Hallo,
mein AntiVir meldet seid heute den boo/sinowal.A als Masterbootsector Virus auf C: (Systempartition)

nach Recherche hab ich mir erst von Avira Hilfe geholt und das Tool:

Avira AntiVir Bootsektor-Repairtool
h**p://dlpro.antivir.com/down/windows/bootwizard.exe

heruntergeladen => auf cd gebrannt => reboot

das Programm findet dann zwar einen Fehler kann ihn aber nicht beheben.

hier im Forum bin ich auf die mbr.exe gestoßen..

Zitat:

LOG:

Stealth MBR rootkit detector 0.2.4 by Gmer, h**p://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x13153e99 size 0x1b7 !

nach mbr -f

Zitat:

Stealth MBR rootkit detector 0.2.4 by Gmer, h**p://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x13153e99 size 0x1b7 !

Bitte um weitere Hilfe, da Antivir den BootsectorVirus immer noch anzeigt.


Mfg

GumGum

Vielleicht hilft das weiter

http://www.trojaner-board.de/53869-bootsektor-virus-boo-sinowal.html

Also ich hab mal einige Sachen ausprobiert und bin die Log von Avira ausgewertet. Woher weiß ich welche HDD Avira meint?

Zitat:

[...]
Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD2
[FUND] Enthält Code des Bootsektorvirus BOO/Sinowal.A
[HINWEIS] Der Sektor wurde nicht neu geschrieben!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
[...]

also ich fasse nochmal zusammen ... mbr hat was gefunden konnte den Fehler auch nicht beheben.

Ich habe mithilfe der WinXP-CD die fixmbr aufgerufen und die MBR neugeschrieben. Virus ist immer noch da.

hmm Zudem finde ich in keiner Virusdatenbank etwas zu diesem Virus ... komisch ...


hmm was mir noch aufgefallen ist heute:

Wenn WinXP SP3 bootet lädt alles ganz normal, die firewall ist an und AntiVir auch. (Zumindest ist das Icons in der Taskleiste von Avira vorhanden) Kurze Zeit später etw. 20 sek. kommt die Windows Sicherheitswarnugn das kein Antivirus und keine Firewall vorhanden ist.
Nach weiteren 20 sek. ist die Sicherheitsmeldung wieder weg und alle Programme inclusive Firewall laufen.

Meine Vermutung ist, dass dies mit dem Virus zusammenhängt. Keine Ahnung ob eine Verbindung nach außen aufgebaut wird. Zumindest sobald ich Programme aufrufen kann und der Explorer komplett gestartet ist kann ich im TCP View keine Verbindung die auf eine nichtgewollte Verbindung hinweisen nicht finden.


Hmm weitere Tipps wären gut ...


MFG

Hallo,

im MBR befinden sich Reste vom Rootkit Sinowal, die sich auf normalem Wege nicht entfernen lassen.
Wenn es dich stört, formatiere deine Festplatte mit DBAN und spiele Windows neu auf.

Poste doch mal bitte auch ein HijackThis Logfile.

mfg

Zitat:

user & kernel MBR OK
malicious code @ sector 0x13153e99 size 0x1b7 !

Der MBR ist (grün) während noch irgendwelche Überreste gefunden werden:

sector 0x13153e99 (hex) ist der 320.159.385. Sektor, ein Sektor hat immer eine Größe 512 Byte, also irgendwo bei 152,66 GB scheint auf der Platte noch was zu sein.

size 0x1b7 (hex) = 439 Bytes.

@GumGum: Wie groß ist Deine Platte und wie ist sie partitioniert?

Zitat:

@GumGum: Wie groß ist Deine Platte und wie ist sie partitioniert?

