|
Und nocheinmal: BOO/Sinowal.A Hallo! Ich habe ebenfalls ein Problem mit dem Virus BOO/Sinowal.A, bin aber mit den bisherigen Threads nicht weitergekommen. Und da in den Regeln ja steht, dass man immer ein eigenes Thema erstellen soll, um Verwirrung zu vermeiden, tue ich das halt, ich hoffe, das ist so in Ordnung. Ich verwende Windows XP mit Service Pack 3. Der Virenscanner hat den Virus BOO/Sinowal.A im Bootsektor gefunden und konnte ihn nicht löschen, es kam eine Fehlermeldung, dass der Bootsektor nicht repariert werden kann. Zunächst mal habe ich (nach vielem googlen) das gleiche gemacht wie Pneumatik es in diesem Thread beschreibt. Also, Windows XP-CD einlegen, von der CD booten, dann R drücken und in der Wiederherstellungskonsole den Befehl fixmbr eingeben. Das hat aber nichts genutzt, Antivir hat den Fund nachher wieder gemeldet. Dann habe ich in Pneumatiks Thread von dem mbr detector (http://www2.gmer.net/mbr/mbr.exe) gelesen und das mal ausprobiert, mit folgendem Ergebnis: ----- Stealth MBR rootkit detector 0.2.4 by Gmer, h**p://www.gmer.net device: opened successfully user: MBR read successfully kernel: MBR read successfully user & kernel MBR OK malicious code @ sector 0x4a98cc5 size 0x1e4 ! copy of MBR has been found in sector 62 ! ----- Also fast genau wie hier, aber mit dem Unterschied, dass die Zeile "MBR rootkit infection detected ! Use: "mbr.exe -f" to fix." fehlt. Sollte ich das trotzdem versuchen? Geht das überhaupt? EDIT: Ich hab noch einen Log von Antivir in den Anhang gepackt. |
Hi, ja arbeite bitte dieselbe Anleitung ab, wie in dem anderen Thread: Rufe über start->ausführen->cmd eingeben die Kommandozeile auf. Navigiere mit dem Befehl cd zu dem Ort an dem du mbr.exe gespeichert hast. Liegt diese auf deinem Desktop reicht cd Desktop einzugeben. Wenn du in dem Ordner bist, indem die Datei liegt, gib dort bitte mbr.exe -f ein. Poste das neue Log bitte ebenfalls hier. lg myrtille |
Scheint leider nicht zu funktionieren: ----- Microsoft Windows XP [Version 5.1.2600] (C) Copyright 1985-2001 Microsoft Corp. C:\Dokumente und Einstellungen\***>cd desktop C:\Dokumente und Einstellungen\***\Desktop>mbr.exe -f Stealth MBR rootkit detector 0.2.4 by Gmer, h**p://www.gmer.net device: opened successfully user: MBR read successfully kernel: MBR read successfully user & kernel MBR OK malicious code @ sector 0x4a98cc5 size 0x1e4 ! copy of MBR has been found in sector 62 ! C:\Dokumente und Einstellungen\***\Desktop> ----- |
Myrtille hat eine Idee :) |
Hi, dann erstell bitte ein DSS-Log, damit wir einen Überblick über deinen Rechner bekommen. DSS
lg myrtille EDIT: @Bata Das ist grob gelogen ;) Wer hat denn hier was für Ideen. :D Nabend :heilig: |
So, der Log von Hijackthis wird dann also nicht gebraucht, oder? Die von DSS sind im Anhang. |
Wir werden Dein Problem morgen weiter verfolgen. |
Hast du heute größere Veränderungen an deinem Rechner vorgenommen? SP3 installiert? neuaufgesetzt? Hijackthis brauchen wir nicht mehr. Ich hätte allerdings gern ein ausführlicheres Listing: Erstelle ein filelisting mit diesem script:Diese listing.txt z.B. bei rapidshare hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist. lg myrtille EDIT: So, ich=bett, alles weitere dann morgen. :) |
