Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
BOO/Sinowal.f Infektion

BOO/Sinowal.f Infektion


Plagegeister aller Art und deren Bekämpfung: BOO/Sinowal.f Infektion

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Seite 1 von 2 1 2
Alt 21.01.2011, 15:07   #1
saeaebi
 
BOO/Sinowal.f Infektion - Unglücklich

BOO/Sinowal.f Infektion


Hallo Zusammen,
ich habe vor Kurzem einen Antivir durchlauf gestartet, woraufhin mein Antivir den Virus BOO/Sinowal.f gefunden hat (Logfile hänge ich an). Jetzt habe ich diverse Einträge über diesen Virus gelesen und gehört, dass jeder Fall einzeln zu betrachten ist.
Da ich ein Anfänger auf dem Gebiet der Viren bin und nichts unüberlegtes tun möchte bitte ich nun hier um Hilfe.
Ich habe bereits einen Vollscan mit Malwarebytes gemacht und auch OTL und GMER scannen lassen, wie es in der Anweisung steht. (im Anhang)
Ich hoffe auf baldige Hilfe und danke im Voraus für alle Ratschläge!
Lg Sebi

Alt 21.01.2011, 21:58   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
BOO/Sinowal.f Infektion - Standard

BOO/Sinowal.f Infektion


Wo sind die Logs von Malwarebytes?
Bitte alle posten! Du findest diese im Reiter Logdateien in Malwarebytes.
Alle Logs am besten zusammen in eine einzige ZIP-Datei verpacken und hier hochladen.
__________________

__________________
Alt 22.01.2011, 11:05   #3
saeaebi
 
BOO/Sinowal.f Infektion - Standard

BOO/Sinowal.f Infektion


Oh die hab ich vergessen zu posten. Also jetzt nochmal alle Logs in einer Zip Datei mit Malwarebytes. Von Malwarebytes hab ich leider erst dieses eine Logfile; findet allerdings nichts.
Lg Sebi
__________________
Alt 22.01.2011, 13:59   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
BOO/Sinowal.f Infektion - Standard

BOO/Sinowal.f Infektion


Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:
ATTFilter
:OTL
PRC - C:\Program Files (x86)\ICQ6Toolbar\ICQ Service.exe ()
SRV - (ICQ Service) -- C:\Program Files (x86)\ICQ6Toolbar\ICQ Service.exe ()
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = 192.168.20.150:8080
O4 - HKLM..\Run: [C:\Users\****~1\AppData\Local\Temp\opeA925.exe ]  File not found
O4 - HKLM..\Run: [FAStartup]  File not found
O33 - MountPoints2\{061d9c0b-c3da-11de-8ca5-0026b9062497}\Shell - "" = AutoRun
O33 - MountPoints2\{061d9c0b-c3da-11de-8ca5-0026b9062497}\Shell\AutoRun\command - "" = G:\LaunchU3.exe -a
O33 - MountPoints2\{b763142a-f924-11de-b358-0026b9062497}\Shell\AutoRun\command - "" = F:\setupSNK.exe
O33 - MountPoints2\{e61dadad-c7d8-11df-b99b-0026b9062497}\Shell - "" = AutoRun
O33 - MountPoints2\{e61dadad-c7d8-11df-b99b-0026b9062497}\Shell\AutoRun\command - "" = F:\autorun.exe
O33 - MountPoints2\{e61dadad-c7d8-11df-b99b-0026b9062497}\Shell\install\command - "" = F:\autorun.exe
:Commands
[purity]
[resethosts]
[emptytemp]
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 22.01.2011, 14:49   #5
saeaebi
 
BOO/Sinowal.f Infektion - Standard

BOO/Sinowal.f Infektion


Hab alle Programme geschlossen und dann durchgeführt. Windows hat mir dann aber nach einiger Zeit gesagt das Programm würde nicht mehr richtig funktionieren und gefragt ob ich es schliessen wolle. Nachdem ich dann den Vorgang wiederholfen wollte und OTL ausgeführt habe erschien eine txt Datei. (hänge ich an)
soll ich den Prozess noch einmal durchführen oder hat das Programm das getan was es tun sollte?
lg Sebi


Alt 22.01.2011, 14:56   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
BOO/Sinowal.f Infektion - Standard

BOO/Sinowal.f Infektion


Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
__________________
--> BOO/Sinowal.f Infektion

Alt 22.01.2011, 15:46   #7
saeaebi
 
BOO/Sinowal.f Infektion - Standard

BOO/Sinowal.f Infektion


Ok habe CCleaner und danach cofi ausgeführt
hier das Ergebnis: Combofix Logfile:
Code:
ATTFilter
ComboFix 11-01-21.03 - **** 22.01.2011  15:24:42.1.2 - x64
Microsoft® Windows Vista™ Home Premium   6.0.6002.2.1252.49.1031.18.4060.2627 [GMT 1:00]
ausgeführt von:: c:\users\****\Desktop\cofi.exe
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\users\****\AppData\Roaming\chrtmp
c:\users\****\remover.exe
c:\windows\system32\twunk_32.exe
c:\windows\SysWow64\AVSredirect.dll
c:\windows\SysWow64\twunk_32.exe
D:\Autorun.inf

.
(((((((((((((((((((((((   Dateien erstellt von 2010-12-22 bis 2011-01-22  ))))))))))))))))))))))))))))))
.

2011-01-22 14:10 . 2011-01-22 14:10	--------	d-----w-	c:\program files\CCleaner
2011-01-22 13:24 . 2011-01-22 13:24	--------	d-----w-	C:\_OTL
2011-01-19 13:56 . 2011-01-22 09:59	--------	d-----w-	c:\users\****\Logfiles
2011-01-16 22:43 . 2011-01-16 22:46	--------	d-----w-	c:\windows\SysWow64\ca-ES
2011-01-16 22:43 . 2011-01-16 22:45	--------	d-----w-	c:\windows\SysWow64\eu-ES
2011-01-16 22:43 . 2011-01-16 22:45	--------	d-----w-	c:\windows\SysWow64\vi-VN
2011-01-16 22:43 . 2011-01-16 22:44	--------	d-----w-	c:\windows\system32\ca-ES
2011-01-16 22:43 . 2011-01-16 22:44	--------	d-----w-	c:\windows\system32\eu-ES
2011-01-16 22:43 . 2011-01-16 22:44	--------	d-----w-	c:\windows\system32\vi-VN
2011-01-16 15:29 . 2011-01-16 15:29	--------	d-----w-	c:\windows\system32\EventProviders
2011-01-14 13:20 . 2010-11-16 11:01	8199504	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{D63B2E08-A136-4308-B1DA-A22323DFAB13}\mpengine.dll
2011-01-13 16:06 . 2011-01-13 17:07	--------	d-----w-	C:\OLDGAMES
2011-01-10 20:06 . 2009-06-18 11:55	18816	------w-	c:\windows\SysWow64\SAVRKBootTasks.sys
2011-01-10 17:31 . 2009-06-18 11:54	6144	----a-w-	c:\windows\system32\1D70.tmp
2011-01-10 17:20 . 2009-06-18 11:54	6144	----a-w-	c:\windows\system32\E540.tmp
2011-01-10 17:20 . 2011-01-10 17:20	--------	d-----w-	c:\program files (x86)\Sophos
2011-01-07 11:32 . 2011-01-07 11:32	--------	d-----w-	c:\programdata\WindowsSearch
2011-01-02 20:33 . 2009-09-27 08:39	369152	----a-w-	c:\windows\SysWow64\avisynth.dll
2011-01-02 20:33 . 2004-02-22 09:11	719872	----a-w-	c:\windows\SysWow64\devil.dll
2011-01-02 20:33 . 2004-01-24 23:00	70656	----a-w-	c:\windows\SysWow64\yv12vfw.dll
2011-01-02 20:33 . 2004-01-24 23:00	70656	----a-w-	c:\windows\SysWow64\i420vfw.dll
2011-01-02 20:33 . 2011-01-02 20:33	--------	d-----w-	c:\program files (x86)\AviSynth 2.5
2011-01-01 13:26 . 2011-01-01 13:26	--------	d-----w-	c:\program files\iPod
2011-01-01 13:26 . 2011-01-01 13:27	--------	d-----w-	c:\program files\iTunes
2011-01-01 13:26 . 2011-01-01 13:27	--------	d-----w-	c:\program files (x86)\iTunes