Also Meine Festplattenkonfiguration:

Datenträger 0 - C:78,13 GB (System)
- D:74,54 GB


So jetzt das Hijack Log

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:08:08, on 06.11.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\DOKUME~1\********\ANWEND~1\MICROS~1\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\nvraidservice.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Microsoft IntelliPoint\ipoint.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\DAEMON Tools Lite\daemon.exe
C:\Programme\Microsoft IntelliPoint\dpupdchk.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://www.avira.de/support_download
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
F3 - REG:win.ini: load=C:\WINDOWS\System32\drivers\mqtgsvc.exe
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Programme\DAEMON Tools Toolbar\DTToolbar.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\system32\nvraidservice.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKLM\..\Policies\Explorer\Run: [Spool] C:\DOKUME~1\********\ANWEND~1\MICROS~1\spoolsv.exe /waitservice
O4 - HKCU\..\Policies\Explorer\Run: [ComRepl] C:\WINDOWS\System32\drivers\comrepl.exe /waitservice
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [Cisvc] C:\WINDOWS\System\cisvc.exe /waitservice (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [Cisvc] C:\WINDOWS\System\cisvc.exe /waitservice (User 'Default user')
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1224954183968
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: Adobe Version Cue CS3 {de_DE} (Adobe Version Cue CS3) - Adobe Systems Incorporated - C:\Programme\Gemeinsame Dateien\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: DirMngr - Unknown owner - C:\Programme\GNU\GnuPG\dirmngr.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 9653 bytes

ich hoffe das hilft weiter.

MFG und danke für die schnelle Hilfe

Wie erwartet, da ist noch weitaus mehr wie Sinowal:


Dateien Online überprüfen lassen:

• Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code: Alles auswählenAufklappen

ATTFilter

C:\DOKUME~1\********\ANWEND~1\MICROS~1\spoolsv.exe
C:\WINDOWS\System32\drivers\mqtgsvc.exe
C:\WINDOWS\System32\drivers\comrepl.exe
C:\WINDOWS\System\cisvc.exe
         

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Das sieht nicht gut aus..

Also wie erwartet ist das Ergebis eher ernüchternd für meine Nerven


Also ich gehe die Dateien der Reihe nach durch wie oben angegeben.

Datei1:

Zitat:

Datei spoolsv.exe empfangen 2008.11.06 20:27:23 (CET)
Status: Beendet
Ergebnis: 4/36 (11.12%)

Antivirus Version letzte
aktualisierung Ergebnis
AhnLab-V3 2008.11.5.3 2008.11.06 -
AntiVir 7.9.0.26 2008.11.06 -
Authentium 5.1.0.4 2008.11.06 -
Avast 4.8.1248.0 2008.11.06 -
AVG 8.0.0.161 2008.11.06 -
BitDefender 7.2 2008.11.06 -
CAT-QuickHeal 9.50 2008.11.04 -
ClamAV 0.94.1 2008.11.06 -
DrWeb 4.44.0.09170 2008.11.06 -
eSafe 7.0.17.0 2008.11.06 -
eTrust-Vet 31.6.6195 2008.11.06 -
Ewido 4.0 2008.11.06 -
F-Prot 4.4.4.56 2008.11.06 -
F-Secure 8.0.14332.0 2008.11.06 -
Fortinet 3.117.0.0 2008.11.06 -
GData 19 2008.11.06 -
Ikarus T3.1.1.45.0 2008.11.06 -
K7AntiVirus 7.10.518 2008.11.06 -
Kaspersky 7.0.0.125 2008.11.06 Heur.Trojan.Generic
McAfee 5425 2008.11.05 -
Microsoft 1.4005 2008.11.06 -
NOD32 3592 2008.11.06 -
Norman 5.80.02 2008.11.06 -
Panda 9.0.0.4 2008.11.05 Suspicious file
PCTools 4.4.2.0 2008.11.06 -
Prevx1 V2 2008.11.06 Cloaked Malware
Rising 21.02.32.00 2008.11.06 -
SecureWeb-
Gateway 6.7.6 2008.11.06 -
Sophos 4.35.0 2008.11.06 -
Sunbelt 3.1.1783.2 2008.11.05 BehavesLike.Win32.Malware
(v)
Symantec 10 2008.11.06 -
TheHacker 6.3.1.1.141 2008.11.05 -
TrendMicro 8.700.0.1004 2008.11.06 -
VBA32 3.12.8.9 2008.11.05 -
ViRobot 2008.11.6.1455 2008.11.06 -
VirusBuster 4.5.11.0 2008.11.06 -