Ok, ist erledigt: RapidShare: Easy Filehosting Dann bis morgen, vielen Dank für die schnelle Hilfe! Ach ja, ich habe das System heute neu aufgesetzt. Dementsprechend überrascht war ich auch, als dann gleich so ein Problem aufgetaucht ist. Aber in diesem Fall kann der Virus ja auch schon vorher dagewesen sein. Und ist eigentlich schon bekannt, was der genau macht? Ich habe bisher noch nichts ungewöhnliches festgestellt. |
Hi, trat das Problem auch vor dem Neuaufsetzen schon auf, oder erst nachdem du neuaufgesetzt hast? Ein Scan auf Dateien, Prozesse und Registryeinträge, die vor den meisten anderen Scannern versteckt werden (durch ein sogenanntes Rootkit). Während dieser Scans soll(en):
|
Hi, der Übersicht halber ein neues Post. Falls du noch nichts gemacht hast, führe bitte folgendes zuerst aus: Rufe wieder die Kommandozeile auf und navigiere mit dem Befehl cd zu dem Ort an dem du mbr.exe gespeichert hast. Gib dort bitte mbr -c 0x4a98cc5 0x1e4 mbr.txt. Poste das Log bitte dann hier. :) Erstelle bitte außerdem noch einen Scan mit Cureit Dr.Web
lg myrtille |
Ich habe den Scan mit Gmer schon gemacht. Soll ich das, was du geschrieben hast, jetzt trotzdem machen? Oder willst du lieber erstmal den Log von Gmer lesen? Ob das Problem schon vorher da war, kann ich leider nicht genau sagen. Mein Bruder meinte, da wäre ein Virus auf dem PC, den Antivir nicht löschen kann, und der PC war allgemein auch schon ziemlich vollgemüllt, also haben wir beschlossen, das System neu aufzusetzen. Um den Virus hab ich mich nicht weiter gekümmert, da ich ganz naiv davon ausgegangen bin, dass der ja mit dem Formatieren der Festplatte verschwinden müsste. Nachdem ich dann im Internet mehr über Bootsektor-Viren gelesen habe, habe ich dann meinen Bruder gefragt, ob das der Virus war, den er vorher gefunden hatte. Er meinte nicht, konnte sich an den Name von dem anderen Virus aber nicht mehr erinnern. Jedenfalls ist BOO/Sinowal.A der einzige Virus den Antivir zur Zeit findet. Also, hier mal der Log von Gmer: GMER 1.0.14.14536 - http://www.gmer.net Rootkit scan 2008-06-16 13:12:35 Windows 5.1.2600 Service Pack 3 ---- System - GMER 1.0.14 ---- SSDT F7B3001C ZwCreateThread SSDT F7B30008 ZwOpenProcess SSDT F7B3000D ZwOpenThread SSDT F7B30017 ZwTerminateProcess SSDT F7B30012 ZwWriteVirtualMemory ---- User code sections - GMER 1.0.14 ---- .text C:\Programme\Winamp Remote\bin\OrbTray.exe[1592] kernel32.dll!SetUnhandledExceptionFilter 7C8449FD 5 Bytes JMP 00413C70 C:\Programme\Winamp Remote\bin\OrbTray.exe (Orb/Orb Networks) ---- Devices - GMER 1.0.14 ---- AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) ---- Disk sectors - GMER 1.0.14 ---- Disk \Device\Harddisk0\DR0 sector 61: malicious code @ sector 0x4a98cc5 size 0x1e4 Disk \Device\Harddisk0\DR0 sector 62: copy of MBR ---- EOF - GMER 1.0.14 ---- |
Hi, ja fahre bitte mit dem nächsten Post fort. Führe zuerst die Anleitung für mbr.exe durch. :) lg myrtille |
In dem Dr. Web Ordner, den du verlinkt hast, waren nur 2 Dateien, drwtoday.txt und drwtoday.vdb. Ich lade mir mal die Version von Dr. Web, die in der Anleitung verlinkt ist, runter. Außerdem noch die Datei, die mbr ausgegeben hat: RapidShare: Easy Filehosting |
Hi, danke für den Hinweis. Da hat sich wohl was geändert. Tut mir Leid für dich. Der richtige Link ist der ausm Tutorial: Link Ich änder dann mal meine Anleitung. :heilig: lg myrtille |
