|
Trojaner BOO/Sinowal.A Hallo! Leider zeigt mir Antivir hartnäckig einen Trojaner an, nämlich BOO/Sinowal.A. Habe das Forum durchforstet und versucht ein paar Sachen anzuwenden, unter anderem auch den mbr detector. Hat nix geholfen und habe soeben mit der Recovery CD den Computer neu aufgesetzt. Leider ist der verdammte BOO/Sinowal.A noch immer hier. Kann mir wer helfen? Habe Windows XP (schätze aber durch das Recovery noch kein SP2 update). Dankeeeeee. lg, dropshot |
Hallo Dropshot, Arbeite bitte alles ab Punkt 2 in dem Link unten ab um den Leuten vom Kompetenzteam schonmal ein paar Infos für eine Hilfestellung zu geben. http://www.trojaner-board.de/69886-a...-beachten.html Gruß: Christian |
Halli hallo ropshot :hallo: Bereinigung nach einer Kompromitierung Hinweis: Die Analyse eines Virenscanners ist völlig unzureichend, um Aussagen über das System zu machen, kann aber als Hilfsmittel eingesetzt werden, sofern er von einem sauberen System aus betrieben wird. Leider tauchen momentan immer mehr Schädlinge auf die sich in den Master Boot Record, kurz MBR einschreiben. Dieser wird bei einer herkömmlichen Neuinstallation nicht komplett überschrieben und stellt somit ein erhebliches Sicherheitsrisiko dar. Vor der Neuinstallation sollte daher sichergegangen werden, dass der MBR in Ordnung ist. Master Boot Record reparieren: XP: Um die Wiederherstellungskonsole zu starten, einfach die Windows XP CD in das Laufwerk legen und davon booten.. Wenn Ihr dazu aufgefordert werdet, wählt die erforderliche Optionen für den Start von der Installations-CD aus. Wenn der textbasierte Teil von Setup startet, wählt die Option zum Reparieren oder Wiederherstellen, indem Ihr die Taste [R] drückt. Gegebenfalls nun das Administratorkennwort eingeben. Nun gelangt Ihr zur Eingabeaufforderung der Wiederherstellungskonsole. Dort bitte den Befehl fixmbr eingeben und mit Enter bestätigen. Um die Wiederherstellungskonsole zu beenden und den Computer neu zu starten, gebt Ihr 'exit' ein Einen Personal Computer neuaufsetzen: Lies dir bitte bevor du dich an die Arbeit machst folgende Anleitung ganz genau durch:Nachdem du neuaufgesetzt hast musst du unbedingt alle Passwörter und Zugangsaccounts ändern!!! |
Hallo! Dank erstmals für eure Nachrichten. Leider habe ich bei der ersten nicht ganz verstanden was ich falsch gemacht habe, sorry, bin noch neu und als Mädel auch ein volles Anti-Talent für Computer. :dummguck: Na ja, auf jeden Fall verstehe ich jetzt, warum dieser Bootsektor-Virus durch Neu-Formatierung nicht zu beseitigen ist. Leider funktionier bei mir das Master Boot Record reparieren nicht. Wenn ich die Recovery CD(s) einlege läuft er alles normal durch und "R" für Reparieren funktioniert nicht. Ich habe auch schon das Bootsektor Repairtool von Avira angewendet, aber das scanned irgendwie nur mein Programm aber führt kein Löschung/Reparatur durch. Jetzt bin ich schön langsam verzweifelt, da ich mich halt leider so gar nich auskenne. Vielleicht hilft es, wenn ich mein Log-File post? Na ich füge es mal hinzu: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 23:07:19, on 13.05.2009 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\WINDOWS\SYSTEM32\WISPTIS.EXE C:\WINDOWS\System32\tabbtnu.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe c:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe C:\Programme\Gemeinsame Dateien\microsoft shared\ink\TabTip.exe C:\WINDOWS\System32\igfxtray.exe C:\WINDOWS\System32\hkcmd.exe C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe C:\Programme\Acer\Notebook Manager\almxptray.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Launch Manager\LaunchAp.exe C:\Programme\Launch Manager\PowerKey.exe C:\Programme\Launch Manager\HotkeyApp.exe C:\Programme\Launch Manager\CtrlVol.exe C:\Programme\Launch Manager\OSD.exe C:\Programme\Launch Manager\Wbutton.exe C:\Programme\Gemeinsame Dateien\microsoft shared\ink\TPA.exe C:\WINDOWS\AGRSMMSG.exe C:\Programme\ltmoh\Ltmoh.exe C:\Programme\Acer soft button\wsbklite.exe C:\Programme\Acer soft button\SB.