weitere Informationen
File size: 81920 bytes
MD5...: d59ddcfa25e656592b27d2038dcf4bf1
SHA1..: 6bf9ecd1b16f6c14a9af7931a56815ae241f196a
SHA256: 6f51d4df7f2ca369a42ac4dec2c574113907ae9fe3c0829e7a73ef97033179e1
SHA512: f5ac184bd8aa3814c87119bf16d7f6f748cde6e8c1393baa9afdb51c833dda56
db4195c506c4d7da30a724c545a638563548e53542f15e9138bb14e8ab60648e
PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x40aa86
timedatestamp.....: 0x4912ee9b (Thu Nov 06 13:18:19 2008)
machinetype.......: 0x14c (I386)
( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xf31f 0x10000 6.20 3f506aae14d326257effb5567da4be84
.rdata 0x11000 0x1fe2 0x2000 5.47 bf8feebb91f1de1e73205b67ae669831
.data 0x13000 0x3798 0x1000 1.46 0dbdc1740125e785bdfcadcd8bdf6e95
( 6 imports )
> USER32.dll: LoadImageA
> ADVAPI32.dll: RegCloseKey, RegEnumValueA, RegGetKeySecurity,
RegOpenKeyExA, RegCreateKeyExA, RegSetValueExA, RegQueryValueExA,
LookupAccountSidA, GetTokenInformation, OpenProcessToken
> WS2_32.dll: -, -
> WININET.dll: InternetReadFile, HttpQueryInfoA, InternetCloseHandle,
InternetOpenUrlA, InternetOpenA
> NETAPI32.dll: NetUserGetInfo, NetApiBufferFree
> KERNEL32.dll: SetEnvironmentVariableA, GetSystemInfo, VirtualProtect,
GetLocaleInfoA, FlushFileBuffers, GetStringTypeW, GetStringTypeA,
LCMapStringW, LCMapStringA, SetStdHandle, GetCPInfo, GetOEMCP, GetACP,
GetVolumeInformationA, GetSystemDirectoryA, CreateDirectoryA,GetStartupInfoA, GetFileType, OpenProcess, GetFileTime,
GetProcessPriorityBoost, OpenMutexA, CreateMutexA, CloseHandle,
GetDriveTypeA, GetLogicalDriveStringsA, Sleep, GetLastError,
GetLocalTime, GetShortPathNameA, GetEnvironmentVariableA, ExitProcess,
SetFileAttributesA, CreateFileA, CreateProcessA, GlobalFree,
CreateThread, GlobalAlloc, MultiByteToWideChar, GetModuleFileNameA,
GetCurrentProcess, CopyFileA, WriteFile, RtlUnwind,
GetSystemTimeAsFileTime, GetProcAddress, GetModuleHandleA,
TerminateProcess, GetCommandLineA, GetVersionExA,
QueryPerformanceCounter, GetTickCount, GetCurrentThreadId,
GetCurrentProcessId, HeapReAlloc, HeapAlloc, HeapSize, GetStdHandle,
UnhandledExceptionFilter, FreeEnvironmentStringsA, GetEnvironmentStrings,
FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStringsW,
SetHandleCount, HeapDestroy, HeapCreate, VirtualFree, HeapFree,
LoadLibraryA, InterlockedExchange, VirtualQuery, SetFilePointer,
SetUnhandledExceptionFilter, IsBadReadPtr, IsBadWritePtr, IsBadCodePtr,
VirtualAlloc
( 0 exports )
Prevx info: http://info.prevx.com
/aboutprogramtext.asp?PX5=B617C071008CE0F7409B01EA798B8A00B73DD4C9

Datei2:

Zitat:

Datei mqtgsvc.exe empfangen 2008.11.06 20:31:20 (CET)
Status: Beendet
Ergebnis: 4/36 (11.12%)