Bitte deinstalliere gmer einmal mit C:\WINDOWS\gmer_uninstall.cmd. Dann lade Dir eine neue Version von hier. Es ist das gleiche gmer nur umbenannt. Führe es wie vorab beschrieben aus und poste das Logfile. |
Also... Ich habe zunächst mal CureIt ausgeführt. Beim Schnellscan, den es am Anfang gemacht hat, wurde ein "Backdoortrojaner" gefunden, und es kam eine Meldung, dass "BackDoor.MaosBoot" gefunden wurde. Es kam dann ein Fenster mit der Frage, ob ich den PC neustarten und die Datei desinfizieren lassen will. Das habe ich dann auch getan. Nach dem Neustart habe ich noch einen Komplettscan durchgeführt, bei dem nichts gefunden wurde. Hier der Log vom Schnellscan: RapidShare: Easy Filehosting Falls der Log von dem Komplettscan gebraucht wird, obwohl er keine Funde gemeldet hat, muss ich dann wirklich immer meinen Benutzernamen zensieren? Das würde in dem Fall nämlich ewig dauern. Anschließend habe ich noch einmal neugestartet und dann tbgmer scannen lassen. Allerdings scheint das Problem nach wie vor vorhanden zu sein. EDIT: Ich hab nochmal Antivir prüfen lassen, das findet auch nichts mehr. Jedenfalls nicht im Bootsektor, ich hab jetzt keine Zeit, das ganz durchlaufen zu lassen. Ich muss jetzt auch zur Uni, ich schau heute abend nochmal rein. |
Hast Du ein Multiboot System? fällt mir jetzt erst auf Zitat:
Der MBR Virus bei Dir ist auf jeden Fall inaktiv, allerdings liegt da noch dropper Code rum, wie ich der Datei entnehmen konnte. |
Nein, ich kann nur von einer Festplatte booten. Auf Festplatte C:\ ist Windows XP drauf, auf der anderen kein Betriebssystem. Allerdings hatte ich die 2. Festplatte von einem Freund, und der hatte da ein Betriebssystem drauf. Nach dem Formatieren blieb dann wohl auch wieder der Bootsektor übrig. Daher sind also wohl beide Festplatten "bootable", aber ich kann nur von einer booten. Ist der MaosBoot der BOO/Sinowal.A? |
Ja, der Maosboot ist derselbe wie unser Kollege Sinowal. CureIt gehört. (Eventuelle spätere Logs bitte nicht bei rapidshare hochladen, ich kann die Katzen einfach nicht erkennen. :balla:) Wie Bata schon andeutete war das Teil zu dem Zeitpunkt nicht mehr aktiv, allerdings sollte CureIt in der Lage sein, auch den inaktiven Code zu entfernen. Findet Avira denn weiterhin nichts? Die restlichen Scans waren alle clean, wenn Avira nichts mehr findet, solltest du IMHO sauber sein. :) lg myrtille |
Ich habe CureIt noch einmal komplett durchlaufen lassen, wieder ohne Fund. Anschließend habe ich Antivir geupdated (upgedatet?) und das auch noch einmal scannen lassen. Das hat dann bei der Datei, die ich nach dieser Anleitung (oben; für mbr.exe) erstellt habe, einen Fund gemeldet, TR/Dropper.gen. Ich habe dann auf löschen geklickt, neugestartet und mit Gmer gescannt. Das findet aber immer noch "Malicious Code". Wie krieg ich den weg? |
Die mbr.txt kannst Du löschen. Diese wird zurecht als Infektion erkannt, es ist eine Kopie des Droppers der im Sector 61 liegt. Das Problem mit diesem Sector ist das der gar nicht so einfach zu überschreiben ist. Das ganze gleicht einer Operation am offenen Herzen, wenn was schief geht, macht der PC gar nichts mehr. Zu Deiner Beruhingung, der Schädling ist nicht mehr aktiv, allerdings suche ich derzeit noch nach einer "zarten" Löscung dieses Problems. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 09:41 Uhr. |
Copyright ©2000-2025, Trojaner-Board