Huhu zusammen,

ich habe mir seit letzter Woche diesen Schädling im Bootsystem eingefangen und bekomme ihn einfach nicht weg. Ich habe mir hier schon die Themen dazu angesehen, aber das hat mein Problem nicht gelöst

Betriebssystem ist Windows Xp Home Edition

MBR Log:

Stealth MBR rootkit detector 0.2.4 by Gmer, h**p://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x3efbd4f size 0x1ca !

GMER 1.0.14.14536 - h**p://www.gmer.net
Rootkit scan 2009-01-05 08:54:32
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.14 ----

SSDT F7B940D4 ZwCreateThread
SSDT F7B940C0 ZwOpenProcess
SSDT F7B940C5 ZwOpenThread
SSDT F7B940CF ZwTerminateProcess
SSDT F7B940CA ZwWriteVirtualMemory

---- Kernel code sections - GMER 1.0.14 ----

? C:\DOKUME~1\**\LOKALE~1\Temp\mbr.sys Das System kann die angegebene Datei nicht finden. !

---- Disk sectors - GMER 1.0.14 ----

Disk \Device\Harddisk0\DR0 sector 61: malicious code @ sector 0x3efbd4f size 0x1ca

---- EOF - GMER 1.0.14 ----


Die Meldung bei Anitvir ist folgende:

Achtung Fund:

Masterbootsektor HD 1

Enthält Code des Bootsektorvirus BOO/Sinowal.A
Für die Reperatur des Bootsektors laden Sie sich bitte das 'Antivir Bootsektor Reparaturtool' herunter. Das Prgramm finden sie hier.

Gesagt getan, aber der Scant auch nur die Laufwerke und findet nichts.

Der Pc lässt sich normal hochfahren, man kann einige Zeit lang an ihm spielen / arbeiten und dann hat er ein totalen absturz, wo überhaupt nichts mehr geht. Wenn man dann Reset drückt, kommt er nicht zum Bildschirm "Windows wird gestartet".

Ab und an fehlt auch das DVD Laufwerk, wenn er startet.

Vielen Dank für die kommenden Antworten.

Liebe Grüße

Zitat:

Zitat von DarkFalz

Antivir meldet:

Achtung Fund:

Masterbootsektor HD 1

Enthält Code des Bootsektorvirus BOO/Sinowal.A
Für die Reperatur des Bootsektors laden Sie sich bitte das 'Antivir Bootsektor Reparaturtool' herunter. Das Prgramm finden sie hier.

Etwas falsch erzählt, der erstellt mit dem Programm eine Boot CD, wo er ein paar Datein raufgemacht hat. Mit der soll ich dann booten. Aber würde ich den PC dann dadurch nicht irgendwie total abschießen, so das ich gar nicht mehr neu aufspielen kann?

Habe das mal mit der Boot CD gemacht.

Startet alles, wählst dann die Sprache Deutsch oder Englisch.

Dann scannt er, meldet das sich im Masterbootserver BOO/Sinowal.A befindet und kommt dann mit der Meldung, dass der Bootsektor nicht gefunden werden kann.

Dann kommt das Endresultat Funde: 1 Warnungen: 1 etc. aber repariert oder entfernt hat er nichts.

Meine Vermutung ist jetzt, da ich Laufwerk C schon einmal komplett gesäubert habe, dass der Virus sich auf Laufwerk D befindet.

Gibts da irgendeine möglichkeit, dass man von Laufwerk D Bootet? Oder kann man die Festplatte nur noch in die Tonne tretten und sie eine neue kaufen?

Danke für die Antworten.

Keine Panic!!
BOO/Sinowal.A wird wie folgt vom MBR der Festplatte x entfernt:

- mit Win-Inst-CD die Reparaturkonsole starten
- dann fixmbr \device\harddiskX eingeben
- WICHTIG: X steht für die Nummer des Ports vom Controller, an dem sich die Festplatte befindet (0...3 - je nach Controller)
-Im schlimmsten Fall steht (wenn man alle Nummern durchprobiert) in allen MBR der Original-Windows-Bootcode

Hallo,

ich dachte Sinwoal wäre ein Passwort scanner... Oder kann der auch verantwortlich sein für Systemabstürze?

Ist der Virus dazu in der Lage sich eigenständig zu verbreiten?

Gruß