Antivirus Version letzte
aktualisierung Ergebnis
AhnLab-V3 2008.11.5.3 2008.11.06 -
AntiVir 7.9.0.26 2008.11.06 -
Authentium 5.1.0.4 2008.11.06 -
Avast 4.8.1248.0 2008.11.06 -
AVG 8.0.0.161 2008.11.06 -
BitDefender 7.2 2008.11.06 -
CAT-QuickHeal 9.50 2008.11.04 -
ClamAV 0.94.1 2008.11.06 -
DrWeb 4.44.0.09170 2008.11.06 -
eSafe 7.0.17.0 2008.11.06 -
eTrust-Vet 31.6.6195 2008.11.06 -
Ewido 4.0 2008.11.06 -
F-Prot 4.4.4.56 2008.11.06 -
F-Secure 8.0.14332.0 2008.11.06 -
Fortinet 3.117.0.0 2008.11.06 -
GData 19 2008.11.06 -
Ikarus T3.1.1.45.0 2008.11.06 -
K7AntiVirus 7.10.518 2008.11.06 -
Kaspersky 7.0.0.125 2008.11.06 Heur.Trojan.Generic
McAfee 5425 2008.11.05 -
Microsoft 1.4005 2008.11.06 -
NOD32 3592 2008.11.06 -
Norman 5.80.02 2008.11.06 -
Panda 9.0.0.4 2008.11.05 Suspicious file
PCTools 4.4.2.0 2008.11.06 -
Prevx1 V2 2008.11.06 Cloaked Malware
Rising 21.02.32.00 2008.11.06 -
SecureWeb-
Gateway 6.7.6 2008.11.06 -
Sophos 4.35.0 2008.11.06 -
Sunbelt 3.1.1783.2 2008.11.05 BehavesLike.Win32.Malware
(v)
Symantec 10 2008.11.06 -
TheHacker 6.3.1.1.141 2008.11.05 -
TrendMicro 8.700.0.1004 2008.11.06 -
VBA32 3.12.8.9 2008.11.05 -
ViRobot 2008.11.6.1455 2008.11.06 -
VirusBuster 4.5.11.0 2008.11.06 -

weitere Informationen
File size: 81920 bytes
MD5...: d59ddcfa25e656592b27d2038dcf4bf1
SHA1..: 6bf9ecd1b16f6c14a9af7931a56815ae241f196a
SHA256: 6f51d4df7f2ca369a42ac4dec2c574113907ae9fe3c0829e7a73ef97033179e1
SHA512: f5ac184bd8aa3814c87119bf16d7f6f748cde6e8c1393baa9afdb51c833dda56
db4195c506c4d7da30a724c545a638563548e53542f15e9138bb14e8ab60648e
PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x40aa86
timedatestamp.....: 0x4912ee9b (Thu Nov 06 13:18:19 2008)
machinetype.......: 0x14c (I386)
( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xf31f 0x10000 6.20 3f506aae14d326257effb5567da4be84
.rdata 0x11000 0x1fe2 0x2000 5.47 bf8feebb91f1de1e73205b67ae669831
.data 0x13000 0x3798 0x1000 1.46 0dbdc1740125e785bdfcadcd8bdf6e95
( 6 imports )
> USER32.dll: LoadImageA
> ADVAPI32.dll: RegCloseKey, RegEnumValueA, RegGetKeySecurity,
RegOpenKeyExA, RegCreateKeyExA, RegSetValueExA, RegQueryValueExA,
LookupAccountSidA, GetTokenInformation, OpenProcessToken
> WS2_32.dll: -, -
> WININET.dll: InternetReadFile, HttpQueryInfoA, InternetCloseHandle,
InternetOpenUrlA, InternetOpenA
> NETAPI32.dll: NetUserGetInfo, NetApiBufferFree
> KERNEL32.dll: SetEnvironmentVariableA, GetSystemInfo, VirtualProtect,
GetLocaleInfoA, FlushFileBuffers, GetStringTypeW, GetStringTypeA,
LCMapStringW, LCMapStringA, SetStdHandle, GetCPInfo, GetOEMCP, GetACP,
GetVolumeInformationA, GetSystemDirectoryA, CreateDirectoryA,GetStartupInfoA, GetFileType, OpenProcess, GetFileTime,
GetProcessPriorityBoost, OpenMutexA, CreateMutexA, CloseHandle,
GetDriveTypeA, GetLogicalDriveStringsA, Sleep, GetLastError,
GetLocalTime, GetShortPathNameA, GetEnvironmentVariableA, ExitProcess,
SetFileAttributesA, CreateFileA, CreateProcessA, GlobalFree,
CreateThread, GlobalAlloc, MultiByteToWideChar, GetModuleFileNameA,
GetCurrentProcess, CopyFileA, WriteFile, RtlUnwind,
GetSystemTimeAsFileTime, GetProcAddress, GetModuleHandleA,
TerminateProcess, GetCommandLineA, GetVersionExA,
QueryPerformanceCounter, GetTickCount, GetCurrentThreadId,
GetCurrentProcessId, HeapReAlloc, HeapAlloc, HeapSize, GetStdHandle,
UnhandledExceptionFilter, FreeEnvironmentStringsA, GetEnvironmentStrings,
FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStringsW,
SetHandleCount, HeapDestroy, HeapCreate, VirtualFree, HeapFree,
LoadLibraryA, InterlockedExchange, VirtualQuery, SetFilePointer,
SetUnhandledExceptionFilter, IsBadReadPtr, IsBadWritePtr, IsBadCodePtr,
VirtualAlloc
( 0 exports )
Prevx info: http://info.prevx.com
/aboutprogramtext.asp?PX5=B617C071008CE0F7409B01EA798B8A00B73DD4C9

