Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: BOO/Sinowal.E

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 21.11.2009, 18:32   #1
codimal11
 
BOO/Sinowal.E - Standard

BOO/Sinowal.E



Hallo,

ich melde mich mit einem Problem, dass hier im Board schon bearbeitet wurde, aber leider komme ich trotzdem nicht weiter. Außerdem bin ich absoluter Laie.
Mein Avira hat den Bootsektorvirus BOO/Sinowal.E auf meiner Festplatte (alle 3 Partitionen C, D + E), meinem USB-Stick LW: H und selbst auf meinem Floppy LW A: (ohne Diskette) gefunden mit folgender Meldung

Masterbootsektor HD0
Enthält Code des Bootsektorvirus BOO/Sinowal.E

Dann schlägt Avira "Löschen" vor, das geht aber nicht er bringt stattdessen für alle Laufwerke(unten X genannt):

Bootsektor 'X:\'
Enthält Code des Bootsektorvirus BOO/Sinowal.E
Für die Reparatur des Bootsektors laden Sie bitte das 'AntiVir Bootsektor-Reparaturtool' herunter.

Das habe ich gemacht, aber es funktioniert nicht.

Wie hier mehrfach empfohlen wollte ich das System nun neu aufsetzen. Ich muß aber vorher noch einige Daten sichern und habe mir dazu eine externe Festplatte gekauft. Jetzt traue ich mich nicht sie anzustecken, weil ich befürchte, sie könnte (wie mein USB-Stick) auch infiziert werden.

Der Versuch meine Windows XP-Recovery CD zu starten funktioniert auch nicht. Mein REchner bootet nicht von dieser CD und auch nicht von einer geliehenen CD des gleichen Typs.

Habe mir im nächsten Schritt die Computerbild-Notfall-CD 2.0 geholt mit BS Linux (genaue Version konnte ich leider nicht herausfinden). Von dieser war das Booten kein Problem.

Jetzt meine 1. Frage - Wenn mein PC ausgeschaltet ist und ich meine Festplatte anschließe und dann mit dieser Notfall-CD boote, besteht die Gefahr, dass ich die Festplatte infiziere? Mit dem auf der Notfall-CD enthaltenem Programm zum Sichern der Daten, könnte ich wenigstens meine Fotos und andere wichtige Dateien retten.

Meine 2. Frage ist, wie kann ich mein System neu Aufsetzen, wenn es nicht von meiner Recovery-CD bootet?

Habe mein System mit Kaspersky (auf Notfall-CD enthalten) gescannt, der findet keine Viren. Aber Sinowal ist definitiv noch da, siehe mbr.log

Habe die 3 Programme CC-Cleaner, Antimalware and RSIT.exe abgearbeitet, bei CC-Cleaner beim Reinigen der Registry habe ich folgenden Fehler gefunden, der sich nicht beheben lies (auch kein manuelles Löschen im RegEdit war möglich)

Datei: 80b8c23c-16e0-4cd8-bbc3-cecec9a78b79
Die Dateiendung verweist auf eine ungültige Programmerkennung. Diese Verweise bleiben oft nach Deinstallationen übrig.

Lösung: Registrierungswert löschen -> das ging aber wie schon gesagt nicht

Hier meine MBR.log

GMER

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\ACPI -> 0x82a0be40
NDIS: 3Com EtherLink XL 10/100 PCI für vollständige PC-Verwaltung-NIC -> SendCompleteHandler -> 0x82a48800
Warning: possible MBR rootkit infection !
user & kernel MBR OK
copy of MBR has been found in sector 0x0950E4C1
malicious code @ sector 0x0950E4C4 !
PE file found in sector at 0x0950E4DA !
Use "Recovery Console" command "fixmbr" to clear infection !

Ich hoffe, ich habe alle notwendigen Informationen zusammen getragen.

