BOO/Sinowal.F will einfach nich weg !

mellows · 27.09.2010, 14:17

hallo,

habe schon auf verschiedenen seiten nach dem problem gesucht und auch befolgt was da als hilfe angeboten wurde .. leider ohne erfolg ! jetz habe ich mich extra wegen diesen fall bei einem forum angemeldet weil ich beobachtet habe wie cosinus einigen gleichgesinnten helfen konnte und habe dadurch die hoffnung den virus doch noch loszuwerden !
die hilfe die cosinus anbot habe ich auch befolgt .. ohne ergebnis ! ich benutze windows 7 ultimate 64-bit und habe es schon geschätzte 30x neuformatiert -.-

wäre nett wenn mir jemand helfen könnte !
ich sag mal ich bin fortgeschrittener anfänger was PC`s angeht .. daher bitte in einfachen worten schreiben

ich poste einfach mal den log von mbr-check:

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows 7 Ultimate Edition
Windows Information: (build 7600), 64-bit
Base Board Manufacturer: MSI
BIOS Manufacturer: American Megatrends Inc.
System Manufacturer: MSI
System Product Name: MS-7309
Logical Drives Mask: 0x000001fc

Kernel Drivers (total 189):
0x02817000 \SystemRoot\system32\ntoskrnl.exe
0x02DF3000 \SystemRoot\system32\hal.dll
0x00BA0000 \SystemRoot\system32\kdcom.dll
0x00CFF000 \SystemRoot\system32\mcupdate_AuthenticAMD.dll
0x00D0C000 \SystemRoot\system32\PSHED.dll
0x00D20000 \SystemRoot\system32\CLFS.SYS
0x00C00000 \SystemRoot\system32\CI.dll
0x00E18000 \SystemRoot\system32\drivers\Wdf01000.sys
0x00EBC000 \SystemRoot\system32\drivers\WDFLDR.SYS
0x00ECB000 \SystemRoot\system32\DRIVERS\ACPI.sys
0x00F22000 \SystemRoot\system32\DRIVERS\WMILIB.SYS
0x00F2B000 \SystemRoot\system32\DRIVERS\msisadrv.sys
0x00F35000 \SystemRoot\system32\DRIVERS\pci.sys
0x00F68000 \SystemRoot\system32\DRIVERS\vdrvroot.sys
0x00F75000 \SystemRoot\System32\drivers\partmgr.sys
0x00F8A000 \SystemRoot\system32\DRIVERS\compbatt.sys
0x00F93000 \SystemRoot\system32\DRIVERS\BATTC.SYS
0x00F9F000 \SystemRoot\system32\DRIVERS\volmgr.sys
0x00D7E000 \SystemRoot\System32\drivers\volmgrx.sys
0x00FB4000 \SystemRoot\system32\DRIVERS\pciide.sys
0x00FBB000 \SystemRoot\system32\DRIVERS\PCIIDEX.SYS
0x00FCB000 \SystemRoot\System32\drivers\mountmgr.sys
0x00FE5000 \SystemRoot\system32\DRIVERS\atapi.sys
0x00CC0000 \SystemRoot\system32\DRIVERS\ataport.SYS
0x010D5000 \SystemRoot\system32\DRIVERS\nvstor.sys
0x01100000 \SystemRoot\system32\DRIVERS\storport.sys
0x01162000 \SystemRoot\system32\DRIVERS\amdxata.sys
0x0116D000 \SystemRoot\system32\drivers\fltmgr.sys
0x011B9000 \SystemRoot\system32\drivers\fileinfo.sys
0x0125D000 \SystemRoot\System32\Drivers\Ntfs.sys
0x01000000 \SystemRoot\System32\Drivers\msrpc.sys
0x01200000 \SystemRoot\System32\Drivers\ksecdd.sys
0x0105E000 \SystemRoot\System32\Drivers\cng.sys
0x0121A000 \SystemRoot\System32\drivers\pcw.sys
0x0122B000 \SystemRoot\System32\Drivers\Fs_Rec.sys
0x014C6000 \SystemRoot\system32\drivers\ndis.sys
0x01400000 \SystemRoot\system32\drivers\NETIO.SYS
0x01460000 \SystemRoot\System32\Drivers\ksecpkg.sys
0x01602000 \SystemRoot\System32\drivers\tcpip.sys
0x0182B000 \SystemRoot\System32\drivers\fwpkclnt.sys
0x01875000 \SystemRoot\system32\DRIVERS\vmstorfl.sys
0x01885000 \SystemRoot\system32\DRIVERS\volsnap.sys
0x018D1000 \SystemRoot\System32\Drivers\spldr.sys
0x018D9000 \SystemRoot\System32\drivers\rdyboost.sys
0x01913000 \SystemRoot\System32\Drivers\mup.sys
0x01925000 \SystemRoot\System32\drivers\hwpolicy.sys
0x0192E000 \SystemRoot\System32\DRIVERS\fvevol.sys
0x01968000 \SystemRoot\system32\DRIVERS\disk.sys
0x0197E000 \SystemRoot\system32\DRIVERS\CLASSPNP.SYS
0x0148B000 \SystemRoot\system32\DRIVERS\cdrom.sys
0x01813000 \SystemRoot\System32\Drivers\Null.SYS
0x0181C000 \SystemRoot\System32\Drivers\Beep.SYS
0x019F1000 \SystemRoot\System32\drivers\vga.sys
0x015B8000 \SystemRoot\System32\drivers\VIDEOPRT.SYS
0x015DD000 \SystemRoot\System32\drivers\watchdog.sys
0x015ED000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0x015F6000 \SystemRoot\system32\drivers\rdpencdd.sys
0x014B5000 \SystemRoot\system32\drivers\rdprefmp.sys
0x01235000 \SystemRoot\System32\Drivers\Msfs.SYS
0x01240000 \SystemRoot\System32\Drivers\Npfs.SYS
0x011CD000 \SystemRoot\system32\DRIVERS\tdx.sys
0x011EB000 \SystemRoot\system32\DRIVERS\TDI.SYS
0x03C1D000 \SystemRoot\system32\drivers\afd.sys
0x03CA7000 \SystemRoot\System32\DRIVERS\netbt.sys
0x03CEC000 \SystemRoot\system32\DRIVERS\wfplwf.sys
0x03CF5000 \SystemRoot\system32\DRIVERS\pacer.sys
0x03D1B000 \SystemRoot\system32\DRIVERS\vwififlt.sys
0x03D31000 \SystemRoot\system32\DRIVERS\netbios.sys
0x03D40000 \SystemRoot\system32\DRIVERS\serial.sys
0x03D5D000 \SystemRoot\system32\DRIVERS\wanarp.sys
0x03D78000 \SystemRoot\system32\DRIVERS\termdd.sys
0x03D8C000 \??\C:\Program Files\SUPERAntiSpyware\SASKUTIL64.SYS
0x03D96000 \??\C:\Program Files\SUPERAntiSpyware\SASDIFSV64.SYS
0x03DA0000 \SystemRoot\system32\DRIVERS\rdbss.sys
0x03DF1000 \SystemRoot\system32\drivers\nsiproxy.sys
0x03C00000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0x03C0B000 \SystemRoot\System32\drivers\discache.sys
0x03E69000 \SystemRoot\system32\drivers\csc.sys
0x03EEC000 \SystemRoot\System32\Drivers\dfsc.sys
0x03F0A000 \SystemRoot\system32\DRIVERS\blbdrive.sys
0x03F1B000 \SystemRoot\system32\DRIVERS\avipbb.sys