Datei3:

Zitat:

Datei comrepl.exe empfangen 2008.11.06 20:33:03 (CET)
Status: Beendet
Ergebnis: 4/36 (11.12%)


Antivirus Version letzte
aktualisierung Ergebnis
AhnLab-V3 2008.11.5.3 2008.11.06 -
AntiVir 7.9.0.26 2008.11.06 -
Authentium 5.1.0.4 2008.11.06 -
Avast 4.8.1248.0 2008.11.06 -
AVG 8.0.0.161 2008.11.06 -
BitDefender 7.2 2008.11.06 -
CAT-QuickHeal 9.50 2008.11.04 -
ClamAV 0.94.1 2008.11.06 -
DrWeb 4.44.0.09170 2008.11.06 -
eSafe 7.0.17.0 2008.11.06 -
eTrust-Vet 31.6.6195 2008.11.06 -
Ewido 4.0 2008.11.06 -
F-Prot 4.4.4.56 2008.11.06 -
F-Secure 8.0.14332.0 2008.11.06 -
Fortinet 3.117.0.0 2008.11.06 -
GData 19 2008.11.06 -
Ikarus T3.1.1.45.0 2008.11.06 -
K7AntiVirus 7.10.518 2008.11.06 -
Kaspersky 7.0.0.125 2008.11.06 Heur.Trojan.Generic
McAfee 5425 2008.11.05 -
Microsoft 1.4005 2008.11.06 -
NOD32 3592 2008.11.06 -
Norman 5.80.02 2008.11.06 -
Panda 9.0.0.4 2008.11.05 Suspicious file
PCTools 4.4.2.0 2008.11.06 -
Prevx1 V2 2008.11.06 Cloaked Malware
Rising 21.02.32.00 2008.11.06 -
SecureWeb-
Gateway 6.7.6 2008.11.06 -
Sophos 4.35.0 2008.11.06 -
Sunbelt 3.1.1783.2 2008.11.05 BehavesLike.Win32.Malware
(v)
Symantec 10 2008.11.06 -
TheHacker 6.3.1.1.141 2008.11.05 -
TrendMicro 8.700.0.1004 2008.11.06 -
VBA32 3.12.8.9 2008.11.05 -
ViRobot 2008.11.6.1455 2008.11.06 -
VirusBuster 4.5.11.0 2008.11.06 -

