Backdoor.Win32.Sinowal.a

Hallo zusammen,

ich melde mich mal wieder, da ich soeben meine Berichte von Kaspersky durch geschaut habe und etwas entdeckt habe.
Leider hat mich kaspersky nicht darüber informiert.

Am 8.4.08
gefunden: Trojanisches Programm Backdoor.Win32.Sinowal.a
Am 8.4.08
Es wurden schädliche Objekte gefunden. Die sofortige desinfizierung wird empfohlen.
Am 8.4.08
Laufwerkssektor\Device\Harddisk1\DR2 wurde nicht desinfiziert: Benutzer hat Bearbeitung aufgeschoben

Was hat es denn damit auf sich? Ich habe meinen PC mehrmals gescant und bis heute keine Meldung erhalten über einen Fund.
Eine Logfile ist im Anhang.
Kann ich dem Kaspersky denn vertrauen?
Gruß

 

da hast du wohl was weggeklickt

war mal jem.anderer an deinem Rechner??

edit:
das Log scheint sauber zu sein..

Hast du mittels Kasper den Hundskerl desinfiziert?

klick in den unteren Bereich und befolge mal die Anleitung

edit2
du nutzt ein veraltetes HJT--- bitte die neue Version und ein erneutes Log

 

ausführen:
http://www.microsoft.com/germany/sicherheit/tools/malwareremove.mspx

lesen:
http://www.microsoft.com/security/encyclopedia/details.aspx?name=Win32/Sinowal

 

Wenn Kaspersky nicht die Sau rausgelassen hat, als etwas gefunden wurde, ist die Ereignisbenachrichtigung verstellt. Standardmäßig hört man ein Schwein und sieht eine rote Box bei kritischen und eine gelbe bei verdächtigen Vorgängen.

Hast du oder ein Tool den IE eingeschränkt?

Code:

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

Guck mal in den Internetoptionen. Eventuell ist ein Proxy eingerichtet. Damit kann man eine Hintertür tarnen. Der Datenverkehr läuft dann über einen Proxyserver, der dann alles mitlesen und auf Phishing- und verseuchte Seiten umleiten kann.

 

So ich habe mal eine neue Logfile gemacht mit dem Aktuellen HiJackThis.
Das Windows Tool zum entfernen Bösartiger Software hat nichts gefunden.
Das Kaspersky eine Meldung macht weiss ich. Als ich meine Daten die ich auf DVD gesichert hatte überprüfte, hatte es sich gemeldet und automatisch desinfiziert. Da handelte es sich allerdings um eine andere schädliche datei. Irgendwas mit "eldorado" oder so.
In diesem Fall jedoch nicht.
In den Internetoptionen habe ich auch nichts entdeckt.

Habe noch einige Online scans gemacht und auch dort wurde nicht gefunden. o.O
Wenn ich doch aber laut KAspersky das Desinfizieren aufgeschoben habe, müsste mein Rechner doch Infiziert sein...?

 

Hat das hier zufällig etwas zu bedeuten? (siehe Anhang)

 

Hast du mit Hijackthis gescannt, während das MRT-Tool von MS gelaufen ist?
Da sind noch zwei Einträge von dem Tool. Die sollten weg sein, nachdem der PC neu gestartet wurde.

Code:

C:\Dokumente und Einstellungen\König\Lokale Einstellungen\Temporary Internet Files\Content.IE5\NK6C74BL\Windows-KB890830-V1.40[1].exe
c:\bf3be7bdf011cd42993e6238f031023d\mrtstub.exe

Eintrag kannst du mit dem LSP-FIx aus -humis- Signatur reparieren.

Code:

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

nwprovau.dll bei www.virustotal.com/de untersuchen lassen.

Das Gerümpel ist noch von BitDefender Online Scanner übrig geblieben:

Code:

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe (file missing)

 

Eintrag kannst du mit dem LSP-FIx aus -humis- Signatur reparieren...

finde sie nicht ^^

 

http://www.winsockfix.nl/

 

Spybot S&D hat das hier fest gestellt:

HKEY_USERS\S-1-5-21-583907252-1547161642-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoTrayItemsDisplay

Wert ist auf "0" gesetzt worden. Was ist NoTrayItemsDisplay?
Infobereich wird ausgeblendet...aber welcher?

MfG

 

Die Tray-Icons (Tray Items) in der Taskleiste im Infobereich können ein- oder ausgeblendet werden.
http://www.wintotal.de/Tipps/Eintrag.php?TID=1032

 

Wie schaut die Logfile denn jetzt aus?

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

Ist sauber laut Virustotal und Jotti.
Wäre es denn möglich, das der Trojaner auf einer meiner CD´s war und es aber nicht geschafft hat, auf mein System zu kommen?

MfG

 

Ist soweit in Ordnung, bis auf Unknown file in Winsock LSP.
Mich würde es beunruhigen, wenn ich nicht wüsste, welches Programm sich über Winsock ins TCP/IP-Protokoll einklinkt. Das kann ein DSL-Manager oder anderes Netzwerktool sein oder Schädlinge, die nach Hause telefonieren.
Ich habe mir nochmal das erste Log an geguckt. Da waren aber keine Hinweise auf Schädlinge. Auch keine verräterischen O2-Einträge mit (file missing). Sicher kann man sich nicht sein, dass doch noch etwas da ist. Ein misstrauischer Mensch hätte jetzt ein Image von c: wiederhergestellt.

 

Unknown file in Winsock LSP

Ist also kein Bestandteil von Windows?
Ich habe die Datei mal testen lassen und sie ist sauber.

 

Das ist eine Windows-Datei. Ich habe sie auch.

Code:

Client Service für NetWare-Dienstanbieter und DLL zur Authentifizierung

Ein Programm benutzt, sie, um darüber auf das Netzwerk zuzugreifen.

 

Ohhh man,

ich habe soeben wieder die Meldung bekommen über einen Trojaner.

Aller dings diesmal nicht in DR1 sonder ind DR2.

desinfiziert: trojanisches Programm Backdoor.Win32.Sinowal.a Laufwerkssektor: \Device\Harddisk1\DR1

Was ist das denn? Habe es desinfiziert aber ich weiss nicht was der Pfad bedeutet.