Trojaner-Board - Probleme mit Backdoor.Win32.Sinowal

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Probleme mit Backdoor.Win32.Sinowal (https://www.trojaner-board.de/125515-probleme-backdoor-win32-sinowal.html)

Probleme mit Backdoor.Win32.Sinowal

Hallo Zusammen,

bin jetzt einige Zeit ohne Sicherheitsprogramm (Kaspersky usw.) im Internet unterwegs gewesen. Sehr dämlich ich weiss. Und das musste ich jetzt büssen.

Habe mir die letzten Tage Gedanken gemacht welches Programm ich mir nun zulege und habe mit der Testversion von Kaspersky Internet Security 13 begonnen. Diese Testversion hat promt angeschlagen und zwar mit dem Backdoor.Win32.Sinowal.

Bei google hab ich schon ein bisschen gestöbert und hab gesehen, dass das wohl ein ziemlich heftiger genosse ist. Da ich eher ein User bin der vom PC selber nicht viel Ahnung hat ist das natürlich ein Problem, darum wende ich mich an Euch.

Folgende Bedrohungen hat die Kaspersky Testsofware gemeldet.
-> Backdoor.Win32.Sinowal.rfp unter C:\Windows\Temp\rdmnkxitnr.crx//plugin.dell

-> Backdoor.Win32.Sinowal.qom unter C:\Windows\Temp\rveilwsqta.rrx//plugin.dll

-> Backdoor.Win32.Sinowal.qom unter C:\Windows\Temp\rmulohbsddm.crx//plugin.dll

-> Backdoor.Win32.Sinowal.rfp unter C:\Windows\Temp\jskfwwhipk.crx//plugin.dell

Die Testversion zeigt an, dass eine Desinfektion nicht möglich ist und ich kann nur das Archiv löschen oder die Aktion überspringen.

Noch ein paar weitere Infos: Ich habe meinen Rechner in einem Hausnetzwerk mit 2 NAS-Festplatten und einer normalen externen Festplatte hängen. Der Rechner läuft mit Windows 7 Home Premium 64 Bit.
Online Banking mache ich im Moment nicht kaufe aber teilweise wie fast jeder im Internet ein (Paypal, Lastschriftverfahren bei Amazon).

Könnt Ihr mir hierzu weiterhelfen?

Die nächste grosse Dämlichkeit und Problem was ich habe ist, dass ich keine Notfall CD erstellt habe und meine Windows DVD nicht mehr finde.

Danke schonmal vorab für Eure Hilfe.

Grüße
Dough

Um eine genauere Analyse zu ermöglichen, befolge bitte diesen Link:

An alle Hilfesuchenden! Was muss ich vor Eröffnung eines Themas beachten?

Hinweis: Poste die erstellten Logfiles hier in deinem Thema - erstelle kein neues!

Falls bereits installierte Antivirensoftware Funde gemeldet hat: Füge unbedingt die entsprechenden Logdateien bei!

Danke für den Hinweis:
Hier die Anhänge.

Falls noch was fehlt einfach bescheid geben.

Zitat:

C:\TDSSKiller_Quarantine

TDSS-Killer ist kein Spielzeug und kann den Rechner unbootbar machen!
Bitte poste mir die von ihm erstellten logfiles. Diese findest du unter C:\. Als Beispiel: C:\TDSSKiller.<version_date_time>log.txt.

Mach außerdem folgendes:

aswMBR

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

Starte die aswMBR.exe - (aswMBR.exe Anleitung) Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. ( Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen ) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
Klicke auf Scan.
Warte bitte bis Scan finished successfully im DOS Fenster steht.
Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung
Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

Hallo Psychotic,

anbei die Logfiles von TDSS Killer. Ich habe noch drei andere die aber älter sind (Uhrzeit). Wahrscheinlich hab ich das Programm 3 mal laufen lassen.

Und die .txt von ASWMBR.

Combofix

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2

WICHTIG - Speichere Combofix auf deinem Desktop

Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Hier die combofix.txt.
Es war kein Neustart nötig.

Scan mit adwcleaner

Downloade Dir bitte AdwCleaner auf deinen Desktop.

Starte die adwcleaner.exe mit einem Doppelklick.
Klicke auf Search.
Nach Ende des Suchlaufs öffnet sich eine Textdatei.
Poste mir den Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner[R1].txt.

Sorry bin nicht früher dazu gekommen:
Hier die TXT von adwcleaner.

Schritt 1: Fix mit adwcleaner

Schließe alle offenen Programme und Browser.
Starte die adwcleaner.exe mit einem Doppelklick.
Klicke auf Delete.
Bestätige jeweils mit Ok.
Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
Poste mir den Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.