Vielen Dank im Voraus für Hilfe!

codimal
Angehängte Dateien
Dateityp: txt info.txt (30,8 KB, 345x aufgerufen)
Dateityp: txt log.txt (25,5 KB, 282x aufgerufen)
Dateityp: txt mbam-log-2009-11-21 (08-10-38).txt (1,8 KB, 231x aufgerufen)

Alt 22.11.2009, 13:42   #2
codimal11
 
BOO/Sinowal.E - Standard

BOO/Sinowal.E



Hallo,

überraschenderweise scheint mein Virus weg zu sein. Avira findet bei der Prüfung des Boot-Sektors nichts mehr. Lasse den Scanner jetzt noch mal über das ganze System laufen (das dauert aber mehrere Stunden). Kann mir das nur damit erklären, dass ich gestern nach Einstellen des Beitrages noch mal die Datei mbr.bat ausgeführt habe.
Habe danach aber keinen Neustart des Systems durchgeführt.


meine neue mbr.log

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, GMER - Rootkit Detector and Remover

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x0950E4C1
malicious code @ sector 0x0950E4C4 !
PE file found in sector at 0x0950E4DA !

Könnte mir jemand sagen, ob das ok ist? Dann könnte ich wenigstens erst mal meine Daten sichern.

Trotzdem bootet mein System immer noch nicht von der Recovery CD. Aber das scheint dann wohl nicht mit dem Virus zusammen zu hängen und gehört damit auch in ein anderes Forum.

Über eine kurze Meldung wäre ich echt dankbar.

Viele Grüße codimal11
__________________


Alt 23.11.2009, 08:15   #3
undoreal
/// AVZ-Toolkit Guru
 
BOO/Sinowal.E - Standard

BOO/Sinowal.E



Halli hallo.

Du hast dich höchst wahrscheinlich mit einem ganz neuen rootkit infiziert.

Es gibt da ein Tool welches ich gerne testen möchte. Das sollte eigentlich helfen:
Es erscheint ein Fenster welches dich über den scan Prozess informiert.
Sollte das Tool anhalten und du nicht genau weisst was du tun sollst dann mache bitte einen Screenshot und hänge den an deinen nächsten Post an.
Wir posten dir dann was du eingeben musst damit das Tool den schädlichen Treiber reparieren kann.

Nachdem der scan abgeschlossen ist sollte sich eine eport.txt Datei auf deinen Desktop finden. Diese hänge bitte an deinen nächsten Post an!
__________________
__________________

Alt 23.11.2009, 17:29   #4
codimal11
 
BOO/Sinowal.E - Standard

BOO/Sinowal.E



Hallo,

beim ersten Link hat es mir die Datei TDSSKiller.rar herunter geladen (nicht .exe).
Habe alles wie beschrieben gemacht, aber nachdem ich die TDSSKiller.bat gestarte habe, erscheint das Fenster nur für einen Bruchteil einer Sekunde. Es wird kein Scan durchgeführt und es erscheint auch keine report.txt Datei.
Liegt das vielleicht an der rar-Datei. Ich bin jetzt etwas ratlos.

codimal11

Alt 23.11.2009, 17:39   #5
undoreal
/// AVZ-Toolkit Guru
 
BOO/Sinowal.E - Standard

BOO/Sinowal.E



Ja, sry. Du musst die .rar Datei auf dem Desktop entpacken. Danach erst die .bat Datei ausführen.

__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 23.11.2009, 18:21   #6
codimal11
 
BOO/Sinowal.E - Standard

BOO/Sinowal.E



Entschuldige, ich kenne das rar-Format gar nicht. Habe es aber trotzdem geschafft. Im Anhang sind die report.txt und auch ein Screenshot. Hoffe es ist ok, wenn es ein jpg-file ist.
Miniaturansicht angehängter Grafiken
BOO/Sinowal.E-screensh.jpg  

Geändert von codimal11 (23.11.2009 um 19:21 Uhr)

Alt 24.11.2009, 03:18   #7
Maniaxx
 
BOO/Sinowal.E - Standard

BOO/Sinowal.E



Sinowal ist ein sehr gefährlicher Virus. Er manipuliert u.a. Bankseiten im Browser (Phishing), um an dein Geld zu kommen.

