Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Trojaner BDS/Sinowal.fsp: Richtig entfernt? Datensicherung etc.?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 23.12.2009, 20:24   #1
frohes-fest
 
Trojaner BDS/Sinowal.fsp: Richtig entfernt? Datensicherung etc.? - Standard

Trojaner BDS/Sinowal.fsp: Richtig entfernt? Datensicherung etc.?



Hallo zusammen,

man hofft ja eigentlich immer, dass es einen selbst nie erwischt, aber nun war es doch soweit. Hab mir vor zwei Wochen Sinowal eingefangen und würde mich über etwas Hilfe beim weiteren Vorgehen bzw. Neuaufsetzen des Laptops (momentan noch XP Home, SP3) freuen. Habe mich hier und über Google schon ins Thema eingelesen, aber mit dem Trojaner ist ja nicht zu spaßen, also wollte ich lieber auf Nummer sicher gehen.

Vorgeschichte: Am 10.12. ca. 22:45 Uhr fand ich meinen Laptop während eines Neustarts wieder, den ich definitiv nicht veranlasst hatte. Kurze Zeit vorher warnte schon Google Chrome, dass eine von mir besuchte Website versuchen würde, schadhaften Code auszuführen. Da war es dann ja offensichtlich schon zu spät und ich habe diese beiden Punkte erst später in Verbindung gebracht (ich nahm einfach an, dass das Windows Update mal wieder ungefragt nach dem 5-Minuten-Countdown den Neustart veranlasst hatte).

Nach diesem Neustart lief der Laptop nicht mehr richtig – Programme ließen sich zwar starten, „hingen“ aber nach ca. 3-5 Minuten (jedoch NICHT der ganze Computer, Maus ließ sich bewegen etc), so dass ich auch keinen vollständigen Virenscan durchführen konnte. Komischerweise ging auch der freie Speicherplatz auf C: von ~300 MB (ich weiß, ich weiß…) ziemlich schnell auf null runter. Ich habe ja irgendwie noch die Hoffnung, dass sich dadurch der Trojaner irgendwie selbst auch ausgebremst hat.

„Glück“licherweise meldete dann der Avira Antivir Guard am nächsten Tag von alleine, dass sich „BDS/Sinowal.fsp“ eingeschlichen hatte (seitdem war der Laptop eigentlich immer aus oder zumindest vom Internet getrennt). Habe dann mit GMER gescannt und den MBR geprüft. Ergebnis war:

Code:
ATTFilter
 Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, h**p://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\ACPI -> 0x8a4f5a78
NDIS: Intel(R) PRO/100 VE Network Connection -> SendCompleteHandler -> 0x8957c4c0
Warning: possible MBR rootkit infection !
copy of MBR has been found in sector 0x0DF937C1 
malicious code @ sector 0x0DF937C4 !
PE file found in sector at 0x0DF937DA !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.
         
Habe dann mbr.exe –f benutzt, Ergebnis ist folgendes:

Code:
ATTFilter
 Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, h**p://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK 
copy of MBR has been found in sector 0x0DF937C1 
malicious code @ sector 0x0DF937C4 !
PE file found in sector at 0x0DF937DA !
         
Seitdem läuft der Laptop soweit auch wieder normal. Hätte nur gerne noch ein paar Fragen geklärt, bevor ich mich ans Neuaufsetzen bzw. eine Neuinstallation von Windows 7 mache.


1. Hat “mbr.exe –f” das gleiche bewirkt wie es ein “fixmbr” in der Recovery Konsole tun würde oder sollte ich dies sicherheitshalber noch nachholen?
2. Wie sieht es mit der Datensicherung aus (mithilfe einer Linux-Live-CD)? Der Infektionszeitpunkt liegt zwischen 22:30 - 22:45 Uhr am 10.12.09. Kann ich gefahrlos Daten sichern, die vor diesem Zeitpunkt erstellt/geändert wurden oder kann Sinowal das Datum auch faken? (Habe festgestellt, dass bei einigen Ordnern – aber komischerweise nicht Dateien darin – das „geändert am“ Datum den 10.12. 22:41 Uhr zeigt. Ist das ein Hinweis darauf, dass sich da noch was Bösartiges verstecken könnte?)
3. Kann Sinowal auch im Browser (Chrome/Firefox) gespeicherte Passwörter klauen oder diese nur bei Eingabe mitloggen? (Nur der Info halber, PWs sind natürlich schon von einem sauberen System aus geändert worden)
4. Sollte ich sonst noch irgendetwas beachten, wenn ich nun von XP auf Windows 7 umsteige, um sicherzugehen, dass ich Sinowal komplett los bin? Der kann ja an sich mit Windows 7 nichts anfangen, wenn ich das richtig sehe… Die Lektion, nicht mit einem Admin-Konto online zu gehen, habe ich aus der Sache schon gelernt.


