BOO/Sinowal.E

kati · 15.10.2009, 10:21

Hallo:
Durch Zufall bin ich auf dieses Forum gestossen und hoffe nun, hier Hilfe für mein Problem zu finde. Sollte ich gegen eine Regel verstossen, so bitte ich um Entschuldigung. Habe mir die Forumsregeln durchgelesen und hoffe, alles richtig zu machen.
Nun zu meinem Problem:
Gestern stürzte mein PC plötzlich ab und startete von selbst wieder. Mein Avira meldete dann, dass ich den BOO/Sinowal.E Virus auf dem Masterbootsektor HDO und auf Bootsektor C:.
Habe CCleaner runtergeladen und gestartet, doch mich nicht getraut, die Fehler zu beheben, denn er meldete Fehler in Anwendungsprogramme wie Office 2007. Wenn ich die Fehler behebe, dann wird das doch alles gelöscht oder? Bin totaler Laie. Kann mir jemand helfe? Mein PC ist sehr wichtig für mich, da ich damit arbeite und ohne aufgeschmissen wäre. Die Festplatte zu formatieren, wäre einfach schrecklich, da ich so viel drauf habe.
Vielen Dank im Voraus

Angel21 · 15.10.2009, 10:26

Hallo, lass mal dieses Tool durch laufen: rootkit in master boot record

Poste dann das Log.

kati · 15.10.2009, 10:54

Hallo:
Hier das Ergebnis:

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\ACPI -> 0x852c0bd0
\Driver\atapi -> 0x856522a8
NDIS: VIA Rhine II Fast Ethernet Adapter -> SendCompleteHandler -> 0x852fcdf0
Warning: possible MBR rootkit infection !
copy of MBR has been found in sector 0x0DF8F900
malicious code @ sector 0x0DF8F903 !
PE file found in sector at 0x0DF8F919 !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.
Vielen Dank

Habe nochmals laufen lassen, direkt auf C:
Hier das neue Ergebnis:
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\ACPI -> 0x852c0bd0
\Driver\atapi -> 0x856522a8
NDIS: VIA Rhine II Fast Ethernet Adapter -> SendCompleteHandler -> 0x852fcdf0
Warning: possible MBR rootkit infection !
copy of MBR has been found in sector 0x0DF8F900
malicious code @ sector 0x0DF8F903 !
PE file found in sector at 0x0DF8F919 !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.
original MBR restored successfully !

Danke

Angel21 · 15.10.2009, 11:24

mbr.exe auf C:\ laden (oder aufs Desktop laden und dann auf C:\ verschieben)

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fix.bat mit 'Speichern unter' auf C:\
Gebe bei Dateityp 'Alle Dateien' an.

mbr.exe -f

Du solltest jetzt in C:\ diese Datei fix.bat finden.
Doppelklick auf fix.bat
Es wird ein Log erstellt ( mbr.log ) und poste dessen Inhalt hier.

kati · 15.10.2009, 11:33

Hallo:
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\ACPI -> 0x852c0bd0
\Driver\atapi -> 0x856522a8
NDIS: VIA Rhine II Fast Ethernet Adapter -> SendCompleteHandler -> 0x852fcdf0
Warning: possible MBR rootkit infection !
user & kernel MBR OK
copy of MBR has been found in sector 0x0DF8F900
malicious code @ sector 0x0DF8F903 !
PE file found in sector at 0x0DF8F919 !
Use "Recovery Console" command "fixmbr" to clear infection !
Vielen Dank

Angel21 · 15.10.2009, 11:34

Hast du die Schritte ausgeführt wie sie da stehen um den Rootkit zu cleanen?

kati · 15.10.2009, 11:38

Ich denke schon. Mein Problem: Lebe in Spanien und habe Windows auf spanisch. Editor ist das der Notizblock oder WordPad? Habe dort mbr.exe -f
eingegeben und als fix.bat in C gespeichert. Dann Doppelclick und danach die mbr.log Datei hier kopiert.
Danke

Angel21 · 15.10.2009, 11:41

Schaun wir mal genauer nach mit GMER Rootkit Detection.

Downloade das Tool von Hier und lass es durchlaufen, wie in der Anleitung beschrieben. Poste das Log hier her.

kati · 15.10.2009, 15:39

Hallo:
Ich antworte mit meinem Laptop. Das GMER läuft nun schon seit fast 4 Stunden! Ist das so normal? Werde dann die Logfile wohl erst später oder morgen schicken können.
Vielen Dank für deine Mühe
Kati

Ach und noch etwas: Die Maus MUSS ich ab und an bewegen, da sich der Bildschirmschoner aktiviert und ich nichts mehr sehen kann. Ist das schlimm?