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-12-23 10:04 . 2010-12-23 10:04	1222408	----a-w-	c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll
2010-12-20 17:09 . 2010-05-13 08:10	38224	----a-w-	c:\windows\SysWow64\drivers\mbamswissarmy.sys
2010-12-20 17:08 . 2010-05-13 08:10	24152	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-12-13 18:03 . 2009-09-25 20:58	303616	----a-w-	c:\windows\system32\drivers\atksgt.sys
2010-12-13 18:03 . 2009-09-25 20:58	35328	----a-w-	c:\windows\system32\drivers\lirsgt.sys
2010-11-29 16:38 . 2010-11-29 16:38	94208	----a-w-	c:\windows\SysWow64\QuickTimeVR.qtx
2010-11-29 16:38 . 2010-11-29 16:38	69632	----a-w-	c:\windows\SysWow64\QuickTime.qts
2010-11-22 13:22 . 2010-05-11 14:37	83120	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2010-11-06 11:18 . 2010-12-16 13:51	500224	----a-w-	c:\windows\system32\wmicmiplugin.dll
2010-11-06 11:18 . 2010-12-16 13:51	655872	----a-w-	c:\windows\system32\taskschd.dll
2010-11-06 11:18 . 2010-12-16 13:51	410112	----a-w-	c:\windows\system32\taskcomp.dll
2010-11-06 11:18 . 2010-12-16 13:51	855040	----a-w-	c:\windows\system32\schedsvc.dll
2010-11-04 23:58 . 2010-12-16 13:51	267776	----a-w-	c:\windows\system32\taskeng.exe
2010-11-04 18:55 . 2010-12-16 13:51	352768	----a-w-	c:\windows\SysWow64\taskschd.dll
2010-11-04 18:55 . 2010-12-16 13:51	270336	----a-w-	c:\windows\SysWow64\taskcomp.dll
2010-11-04 16:34 . 2010-12-16 13:51	171520	----a-w-	c:\windows\SysWow64\taskeng.exe
2010-10-28 16:29 . 2010-12-16 13:52	48128	----a-w-	c:\windows\system32\atmlib.dll
2010-10-28 15:44 . 2010-12-16 13:52	34304	----a-w-	c:\windows\SysWow64\atmlib.dll
2010-10-28 14:05 . 2010-12-16 13:52	367104	----a-w-	c:\windows\system32\atmfd.dll
2010-10-28 13:56 . 2010-12-16 13:52	2048	----a-w-	c:\windows\system32\tzres.dll
2010-10-28 13:27 . 2010-12-16 13:52	292352	----a-w-	c:\windows\SysWow64\atmfd.dll
2010-10-28 13:20 . 2010-12-16 13:52	2048	----a-w-	c:\windows\SysWow64\tzres.dll
2006-05-03 10:06	163328	--sh--r-	c:\windows\SysWOW64\flvDX.dll
2007-02-21 11:47	31232	--sh--r-	c:\windows\SysWOW64\msfDX.dll
2008-03-16 13:30	216064	--sh--r-	c:\windows\SysWOW64\nbDX.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ISUSPM Startup"="c:\progra~2\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe" [2004-06-16 221184]
"ISUSScheduler"="c:\program files (x86)\Common Files\InstallShield\UpdateService\issch.exe" [2006-09-11 86960]

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\program files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2009-04-23 61440]
"Microsoft Default Manager"="c:\program files (x86)\Microsoft\Search Enhancement Pack\Default Manager\DefMgr.exe" [2009-04-24 250192]
"PDVDDXSrv"="c:\program files\CyberLink\PowerDVD DX\PDVDDXSrv.exe" [2009-02-05 128232]
"Dell Webcam Central"="c:\program files (x86)\Dell Webcam\Dell Webcam Central\WebcamDell2.exe" [2009-01-09 405639]
"Adobe Reader Speed Launcher"="c:\program files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-04-04 36272]
"Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-21 932288]
"WinampAgent"="c:\program files (x86)\Winamp\winampa.exe" [2010-07-12 74752]
"FATrayAlert"="c:\program files (x86)\Sensible Vision\Fast Access\FATrayMon.exe" [2010-04-04 95560]
"avgnt"="c:\program files (x86)\Avira\AntiVir Desktop\avgnt.exe" [2010-11-06 281768]
"DivXUpdate"="c:\program files (x86)\DivX\DivX Update\DivXUpdate.exe" [2010-09-01 1164584]
"SwitchBoard"="c:\program files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe" [2010-02-19 517096]
"AdobeCS5ServiceManager"="c:\program files (x86)\Common Files\Adobe\CS5ServiceManager\CS5ServiceManager.exe" [2010-02-22 406992]
"QuickTime Task"="c:\program files (x86)\QuickTime\QTTask.exe" [2010-11-29 421888]
"iTunesHelper"="c:\program files (x86)\iTunes\iTunesHelper.exe" [2010-12-13 421160]

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce]
"Launcher"="c:\program files (x86)\Dell DataSafe Local Backup\Components\scheduler\Launcher.exe" [2009-04-17 165104]

c:\users\****\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Dell Dock.lnk - c:\program files\Dell\DellDock\DellDock.exe [2009-5-28 1320288]
Lanceur Pointsoft.lnk - c:\pointsoft\lanceur.exe [2000-12-11 71952]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Bluetooth.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2008-6-5 1025576]

c:\users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Dell Dock First Run.lnk - c:\program files\Dell\DellDock\DellDock.exe [2009-5-28 1320288]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\FastAccess]
2010-04-04 09:43	144712	----a-w-	c:\program files (x86)\Sensible Vision\Fast Access\FALogNot.dll

R1 SAVRKBootTasks;Boot Tasks Driver;c:\windows\system32\SAVRKBootTasks.sys [x]
R3 btwl2cap;Bluetooth L2CAP Service;c:\windows\system32\DRIVERS\btwl2cap.sys [2008-06-15 36392]
R3 MEMSWEEP2;MEMSWEEP2;c:\windows\system32\1D70.tmp [2009-06-18 6144]
R3 SwitchBoard;SwitchBoard;c:\program files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe [2010-02-19 517096]
R3 USBAAPL64;Apple Mobile USB Driver;c:\windows\system32\Drivers\usbaapl64.sys [2010-09-28 51712]
S0 PxHlpa64;PxHlpa64;c:\windows\System32\Drivers\PxHlpa64.sys [2009-04-28 55024]
S0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2010-09-24 834544]
S2 AESTFilters;Andrea ST Filters Service;c:\windows\System32\DriverStore\FileRepository\stwrt64.inf_15f4e438\AESTSr64.exe [2009-03-29 89600]
S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [2009-05-10 211968]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files (x86)\Avira\AntiVir Desktop\sched.exe [2010-11-06 135336]
S2 DockLoginService;Dock Login Service;c:\program files\Dell\DellDock\DockLogin.exe [2008-12-18 155648]
S2 FAService;FAService;c:\program files (x86)\Sensible Vision\Fast Access\FAService.exe [2010-04-04 2409800]
S2 SftService;SoftThinks Agent Service;c:\program files (x86)\Dell DataSafe Local Backup\sftservice.EXE [2009-04-17 636144]
S3 CtClsFlt;Creative Camera Class Upper Filter Driver;c:\windows\system32\DRIVERS\CtClsFlt.sys [2008-12-31 172032]
S3 FACAP;facap, FastAccess Video Capture;c:\windows\system32\DRIVERS\facap.sys [2008-09-25 238848]
S3 itecir;ITECIR Infrared Receiver;c:\windows\system32\DRIVERS\itecir.sys [2008-08-24 59392]
S3 k57nd60a;Broadcom NetLink (TM) Gigabit Ethernet - NDIS 6.0;c:\windows\system32\DRIVERS\k57nd60a.sys [2009-04-27 252928]
S3 NETw5v64;Intel(R) Wireless WiFi Link 5000 Series Adapter Driver for Windows Vista 64 Bit;c:\windows\system32\DRIVERS\NETw5v64.sys [2008-12-21 4735488]

.
Inhalt des "geplante Tasks" Ordners

2011-01-21 c:\windows\Tasks\User_Feed_Synchronization-{A7EC2BC4-763A-410D-B610-5B46481A0CBB}.job
- c:\windows\system32\msfeedssync.exe [2008-01-21 02:50]
.

