Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   System wieder sauber? BOO/Sinowal.A (https://www.trojaner-board.de/62565-system-sauber-boo-sinowal-a.html)

Gast3423 21.10.2008 18:31
System wieder sauber? BOO/Sinowal.A
 
Hallo,

Betriebssystem: Win XP SP2

Habe heute, nachdem mein Pc schon seit ein paar Tagen Schwierigkeiten gemacht hat, meinen PC neu aufgesetzt.
Die häufigenAbstürze hab ich anfangs nicht mit Virenbefall in Verbindung gebracht...
Ich fürchte mein System ist ziemlich verseucht... Antivir hat einen gewissen TR/Dldr.Bagle.ado in einer exe eines PC-Spiels gefunden, dass ich schon einige Monate installiert gehabt hatte, aber fast genauso lang nicht ausgeführt habe.

Habe nach Neuinstallation von Windows sofort Antivir installiert und suchen lassen... :
Zitat:
Die Datei 'Masterbootsektor HD1'
enthielt einen Virus oder unerwünschtes Programm 'BOO/Sinowal.A' [virus].
Durchgeführte Aktion(en):
Enthält Code des Bootsektorvirus BOO/Sinowal.A.
Der Sektor wurde nicht neu geschrieben!
hab mich dann hier im Froum ein wenig umgesehen und dann mit Dr. Web gescannt... der hat das Backdoor Programm MaosBoot gefunden... scheinbar auf g:\setup.exe
G ist mein Cd-Rom-Laufwerk, die Cd darin ist gut 4 Jahre alt.
Hab ich mich da verlesen, oder kann das sein?
Leider hab ich es versäumt ein Log zu speichern, bzw. weiss ich nicht wo Dr. Web eins abgespeichert haben könnte

Auf jeden Fall hat Dr. Web MaosBoot ausgemerzt, Antivir findet jetzt auch keinen Sinowal mehr.

Mbr meldet aber:
Zitat:
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x2542d6c1 size 0x1ca !
copy of MBR has been found in sector 62 !
Was tun?

liebe Grüsse,
Rupert

Gast3423 21.10.2008 20:41
update:
ich mache gerade einen komplettscan mit antivir.. scheinbar hat dieser virus wahllos einige exen infiziert... (habe nur die systempartition formatiert)

Gast3423 21.10.2008 21:47
Sehe gerade, der Threadtitel ist schon sehr dumm gewählt...

Avira Antir Log:
Code:
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Dienstag, 21. Oktober 2008  19:34

Es wird nach 1701701 Virenstämmen gesucht.

Lizenznehmer:    Avira AntiVir PersonalEdition Classic
Seriennummer:    0000149996-ADJIE-0001
Plattform:        Windows XP
Windowsversion:  (Service Pack 2)  [5.1.2600]
Boot Modus:      Normal gebootet
Benutzername:    SYSTEM
Computername:    RAINER-ZUFALL

Versionsinformationen:
BUILD.DAT    : 8.1.0.331      16934 Bytes  12.08.2008 11:44:00
AVSCAN.EXE    : 8.1.4.7      315649 Bytes  26.06.2008 08:57:49
AVSCAN.DLL    : 8.1.4.0        48897 Bytes  09.05.2008 11:27:06
LUKE.DLL      : 8.1.4.5      164097 Bytes  12.06.2008 12:44:16
LUKERES.DLL  : 8.1.4.0        12545 Bytes  09.05.2008 11:40:42
ANTIVIR0.VDF  : 6.40.0.0    11030528 Bytes  18.07.2007 10:33:34
ANTIVIR1.VDF  : 7.0.5.1      8182784 Bytes  24.06.2008 13:54:15
ANTIVIR2.VDF  : 7.0.7.59    4366336 Bytes  19.10.2008 16:01:23
ANTIVIR3.VDF  : 7.0.7.70      111104 Bytes  21.10.2008 16:01:24
Engineversion : 8.2.0.5 
AEVDF.DLL    : 8.1.0.6      102772 Bytes  21.10.2008 16:01:38
AESCRIPT.DLL  : 8.1.1.9      319867 Bytes  21.10.2008 16:01:37
AESCN.DLL    : 8.1.1.3      123252 Bytes  21.10.2008 16:01:36
AERDL.DLL    : 8.1.1.2      438644 Bytes  21.10.2008 16:01:35
AEPACK.DLL    : 8.1.2.4      369014 Bytes  21.10.2008 16:01:34
AEOFFICE.DLL  : 8.1.0.28      196987 Bytes  21.10.2008 16:01:33
AEHEUR.DLL    : 8.1.0.59    1438071 Bytes  21.10.2008 16:01:32
AEHELP.DLL    : 8.1.1.2      115062 Bytes  21.10.2008 16:01:29
AEGEN.DLL    : 8.1.0.41      319861 Bytes  21.10.2008 16:01:29
AEEMU.DLL    : 8.1.0.9      393588 Bytes  21.10.2008 16:01:28
AECORE.DLL    : 8.1.2.6      172406 Bytes  21.10.2008 16:01:27
AEBB.DLL      : 8.1.0.3        53618 Bytes  21.10.2008 16:01:26
AVWINLL.DLL  : 1.0.0.12      15105 Bytes  09.07.2008 08:40:02
AVPREF.DLL    : 8.0.2.0        38657 Bytes  16.05.2008 09:27:58
AVREP.DLL    : 8.0.0.2        98344 Bytes  21.10.2008 16:01:25
AVREG.DLL    : 8.0.0.1        33537 Bytes  09.05.2008 11:26:37
AVARKT.DLL    : 1.0.0.23      307457 Bytes  12.02.2008 08:29:19
AVEVTLOG.DLL  : 8.0.0.16      119041 Bytes  12.06.2008 12:27:46
SQLITE3.DLL  : 3.3.17.1      339968 Bytes  22.01.2008 17:28:02
SMTPLIB.DLL  : 1.2.0.23      28929 Bytes  12.06.2008 12:49:36
NETNT.DLL    : 8.0.0.1        7937 Bytes  25.01.2008 12:05:07
RCIMAGE.DLL  : 8.0.0.51    2371841 Bytes  12.06.2008 13:45:01
RCTEXT.DLL    : 8.0.52.0      86273 Bytes  27.06.2008 13:32:05

