Problem: Virus Sinowal.E

Whisky87 · 05.10.2009, 17:08

Guten Abend...Das hier ist die letzte Möglichkeit, bevor ich meinen Pc zu jemandem Professionellen schaffen werde.

Ich habe seit einer Woche den Virus Boo/sinowal.E auf dem Rechner...mein Virusprogramm findet ihn zwar, kann aber irgendwie nichts machen. Ich habe schon einige Einträge zu Sinowal.a, etc. gelesen, aber keiner konnte mir so richtig weiter helfen. habe auch nicht so den Durchblick was die ganze Fachsprache, etc. betrifft.

Ich hoffe mir kann jmd. helfen. Was kann/soll ich tun???

Probleme treten wie folgt auf: der Pc fährt fest, startet einfach neu, und immer so weiter...bin froh wenn er mal ne halbe Stunde am Stück durchhält.

Habe mir auch schon die mbr.exe und gmer.exe runtergeladen, aber weis nicht so recht was ich nach der Ausführung machen soll.

Danke schonmal im Vorraus

cosinus · 05.10.2009, 20:36

Hallo und

Wenn Du die mbr.exe ausgeführt hast, erscheint ein Logfile - das bitte posten.

Bitte auch diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!!
Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

Whisky87 · 06.10.2009, 14:07

Vielen Dank, hab denk ich alles ausgeführt!

http://w*w.file-upload.net/download-1929426/logs-komplett.zip.html

müsste alles sein...

btw, er hat 1123 Fehler beim Registy Booster 2010 gefunden...

cosinus · 07.10.2009, 13:53

Das MBR-Log ist da nicht richtig drin, nur ne Verknüpfung, die hilft mir nicht weiter...
machst Du Online-Banking? Sieht aus, als wärst Du vom Silentbanker befallen. Falls Du das machst => umgehend Online-Banking sperren lassen!!

cosinus · 07.10.2009, 14:07

Bitte mal den Avenger anwenden

Vorbereitungen:
a) Deaktiviere den Hintergrundwächter vom Virenscanner.
b) Stöpsele alle externen Datenträger vom Rechner ab.

Danach:

1.) Lade Dir von hier Avenger als gehweg.exe => File-Upload.net - gehweg.exe auf den Desktop

2.) Doppelklick die Datei "gehweg.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:

3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:

Code:

ATTFilter

registry values to delete:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run | NWEReboot
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run | QuickTime Task

files to delete:
C:\Dokumente und Einstellungen\Roy\Anwendungsdaten\Macromedia\Common\ceba601019.exe

folders to delete:
C:\Dokumente und Einstellungen\Roy\Anwendungsdaten\Macromedia\Common

drivers to delete:
netlock

4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

Whisky87 · 07.10.2009, 15:42

http://w*w.file-upload.net/download-1931646/logs.zip.html

So. Das mbr.log und das geh-weg.log...hoffe das ist jetzt richtig

Online Banking mach ich nichts direkt...gehören bestellungen bei amazon/ebay auch dazu!? Das wären die einzigen beiden....

Danke & MfG Whisky

Whisky87 · 07.10.2009, 17:46

hier noch das avira.log

http://www.file-upload.net/download-1931971/avguard.log.html

cosinus · 07.10.2009, 17:48

Passwörter solltest Du auf jeden Fall ändern, wenn von diesem PC das aus nur geht, dann auf jeden Fall erst wenn alles bereinigt ist. mach mal nen Durchlauf mit Combofix:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Whisky87 · 07.10.2009, 18:33

http://w*w.file-upload.net/download-1932089/ComboFix.txt.html

ging nicht weg:

Ungenutzte Datei-Endungen {80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}

ô.Ô

cosinus · 07.10.2009, 18:53

Das Logfile sieht eigentlich okay aus.

Zitat:

ging nicht weg:

Ungenutzte Datei-Endungen {80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}

Wer wollte und sollte das löschen?

Die CLSID gehört zu AntiVir!

Mach nochmal bitte mit RSIT frische Logs, nimm bitte dieser umbenannte RSIT.exe => File-Upload.net - pluescheule.exe

Whisky87 · 07.10.2009, 19:02

http://w*w.file-upload.net/download-1932157/log.txt.html

weis nicht...ich dachte der CCleaner müsste alle löschen!? ô.Ô

cosinus · 07.10.2009, 19:37

Code:

ATTFilter

C:\WINDOWS\system32\proquota.exe

Diese Datei ist mir jetzt auch schon öfter bei Combofix aufgefallen und in RSIT wird sie als rel. kürzlich verändert angezeigt. Bitte mal bei Virustotal auswerten.

Meldet AntiVir bei den Bootsektoren noch den Sinowal?

Whisky87 · 07.10.2009, 20:08

http://www.file-upload.net/download-1932325/proquota-avscan.zip.html

Sinowal scheint auf allen 4 laufwerken drauf zu sein....immernoch.

cosinus · 07.10.2009, 20:18

hast Du die MBR.exe aus der Konsole schon mit dem Schalter -f ausgeführt? Also zB so: Die mbr.exe liegt direkt auf C:, dann öffnest Du cmd.exe (schwarze Konsole öffnet sich) und dort tippst Du ein:

c:\mbr.exe -f

Und bestätigst mit Enter.

Whisky87 · 07.10.2009, 20:27

nein ich glaube nicht....welcher Schritt kommt danach!?

er erzählt was von "USe Recovery Console or fixmbr to clear infection"

Is das hilfreich!?

http://w*w.file-upload.net/download-...2/mbr.log.html

07.10.2009, 13:53	#4
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Problem: Virus Sinowal.E Das MBR-Log ist da nicht richtig drin, nur ne Verknüpfung, die hilft mir nicht weiter... machst Du Online-Banking? Sieht aus, als wärst Du vom Silentbanker befallen. Falls Du das machst => umgehend Online-Banking sperren lassen!! __________________ Logfiles bitte immer in CODE-Tags posten

07.10.2009, 19:37	#12
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Problem: Virus Sinowal.E Code: ATTFilter C:\WINDOWS\system32\proquota.exe Diese Datei ist mir jetzt auch schon öfter bei Combofix aufgefallen und in RSIT wird sie als rel. kürzlich verändert angezeigt. Bitte mal bei Virustotal auswerten. Meldet AntiVir bei den Bootsektoren noch den Sinowal? __________________ Logfiles bitte immer in CODE-Tags posten

07.10.2009, 20:18	#14
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Problem: Virus Sinowal.E hast Du die MBR.exe aus der Konsole schon mit dem Schalter -f ausgeführt? Also zB so: Die mbr.exe liegt direkt auf C:, dann öffnest Du cmd.exe (schwarze Konsole öffnet sich) und dort tippst Du ein: c:\mbr.exe -f Und bestätigst mit Enter. __________________ Logfiles bitte immer in CODE-Tags posten

Problem: Virus Sinowal.E

Plagegeister aller Art und deren Bekämpfung: Problem: Virus Sinowal.E