Hi

Mein Alter Pc ist kaputt und ich habe für die Festplatte eine gehäuse gekauft und nutze diese als Externe Festplatte.

Als ich die platte zum ersten mal auf Viren gecheckt habe hat Antivir Personal den BOO/Sinowal.A gefunden und konnte ihn nicht löschen.

Ich weiss leider nicht wie ich HijackThis ein bericht von ner externen festplatte machen kann ich habe aber den log von antivir.

Ich habe noch eine frage.
kann ich vlt die Daten auf eine andere festplatte kopieren, dann die Festplatte formatieren, und die daten wieder zurück kopieren?

Ist dass möglich oder wird der virus mit verschoben?

-------------------------------------

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Dienstag, 22. Dezember 2009 21:22

Es wird nach 1465498 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus

Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet


Versionsinformationen:
BUILD.DAT : 9.0.0.418 21723 Bytes 02.12.2009 16:23:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 20.11.2009 09:22:39
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 12:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 11:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 10:41:59
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 09:22:39
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 09:22:39
VBASE002.VDF : 7.10.1.1 2048 Bytes 19.11.2009 09:22:39
VBASE003.VDF : 7.10.1.2 2048 Bytes 19.11.2009 09:22:39
VBASE004.VDF : 7.10.1.3 2048 Bytes 19.11.2009 09:22:39
VBASE005.VDF : 7.10.1.4 2048 Bytes 19.11.2009 09:22:39
VBASE006.VDF : 7.10.1.5 2048 Bytes 19.11.2009 09:22:39
VBASE007.VDF : 7.10.1.6 2048 Bytes 19.11.2009 09:22:39
VBASE008.VDF : 7.10.1.7 2048 Bytes 19.11.2009 09:22:39
VBASE009.VDF : 7.10.1.8 2048 Bytes 19.11.2009 09:22:39
VBASE010.VDF : 7.10.1.9 2048 Bytes 19.11.2009 09:22:39
VBASE011.VDF : 7.10.1.10 2048 Bytes 19.11.2009 09:22:39
VBASE012.VDF : 7.10.1.11 2048 Bytes 19.11.2009 09:22:39
VBASE013.VDF : 7.10.1.79 209920 Bytes 25.11.2009 15:52:49
VBASE014.VDF : 7.10.1.128 197632 Bytes 30.11.2009 08:36:20
VBASE015.VDF : 7.10.1.178 195584 Bytes 07.12.2009 15:12:38
VBASE016.VDF : 7.10.1.224 183296 Bytes 14.12.2009 11:02:08
VBASE017.VDF : 7.10.1.247 182272 Bytes 15.12.2009 12:03:25
VBASE018.VDF : 7.10.2.30 198144 Bytes 21.12.2009 20:12:09
VBASE019.VDF : 7.10.2.31 2048 Bytes 21.12.2009 20:12:09
VBASE020.VDF : 7.10.2.32 2048 Bytes 21.12.2009 20:12:10
VBASE021.VDF : 7.10.2.33 2048 Bytes 21.12.2009 20:12:10
VBASE022.VDF : 7.10.2.34 2048 Bytes 21.12.2009 20:12:11
VBASE023.VDF : 7.10.2.35 2048 Bytes 21.12.2009 20:12:11
VBASE024.VDF : 7.10.2.36 2048 Bytes 21.12.2009 20:12:12
VBASE025.VDF : 7.10.2.37 2048 Bytes 21.12.2009 20:12:12
VBASE026.VDF : 7.10.2.38 2048 Bytes 21.12.2009 20:12:12
VBASE027.VDF : 7.10.2.39 2048 Bytes 21.12.2009 20:12:12
VBASE028.VDF : 7.10.2.40 2048 Bytes 21.12.2009 20:12:12
VBASE029.VDF : 7.10.2.41 2048 Bytes 21.12.2009 20:12:12
VBASE030.VDF : 7.10.2.42 2048 Bytes 21.12.2009 20:12:13
VBASE031.VDF : 7.10.2.52 79872 Bytes 22.12.2009 20:21:52
Engineversion : 8.2.1.122
AEVDF.DLL : 8.1.1.2 106867 Bytes 07.11.2009 17:55:40
AESCRIPT.DLL : 8.1.3.4 586105 Bytes 21.12.2009 20:12:54
AESCN.DLL : 8.1.3.0 127348 Bytes 10.12.2009 16:31:16
AESBX.DLL : 8.1.1.1 246132 Bytes 20.11.2009 09:22:39
AERDL.DLL : 8.1.3.4 479605 Bytes 02.12.2009 08:36:26
AEPACK.DLL : 8.2.0.3 422261 Bytes 07.11.2009 17:55:22
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 23.07.2009 09:59:39
AEHEUR.DLL : 8.1.0.189 2195833 Bytes 21.12.2009 20:12:44
AEHELP.DLL : 8.1.9.0 237943 Bytes 17.12.2009 12:47:00
AEGEN.DLL : 8.1.1.82 369014 Bytes 21.12.2009 20:12:19
AEEMU.DLL : 8.1.1.0 393587 Bytes 07.11.2009 17:54:15
AECORE.DLL : 8.1.9.1 180598 Bytes 10.12.2009 16:31:15
AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 14:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 08:47:56
AVPREF.DLL : 9.0.3.0 44289 Bytes 07.11.2009 17:55:42
AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 14:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 15:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 15:05:37
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 10:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 15:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 08:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 15:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 15:35:17
RCTEXT.DLL : 9.0.73.0 87297 Bytes 20.11.2009 09:22:38

