BOO/Sinowal.A bzw. Trojan.Mebroot.B

sT0309 · 19.07.2008, 10:29

Hallo,

mein System (Windows XP SP2 alle Fixe hat 2 Festplatten, intern 3 Partitionen und USB 1 Partition) hat sich erstmalig etwas eingefangen. Wüßte zu gern, wie das passieren konnte. Die Windows Firewall ist aktiv. Mein installiertes Avira Antivir meldet
"Masterbootsektor HD1
Enthält Code des Bootsektorvirus BOO/Sinowal.A"
Mit dem empfohlenen AntiVir Reparaturtool war kein Entfernen möglich.
Der OnlineScanner von BitDefender meldet u.a. "Trojan.Mebroot.B"

Ich bin für jede Hilfe dankbar. Im Folgenden poste ich diverse Logs.

Vielen Dank für Eure Mühe.
Gruß
sT

-------------------------------------------------------------------------
BitDefender Online Scanner
Bericht erstellt am: Sat, Jul 19, 2008 - 10:00:18
Zu prüfender Pfad: A:\;C:\;D:\;E:\;F:\;G:\;I:\;

Statistik

Zeit
08:08:04

Dateien
116778

Ordner
18510

Boot-Sektoren
6

Archive
1841

Komprimierte Dateien
10822

Ergebnisse

Erkannte Viren
7

Infizierte Dateien
8

verdächtige Dateien
0

Warnungen
0

Desinfiziert
0

Gelöscht
8

Engine-Info

Virensignaturen
1381978

Engine info
AVCORE v1.0 (build 2422) (i386) (Sep 25 2007 08:26:36)

Prüf-Plugins
16

Archiv-Plugins
43

Extraktions-Plugins
7

E-Mail-Plugins
6

System-Plugins
5

Prüfeinstellungen

Primäre Aktion
Desinfizieren

Sekundäre Aktion
Löschen

Heuristik
Ja

Warnungen aktivieren
Ja

Zu prüfende Erweiterungen
exe;com;dll;ocx;scr;bin;dat;386;vxd;sys;wdm;cla;class;ovl;ole;hlp;doc;dot;xls;ppt;wbk;wiz;pot;ppa;xla;xlt;vbs;vbe;mdb;rtf;htm;hta;html;xml;xtp;php;asp ;js;shs;chm;lnk;pif;prc;url;smm;pfd;msi;ini;csc;cmd;bas;

Auszuschließende Erweiterungen

E-Mails prüfen
Ja

Archive prüfen
Ja

Komprimierte Dateien prüfen
Ja

Dateien prüfen
Ja

Boot-Sektoren prüfen
Ja

Geprüfte Dateien
Status

C:\=>Master Boot Record 81
Infiziert: Trojan.Mebroot.B

C:\=>Master Boot Record 81
Gelöscht

C:\
Aktualisieren fehlgeschlagen

C:\Dokumente und Einstellungen\***\Eigene Dateien\SkiResortExtremeSetup-dm.exe
Erkannt: Adware.Trymedia.B.2

C:\Dokumente und Einstellungen\***\Eigene Dateien\SkiResortExtremeSetup-dm.exe
Gelöscht

C:\Programme\zip\ARISetup0642.exe=>(Instyler o)=>(Instyler Module 24)=>(NSIS o)=>lzma_nsis0001
Infiziert: Virtool.8828

C:\Programme\zip\ARISetup0642.exe=>(Instyler o)=>(Instyler Module 24)=>(NSIS o)=>lzma_nsis0001
Gelöscht

C:\Programme\zip\ARISetup0642.exe=>(Instyler o)=>(Instyler Module 24)=>(NSIS o)
Aktualisieren fehlgeschlagen

C:\WINDOWS\system32\xCmdSvc.exe
Erkannt: Spyware.Activitymonitor.B

C:\WINDOWS\system32\xCmdSvc.exe
Gelöscht

I:\bak\***\Eigene Dateien\SkiResortExtremeSetup-dm.exe
Erkannt: Adware.Trymedia.B.2

I:\bak\***ßEigene Dateien\SkiResortExtremeSetup-dm.exe
Gelöscht

I:\bak\Programme\zip\ARISetup0642.exe=>(Instyler o)=>(Instyler Module 24)=>(NSIS o)=>lzma_nsis0001
Infiziert: Virtool.8828

I:\bak\Programme\zip\ARISetup0642.exe=>(Instyler o)=>(Instyler Module 24)=>(NSIS o)=>lzma_nsis0001
Gelöscht