--------- x86-64 -----------


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="%ProgramFiles%\Windows Defender\MSASCui.exe -hide" [X]
"combofix"="c:\cofi\CF30177.cfxxe" [X]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-11-20 1657128]
"QuickSet"="c:\program files\Dell\QuickSet\QuickSet.exe" [2008-09-26 2041112]
"AdobeAAMUpdater-1.0"="c:\program files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe" [2010-03-06 500208]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"LoadAppInit_DLLs"=0x0
.
------- Zusätzlicher Suchlauf -------
.
uLocal Page = c:\windows\system32\blank.htm
uStart Page = hxxp://google.de/
mLocal Page = %SystemRoot%\system32\blank.htm
uInternet Settings,ProxyOverride = <local>;*.local
IE: Bild an &Bluetooth-Gerät senden... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Free YouTube Download - c:\users\****\AppData\Roaming\DVDVideoSoftIEHelpers\youtubedownload.htm
IE: Free YouTube to Mp3 Converter - c:\users\****\AppData\Roaming\DVDVideoSoftIEHelpers\youtubetomp3.htm
IE: Nach Microsoft E&xel exportieren - c:\progra~2\MICROS~1\Office12\EXCEL.EXE/3000
IE: Seite an &Bluetooth-Gerät senden... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
IE: {{71BFC818-0CED-42D6-9C87-5142918957EE} - c:\program files (x86)\ICQ7.1\ICQ.exe
TCP: {3004B511-3ED1-4447-B1CD-9CAF3624FF4B} = 194.25.2.129
FF - ProfilePath - c:\users\****\AppData\Roaming\Mozilla\Firefox\Profiles\zfd50l05.default\
FF - prefs.js: browser.search.selectedEngine - ICQ Search
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&tb_ver=2.0.0.3&q=
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files (x86)\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Skype extension: {AB2CE124-6272-4b12-94A9-7303C7397BD1} - c:\program files (x86)\Mozilla Firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Ext: DVDVideoSoftTB Toolbar: {872b5b88-9db5-4310-bdd0-ac189557e5f5} - %profile%\extensions\{872b5b88-9db5-4310-bdd0-ac189557e5f5}
FF - Ext: DVDVideoSoft Menu: {ACAA314B-EEBA-48e4-AD47-84E31C44796C} - %profile%\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}
FF - Ext: DVDVideoSoft Toolbar: {e9911ec6-1bcc-40b0-9993-e0eea7f6953f} - %profile%\extensions\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

Wow6432Node-HKLM-Run-FAStartup - (no file)
SafeBoot-mcmscsvc
SafeBoot-MCODS
HKLM-Run-SysTrayApp - %ProgramFiles%\IDT\WDM\sttray64.exe
AddRemove-PunkBusterSvc - c:\windows\system32\pbsvc.exe



[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MEMSWEEP2]
"ImagePath"="\??\c:\windows\system32\1D70.tmp"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{0BE09CC1-42E0-11DD-AE16-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil10b.exe,-101"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{0BE09CC1-42E0-11DD-AE16-0800200C9A66}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{0BE09CC1-42E0-11DD-AE16-0800200C9A66}\LocalServer32]
@="c:\\Windows\\SysWow64\\Macromed\\Flash\\FlashUtil10b.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{0BE09CC1-42E0-11DD-AE16-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10b.ocx"
"ThreadingModel"="Apartment"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.10"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10b.ocx, 1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10b.ocx"
"ThreadingModel"="Apartment"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10b.ocx, 1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{DDF4CE26-4BDA-42BC-B0F0-0E75243AD285}]
@Denied: (A 2) (Everyone)
@="IFlashBroker2"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{DDF4CE26-4BDA-42BC-B0F0-0E75243AD285}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{DDF4CE26-4BDA-42BC-B0F0-0E75243AD285}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\TypeLib\{D27CDB6B-AE6D-11CF-96B8-444553540000}]
@Denied: (A 2) (Everyone)

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\TypeLib\{D27CDB6B-AE6D-11CF-96B8-444553540000}\1.0]
@="Shockwave Flash"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\TypeLib\{FAB3E735-69C7-453B-A446-B6823C6DF1C9}]
@Denied: (A 2) (Everyone)
@=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\TypeLib\{FAB3E735-69C7-453B-A446-B6823C6DF1C9}\1.0]
@="FlashBroker"

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes]
"SymbolicLinkValue"=hex(6):5c,00,52,00,45,00,47,00,49,00,53,00,54,00,52,00,59,
   00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,4f,00,46,00,\
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\program files (x86)\Avira\AntiVir Desktop\avguard.exe
c:\program files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files (x86)\Bonjour\mDNSResponder.exe
c:\windows\SysWOW64\PnkBstrA.exe
c:\program files (x86)\Sensible Vision\Fast Access\FATrayAlert.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-01-22  15:38:27 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2011-01-22 14:38

Vor Suchlauf: 14 Verzeichnis(se), 119.247.110.144 Bytes frei
Nach Suchlauf: 18 Verzeichnis(se), 118.983.008.256 Bytes frei

- - End Of File - - EA92C4399653DB5581749692AD553961
--- --- ---

Gruß Sebi

Alt 24.01.2011, 09:10   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
BOO/Sinowal.f Infektion - Standard

BOO/Sinowal.f Infektion


Bitte nun Logs mit GMER und mbrcheck erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg

Anleitung zu mbrcheck:
Downloade Dir MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur wenige Sekunden.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 24.01.2011, 14:54   #9
saeaebi
 
BOO/Sinowal.f Infektion - Standard

BOO/Sinowal.f Infektion


So hab logs erstellt mit GMER und mbrcheck:
Zuerst gmer: GMER Logfile:
Code:
ATTFilter
GMER 1.0.15.15530 - hxxp://www.gmer.net
Rootkit scan 2011-01-24 14:46:48
Windows 6.0.6002 Service Pack 2 
Running: epfd0rto.exe
 
 
---- Registry - GMER 1.0.15 ----
 
Reg  HKLM\SYSTEM\CurrentControlSet\Services\BthPort\Parameters\Keys\00225f97dbdb                                         
Reg  HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1                                                                  771343423
Reg  HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2                                                                  285507792
Reg  HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0                                                                  1
Reg  HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC                                    
Reg  HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0                                 0x00 0x00 0x00 0x00 ...
Reg  HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                                 0
Reg  HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                              0xAC 0x21 0x23 0xC8 ...
Reg  HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0                                 C:\Program Files (x86)\DAEMON Tools Lite\
Reg  HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001                           
Reg  HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12                     0x42 0x5A 0x4F 0xF0 ...
Reg  HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0                        0x20 0x01 0x00 0x00 ...
Reg  HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0                      
Reg  HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12                0xA9 0xD2 0x92 0xC2 ...
Reg  HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1                      
Reg  HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1@hdf12                0x66 0x46 0x7A 0x2B ...
Reg  HKLM\SYSTEM\ControlSet002\Services\BthPort\Parameters\Keys\00225f97dbdb (not active ControlSet)                     
Reg  HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)                
Reg  HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0                                     0x00 0x00 0x00 0x00 ...
Reg  HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                                     0
Reg  HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                                  0xAC 0x21 0x23 0xC8 ...
Reg  HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0                                     C:\Program Files (x86)\DAEMON Tools Lite\
Reg  HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)       
Reg  HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12                         0x42 0x5A 0x4F 0xF0 ...
Reg  HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0                            0x20 0x01 0x00 0x00 ...
Reg  HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)  
Reg  HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12                    0xA9 0xD2 0x92 0xC2 ...
Reg  HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1 (not active ControlSet)  
Reg  HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1@hdf12                    0x66 0x46 0x7A 0x2B ...
 
