| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: BOO/Sinowal.AWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
31.08.2008, 13:52
| #1 |
| |  BOO/Sinowal.A heute habe ich einen virenscan mit antivirus gemacht und dann kam das der bootsector malwarecode enthält BOO/Sinowal.A wie bekomme ich das weg kann mir einer evtl. helfen habe windows xp service pack 3 |
|
31.08.2008, 15:52
| #2 | |
| /// AVZ-Toolkit Guru   | BOO/Sinowal.A Halli hallo.
__________________1) Blacklight bitte laufen lassen und das log posten.. evtl. Funde bitte umbennen/beheben lassen! 2) Master Boot Record überprüfen: Lade dir die mbr.exe von GMER auf den Desktop und führe die Datei aus. Poste das log! Sollte ein MBR Rootkit gefunden worde sein, das wird im log durch den Ausdruck Zitat:
Downloade dir dafür die mbr.bat.txt von BataAlexander und speichere sie neben der mbr.exe auf dem Desktop. Ändere die Endung der mbr.txt.bat in mbr.bat Eine vernünftige Ordneransicht ist dafür nötig. Dann führe die mbr.bat. durch einen Doppelklick aus. Dabei muss sich die mbr.exe von GMER ebenfalls auf dem Desktop befinden! Der MBR wird bereinigt und es erscheint ein log. Poste auch diese log! Gleich danach: 3) ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Wichtiger Hinweis: Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.
__________________ |
|
01.09.2008, 12:32
| #3 |
| | BOO/Sinowal.A blacklight hat nichts gefunden aber hier die
__________________mbr LOG Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully kernel: MBR read successfully user & kernel MBR OK malicious code @ sector 0x4a891c1 size 0x1a8 ! |
|
01.09.2008, 12:38
| #4 | |
| /// AVZ-Toolkit Guru | BOO/Sinowal.A Bereinigung des MBR (siehe unten): Zitat:
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
|
01.09.2008, 12:52
| #5 |
| | BOO/Sinowal.A habe ich versucht jedoch kommt in der log die selbe meldung mehr nicht habe jetzt noch die combofix log hier ComboFix 08-08-31.01 - eQuip 2008-09-01 13:43:30.1 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.283 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\eQuip\Desktop\ComboFix.exe Command switches used :: C:\Dokumente und Einstellungen\eQuip\Desktop\WinXP_DE_HOM_BF.EXE * Neuer Wiederherstellungspunkt wurde erstellt . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Dokumente und Einstellungen\eQuip\Anwendungsdaten\macromedia\Flash Player\#SharedObjects\9MZK3QZ6\interclick.com C:\Dokumente und Einstellungen\eQuip\Anwendungsdaten\macromedia\Flash Player\#SharedObjects\9MZK3QZ6\interclick.com\ud.sol C:\Dokumente und Einstellungen\eQuip\Anwendungsdaten\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#interclick.com C:\Dokumente und Einstellungen\eQuip\Anwendungsdaten\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#interclick.com\settings.sol C:\WINDOWS\system32\Cfx32.lic C:\WINDOWS\system32\cfx32.ocx C:\WINDOWS\system32\rtl60.bpl . ((((((((((((((((((((((( Dateien erstellt von 2008-08-01 bis 2008-09-01 )))))))))))))))))))))))))))))) . 2008-08-31 14:44 . 2008-08-31 14:44 250 --a------ C:\WINDOWS\gmer.ini 2008-08-31 03:25 . 2008-08-31 03:26 <DIR> d-------- C:\Programme\Windows Live Safety Center 2008-08-28 03:43 . 2008-08-28 03:49 <DIR> d-------- C:\Programme\ABC Amber Audio Converter 2008-08-28 03:39 . 2008-08-28 03:41 <DIR> d-------- C:\Programme\Bargain Buddy 2008-08-28 03:39 . 2000-05-22 00:00 140,488 --a------ C:\WINDOWS\system32\Comdlg32.ocx 2008-08-28 03:39 . 