| |
| |||||||
Log-Analyse und Auswertung: BOO/Sinowal.A ProblemeWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
26.09.2008, 11:34
| #1 |
| |  BOO/Sinowal.A Probleme Hallo, bin neu hier und bitte um Mithilfe! Habe mich zum Thema bereits informiert. AntiVir sagt: Avira AntiVir Personal Erstellungsdatum der Reportdatei: Freitag, 26. September 2008 11:38 Es wird nach 1643846 Virenstämmen gesucht. Lizenznehmer: Avira AntiVir PersonalEdition Classic Plattform: Windows XP Windowsversion: (Service Pack 3) [5.1.2600] Boot Modus: Normal gebootet Versionsinformationen: BUILD.DAT : 8.1.0.331 16934 Bytes 12.08.2008 11:44:00 AVSCAN.EXE : 8.1.4.7 315649 Bytes 11.08.2008 10:36:36 AVSCAN.DLL : 8.1.4.0 48897 Bytes 11.08.2008 10:36:36 LUKE.DLL : 8.1.4.5 164097 Bytes 11.08.2008 10:36:36 LUKERES.DLL : 8.1.4.0 12545 Bytes 11.08.2008 10:36:36 ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 10:33:34 ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.06.2008 07:18:37 ANTIVIR2.VDF : 7.0.6.153 3341312 Bytes 12.09.2008 22:47:32 ANTIVIR3.VDF : 7.0.6.214 449024 Bytes 26.09.2008 08:08:10 Engineversion : 8.1.1.35 AEVDF.DLL : 8.1.0.5 102772 Bytes 25.02.2008 09:58:21 AESCRIPT.DLL : 8.1.0.76 319867 Bytes 19.09.2008 12:16:22 AESCN.DLL : 8.1.0.23 119156 Bytes 15.07.2008 20:27:05 AERDL.DLL : 8.1.1.2 438644 Bytes 19.09.2008 12:16:21 AEPACK.DLL : 8.1.2.3 364918 Bytes 24.09.2008 12:34:17 AEOFFICE.DLL : 8.1.0.25 196986 Bytes 19.09.2008 12:16:21 AEHEUR.DLL : 8.1.0.59 1438071 Bytes 19.09.2008 12:16:15 AEHELP.DLL : 8.1.0.15 115063 Bytes 31.05.2008 12:54:43 AEGEN.DLL : 8.1.0.36 315764 Bytes 18.08.2008 16:59:35 AEEMU.DLL : 8.1.0.7 430452 Bytes 31.07.2008 21:19:52 AECORE.DLL : 8.1.1.11 172406 Bytes 03.09.2008 18:31:56 AEBB.DLL : 8.1.0.1 53617 Bytes 19.07.2008 02:15:13 AVWINLL.DLL : 1.0.0.12 15105 Bytes 11.08.2008 10:36:36 AVPREF.DLL : 8.0.2.0 38657 Bytes 11.08.2008 10:36:36 AVREP.DLL : 8.0.0.2 98344 Bytes 31.07.2008 21:19:51 AVREG.DLL : 8.0.0.1 33537 Bytes 11.08.2008 10:36:36 AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19 AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 11.08.2008 10:36:36 SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02 SMTPLIB.DLL : 1.2.0.23 28929 Bytes 11.08.2008 10:36:36 NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07 RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 11.08.2008 10:36:34 RCTEXT.DLL : 8.0.52.0 86273 Bytes 11.08.2008 10:36:34 Konfiguration für den aktuellen Suchlauf: Job Name.........................: Vollständige Systemprüfung Konfigurationsdatei..............: d:\avira\antivir personaledition classic\sysscan.avp Protokollierung..................: niedrig Primäre Aktion...................: interaktiv Sekundäre Aktion.................: ignorieren Durchsuche Masterbootsektoren....: ein Durchsuche Bootsektoren..........: ein Bootsektoren.....................: C:, D:, E:, F:, G:, Durchsuche aktive Programme......: ein Durchsuche Registrierung.........: ein Suche nach Rootkits..............: ein Datei Suchmodus..................: Alle Dateien Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: 20 Archiv Smart Extensions..........: ein Makrovirenheuristik..............: ein Dateiheuristik...................: hoch Beginn des Suchlaufs: Freitag, 26. September 2008 11:38 Der Suchlauf nach versteckten Objekten wird begonnen. Es wurden '35315' Objekte überprüft, '0' versteckte Objekte wurden gefunden. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'searchfilterhost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'searchprotocolhost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wscntfy.