---- EOF - GMER 1.0.15 ----
--- --- ---


und hier die Logdatei von mbrcheck:
Zitat:
MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows Vista Home Premium Edition
Windows Information: Service Pack 2 (build 6002), 64-bit
Base Board Manufacturer: Dell Inc.
BIOS Manufacturer: Dell Inc.
System Manufacturer: Dell Inc.
System Product Name: Studio XPS 1640
Logical Drives Mask: 0x0000007c

Kernel Drivers (total 156):
0x02003000 \SystemRoot\system32\ntoskrnl.exe
0x0251A000 \SystemRoot\system32\hal.dll
0x00607000 \SystemRoot\system32\kdcom.dll
0x00611000 \SystemRoot\system32\mcupdate_GenuineIntel.dll
0x0064C000 \SystemRoot\system32\PSHED.dll
0x00660000 \SystemRoot\system32\CLFS.SYS
0x006BD000 \SystemRoot\system32\CI.dll
0x0080F000 \SystemRoot\system32\drivers\Wdf01000.sys
0x008E9000 \SystemRoot\system32\drivers\WDFLDR.SYS
0x00A04000 \SystemRoot\System32\Drivers\spoe.sys
0x00B2A000 \SystemRoot\System32\Drivers\WMILIB.SYS
0x00B33000 \SystemRoot\System32\Drivers\SCSIPORT.SYS
0x00B61000 \SystemRoot\system32\drivers\acpi.sys
0x00BB7000 \SystemRoot\system32\drivers\msisadrv.sys
0x00BC1000 \SystemRoot\system32\drivers\pci.sys
0x008F7000 \SystemRoot\System32\drivers\partmgr.sys
0x00BF1000 \SystemRoot\system32\DRIVERS\compbatt.sys
0x0090C000 \SystemRoot\system32\DRIVERS\BATTC.SYS
0x00918000 \SystemRoot\system32\drivers\volmgr.sys
0x0092C000 \SystemRoot\System32\drivers\volmgrx.sys
0x00992000 \SystemRoot\System32\drivers\mountmgr.sys
0x00BF5000 \SystemRoot\system32\drivers\atapi.sys
0x009A5000 \SystemRoot\system32\drivers\ataport.SYS
0x009C9000 \SystemRoot\system32\drivers\msahci.sys
0x009D3000 \SystemRoot\system32\drivers\PCIIDEX.SYS
0x0076F000 \SystemRoot\system32\drivers\fltmgr.sys
0x009E3000 \SystemRoot\system32\drivers\fileinfo.sys
0x00800000 \SystemRoot\System32\Drivers\PxHlpa64.sys
0x00C09000 \SystemRoot\System32\Drivers\ksecdd.sys
0x00E0F000 \SystemRoot\system32\drivers\ndis.sys
0x00C90000 \SystemRoot\system32\drivers\msrpc.sys
0x00CE0000 \SystemRoot\system32\drivers\NETIO.SYS
0x01006000 \SystemRoot\System32\drivers\tcpip.sys
0x0117C000 \SystemRoot\System32\drivers\fwpkclnt.sys
0x01205000 \SystemRoot\System32\Drivers\Ntfs.sys
0x01385000 \SystemRoot\system32\drivers\volsnap.sys
0x013C9000 \SystemRoot\System32\Drivers\spldr.sys
0x013D1000 \SystemRoot\System32\Drivers\mup.sys
0x011A8000 \SystemRoot\System32\drivers\ecache.sys
0x013E3000 \SystemRoot\system32\drivers\disk.sys
0x011D4000 \SystemRoot\system32\drivers\CLASSPNP.SYS
0x00FD2000 \SystemRoot\system32\drivers\crcdisk.sys
0x00E00000 \SystemRoot\system32\DRIVERS\tunnel.sys
0x013F7000 \SystemRoot\system32\DRIVERS\tunmp.sys
0x02201000 \SystemRoot\system32\DRIVERS\atikmdag.sys
0x0280F000 \SystemRoot\System32\drivers\dxgkrnl.sys
0x028F0000 \SystemRoot\System32\drivers\watchdog.sys
0x02900000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0x029ED000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0x0274E000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0x02794000 \SystemRoot\system32\DRIVERS\usbehci.sys
0x02A02000 \SystemRoot\system32\DRIVERS\NETw5v64.sys
0x02E91000 \SystemRoot\system32\DRIVERS\k57nd60a.sys
0x02ED4000 \SystemRoot\system32\DRIVERS\ohci1394.sys
0x02EE6000 \SystemRoot\system32\DRIVERS\1394BUS.SYS
0x02EF6000 \SystemRoot\system32\DRIVERS\sdbus.sys
0x02F16000 \SystemRoot\system32\DRIVERS\rimmpx64.sys
0x02F2B000 \SystemRoot\system32\DRIVERS\rimspx64.sys
0x02F42000 \SystemRoot\system32\DRIVERS\rixdpx64.sys
0x02F99000 \SystemRoot\system32\DRIVERS\itecir.sys
0x027A5000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0x02800000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0x00D39000 \SystemRoot\system32\DRIVERS\SynTP.sys
0x02FF4000 \SystemRoot\system32\DRIVERS\USBD.SYS
0x027BB000 \SystemRoot\system32\DRIVERS\mouclass.sys
0x027C7000 \SystemRoot\system32\DRIVERS\cdrom.sys
0x027E3000 \SystemRoot\system32\DRIVERS\GEARAspiWDM.sys
0x00D7F000 \SystemRoot\System32\Drivers\agg4as7j.SYS
0x00DC4000 \SystemRoot\system32\DRIVERS\intelppm.sys
0x02FF6000 \SystemRoot\system32\DRIVERS\wmiacpi.sys
0x029F9000 \SystemRoot\system32\DRIVERS\CmBatt.sys
0x007B6000 \SystemRoot\system32\DRIVERS\facap.sys
0x00DD7000 \SystemRoot\system32\DRIVERS\STREAM.SYS
0x03002000 \SystemRoot\system32\DRIVERS\ks.sys
0x03036000 \SystemRoot\system32\DRIVERS\CtClsFlt.sys
0x03060000 \SystemRoot\system32\drivers\ksthunk.sys
0x03066000 \SystemRoot\system32\DRIVERS\msiscsi.sys
0x0309F000 \SystemRoot\system32\DRIVERS\storport.sys
0x030FC000 \SystemRoot\system32\DRIVERS\TDI.SYS
0x03109000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0x0312C000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0x03138000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0x03169000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0x03179000 \SystemRoot\system32\DRIVERS\raspptp.sys
0x03197000 \SystemRoot\system32\DRIVERS\rassstp.sys
0x031AF000 \SystemRoot\system32\DRIVERS\termdd.sys
0x031C2000 \SystemRoot\system32\DRIVERS\swenum.sys
0x031C4000 \SystemRoot\system32\DRIVERS\circlass.sys
0x031D5000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0x031E0000 \SystemRoot\system32\DRIVERS\umbus.sys
0x03408000 \SystemRoot\system32\DRIVERS\usbhub.sys
0x03450000 \SystemRoot\System32\Drivers\NDProxy.SYS
0x03464000 \SystemRoot\system32\drivers\AtiHdmi.sys
0x03483000 \SystemRoot\system32\drivers\portcls.sys
0x034BE000 \SystemRoot\system32\drivers\drmk.sys
0x034E1000 \SystemRoot\system32\DRIVERS\stwrt64.sys
0x0355A000 \SystemRoot\system32\DRIVERS\hidir.sys
0x03565000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0x03577000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0x0357F000 \SystemRoot\system32\DRIVERS\kbdhid.sys
0x0358A000 \SystemRoot\system32\DRIVERS\mouhid.sys
0x03595000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0x0359F000 \SystemRoot\System32\Drivers\Null.SYS
0x035A8000 \SystemRoot\System32\drivers\vga.sys
0x035B6000 \SystemRoot\System32\drivers\VIDEOPRT.SYS
0x035DB000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0x035E4000 \SystemRoot\system32\drivers\rdpencdd.sys
0x035ED000 \SystemRoot\System32\Drivers\Msfs.SYS
0x00DE8000 \SystemRoot\System32\Drivers\Npfs.SYS
0x031F0000 \SystemRoot\System32\DRIVERS\rasacd.sys
0x06E0C000 \SystemRoot\system32\DRIVERS\tdx.sys
0x06E29000 \SystemRoot\system32\DRIVERS\smb.sys
0x06E44000 \SystemRoot\system32\drivers\afd.sys
0x06EAF000 \SystemRoot\System32\DRIVERS\netbt.sys
0x06EF3000 \SystemRoot\system32\DRIVERS\pacer.sys
0x06F11000 \SystemRoot\system32\DRIVERS\netbios.sys
0x06F20000 \SystemRoot\system32\DRIVERS\wanarp.sys
0x06F3B000 \SystemRoot\system32\DRIVERS\rdbss.sys
0x06F88000 \SystemRoot\system32\drivers\nsiproxy.sys
0x06F94000 \SystemRoot\System32\Drivers\dfsc.sys
0x06FB1000 \SystemRoot\system32\DRIVERS\avipbb.sys
0x06FD3000 \SystemRoot\system32\DRIVERS\usbccgp.sys
0x07006000 \SystemRoot\System32\Drivers\usbvideo.sys
0x07039000 \SystemRoot\System32\Drivers\crashdmp.sys
0x07047000 \SystemRoot\System32\Drivers\dump_dumpata.sys
0x07053000 \SystemRoot\System32\Drivers\dump_msahci.sys
0x000B0000 \SystemRoot\System32\win32k.sys
0x0705D000 \SystemRoot\System32\drivers\Dxapi.sys
0x07069000 \SystemRoot\system32\DRIVERS\monitor.sys
0x00430000 \SystemRoot\System32\TSDDD.dll
0x00630000 \SystemRoot\System32\cdd.dll
0x008D0000 \SystemRoot\System32\ATMFD.DLL
0x0707C000 \SystemRoot\system32\drivers\luafv.sys
0x0709E000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0x070BB000 \SystemRoot\system32\drivers\spsys.sys
0x07155000 \SystemRoot\system32\DRIVERS\lltdio.sys
0x07169000 \SystemRoot\system32\DRIVERS\nwifi.sys
0x0719D000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0x071A8000 \SystemRoot\system32\DRIVERS\rspndr.sys
0x071C0000 \SystemRoot\system32\drivers\MSPQM.sys
0x09000000 \SystemRoot\system32\drivers\HTTP.sys
0x090A3000 \SystemRoot\system32\drivers\MSPCLOCK.sys
0x090A5000 \SystemRoot\System32\DRIVERS\srvnet.sys
0x090CE000 \SystemRoot\system32\DRIVERS\bowser.sys
0x090EC000 \SystemRoot\System32\drivers\mpsdrv.sys
0x09106000 \SystemRoot\system32\drivers\mrxdav.sys
0x0912D000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0x09156000 \SystemRoot\system32\DRIVERS\mrxsmb10.sys
0x0919F000 \SystemRoot\system32\DRIVERS\mrxsmb20.sys
0x091BE000 \SystemRoot\System32\DRIVERS\srv2.sys
0x09605000 \SystemRoot\System32\DRIVERS\srv.sys
0x09699000 \SystemRoot\system32\drivers\peauth.sys
0x0974F000 \SystemRoot\System32\Drivers\fastfat.SYS
0x09784000 \SystemRoot\System32\drivers\tcpipreg.sys
0x09794000 \SystemRoot\system32\DRIVERS\cdfs.sys
0x770C0000 \Windows\System32\ntdll.dll

