Masterbootsektor HD5 BOO/Sinowal.A
 

Hi,

ich habe heute mal meinen PC mit Avira AntiVir Personal auf Viren durchsucht und bin auf folgendes gestoßen:

Die Datei 'Masterbootsektor HD5'
enthielt einen Virus oder unerwünschtes Programm 'BOO/Sinowal.A' [virus].
Durchgeführte Aktion(en):
Enthält Code des Bootsektorvirus BOO/Sinowal.A.
Der Sektor wurde nicht neu geschrieben!

Zusätzlich sagt AntiVir:

Für die Reparatur des Bootsektors laden Sie sich bitte das "AntiVir Bootsektor Reparatur Tool" herunter...

Das habe ich dann sofort gemacht und nach dem öffnen dieses Tools sollte ich den Brenner oder das Diskettenlaufwerk auswählen. Es sollte anscheinend eine CD brennen weil der Button unten "brennen" heißt. Nur kann ich den Button nicht anklicken weil er grau hinterlegt ist, drunter steht in Rot :

Keine CD eingelegt oder Brenner nicht kompatibel.

CD ist aber eingelegt und habe auch vorher noch was gebrannt.


Hab dann schon mal ein bischen gestöbert hier im Forum und bin auf ein ähnliches Problem gestoßen und habe schon mal das mbr.exe runtergeladen und ausgeführt.

Herausgekommen ist das:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x1d1c06c0 size 0x1c6 !
copy of MBR has been found in sector 62 !

Nutze Win XP Home SP2


Könnt ihr mir weiterhelfen? Wie gefährlich ist dieser Virus??


Danke schonmal im vorraus

MFG

Hallo Apetito und

http://www.mysmilie.de/generator/ablage/156/257.png


Deaktiviere zuerst alle AV-Scanner und andere Hintergrundwächter (z.B. Spybot), sofern vorhanden, und starte die mbr.exe noch ein mal.. ;)

Aber zuvor das hier:


ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)




Rootkit im MBR (Master Boot Record)


Lade dir zunächst diese Datei -> mbr.exe direkt auf das Laufwerk
wo dein Betriebssystem installiert ist. (also auf c: )

Windows Vista:
Start -> bei "Suche starten" -> cmd (eintippen) -> ENTER

Windows 2000 - XP:
klick auf Start -> Ausführen -> cmd (eintippen) -> ENTER

Dann folgende Text in die Box eingeben: mbr.exe -f (siehe Bild)

http://saved.im/ndc4mda3m2z3/cmd-mbr-f.jpg

Auf c:\ wir dann ein mbr.log angelegt, öffne dieses mit dem Editor, kopiere den Text ab und füge ihn in deinen Beitrag ein.

Hi, danke für die Hilfe. Hier nun das Ergebniss der combofix.exe :

ComboFix 08-09-05.02 - Klierinho 2008-09-06 11:47:11.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.250 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Klierinho\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Klierinho\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Media\10.0\WMSDKNSD.XML

.
((((((((((((((((((((((( Dateien erstellt von 2008-08-06 bis 2008-09-06 ))))))))))))))))))))))))))))))
.