I:\bak\Programme\zip\ARISetup0642.exe=>(Instyler o)=>(Instyler Module 24)=>(NSIS o)
Aktualisieren fehlgeschlagen

I:\System Volume Information\_restore{77B8B555-8FCE-4983-B8B8-CCEC89590A98}\RP207\A0041310.exe
Erkannt: Adware.Trymedia.B.2

I:\System Volume Information\_restore{77B8B555-8FCE-4983-B8B8-CCEC89590A98}\RP207\A0041310.exe
Gelöscht

I:\tmpCopy\tools\***\tools\psexec.exe
Erkannt: Application.Remotelaunch.A

I:\tmpCopy\tools\***\tools\psexec.exe
Desinfektion fehlgeschlagen

I:\tmpCopy\tools\***\tools\psexec.exe
Gelöscht
-----------------------------------------------------------------------

Im Board habe das Prog. mbr gefunden.
Das Log sieht bei allen PArtitionen identisch aus.

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

----------------------------------------------------------------------
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:17:44, on 19.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Microsoft IntelliPoint\ipoint.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Cherry\KeyMan\KeyMan.exe
C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe
C:\Programme\DSL-Manager\DslMgr.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\cjpcsc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\Sandboxie\SbieSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Cherry\CDI\cdi.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\DSL-Manager\DslMgrSvc.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\cmd.exe
c:\programme\antivir personaledition classic\avcenter.exe
c:\programme\antivir personaledition classic\avscan.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32Info.exe
C:\Dokumente und Einstellungen\***\Eigene Dateien\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**t://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**t://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**t://w*w.t-online.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = h**t://go.microsoft.com/fwlink/?LinkId=54843
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [CherryKeyMan] "C:\Programme\Cherry\KeyMan\KeyMan.exe"
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [RoxWatchTray] "C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" /systray /nologon
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: DSL-Manager.lnk = C:\Programme\DSL-Manager\DslMgr.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: DSL-Manager.lnk = C:\Programme\DSL-Manager\DslMgr.exe (User 'Default user')
O4 - Startup: DSL-Manager.lnk = C:\Programme\DSL-Manager\DslMgr.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Zahlungserinnerung.lnk = C:\Programme\Profi cash\wzed.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Send to Keyman - C:\Programme\Cherry\KeyMan\IEMenuExtKeyman.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\npjpi150_10.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\npjpi150_10.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**t://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - h**t://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - h**t://w*w.bitdefender.de/scan_de/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**t://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1130186325765
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - h**t://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {A8482EAF-A1F3-4934-AE3F-56EB195A50BF} (DeskUpdate - Activex Control) - h**t://support.fujitsu-siemens.de/DeskUpdate/isapi/activex.cab
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - h**t://support.f-secure.com/ols/fscax.cab
O16 - DPF: {E1E73B44-2D20-47A9-9CA2-B534CEBBF856} (F-Secure Health Check 1.0) - h**t://support.f-secure.com/enu/home/onlineservices/fshc/fscax.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B4CAF770-3B10-49A7-9F84-19FFADEE0F27}: NameServer = 217.237.150.51 217.237.148.22
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Cherry Device Interface - Cherry Gmbh, Auerbach Germany, w*w.cherry.de - C:\Programme\Cherry\CDI\cdi.exe
O23 - Service: cyberJack PC/SC COM Service (cjpcsc) - REINER SCT - C:\WINDOWS\system32\cjpcsc.exe
O23 - Service: DeskFlash Kernel Service Instant (DfKrnlInstant) - Unknown owner - C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\flash\systemb\omf\dfkrnl.exe (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Hotspot Manager (HotSpotFSvc) - Unknown owner - C:\Programme\Gemeinsame Dateien\T-COM\HotspotMgr\HotSpotFSvc.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Roxio UPnP Renderer 9 - Sonic Solutions - C:\Programme\Roxio\Digital Home 9\RoxioUPnPRenderer9.exe
O23 - Service: Roxio Upnp Server 9 - Sonic Solutions - C:\Programme\Roxio\Digital Home 9\RoxioUpnpService9.exe
O23 - Service: LiveShare P2P Server 9 (RoxLiveShare9) - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxLiveShare9.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2007\Win32\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2007\RpcSandraSrv.exe
O23 - Service: Sandboxie Service (SbieSvc) - tzuk - C:\Programme\Sandboxie\SbieSvc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: DSL-Manager (TDslMgrService) - T-Systems Enterprise Services GmbH - C:\Programme\DSL-Manager\DslMgrSvc.exe

--
End of file - 11762 bytes
----------------------------------------------------------------------
Vielen Dank für Eure Hilfe

Gruß
sT

myrtille · 19.07.2008, 11:04

Hi,

Bitdefender behauptet ja, das Rootkit gelöscht zu haben. Auch mbr scheint nichts zu sehen. Meldet Antivir immernoch etwas?