Processes (total 70):
0 System Idle Process
4 System
496 C:\Windows\System32\smss.exe
564 csrss.exe
620 C:\Windows\System32\wininit.exe
640 csrss.exe
676 C:\Windows\System32\services.exe
692 C:\Windows\System32\lsass.exe
704 C:\Windows\System32\lsm.exe
820 C:\Windows\System32\svchost.exe
904 C:\Windows\System32\svchost.exe
936 C:\Windows\System32\svchost.exe
992 C:\Windows\System32\atiesrxx.exe
212 C:\Windows\System32\winlogon.exe
400 C:\Windows\System32\svchost.exe
436 C:\Windows\System32\svchost.exe
516 C:\Program Files (x86)\Sensible Vision\Fast Access\FAService.exe
484 C:\Windows\System32\svchost.exe
832 C:\Windows\System32\DriverStore\FileRepository\stwrt64.inf_15f4e438\stacsv64.exe
668 C:\Windows\System32\audiodg.exe
1072 C:\Windows\System32\SLsvc.exe
1112 C:\Windows\System32\svchost.exe
1200 C:\Program Files\Dell\DellDock\DockLogin.exe
1264 C:\Windows\System32\svchost.exe
1528 C:\Windows\System32\atieclxx.exe
1704 C:\Windows\System32\spoolsv.exe
1732 C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
1768 C:\Windows\System32\svchost.exe
1816 C:\Windows\System32\DriverStore\FileRepository\stwrt64.inf_15f4e438\AESTSr64.exe
1888 C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
1540 C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
1408 C:\Program Files (x86)\Avira\AntiVir Desktop\avshadow.exe
792 C:\Program Files (x86)\Bonjour\mDNSResponder.exe
1096 C:\Windows\System32\svchost.exe
1616 C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
2176 C:\Windows\SysWOW64\PnkBstrA.exe
2244 C:\Windows\System32\svchost.exe
2268 C:\Program Files (x86)\Dell DataSafe Local Backup\SftService.exe
2320 C:\Windows\System32\svchost.exe
2364 C:\Windows\System32\svchost.exe
2432 C:\Windows\System32\SearchIndexer.exe
2476 C:\Windows\System32\taskeng.exe
3020 C:\Windows\System32\dwm.exe
2988 C:\Windows\System32\taskeng.exe
3004 C:\Windows\explorer.exe
3368 C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
3392 C:\Program Files\IDT\WDM\sttray64.exe
3536 C:\Program Files (x86)\Common Files\InstallShield\UpdateService\issch.exe
3592 C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
3600 C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
3612 C:\Program Files\CyberLink\PowerDVD DX\PDVDDXSrv.exe
3620 C:\Program Files (x86)\Dell Webcam\Dell Webcam Central\WebcamDell2.exe
3628 C:\Program Files\Dell\DellDock\DellDock.exe
3660 C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe
3700 C:\Program Files (x86)\Winamp\winampa.exe
3708 C:\Program Files (x86)\Sensible Vision\Fast Access\FATrayMon.exe
3732 C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
3768 C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe
3836 C:\Program Files (x86)\Sensible Vision\Fast Access\FATrayAlert.exe
3900 C:\Program Files\Windows Media Player\wmpnscfg.exe
3964 C:\Program Files\Windows Media Player\wmpnetwk.exe
4052 C:\Program Files (x86)\iTunes\iTunesHelper.exe
3572 C:\Program Files\iPod\bin\iPodService.exe
4040 C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
2092 C:\Windows\System32\svchost.exe
3996 C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
3580 C:\Windows\System32\conime.exe
5064 C:\Windows\System32\SearchProtocolHost.exe
3076 C:\Windows\System32\SearchFilterHost.exe
4300 C:\Users\***\Desktop\MBRCheck(2).exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000003`abf38a00 (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x00000000`02738a00 (NTFS)

PhysicalDrive0 Model Number: ST9500420ASG, Rev: 0003SDM1

Size Device Name MBR Status
--------------------------------------------
465 GB \\.\PhysicalDrive0 Known-bad MBR code detected (Whistler / Black Internet)!
SHA1: 9926A57E3B955017DEBB6A19F5DBD443A4FFDC00


Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit:
Options:
[1] Dump the MBR of a physical disk to file.
[2] Restore the MBR of a physical disk with a standard boot code.
[3] Exit.

Enter your choice:

Done!
Grüße Sebi

Alt 24.01.2011, 14:56   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
BOO/Sinowal.f Infektion - Standard

BOO/Sinowal.f Infektion


Hast du eine Vista-x64-DVD zur Hand? Wir müssen den MBR glattziehen.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 24.01.2011, 14:59   #11
saeaebi
 
BOO/Sinowal.f Infektion - Standard

BOO/Sinowal.f Infektion


Hmm also hab damals eine Reinstallation DVD Windows Vista Home Premium 64BIT SP1 mitgeliefert bekommen. Die hab ich zur Hand. Ist das die richtige?