2008-09-06 11:38 . 2008-09-06 11:38 <DIR> d-------- C:\Programme\CCleaner
2008-09-05 19:47 . 2008-09-05 19:47 <DIR> d-------- C:\Dokumente und Einstellungen\Klierinho\dwhelper
2008-09-05 19:22 . 2008-09-05 19:22 <DIR> d-------- C:\Programme\Avira
2008-09-05 19:22 . 2008-09-05 19:22 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-09-05 19:16 . 2008-09-05 19:16 <DIR> d-------- C:\Programme\LimeWire
2008-09-05 19:16 . 2008-09-05 19:39 <DIR> d-------- C:\Dokumente und Einstellungen\Klierinho\Anwendungsdaten\LimeWire
2008-09-05 14:50 . 2008-09-05 14:50 116 --a------ C:\WINDOWS\NeroDigital.ini
2008-09-04 22:52 . 2008-09-04 22:52 <DIR> d-------- C:\Dokumente und Einstellungen\Klierinho\Anwendungsdaten\Ahead
2008-09-04 14:11 . 2008-09-04 14:11 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Messenger Plus!
2008-09-03 21:01 . 2008-09-03 21:01 <DIR> d-------- C:\Programme\Nero
2008-09-03 21:01 . 2008-09-03 21:03 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Ahead
2008-09-03 20:47 . 2008-09-03 20:47 <DIR> d-------- C:\Programme\DivX
2008-09-03 19:59 . 2008-09-03 19:59 <DIR> d-------- C:\Programme\Windows Live
2008-09-03 19:58 . 2008-09-03 19:59 <DIR> d-------- C:\Programme\Messenger Plus! Live
2008-09-03 19:57 . 2008-09-03 19:59 <DIR> d-------- C:\Programme\MSN Messenger
2008-09-03 19:56 . 2008-09-04 14:10 <DIR> d-------- C:\WINDOWS\SxsCaPendDel
2008-09-02 16:49 . 2008-09-02 16:49 <DIR> d-------- C:\WINDOWS\Sun
2008-09-02 16:03 . 2008-09-02 16:03 <DIR> d-------- C:\Programme\MSXML 4.0
2008-09-02 03:29 . 2008-09-02 03:29 60 --a------ C:\WINDOWS\system32\SYSDRV.DAT
2008-09-02 03:28 . 2008-04-14 04:22 483,840 --a------ C:\WINDOWS\system32\wzcsvc.dll
2008-09-02 03:28 . 2008-04-14 04:22 52,736 --a------ C:\WINDOWS\system32\wzcsapi.dll
2008-09-02 03:28 . 2001-08-18 06:54 49,211 --a------ C:\WINDOWS\system32\usrvpa.dll
2008-09-02 03:28 . 2001-08-18 06:54 45,116 --a------ C:\WINDOWS\system32\usrvoica.dll
2008-09-02 03:28 . 2008-04-14 04:23 23,552 --a------ C:\WINDOWS\system32\wdmaud.drv
2008-09-02 03:28 . 2001-08-18 06:54 14,336 --a------ C:\WINDOWS\system32\wowfaxui.dll
2008-09-02 03:28 . 2001-08-18 06:52 3,200 --a------ C:\WINDOWS\system32\wowfax.dll
2008-09-02 03:27 . 2001-08-18 06:54 102,457 --a------ C:\WINDOWS\system32\usrv42a.dll
2008-09-02 03:27 . 2001-08-18 06:54 86,073 --a------ C:\WINDOWS\system32\usrfaxa.dll
2008-09-02 03:27 . 2001-08-18 06:55 77,891 --a------ C:\WINDOWS\system32\usrmlnka.exe
2008-09-02 03:27 . 2001-08-18 06:54 77,883 --a------ C:\WINDOWS\system32\usrrtosa.dll
2008-09-02 03:27 . 2001-08-18 06:55 69,700 --a------ C:\WINDOWS\system32\usrshuta.exe
2008-09-02 03:27 . 2001-08-18 06:55 61,508 --a------ C:\WINDOWS\system32\usrprbda.exe
2008-09-02 03:27 . 2001-08-18 06:54 53,305 --a------ C:\WINDOWS\system32\usrlbva.dll
2008-09-02 03:27 . 2001-08-18 06:54 49,211 --a------ C:\WINDOWS\system32\usrsdpia.dll
2008-09-02 03:27 . 2001-08-18 06:54 49,209 --a------ C:\WINDOWS\system32\usrv80a.dll
2008-09-02 03:27 . 2001-08-18 06:54 41,019 --a------ C:\WINDOWS\system32\usrsvpia.dll
2008-09-02 03:25 . 2008-04-14 04:23 299,008 --a------ C:\WINDOWS\system32\msh263.drv
2008-09-02 03:24 . 2001-08-18 06:22 262,528 --a------ C:\WINDOWS\system32\drivers\cinemst2.sys