Schritt 2: Scan mit TDSS-Killer

Lese bitte folgende Anweisungen genau. Wir wollen hier noch nichts "fixen" sondern nur einen Scan Report sehen.

Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop

Starte die TDSSKiller.exe
Drücke Start Scan
Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und speichere das Logfile. TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern ( Meistens C:\ ) Als Beispiel: C:\TDSSKiller.<version_date_time>log.txt

Poste den Inhalt bitte hier in deinen Thread.

Schritt 3: OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop ( falls noch nicht vorhanden)

Doppelklick auf die OTL.exe
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
Unter Extra Registry, wähle bitte Use SafeList
Klicke nun auf Run Scan links oben
Wenn der Scan beendet wurde werden 2 Logfiles erstellt
Poste die Logfiles hier in den Thread.

Hallo Psychotic,

im Anhang die ganzen Log-Dateien.

Sieht ganz gut aus - kontrollieren wir alles nochmal! :)

Schritt 1: MBAM vollständig

Downloade Dir bitte Malwarebytes

Installiere das Programm in den vorgegebenen Pfad.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
Wenn das Update beendet wurde, aktiviere Vollständigen Scan durchführen und drücke auf Scannen. (Hinweis: Alle Festplatten anhaken!)
Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Schritt 2: ESET

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Schritt 3: aswMBR

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

Starte die aswMBR.exe - (aswMBR.exe Anleitung) Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. ( Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen ) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
Klicke auf Scan.
Warte bitte bis Scan finished successfully im DOS Fenster steht.
Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

Hallo Psychotic,
Danke schon jetzt für die aufwendige Hilfe. Hier wieder die ganzen Log-Dateien.

Zitat:

C:\Program Files (x86)\VideoConverter\VideoConverter.exe a variant of Win32/InstallCore.A application
C:\Users\Dough & Sabs\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\61\3f9fe2bd-4adfd74f multiple threats
C:\Users\Dough & Sabs\Downloads\DriverReviverSetup.exe a variant of Win32/RegistryReviver application
C:\Users\Dough & Sabs\Downloads\Setup_FreeVideoConverter(1).exe Win32/Toolbar.SearchSuite application
C:\Users\Dough & Sabs\Downloads\SoftonicDownloader12536.exe a variant of Win32/SoftonicDownloader.A application
C:\Users\Dough & Sabs\Downloads\SoftonicDownloader44573.exe a variant of Win32/SoftonicDownloader.A application
C:\Users\Dough & Sabs\Downloads\SoftonicDownloader66221.exe a variant of Win32/SoftonicDownloader.A application
D:\Nero-8.3.6.0_All_Inclusive\nero\Nero-8.3.6.0_deu_trial.exe Win32/Toolbar.AskSBar application

Das ist keine malware, aber ein Sicherheitsrisiko. Lösche die Dateien ungeöffnet über den Explorer.

Wie verhält sich der Rechner?

Hallo Psychotic,

habe die Dateien gelöscht und neu gestartet. Beim Start gab es keine Veränderungen, alles normal. Aber Kaspersky zeigt mir immer noch die 4 Meldungen zum Backdoor.Win32.Sinowal an.

Temp File Cleaner ausführen

Downloade Dir bitte TFC ( von Oldtimer ) und speichere die Datei auf dem Desktop.
Schließe nun alle offenen Programme und trenne Dich von dem Internet.
Doppelklick auf die TFC.exe
Sollte TFC nicht alle Dateien löschen können wird es einen Neustart verlangen. Dies bitte zulassen.

TFC wollte einen Neustart. Die Malware Meldungen von Kaspersky kommen immernoch unverändert. Beim Start von Windows und öffnen der ersten Anwendungen hab ich das Gefühl dass er etwas langsamer ist als vorher.

Dann poste uns doch bitte mal die Logdatei von Kaspersky!

Kann bei Kaspersky leider keine Log-Datien finden. Ich versuchs heute Abend nochmal, aber konnte nirgends irgendwelche .TXT Dateien oder ähnliches aufstöbern.

Weisst Du vielleicht direkt wie ich da dran komme?

Hallo Psychotic,

jetzt hat Kaspersky nicht mehr angeschlagen. Ich werde morgen Abend nochmal über Kaspersky eine Komplettüberprüfung machen. Dann gebe ich nochmal bescheid wie es aussieht.

Meinst Du das Problem hätte sich somit jetzt erledigt?

Wenn ich den Schrott jetzt echt los bin möchte ich mich vielmals bedanken für die Hilfe und die super Unterstützung. DANKE!!!!

Ich werd mir jetzt eine ordentliche Software zulegen. Kannst Du mir da evtl. noch einen Tip geben? Norton, Kaspersky, Trend Micro,...?