Alt 24.01.2011, 15:50   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
BOO/Sinowal.f Infektion - Standard

BOO/Sinowal.f Infektion


Ja, boote mal von der DVD.
Klick auf Computerreparaturoptionen, weiter, Eingabeaufforderung - die Konsole öffnet sich. Da bitte bootrec.exe /fixboot eintippen (mit enter bestätigen), dann bootrec.exe /fixmbr eintippen (mit enter bestätigen) - Rechner neustarten, CD vorher rausnehmen.
Danach neues Log mit GMER und MBRCheck machen und posten.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 24.01.2011, 16:50   #13
saeaebi
 
BOO/Sinowal.f Infektion - Standard

BOO/Sinowal.f Infektion


Gut hab alle Anweisungen befolgt.
GMER Logfile:
Code:
ATTFilter
GMER 1.0.15.15530 - hxxp://www.gmer.net
Rootkit scan 2011-01-24 16:45:39
Windows 6.0.6002 Service Pack 2 
Running: epfd0rto.exe


---- Registry - GMER 1.0.15 ----

Reg   HKLM\SYSTEM\CurrentControlSet\Services\BthPort\Parameters\Keys\00225f97dbdb                                         
Reg   HKLM\SYSTEM\CurrentControlSet\Services\Ecache\Parameters@ReadyBootPlanUsage                                         2
Reg   HKLM\SYSTEM\CurrentControlSet\Services\Ecache\Parameters@LastBootPlanUserTime                                       Mo, Jan 24 11, 02:12:55????????????????
Reg   HKLM\SYSTEM\CurrentControlSet\Services\Ecache\Parameters@LastBootPlanTime                                           0xC8 0xBB 0xCB 0x01 ...
Reg   HKLM\SYSTEM\CurrentControlSet\Services\Ecache\Parameters@MemoryCacheSize                                            466818844
Reg   HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1                                                                  771343423
Reg   HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2                                                                  285507792
Reg   HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0                                                                  1
Reg   HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC                                    
Reg   HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0                                 0x00 0x00 0x00 0x00 ...
Reg   HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                                 0
Reg   HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                              0xAC 0x21 0x23 0xC8 ...
Reg   HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0                                 C:\Program Files (x86)\DAEMON Tools Lite\
Reg   HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001                           
Reg   HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12                     0x42 0x5A 0x4F 0xF0 ...
Reg   HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0                        0x20 0x01 0x00 0x00 ...
Reg   HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0                      
Reg   HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12                0xA9 0xD2 0x92 0xC2 ...
Reg   HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1                      
Reg   HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1@hdf12                0x66 0x46 0x7A 0x2B ...
Reg   HKLM\SYSTEM\ControlSet002\Services\BthPort\Parameters\Keys\00225f97dbdb (not active ControlSet)                     
Reg   HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)                
Reg   HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0                                     0x00 0x00 0x00 0x00 ...
Reg   HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                                     0
Reg   HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                                  0xAC 0x21 0x23 0xC8 ...
Reg   HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0                                     C:\Program Files (x86)\DAEMON Tools Lite\
Reg   HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)       
Reg   HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12                         0x42 0x5A 0x4F 0xF0 ...
Reg   HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0                            0x20 0x01 0x00 0x00 ...
Reg   HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)  
Reg   HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12                    0xA9 0xD2 0x92 0xC2 ...
Reg   HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1 (not active ControlSet)  
Reg   HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1@hdf12                    0x66 0x46 0x7A 0x2B ...

---- Files - GMER 1.0.15 ----

File  C:\Windows\temp\TMP00000007EB0898F288E3A53A                                                                         524288 bytes