2008-09-02 03:23 . 2008-04-14 04:22 51,712 --a------ C:\WINDOWS\system32\cnbjmon.dll
2008-09-02 03:21 . 2008-04-14 04:22 1,005,056 --a------ C:\WINDOWS\system32\syssetup.dll
2008-09-02 03:20 . 2008-04-13 20:36 2,981,888 --a------ C:\WINDOWS\system32\xpsp2res.dll
2008-09-02 03:19 . 2006-02-28 14:00 4,399,505 --a--c--- C:\WINDOWS\system32\dllcache\nls302en.lex
2008-09-02 03:18 . 2006-02-28 14:00 3,440,660 --a------ C:\WINDOWS\system32\drivers\gm.dls
2008-09-02 03:17 . 2008-09-02 03:22 <DIR> d-------- C:\WINDOWS\I386
2008-09-02 03:11 . 2008-09-06 11:38 <DIR> dr------- C:\Programme
2008-09-02 03:11 . 2008-09-02 03:16 <DIR> dr------- C:\Dokumente und Einstellungen\Default User\Startmenü
2008-09-02 03:11 . 2006-10-12 10:00 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen
2008-09-02 03:11 . 2008-09-02 03:16 <DIR> dr-h----- C:\Dokumente und Einstellungen\Default User\Anwendungsdaten
2008-09-02 03:11 . 2008-09-01 22:50 <DIR> dr------- C:\Dokumente und Einstellungen\All Users\Startmenü
2008-09-02 03:11 . 2008-09-03 19:06 <DIR> dr------- C:\Dokumente und Einstellungen\All Users\Dokumente
2008-09-02 03:10 . 2008-09-05 19:22 <DIR> dr-h----- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten
2008-09-02 02:53 . 2008-09-03 20:59 <DIR> dr-hsc--- C:\WINDOWS\system32\dllcache
2008-09-02 02:53 . 2008-09-02 03:16 <DIR> dr------- C:\WINDOWS\system32\config\systemprofile\Startmenü
2008-09-02 02:53 . 2008-09-06 11:48 <DIR> d--h----- C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen
2008-09-02 02:53 . 2008-09-02 03:16 <DIR> dr-h----- C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten
2008-09-02 02:51 . 2008-09-02 03:30 <DIR> d-------- C:\WINDOWS\CACHE
2008-09-01 22:50 . 2008-09-01 22:50 <DIR> d-------- C:\WINDOWS\system32\de-de
2008-09-01 22:50 . 2008-09-01 22:50 <DIR> d-------- C:\WINDOWS\system32\de
2008-09-01 22:50 . 2008-09-01 22:50 <DIR> d-------- C:\WINDOWS\system32\bits
2008-09-01 22:50 . 2008-09-01 22:50 <DIR> d-------- C:\WINDOWS\l2schemas
2008-09-01 22:48 . 2008-09-01 22:48 <DIR> d-------- C:\WINDOWS\ServicePackFiles
2008-09-01 22:43 . 2008-09-01 22:43 <DIR> d-------- C:\WINDOWS\EHome
2008-09-01 22:38 . 2004-08-04 00:38 327,168 --------- C:\WINDOWS\system32\drivers\ati2mtaa.sys
2008-09-01 21:55 . 2008-09-01 21:56 <DIR> d-------- C:\Programme\VirtualDJ
2008-09-01 21:54 . 2008-09-01 21:54 <DIR> d-------- C:\Dokumente und Einstellungen\Klierinho\Anwendungsdaten\vlc
2008-09-01 21:45 . 2008-09-01 21:45 <DIR> d-------- C:\Programme\VideoLAN
2008-09-01 21:43 . 2006-10-04 16:06 1,197,294 --a--c--- C:\WINDOWS\system32\dllcache\sysmain.sdb
2008-09-01 21:42 . 2008-09-01 21:42 <DIR> d-------- C:\Programme\Windows Media Connect 2
2008-09-01 21:41 . 2008-09-01 21:41 <DIR> d-------- C:\WINDOWS\system32\LogFiles
2008-09-01 21:41 . 2008-09-01 21:42 <DIR> d-------- C:\WINDOWS\system32\drivers\UMDF
2008-09-01 21:41 . 2008-09-01 21:42 <DIR> d-------- C:\036b46a754b6c95a0a82a41d
2008-09-01 21:40 . 2008-09-03 19:53 <DIR> d-------- C:\Programme\MessengerPlus! 3
2008-09-01 21:40 . 2008-09-01 21:40 <DIR> d---s---- C:\Dokumente und Einstellungen\Klierinho\UserData