Eine Windows Neuinstallation ist u.U. nicht mal ausreichend. Der Virus setzt sich in den MBR, arbeitet sich die Bootkette nach oben und injiziert einen Treiber, den er im unpartitionierten Bereich der Festplatte abgelegt hat. Ich würde auf jeden Fall den MBR neu schreiben lassen mit der XP CD. Danach nochmal mit GMER testen.

Die Recovery Konsole ist recht klein (4MB). Ich lasse dir was per PN zukommen.

Was du genau machen musst, kannst du hier in dem Video sehen. Wenn du einen Player brauchst, nimm VLC. Edit: Wenn er deine Festplatte nicht erkennt, sag Bescheid. Dann muss noch ein SATA Treiber eingebaut werden.

Die genaue Abfolge lautet wie folgt:
- 'R' (für Wiederherstellungskonsole)
- '1' (Windows Installationsauswahl)
- Administratorpasswort (<enter> = kein Passwort)
- 'map' (optional - zur Auflistung der Platten)
- 'fixmbr \Device\Harddisk0' (Standardplatte)
- 'j' (bestätigen)
- 'exit'

Dann normal Windows booten und mit GMER nochmals prüfen, ob sich was getan hat.

Viel Glück!

Geändert von Maniaxx (24.11.2009 um 03:55 Uhr)

Alt 24.11.2009, 15:24   #8
undoreal
/// AVZ-Toolkit Guru
 
BOO/Sinowal.E - Standard

BOO/Sinowal.E



Schade, das TDSSKiller Tool scheint nicht auf der Höhe zu sein. Hatte mir ein besseres Ergebniss erhofft.

Macht aber nichts. den bekommen wir auch so klein. Ich möchte aber ehrlich gesagt ein zwei Sachen ausprobieren. Damit kann dann nach die folgenden Usern besser geholfen werden.

Lade und brenne dir die DrWeb Live CD nach folgender Anleitung:

http://www.freedrweb.com/livecd/how_it_works/

Zu Punkt 7 der Anleitung:
Wähle bitte alle Festplatten und alle Laufwerke aus die angegeben werden sodass dein ganzer Computer durchsucht wird.

Wenn der Scan beendet ist mache bitte erstmal garnichts!

Speichere bitte unbedingt den Bericht ab:


Am besten auf einen USB Stick oder so.

Nachdem du das getan hast fragst du uns was getan werden muss.
Lasse den Rechner einfach so mit dem geöffneten Ergebniss Fenster stehen bis du von uns Rückmeldung bekommst.

Auf der LiveCD ist FireFox mit enthalten. Du solltest also in der Lage sein, ohne den Rechner neustarten zu müssen uns den Bericht zu posten.
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 24.11.2009, 21:41   #9
codimal11
 
BOO/Sinowal.E - Standard

BOO/Sinowal.E



Hallo Undoreal,

bin echt verzweifelt, weil ich das mit der CD nicht hinbekomme. Habe schon mehrfach versucht zu brennen, aber irgendwas passt da nicht (oder besser, ich mache das was falsch). Werde morgen mal einen Arbeitskollegen fragen, ob er mir mit dem Brennen helfen kann und hoffe, ich kann morgen Abend die CD starten.

Würdest du mir abraten meine Festplatte zur Datensicherung an den Rechner zu hängen solange das Problem noch nicht gelöst ist? Oder kann ich vielleicht schon was "retten"?

Vielen Dank für deine Hilfe!

Alt 24.11.2009, 22:16   #10
Maniaxx
 
BOO/Sinowal.E - Standard

BOO/Sinowal.E



Noch nichts sichern. Zumindest nicht aus dem verseuchten Windows heraus. Du könntest es verschleppen.