0x03F3D000 \SystemRoot\system32\DRIVERS\tunnel.sys
0x03F63000 \SystemRoot\system32\DRIVERS\amdk8.sys
0x03F7A000 \SystemRoot\system32\DRIVERS\serenum.sys
0x03F86000 \SystemRoot\system32\DRIVERS\parport.sys
0x03FA3000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0x03FC1000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0x03FD0000 \SystemRoot\system32\DRIVERS\mouclass.sys
0x03FDF000 \SystemRoot\system32\DRIVERS\usbohci.sys
0x03E00000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0x03E56000 \SystemRoot\system32\DRIVERS\usbehci.sys
0x04088000 \SystemRoot\system32\DRIVERS\RT2500.sys
0x040C4000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0x040E8000 \SystemRoot\system32\DRIVERS\nvm62x64.sys
0x04872000 \SystemRoot\system32\DRIVERS\atikmdag.sys
0x04E89000 \SystemRoot\System32\drivers\dxgkrnl.sys
0x04F7D000 \SystemRoot\System32\drivers\dxgmms1.sys
0x04FC3000 \SystemRoot\system32\DRIVERS\CompositeBus.sys
0x04FD3000 \SystemRoot\system32\DRIVERS\AgileVpn.sys
0x04800000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0x04824000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0x04830000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0x0414C000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0x04167000 \SystemRoot\system32\DRIVERS\raspptp.sys
0x04188000 \SystemRoot\system32\DRIVERS\rassstp.sys
0x0485F000 \SystemRoot\system32\DRIVERS\rdpbus.sys
0x0486A000 \SystemRoot\system32\DRIVERS\swenum.sys
0x041A2000 \SystemRoot\system32\DRIVERS\ks.sys
0x04FE9000 \SystemRoot\system32\DRIVERS\umbus.sys
0x04000000 \SystemRoot\system32\DRIVERS\usbhub.sys
0x0405A000 \SystemRoot\System32\Drivers\NDProxy.SYS
0x050E0000 \SystemRoot\system32\drivers\HdAudio.sys
0x0513C000 \SystemRoot\system32\drivers\portcls.sys
0x05179000 \SystemRoot\system32\drivers\drmk.sys
0x0519B000 \SystemRoot\system32\drivers\ksthunk.sys
0x000E0000 \SystemRoot\System32\win32k.sys
0x051A1000 \SystemRoot\System32\drivers\Dxapi.sys
0x051AD000 \SystemRoot\System32\Drivers\crashdmp.sys
0x051BB000 \SystemRoot\System32\Drivers\dump_diskdump.sys
0x051C5000 \SystemRoot\System32\Drivers\dump_nvstor.sys
0x05000000 \SystemRoot\System32\Drivers\dump_dumpfve.sys
0x05013000 \SystemRoot\system32\DRIVERS\RTL8192su.sys
0x051F0000 \SystemRoot\System32\drivers\vwifibus.sys
0x041E5000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS
0x051FD000 \SystemRoot\system32\DRIVERS\USBD.SYS
0x0406F000 \SystemRoot\system32\DRIVERS\monitor.sys
0x00550000 \SystemRoot\System32\TSDDD.dll
0x007C0000 \SystemRoot\System32\cdd.dll
0x019AE000 \SystemRoot\system32\drivers\luafv.sys
0x019D1000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0x00DDA000 \SystemRoot\system32\drivers\WudfPf.sys
0x03FEA000 \SystemRoot\system32\DRIVERS\lltdio.sys
0x0349C000 \SystemRoot\system32\DRIVERS\nwifi.sys
0x034EF000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0x03502000 \SystemRoot\system32\DRIVERS\rspndr.sys
0x0351A000 \SystemRoot\system32\drivers\HTTP.sys
0x035E2000 \SystemRoot\system32\DRIVERS\bowser.sys
0x03400000 \SystemRoot\System32\drivers\mpsdrv.sys
0x03418000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0x03445000 \SystemRoot\system32\DRIVERS\mrxsmb10.sys
0x0566D000 \SystemRoot\system32\DRIVERS\mrxsmb20.sys
0x05690000 \SystemRoot\system32\drivers\peauth.sys
0x05736000 \SystemRoot\System32\Drivers\secdrv.SYS
0x05741000 \SystemRoot\System32\DRIVERS\srvnet.sys
0x0576E000 \SystemRoot\System32\drivers\tcpipreg.sys
0x05780000 \SystemRoot\System32\DRIVERS\srv2.sys
0x05878000 \SystemRoot\System32\DRIVERS\srv.sys
0x0590E000 \SystemRoot\system32\drivers\spsys.sys
0x0597F000 \SystemRoot\system32\DRIVERS\WUDFRd.sys
0x77850000 \Windows\System32\ntdll.dll
0x47A10000 \Windows\System32\smss.exe
0xFFB70000 \Windows\System32\apisetschema.dll
0xFF170000 \Windows\System32\autochk.exe
0xFFA80000 \Windows\System32\oleaut32.dll
0xFFA60000 \Windows\System32\imagehlp.dll
0xFFA50000 \Windows\System32\nsi.dll
0x77A20000 \Windows\System32\normaliz.dll
0xFF9E0000 \Windows\System32\gdi32.dll
0x77A10000 \Windows\System32\psapi.dll
0xFF910000 \Windows\System32\usp10.dll
0xFF800000 \Windows\System32\msctf.dll
0xFF5F0000 \Windows\System32\ole32.dll
0xFE860000 \Windows\System32\shell32.dll
0xFE7C0000 \Windows\System32\msvcrt.dll
0xFE690000 \Windows\System32\wininet.dll
0xFE640000 \Windows\System32\ws2_32.dll
0xFE5A0000 \Windows\System32\clbcatq.dll
0xFE500000 \Windows\System32\comdlg32.dll
0x77750000 \Windows\System32\user32.dll
0xFE320000 \Windows\System32\setupapi.dll
0x77630000 \Windows\System32\kernel32.dll
0xFE1F0000 \Windows\System32\rpcrt4.dll
0xFE1C0000 \Windows\System32\imm32.dll
0xFE140000 \Windows\System32\shlwapi.dll
0xFE130000 \Windows\System32\lpk.dll
0xFDED0000 \Windows\System32\iertutil.dll
0xFDEB0000 \Windows\System32\sechost.dll
0xFDE30000 \Windows\System32\difxapi.dll
0xFDCB0000 \Windows\System32\urlmon.dll
0xFDC60000 \Windows\System32\Wldap32.dll
0xFDB80000 \Windows\System32\advapi32.dll
0xFDB60000 \Windows\System32\devobj.dll
0xFDAC0000 \Windows\System32\comctl32.dll
0xFDA80000 \Windows\System32\cfgmgr32.dll
0xFDA10000 \Windows\System32\KernelBase.dll
0xFD8A0000 \Windows\System32\crypt32.dll
0xFD860000 \Windows\System32\wintrust.dll
0xFD850000 \Windows\System32\msasn1.dll
0x75F90000 \Windows\SysWOW64\normaliz.dll