2001-08-08 21:00 40,960 --a------ C:\WINDOWS\system32\DGPNorm.ocx 2008-08-28 01:05 . 2008-08-28 04:41 <DIR> d-------- C:\Programme\IrfanView 2008-08-28 01:02 . 2008-08-28 01:02 <DIR> d-------- C:\Dokumente und Einstellungen\eQuip\Anwendungsdaten\Eclipsit 2008-08-28 00:54 . 1998-10-29 16:45 306,688 --a------ C:\WINDOWS\IsUninst.exe 2008-08-27 02:14 . 2008-08-27 02:14 <DIR> d-------- C:\WINDOWS\Sun 2008-08-22 12:16 . 2008-08-22 12:16 21,840 --a------ C:\WINDOWS\system32\SIntfNT.dll 2008-08-22 12:16 . 2008-08-22 12:16 17,212 --a------ C:\WINDOWS\system32\SIntf32.dll 2008-08-22 12:16 . 2008-08-22 12:16 12,067 --a------ C:\WINDOWS\system32\SIntf16.dll 2008-08-22 12:08 . 2008-08-22 12:08 102,400 --a------ C:\WINDOWS\DIIUnin.exe 2008-08-22 12:08 . 2008-08-22 12:22 30,523 --a------ C:\WINDOWS\DIIUnin.dat 2008-08-22 12:08 . 2008-08-22 12:08 2,829 --a------ C:\WINDOWS\DIIUnin.pif 2008-08-18 16:16 . 2008-08-18 16:16 <DIR> d-------- C:\Programme\Hamachi 2008-08-18 16:16 . 2008-09-01 13:12 <DIR> d-------- C:\Dokumente und Einstellungen\eQuip\Anwendungsdaten\Hamachi 2008-08-18 16:16 . 2008-08-18 16:16 25,280 --a------ C:\WINDOWS\system32\drivers\hamachi.sys 2008-08-18 14:54 . 2008-08-28 20:23 <DIR> d-------- C:\Programme\ICQ6 2008-08-18 14:54 . 2008-08-18 14:56 <DIR> d-------- C:\Dokumente und Einstellungen\eQuip\Anwendungsdaten\ICQ 2008-08-17 10:25 . 2008-08-17 10:25 <DIR> d--hs---- C:\found.000 2008-08-15 09:20 . 2008-05-01 16:34 331,776 -----c--- C:\WINDOWS\system32\dllcache\msadce.dll 2008-08-15 08:54 . 2008-04-11 21:04 691,712 -----c--- C:\WINDOWS\system32\dllcache\inetcomm.dll 2008-08-10 17:02 . 2008-04-14 04:22 221,184 --a------ C:\WINDOWS\system32\wmpns.dll 2008-08-10 11:28 . 2008-08-10 11:28 <DIR> d-------- C:\WINDOWS\system32\de-de 2008-08-10 11:28 . 2008-08-10 11:28 <DIR> d-------- C:\WINDOWS\system32\de 2008-08-10 11:28 . 2008-08-10 11:28 <DIR> d-------- C:\WINDOWS\system32\bits 2008-08-10 11:28 . 2008-08-10 11:28 <DIR> d-------- C:\WINDOWS\l2schemas 2008-08-10 11:24 . 2008-08-10 11:29 <DIR> d-------- C:\WINDOWS\ServicePackFiles 2008-08-10 11:18 . 2008-08-10 11:18 <DIR> d-------- C:\WINDOWS\EHome 2008-08-06 10:46 . 2007-07-30 19:19 271,224 --a------ C:\WINDOWS\system32\mucltui.dll 2008-08-06 10:46 . 2007-07-30 19:19 207,736 --a------ C:\WINDOWS\system32\muweb.dll 2008-08-06 10:46 . 2007-07-30 19:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui 2008-08-05 23:13 . 2008-08-05 23:13 <DIR> d---s---- C:\Dokumente und Einstellungen\eQuip\UserData 2008-08-05 22:53 . 2008-08-05 22:54 <DIR> d-------- C:\Programme\Windows Live 2008-08-05 22:53 . 2008-08-05 22:54 <DIR> d--hsc--- C:\Programme\Gemeinsame Dateien\WindowsLiveInstaller 2008-08-05 22:52 . 2008-08-05 22:53 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WLInstaller 2008-08-05 22:50 . 2008-08-05 22:52 <DIR> d-------- C:\Dokumente und Einstellungen\eQuip\Contacts 2008-08-04 22:59 . 2004-08-04 00:38 701,952 --------- C:\WINDOWS\system32\drivers\ati2mtag.sys 2008-08-03 22:45 . 2008-08-04 01:15 <DIR> d-------- C:\server 2008-08-03 16:32 . 2008-08-03 16:33 <DIR> d-------- C:\Programme\C 2 Delphi Converter 1 2008-08-03 16:32 . 2008-08-03 16:32 74,752 --a------ C:\WINDOWS\cadkasdeinst01e.exe 2008-08-03 16:16 . 2008-08-03 19:23 <DIR> d-------- C:\hooks 2008-08-01 06:46 . 2008-08-01 06:46 <DIR> d-------- C:\nexus_source 0.2 2008-08-01 06:41 . 2008-08-01 06:41 <DIR> d-------- C:\Programme\PE Explorer 2008-08-01 06:41 . 