Trojaner-Board - Offen BOO/Sinowal.E

Trojaner-Board (https://www.trojaner-board.de/)

- Antiviren-, Firewall- und andere Schutzprogramme (https://www.trojaner-board.de/antiviren-firewall-andere-schutzprogramme/)

- -

BOO/Sinowal.E (https://www.trojaner-board.de/78475-boo-sinowal-e.html)

Hallo:
Ich bin beim Punkt mit CCleaner registry. Ganz viele Fehler gefunden und behoben. Habe es mehrmals durchlaufen lassen und vor dem Beheben abgespeichert (Programm hat gefragt, ob ich es speichern möchte.) Nun ist aber noch 1 Fehler vorhanden und das Programm kann es nach mehrmaligem Versuchen nicht beheben.
Hier :
Ungenutzte Datei-Endungen {80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}
Was mache ich damit?
Ciao
Kati

Das "Fehlerchen" gehört zu Avira. Lass es so, dieses Teilchen braucht Avira bestimmt noch.

Dann hoffe ich, dass ich nichts anderes wichtiges gelöscht habe mit dem CCleaner. Ok, mach dann weiter.
Ciao
Kati

Nene, hast du nicht ;)

Hallo:
Hier erstmal der Bericht von Mbam:

Malwarebytes' Anti-Malware 1.41
Datenbank Version: 2971
Windows 5.1.2600 Service Pack 3

16/10/2009 15:26:13
mbam-log-2009-10-16 (15-26-13).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|)
Durchsuchte Objekte: 267237
Laufzeit: 2 hour(s), 53 minute(s), 51 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\XPROTECTOR (Backdoor.Trojan) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\drivers\oreans32.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\Archivos de programa\countryflag.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.

Ist nun alles in Quarantäne? Muss gleich aus dem Haus. Mache dann später mit Punkt C) weiter und melde mich wieder.
Ciao
Kati

Okay. Sieht aber nicht berauschend aus das MBAM-Log :(
Deswegen würde ich dich bitten als Zusatzpunkt nach Rsit noch Superantispyware zum Laufen zu bringen und hier zu posten.

Hallo:
Bin noch da. Habe Rsit durchgeführt und kopiere hier die beiden Logfiles. Sind sehr lang. Falls du Sätze auf deutsch brauchst, sag bescheid.
Ciao
Kati

Die Texte sind zu lang. Kann ich die als Anhang senden?

Ja, sende sie als anhang bitte :)

Ok. Hier dann die beiden logs.
Ciao
Kati

Hallo:
Nach fast 4 Stunden SuperAntispyware, der 45 infizierte Dateien gefunden hatte und so hoffe ich nun gelöscht hat, hier nun der Bericht dazu. Sieht für mich als Laie schon ganz schlimm aus. So viele infizierte Dateien. Ist das alles wegen des Sinowal Virus oder hatte ich schon vorher irgendeinen Virus drin, den der Avira nicht gefunden hatte?
Soll ich nun Gmer laufen lassen? Würde den Bericht aber erst morgen posten.
Ciao
Kati

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 10/16/2009 at 07:51 PM

Application Version : 4.29.1004

Core Rules Database Version : 4169
Trace Rules Database Version: 2091

Scan type : Complete Scan
Total Scan Time : 03:52:16

Memory items scanned : 610
Memory threats detected : 0
Registry items scanned : 7533
Registry threats detected : 43
File items scanned : 193918
File threats detected : 2

Adware.Tracking Cookie
C:\Documents and Settings\kadu\Cookies\kadu@doubleclick[3].txt

Registry Cleaner Trial
HKCR\Install.Install
HKCR\Install.Install\CLSID
HKCR\Install.Install\CurVer
HKCR\Install.Install.1
HKCR\Install.Install.1\CLSID
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs#C:\WINDOWS\Downloaded Program Files\Install.dll [ ]

Trojan.Spyware Stormer
HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{205FF73B-CA67-11D5-99DD-444553540000}
HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{205FF73B-CA67-11D5-99DD-444553540000}#SystemComponent
HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{205FF73B-CA67-11D5-99DD-444553540000}#Installer
HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{205FF73B-CA67-11D5-99DD-444553540000}\Contains
HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{205FF73B-CA67-11D5-99DD-444553540000}\Contains\Files
HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{205FF73B-CA67-11D5-99DD-444553540000}\Contains\Files#C:\WINDOWS\Downloaded Program Files\Install.dll
HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{205FF73B-CA67-11D5-99DD-444553540000}\DownloadInformation
HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{205FF73B-CA67-11D5-99DD-444553540000}\DownloadInformation#CODEBASE
HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{205FF73B-CA67-11D5-99DD-444553540000}\DownloadInformation#INF
HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{205FF73B-CA67-11D5-99DD-444553540000}\InstalledVersion
HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{205FF73B-CA67-11D5-99DD-444553540000}\InstalledVersion#LastModified

Unclassified.Oreans32
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32#NextInstance
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32\0000
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32\0000#Service
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32\0000#Legacy
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32\0000#ConfigFlags
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32\0000#Class
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32\0000#ClassGUID
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32\0000#DeviceDesc
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32\0000#Capabilities
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32\0000#Driver
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32\0000\LogConf
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32\0000\Control
HKLM\SYSTEM\CurrentControlSet\Services\oreans32
HKLM\SYSTEM\CurrentControlSet\Services\oreans32#Type
HKLM\SYSTEM\CurrentControlSet\Services\oreans32#Start
HKLM\SYSTEM\CurrentControlSet\Services\oreans32#ErrorControl
HKLM\SYSTEM\CurrentControlSet\Services\oreans32#ImagePath
HKLM\SYSTEM\CurrentControlSet\Services\oreans32#DisplayName
HKLM\SYSTEM\CurrentControlSet\Services\oreans32\Security
HKLM\SYSTEM\CurrentControlSet\Services\oreans32\Security#Security
HKLM\SYSTEM\CurrentControlSet\Services\oreans32\Enum
HKLM\SYSTEM\CurrentControlSet\Services\oreans32\Enum#0
HKLM\SYSTEM\CurrentControlSet\Services\oreans32\Enum#Count
HKLM\SYSTEM\CurrentControlSet\Services\oreans32\Enum#NextInstance
HKLM\SYSTEM\CurrentControlSet\Services\oreans32\Enum#INITSTARTFAILED

Trojan.Agent/Gen-HackPatch
C:\SYSTEM VOLUME INFORMATION\_RESTORE{2BB161EB-E101-427C-95C2-CCAF65AF0544}\RP1525\A0207126.EXE

Ja, lass mal bitte Gmer laufen.

Poste dann das Log dazu.

ok, mache ich sofort. Sieht schlimm aus, oder?

ich sag es mal so, es schaut nicht grade positiv aus, was du bisher alles zu tageslicht gebracht hattest ;)

Na dann hoffen wir das Beste.
Für heute schon mal danke (das muss ich sagen!), ich denke nämlich, das Gmer auch mehrere Stunden braucht.
Ciao
Kati

Hoffen wir das mal nicht ;) bitteschön