weitere Informationen
File size: 81920 bytes
MD5...: d59ddcfa25e656592b27d2038dcf4bf1
SHA1..: 6bf9ecd1b16f6c14a9af7931a56815ae241f196a
SHA256: 6f51d4df7f2ca369a42ac4dec2c574113907ae9fe3c0829e7a73ef97033179e1
SHA512: f5ac184bd8aa3814c87119bf16d7f6f748cde6e8c1393baa9afdb51c833dda56
db4195c506c4d7da30a724c545a638563548e53542f15e9138bb14e8ab60648e
PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x40aa86
timedatestamp.....: 0x4912ee9b (Thu Nov 06 13:18:19 2008)
machinetype.......: 0x14c (I386)
( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xf31f 0x10000 6.20 3f506aae14d326257effb5567da4be84
.rdata 0x11000 0x1fe2 0x2000 5.47 bf8feebb91f1de1e73205b67ae669831
.data 0x13000 0x3798 0x1000 1.46 0dbdc1740125e785bdfcadcd8bdf6e95
( 6 imports )
> USER32.dll: LoadImageA
> ADVAPI32.dll: RegCloseKey, RegEnumValueA, RegGetKeySecurity,
RegOpenKeyExA, RegCreateKeyExA, RegSetValueExA, RegQueryValueExA,
LookupAccountSidA, GetTokenInformation, OpenProcessToken
> WS2_32.dll: -, -
> WININET.dll: InternetReadFile, HttpQueryInfoA, InternetCloseHandle,
InternetOpenUrlA, InternetOpenA
> NETAPI32.dll: NetUserGetInfo, NetApiBufferFree
> KERNEL32.dll: SetEnvironmentVariableA, GetSystemInfo, VirtualProtect,
GetLocaleInfoA, FlushFileBuffers, GetStringTypeW, GetStringTypeA,
LCMapStringW, LCMapStringA, SetStdHandle, GetCPInfo, GetOEMCP, GetACP,
GetVolumeInformationA, GetSystemDirectoryA, CreateDirectoryA,GetStartupInfoA, GetFileType, OpenProcess, GetFileTime,
GetProcessPriorityBoost, OpenMutexA, CreateMutexA, CloseHandle,
GetDriveTypeA, GetLogicalDriveStringsA, Sleep, GetLastError,
GetLocalTime, GetShortPathNameA, GetEnvironmentVariableA, ExitProcess,
SetFileAttributesA, CreateFileA, CreateProcessA, GlobalFree,
CreateThread, GlobalAlloc, MultiByteToWideChar, GetModuleFileNameA,
GetCurrentProcess, CopyFileA, WriteFile, RtlUnwind,
GetSystemTimeAsFileTime, GetProcAddress, GetModuleHandleA,
TerminateProcess, GetCommandLineA, GetVersionExA,
QueryPerformanceCounter, GetTickCount, GetCurrentThreadId,
GetCurrentProcessId, HeapReAlloc, HeapAlloc, HeapSize, GetStdHandle,
UnhandledExceptionFilter, FreeEnvironmentStringsA, GetEnvironmentStrings,
FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStringsW,
SetHandleCount, HeapDestroy, HeapCreate, VirtualFree, HeapFree,
LoadLibraryA, InterlockedExchange, VirtualQuery, SetFilePointer,
SetUnhandledExceptionFilter, IsBadReadPtr, IsBadWritePtr, IsBadCodePtr,
VirtualAlloc
( 0 exports )
Prevx info: http://info.prevx.com
/aboutprogramtext.asp?PX5=B617C071008CE0F7409B01EA798B8A00B73DD4C9

Datei4:

Zitat:

Datei cisvc.exe empfangen 2008.11.06 20:36:13 (CET)
Status: Beendet
Ergebnis: 4/36 (11.12%)