2008-08-01 06:41 <DIR> d-------- C:\Dokumente und Einstellungen\eQuip\Anwendungsdaten\PE Explorer . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-09-01 11:12 --------- d-----w C:\Dokumente und Einstellungen\eQuip\Anwendungsdaten\teamspeak2 2008-09-01 11:06 --------- d-----w C:\Dokumente und Einstellungen\eQuip\Anwendungsdaten\OpenOffice.org2 2008-08-31 00:50 137,472 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys 2008-08-31 00:50 111,928 ----a-w C:\WINDOWS\system32\PnkBstrB.exe 2008-08-29 01:55 --------- d-----w C:\Dokumente und Einstellungen\eQuip\Anwendungsdaten\mIRC 2008-08-29 00:34 --------- d-----w C:\Programme\mIRC 2008-08-21 18:43 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-08-12 03:52 --------- d-----w C:\Dokumente und Einstellungen\eQuip\Anwendungsdaten\skypePM 2008-08-12 03:52 --------- d-----w C:\Dokumente und Einstellungen\eQuip\Anwendungsdaten\Skype 2008-08-03 00:04 --------- d-----w C:\Dokumente und Einstellungen\eQuip\Anwendungsdaten\Winamp 2008-07-28 00:56 43,520 ----a-w C:\WINDOWS\system32\CmdLineExt03.dll 2008-07-27 16:14 271,360 ----a-w C:\WINDOWS\system32\drivers\atksgt.sys 2008-07-27 16:14 18,048 ----a-w C:\WINDOWS\system32\drivers\lirsgt.sys 2008-07-25 12:18 --------- d-----w C:\Programme\GW Team Builder 2008-07-23 11:47 --------- d-----w C:\Dokumente und Einstellungen\eQuip\Anwendungsdaten\DAoC Portal 2008-07-23 11:31 --------- d-----w C:\Dokumente und Einstellungen\eQuip\Anwendungsdaten\Electronic Arts 2008-07-22 23:41 --------- d-----w C:\Programme\DivX 2008-07-21 17:34 --------- d-----w C:\Programme\Avira 2008-07-21 17:34 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira 2008-07-21 14:01 --------- d-----w C:\Programme\Skype 2008-07-21 14:01 --------- d-----w C:\Programme\Gemeinsame Dateien\Skype 2008-07-21 14:01 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype 2008-07-21 13:43 --------- d-----w C:\Programme\Xenon 2008-07-20 22:37 --------- d-----w C:\Dokumente und Einstellungen\eQuip\Anwendungsdaten\Talkback 2008-07-20 22:13 --------- d-----w C:\Programme\Java 2008-07-20 22:11 --------- d-----w C:\Programme\Gemeinsame Dateien\Java 2008-07-19 17:09 --------- d-----w C:\Dokumente und Einstellungen\eQuip\Anwendungsdaten\DivX 2008-07-19 12:58 --------- d-----w C:\Programme\Warcraft III 2008-07-17 14:39 --------- d-----w C:\Dokumente und Einstellungen\eQuip\Anwendungsdaten\Warsow 2008-07-13 11:20 --------- d-----w C:\Programme\QIP 2008-07-08 21:56 --------- d-----w C:\Dokumente und Einstellungen\eQuip\Anwendungsdaten\Apple Computer 2008-07-08 13:58 --------- d-----w C:\Dokumente und Einstellungen\eQuip\Anwendungsdaten\vlc 2008-07-07 20:26 253,952 ----a-w C:\WINDOWS\system32\es.dll 2008-07-04 20:50 --------- d-----w C:\Programme\4Media 2008-07-04 10:21 69,632 ----a-w C:\WINDOWS\ScUnin.exe 2008-07-01 21:15 --------- d-----w C:\Programme\MSXML 4.0 2008-06-30 13:00 66,872 ----a-w C:\WINDOWS\system32\PnkBstrA.exe 2008-06-24 16:42 74,240 ----a-w C:\WINDOWS\system32\mscms.dll 2008-06-23 15:10 671,744 ----a-w C:\WINDOWS\system32\wininet.dll 2008-06-20 17:46 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll 2008-06-18 17:52 161,096 ----a-w C:\WINDOWS\system32\DivXCodecVersionChecker.exe 2008-06-11 00:07 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe 2008-06-11 00:07 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll 2008-06-11 00:07 129,784 ------w C:\WINDOWS\system32\pxafs.dll 2008-06-11 00:07 120,056 ------w C:\WINDOWS\system32\pxcpyi64.exe 2008-06-11 00:07 118,520 ------w C:\WINDOWS\system32\pxinsi64.exe 2008-06-11 00:04 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll 2008-06-11 00:04 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 04:22 15360] "QIP2005"="C:\Programme\QIP\qip.exe" [2008-07-01 18:34 3256320] "MsnMsgr"="C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 11:34 5724184] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-12-09 10:52 5898240] "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2005-12-09 10:52 86016] "UpdReg"="C:\WINDOWS\UpdReg.EXE" [2000-05-11 01:00 90112] "Jet Detection"="C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe" [2001-11-29 01:00 28672] "WinampAgent"="C:\Programme\Winamp\winampa.exe" [2008-04-01 20:49 36352] "QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-05-27 10:50 413696] "Sony Ericsson PC Suite"="C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2007-04-26 09:45 401408] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 04:27 144784] "avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401] "Bsx3"="C:\WINDOWS\bs3.dll" [2003-08-19 08:09 139264] "nwiz"="nwiz.exe" [2005-12-09 10:52 1519616 C:\WINDOWS\system32\nwiz.exe] "CTHelper"="CTHELPER.EXE" [2003-08-28 10:45 24576 C:\WINDOWS\system32\CTHELPER.EXE] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 04:22 15360] C:\Dokumente und Einstellungen\eQuip\Startmen\Programme\Autostart\ hamachi.lnk - C:\Programme\Hamachi\hamachi.exe [2008-08-18 16:16:09 625952] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "msacm.ctmp3"= C:\WINDOWS\system32\ctmp3.acm [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusOverride"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\Messenger\\msmsgs.exe"= "C:\\games\\Steam\\SteamApps\\equipt\\counter-strike\\hl.exe"= "C:\\games\\Steam\\Steam.exe"= "C:\\Programme\\QIP\\qip.exe"= "C:\\games\\Warcraft III\\Frozen Throne.exe"= "C:\\Programme\\Mozilla Firefox\\firefox.exe"= "C:\\games\\Steam\\SteamApps\\medusa_51\\counter-strike\\hl.exe"= "E:\\d\\Program Files\\Wolfenstein - Enemy Territory\\ET.exe"= "C:\\games\\Warcraft III\\Warcraft III.exe"= "C:\\Programme\\mIRC\\mirc.exe"= "C:\\Programme\\NetMeeting\\conf.exe"= "C:\\Programme\\4Media\\MP4 to MP3 Converter 3\\videoenc.exe"= "C:\\games\\Wolfenstein - Enemy Territory\\ET.exe"= "C:\\games\\Anno 1701\\Anno1701.exe"= "C:\\hooks\\ET MultiHack\\HoDLoader.exe"= "C:\\server\\pServer2.exe"= "C:\\server\\fertiges\\HoDLoader.exe"= "C:\\Dokumente und Einstellungen\\eQuip\\Desktop\\Neuer Ordner (5)\\Chat1\\pChat1.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= "C:\\Programme\\Windows Live\\Messenger\\livecall.exe"= "C:\\Programme\\Skype\\Phone\\Skype.exe"= "C:\\Programme\\ICQ6\\ICQ.exe"= "C:\\Dokumente und Einstellungen\\eQuip\\Desktop\\Neuer Ordner (6)\\Clipboard Exchange - EXEn\\ClipboardServer.exe"= "C:\\Dokumente und Einstellungen\\eQuip\\Desktop\\Remote_Adm1987864172006\\Delphi Server\\Server.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "6112:TCP"= 6112:TCP:wc3 S3 SetupNTGLM7X;SetupNTGLM7X;D:\NTGLM7X.sys [] *Newly Created Service* - CATCHME *Newly Created Service* - PROCEXP90 . Inhalt des "geplante Tasks" Ordners . . ------- Zusätzlicher Scan ------- . FireFox -: Profile - C:\Dokumente und Einstellungen\eQuip\Anwendungsdaten\Mozilla\Firefox\Profiles\6y00alob.default\ FireFox -: prefs.js - STARTUP.HOMEPAGE - google.de FF -: plugin - C:\Programme\Adobe\Acrobat 5.0\Reader\browser\nppdf32.dll . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-09-01 13:46:10 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2008-09-01 13:49:07 ComboFix-quarantined-files.txt 2008-09-01 11:49:05 Pre-Run: 8,702,865,408 Bytes frei Post-Run: 8,976,764,928 Bytes frei WinXP_DE_HOM_BF.EXE [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect 211 --- E O F --- 2008-08-15 20:10:32 zeigt aber nix besonderes wie ich das sehe |