---- EOF - GMER 1.0.15 ----
--- --- ---


und hier mbrcheck:
MBRCheck, version 1.2.3
(c) 2010, AD
Command-line:
Windows Version: Windows Vista Home Premium Edition
Windows Information: Service Pack 2 (build 6002), 64-bit
Base Board Manufacturer: Dell Inc.
BIOS Manufacturer: Dell Inc.
System Manufacturer: Dell Inc.
System Product Name: Studio XPS 1640
Logical Drives Mask: 0x0000007c
Kernel Drivers (total 156):
0x02056000 \SystemRoot\system32\ntoskrnl.exe
0x02010000 \SystemRoot\system32\hal.dll
0x00601000 \SystemRoot\system32\kdcom.dll
0x0060B000 \SystemRoot\system32\mcupdate_GenuineIntel.dll
0x00646000 \SystemRoot\system32\PSHED.dll
0x0065A000 \SystemRoot\system32\CLFS.SYS
0x006B7000 \SystemRoot\system32\CI.dll
0x0080A000 \SystemRoot\system32\drivers\Wdf01000.sys
0x008E4000 \SystemRoot\system32\drivers\WDFLDR.SYS
0x00A0A000 \SystemRoot\System32\Drivers\spro.sys
0x00B30000 \SystemRoot\System32\Drivers\WMILIB.SYS
0x00B39000 \SystemRoot\System32\Drivers\SCSIPORT.SYS
0x00B67000 \SystemRoot\system32\drivers\acpi.sys
0x00BBD000 \SystemRoot\system32\drivers\msisadrv.sys
0x00BC7000 \SystemRoot\system32\drivers\pci.sys
0x008F2000 \SystemRoot\System32\drivers\partmgr.sys
0x00BF7000 \SystemRoot\system32\DRIVERS\compbatt.sys
0x00907000 \SystemRoot\system32\DRIVERS\BATTC.SYS
0x00913000 \SystemRoot\system32\drivers\volmgr.sys
0x00927000 \SystemRoot\System32\drivers\volmgrx.sys
0x0098D000 \SystemRoot\System32\drivers\mountmgr.sys
0x00A00000 \SystemRoot\system32\drivers\atapi.sys
0x009A0000 \SystemRoot\system32\drivers\ataport.SYS
0x009C4000 \SystemRoot\system32\drivers\msahci.sys
0x009CE000 \SystemRoot\system32\drivers\PCIIDEX.SYS
0x00769000 \SystemRoot\system32\drivers\fltmgr.sys
0x009DE000 \SystemRoot\system32\drivers\fileinfo.sys
0x009F2000 \SystemRoot\System32\Drivers\PxHlpa64.sys
0x00C02000 \SystemRoot\System32\Drivers\ksecdd.sys
0x00E0B000 \SystemRoot\system32\drivers\ndis.sys
0x00C89000 \SystemRoot\system32\drivers\msrpc.sys
0x00CD9000 \SystemRoot\system32\drivers\NETIO.SYS
0x0100A000 \SystemRoot\System32\drivers\tcpip.sys
0x01180000 \SystemRoot\System32\drivers\fwpkclnt.sys
0x01201000 \SystemRoot\System32\Drivers\Ntfs.sys
0x01381000 \SystemRoot\system32\drivers\volsnap.sys
0x013C5000 \SystemRoot\System32\Drivers\spldr.sys
0x013CD000 \SystemRoot\System32\Drivers\mup.sys
0x011AC000 \SystemRoot\System32\drivers\ecache.sys
0x013DF000 \SystemRoot\system32\drivers\disk.sys
0x00FCE000 \SystemRoot\system32\drivers\CLASSPNP.SYS
0x013F3000 \SystemRoot\system32\drivers\crcdisk.sys
0x00D32000 \SystemRoot\system32\DRIVERS\tunnel.sys
0x01000000 \SystemRoot\system32\DRIVERS\tunmp.sys
0x02207000 \SystemRoot\system32\DRIVERS\atikmdag.sys
0x02800000 \SystemRoot\System32\drivers\dxgkrnl.sys
0x028E1000 \SystemRoot\System32\drivers\watchdog.sys
0x028F1000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0x029DE000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0x02754000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0x029EA000 \SystemRoot\system32\DRIVERS\usbehci.sys
0x02A0F000 \SystemRoot\system32\DRIVERS\NETw5v64.sys
0x02E9E000 \SystemRoot\system32\DRIVERS\k57nd60a.sys
0x02EE1000 \SystemRoot\system32\DRIVERS\ohci1394.sys
0x02EF3000 \SystemRoot\system32\DRIVERS\1394BUS.SYS
0x02F03000 \SystemRoot\system32\DRIVERS\sdbus.sys
0x02F23000 \SystemRoot\system32\DRIVERS\rimmpx64.sys
0x02F38000 \SystemRoot\system32\DRIVERS\rimspx64.sys
0x02F4F000 \SystemRoot\system32\DRIVERS\rixdpx64.sys
0x0279A000 \SystemRoot\system32\DRIVERS\itecir.sys
0x02FA6000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0x02FBC000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0x00D3F000 \SystemRoot\system32\DRIVERS\SynTP.sys
0x02FCA000 \SystemRoot\system32\DRIVERS\USBD.SYS
0x02FCC000 \SystemRoot\system32\DRIVERS\mouclass.sys
0x02FD8000 \SystemRoot\system32\DRIVERS\cdrom.sys
0x02A00000 \SystemRoot\system32\DRIVERS\GEARAspiWDM.sys
0x00D85000 \SystemRoot\System32\Drivers\aki0ainj.SYS
0x00DCA000 \SystemRoot\system32\DRIVERS\intelppm.sys
0x02FF4000 \SystemRoot\system32\DRIVERS\wmiacpi.sys
0x029FB000 \SystemRoot\system32\DRIVERS\CmBatt.sys
0x007B0000 \SystemRoot\system32\DRIVERS\facap.sys
0x00DDD000 \SystemRoot\system32\DRIVERS\STREAM.SYS
0x0300D000 \SystemRoot\system32\DRIVERS\ks.sys
0x03041000 \SystemRoot\system32\DRIVERS\CtClsFlt.sys
0x0306B000 \SystemRoot\system32\drivers\ksthunk.sys
0x03071000 \SystemRoot\system32\DRIVERS\msiscsi.sys
0x030AA000 \SystemRoot\system32\DRIVERS\storport.sys
0x03107000 \SystemRoot\system32\DRIVERS\TDI.SYS
0x03114000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0x03137000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0x03143000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0x03174000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0x03184000 \SystemRoot\system32\DRIVERS\raspptp.sys
0x031A2000 \SystemRoot\system32\DRIVERS\rassstp.sys
0x031BA000 \SystemRoot\system32\DRIVERS\termdd.sys
0x031CD000 \SystemRoot\system32\DRIVERS\swenum.sys
0x031CF000 \SystemRoot\system32\DRIVERS\circlass.sys
0x031E0000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0x031EB000 \SystemRoot\system32\DRIVERS\umbus.sys
0x03400000 \SystemRoot\system32\DRIVERS\usbhub.sys
0x03448000 \SystemRoot\System32\Drivers\NDProxy.SYS
0x0345C000 \SystemRoot\system32\drivers\AtiHdmi.sys
0x0347B000 \SystemRoot\system32\drivers\portcls.sys
0x034B6000 \SystemRoot\system32\drivers\drmk.sys
0x034D9000 \SystemRoot\system32\DRIVERS\stwrt64.sys
0x03552000 \SystemRoot\system32\DRIVERS\hidir.sys
0x0355D000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0x0356F000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0x03577000 \SystemRoot\system32\DRIVERS\kbdhid.sys
0x03582000 \SystemRoot\system32\DRIVERS\mouhid.sys
0x0358D000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0x03597000 \SystemRoot\System32\Drivers\Null.SYS
0x035A0000 \SystemRoot\System32\drivers\vga.sys
0x035AE000 \SystemRoot\System32\drivers\VIDEOPRT.SYS
0x035D3000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0x035DC000 \SystemRoot\system32\drivers\rdpencdd.sys
0x035E5000 \SystemRoot\System32\Drivers\Msfs.SYS
0x00DEE000 \SystemRoot\System32\Drivers\Npfs.SYS
0x035F0000 \SystemRoot\System32\DRIVERS\rasacd.sys
0x06E09000 \SystemRoot\system32\DRIVERS\tdx.sys
0x06E26000 \SystemRoot\system32\DRIVERS\smb.sys
0x06E41000 \SystemRoot\system32\drivers\afd.sys
0x06EAC000 \SystemRoot\System32\DRIVERS\netbt.sys
0x06EF0000 \SystemRoot\system32\DRIVERS\pacer.sys
0x06F0E000 \SystemRoot\system32\DRIVERS\netbios.sys
0x06F1D000 \SystemRoot\system32\DRIVERS\wanarp.sys
0x06F38000 \SystemRoot\system32\DRIVERS\rdbss.sys
0x06F85000 \SystemRoot\system32\drivers\nsiproxy.sys
0x06F91000 \SystemRoot\System32\Drivers\dfsc.sys
0x06FAE000 \SystemRoot\system32\DRIVERS\avipbb.sys
0x06FD0000 \SystemRoot\system32\DRIVERS\usbccgp.sys
0x07209000 \SystemRoot\System32\Drivers\usbvideo.sys
0x07233000 \SystemRoot\System32\Drivers\crashdmp.sys
0x07241000 \SystemRoot\System32\Drivers\dump_dumpata.sys
0x0724D000 \SystemRoot\System32\Drivers\dump_msahci.sys
0x00070000 \SystemRoot\System32\win32k.sys
0x07260000 \SystemRoot\System32\drivers\Dxapi.sys
0x0726C000 \SystemRoot\system32\DRIVERS\monitor.sys
0x00410000 \SystemRoot\System32\TSDDD.dll
0x00680000 \SystemRoot\System32\cdd.dll
0x00860000 \SystemRoot\System32\ATMFD.DLL
0x0727F000 \SystemRoot\system32\drivers\luafv.sys
0x072A1000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0x072BE000 \SystemRoot\system32\DRIVERS\lltdio.sys
0x072D2000 \SystemRoot\system32\DRIVERS\nwifi.sys
0x07306000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0x07311000 \SystemRoot\system32\DRIVERS\rspndr.sys
0x07329000 \SystemRoot\system32\drivers\MSPQM.sys
0x0732B000 \SystemRoot\system32\drivers\HTTP.sys
0x073CE000 \SystemRoot\System32\DRIVERS\srvnet.sys
0x073F7000 \SystemRoot\system32\drivers\MSPCLOCK.sys
0x011D8000 \SystemRoot\system32\DRIVERS\bowser.sys
0x09209000 \SystemRoot\System32\drivers\mpsdrv.sys
0x09223000 \SystemRoot\system32\drivers\mrxdav.sys
0x0924A000 \SystemRoot\system32\drivers\spsys.sys
0x092E4000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0x0930D000 \SystemRoot\system32\DRIVERS\mrxsmb10.sys
0x09356000 \SystemRoot\system32\DRIVERS\mrxsmb20.sys
0x09375000 \SystemRoot\System32\DRIVERS\srv2.sys
0x09606000 \SystemRoot\System32\DRIVERS\srv.sys
0x0969A000 \SystemRoot\system32\drivers\peauth.sys
0x09750000 \SystemRoot\System32\drivers\tcpipreg.sys
0x09760000 \SystemRoot\System32\Drivers\fastfat.SYS
0x09795000 \SystemRoot\system32\DRIVERS\cdfs.sys
0x77160000 \Windows\System32\ntdll.dll
Processes (total 68):
0 System Idle Process
4 System
408 C:\Windows\System32\smss.exe
480 csrss.exe
696 C:\Windows\System32\wininit.exe
708 csrss.exe
748 C:\Windows\System32\services.exe
772 C:\Windows\System32\winlogon.exe
796 C:\Windows\System32\lsass.exe
804 C:\Windows\System32\lsm.exe
960 C:\Windows\System32\svchost.exe
236 C:\Windows\System32\svchost.exe
324 C:\Windows\System32\svchost.exe
544 C:\Windows\System32\atiesrxx.exe
532 C:\Windows\System32\svchost.exe
620 C:\Windows\System32\svchost.exe
484 C:\Program Files (x86)\Sensible Vision\Fast Access\FAService.exe
944 C:\Windows\System32\svchost.exe
1028 C:\Windows\System32\DriverStore\FileRepository\stwrt64.inf_15f4e438\stacsv64.exe
1080 C:\Windows\System32\audiodg.exe
1128 C:\Windows\System32\SLsvc.exe
1160 C:\Windows\System32\svchost.exe
1236 C:\Windows\System32\atieclxx.exe
1292 C:\Program Files\Dell\DellDock\DockLogin.exe
1468 C:\Windows\System32\svchost.exe
1672 C:\Windows\System32\spoolsv.exe
1704 C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
1716 C:\Windows\System32\svchost.exe
1988 C:\Windows\System32\taskeng.exe
1120 C:\Windows\System32\dwm.exe
1180 C:\Windows\explorer.exe
2128 C:\Windows\System32\DriverStore\FileRepository\stwrt64.inf_15f4e438\AESTSr64.exe
2144 C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
2176 C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
2212 C:\Program Files (x86)\Avira\AntiVir Desktop\avshadow.exe
2340 C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
2348 C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\updaterstartuputility.exe
2356 C:\Program Files\IDT\WDM\sttray64.exe
2372 C:\Program Files (x86)\Common Files\InstallShield\UpdateService\issch.exe
2400 C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
2416 C:\Program Files\CyberLink\PowerDVD DX\PDVDDXSrv.exe
2440 C:\Program Files (x86)\Dell Webcam\Dell Webcam Central\WebcamDell2.exe
2448 C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
2536 C:\Program Files (x86)\Winamp\winampa.exe
2544 C:\Program Files (x86)\Sensible Vision\Fast Access\FATrayMon.exe
2564 C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
2588 C:\Program Files (x86)\Sensible Vision\Fast Access\FATrayAlert.exe
2632 C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe
2724 C:\Program Files (x86)\iTunes\iTunesHelper.exe
1680 C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
952 C:\Program Files (x86)\Bonjour\mDNSResponder.exe
1824 C:\Windows\System32\svchost.exe
488 C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
2700 C:\Windows\SysWOW64\PnkBstrA.exe
2608 C:\Windows\System32\svchost.exe
2596 C:\Program Files (x86)\Dell DataSafe Local Backup\SftService.exe
2580 C:\Windows\System32\svchost.exe
2960 C:\Windows\System32\svchost.exe
2324 C:\Windows\System32\SearchIndexer.exe
3308 C:\Program Files\iPod\bin\iPodService.exe
3444 C:\Program Files\Windows Media Player\wmpnscfg.exe
3576 C:\Program Files\Windows Media Player\wmpnetwk.exe
4052 C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
2672 C:\Windows\System32\conime.exe
2732 C:\Windows\System32\svchost.exe
1000 C:\Windows\System32\SearchProtocolHost.exe
656 C:\Windows\System32\SearchFilterHost.exe
2052 C:\Users\***\Desktop\MBRCheck.exe
\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000003`abf38a00 (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x00000000`02738a00 (NTFS)
PhysicalDrive0 Model Number: ST9500420ASG, Rev: 0003SDM1
Size Device Name MBR Status
--------------------------------------------
465 GB \\.\PhysicalDrive0 Windows 2008 MBR code detected
SHA1: 8DF43F2BDE2D9451948FA14B5279969C777A7979
Done!

