Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: BOO/Sinowal.A

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 02.11.2008, 13:19   #1
dojoh
 
BOO/Sinowal.A - Standard

BOO/Sinowal.A



Moin Forum,

ich hab hier gerade ein etwas älteres Sony Notebook vor mir, dass laut Antivir mit dem BOO/Sinowal.A Virus im Masterbootsektor HD1 infiziert ist. Betriebsystem ist WinXP SP3.
Ich habe hier im Forum schon diverse Anleitungen gefunden und so weit es ging befolgt. Allerdings ohne Erfolg.
Praktisch waren dies: Widerherstellungskonsole und dann "fixmbr" bzw "fixboot c:". Beide schrein aufder Festplatte rum, allerdings ohne, dass der Virus danach weg ist.

Ausgeführt habe ich danach die mbr.exe von gmer.net (ein mbr.exe -f, dass teilweise vorgeschlagen wurde, liefert die selbe Ausgabe und löscht den Virus nicht)

Code:
ATTFilter
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK 
malicious code @ sector 0x4a8505a size 0x1ce !
copy of MBR has been found in sector 62 !
         

Sowie den GMER:

Code:
ATTFilter
GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2008-11-02 14:16:40
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.14 ----

SSDT            F8B1F2EC                  ZwCreateThread
SSDT            F8B1F2D8                  ZwOpenProcess
SSDT            F8B1F2DD                  ZwOpenThread
SSDT            F8B1F2E7                  ZwTerminateProcess
SSDT            F8B1F2E2                  ZwWriteVirtualMemory

---- Devices - GMER 1.0.14 ----

Device          \FileSystem\Ntfs \Ntfs    lfsfilt.sys (NDAS LFS Filter/XIMETA, Inc.)

AttachedDevice  \FileSystem\Ntfs \Ntfs    avgntmgr.sys (Avira AntiVir File Filter Driver Manager/Avira GmbH)
AttachedDevice  \FileSystem\Ntfs \Ntfs    lfsfilt.sys (NDAS LFS Filter/XIMETA, Inc.)
AttachedDevice  \FileSystem\Fastfat \Fat  avgntmgr.sys (Avira AntiVir File Filter Driver Manager/Avira GmbH)

---- Disk sectors - GMER 1.0.14 ----

Disk            \Device\Harddisk0\DR0     sector 61: malicious code @ sector 0x4a8505a size 0x1ce
Disk            \Device\Harddisk0\DR0     sector 62: copy of MBR

---- EOF - GMER 1.0.14 ----
         
Dementsprechend geh ich davon aus: Virus da, nur wie werd ich ihn los?

Wär euch echt dankbar über Hilfestellungen!

LG dojoh

Alt 02.11.2008, 20:18   #2
Silent sharK
 

BOO/Sinowal.A - Standard

BOO/Sinowal.A



Hallo,

wenn Avira Sinowal trotz fixmbr/fixboot und mbr.exe -f meldet, kann ich dir nur raten, dein System plattzumachen und Windows neu aufzuspielen.
Nicht normal, mach es am besten mit DBAN.
Dann kannst du sicher gehen, das Sinowal entfernt wurde.

mfg
__________________

__________________

Alt 02.11.2008, 22:02   #3
dojoh
 
BOO/Sinowal.A - Standard

BOO/Sinowal.A



Hi,

das könnte etwas problematisch sein, da das Laptop meinem Dad gehört und der darauf einige Programme hat, die er nicht so einfach wieder installiert bekommt.
Desweiteren habe ich bis jetzt mehrfach gelesen, dass auch eine komplette Neuinstallation (wenn auch ohne DBAN) nichts gebracht hat.
Dementsprechend: gibt es vielleicht doch noch irgendwelche Lösungsvorschläge? Wäre echt super hilfreich!

Vielen Dank schonmal für deine Antwort!

Grüße dojoh
__________________

Alt 02.11.2008, 22:05   #4
Silent sharK
 

BOO/Sinowal.A - Standard

BOO/Sinowal.A



Naja, wenn du die Zeit aufbringen willst, können wir noch etwas mehr im System graben.
Führe bitte folgende Tools aus:

1.)
Blacklight scannen lassen
  • Lade F-Secure Blacklight runter in einen eigenen Ordner, z.B. C:\programme\blacklight. Sollte der Download nicht klappen, dann probiere es mit diesem Link.
  • Starte in diesem Ordner blbeta.exe. Alle anderen Programme schließen.
  • Klick "I accept the agreement", "next", "Scan".
  • Wenn der Scan fertig ist beende Blacklight mit "Close".
  • Im Verzeichnis von Blacklight findest Du das erstellte Log fsbl-XXX.log, anstelle der XXX steht eine längere Folge von Ziffern.

2.)
ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)
__________________
mfg, Patrick


Technische Kompromittierung
=> Tatort Internet
Keine Windows-CD? Selbst brennen.