|
01.09.2008, 13:08
| #7 |
| | BOO/Sinowal.A GMER 1.0.14.14536 - http://www.gmer.net Rootkit scan 2008-09-01 14:07:37 Windows 5.1.2600 Service Pack 3 ---- System - GMER 1.0.14 ---- SSDT F8BCED5C ZwCreateThread SSDT F8BCED48 ZwOpenProcess SSDT F8BCED4D ZwOpenThread SSDT F8BCED57 ZwTerminateProcess SSDT F8BCED52 ZwWriteVirtualMemory ---- Kernel code sections - GMER 1.0.14 ---- ? C:\DOKUME~1\eQuip\LOKALE~1\Temp\mbr.sys Das System kann die angegebene Datei nicht finden. ! ? C:\WINDOWS\system32\Drivers\PROCEXP90.SYS Das System kann die angegebene Datei nicht finden. ! ? C:\ComboFix\catchme.sys Das System kann den angegebenen Pfad nicht finden. ! ---- User IAT/EAT - GMER 1.0.14 ---- IAT C:\Programme\Mozilla Firefox\firefox.exe[2288] @ C:\WINDOWS\system32\ADVAPI32.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [018B73CC] C:\PROGRA~1\MOZILL~1\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.) IAT C:\Programme\Mozilla Firefox\firefox.exe[2288] @ C:\WINDOWS\system32\ADVAPI32.dll [KERNEL32.dll!LoadLibraryA] [018B7376] C:\PROGRA~1\MOZILL~1\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.) IAT C:\Programme\Mozilla Firefox\firefox.exe[2288] @ C:\WINDOWS\system32\RPCRT4.dll [KERNEL32.dll!LoadLibraryA] [018B7376] C:\PROGRA~1\MOZILL~1\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.) IAT C:\Programme\Mozilla Firefox\firefox.exe[2288] @ C:\WINDOWS\system32\RPCRT4.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [018B73CC] C:\PROGRA~1\MOZILL~1\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.) IAT C:\Programme\Mozilla Firefox\firefox.exe[2288] @ C:\WINDOWS\system32\Secur32.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [018B73CC] C:\PROGRA~1\MOZILL~1\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.) IAT C:\Programme\Mozilla Firefox\firefox.exe[2288] @ C:\WINDOWS\system32\Secur32.dll [KERNEL32.dll!LoadLibraryA] [018B7376] C:\PROGRA~1\MOZILL~1\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.) IAT C:\Programme\Mozilla Firefox\firefox.exe[2288] @ C:\WINDOWS\system32\WS2_32.dll [KERNEL32.dll!LoadLibraryA] [018B7376] C:\PROGRA~1\MOZILL~1\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.) IAT C:\Programme\Mozilla Firefox\firefox.exe[2288] @ C:\WINDOWS\system32\WS2_32.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [018B73CC] C:\PROGRA~1\MOZILL~1\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.) IAT C:\Programme\Mozilla Firefox\firefox.exe[2288] @ C:\WINDOWS\system32\WS2HELP.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [018B73CC] C:\PROGRA~1\MOZILL~1\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.) IAT C:\Programme\Mozilla Firefox\firefox.exe[2288] @ C:\WINDOWS\system32\WS2HELP.dll [KERNEL32.dll!LoadLibraryA] [018B7376] C:\PROGRA~1\MOZILL~1\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.) IAT C:\Programme\Mozilla Firefox\firefox.exe[2288] @ C:\WINDOWS\system32\GDI32.