Den Einfallsweg zurückzuverfolgen ist immer schwierig und in der Regel nicht eindeutig nachzuvollziehen.
Sagen kann ich dir jedoch schon, dass es nicht reicht dein Windows zu aktualisieren, es muss auch die Software aktualisiert werden:

Zitat:

jre1.5.0_10

Die Version ist über 2 Jahre alt und es wurden seitdem viele kritische Sicherheitslücken gefixt.
Das wäre auf jedenfall ein heißer Kandidat zum infiziert werden.

Wenn du schauen willst, welche Software bei dir noch nicht aktuell ist, kannst du zb bei Secunia vorbeischauen, dort wird das überprüft.

Sicherheitstechnisch wäre es vielleicht auch ratsam vom Internet Explorer weg zu einem alternativen Browser zu wechseln.
(Zb Firefox mit den Addons AdBlockPlus, NoScript, Flashblock)

lg myrtille

sT0309 · 19.07.2008, 11:48

Danke für die schnelle Antwort, ich werde die Software aktualisieren, jedoch bin ich total verunsichert, ob das System jetzt noch was hat oder nicht. Avira und BitDefender alarmieren noch immer. Ist im HijackThis was auffällig? Kann ein anderes Tool noch helfen?

Gruß
sT

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Samstag, 19. Juli 2008 12:37

Es wird nach 1475814 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: ***
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: ***
Computername: ***

Versionsinformationen:
BUILD.DAT : 8.1.0.326 16933 Bytes 11.07.2008 12:52:00
AVSCAN.EXE : 8.1.4.7 315649 Bytes 17.07.2008 20:32:02
AVSCAN.DLL : 8.1.4.0 48897 Bytes 17.07.2008 20:32:02
LUKE.DLL : 8.1.4.5 164097 Bytes 17.07.2008 20:32:02
LUKERES.DLL : 8.1.4.0 12545 Bytes 17.07.2008 20:32:02
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 10:46:21
ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.06.2008 20:28:04
ANTIVIR2.VDF : 7.0.5.119 1264128 Bytes 15.07.2008 20:28:10
ANTIVIR3.VDF : 7.0.5.138 321536 Bytes 18.07.2008 23:08:32
Engineversion : 8.1.1.11
AEVDF.DLL : 8.1.0.5 102772 Bytes 30.04.2008 20:17:17
AESCRIPT.DLL : 8.1.0.59 307579 Bytes 18.07.2008 23:08:37
AESCN.DLL : 8.1.0.23 119156 Bytes 16.07.2008 20:28:20
AERDL.DLL : 8.1.0.20 418165 Bytes 30.04.2008 20:17:17
AEPACK.DLL : 8.1.2.1 364917 Bytes 16.07.2008 20:28:19
AEOFFICE.DLL : 8.1.0.21 192891 Bytes 18.07.2008 23:08:36
AEHEUR.DLL : 8.1.0.43 1339767 Bytes 18.07.2008 23:08:35
AEHELP.DLL : 8.1.0.15 115063 Bytes 16.07.2008 20:28:13
AEGEN.DLL : 8.1.0.29 307573 Bytes 16.07.2008 20:28:12
AEEMU.DLL : 8.1.0.6 430451 Bytes 07.05.2008 18:40:45
AECORE.DLL : 8.1.1.6 172405 Bytes 17.07.2008 20:32:03
AEBB.DLL : 8.1.0.1 53617 Bytes 17.07.2008 20:32:02
AVWINLL.DLL : 1.0.0.12 15105 Bytes 17.07.2008 20:32:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 17.07.2008 20:32:02
AVREP.DLL : 7.0.0.1 155688 Bytes 16.04.2007 12:16:24
AVREG.DLL : 8.0.0.1 33537 Bytes 17.07.2008 20:32:02
AVARKT.DLL : 1.0.0.23 307457 Bytes 30.04.2008 20:17:16
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 17.07.2008 20:32:02
SQLITE3.DLL : 3.3.17.1 339968 Bytes 30.04.2008 20:17:16
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 17.07.2008 20:32:02
NETNT.DLL : 8.0.0.1 7937 Bytes 30.04.2008 20:17:16
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 17.07.2008 20:32:01
RCTEXT.DLL : 8.0.52.0 86273 Bytes 17.07.2008 20:32:01

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: BootSectorTest
Konfigurationsdatei..............: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\TEMP\AVCENTER_4881ad26\c555baac.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: A:,
Durchsuche aktive Programme......: aus
Durchsuche Registrierung.........: aus
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Samstag, 19. Juli 2008 12:37

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[FUND] Enthält Code des Bootsektorvirus BOO/Sinowal.A
[HINWEIS] Der Sektor wurde nicht neu geschrieben!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'A:\'
[INFO] Im Laufwerk 'A:\' ist kein Datenträger eingelegt!