Gruß Sebi

Alt 24.01.2011, 20:08   #14
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
BOO/Sinowal.f Infektion - Standard

BOO/Sinowal.f Infektion


Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 25.01.2011, 17:11   #15
saeaebi
 
BOO/Sinowal.f Infektion - Standard

BOO/Sinowal.f Infektion


Ja schaut ok aus. Sowohl Malwarebytes als auch SUPERAntiSpyware können nichts finden.
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org
Datenbank Version: 5591
Windows 6.0.6002 Service Pack 2
Internet Explorer 7.0.6002.18005
24.01.2011 21:57:35
mbam-log-2011-01-24 (21-57-35).txt
Art des Suchlaufs: Vollständiger Suchlauf (C:\
Durchsuchte Objekte: 367741
Laufzeit: 1 Stunde(n), 3 Minute(n), 44 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

hier superantispyware
SUPERAntiSpyware Scann-Protokoll
hxxp://www.superantispyware.com
Generiert 01/25/2011 bei 05:07 PM
Version der Applikation : 4.48.1000
Version der Kern-Datenbank : 6269
Version der Spur-Datenbank : 4081
Scan Art : kompletter Scann
Totale Scann-Zeit : 02:53:34
Gescannte Speicherelemente : 704
Erfasste Speicher-Bedrohungen : 0
Gescannte Register-Elemente : 13428
Erfasste Register-Bedrohungen : 0
Gescannte Datei-Elemente : 223509
Erfasste Datei-Elemente : 0
ich werde jetzt noch einmal einen scan mit antivir durchführen mit dem ich damals den boo/sinowal.f erstmals gefunden habe. mal sehen ob der auch nichts mehr findet.
Grüße Sebi

Antwort
Seite 1 von 2 1 2

Themen zu BOO/Sinowal.f Infektion
anfänger, anhang, antivir, anweisung, bereits, boo/sinowal.f, diverse, durchlauf, einträge, einzeln, gefunde, gestartet, gmer, hallo zusammen, hoffe, hänge, infektion, kurzem, logfile, malwarebytes, nichts, scanne, scannen, viren, virus, zusammen


« Bifrost_1.2.1.exe , hartnäckig die 2te | Trojan.ZBotR.Gen + Spyware // Beseitigung ohne Neuaufsetzen? »


Ähnliche Themen: BOO/Sinowal.f Infektion


  1. Avast: Infektion blockiert , Infektion: URL:Mal (bei Ebay.de)
    Plagegeister aller Art und deren Bekämpfung - 21.05.2014 (3)
  2. T-Online meldet Infektion mit Torpig/Sinowal und Mebroot - 3 PCs, welcher hats?
    Plagegeister aller Art und deren Bekämpfung - 28.10.2012 (34)
  3. Wie entferne ich BDS/Sinowal.knfal oder generell Sinowal?
    Plagegeister aller Art und deren Bekämpfung - 31.12.2011 (17)
  4. Absicherung des Systems nach BDS/Sinowal.knfa Infektion
    Plagegeister aller Art und deren Bekämpfung - 28.12.2011 (4)
  5. Sinowal + TR/Small.ahzz Infektion
    Plagegeister aller Art und deren Bekämpfung - 11.04.2011 (29)
  6. RKIT/MBR.Sinowal.J ...Boo/Sinowal.C ...W32/Stanit
    Plagegeister aller Art und deren Bekämpfung - 25.02.2011 (15)
  7. BOO.Sinowal.F - Infektion, Fragen bzgl. des Virus
    Plagegeister aller Art und deren Bekämpfung - 14.11.2010 (1)
  8. BOO/ Sinowal.D
    Plagegeister aller Art und deren Bekämpfung - 11.08.2009 (4)
  9. BOO/Sinowal.D
    Plagegeister aller Art und deren Bekämpfung - 02.08.2009 (18)
  10. BOO/Sinowal.A
    Plagegeister aller Art und deren Bekämpfung - 19.04.2009 (15)
  11. Sinowal und Co.
    Plagegeister aller Art und deren Bekämpfung - 03.04.2009 (2)
  12. BOO/Sinowal.A
    Plagegeister aller Art und deren Bekämpfung - 14.01.2009 (5)
  13. boo/sinowal.A
    Plagegeister aller Art und deren Bekämpfung - 17.11.2008 (21)
  14. BOO/Sinowal.A
    Plagegeister aller Art und deren Bekämpfung - 03.11.2008 (7)
  15. BOO/Sinowal.A
    Plagegeister aller Art und deren Bekämpfung - 01.09.2008 (9)
  16. BOO/Sinowal.A
    Mülltonne - 29.06.2008 (0)
  17. TR/Spy.Z.Bot.ciz und BDS/Sinowal.CG
    Log-Analyse und Auswertung - 12.06.2008 (23)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema BOO/Sinowal.f Infektion - Hallo Zusammen, ich habe vor Kurzem einen Antivir durchlauf gestartet, woraufhin mein Antivir den Virus BOO/Sinowal.f gefunden hat (Logfile hänge ich an). Jetzt habe ich diverse Einträge über diesen Virus - BOO/Sinowal.f Infektion...
Archiv
Du betrachtest: BOO/Sinowal.f Infektion auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55