRIVERS\psched.sys[NDIS.SYS!NdisDeregisterProtocol] [F5CBBE10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) IAT \SystemRoot\System32\DRIVERS\psched.sys[NDIS.SYS!NdisRegisterProtocol] [F5CBBCA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) IAT \SystemRoot\System32\DRIVERS\psched.sys[NDIS.SYS!NdisCloseAdapter] [F5CBC320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) IAT \SystemRoot\System32\DRIVERS\psched.sys[NDIS.SYS!NdisOpenAdapter] [F5CBC1C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisRegisterProtocol] [F5CBBCA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisCloseAdapter] [F5CBC320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisOpenAdapter] [F5CBC1C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisDeregisterProtocol] [F5CBBE10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) IAT \SystemRoot\System32\DRIVERS\tcpip.sys[NDIS.SYS!NdisCloseAdapter] [F5CBC320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) IAT \SystemRoot\System32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRegisterProtocol] [F5CBBCA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) IAT \SystemRoot\System32\DRIVERS\tcpip.sys[NDIS.SYS!NdisOpenAdapter] [F5CBC1C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) IAT \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisDeregisterProtocol] [F5CBBE10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) IAT \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRegisterProtocol] [F5CBBCA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) IAT \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisOpenAdapter] [F5CBC1C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) IAT \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisCloseAdapter] [F5CBC320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) IAT \SystemRoot\System32\drivers\afd.sys[ntoskrnl.exe!IoCreateFile] [F5CC9330] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) IAT \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisRegisterProtocol] [F5CBBCA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) IAT \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisDeregisterProtocol] [F5CBBE10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) IAT \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisCloseAdapter] [F5CBC320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) IAT \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisOpenAdapter] [F5CBC1C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) IAT \SystemRoot\System32\DRIVERS\srv.sys[ntoskrnl.exe!NtOpenFile] [F5CB4670] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) IAT \SystemRoot\System32\DRIVERS\srv.sys[ntoskrnl.exe!NtSetInformationFile] [F5CB45C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) IAT \SystemRoot\System32\DRIVERS\srv.sys[ntoskrnl.exe!IoCreateFile] [F5CB4770] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) IAT \SystemRoot\System32\DRIVERS\srv.sys[ntoskrnl.exe!NtCreateFile] [F5CB42D0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ---- Devices - GMER 1.0.14 ---- AttachedDevice \FileSystem\Ntfs \Ntfs avgntmgr.sys (Avira AntiVir File Filter Driver Manager/Avira GmbH) Device \Driver\Tcpip \Device\Ip vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) Device \Driver\Tcpip \Device\Tcp vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) Device \Driver\Tcpip \Device\Udp vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) Device \Driver\Tcpip \Device\RawIp vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) Device \Driver\Tcpip \Device\IPMULTICAST vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) AttachedDevice \FileSystem\Fastfat \Fat avgntmgr.sys (Avira AntiVir File Filter Driver Manager/Avira GmbH) ---- Disk sectors - GMER 1.0.14 ---- Disk \Device\Harddisk0\DR0 sector 61: malicious code @ sector 0x37e7d01 size 0x1a9 ---- EOF - GMER 1.0.14 ---- |
|
17.07.2008, 10:16
| #2 |
| /// AVZ-Toolkit Guru   | BOO/Sinowal.A AW undoreal Wechles Betriebssystem nutzt du?
__________________
__________________ |
|
17.07.2008, 10:20
| #3 |
| | BOO/Sinowal.A AW undoreal ...habe nun Blacklight laufen lassen - no hidden items found...
__________________die Textdatei sieht so aus: 07/17/08 11:08:06 [Info]: BlackLight Engine 1.0.70 initialized 07/17/08 11:08:06 [Info]: OS: 5.1 build 2600 (Service Pack 1) 07/17/08 11:08:07 [Note]: 7019 4 07/17/08 11:08:07 [Note]: 7005 0 07/17/08 11:08:14 [Note]: 7006 0 07/17/08 11:08:14 [Note]: 7011 1212 07/17/08 11:08:14 [Note]: 7035 0 07/17/08 11:08:15 [Note]: 7026 0 07/17/08 11:08:15 [Note]: 7026 0 07/17/08 11:08:18 [Note]: FSRAW library version 1.7.1024 07/17/08 11:18:57 [Note]: 7007 0 !!!DANKE!!! Patatakia |
|
17.07.2008, 10:25
| #4 |
| | BOO/Sinowal.A AW undoreal Betriebssystem: Windows XP Pro |
|
17.07.2008, 10:39
| #5 | |
| /// AVZ-Toolkit Guru | BOO/Sinowal.A AW undoreal Starte bitte die Windows Wiederherstellungskonsole. Zitat:
Code:
ATTFilter fixmbr \device\harddisk0
 Starte den Rechner danach neu und alles sollte sauber sein.