2008-09-01 21:26 . 2008-09-01 21:26 <DIR> d-------- C:\WINDOWS\system32\Adobe
2008-09-01 21:09 . 2008-09-01 21:40 <DIR> d-------- C:\Dokumente und Einstellungen\Klierinho\Contacts
2008-09-01 21:06 . 2008-09-01 21:06 <DIR> d-------- C:\Programme\Realtek AC97
2008-09-01 21:06 . 2006-12-08 15:20 10,528,768 --a------ C:\WINDOWS\system32\RTLCPL.exe
2008-09-01 21:06 . 2006-12-29 14:48 4,026,112 -ra------ C:\WINDOWS\system32\drivers\alcxwdm.sys
2008-09-01 21:06 . 2006-07-31 11:19 315,392 --a------ C:\WINDOWS\alcupd.exe
2008-09-01 21:06 . 2006-07-31 11:27 217,088 --a------ C:\WINDOWS\Alcrmv.exe
2008-09-01 21:06 . 2002-02-05 13:54 141,016 --a------ C:\WINDOWS\system32\alsndmgr.wav
2008-09-01 20:37 . 2008-09-01 20:37 1,144 --a------ C:\WINDOWS\mozver.dat
2008-09-01 20:29 . 2008-09-01 20:29 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Adobe
2008-09-01 20:27 . 2008-09-03 19:57 <DIR> d----c--- C:\WINDOWS\system32\DRVSTORE
2008-09-01 20:23 . 2008-09-01 20:33 <DIR> d-------- C:\Dokumente und Einstellungen\Klierinho\Anwendungsdaten\AdobeUM
2008-09-01 20:18 . 2008-09-01 20:18 12,630 --a------ C:\WINDOWS\system32\wpa.bak
2008-09-01 20:16 . 2008-06-10 02:32 73,728 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-09-01 19:59 . 2008-06-14 19:32 273,024 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
2008-09-01 19:58 . 2008-04-11 21:04 691,712 -----c--- C:\WINDOWS\system32\dllcache\inetcomm.dll
2008-09-01 19:58 . 2008-05-01 16:34 331,776 -----c--- C:\WINDOWS\system32\dllcache\msadce.dll
2008-09-01 19:58 . 2008-05-08 16:02 203,136 -----c--- C:\WINDOWS\system32\dllcache\rmcast.sys
2008-09-01 19:58 . 2008-09-01 19:58 2 --a------ C:\WINDOWS\msoffice.ini
2008-09-01 18:40 . 2008-09-02 03:28 <DIR> d--h----- C:\Dokumente und Einstellungen\Klierinho\Vorlagen
2008-09-01 18:40 . 2008-09-05 23:12 <DIR> dr------- C:\Dokumente und Einstellungen\Klierinho\Startmenü
2008-09-01 18:40 . 2006-10-12 10:00 <DIR> d--h----- C:\Dokumente und Einstellungen\Klierinho\Netzwerkumgebung
2008-09-01 18:40 . 2006-10-12 10:00 <DIR> d--h----- C:\Dokumente und Einstellungen\Klierinho\Lokale Einstellungen
2008-09-01 18:40 . 2008-09-02 16:02 <DIR> dra------ C:\Dokumente und Einstellungen\Klierinho\Favoriten
2008-09-01 18:40 . 2008-09-05 19:17 <DIR> dr------- C:\Dokumente und Einstellungen\Klierinho\Eigene Dateien
2008-09-01 18:40 . 2006-10-12 10:00 <DIR> d--h----- C:\Dokumente und Einstellungen\Klierinho\Druckumgebung
2008-09-01 18:40 . 2006-10-26 17:35 <DIR> d-------- C:\Dokumente und Einstellungen\Klierinho\Anwendungsdaten\You've Got Pictures Screensaver
2008-09-01 18:40 . 2006-10-26 17:32 <DIR> d-------- C:\Dokumente und Einstellungen\Klierinho\Anwendungsdaten\ATI
2008-09-01 18:40 . 2008-09-01 19:59 <DIR> d-------- C:\Dokumente und Einstellungen\Klierinho\Anwendungsdaten\AOL
2008-09-01 18:40 . 2008-09-05 19:16 <DIR> d--h----- C:\Dokumente und Einstellungen\Klierinho\Anwendungsdaten
2008-09-01 18:40 . 2008-09-06 11:42 <DIR> d-------- C:\Dokumente und Einstellungen\Klierinho
2008-09-01 18:39 . 2008-09-02 03:16 <DIR> dr------- C:\WINDOWS\system32\config\systemprofile\Eigene Dateien
2008-09-01 18:39 . 2008-09-02 03:16 <DIR> dr------- C:\Dokumente und Einstellungen\Default User\Eigene Dateien
