|
Log-Analyse und Auswertung: pc lahmt (nach neuafsetzten des Betriebssystems wegen BOO/Sinowal.A Infect)Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
30.01.2009, 21:27 | #1 |
| pc lahmt (nach neuafsetzten des Betriebssystems wegen BOO/Sinowal.A Infect) moin moin, habe vor einigen tagen mein system komplett neu aufgesetzt, da ich nach 3jahren störungsfreiem betrieb mit nen mal "BOO/Sinowal.A" auf meiner platte hatte. dank "Dr.Web" hab ich es vom Rechner bekommen (dachte ich zumindest bisher) nun mit frisch aufgesetztem system läuft nach einigen tagen alles recht langsam und mich plagt die ungewissheit ob die kiste nun sauber ist oder nicht. ich nutze WinXP SP3, nutze hauptsächlich opera und habe nun eine 30tage trial version von "DrWeb 5.0" im einsatz, welche jedoch keine infektion finden kann. hab mal nen HJT-log erstellt: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21:01:25, on 30.01.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16735) Boot mode: Normal Running processes: C:\WINXP\System32\smss.exe C:\WINXP\system32\winlogon.exe C:\WINXP\system32\services.exe C:\WINXP\system32\lsass.exe C:\WINXP\system32\svchost.exe C:\WINXP\System32\svchost.exe C:\WINXP\system32\spoolsv.exe C:\Programme\avmwlanstick\WlanNetService.exe C:\Programme\Gemeinsame Dateien\Doctor Web\Scanning Engine\dwengine.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe c:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe C:\PROGRA~1\DrWeb\spidernt.exe C:\WINXP\system32\svchost.exe C:\WINXP\Explorer.EXE C:\Programme\avmwlanstick\wlangui.exe C:\Programme\Java\jre6\bin\jusched.exe C:\Programme\Ad Muncher\AdMunch.exe C:\Programme\DrWeb\SpIDerAgent.exe C:\Programme\DrWeb\spiderml.exe C:\Programme\DrWeb\spidergate.exe C:\PROGRA~1\DrWeb\spiderui.exe C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe C:\WINXP\system32\ctfmon.exe C:\WINXP\system32\devldr32.exe C:\Programme\Opera\opera.exe C:\Programme\DrWeb\DrWebUpW.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [Ad Muncher] "C:\Programme\Ad Muncher\AdMunch.exe" /bt O4 - HKLM\..\Run: [SpIDerAgent] "C:\Programme\DrWeb\SpIDerAgent.exe" O4 - HKLM\..\Run: [SpIDerMail] "C:\Programme\DrWeb\spiderml.exe" O4 - HKLM\..\Run: [SpIDerGate] "C:\Programme\DrWeb\spidergate.exe" -autorun O4 - HKLM\..\Run: [SpIDerNT] C:\PROGRA~1\DrWeb\spiderui.exe /agent O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINXP\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user') O4 - S-1-5-18 Startup: WISO Mein Sparbuch heute.lnk = C:\Programme\WISO\Sparbuch 2009\meinsparbuchheute.exe (User 'SYSTEM') O4 - .DEFAULT Startup: WISO Mein Sparbuch heute.lnk = C:\Programme\WISO\Sparbuch 2009\meinsparbuchheute.exe (User 'Default user') O4 - Startup: WISO Mein Sparbuch heute.lnk = C:\Programme\WISO\Sparbuch 2009\meinsparbuchheute.exe O8 - Extra context menu item: Block frame with Ad Muncher - h**p://w*w.admuncher.com/request_will_be_intercepted_by/Ad_Muncher/browserextensions.pl?exbrowser=ie&exversion=0.4&pass=935901DS&id=menu_ie_frame O8 - Extra context menu item: Block image with Ad Muncher - h**p://w*w.admuncher.com/request_will_be_intercepted_by/Ad_Muncher/browserextensions.pl?exbrowser=ie&exversion=0.4&pass=935901DS&id=menu_ie_image O8 - Extra context menu item: Block link with Ad Muncher - h**p://w*w.admuncher.com/request_will_be_intercepted_by/Ad_Muncher/browserextensions.pl?exbrowser=ie&exversion=0.4&pass=935901DS&id=menu_ie_link O8 - Extra context menu item: Don't filter page with Ad Muncher - h**p://w*w.admuncher.com/request_will_be_intercepted_by/Ad_Muncher/browserextensions.pl?exbrowser=ie&exversion=0.4&pass=935901DS&id=menu_ie_exclude O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O8 - Extra context menu item: Report page to the Ad Muncher developers - h***p://w*w.admuncher.com/request_will_be_intercepted_by/Ad_Muncher/browserextensions.pl?exbrowser=ie&exversion=0.4&pass=935901DS&id=menu_ie_report O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe O23 - Service: Dr.Web ® Scanning Engine (DrWebEngine) (DrWebEngine) - Doctor Web, Ltd. - C:\Programme\Gemeinsame Dateien\Doctor Web\Scanning Engine\dwengine.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINXP\system32\HPZipm12.exe O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - c:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe O23 - Service: SpIDer Guard for Windows (SPIDERNT) - Doctor Web, Ltd. - C:\PROGRA~1\DrWeb\spidernt.exe -- End of file - 7714 bytes bin für jede Hilfe dankbar topSpin |
30.01.2009, 21:34 | #2 |
| pc lahmt (nach neuafsetzten des Betriebssystems wegen BOO/Sinowal.A Infect) Hallo topspin!