Angel21 · 15.10.2009, 15:56

Das mit der Maus ist nicht schlimm.

Ich weiß nicht, ob die Scanzeit normal ist, eigentlich müsste GMER durch sein schon lange, ich werde dies mal in Erfahrung bringen.

Falls GMER fertig ist dann gehe auf Copy und kopiere das Log heraus und füge es dort in deinen Thread ein.

kati · 15.10.2009, 18:35

Nee, also das Programm läuft noch immer und ich denke, es hat jetzt mehrmals schon in C:/Windows etc. durchgesucht. Scheint sich alles zu wiederholen. Das gibt nie ein Ende. Soll ich einfach stoppen und versuchen trozdem eine Kopie zu machen und dann zu posten?
Danke
Kati

Angel21 · 15.10.2009, 18:56

Lass noch etwas laufen, ich schau was ich rausbringen kann, das ist mehr als nur ungewöhnlich was GMER da fabriziert.

kati · 15.10.2009, 19:02

Ok, alles klar. Ich habe auch sehr viele Daten und Programme im PC drin, da ich damit arbeite. Mein Festspeicher hat 110 GB und davon sind noch ca. 34 GB frei. Vielleicht liegt es ja daran, dass ich so viel drin habe? Aber trotzdem habe ich das Gefühl, dass GMER mehrmals dasselbe scannt.
Danke
Kati

Angel21 · 15.10.2009, 19:31

Breche ihn mal ab und versuche ein Logfile dessen zu erstellen was GMER ausspruckt.

kati · 15.10.2009, 19:43

Hallo:
Gmer also abgebrochen und hier kopiere ich nun die Scandaten:
GMER 1.0.15.15125 - http://www.gmer.net
Rootkit scan 2009-10-15 20:32:38
Windows 5.1.2600 Service Pack 3
Running: vn7ffojs.exe; Driver: C:\DOCUME~1\kadu\CONFIG~1\Temp\pxtdqpog.sys

---- System - GMER 1.0.15 ----

SSDT d347bus.sys (PnP BIOS Extension/ ) ZwClose [0xF750D818]
SSDT F7C593D6 ZwCreateKey
SSDT d347bus.sys (PnP BIOS Extension/ ) ZwCreatePagingFile [0xF7501A20]
SSDT F7C593CC ZwCreateThread
SSDT F7C593DB ZwDeleteKey
SSDT F7C593E5 ZwDeleteValueKey
SSDT d347bus.sys (PnP BIOS Extension/ ) ZwEnumerateKey [0xF75022A8]
SSDT d347bus.sys (PnP BIOS Extension/ ) ZwEnumerateValueKey [0xF750D910]
SSDT F7C593EA ZwLoadKey
SSDT d347bus.sys (PnP BIOS Extension/ ) ZwOpenKey [0xF750D794]
SSDT F7C593B8 ZwOpenProcess
SSDT F7C593BD ZwOpenThread
SSDT d347bus.sys (PnP BIOS Extension/ ) ZwQueryKey [0xF75022C8]
SSDT d347bus.sys (PnP BIOS Extension/ ) ZwQueryValueKey [0xF750D866]
SSDT F7C593F4 ZwReplaceKey
SSDT F7C593EF ZwRestoreKey
SSDT d347bus.sys (PnP BIOS Extension/ ) ZwSetSystemPowerState [0xF750D0B0]
SSDT F7C593E0 ZwSetValueKey
SSDT F7C593C7 ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.text ntoskrnl.exe!_abnormal_termination + 1D4 804E2830 4 Bytes JMP AAF7C593
? C:\WINDOWS\system32\drivers\sptd.sys El proceso no tiene acceso al archivo porque está siendo utilizado por otro proceso.
.text USBPORT.SYS!DllUnload F683B8AC 5 Bytes JMP 858DF1C8
? System32\Drivers\axtc834a.SYS El sistema no puede hallar la ruta especificada. !