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:, F:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Dienstag, 21. Oktober 2008  19:34

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spkrmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '24' Prozesse mit '24' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD1
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD2
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'F:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '44' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
    [WARNUNG]  Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\'
D:\Daten\Images\PC-Spiele\Battlefield 2\Battlefield.2.Geforce.4.Fix-iND\tatniumd3d.exe
    [FUND]      Ist das Trojanische Pferd TR/Hijacker.Gen
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4972289e.qua' verschoben!
D:\System Volume Information\_restore{3D337A8F-B72E-4485-83E2-C777916E6A8B}\RP11\A0006392.exe
    [FUND]      Ist das Trojanische Pferd TR/Hijacker.Gen
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '492e2e4d.qua' verschoben!
Beginne mit der Suche in 'F:\'
F:\Spiele\Mount&Blade\V.960\mount&blade.exe
    [FUND]      Ist das Trojanische Pferd TR/Dldr.Bagle.ado
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49733566.qua' verschoben!
F:\Spiele\Mount&Blade\V952\mount&blade.exe
    [FUND]      Ist das Trojanische Pferd TR/Dldr.Bagle.ado
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49733602.qua' verschoben!
F:\System Volume Information\_restore{3D337A8F-B72E-4485-83E2-C777916E6A8B}\RP11\A0006393.exe
    [FUND]      Ist das Trojanische Pferd TR/Dldr.Bagle.ado
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '492e38ca.qua' verschoben!
F:\System Volume Information\_restore{3D337A8F-B72E-4485-83E2-C777916E6A8B}\RP11\A0006394.exe
    [FUND]      Ist das Trojanische Pferd TR/Dldr.Bagle.ado
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '492e38ce.qua' verschoben!
F:\zu sortieren\downloads alt2\STALKER.SOC.V1.0.ENG.HATRED.NOCD.ZIP
    [0] Archivtyp: ZIP
    --> XR_3DA.exe
      [FUND]      Ist das Trojanische Pferd TR/Agent.xbd
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '493f3a23.qua' verschoben!
F:\zu sortieren\zeug\Autodesk_3DS_MAX_v8.0_GERMAN-CYGNUS.rar
    [0] Archivtyp: RAR
    --> CYGNUS\max8keygen.exe
      [FUND]      Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/BCBM
    [HINWEIS]  Die Datei wurde gelöscht.


Ende des Suchlaufs: Dienstag, 21. Oktober 2008  22:34
Benötigte Zeit:  3:00:28 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  18480 Verzeichnisse wurden überprüft
 908645 Dateien wurden geprüft
      8 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      1 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      7 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      1 Dateien konnten nicht durchsucht werden
 908636 Dateien ohne Befall
  5407 Archive wurden durchsucht
      1 Warnungen
      8 Hinweise
HijackThis-Log:
Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:41:28, on 21.10.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\SoundMAX\spkrmon.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: spkrmon - Unknown owner - C:\Programme\Analog Devices\SoundMAX\spkrmon.exe

--
End of file - 2793 bytes
falls persönliche informationen oder links in einem der logs sind, tuts mir leid, hab aber drübergeschaut, sollt nix drin sein

Wie schlimm ist es?:confused:

Danke im Vorraus!


Alle Zeitangaben in WEZ +1. Es ist jetzt 19:19 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27