Antivirus Version letzte
aktualisierung Ergebnis
AhnLab-V3 2008.11.5.3 2008.11.06 -
AntiVir 7.9.0.26 2008.11.06 -
Authentium 5.1.0.4 2008.11.06 -
Avast 4.8.1248.0 2008.11.06 -
AVG 8.0.0.161 2008.11.06 -
BitDefender 7.2 2008.11.06 -
CAT-QuickHeal 9.50 2008.11.04 -
ClamAV 0.94.1 2008.11.06 -
DrWeb 4.44.0.09170 2008.11.06 -
eSafe 7.0.17.0 2008.11.06 -
eTrust-Vet 31.6.6195 2008.11.06 -
Ewido 4.0 2008.11.06 -
F-Prot 4.4.4.56 2008.11.06 -
F-Secure 8.0.14332.0 2008.11.06 -
Fortinet 3.117.0.0 2008.11.06 -
GData 19 2008.11.06 -
Ikarus T3.1.1.45.0 2008.11.06 -
K7AntiVirus 7.10.518 2008.11.06 -
Kaspersky 7.0.0.125 2008.11.06 Heur.Trojan.Generic
McAfee 5425 2008.11.05 -
Microsoft 1.4005 2008.11.06 -
NOD32 3592 2008.11.06 -
Norman 5.80.02 2008.11.06 -
Panda 9.0.0.4 2008.11.05 Suspicious file
PCTools 4.4.2.0 2008.11.06 -
Prevx1 V2 2008.11.06 Cloaked Malware
Rising 21.02.32.00 2008.11.06 -
SecureWeb-
Gateway 6.7.6 2008.11.06 -
Sophos 4.35.0 2008.11.06 -
Sunbelt 3.1.1783.2 2008.11.05 BehavesLike.Win32.Malware
(v)
Symantec 10 2008.11.06 -
TheHacker 6.3.1.1.141 2008.11.05 -
TrendMicro 8.700.0.1004 2008.11.06 -
VBA32 3.12.8.9 2008.11.05 -
ViRobot 2008.11.6.1455 2008.11.06 -
VirusBuster 4.5.11.0 2008.11.06 -

weitere Informationen
File size: 81920 bytes
MD5...: d59ddcfa25e656592b27d2038dcf4bf1
SHA1..: 6bf9ecd1b16f6c14a9af7931a56815ae241f196a
SHA256: 6f51d4df7f2ca369a42ac4dec2c574113907ae9fe3c0829e7a73ef97033179e1
SHA512: f5ac184bd8aa3814c87119bf16d7f6f748cde6e8c1393baa9afdb51c833dda56
db4195c506c4d7da30a724c545a638563548e53542f15e9138bb14e8ab60648e
PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x40aa86
timedatestamp.....: 0x4912ee9b (Thu Nov 06 13:18:19 2008)
machinetype.......: 0x14c (I386)
( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xf31f 0x10000 6.20 3f506aae14d326257effb5567da4be84
.rdata 0x11000 0x1fe2 0x2000 5.47 bf8feebb91f1de1e73205b67ae669831
.data 0x13000 0x3798 0x1000 1.46 0dbdc1740125e785bdfcadcd8bdf6e95
( 6 imports )
> USER32.dll: LoadImageA
> ADVAPI32.dll: RegCloseKey, RegEnumValueA, RegGetKeySecurity,
RegOpenKeyExA, RegCreateKeyExA, RegSetValueExA, RegQueryValueExA,
LookupAccountSidA, GetTokenInformation, OpenProcessToken
> WS2_32.dll: -, -
> WININET.dll: InternetReadFile, HttpQueryInfoA, InternetCloseHandle,
InternetOpenUrlA, InternetOpenA
> NETAPI32.dll: NetUserGetInfo, NetApiBufferFree
> KERNEL32.dll: SetEnvironmentVariableA, GetSystemInfo, VirtualProtect,
GetLocaleInfoA, FlushFileBuffers, GetStringTypeW, GetStringTypeA,
LCMapStringW, LCMapStringA, SetStdHandle, GetCPInfo, GetOEMCP, GetACP,
GetVolumeInformationA, GetSystemDirectoryA, CreateDirectoryA,GetStartupInfoA, GetFileType, OpenProcess, GetFileTime,
GetProcessPriorityBoost, OpenMutexA, CreateMutexA, CloseHandle,
GetDriveTypeA, GetLogicalDriveStringsA, Sleep, GetLastError,
GetLocalTime, GetShortPathNameA, GetEnvironmentVariableA, ExitProcess,
SetFileAttributesA, CreateFileA, CreateProcessA, GlobalFree,
CreateThread, GlobalAlloc, MultiByteToWideChar, GetModuleFileNameA,
GetCurrentProcess, CopyFileA, WriteFile, RtlUnwind,
GetSystemTimeAsFileTime, GetProcAddress, GetModuleHandleA,
TerminateProcess, GetCommandLineA, GetVersionExA,
QueryPerformanceCounter, GetTickCount, GetCurrentThreadId,
GetCurrentProcessId, HeapReAlloc, HeapAlloc, HeapSize, GetStdHandle,
UnhandledExceptionFilter, FreeEnvironmentStringsA, GetEnvironmentStrings,
FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStringsW,
SetHandleCount, HeapDestroy, HeapCreate, VirtualFree, HeapFree,
LoadLibraryA, InterlockedExchange, VirtualQuery, SetFilePointer,
SetUnhandledExceptionFilter, IsBadReadPtr, IsBadWritePtr, IsBadCodePtr,
VirtualAlloc
( 0 exports )
Prevx info: http://info.prevx.com
/aboutprogramtext.asp?PX5=B617C071008CE0F7409B01EA798B8A00B73DD4C9

