![]() |
|
Plagegeister aller Art und deren Bekämpfung: Sinowal und Co.Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
![]() | #1 |
| ![]() Sinowal und Co. Hallo, habe das Internet schon durchstöbert. Es gibt auch einiges, aber zum Beispiel lädt sich die Seite gmer.net zur Zeit nicht. Daher die Bitte: Könntet ihr mal drüber schauen? Das sagt Antivir: Avira AntiVir Personal Erstellungsdatum der Reportdatei: Donnerstag, 2. April 2009 21:25 Es wird nach 1337662 Virenstämmen gesucht. Lizenznehmer : Avira AntiVir Personal - FREE Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows XP Windowsversion : (Service Pack 2) [5.1.2600] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : H*E Versionsinformationen: BUILD.DAT : 9.0.0.387 17962 Bytes 24.03.2009 11:03:00 AVSCAN.EXE : 9.0.3.3 464641 Bytes 24.02.2009 10:13:22 AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 10:04:10 LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 09:35:44 LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 08:41:59 ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 10:30:36 ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11.02.2009 18:33:26 ANTIVIR2.VDF : 7.1.3.0 1330176 Bytes 01.04.2009 19:23:23 ANTIVIR3.VDF : 7.1.3.7 34816 Bytes 02.04.2009 19:23:23 Engineversion : 8.2.0.129 AEVDF.DLL : 8.1.1.0 106868 Bytes 27.01.2009 15:36:42 AESCRIPT.DLL : 8.1.1.70 369019 Bytes 02.04.2009 19:23:30 AESCN.DLL : 8.1.1.8 127346 Bytes 02.04.2009 19:23:29 AERDL.DLL : 8.1.1.3 438645 Bytes 29.10.2008 16:24:41 AEPACK.DLL : 8.1.3.11 397687 Bytes 02.04.2009 19:23:28 AEOFFICE.DLL : 8.1.0.36 196987 Bytes 26.02.2009 18:01:56 AEHEUR.DLL : 8.1.0.111 1679736 Bytes 02.04.2009 19:23:27 AEHELP.DLL : 8.1.2.2 119158 Bytes 26.02.2009 18:01:56 AEGEN.DLL : 8.1.1.31 340341 Bytes 02.04.2009 19:23:24 AEEMU.DLL : 8.1.0.9 393588 Bytes 09.10.2008 12:32:40 AECORE.DLL : 8.1.6.6 176501 Bytes 17.02.2009 12:22:44 AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 12:32:40 AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 06:47:56 AVPREF.DLL : 9.0.0.1 43777 Bytes 03.12.2008 09:39:55 AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 12:34:28 AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 13:25:04 AVARKT.DLL : 9.0.0.1 292609 Bytes 09.02.2009 05:52:20 AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 08:37:04 SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 13:03:49 SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 06:21:28 NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 13:41:21 RCIMAGE.DLL : 9.0.0.21 2438401 Bytes 09.02.2009 09:41:16 RCTEXT.DLL : 9.0.35.0 87809 Bytes 11.03.2009 13:50:50 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Vollständige Systemprüfung Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp Protokollierung.......................: niedrig Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, D:, E:, Durchsuche aktive Programme...........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: ein Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: mittel Beginn des Suchlaufs: Donnerstag, 2. April 2009 21:25 Der Suchlauf nach versteckten Objekten wird begonnen. Es wurden '68810' Objekte überprüft, '0' versteckte Objekte wurden gefunden. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'hpqgalry.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'soffice.bin' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'soffice.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'hpqtra08.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'RaUI.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ehmsas.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'E_FATIEJE.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'hpwuSchd2.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'HDeck.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ehtray.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'mcrdsvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'CLSched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SCARDS32.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'MDM.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ICQ Service.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ehSched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ehrecvr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'CLMLService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'CLMLServer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'CLCapSvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'scardsvr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '48' Prozesse mit '48' Modulen durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [FUND] Enthält Code des Bootsektorvirus BOO/Sinowal.A [WARNUNG] Der Bootsektor kann nicht repariert werden. Weitere Informationen zu diesem Thema finden Sie in der Hilfe. Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [FUND] Enthält Code des Bootsektorvirus BOO/Sinowal.A [HINWEIS] Der Sektor wurde nicht neu geschrieben! Bootsektor 'D:\' [FUND] Enthält Code des Bootsektorvirus BOO/Sinowal.A [HINWEIS] Der Sektor wurde nicht neu geschrieben! Bootsektor 'E:\' [FUND] Enthält Code des Bootsektorvirus BOO/Sinowal.A [HINWEIS] Der Sektor wurde nicht neu geschrieben! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: Die Registry wurde durchsucht ( '70' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' <BOOT> C:\hiberfil.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! [HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei. [HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann. C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! [HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei. [HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann. C:\Dokumente und Einstellungen\r*a\Lokale Einstellungen\Temp\14.tmp [FUND] Ist das Trojanische Pferd TR/PWS.Sinowal.Gen C:\Dokumente und Einstellungen\r*a\Lokale Einstellungen\Temporary Internet Files\Content.IE5\EJOJNLAM\index[1] [FUND] Ist das Trojanische Pferd TR/PWS.Sinowal.Gen Beginne mit der Suche in 'D:\' <BACKUP> D:\alter_PC\Dokumente und Einstellungen\Administrator\Eigene Dateien\R*f\Faxe\kazaa setup.exe [FUND] Ist das Trojanische Pferd TR/Agent.152336 D:\alter_PC\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\FHQ000G7\campaign[1] [FUND] Enthält verdächtigen Code: HEUR/HTML.Malware D:\alter_PC\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\FHQ000G7\campaign[3] [FUND] Enthält verdächtigen Code: HEUR/HTML.Malware D:\alter_PC\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\V4D5XFI5\ctxad-505[1].0006 [FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/PurityScan.F D:\alter_PC\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\V4D5XFI5\RevNetPopun[1].htm [FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/Agent.300 D:\alter_PC\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Z77U4ZTQ\ctxad-494[1].0006 [FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/PurityScan.F D:\alter_PC\Dokumente und Einstellungen\Default User\Desktop\freeprodtb.exe [FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/Maxifiles --> [UnknownDir]/Toolbar888/ToolBar888.dll [FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/Eztrack.C D:\alter_PC\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G1EF89E7\freeprodtb[1].exe [FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/Maxifiles --> [UnknownDir]/Toolbar888/ToolBar888.dll [FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/Eztrack.C D:\alter_PC\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\UPALYHGF\teller2[1].htm [FUND] Ist das Trojanische Pferd TR/Small.AAA D:\alter_PC\Programme\AVPersonal\INFECTED\ERASEME_10838.EXE.VIR [FUND] Enthält verdächtigen Code: HEUR/Crypted D:\alter_PC\Programme\AVPersonal\INFECTED\GIZ[1].EXE.VIR [FUND] Enthält verdächtigen Code: HEUR/Crypted D:\alter_PC\Programme\Common Files\VCClient\VCMain.exe [FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/Spywarestrike.A.2 D:\alter_PC\Programme\ipwins\ipwins.exe [FUND] Ist das Trojanische Pferd TR/Downloader.Gen D:\alter_PC\Programme\ipwins\Uninst.exe [FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/Maxifiles.D D:\alter_PC\Programme\StarMoney 4.0 S-Edition\sfmcoreim_ex.exe [FUND] Ist das Trojanische Pferd TR/Drop.Agent.YC.1 D:\alter_PC\Programme\TClock\tclock.exe [FUND] Ist das Trojanische Pferd TR/Tclock.A.3 D:\alter_PC\Programme\TClock\tclock_install.exe [FUND] Ist das Trojanische Pferd TR/Tclock.A.1 --> [UnknownDir]/tclock.exe [FUND] Ist das Trojanische Pferd TR/Tclock.A.3 D:\alter_PC\Programme\Windows\WinUpdate.exe [FUND] Enthält Erkennungsmuster des Droppers DR/Agent.Y Beginne mit der Suche in 'E:\' <RECOVER> Beginne mit der Desinfektion: C:\Dokumente und Einstellungen\r*a\Lokale Einstellungen\Temp\14.tmp [FUND] Ist das Trojanische Pferd TR/PWS.Sinowal.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a03205e.qua' verschoben! C:\Dokumente und Einstellungen\r*a\Lokale Einstellungen\Temporary Internet Files\Content.IE5\EJOJNLAM\index[1] [FUND] Ist das Trojanische Pferd TR/PWS.Sinowal.