Processes (total 41):
0 System Idle Process
4 System
232 C:\Windows\System32\smss.exe
324 csrss.exe
376 C:\Windows\System32\wininit.exe
408 csrss.exe
432 C:\Windows\System32\services.exe
448 C:\Windows\System32\lsass.exe
456 C:\Windows\System32\lsm.exe
592 C:\Windows\System32\winlogon.exe
624 C:\Windows\System32\svchost.exe
720 C:\Windows\System32\svchost.exe
768 C:\Windows\System32\atiesrxx.exe
844 C:\Windows\System32\svchost.exe
884 C:\Windows\System32\svchost.exe
940 C:\Windows\System32\svchost.exe
332 C:\Windows\System32\svchost.exe
1028 C:\Windows\System32\svchost.exe
1164 C:\Windows\System32\spoolsv.exe
1192 C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
1268 C:\Windows\System32\atieclxx.exe
1360 C:\Windows\System32\svchost.exe
1496 C:\Program Files\SUPERAntiSpyware\SASCore64.exe
1516 C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
1604 C:\Windows\System32\sppsvc.exe
1804 C:\Program Files (x86)\Avira\AntiVir Desktop\avshadow.exe
1812 C:\Windows\System32\conhost.exe
1996 C:\Windows\System32\taskhost.exe
1220 C:\Windows\System32\dwm.exe
1344 C:\Windows\explorer.exe
2328 WUDFHost.exe
2480 C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
2580 C:\Windows\System32\SearchIndexer.exe
2916 C:\Program Files (x86)\Mozilla Firefox\firefox.exe
2472 C:\Windows\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
2492 C:\Windows\Microsoft.NET\Framework64\v2.0.50727\mscorsvw.exe
2060 C:\Windows\System32\svchost.exe
1372 C:\Windows\System32\audiodg.exe
2100 C:\Windows\System32\dllhost.exe
2448 C:\Users\TwoFace\Downloads\MBRCheck.exe
2608 C:\Windows\System32\conhost.exe