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
|
17.07.2008, 10:54
| #6 |
| | BOO/Sinowal.A AW undoreal Alles soweit klar. Nach der Eingabe des Befehls fixmbr... kommt allerdings eine Warnung: *** VORSICHT*** Der MBR scheint ungültig oder nicht standardmäßig zu sein. Wenn Sie den Vorgang fortetzen, wird FIXMBR möglicherweise die Partitionstabellen beschädigen. ...usw... EGAL?!? |
|
17.07.2008, 11:02
| #7 |
| /// AVZ-Toolkit Guru | BOO/Sinowal.A AW undoreal Bei solchen Aktionen kann man nie 100%tige Sicherheit gewährleisten aber wichtige Daten hast du eh noch nicht auf dem rechner oder? Wenn doch dann sichere diese bitte extern. Die Warnung sollte in Ordnung sein. Denn der MBR ist ja verändert worden..
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
|
17.07.2008, 11:12
| #8 |
| | BOO/Sinowal.A AW undoreal Habe die Meldung "Neuer MBR wurde einwandfrei geschrieben" erhalten. In der Hoffnung auf eine seuchenfreie Zeit verbleibe ich in INNIGER DANKBARKEIT AN UNDOREAL! Patatakia |
|
17.07.2008, 11:35
| #9 |
| | BOO/Sinowal.A AW undoreal ...zu früh gefreut... Antivir meldet erneut BOO/Sinowal.A in Masterbootsektor A. Und nu? Kannst Du mir bitte nochmal helfen? |
|
17.07.2008, 11:59
| #10 |
| /// AVZ-Toolkit Guru | BOO/Sinowal.A AW undoreal Wieviele Festplatten mit wievielen Partitionen hast du?
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
|
17.07.2008, 12:15
| #11 |
| | BOO/Sinowal.A AW undoreal 2 festplatten - drei partitionen alle formatiert vorher |
|
17.07.2008, 12:24
| #12 |
| /// AVZ-Toolkit Guru | BOO/Sinowal.A AW undoreal O.k. Wir versuchen das nochmal. RecoveryKonsole mit folgenden Befehlen (nacheinander ausführen): Code:
ATTFilter fixmbr \device\harddisk0
fixmbr \device\harddisk1
fixmbr \device\harddisk2
Danach formatiere beide Festplatten komplett und erstelle neue Partitionen. Das muss eigentlich klappen...
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
|
17.07.2008, 13:05
| #13 |
| | BOO/Sinowal.A AW undoreal edit: Bei Harddisk 0 und 1 war alles erfolgreich. Bei dem Befehl fixmbr... harddisk2 hat sich nix getan - aber ich formatiere jetzt mal. Sind irgendwelche Vorgaben für die Partitionen nötig? Geändert von Patatakia (17.07.2008 um 13:27 Uhr) |
|
17.07.2008, 15:21
| #14 | |
| /// AVZ-Toolkit Guru | BOO/Sinowal.A AW undorealZitat:
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
|
17.07.2008, 16:01
| #15 |
| | BOO/Sinowal.A AW undoreal OK... alles so gemacht, wie Du gesagt hast. AntiVir hat nichts mehr gefunden. Die Hoffnung ist auf einem neuen Höhenpunkt angekommen... Danke schön - ich hoffe zum letzten Mal  |
|
| Themen zu BOO/Sinowal.A AW undoreal |
| afd.sys, antivir, avg, avira, avira antivir, boo/sinowal.a, bytes, code, datei, device, drivers, einträge, ergebnis, filter, found, harddisk, log, malicious code, min, modifikation, monitor, ntoskrnl.exe, port, rootkit, scan, service, system, system32, udp, zwcreatekey |
Linear-Darstellung