Schritt 1: Java update

Dein Java ist nicht mehr aktuell. Ältere Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.

Downloade dir bitte die neueste Java-Version von hier
Speichere die jxpiinstall.exe
Schließe alle laufenden Programme, speziell deinen Browser.
Starte die jxpiinstall.exe. Diese wird den Installer für die neueste Java Version herunterladen.
Wenn die Installation beendet wurde, gehe zu Start --> Systemsteuerung --> Programme und Funktionen (bzw. Software unter Windows XP) und deinstalliere alle älteren Java Versionen.
Starte deinen Rechner neu, sobald alle älteren Versionen deinstalliert wurden.

Nach dem Neustart:

Öffne erneut die Systemsteuerung --> Programme und Funktionen und klicke auf das Java Symbol.
Im Reiter Allgemein, klicke unter Temporäre Internetdateien auf Einstellungen.
Klicke auf Dateien löschen ....
Gehe sicher, dass überall ein Haken gesetzt ist und klicke OK.
Klicke erneut OK.

Schritt 2: Adobe Reader update

Dein Adobe Reader ist veraltet. Da einige Schädlinge die Schwachstellen in veralteten Versionen nutzen, werden wir sie aktualisieren.

Lade dir den aktuellen Adobe Reader von hier herunter. Wichtig: Entferne den Haken für optionale Software (z.B. Google Chrome), der auf der Seite angezeigt wird, bevor du auf "Jetzt herunterladen" klickst.
Starte die Installation und folge den Anweisungen auf dem Bildschirm.
Drücke die Windows- und die R-Taste, gib im folgenden Fenster appwiz.cpl ein und klicke auf OK.
Suche und entferne alle älteren Reader-Versionen.

Schritt 3: Adobe Flash Player update

Dein Flash-Player ist veraltet. Da gerade diese Software gerne von Schädlingen als Sprungbrett ins System genutzt wird, muss sie immer aktuell gehalten werden.
Um den Flash Player zu aktualisieren, gehe bitte wie folgt vor:

Lade dir den aktuellen Adobe Flash Player von hier herunter. Wichtig: Entferne den Haken für optionale Software (z.B. Google Chrome), der auf der Seite angezeigt wird, bevor du auf "Jetzt herunterladen" klickst.
Starte das Setup und folge den Anweisungen auf dem Bildschirm.
Melde dich umgehend, falls Schwierigkeiten auftreten.

Schritt 3: Mozilla Firefox update

Dein Firefox-Browser ist veraltet. Gehe wie folgt vor, um ihn zu aktualisieren:

Lade dir den aktuellen Firefox von hier herunter.
Starte das Setup und folge den Anweisungen auf dem Bildschirm.
Drücke die Windows- und die R-Taste, gib im folgenden Fenster appwiz.cpl ein und klicke auf OK.
Entferne alle älteren Firefox-Versionen.
Melde dich umgehend, falls Schwierigkeiten auftreten.

Schritt 4: VLC-Player update

Dein VLC-Player ist veraltet. Um ihn zu aktualisieren, gehe bitte wie folgt vor:

Lade dir den aktuellen Player von hier herunter.
Starte das Setup und folge den Anweisungen auf dem Bildschrim. Setup wird die alte Version des Players erkennen und dich fragen, ob vor der Installation die alte Version entfernt werden soll. Bestätige dies mit Ja.
Nachdem die alte Version des Programms entfernt wurde, startet die Neuinstallation. Belasse alles bei den vorgegebenen Werten - es sei denn, du willst daran etwas ändern (z.B. die Dateizuordnung o.ä.).
Melde dich umgehend, falls Schwierigkeiten auftreten.

Defogger re-enable

Starte bitte den Defogger und klicke den re-enable Button

ComboFix

Bitte vor der folgenden Aktion wieder temporär Antivirus-Programm, evtl. vorhandenes Skript-Blocking und Anti-Malware Programme deaktivieren.

Windows-Taste + R drücke. Kopiere nun folgende Zeile in die Kommandozeile und klicke OK.

Code:

Combofix /Uninstall

http://larusso.trojaner-board.de/Images/CFuninstall.jpg

Damit wird Combofix komplett entfernt und der Cache der Systemwiederherstellung geleert, damit auch aus dieser die Schädlinge verschwinden.

Nun die eben deaktivierten Programme wieder aktivieren.

OTL

Starte bitte OTL und klicke auf Bereinigung.
Dies wird die meisten Tools entfernen, die wir zur Bereinigung benötigt haben. Sollte etwas bestehen bleiben, bitte mit Rechtsklick --> Löschen entfernen.

Hier noch ein paar Tipps zur Absicherung deines Systems.