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Manuelle Auswahl
Konfigurationsdatei...................: C:\...\Anwendungsdaten\Avira\AntiVir Desktop\PROFILES\folder.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: G:, H:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Intelligente Dateiauswahl
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Dienstag, 22. Dezember 2009 21:22

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msiexec.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TUProgSt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sfus.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Brmfrmps.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MemOptimizer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'reader_sl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SFAgent.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FireWall.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'brss01a.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'brsvc01a.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '40' Prozesse mit '40' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD2
[FUND] Enthält Code des Bootsektorvirus BOO/Sinowal.A
[WARNUNG] Der Bootsektor kann nicht repariert werden. Weitere Informationen zu diesem Thema finden Sie in der Hilfe.

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'G:\'
[FUND] Enthält Code des Bootsektorvirus BOO/Sinowal.A
[HINWEIS] Der Sektor wurde nicht neu geschrieben!
Bootsektor 'H:\'
[FUND] Enthält Code des Bootsektorvirus BOO/Sinowal.A
[HINWEIS] Der Sektor wurde nicht neu geschrieben!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:

Die Registry wurde durchsucht ( '46' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'G:\' <Programme_320GB>
Beginne mit der Suche in 'H:\' <Daten_320GB>


Ende des Suchlaufs: Dienstag, 22. Dezember 2009 21:32
Benötigte Zeit: 09:32 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

628 Verzeichnisse wurden überprüft
20029 Dateien wurden geprüft
3 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
20029 Dateien ohne Befall
207 Archive wurden durchsucht
1 Warnungen
2 Hinweise

Hallo und

Ich schlage vor, wir versuchen erst eine Reparatur des MBR:

Von GMER gibt es ein spezielles Tool um den MBR (Master Boot Record) zu prüfen, der MBR wird zB auch vom Sinowal manipuliert.

Die MBR.exe sollte aus der Konsole ausgeführt werden, also zB so: Die mbr.exe liegt direkt auf C:, dann öffnest Du über Start, Ausführen cmd.exe (schwarze Konsole öffnet sich) und dort tippst Du ein:

c:\mbr.exe -f

Und bestätigst mit Enter. Die Logdatei vom MBR-Tool findest Du im gleichen Pfad, von der die mbr.exe ausgeführt wurde, im obigen Beispiel c:\mbr.log - das bitte öffnen und den Inhalt hier posten.

Hi

Danke für die Hilfe
Ich habe alles so gemacht wie beschrieben es funktioniert auch, aber in der konsole steht nur

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

wird nix erkannt und auch kein log geschrieben.

Wenn ich die datei mit doppelklick ausführe funtioniert es aber es wird wieder nix gefunden hier der log:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK


bei dem befehl c:\mbr.exe -f wofür steht das f?
Für das laufwerk?
ich hatte 2 partitionen G: H: eine davon habe ich gelöscht weil sie sowieso leer war, und jetzt ist es laufwerk H

Ist es eigentlich riskant die Festplatte an meinen Computer anzuschliesen?
Kann der Virus auch auf mein Computer übergehen?


mfg Dominik

Das -f steht für 'fix' damit die MBR.exe einen infizierten MBR gleich repariert. Aber offensichtlich hat es die andere (externe) Platte nicht geprüft

Ist vllt ein wenig umständlich, aber ich würde die Platte als Zweitplatte intern im Rechner einbauen, von der XP-CD booten, die Wiederherstellungskonsole starten und diesen Befehl auf die Platte mit dem infizierten MBR loslassen:

fixmbr \device\harddisk1 (harddisk0 wäre die erste Platte, harddisk1 die zweite)

Edit: Könnte auch mit Testdisk unter Windows gehen, kann ich Dir aber keine Anweisungen geben, hab mit diesem Tool noch nicht gearbeitet.

hi

ich konnte die festplatte nicht intern anschliessen weil ich keine sata anschluss habe.

Ich habe mit Testdisk einwenig rum gespielt und dann auch den mbr neu geschrieben, neustart und der erneute Virencheck hat ergeben das der sinowal weg ist.

Vielen Dank für die Hilfe Echt Super
das Hätte ich alleine nie geschafft

Ah, sehr schön, dass das mit Testdisk funktioniert hat. Dafür fehlte mir noch ein Erfahrungsbericht
V.a. denke ich, dass das doch etwas besser zu bedienen ist als die Wiederherstellungskonsole. Die ist echt umständlich.