Das Rootkit muss erst weg. Es manipuliert viele Windows Funktionen und APIs. GMER/MBR scheint davon nicht betroffen zu sein. Du kannst deinem System derzeit nicht trauen, es wird dir quasi Theater vorgespielt. Die Integrität der Programme innerhalb Windows ist nicht mehr sichergestellt. Sinowal gehört zur Königsklasse der Viren, es ist ein technisches Meisterwerk. Erneuere den MBR und mache dann mit den Boot-CDs weiter, um deinen ganzen Rechner zu scannen. Vielleicht kann die DrWeb BootCD auch den MBR Bootblock reparieren, so dass du dir die Windows Recoverykonsole sparen kannst, musst du selbst ausprobieren. GMER ist zumindest schon mal ein scheinbar sicherer Indikator für den MBR Teil des Virus.

Mit GMER sollte es zum Schluss wieder so aussehen:
Zitat:
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
Vielleicht solltest du auch mal über ein Upgrade (nach Windows7) nachdenken, jetzt, wo du eh alles neu machst (willst du doch, oder nicht?). Ab Vista wurde die Sicherheit der Bootkette von Windows deutlich verhärtet, so dass Viren weniger Chancen haben, dort Fuß zu fassen. Sinowal zum Beispiel funktioniert mit Vista/Windows7 nicht mehr.

Alt 24.11.2009, 23:34   #11
undoreal
/// AVZ-Toolkit Guru
 
BOO/Sinowal.E - Standard

BOO/Sinowal.E



@ codi:

Deine Daten kannst du ohne Probleme sichern. Sollstest du auch tun. Das mit dem Brennen ist nicht so sehr. Frag deinen Kollegen der wird dir sicher helfen können.
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 25.11.2009, 00:17   #12
Maniaxx
 
BOO/Sinowal.E - Standard

BOO/Sinowal.E



Zitat:
Zitat von codimal11 Beitrag anzeigen
Ich muß aber vorher noch einige Daten sichern und habe mir dazu eine externe Festplatte gekauft. Jetzt traue ich mich nicht sie anzustecken, weil ich befürchte, sie könnte (wie mein USB-Stick) auch infiziert werden.
Genau das wird eintreffen. Es befindet sich ein undefinierter Mix an Viren auf dem Rechner, der nicht abzuschätzen ist. Erst extern scannen und versuchen alles zu säubern. Wird der Virus mitgesichert und später nicht aus Windows heraus erkannt, fängt das Spiel von vorne an.

Auch wenn nur reine Nutzdaten wie jpg, mp3 usw gesichert werden, schließt das nicht aus, dass der Virus z.B. Autorun.inf/Recycler Methoden anwendet/einschleust, die Normalsterbliche nicht kontrollieren können. Es gibt ausreichend Tricks und Verfahren, die den Vorgang zu einem unnötigen Risiko werden lassen.

Alt 27.11.2009, 16:36   #13
codimal11
 
BOO/Sinowal.E - Standard

BOO/Sinowal.E



Hallo Undoreal,

habe das mit der Dr. Web Live CD ausprobiert. Leider war die Version, die ich mir über deinen Link heruntergeladen habe in Russisch, also habe ich mich im Netz auf die Suche gemacht und noch eine englische Version gefunden. Habe mir eine CD gebrannt und losgelegt. Der Scanner hat seit gestern Abend gesucht und als ich vorhin von der Arbeit kam, war der Scannprozess beendet, aber nirgendwo eine Berichtsdatei, die ich hätte abspeichern können. Bei mir sieht die Benutzeroberfläche des Scanners auch ein wenig anders aus. Hast du noch eine Idee?
Jedenfalls hatte der Scanner, als ich das letzte Mal draugeschaut habe, einen Trojaner und ein anderes verdächtiges Programm gefunden (Namen habe ich leider nicht notiert und wenn ich jetzt noch mal anfange dauert das ja wieder fast 24h).