Der Vollständigkeit halber noch die Logs von Hijack This und Malwarebytes:

Code:
ATTFilter
 Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:38:03, on 23.12.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16945)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\bgsvcgen.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\T-Mobile\web'n'walk Manager\GtDetectSc.exe
C:\Programme\Hotspot Shield\bin\openvpnas.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PSIService.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Programme\Toshiba\TOSHIBA Applet\TAPPSRV.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\AGRSMMSG.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\Toshiba\Toshiba Applet\thotkey.exe
C:\WINDOWS\system32\TPSMain.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe
C:\Programme\TOSHIBA\Tvs\TvsTray.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programme\Brother\ControlCenter2\brctrcen.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Musicmatch\Musicmatch Jukebox\MMDiag.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Programme\Musicmatch\Musicmatch Jukebox\mim.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DAEMON Tools Lite\daemon.exe
C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Programme\T-Mobile\web'n'walk Manager\web'n'walk Manager.exe
C:\Programme\Intel\Wireless\Bin\Dot1XCfg.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Programme\Orbitdownloader\orbitcth.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (file missing)
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: Hotspot Shield Class - {F9E4A054-E9B1-4BC3-83A3-76A1AE736170} - C:\Programme\Hotspot Shield\hssie\HssIE.dll
O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - C:\Programme\Orbitdownloader\GrabPro.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
O4 - HKLM\..\Run: [NVRotateSysTray] rundll32.exe C:\WINDOWS\system32\nvsysrot.dll,Enable
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [THotkey] C:\Programme\Toshiba\Toshiba Applet\thotkey.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [Tvs] C:\Programme\TOSHIBA\Tvs\TvsTray.exe
O4 - HKLM\..\Run: [SmoothView] C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [MimBoot] C:\Programme\Musicmatch\Musicmatch Jukebox\mimboot.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [Google Update] "C:\Dokumente und Einstellungen\PC\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BlueSoleil.lnk = C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe
O4 - Global Startup: web'n'walk Manager.lnk = C:\Programme\T-Mobile\web'n'walk Manager\web'n'walk Manager.exe
O8 - Extra context menu item: &Download by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: Alles mit Net Transport herunterladen - C:\Programme\Xi\NetTransport 2\NTAddList.html
O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/202
O8 - Extra context menu item: Link mit Mega Manager herunterladen... - C:\Programme\Megaupload\Mega Manager\mm_file.htm
O8 - Extra context menu item: Mit Net Transport herunterladen - C:\Programme\Xi\NetTransport 2\NTAddLink.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyCasino - {B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - C:\Programme\PartyGaming\PartyCasino\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyCasino - {B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - C:\Programme\PartyGaming\PartyCasino\RunApp.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O15 - Trusted Zone: *.musicmatch.com
O15 - Trusted Zone: *.musicmatch.com (HKLM)
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - h**p://www.studivz.net/photouploader/ImageUploader4.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - h**p://acs.pandasoftware.com/activescan/as5free/asinst.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\WINDOWS\system32\bgsvcgen.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: GtDetectSc - OptionNV - C:\Programme\T-Mobile\web'n'walk Manager\GtDetectSc.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Hotspot Shield Service (HotspotShieldService) - Unknown owner - C:\Programme\Hotspot Shield\bin\openvpnas.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation  - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: TOSHIBA Application Service (TAPPSRV) - TOSHIBA Corp. - C:\Programme\Toshiba\TOSHIBA Applet\TAPPSRV.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 12804 bytes
         
Code:
ATTFilter
 Malwarebytes' Anti-Malware 1.42
Datenbank Version: 3416
Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

23.12.2009 19:37:52
mbam-log-2009-12-23 (19-37-52).txt

Scan-Methode: Vollständiger Scan (C:\|E:\|F:\|G:\|)
Durchsuchte Objekte: 266121
Laufzeit: 52 minute(s), 30 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         
Vielen Dank schon mal im Voraus und ein frohes Fest wünsche ich!

Alt 24.12.2009, 08:52   #2
kira
/// Helfer-Team
 
Trojaner BDS/Sinowal.fsp: Richtig entfernt? Datensicherung etc.? - Standard

Trojaner BDS/Sinowal.fsp: Richtig entfernt? Datensicherung etc.?



Hallo und Herzlich Willkommen!

Zitat:
Zitat von frohes-fest Beitrag anzeigen
4. Sollte ich sonst noch irgendetwas beachten, wenn ich nun von XP auf Windows 7 umsteige, um sicherzugehen, dass ich Sinowal komplett los bin?
- hast Du schon mit MBR gute Vorarbeit geleistet, also ist erledigt

- auf alle andere Fragen die Antworten hier:

** Vorsicht mit den schon vorhandenen Dateien auf die extern gespeicherten Daten und auch jetzt mit dem Virus infizierte Dateien eine Datensicherung anzufertigen!

