Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
wieder mal BOO/Sinowal

wieder mal BOO/Sinowal


Log-Analyse und Auswertung: wieder mal BOO/Sinowal

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

 
Vorheriger Beitrag Vorheriger Beitrag   Nächster Beitrag Nächster Beitrag
Alt 31.12.2008, 16:50   #1
Virenschaden
 
wieder mal BOO/Sinowal - Standard

wieder mal BOO/Sinowal


Hallo Trojaner

jetzt hat es mich pünktlich zum Jahresende auch erwischt.

Antivir meldet:

Zitat:
Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[FUND] Enthält Code des Bootsektorvirus BOO/Sinowal.A
[HINWEIS] Der Sektor wurde nicht neu geschrieben!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der PC:
BS Windows XP Pro derzeit SP1
Festplatte 1 160GB, partitioniert in jeweils 15GB Partitionen (C;E;....)
Festplatte 2 irgendwas um 3GB (Partition D), ein Relikt, aber mit BS WIN XP Pro drauf, wird aber nicht genutzt - kein Dualboot eingerichtet.

Was war:
Der Rechner lief schon seit ner Weile recht instabil, ergo Neuinstallation über Weihnachten.
Dann vergangenes Wochenende, irgend eine Internetseite aufgerufen - blubb, Meldung: Rechner wird heruntergefahren, was er dann auch tat. Nach dem Neustart war keine Netzwerkverbindung mehr vorhanden, nicht mal per "Ping" war der Router mehr ansprechbar.
Vermutung, Netzwerktreiber irgendwie abgeschossen, jetzt wirds Zeit für die Neuinstallation.
Ob die Instabilität allerdings causal mit dem Virus zusammenhängt, wage ich nicht zu behaupten.


Was wurde gemacht:
Die wichtigen Daten wurden nochmals gesichert.
Win XP Pro wurde auf C neu installiert, dabei wurde Partition C neu formatiert (nicht schnellformatiert). Ein paar Treiber wurden aufgespielt, Netzwerk funktioniert, Antivir aufgespielt, neue Virendefinition vom 29.12.2008 aufgespielt, Suchlauf -> Ergebniss: BOO/Sinowal.A

Dann, mit einigem Zirkus, Bootwizard von Avira laufen lassen, Ergebniss Malware aber keine Reparatur
Als nächstes Windows Reparaturkonsole gestartet und FIXMBR ausgeführt.
Das meldet einen unüblichen MBR, dieser wurde dann erfolgreich neu geschrieben.
Nochmaliger Aufruf von FIXMBR, gleiches Ergebniss.
Auch FIXBOOT hilft nicht.
Antivir meldet weiterhin BOO/Sinowal.A

Weitere Recherchen im Internet, vor allem Trojanerboard.
MBR.EXE runtergeladen Ergebniss:

Zitat:
Stealth MBR rootkit detector 0.2.4 by Gmer, http:xx

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x12a14c00 size 0x1ae !
copy of MBR has been found in sector 62 !
Versuch mit MBR.EXE -f, kein Erfolg.

Damit bin ich eigentlich mit meinem Latein am Ende.

Ich habe dann noch GMER laufen lassen:

Zitat:
GMER 1.0.14.14536 - http:xx
Rootkit scan 2008-12-31 15:21:12
Windows 5.1.2600 Service Pack 1


---- System - GMER 1.0.14 ----

SSDT F7A95164 ZwCreateThread
SSDT F7A95150 ZwOpenProcess
SSDT F7A95155 ZwOpenThread
SSDT F7A9515F ZwTerminateProcess
SSDT F7A9515A ZwWriteVirtualMemory

---- Kernel code sections - GMER 1.0.14 ----

.text ntoskrnl.exe!KeInitializeInterrupt + B67 804DA23C 1 Byte [ 06 ]
.text ntoskrnl.exe!KeI386Call16BitCStyleFunction + 1E0 8050265C 4 Bytes [ 64, 51, A9, F7 ]
.text ntoskrnl.exe!KeI386Call16BitCStyleFunction + 2F4 80502770 4 Bytes [ 50, 51, A9, F7 ]
.text ntoskrnl.exe!KeI386Call16BitCStyleFunction + 30C 80502788 4 Bytes [ 55, 51, A9, F7 ]
.text ntoskrnl.exe!KeI386Call16BitCStyleFunction + 510 8050298C 4 Bytes [ 5F, 51, A9, F7 ]
.text ntoskrnl.exe!KeI386Call16BitCStyleFunction + 560 805029DC 4 Bytes [ 5A, 51, A9, F7 ]
? C:\DOKUME~1\h\LOKALE~1\Temp\mbr.sys Das System kann die angegebene Datei nicht finden. !