__________________Wenn du deinen PC richtig neu aufgesetzt hast, dann dürften die Schädlinge entfernt sein. Kann ja sein, dass du dir wieder einen Schädling seit dem Neuaufsetzen eingefangen hast. Oder ist der PC schohn genau nach dem Neuaufsetzen so brechend langsam? Lade dir bitte Malwarebytes Antimalware runter und scanne dein System vollständig. Download: Malwarebytes.org Vergiss nicht die Funde zu entfernen und poste das Scanergebnis wie einen neuen HJT-Log bitte hir.
__________________ |
31.01.2009, 01:50 | #3 |
| pc lahmt (nach neuafsetzten des Betriebssystems wegen BOO/Sinowal.A Infect) erstmal danke für die schnelle antwort.
__________________hab Malwarebytes Antimalware installiert und komplett scannen lassen, "leider" ohne erfolg, wobei ich eigentlich froh sein sollte das er nix gefunden hat. Jedoch besteht weiterhin mein problem das die kiste echt lahm geworden ist. habe zB wenn ich online bin richtige aussetzer, wo ich dann für 10-15sek garnix machen kann. was kann ich noch tun um das problem einzugrenzen bzw zu finden und zu beseitigen? nochmal neu aufsetzen?? |
31.01.2009, 01:53 | #4 |
| pc lahmt (nach neuafsetzten des Betriebssystems wegen BOO/Sinowal.A Infect) achso bevor ich vergesse hier noch das logfile: Malwarebytes' Anti-Malware 1.33 Datenbank Version: 1710 Windows 5.1.2600 Service Pack 3 31.01.2009 01:41:28 mbam-log-2009-01-31 (01-41-28).txt Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|G:\|) Durchsuchte Objekte: 151218 Laufzeit: 1 hour(s), 45 minute(s), 25 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) |
31.01.2009, 11:36 | #5 |
| pc lahmt (nach neuafsetzten des Betriebssystems wegen BOO/Sinowal.A Infect) Nachdem ich heute nacht DrWeb nochmals einen komplettscan ausführen lies (dauerte 8stunden....jedoch ohne fund) hatte ich eine meldung auf dem Bildschirm: "Datenausführungsverhinderung Windows Explorer Dieses Programm wurde aus Sicherheitsgründen geschlossen" also scheint irgendwas wohl richtig im argen zu sein, denn eine solche Meldung hab ich zuvor noch nie gesehen. frage mich blos warum Dr. Web und co nichts finden können. weiss noch jemand nen rat? |
31.01.2009, 12:09 | #6 |
| pc lahmt (nach neuafsetzten des Betriebssystems wegen BOO/Sinowal.A Infect) Der Tipp mag sich sonderbar anhoeren, aber deinstalliere Drweb und schau, wie sich dein System nun verhaelt. Drweb hat derzeit irgendwo einen Bug im Programm, der den Rechner unter bestimmten umstaenden extrem verlangsamt.
__________________ --> pc lahmt (nach neuafsetzten des Betriebssystems wegen BOO/Sinowal.A Infect) |
31.01.2009, 12:15 | #7 |
| pc lahmt (nach neuafsetzten des Betriebssystems wegen BOO/Sinowal.A Infect) ok werds gern mal probieren...aber dann sollte ich ja auf jeden fall eine alternative installieren, bevor ich ungeschützt online gehe. oder? werd dann erstmal antivir raufkloppen oder was meinst du?? |
31.01.2009, 12:29 | #8 |
| pc lahmt (nach neuafsetzten des Betriebssystems wegen BOO/Sinowal.A Infect) Nein, es reicht erstmal, wenn du Drweb deinstallierst. Malware fliegt nicht einfach so auf deinem Rechner, wenn du nur Dinge aus vertrauenswuerdiger Quelle startest und du auch beim Surfen entsprechend handelst, geht es auch ohne....
__________________ MfG Ralf |
31.01.2009, 15:34 | #9 |
| pc lahmt (nach neuafsetzten des Betriebssystems wegen BOO/Sinowal.A Infect) danke danke danke ohne drweb scheint es sich doch wieder einigermassen normal zu verhalten.(mal abgesehen davon das der status meiner wlan verbindung nun die ganze zeit auf "netzwerkadresse beziehen" steht, obwohl ich längst eine zugewiesen bekommen habe...aber das stört eigentlich nicht) tja somit werde ich mich von dem doctor wohl endgültig verabschieden müssen und stehe nun vor der frage welche alternative ich wähle. antivir hatte ich vorher, jedoch hatte es mich zuletzt nicht überzeugt, da ich den letzten infect, welcher mich dazu brachte das system neuaufzusetzen, damit nicht entfernen konnte. dennoch ist es natürlich vorteilhaft, wenn man an die kosten denkt... was nutzt ihr denn so an antivirensoftware? |
Themen zu pc lahmt (nach neuafsetzten des Betriebssystems wegen BOO/Sinowal.A Infect) |
adobe, bho, boo/sinowal.a, dateien, dr.web, explorer, frame, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, kis, langsam, messenger, microsoft, neu, neu aufgesetzt, object, opera, pc lahm, pdfcreator, plug-in, programme, software, sparbuch, stick, system, windows, windows xp, wiso |