Alt 27.11.2009, 18:39   #14
undoreal
/// AVZ-Toolkit Guru
 
BOO/Sinowal.E - Standard

BOO/Sinowal.E



Eigentlich müsste es schon möglich sein den Bericht abzuspeichern. :| Ohne den ist alles weitere nämlich irgenwie witzlos.
Im Zweifelsfall musst du den abschreiben.
Im übrigen würde ich den Computer dann so stehen lassen und uns von einen anderen PC aus schreiben was gefunden wurde oder den auf der LiveCD integirerten FireFox nutzen um uns zu schreiben.
Dann können wir dir nämlich gleich sagen was du tun sollst. Ansonsten musst du ja nachdem wir dir gesagt haben was zu tun ist nochmal scannen.
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 07.12.2009, 19:04   #15
codimal11
 
BOO/Sinowal.E - Standard

BOO/Sinowal.E



Es is kaum zu galuben, aber ich habe es nicht geschafft einen Bericht zu bekommen. Aber ich habe zwischendurch auch noch mal die XP-CD eingelegt und welch eine Überraschung - das Booten hat funktioniert. Also habe ich alle Daten mit meiner Linux Live CD auf meine Festplatte gesichert und sofort das System neue aufgesetzt. Jetzt ist wieder alles im grünen Bereich und ich hoffe das bleibt so. Vielen Dank noch mal für die Hilfe, so habe ich einiges dazugelernt.

codimal11

Antwort

Themen zu BOO/Sinowal.E
antivir, avira, booten, bootsektorvirus, dateien, daten sichern, externe festplatte, fehler, festplatte, file, frage, gmer, infiziert, kaspersky, laufwerke, löschen, neu, problem, programm, programme, rechner bootet nicht, regedit, registry, starten, system, system neu, system neu aufsetzen, verweise, windows, xp-recovery



Ähnliche Themen: BOO/Sinowal.E


  1. Wie entferne ich BDS/Sinowal.knfal oder generell Sinowal?
    Plagegeister aller Art und deren Bekämpfung - 31.12.2011 (17)
  2. Sinowal ?!
    Plagegeister aller Art und deren Bekämpfung - 27.10.2011 (28)
  3. BOO/Sinowal.A
    Plagegeister aller Art und deren Bekämpfung - 24.05.2011 (1)
  4. Exp/Sinowal.F ?
    Log-Analyse und Auswertung - 09.05.2011 (1)
  5. RKIT/MBR.Sinowal.J ...Boo/Sinowal.C ...W32/Stanit
    Plagegeister aller Art und deren Bekämpfung - 25.02.2011 (15)
  6. BOO/Sinowal.F
    Log-Analyse und Auswertung - 22.07.2010 (2)
  7. BOO/ Sinowal.D
    Plagegeister aller Art und deren Bekämpfung - 11.08.2009 (4)
  8. BOO/Sinowal.D
    Plagegeister aller Art und deren Bekämpfung - 02.08.2009 (18)
  9. BOO/Sinowal.A
    Plagegeister aller Art und deren Bekämpfung - 19.04.2009 (15)
  10. B00 / Sinowal.A
    Plagegeister aller Art und deren Bekämpfung - 17.03.2009 (4)
  11. B00 / Sinowal.A
    Log-Analyse und Auswertung - 05.03.2009 (0)
  12. BOO/Sinowal.A
    Plagegeister aller Art und deren Bekämpfung - 21.02.2009 (4)
  13. BOO/Sinowal.A
    Plagegeister aller Art und deren Bekämpfung - 20.02.2009 (1)
  14. BOO/Sinowal.A
    Plagegeister aller Art und deren Bekämpfung - 14.01.2009 (5)
  15. boo/sinowal.A
    Plagegeister aller Art und deren Bekämpfung - 17.11.2008 (21)
  16. BOO/Sinowal.A
    Plagegeister aller Art und deren Bekämpfung - 03.11.2008 (7)
  17. BOO/Sinowal.A
    Plagegeister aller Art und deren Bekämpfung - 01.09.2008 (9)

Zum Thema BOO/Sinowal.E - Hallo, ich melde mich mit einem Problem, dass hier im Board schon bearbeitet wurde, aber leider komme ich trotzdem nicht weiter. Außerdem bin ich absoluter Laie. Mein Avira hat den - BOO/Sinowal.E...
Archiv
Du betrachtest: BOO/Sinowal.E auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.