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe C:\Dokumente und Einstellungen\xxxxx\Desktop\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://global.acer.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [TabletTip] "C:\Programme\Gemeinsame Dateien\microsoft shared\ink\tabtip.exe" /resume O4 - HKLM\..\Run: [LaunchApp] LaunApp O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe O4 - HKLM\..\Run: [AcerNotebookManager] C:\Programme\Acer\Notebook Manager\almxptray.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe O4 - HKLM\..\Run: [PowerKey] "C:\Programme\Launch Manager\PowerKey.exe" O4 - HKLM\..\Run: [LManager] C:\Programme\Launch Manager\HotkeyApp.exe O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe O4 - HKLM\..\Run: [LMgrOSD] C:\Programme\Launch Manager\OSD.exe O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe" O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [LtMoh] C:\Programme\ltmoh\Ltmoh.exe O4 - HKLM\..\Run: [Wise Backlight] "C:\Programme\Acer soft button\wsbklite.exe" O4 - HKLM\..\Run: [Software Button] "C:\Programme\Acer soft button\SB.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Zinio DLM] C:\Program Files\Zinio\ZDLM.exe /hide O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [TabletWizard] %windir%\help\wizard.hta (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: SketchBook Snapshot.lnk = C:\Programme\AliasWavefront\Alias SketchBook Pro 1.0\SketchBookSnap.exe O4 - Global Startup: BTTray.lnk = ? O4 - Global Startup: uninstall.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Bluetooth Service (btwdins) - Unknown owner - c:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe -- End of file - 4896 bytes Bitte helft mir, bin am verzweifeln. Dankeeeee. lg, Angela |
Hallöle. Zitat:
|
Hi! Genau, der Punkt "R" existiert nicht. Ich kann quasi nur zustimmen, dass der Computer neu aufgesetzt wird, keine andere Wahlmöglichkeiten... lg, Angela |
Hmpf, das ist leider bei Recovery CDs häufiger mal der Fall. Dann solltest du die Wiederherstellungskonsole fest installieren. Mit auf der CD sollte sie eigentlich sein. Gehe vor wie hier beschrieben wird. http://www.paules-pc-forum.de/forum/...artoption.html |
Na ich dürfte mit meinen 4!!! Recovery CDs mehr als Pech gehabt haben (ob das an Acer liegt???). Habe versucht nach dem Link von dir die Wiederherstellungskonsole fest zu installieren, allerdings findet er leider die Datei cd i386 auf keiner meiner CDs und somit kann ich nicht fortfahren...weißt du noch andere Möglichkeiten? |
O.k. dann ohne Microsoft Software. Lade dir TeskDisk von hier: http://www.computerbase.de/downloads/software/systemprogramme/festplatten/testdisk/?url=27826 Du musst dich dafür leider bei CB registrieren. Löschen den Account einfach gleich nach dem Download wieder und registriere dich weder mit deinem richtigen Namen noch mit einer produktiven e-mail Adresse. Die heruntergeladene Datei brennt sich nach der Ausführung selber. Alles was du brauchst ist ein Brenner und eine beschreibbare CD. Nach dem Brennen legst du die CD ins Laufwerk ein und startest den Rechner neu. Er sollte jetzt von der CD booten. Hier findest du die offizielle Beschriebung aller Menüpunkte: http://www.cgsecurity.org/wiki/Ausf%C3%BChren_von_TestDisk (auf der Seite ganz unten) Dort findet sich der Menüpunkt Zitat:
Danach kannst du ohne Probleme neuaufsetzen und absichern. |
Hallo! Ich glaube, dass dürfte nun funktioniert haben. :Boogie: Zumindest findet mein Virenprogramm (Avira Antivir) keinen Boo/Sinowal.A mehr. Vielen lieben Dank für die Hilfe und die Geduld mit mir als Computer-Un-Genie. :-) DANKE!!!! Alles Liebe, Angela |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 06:17 Uhr. |
Copyright ©2000-2025, Trojaner-Board