Alt 02.11.2008, 23:09   #5
dojoh
 
BOO/Sinowal.A - Standard

BOO/Sinowal.A



Hi,

hier erstmal den Log vom ersten:

Code:
ATTFilter
11/02/08 23:18:07 [Info]: BlackLight Engine 2.2.1092 initialized
11/02/08 23:18:07 [Info]: OS: 5.1 build 2600 (Service Pack 3)
11/02/08 23:18:08 [Note]: 7019 4
11/02/08 23:18:08 [Note]: 7005 0
11/02/08 23:18:15 [Note]: 7006 0
11/02/08 23:18:15 [Note]: 7011 1960
11/02/08 23:18:15 [Note]: 7035 0
11/02/08 23:18:15 [Note]: 7026 0
11/02/08 23:18:15 [Note]: 7026 0
11/02/08 23:18:19 [Note]: FSRAW library version 1.7.1024
         
Das Programm gibt dabei die Meldung aus, dass NICHTS gefunden wurde... etwas verwirrend. Hab gerade nochmal mit AntiVir überprüft: Ist aber weiterhin im MBR drin...


Das zweite Programm kann ich leider erst in einer Woche ausführen. Bin unter der Woche nicht hier und heut wirds mir zuviel sorry.

Hilft vielleicht das erste log schon ?


Vielen Dank!


Alt 02.11.2008, 23:11   #6
Silent sharK
 

BOO/Sinowal.A - Standard

BOO/Sinowal.A



Komisch, das BlackLight nichts findet.

Combofix ist nicht zwingend, es ist nicht dazu da, um Sinowal zu entfernen.
Kannst du bitte den Report von Avira posten?
__________________
--> BOO/Sinowal.A

Alt 03.11.2008, 13:48   #7
blow-in
 
BOO/Sinowal.A - Standard

BOO/Sinowal.A



Hallo zusammen
Ich würde ja sagen, dass der Sinowal nicht mehr aktiv ist und auch keinen Schaden mehr anstellen kann.
Zitat:
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x4a8505a size 0x1ce !
copy of MBR has been found in sector 62 !
der MBR wird als OK bezeichnet.
Deshalb findet auch Blackligth nichts mehr.
Da gibt es lediglich noch an irgend einer Stelle den Besagten Eintrag, sozusagen die Kopie in Sektor 62.
Dieser Sektor wird auch nicht durch ein Format beseitigt.

Alt 03.11.2008, 20:24   #8
Silent sharK
 

BOO/Sinowal.A - Standard

BOO/Sinowal.A



Das hab ich doch glatt wieder übersehen.

Danke Dir, blow-in
__________________
mfg, Patrick


Technische Kompromittierung
=> Tatort Internet
Keine Windows-CD? Selbst brennen.


Antwort

Themen zu BOO/Sinowal.A
antivir, avg, avira, avira antivir, boo/sinowal.a, code, diverse, driver, festplatte, forum, found, gen, harddisk, infiziert, liefert, löscht, mas, masterbootsektor, masterbootsektor hd1, mbr rootkit, mbr.exe, notebook, rootkit, scan, service, steal, stealth mbr rootkit, virus, winxp



Ähnliche Themen: BOO/Sinowal.A


  1. Wie entferne ich BDS/Sinowal.knfal oder generell Sinowal?
    Plagegeister aller Art und deren Bekämpfung - 31.12.2011 (17)
  2. Sinowal ?!
    Plagegeister aller Art und deren Bekämpfung - 27.10.2011 (28)
  3. BOO/Sinowal.A
    Plagegeister aller Art und deren Bekämpfung - 24.05.2011 (1)
  4. Exp/Sinowal.F ?
    Log-Analyse und Auswertung - 09.05.2011 (1)
  5. RKIT/MBR.Sinowal.J ...Boo/Sinowal.C ...W32/Stanit
    Plagegeister aller Art und deren Bekämpfung - 25.02.2011 (15)
  6. BOO/Sinowal.F
    Log-Analyse und Auswertung - 22.07.2010 (2)
  7. BOO/ Sinowal.D
    Plagegeister aller Art und deren Bekämpfung - 11.08.2009 (4)
  8. BOO/Sinowal.D
    Plagegeister aller Art und deren Bekämpfung - 02.08.2009 (18)
  9. BOO/Sinowal.A
    Plagegeister aller Art und deren Bekämpfung - 19.04.2009 (15)
  10. B00 / Sinowal.A
    Plagegeister aller Art und deren Bekämpfung - 17.03.2009 (4)
  11. B00 / Sinowal.A
    Log-Analyse und Auswertung - 05.03.2009 (0)
  12. BOO/Sinowal.A
    Plagegeister aller Art und deren Bekämpfung - 21.02.2009 (4)
  13. BOO/Sinowal.A
    Plagegeister aller Art und deren Bekämpfung - 20.02.2009 (1)
  14. BOO/Sinowal.A
    Plagegeister aller Art und deren Bekämpfung - 14.01.2009 (5)
  15. boo/sinowal.A
    Plagegeister aller Art und deren Bekämpfung - 17.11.2008 (21)
  16. BOO/Sinowal.A
    Plagegeister aller Art und deren Bekämpfung - 01.09.2008 (9)
  17. BOO/Sinowal.A
    Log-Analyse und Auswertung - 07.07.2008 (1)

Zum Thema BOO/Sinowal.A - Moin Forum, ich hab hier gerade ein etwas älteres Sony Notebook vor mir, dass laut Antivir mit dem BOO/Sinowal.A Virus im Masterbootsektor HD1 infiziert ist. Betriebsystem ist WinXP SP3. Ich - BOO/Sinowal.A...
Archiv
Du betrachtest: BOO/Sinowal.A auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.