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT \WINDOWS\System32\Drivers\SCSIPORT.SYS[ntoskrnl.exe!IoConnectInterrupt] [F755606C] sptd.sys
IAT pci.sys[ntoskrnl.exe!IoDetachDevice] [F7556018] sptd.sys
IAT pci.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack] [F75789AE] sptd.sys
IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [F755529A] sptd.sys

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 85BD81E8
Device \FileSystem\Ntfs \Ntfs 85A9B8D8
Device \FileSystem\Udfs \UdfsCdRom 854711E8
Device \FileSystem\Udfs \UdfsCdRom 85633770
Device \FileSystem\Udfs \UdfsCdRom BsUDF.SYS (UDF File System Driver (WindowsXP)/B.H.A Co.,Ltd.)
Device \FileSystem\meiudf \MeiUDF_Disk 85403AC0
Device \FileSystem\BsUDF \BsUDF 855DE9E8
Device \FileSystem\meiudf \MeiUDF_CdRom 85403AC0
Device \FileSystem\Udfs \UdfsDisk 854711E8
Device \FileSystem\Udfs \UdfsDisk 85633770
Device \FileSystem\Udfs \UdfsDisk BsUDF.SYS (UDF File System Driver (WindowsXP)/B.H.A Co.,Ltd.)
Device \Driver\usbuhci \Device\USBPDO-0 859CA1E8
Device \Driver\usbuhci \Device\USBPDO-1 859CA1E8
Device \Driver\usbuhci \Device\USBPDO-2 859CA1E8
Device \Driver\PCI_NTPNP8136 \Device\00000054 sptd.sys
Device \Driver\usbehci \Device\USBPDO-3 858D01E8
Device \Driver\Ftdisk \Device\HarddiskVolume1 85B6D1E8
Device \Driver\Cdrom \Device\CdRom0 85757678
Device \FileSystem\Rdbss \Device\FsWrap 855FDA20
Device \Driver\Cdrom \Device\CdRom1 85757678
Device \Driver\atapi \Device\Ide\IdePort0 8569F008
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-4 8569F008
Device \Driver\atapi \Device\Ide\IdePort1 8569F008
Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-c 8569F008
Device \Driver\NetBT \Device\NetBT_Tcpip_{64970D6B-8D20-4A65-AD29-FF3B4E0C0D86} 854731E8
Device \Driver\NetBT \Device\NetBt_Wins_Export 854731E8
Device \Driver\NetBT \Device\NetbiosSmb 854731E8
Device \FileSystem\Srv \Device\LanmanServer 856BD258
Device \Driver\usbuhci \Device\USBFDO-0 859CA1E8
Device \Driver\usbuhci \Device\USBFDO-1 859CA1E8
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 853E51E8
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 855DDC08
Device \Driver\usbuhci \Device\USBFDO-2 859CA1E8
Device \FileSystem\MRxSmb \Device\LanmanRedirector 853E51E8
Device \FileSystem\MRxSmb \Device\LanmanRedirector 855DDC08
Device \Driver\usbehci \Device\USBFDO-3 858D01E8
Device \FileSystem\Npfs \Device\NamedPipe 8562B388
Device \Driver\Ftdisk \Device\FtControl 85B6D1E8
Device \FileSystem\Msfs \Device\Mailslot 855EE790
Device \Driver\axtc834a \Device\Scsi\axtc834a1 855CCA90
Device \Driver\axtc834a \Device\Scsi\axtc834a1Port4Path0Target0Lun0 855CCA90
Device \Driver\imagedrv \Device\Scsi\imagedrv1 85B6C1E8
Device \Driver\d347prt \Device\Scsi\d347prt1 85BD91E8
Device \FileSystem\Fs_Rec \FileSystem\UdfsCdRomRecognizer 855C9A00
Device \FileSystem\Fs_Rec \FileSystem\CdfsRecognizer 855C9A00
Device \FileSystem\Fs_Rec \FileSystem\FatCdRomRecognizer 855C9A00
Device \FileSystem\Fs_Rec \FileSystem\FatDiskRecognizer 855C9A00
Device \FileSystem\Fs_Rec \FileSystem\UdfsDiskRecognizer 855C9A00
Device \FileSystem\Cdfs \Cdfs 854031E8
Device \FileSystem\Cdfs \Cdfs 855FFE98
Device \FileSystem\Cdfs \Cdfs BsUDF.SYS (UDF File System Driver (WindowsXP)/B.H.A Co.,Ltd.)