2008-09-01 18:33 . 2008-09-01 18:33 8,192 --a------ C:\WINDOWS\REGLOCS.OLD
2008-09-01 18:32 . 2008-04-13 20:46 61,696 --a------ C:\WINDOWS\system32\drivers\ohci1394.sys
2008-09-01 18:32 . 2008-04-13 20:46 53,376 --a------ C:\WINDOWS\system32\drivers\1394bus.sys
2008-09-01 18:32 . 2008-04-13 20:36 44,672 --a------ C:\WINDOWS\system32\drivers\uagp35.sys
2008-09-01 18:32 . 2001-08-17 13:46 6,400 --a------ C:\WINDOWS\system32\drivers\enum1394.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-02 01:28 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
2008-09-01 19:06 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-09-01 18:16 --------- d-----w C:\Programme\Java
2008-09-01 18:13 --------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-09-01 18:13 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec
2008-09-01 18:06 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-09-01 18:03 --------- d-----w C:\Programme\Sonic
2008-09-01 18:03 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\OD2
2008-09-01 17:59 --------- d-----w C:\Programme\Gemeinsame Dateien\aol
2008-09-01 17:59 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AOL
2008-07-25 08:36 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe
2008-07-23 16:50 9,464 ------w C:\WINDOWS\system32\drivers\cdralw2k.sys
2008-07-23 16:50 9,336 ------w C:\WINDOWS\system32\drivers\cdr4_xp.sys
2008-07-23 16:50 43,528 ------w C:\WINDOWS\system32\drivers\PxHelp20.sys
2008-07-23 16:50 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll
2008-07-23 16:50 129,784 ------w C:\WINDOWS\system32\pxafs.dll
2008-07-23 16:50 120,056 ------w C:\WINDOWS\system32\pxcpyi64.exe
2008-07-23 16:50 118,520 ------w C:\WINDOWS\system32\pxinsi64.exe
2008-07-23 16:48 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2008-07-23 16:48 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2008-07-23 16:46 12,288 ----a-w C:\WINDOWS\system32\DivXWMPExtType.dll
2008-07-07 20:26 253,952 ----a-w C:\WINDOWS\system32\es.dll
2008-06-24 16:42 74,240 ----a-w C:\WINDOWS\system32\mscms.dll
2008-06-23 15:10 671,744 ----a-w C:\WINDOWS\system32\wininet.dll
2008-06-20 17:46 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 313472]
"MessengerPlus3"="C:\Programme\MessengerPlus! 3\MsgPlus.exe" [2008-09-03 190024]
"MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.Exe" [2007-01-19 5674352]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2006-08-30 139264]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-05-10 90112]
"PCMService"="c:\APPS\Powercinema\PCMService.exe" [2006-02-23 147456]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"Vade Retro Outlook Express"="C:\PROGRA~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe" [2004-10-04 310272]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"RTHDCPL"="RTHDCPL.EXE" [2006-08-24 C:\WINDOWS\RTHDCPL.exe]
"SoundMan"="SOUNDMAN.EXE" [2006-11-17 C:\WINDOWS\soundman.exe]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-04-23 29696]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\APPS\\Powercinema\\PowerCinema.exe"=
"C:\\APPS\\Powercinema\\PCMService.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\MSN Messenger\\livecall.exe"=