Aktualität

Ich kann garnicht zu oft erwähnen, wie wichtig es ist, dass dein System Up to Date ist.

Bitte überprüfe ob dein System Windows Updates automatisch herunter lädt
Windows Updates
- Windows XP: Start --> Systemsteuerung --> Doppelklick auf Automatische Updates
- Windows Vista / 7: Start --> Systemsteuerung --> System und Sicherheit --> Automatische Updates aktivieren oder deaktivieren
Gehe sicher das die automatischen Updates aktiviert sind.
Software Updates
Installierte Software kann ebenfalls Sicherheitslücken haben, welche Malware nutzen kann, um dein System zu infizieren.
Um deine Installierte Software up to date zu halten, empfehle ich dir Secunia Online Software.

Antviren-Software

Gehe sicher immer eine Antiviren-Software installiert zu haben und dass diese auch up to date ist. Auch der beste Virenscanner ist sinnlos, wenn er nicht aktuell ist!
Eine Auswahl kostenloser Antivirenprogramme:

AVG Free Anti-Virus
Avast! Free Anti-Virus
Microsoft Security Essentials
Hinweis:MSE wird auch durch Windows Updates angeboten, falls kein Virenscanner am System erkannt wird

Zusätzlicher Schutz

MalwareBytes Anti Malware
Dies ist eines der besten Anti-Malware Tools auf dem Markt. Es ist ein On- Demond Scan Tool welches viele aktuelle Malware erkennt und auch entfernt.
Update das Tool und lass es einmal in der Woche laufen. Die Kaufversion biete zudem noch einen Hintergrundwächter.
Ein Tutorial zur Verwendung findest Du hier.

Sicheres Browsen

SpywareBlaster
Eine kurze Einführung findest du Hier
WOT (Web of trust)
Dieses AddOn warnt Dich bevor Du eine als schädlich gemeldete Seite besuchst.

Alternative Browser
Andere Browser tendieren zu etwas mehr Sicherheit als der IE, da diese keine Active X Elemente verwenden. Diese können von Spyware zur Infektion deines Systems missbraucht werden.

Opera
Mozilla Firefox.
- Hinweis: Für diesen Browser habe ich hier ein paar nützliche Add Ons
- NoScript
  Dieses AddOn blockt JavaScript, Java and Flash und andere Plugins. Sie werden nur dann ausgeführt wenn Du es bestätigst.
- AdblockPlus
  Dieses AddOn blockt die meisten Werbung von selbst. Ein Rechtsklick auf den Banner, um diesen zu AdBlockPlus hinzuzufügen, reicht und dieser wird nicht mehr geladen.
  Es spart ausserdem Downloadkapazität.

Performance
Bereinige regelmäßig deine Temp Files. Ich empfehle hierzu TFC
Halte dich fern von jedlichen Registry Cleanern.
Diese Schaden deinem System mehr als sie helfen. Hier ein paar ( englishe ) Links
Miekemoes Blogspot ( MVP )
Bill Castner ( MVP )

Don'ts

Klicke nicht auf alles nur weil es Dich dazu auffordert und schön bunt ist.
verwende keine peer to peer oder Filesharing Software (Emule, uTorrent,..)
Lass die Finger von Cracks, Keygens, Serials oder anderer illegaler Software.
Sei mißtrauisch in sozialen Netzwerken (z.B. MeinVZ, Facebook, etc) - auch, wenn Nachrichten/Einträge scheinbar von einem deiner Freunde stammen, bedeutet das noch lange nicht, dass sie unschädlich sind (Malware kann seinen Rechner verseucht haben).
Öffne keine Anhänge von Dir nicht bekannten Emails. Achte vor allem auf die Dateiendung wie zb deinFoto.jpg.exe

Nun bleibt mir nur noch dir viel Spass beim sicheren Surfen zu wünschen.

Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, damit ich diesen Thread aus meinen Abos löschen kann.

Hallo Psychotic,

soweit hat alles gut funktioniert. Die Themen Aktualisierung und Virensoftware muss ich noch angehen. Aber eines hab ich noch.

Jetzt kommt beim hochfahren die Meldung:

Daemon Tools Lite
Dieses Programm benötigt mindestens Windows 2000 mit SPTD-Treiber v1.60. Kerneldebugger müssen deaktiviert sein.

-> was bedeutet das?

Danke für Deine erneute Hilfe.

Deinstalliere die Daemon tools und installiere sie neu!
Tritt dann der Fehler immer noch auf?

Schön, dass wir helfen konnten! :abklatsch:

Dieses Thema scheint erledigt und wurde aus meinen Abos gelöscht.
Solltest du das Thema erneut brauchen, schicke mir bitte eine PM.

Jeder andere bitte hier klicken und ein eigenes Thema erstellen!