so weiter gehts ...

Sehr schlecht...
Packe die ganzen Dateien in ein ZIP-Archiv und mach folgendes:

1. Sende sie an Avira: Submit your sample (Wichtig: Bei "Typ" Verdacht auf Fehlalarm einstellen)

2. Bitte das Archiv extern sichern, evtl. zur weiteren Analyse.

mfg

ok kann man die Dateien evtl. vom Rechner entfernen ? oder macht das keinen sinn und sie reproduzieren sich selbst ?
Damit meine ich die Dateien so wie sie im system waren und nicht die im zip-file.


MFg

auf jedenfall erstmal Danke für die schnelle Hilfe

Wenn du meine ehrliche Meinung hören willst:

Ich würde die Kiste plattmachen.
Es scheint, was ganz neues zu sein und sieht auf jedenfall nicht gesund aus...

soo bei Avira hat sich was getan, es gibt sogar einen neuen Namen für den Trojaner.

Zitat:

Avira Virus Lab Response Team
Dateiname Ergebnis
cisvc.exe MALWARE

Die Datei 'cisvc.exe' wurde als 'MALWARE' eingestuft. Unsere Analytiker haben dieser Bedrohung den Namen TR/Agent.aitr gegeben. Bei der Bezeichnung "TR/" handelt es sich um ein Trojanisches Pferd, dass in der Lage ist, ihre Daten auszuspähen, Ihre Privatsphäre zu verletzen und nicht erwünschte Änderungen am System vornehmen kann.Ein Erkennungsmuster wird mit einem der nächsten Updates der Virendefinitionsdatei (VDF) hinzugefügt werden.

mfg und danke für die schnelle Hilfe hier im Board.

Was sagt Avira zu den anderen Dateien, die im Archiv enthalten waren?

bisher garnichts, aber ich werde die anderen dateien seperat nochmal hochladen, mal schaun was es gibt.

Also die anderen Dateien beinhalten genau das gleiche Trojanische Pferd.

Heute ist die Virus definitionsdader Trojaner wurde aus meinem System entfernt.
Zumindest die Dateien die sich immer reproduziert haben, wurden entfernt. Zudem ist das ausfallen der Firewall und von Avira beim Systemstart nicht mehr vorgekommen.

Werde jetzt doch noch ein 2. Backupsystem aufsetzen und die PLatten in diesem Rechner LowLevel formatieren, dabei weiß ich dann wenigstens, dass alles weg ist.


MFG und danke nochmal
man sieht sich.