*Newly Created Service* - PROCEXP90
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-NWEReboot - (no file)


.
------- Zusätzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Klierinho\Anwendungsdaten\Mozilla\Firefox\Profiles\8dncufoc.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - chrome://speeddial/content/speeddial.xul
FF -: plugin - C:\Programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
FF -: plugin - C:\Programme\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-06 11:48:49
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-09-06 11:49:35
ComboFix-quarantined-files.txt 2008-09-06 09:49:33

Pre-Run: 7 Verzeichnis(se), 225,318,862,848 Bytes frei
Post-Run: 9 Verzeichnis(se), 225,377,701,888 Bytes frei

209 --- E O F --- 2008-09-03 18:01:07





Bei dem Rootkit hab ich Probleme, siehe Bild:

http://img246.imageshack.us/img246/9625/mbrfq7.jpg
http://img246.imageshack.us/img246/9...6cc9945888.jpg

Deinstalliere folgende Software -> Messenger Plus!3
Über diese wird auch Malware eingeschleust/nachgeladen.

Du bist im falschen Verzeichnis, und hast die Datei ausgeführt, du bist hier:

c:\Dokumente und Einstellungen\Klierinho\

du musst aber nach -> c:\mbr.exe -f

Also wenn du die DOS-BOX öffnest, bist du nicht automatisch auf c: , du musst also noch folgendes eingeben -> cd\

Ah ok, danke.

Habe es nun gemacht und gerrausgekommen ist folgendes:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x1d1c06c0 size 0x1c6 !
copy of MBR has been found in sector 62 !

Jetzt bleibt dir nur die Möglichkeit den MBR neu zu schreiben, wie das funktioniert wurde hier kurz und schmerzlos von einem Bekannten von mir erklärt:


MBR neu schreiben

Wenn das geschehen ist, führe nochmal die mbr.exe aus, so wie ich es in den vorherigen Post beschrieben habe!

Dann suchen wir weiter nach dem Schädling welcher die Infektion verursacht hat. ;)


Gruß
Sunny

Hm ich komm nicht in die Wiederherstellungskonsole rein.

Lass ich von der CD booten (press any key to boot from cd), startet die System Recovery und ich komm nur in das "Packard Bell" setup (PC wurde dort erworben) und dort kann ich nur destruktive Systemwiederherstellung machen oder komplette systemwiederherstellung, auch beim drücken beim hochfahren von "r" oder F10 passiert gar nichts.


Würde das Problem auch gelöst werden wenn ich den kompletten PC formatiere, da ich das sowieso in naher Zukunft vor hatte oder wie soll ich weitermachen????

Jap, aber nur Tabula Rasa mit DBAN.

Nebenbei ist es fraglich, ob Sinowal noch aktiv ist, weil:
[Das Fettgedruckte ist wichtig!]

Naja Probleme hab ich bis jetzt nicht festgestellt, läuft alles normal, kann deshalb auch nicht sagen wie lange der schon drauf ist und woher etc. ??

Und was genau ist dieses Tabula Rasa mit DBAN ???

Tabula Rasa bedeutet Neuaufsetzen/Flachmachen/Formatieren; DBAN ist ein Tool, das die HDD komplett leert, inkl. Partitionen, etc.

lol achso, dacht mir schon is n Programm oder so :D

Also besorg ich mir DBAN mach alles platt und hau XP wieder neu drauf und dann müsste alles wieder im grünen Bereich sein ???

Wenn du das machen willst, ist dies natürlich die sicherste Lösung.
Eigentlich wollte ich mir Sunny's Meinung zu meiner These anhören, aber so gehts auch..

Nunja, du wirst schon wissen was am besten für den User ist.. :juul:

Jedoch würde ich dich zukünftig bitten nicht in meine Threads zu posten, wenn du anderer Meinung bist als ich, dann schreib mir eine PN und lass es mich wissen. ;)

Ich würde den MBR einfach mit fixboot reparieren. Dann gibt's keine Probleme mehr..

€dit: Juuhuuu Sunny spendiert mir Bier.. :) Kann ich gebrauchen. Prost mein Guter :party:

Sorry, kommt nicht wieder vor.

Ich dachte nur, der MBR ist okay, da er ja erfolgreich gelesen wurde - was eigentlich bedeutet, dass Sinowal inaktiv ist.

Der MBR ist auch okay, normalerweise bräuchte der User gar nichts mehr machen, jedoch liegt der Code immer noch in Sektoren (inaktiv).

Und das Sinowal aktiv ist solltest du mir auch anhand von Dateien zeigen, ich lasse mich auch gerne eines besseren belehren! ;)

Wo sind die Dateien/Verzeichnisse/Emails welche zu Sinowal passen?
Sicherlich hätte man vorerst mal einen Scan mit Blacklight/Sophos durchführen können. ;)

Hier dazu mehr.

Sinowal ist ja "nur" ein MBR Rootkit, die Backdoor, damit man auf Phishingseiten umgeleitet wird/werden kann (war zumindest früher so, für was Sinowal jetzt ist, kann natürlich was Anderes sein).