Ende des Suchlaufs: Samstag, 19. Juli 2008 12:39
Benötigte Zeit: 01:24 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

0 Verzeichnisse wurden überprüft
0 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
0 Dateien ohne Befall
0 Archive wurden durchsucht
0 Warnungen
1 Hinweise
------------------------------------------------------------
BitDefender Online Scanner - Echtzeit-Virenmeldung
Erstellt am: Sat, Jul 19, 2008 - 12:41:52

Prüf-Info

Geprüfte Dateien
255

Infizierte Dateien
1

Erkannte Viren

Trojan.Mebroot.B
1
-----------------------------------------------------------

Geprüfte Dateien
Status

C:\=>Master Boot Record 81
Infiziert: Trojan.Mebroot.B

C:\=>Master Boot Record 81
Gelöscht

C:\
Aktualisieren fehlgeschlagen

myrtille · 19.07.2008, 11:56

Hi,
hast du deine Windows-CD griffbereit?
Du kannst den MasterBootRecord auch händisch überschreiben.

Zitat:

Gehen Sie folgendermaßen vor, um die Wiederherstellungskonsole von der Windows XP-Startdiskette oder der Windows XP-CD-ROM zu starten:
1. Legen Sie die Windows XP-Startdiskette in das Diskettenlaufwerk ein, oder legen Sie die Windows XP-CD-ROM in das CD-ROM-Laufwerk ein, und starten Sie den Computer anschließend erneut.

Wenn Sie dazu aufgefordert werden, wählen Sie alle Optionen aus, die für einen Start des Computers von CD-ROM erforderlich sind.
2. Wenn die Willkommensseite angezeigt wird, starten Sie mit der Taste [R] die Wiederherstellungskonsole.
3. Wählen Sie die Installation aus, auf die Sie von der Wiederherstellungskonsole aus zugreifen möchten, falls Sie über ein Dual-Boot- oder Multiple-Boot-System verfügen.
4. Geben Sie das Administratorkennwort ein, wenn Sie dazu aufgefordert werden. Wenn es sich bei dem Administratorkennwort um ein leeres Kennwort handelt, drücken Sie einfach die [EINGABETASTE].
5. Geben Sie an der Eingabeaufforderung die erforderlichen Befehle ein, um Ihre Windows XP-Installation zu diagnostizieren und zu reparieren.

Der Befehl lautet in deinem Fall

Code:

ATTFilter

fixmbr \device\harddisk1

(achte auf das leerzeichen zwischen fixmbr und \device

)

Melde dich ob danach weiterhin das Problem besteht.

lg myrtille

EDIT: Sinowal ist ein Rootkit, von daher hätte ich dieses gerne ausgeschaltet, bevor ich weitere Analysen empfehle.
Dein Hijackthislog sieht derzeit sauber aus.

sT0309 · 19.07.2008, 12:27

Hi,

die CD war griffbereit. Den Befehl habe ich erfolgreich abgesetzt. Nach Neustart des System melden beide Scanner die selben Probleme.

Ratlose Grüße
sT

EDIT:
Dieses Tool hab ich eben laufen lassen...

Avira AntiRootkit Tool - Beta (1.0.1.17)

========================================================================================================
- Scan started Samstag, 19. Juli 2008 - 13:29:51
========================================================================================================

--------------------------------------------------------------------------------------------------------
Configuration:
--------------------------------------------------------------------------------------------------------
- [X] Scan files
- [X] Scan registry
- [X] Scan processes
- [ ] Fast scan
- Working disk total size : 29.30 GB
- Working disk free size : 12.54 GB (42 %)
--------------------------------------------------------------------------------------------------------

Scan task finished. No hidden objects detected!

--------------------------------------------------------------------------------------------------------
Files: 0/0
Registry items: 0/0
Processes: 0/0
Scan time: 00:00:00
--------------------------------------------------------------------------------------------------------
Active processes:
========================================================================================================
- Scan finished Samstag, 19. Juli 2008 - 13:29:51
========================================================================================================

erty · 19.07.2008, 13:01

versuchs mal mit Dr.Web CureIt!