---- Devices - GMER 1.0.14 ----

AttachedDevice \FileSystem\Ntfs \Ntfs avgntmgr.sys (Avira AntiVir File Filter Driver Manager/Avira GmbH)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 Ch2kPS2.sys (Cherry PS2 driver for Win2k/Cherry GmbH)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 Ch2kPS2.sys (Cherry PS2 driver for Win2k/Cherry GmbH)
AttachedDevice \FileSystem\Fastfat \Fat avgntmgr.sys (Avira AntiVir File Filter Driver Manager/Avira GmbH)

---- Disk sectors - GMER 1.0.14 ----

Disk \Device\Harddisk0\DR0 sector 61: malicious code @ sector 0x12a14c00 size 0x1ae
Disk \Device\Harddisk0\DR0 sector 62: copy of MBR

---- EOF - GMER 1.0.14 ----

Das Hijackthis-Log schaut auch noch frisch aus, wie auch, wenn eigentlich noch nichts installiert ist.
Myrtilles Link zu DSS scheint leider nicht mehr zu funktionieren.

Noch paar Infos:

FIXMBR findet die MBRs beider Festplatten strange.

Ich habe noch ne etwas ältere Virendefinition vom 30.11.08 auf dem Rechner gefunden.
Wenn ich die installiere findet Antivir nichts im Bootsector.


Bevor ich den Rechner weiter installiere würde ich den MBR gerne sauber haben, aber wie?

Ich hoffe, dass mir hier jemand weiterhelfen kann.

Gruss H

 

Themen zu wieder mal BOO/Sinowal
avg, avira, boo/sinowal.a, bootsektorvirus, harddisk, hijack, hängt, internetseite, link, malware, mbr rootkit, neu, neue, neustart, ntoskrnl.exe, rootkit, router, scan, seite, stealth mbr rootkit, suchlauf, system, temp, trojaner, virus, virus gefunden, win xp, windows, windows xp


« Hab ich noch was auf dem Rechner? (Troj./Malw.ect) | FF öffnet immer zweites Fenter mit Werbung »


Ähnliche Themen: wieder mal BOO/Sinowal


  1. Wie entferne ich BDS/Sinowal.knfal oder generell Sinowal?
    Plagegeister aller Art und deren Bekämpfung - 31.12.2011 (17)
  2. BOO/Sinowal.A
    Plagegeister aller Art und deren Bekämpfung - 24.05.2011 (1)
  3. RKIT/MBR.Sinowal.J ...Boo/Sinowal.C ...W32/Stanit
    Plagegeister aller Art und deren Bekämpfung - 25.02.2011 (15)
  4. BOO/Sinowal.F
    Log-Analyse und Auswertung - 22.07.2010 (2)
  5. 'BDS/Sinowal.ilw' [backdoor] und trojanische Pferde kommen immer wieder
    Log-Analyse und Auswertung - 06.05.2010 (7)
  6. BOO/Sinowal.e
    Plagegeister aller Art und deren Bekämpfung - 22.10.2009 (15)
  7. BOO/Sinowal.E
    Plagegeister aller Art und deren Bekämpfung - 19.10.2009 (9)
  8. BOO/Sinowal.E
    Antiviren-, Firewall- und andere Schutzprogramme - 17.10.2009 (54)
  9. BOO/Sinowal.D
    Plagegeister aller Art und deren Bekämpfung - 02.08.2009 (18)
  10. Sinowal und Co.
    Plagegeister aller Art und deren Bekämpfung - 03.04.2009 (2)
  11. Schon wieder BOO/Sinowal.A
    Plagegeister aller Art und deren Bekämpfung - 31.03.2009 (27)
  12. B00 / Sinowal.A
    Plagegeister aller Art und deren Bekämpfung - 17.03.2009 (4)
  13. B00 / Sinowal.A
    Log-Analyse und Auswertung - 05.03.2009 (0)
  14. boo/sinowal.A
    Plagegeister aller Art und deren Bekämpfung - 17.11.2008 (21)
  15. System wieder sauber? BOO/Sinowal.A
    Plagegeister aller Art und deren Bekämpfung - 21.10.2008 (2)
  16. BOO/Sinowal.A
    Plagegeister aller Art und deren Bekämpfung - 12.08.2008 (17)
  17. Sinowal.A mal wieder!
    Log-Analyse und Auswertung - 09.07.2008 (16)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema wieder mal BOO/Sinowal - Hallo Trojaner jetzt hat es mich pünktlich zum Jahresende auch erwischt. Antivir meldet: Zitat: Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Masterbootsektor - wieder mal BOO/Sinowal...
Archiv
Du betrachtest: wieder mal BOO/Sinowal auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19