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a392098.qua' verschoben! D:\alter_PC\Dokumente und Einstellungen\Administrator\Eigene Dateien\R*f\Faxe\kazaa setup.exe [FUND] Ist das Trojanische Pferd TR/Agent.152336 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a4f208b.qua' verschoben! D:\alter_PC\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\FHQ000G7\campaign[1] [FUND] Enthält verdächtigen Code: HEUR/HTML.Malware [HINWEIS] Der Fund wurde als verdächtig eingestuft. [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a42208b.qua' verschoben! D:\alter_PC\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\FHQ000G7\campaign[3] [FUND] Enthält verdächtigen Code: HEUR/HTML.Malware [HINWEIS] Der Fund wurde als verdächtig eingestuft. [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b3e5c8c.qua' verschoben! D:\alter_PC\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\V4D5XFI5\ctxad-505[1].0006 [FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/PurityScan.F [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a4d209e.qua' verschoben! D:\alter_PC\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\V4D5XFI5\RevNetPopun[1].htm [FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/Agent.300 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a4b208f.qua' verschoben! D:\alter_PC\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Z77U4ZTQ\ctxad-494[1].0006 [FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/PurityScan.F [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b344437.qua' verschoben! D:\alter_PC\Dokumente und Einstellungen\Default User\Desktop\freeprodtb.exe [FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/Maxifiles [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a3a209c.qua' verschoben! D:\alter_PC\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G1EF89E7\freeprodtb[1].exe [FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/Maxifiles [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '490aaef5.qua' verschoben! D:\alter_PC\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\UPALYHGF\teller2[1].htm [FUND] Ist das Trojanische Pferd TR/Small.AAA [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a41208f.qua' verschoben! D:\alter_PC\Programme\AVPersonal\INFECTED\ERASEME_10838.EXE.VIR [FUND] Enthält verdächtigen Code: HEUR/Crypted [HINWEIS] Der Fund wurde als verdächtig eingestuft. [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a16207c.qua' verschoben! D:\alter_PC\Programme\AVPersonal\INFECTED\GIZ[1].EXE.VIR [FUND] Enthält verdächtigen Code: HEUR/Crypted [HINWEIS] Der Fund wurde als verdächtig eingestuft. [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a2f2073.qua' verschoben! D:\alter_PC\Programme\Common Files\VCClient\VCMain.exe [FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/Spywarestrike.A.2 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a22206d.qua' verschoben! D:\alter_PC\Programme\ipwins\ipwins.exe [FUND] Ist das Trojanische Pferd TR/Downloader.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a4c209a.qua' verschoben! D:\alter_PC\Programme\ipwins\Uninst.exe [FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/Maxifiles.D [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a3e2099.qua' verschoben! D:\alter_PC\Programme\StarMoney 4.0 S-Edition\sfmcoreim_ex.exe [FUND] Ist das Trojanische Pferd TR/Drop.Agent.YC.1 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a422091.qua' verschoben! D:\alter_PC\Programme\TClock\tclock.exe [FUND] Ist das Trojanische Pferd TR/Tclock.A.3 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a41208e.qua' verschoben! D:\alter_PC\Programme\TClock\tclock_install.exe [FUND] Ist das Trojanische Pferd TR/Tclock.A.1 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4976c987.qua' verschoben! D:\alter_PC\Programme\Windows\WinUpdate.exe [FUND] Enthält Erkennungsmuster des Droppers DR/Agent.Y [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a432094.qua' verschoben! Ende des Suchlaufs: Donnerstag, 2. April 2009 22:29 Benötigte Zeit: 48:42 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 11033 Verzeichnisse wurden überprüft 549102 Dateien wurden geprüft 23 Viren bzw. unerwünschte Programme wurden gefunden 4 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 20 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 2 Dateien konnten nicht durchsucht werden 549077 Dateien ohne Befall 10796 Archive wurden durchsucht 3 Warnungen 25 Hinweise 68810 Objekte wurden beim Rootkitscan durchsucht 0 Versteckte Objekte wurden gefunden Vielen Dank!!! |
Themen zu Sinowal und Co. |
.dll, administrator, antivir, avg, avgnt.exe, bootsektorvirus, content.ie5, desktop, dllhost.exe, einstellungen, firefox.exe, handel, icq, index, infected, internet, logon.exe, lsass.exe, mdm.exe, modul, neu, nt.dll, programme, prozesse, recover, registry, sched.exe, services.exe, sinowal, spyware, starmoney, suchlauf, svchost.exe, versteckte objekte, verweise, warnung, windows, winlogon.exe, wuauclt.exe |