|
Bootsektor Virus "BOO/Sinowal.C" Hi, ich hab grade mit dem AntiVir Personal den Virus BOO/Sinowal.C gefunden, anscheinend ein Bootsektor-Virus... Der Scanner schlägt mir nun vor das Bootsektor-Reperaturtool von Avira runterzuladen, was ich auch getan habe, auf ne CD gebrannt habe und danach von dieser gebootet habe. Das Programm lief auch an und hat den Virus auch gefunden, allerdings macht es keine Anstalten daran etwas zu ändern... ich lande danach einfach wieder in der Eingabeaufforderung. Ich hab ein bisschen im Internet hinundher gesucht, aber wirklich viel hab ich zu dem Virus nicht gefunden... vielleicht könnt ihr mir ja helfen das Ding loszuwerden. ------------------ Hier der HijackThis Log: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 02:56:34, on 30.12.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16674) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\Explorer.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\oodag.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\NETGEAR\WG111 Configuration Utility\WG111CFG.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe C:\Programme\Outlook Express\msimn.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\system32\NOTEPAD.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.raginghordes.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [GBB36X Configure] C:\WINDOWS\system32\JMRaidTool.exe boot O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Smart Wizard Wireless Settings.lnk = ? O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1213121476160 O17 - HKLM\System\CCS\Services\Tcpip\..\{B4A0FFAE-93D6-401A-A127-CC0C30C408CB}: NameServer = 192.168.1.1 O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe -- End of file - 4246 bytes ----- In dem anderen Thread http://forum.avira.com/wbb/index.php?page=Thread&threadID=69566 wurde auch nach einem GMER Scan gefragt, hab diesen auch schonmal gemacht: GMER 1.0.14.14536 - http://www.gmer.net Rootkit scan 2008-12-30 02:55:48 Windows 5.1.2600 Service Pack 2 ---- System - GMER 1.0.14 ---- SSDT BAFB39E4 ZwCreateThread SSDT BAFB39D0 ZwOpenProcess SSDT BAFB39D5 ZwOpenThread SSDT BAFB39DF ZwTerminateProcess SSDT BAFB39DA ZwWriteVirtualMemory ---- Registry - GMER 1.0.14 ---- Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System@OODEFRAG10.00.00.01WORKSTATION 9465246BF90B25A946C6EC4BBE76198BB1D62B06C0088B7611B50EFC2BDB544C6E2A979AD889B3CD0E5786ADD03A7997EE4145FEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74C FEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CA6A0AC4980AC79339DB7CE019D40AA5CA6A0AC4980AC79338EDD5E5BE2F6E66794BD08BF697D4C45446D1DEA07933EBAD01E3A F6EBACF86D35AC5F15F55B29AAFB92CCFE6C55A3231DD72230F770E1DB211FC310F6B55F2F1CB621C89E7CB8627743B99A699A1E4606717B4BD6212069F242F11D012C3A5BF4DE3D59F642 3F00D67CE4EC6FBF09F15557EF924BD8FE70C1B6548BE3A56B68FC05AF6B2C429D04BFF0D8F322FB5FCDB42E37FB0C8EBAE0DAB071EB8CF98BADC90DEC4A0355694E2BD695D2B7C65465A0 1B7BA2E47EBF8FE36842F3FAC466EA42E05963CE98E9A7E5E50D51FDE04BA7EB495E49B62633B45018B37B47E57A3FA1ED50C77B6D9B380FDD2859514A6168BC6873D175C9686CEC7F2500 9702FA32F9A29E2D07F8B00F9E7E3F7A26CB60DE8C29C344AA6FEC37D7E2ED222B02D12CAC75866F04A40B9F5A0FA367046DCB2629434A4D70E37DF9838AD627D21118F972DD3F0B971D46 3F60D89777867DD83F3371763C79B48C7D38411C78729F9D4ED759EF227DD32CA821A851A45B0F708BA172AC0508B5426C0FD66EA18661E63D3BE8B97B0 ---- Disk sectors - GMER 1.0.14 ---- Disk \Device\Harddisk0\DR0 sector 61: malicious code @ sector 0x1749ddc1 size 0x1e4 ---- EOF - GMER 1.0.14 ---- Schätze die Zeile Disk \Device\Harddisk0\DR0 sector 61: malicious code @ sector 0x1749ddc1 size 0x1e4 zeigt recht deutlich, dass da irgendwas nicht stimmt, ich weiss nur leider nicht, was ich jetzt dagegen tun kann... ich habe was von nem fixmbr gelesen, der den Masterbootsektor neu schreibt und das Problem evtl beheben kann, allerdings hab ich auch gelesen, dass das manchmal problematisch sein kann und wenn es sich irgendwie vermeiden lässt würde ich ungern das Risiko eingehn mein C: Laufwerk zu verlieren :( So, ich hoffe ihr könnt mir helfen, danke schonmal im vorraus ! |
:hallo: Bitte das Service Pack 3 installieren Code: Platform: Windows XP SP2 (WinNT 5.01.2600)Versuche mal das Antiviren-Tool von Avast. Damit hab ich schon einige der Sorte fertigbekommen ^^ Dein HJT-Protokoll ist sauber :daumenhoc |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 16:14 Uhr. |
Copyright ©2000-2025, Trojaner-Board