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [018B73CC] C:\PROGRA~1\MOZILL~1\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.) IAT C:\Programme\Mozilla Firefox\firefox.exe[2288] @ C:\WINDOWS\system32\GDI32.dll [KERNEL32.dll!LoadLibraryA] [018B7376] C:\PROGRA~1\MOZILL~1\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.) IAT C:\Programme\Mozilla Firefox\firefox.exe[2288] @ C:\WINDOWS\system32\USER32.dll [KERNEL32.dll!LoadLibraryA] [018B7376] C:\PROGRA~1\MOZILL~1\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.) IAT C:\Programme\Mozilla Firefox\firefox.exe[2288] @ C:\WINDOWS\system32\USER32.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [018B73CC] C:\PROGRA~1\MOZILL~1\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.) IAT C:\Programme\Mozilla Firefox\firefox.exe[2288] @ C:\WINDOWS\system32\SHELL32.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [018B73CC] C:\PROGRA~1\MOZILL~1\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.) IAT C:\Programme\Mozilla Firefox\firefox.exe[2288] @ C:\WINDOWS\system32\SHELL32.dll [KERNEL32.dll!LoadLibraryA] [018B7376] C:\PROGRA~1\MOZILL~1\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.) IAT C:\Programme\Mozilla Firefox\firefox.exe[2288] @ C:\WINDOWS\system32\SHLWAPI.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [018B73CC] C:\PROGRA~1\MOZILL~1\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.) IAT C:\Programme\Mozilla Firefox\firefox.exe[2288] @ C:\WINDOWS\system32\SHLWAPI.dll [KERNEL32.dll!LoadLibraryA] [018B7376] C:\PROGRA~1\MOZILL~1\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.) IAT C:\Programme\Mozilla Firefox\firefox.exe[2288] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!LoadLibraryA] [018B7376] C:\PROGRA~1\MOZILL~1\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.) IAT C:\Programme\Mozilla Firefox\firefox.exe[2288] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [018B73CC] C:\PROGRA~1\MOZILL~1\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.) IAT C:\Programme\Mozilla Firefox\firefox.exe[2288] @ C:\WINDOWS\system32\iphlpapi.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [018B73CC] C:\PROGRA~1\MOZILL~1\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.) IAT C:\Programme\Mozilla Firefox\firefox.exe[2288] @ C:\WINDOWS\system32\iphlpapi.dll [KERNEL32.dll!LoadLibraryA] [018B7376] C:\PROGRA~1\MOZILL~1\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.) ---- Disk sectors - GMER 1.0.14 ---- Disk \Device\Harddisk0\DR0 sector 61: malicious code @ sector 0x4a891c1 size 0x1a8 ---- EOF - GMER 1.0.14 ---- |
|
01.09.2008, 13:11
| #8 |
| | BOO/Sinowal.A was nun wie bekomme ich das weg und was macht das ding überhaupt |
|
01.09.2008, 13:48
| #9 |
| /// AVZ-Toolkit Guru | BOO/Sinowal.A Starte den Rechner von deiner Windows XP CD aus und wechsel mit "R" in die Wiederherstellungskonsole. Dort gib in der Eingabeaufforderung folgendes ein: Code:
ATTFilter fixmbr \Device\HardDisk0
Übeprüfe das Ergebnis indem du die mbr.exe nochmal ausführst. Poste das log!
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
|
01.09.2008, 16:39
| #10 | |
 | BOO/Sinowal.AZitat:
wenn ich mich mal einklinken darf: Beachtet das fettgeschriebene! Der malicious code ist ein (inaktiver) Ueberbleibsel des Sinowal in einem nicht verwendeten Sektor. Um den zu Entfernen muesste man DBAN laufen lassen. solong..
__________________ mfg, Patrick Technische Kompromittierung => Tatort Internet Keine Windows-CD? Selbst brennen. |
|
| Themen zu BOO/Sinowal.A |
| antivirus, boo/sinowal.a, enthält, helfen, heute, scan, sector, service, service pack 3, virenscan, windows, windows xp |
Linear-Darstellung