---- Modules - GMER 1.0.15 ----

Module _________ F746A000-F7482000 (98304 bytes)

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0009dd50716c
Reg HKLM\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf40
Reg HKLM\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf40@khjeh 0x20 0x02 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf40@hj34z0 0xF1 0x6E 0x6D 0x40 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0 C:\Archivos de programa\Alcohol Soft\Alcohol 120\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x94 0xB5 0xE7 0xBD ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@ujdew 0x95 0xF9 0x83 0x2C ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40@ujdew 0x8F 0x0C 0x05 0x00 ...
Reg HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\0009dd50716c (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0 C:\Archivos de programa\Alcohol Soft\Alcohol 120\
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x94 0xB5 0xE7 0xBD ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@ujdew 0x95 0xF9 0x83 0x2C ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40@ujdew 0x8F 0x0C 0x05 0x00 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{866E5309-4DE4-EC1D-5303B5015403F078}\{E4D7DA31-B59C-2F42-84703E9617E7637D}\{F8D6A80B-EA06-4220-85CE61582D500BD8}
Reg HKLM\SOFTWARE\Classes\CLSID\{866E5309-4DE4-EC1D-5303B5015403F078}\{E4D7DA31-B59C-2F42-84703E9617E7637D}\{F8D6A80B-EA06-4220-85CE61582D500BD8}@LBML3FZBDBDV3BUIEQZJ1CU1HB1 0x01 0x00 0x01 0x00 ...

Sieht komisch aus. Oder sollte ich die Datei irgendwie hochladen? Falls etwas auf Spanisch ist, frag mich, übersetze es dann (ist mein Job).
Vielen herzlichen Dank
Kati

BOO/Sinowal.E

Antiviren-, Firewall- und andere Schutzprogramme: BOO/Sinowal.E

BOO/Sinowal.E

BOO/Sinowal.E

BOO/Sinowal.E

BOO/Sinowal.E

BOO/Sinowal.E

BOO/Sinowal.E

BOO/Sinowal.E

BOO/Sinowal.E

BOO/Sinowal.E

BOO/Sinowal.E

BOO/Sinowal.E

BOO/Sinowal.E

BOO/Sinowal.E

BOO/Sinowal.E

BOO/Sinowal.E

Ähnliche Themen: BOO/Sinowal.E

15.10.2009, 10:26	#2
Angel21	BOO/Sinowal.E Hallo, lass mal dieses Tool durch laufen: rootkit in master boot record Poste dann das Log. __________________ __________________

15.10.2009, 11:34	#6
Angel21	BOO/Sinowal.E Hast du die Schritte ausgeführt wie sie da stehen um den Rootkit zu cleanen? __________________ --> BOO/Sinowal.E

15.10.2009, 11:38	#7
kati	BOO/Sinowal.E Ich denke schon. Mein Problem: Lebe in Spanien und habe Windows auf spanisch. Editor ist das der Notizblock oder WordPad? Habe dort mbr.exe -f eingegeben und als fix.bat in C gespeichert. Dann Doppelclick und danach die mbr.log Datei hier kopiert. Danke

15.10.2009, 11:41	#8
Angel21	BOO/Sinowal.E Schaun wir mal genauer nach mit GMER Rootkit Detection. Downloade das Tool von Hier und lass es durchlaufen, wie in der Anleitung beschrieben. Poste das Log hier her. __________________ Avira Upgrade 10 ist auf dem Markt! Agressive Einstellung von Avira What goes around comes around!

15.10.2009, 18:35	#11
kati	BOO/Sinowal.E Nee, also das Programm läuft noch immer und ich denke, es hat jetzt mehrmals schon in C:/Windows etc. durchgesucht. Scheint sich alles zu wiederholen. Das gibt nie ein Ende. Soll ich einfach stoppen und versuchen trozdem eine Kopie zu machen und dann zu posten? Danke Kati

15.10.2009, 18:56	#12
Angel21	BOO/Sinowal.E Lass noch etwas laufen, ich schau was ich rausbringen kann, das ist mehr als nur ungewöhnlich was GMER da fabriziert. __________________ Avira Upgrade 10 ist auf dem Markt! Agressive Einstellung von Avira What goes around comes around!

15.10.2009, 19:02	#13
kati	BOO/Sinowal.E Ok, alles klar. Ich habe auch sehr viele Daten und Programme im PC drin, da ich damit arbeite. Mein Festspeicher hat 110 GB und davon sind noch ca. 34 GB frei. Vielleicht liegt es ja daran, dass ich so viel drin habe? Aber trotzdem habe ich das Gefühl, dass GMER mehrmals dasselbe scannt. Danke Kati

15.10.2009, 19:31	#14
Angel21	BOO/Sinowal.E Breche ihn mal ab und versuche ein Logfile dessen zu erstellen was GMER ausspruckt. __________________ Avira Upgrade 10 ist auf dem Markt! Agressive Einstellung von Avira What goes around comes around!