Von Sinowal existiert IMHO nur der Dropper als ausführbare Datei.

Sinowal != Sinowal?

Wie schon geschrieben, du weißt am was für den User am besten ist! ;)

Wir haben den MBR neu geschrieben, somit wirklich alles eliminiert, jedoch ist immer noch die Frage offen was der Dropper nun wirklich alles (abgesehen vom Boot Record) gedroppt hat!

Nur soviel, Malware entwickelt sich auch weiter.

Egal, der User hat sich selbst für eine Neuinstallation entschlossen, und damit ist gut!

EOD

D.h. also es passiert eh nichts mehr bzw. besteht keine Gefahr mehr ?

Rein theoretisch wurde "nur" der MBR gedroppt, das ein Rootkit aktiv ist/war hat sich mir noch nicht gezeigt!
d.h. normalerweise würden dann dementsprechend Dateien zu finden sein.
aber bislang konnte ich dazu noch nichts entdecken!

Also auf jeden Fall den MessengerPlus!3 deinstallieren!

Und nochmal sicherheitshalber einen Scan hiermit durchführen:


Blacklight scannen lassen

* Lade F-Secure Blacklight runter in einen eigenen Ordner, z.B. C:\programme\blacklight. Sollte der Download nicht klappen, dann probiere es mit diesem Link.
* Starte in diesem Ordner blbeta.exe. Alle anderen Programme schließen.
* Klick "I accept the agreement", "next", "Scan".
* Wenn der Scan fertig ist beende Blacklight mit "Close".
* Im Verzeichnis von Blacklight findest Du das erstellte Log fsbl-XXX.log, anstelle der XXX steht eine längere Folge von Ziffern.



Gmer scannen lassen

Lade dir Gmer von dieser Seite runter und entpacke es auf deinen Desktop.

• Starte gmer.exe und gehe zum Tab Rootkit. Alle anderen Programme sollen geschlossen sein.

• Stelle sicher, daß in der Leiste rechts alles von "System" bis "ADS" angehakt ist
• (Wichtig: "Show all" darf nicht angehakt sein)

• Starte den Durchlauf mit "Scan".

• Mache nichts am Computer während der Scan läuft.

• Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird Gmer beendet.

• Füge das Log aus der Zwischenablage in deine Antwort hier ein.

Wenn danach alle Ergebnisse negativ ausfallen, würde ich dir nicht mehr zu einer Neuinstallation raten! ;)

Gruß
Sunny

Hi, hier nun die Ergebnisse:

Blacklight :

fsbl-20080906201103

09/06/08 22:11:03 [Info]: BlackLight Engine 1.0.67 initialized
09/06/08 22:11:03 [Info]: OS: 5.1 build 2600 (Service Pack 3)
09/06/08 22:11:03 [Note]: 7019 4
09/06/08 22:11:03 [Note]: 7005 0
09/06/08 22:11:20 [Note]: 7006 0
09/06/08 22:11:20 [Note]: 7011 1608
09/06/08 22:11:20 [Note]: 7026 0
09/06/08 22:11:21 [Note]: 7026 0
09/06/08 22:11:23 [Note]: FSRAW library version 1.7.1024
09/06/08 22:12:35 [Note]: 7007 0




Gmer :

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2008-09-06 22:20:10
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.14 ----

SSDT F8BC3CCC ZwCreateThread
SSDT F8BC3CB8 ZwOpenProcess
SSDT F8BC3CBD ZwOpenThread
SSDT F8BC3CC7 ZwTerminateProcess
SSDT F8BC3CC2 ZwWriteVirtualMemory

---- Devices - GMER 1.0.14 ----

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- Disk sectors - GMER 1.0.14 ----

Disk \Device\Harddisk0\DR0 sector 61: malicious code @ sector 0x1d1c06c0 size 0x1c6
Disk \Device\Harddisk0\DR0 sector 62: copy of MBR

---- EOF - GMER 1.0.14 ----

Was sagst du nun dazu ?

MFG

Die Reporte sehen gut aus, es deutet nichts draufhin das noch mehr gedroppt wurde!

Wenn keine Probleme mehr bestehen sollte es das für dich gewesen sein.. ;)

Na dann lass ich das erst mal mit der formatierung.

Danke für die Hilfe.

MFG