\\.\C: --> \\.\PhysicalDrive1 at offset 0x00000000`00007e00 (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)

PhysicalDrive1 Model Number: ST3500418AS, Rev: CC34
PhysicalDrive0 Model Number: Maxtor2F040J0, Rev: VAM51JJ0

Size Device Name MBR Status
--------------------------------------------
465 GB \\.\PhysicalDrive1 Windows 7 MBR code detected
SHA1: 4379A3D43019B46FA357F7DD6A53B45A3CA8FB79
38 GB \\.\PhysicalDrive0 Known-bad MBR code detected (Whistler / Black Internet)!
SHA1: 787048A31E84B918B59A81E7970EAEFDA0CB89A6

Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit:

Done!

mellows · 28.09.2010, 12:29

is ja echtn geiles forum wo einem nich geholfen wird !

naja habs jetz selber hinbekommen ..
für alle die das selbe problem haben und auch keine pc-cracks sind hoffe ich das dies euch helfen wird ....

alle eingebauten festplatten erst normal formatieren danach dann das betriebssystem installieren .. wenn`s fertig installiert wurde direkt neu starten (mit dem betriebssystem im laufwerk) und von der cd starten .. computerreperaturen wählen .. eingabeaufforderung wählen .. und bootrec/fixboot eingeben und mit enter bestätigen und danach bootrec/fixmbr eingeben und bestätigen .. betriebssystem-cd ausn laufwerk nehmen und neu starten .. fertig !

also bei mir hats geholfen ... viel glück !