Datensicherung:
-NUR Daten sichern, die nicht ausführbaren Dateien enthalten - Dateiendungen - Dies ist eine Liste von Dateiendungen, die Dateien mit ausführbarem Code bezeichnen können.
- Bevor du mit deinem PC direkt ins Netz gehst:
Ändere deine Passworte und Zugangsdaten! - von einem sauberen System aus
- Alle Passwörter, die auf dem kompromittierten System verwendet wurden (also z.B. Login-, Mail- oder Website-Passwörter, aber auch die PIN für das Online-Banking) sofort ändern (am besten von einem anderen, nicht-infizierten Rechner aus! ) oder/und sperren lassen, da ein Angreifer die Passwörter z.B. verwenden kann, um erneut in das abgesicherte System einzudringen oder mit der Identität des Nutzers Transaktionen im Internet auszuführen
- Vor zurückspielen:
Die auf eine externe Festplatte gesicherten Daten, gründlich zu scannen von einem suaberen System aus, am besten mit mehreren Scannern-> Kostenlose Online Scanner - Anleitung

gruß
Cf
**Frohe Weihnachten und ein glückliches Neues Jahr!**
__________________


Antwort

Themen zu Trojaner BDS/Sinowal.fsp: Richtig entfernt? Datensicherung etc.?
acroiehelper.dll, antivir, antivir guard, avira, bho, browser, computer, controlcenter, daten sichern, desktop, down, downloader, entfernt?, excel, google, google chrome, gupdate, hijack, hijack this, hijackthis, hkus\s-1-5-18, home, hotspot, hotspot shield, logfile, malwarebytes' anti-malware, maus, plug-in, registrierungsschlüssel, scan, sicherheitshalber, software, starten, system, t-mobile, trojaner, windows, windows xp




Ähnliche Themen: Trojaner BDS/Sinowal.fsp: Richtig entfernt? Datensicherung etc.?


  1. Virus nicht richtig entfernt (radiorage4j)
    Log-Analyse und Auswertung - 24.05.2015 (7)
  2. TR/Crypt.XPACK.Gen - wie entfernt man ihn richtig?
    Plagegeister aller Art und deren Bekämpfung - 31.01.2014 (9)
  3. Antivirus Security Pro nicht richtig entfernt (?)
    Plagegeister aller Art und deren Bekämpfung - 09.01.2014 (13)
  4. GVU Trojaner nicht richtig entfernt...
    Plagegeister aller Art und deren Bekämpfung - 28.01.2013 (17)
  5. GVU Trojaner mit Kaspersky Rescue Disk 10 evtl nicht richtig entfernt?
    Plagegeister aller Art und deren Bekämpfung - 24.11.2012 (12)
  6. GVU Trojaner 2.07 richtig entfernt?
    Plagegeister aller Art und deren Bekämpfung - 28.08.2012 (1)
  7. Bundespolizei-Trojaner Ukash richtig entfernt?
    Log-Analyse und Auswertung - 25.04.2012 (2)
  8. Smart Fortress 2012 richtig entfernt?
    Log-Analyse und Auswertung - 15.04.2012 (33)
  9. BOO/TDss.M - Richtig entfernt?
    Plagegeister aller Art und deren Bekämpfung - 02.09.2011 (12)
  10. BKA Trojaner nicht richtig entfernt
    Log-Analyse und Auswertung - 09.08.2011 (1)
  11. BKA Trojaner richtig entfernt?
    Log-Analyse und Auswertung - 09.08.2011 (1)
  12. stolen.data richtig entfernt? bzw. weitere Viren/Trojaner auf system?
    Plagegeister aller Art und deren Bekämpfung - 07.08.2011 (23)
  13. Windows Diagnostic - richtig entfernt?
    Plagegeister aller Art und deren Bekämpfung - 05.04.2011 (23)
  14. Anti Malware Doctor auf WIN 7 gehabt und entfernt. Richtig entfernt?
    Plagegeister aller Art und deren Bekämpfung - 22.09.2010 (13)
  15. SecurityTool richtig entfernt? - System langsam und instabil
    Plagegeister aller Art und deren Bekämpfung - 19.08.2010 (14)
  16. wie entfernt man Sinowal.J komplett ???
    Plagegeister aller Art und deren Bekämpfung - 04.05.2009 (3)
  17. Trojan.Downloader.Agent.ZOQ - richtig entfernt?
    Log-Analyse und Auswertung - 03.09.2008 (1)

Zum Thema Trojaner BDS/Sinowal.fsp: Richtig entfernt? Datensicherung etc.? - Hallo zusammen, man hofft ja eigentlich immer, dass es einen selbst nie erwischt, aber nun war es doch soweit. Hab mir vor zwei Wochen Sinowal eingefangen und würde mich über - Trojaner BDS/Sinowal.fsp: Richtig entfernt? Datensicherung etc.?...
Archiv
Du betrachtest: Trojaner BDS/Sinowal.fsp: Richtig entfernt? Datensicherung etc.? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.