Hier eine Anleitung dazu:
Anleitung

sT0309 · 21.07.2008, 21:48

Hi,

Dr. Web hat noch was gefunden. Leider wurde das Log überschrieben, obwohl die Größe nicht beschränkt wurde...

Ich werde jetzt noch meine Progs. aktualisieren und dann nochmal scannen.
Ein neues HJT-Log erstelle ich auch noch.

Hat wer noch einen Tipp, welchen Scanner/Tool ich noch nehmen soll, um wirkllich alles zu erwischen?

Das Verzeichnis c:\fsaua.data wird bei jedem Start erstellt. Weiß wer, was es damit auf sich hat?

Danke für Eure Hilfe
sT

myrtille · 21.07.2008, 22:59

Hi,
eigentlich sollte alles entfernt werden, wenn du fixmbr nutzt..

Versuch daher vielleicht nochmal die Wiederherstellugnskonsole

Zitat:

Gehen Sie folgendermaßen vor, um die Wiederherstellungskonsole von der Windows XP-Startdiskette oder der Windows XP-CD-ROM zu starten:
1. Legen Sie die Windows XP-Startdiskette in das Diskettenlaufwerk ein, oder legen Sie die Windows XP-CD-ROM in das CD-ROM-Laufwerk ein, und starten Sie den Computer anschließend erneut.

Wenn Sie dazu aufgefordert werden, wählen Sie alle Optionen aus, die für einen Start des Computers von CD-ROM erforderlich sind.
2. Wenn die Willkommensseite angezeigt wird, starten Sie mit der Taste [R] die Wiederherstellungskonsole.
3. Wählen Sie die Installation aus, auf die Sie von der Wiederherstellungskonsole aus zugreifen möchten, falls Sie über ein Dual-Boot- oder Multiple-Boot-System verfügen.
4. Geben Sie das Administratorkennwort ein, wenn Sie dazu aufgefordert werden. Wenn es sich bei dem Administratorkennwort um ein leeres Kennwort handelt, drücken Sie einfach die [EINGABETASTE].
5. Geben Sie an der Eingabeaufforderung die erforderlichen Befehle ein, um Ihre Windows XP-Installation zu diagnostizieren und zu reparieren.

Gib aber diesmal folgende Befehle ein:

Zitat:

fixmbr \device\harddisk1
fixmbr \device\harddisk0

Welche Meldung kommt nach den Befehlen?

lg myrtille

sT0309 · 21.07.2008, 23:31

Hi,

es kommt bei beiden befehlen
*** VORSICHT ***
Der MBR scheint ungültig oder nicht standardmäßig zu sein. Bei Fortsetzen besteht die Gefahr von Beschädigung ...

Vorgestern habe ich beides mal mit ja bestätigt. es gab keinen datenverlust. heute hab nein eingegeben, damit nichts schlimmes passiert.
Gruß
sT

Yvonne F. · 22.07.2008, 22:37

Ich weiß es nervt, ich hab keinen Trojaner sondern irgendwas verstecktes schlummerndes auf dem Rechner. Zu erst einmal meine Festplatte hab ich gespaltet auf C/ ist alles von Windows und auf D/ der andere Kram den man sich so runterläd. Hab heute AntiVirus durchlaufen lassen und es kamen warnungen. Ich sag direkt vor weg ich bin eine Frau und hab deshalb nicht viel ahnung, daher bitte ich um Antwort die auch ein Laie versteht

folgendes kam beim durchlaufen:
---------------------------------------------------------------------------

Beginn des Suchlaufs: Dienstag, 22. Juli 2008 22:26

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'usnsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IoctlSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NBService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BTNtService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msnmsgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PRISMSTA.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'VNICMon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LEXPPS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LEXBCES.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '31' Prozesse mit '31' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD3
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD4
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '46' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\'

Ende des Suchlaufs: Dienstag, 22. Juli 2008 22:47
Benötigte Zeit: 20:28 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.
----------------------------------------------------------------------------
Ich hoffe um schnellst mögliche Antwort. Kann es vielleicht auch sein das durch diese Warnung meine internetverbindung oft verschwindet? Ich bin wirklich ratlos ( Hab Wlan integriert)

erty · 23.07.2008, 20:40

hallo Yvonne,

bitte erstelle einen neuen Thread Klick und poste ein HijackThis Log.

BOO/Sinowal.A bzw. Trojan.Mebroot.B

Plagegeister aller Art und deren Bekämpfung: BOO/Sinowal.A bzw. Trojan.Mebroot.B