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ONENOTEM.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'fpassist.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'reader_sl.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'atiptaxx.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SOUNDMAN.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'searchindexer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'cvpnd.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Smc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '33' Prozesse mit '33' Modulen durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD1 [FUND] Enthält Code des Bootsektorvirus BOO/Sinowal.A [HINWEIS] Der Sektor wurde nicht neu geschrieben! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'D:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'E:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'F:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'G:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. Die Registry wurde durchsucht ( '0' Dateien ). Ende des Suchlaufs: Freitag, 26. September 2008 11:41 Benötigte Zeit: 03:21 Minute(n) Der Suchlauf wurde abgebrochen! 0 Verzeichnisse wurden überprüft 33 Dateien wurden geprüft 1 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 33 Dateien ohne Befall 0 Archive wurden durchsucht 0 Warnungen 1 Hinweise 35315 Objekte wurden beim Rootkitscan durchsucht 0 Versteckte Objekte wurden gefunden Offensichtlich also etwas auf meienr zweiten Festplatte, welche über 3 Partitionen verfügt. Das von Avira empfohlene Programm zur Behebung von Masterbootsektor-Befall kann ich utner DOS ausführen, es macht mich auf den oben genannten Virus aufmerksam, scheint das Problem aber nicht zu beheben. Das in einem anderen Thema empfohlene Programm DSS konnte ich im Internet nicht mehr finden. Beim Versuch, mit der Windows-Wiederherstellungskonsole (fixmbr) rumzumachen (habe wenig Ahnung davon) ergab sich das peinliche Problem, dass mir das Administrator-PW nicht einfallen will. Das ebenfalls empfohlene MBR ergab: Stealth MBR rootkit detector 0.2.4 by Gmer, h**p://www.gmer.net device: opened successfully user: MBR read successfully kernel: MBR read successfully user & kernel MBR OK malicious code @ sector 0x950e4c1 size 0x1ce ! Wäre toll wenn ihr mir helfen könntet. Vielen Dank im Voraus! |
|
26.09.2008, 12:04
| #2 |
| | BOO/Sinowal.A Probleme Aktualisierung:
__________________das PW-Problem ist gelöst, habe die Abfrage deaktiviert und kann mich an der Wiederherstellungskonsole anmelden. Kann ich damit mein Problem irgendwie lösen? |
|
26.09.2008, 23:07
| #3 |
| | BOO/Sinowal.A Probleme habe mit fixmbr auf der zweiten platte neuen mbsektor erstellt, jetzt meckert antivir nicht mehr.
__________________Allerdings meckert GMER noch rum, wegen dem anderen laufwerk. hat das was zu bedeuten? GMER 1.0.14.14536 - h**p://www.gmer.net Windows 5.1.2600 Service Pack 3 ---- Disk sectors - GMER 1.0.14 ---- Disk \Device\Harddisk0\DR0 sector 61: malicious code @ sector 0x950e4c1 size 0x1ce Geändert von dolphins (26.09.2008 um 23:20 Uhr) |
|
| Themen zu BOO/Sinowal.A Probleme |
| .dll, avg, avgnt.exe, behebung, boo/sinowal.a, bootsektorvirus, csrss.exe, ctfmon.exe, datei, explorer.exe, festplatte, helfen, internet, jusched.exe, logon.exe, lsass.exe, mbr rootkit, modul, neu, nt.dll, problem, probleme, prozesse, registry, services.exe, spoolsv.exe, suchlauf, svchost.exe, versteckte objekte, verweise, vielen dank, virus, virus gefunden, wenig ahnung, windows, winlogon.exe, wuauclt.exe |
Linear-Darstellung