BOO/Sinowal.F erfolgreich entfernt !

cosinus · 28.09.2010, 13:58

Zitat:

is ja echtn geiles forum wo einem nich geholfen wird !

Ja, das Trojaner-Board hilft so vielen Benutzern! Unglaublich, dass man nach nichtmal 24 Stunden immer noch keine Antwort bekommen hat!

mellows · 30.09.2010, 11:21

verdammt .. er is wieder da -.-

I NEED HELP !!

cosinus · 30.09.2010, 15:26

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Doppelklick auf die OTL.exe
Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
Unter Extra Registry, wähle bitte Use SafeList
Klicke nun auf Run Scan links oben
Wenn der Scan beendet wurde werden 2 Logfiles erstellt
Poste die Logfiles hier in den Thread.

mellows · 01.10.2010, 08:31

vielen dank fürs annehmen meines problems und sorry wegen dem eintrag vom 28. habe momentan einfach viel stress !

amwb hat 2 viren gefunden ... entfernen oder ignorieren ?

cosinus · 01.10.2010, 10:51

Lesen!! Du sollst alle Logs posten!

mellows · 01.10.2010, 11:37

soo da sindse ....

was ich komisch finde ist, nachdem ich neu formatiert habe und einen suchlauf mit antivir gestartet hatte war alles einwandfrei. hab mein rechner wieder eingerichtet usw .. dann habe ich erneut einen suchlauf gestartet und dann war plötzlich BOO/Sinowal.F wieder da .. was darauf schliessen lässt das der sich entweder in meinen, auf einer externen festplatte gesicherten dateien eingenistet hat oder durch updates auf meinen rechner gekommen ist. auf der ext. festplatte hatte ich vorher auch einen suchlauf gestartet und da wurde auch nix gefunden ... also kanns nur durch den updates sein.

meine fragen :
a) kann man eventuell herausfinden durch welche updates das teil gekommen ist ?

b) auch wenn der jetzt enfernt werden sollte könnte er doch demnächst wieder auftauchen oder ?

gruß

mellows · 01.10.2010, 12:01

ups hab die extras-datei von OTL übersehen ....

cosinus · 01.10.2010, 13:52

Zitat:

38 GB \\.\PhysicalDrive0 Known-bad MBR code detected (Whistler / Black Internet)!
SHA1: 787048A31E84B918B59A81E7970EAEFDA0CB89A6

Was ist das für ne Platte?

mellows · 01.10.2010, 14:36

Die hatte ich noch übrig und hab die eingebaut um meine dateien besser zu ordnen. Momentan ist da nix wichtiges drauf. Die habe ich direkt eingebaut als ich den Pc gekauft habe .. ist jetzt ca. 1 Jahr her und sonst war mit der auch alles ok.

mellows · 01.10.2010, 14:39

Die habe ich eingebaut um meine Dateien besser zu ordnen. Momentan ist da nichts wichtiges drauf. Die hab ich gleich als ich mir den Rechner gekauft hatte eingebaut .. ist jetzt ca. 1 jahr her und sonst war mit der auch alles in ordnung.

gruß

mellows · 01.10.2010, 14:49

Die habe ich eingebaut um meine Dateien besser zu ordnen. Momentan ist da nichts wichtiges drauf. Eingebaut habe ich die als ich mir den Rechner gekauft hatte .. ist jetzt ca. 1 Jahr her.

cosinus · 01.10.2010, 14:49

Starte bitte MBRCheck.exe erneut.
Diesmal tippe in das Fenster folgendes ein und bestätige jede Eingabe mit Enter
bei

Enter 'Y' and hit ENTER for more options, or 'N' to exit: y
Enter your choice: 2
Enter the physical disk number to fix (0-99, -1 to cancel): 0
Please select the MBR code to write to this drive: 5 (für Win7)
Gib nun Yes ein und bestätige mit ENTER.
Starte den Rechner neu auf.

Nach dem Neustart starte bitte MBRCheck.exe erneut.
Nun findest Du 2 MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop.
Poste mir den Inhalt von beiden .txt Dokumenten

mellows · 01.10.2010, 15:16

Ok ..
Mein Rechner hatte gerade Ladehemmung, darum die 3 gleichen Einträge -.-

01.10.2010, 10:51	#7
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	BOO/Sinowal.F will einfach nich weg ! Lesen!! Du sollst alle Logs posten! __________________ Logfiles bitte immer in CODE-Tags posten

BOO/Sinowal.F will einfach nich weg !

Plagegeister aller Art und deren Bekämpfung: BOO/Sinowal.F will einfach nich weg !