BootsektorVirus BOO/Sinowal.A wie entferne ich den?
 

Hallo, habe mit Antivir gescannt und der hat folgenden Trojaner gefunden: BOO/Sinowal.A genaues scan ergebnis: :headbang:



Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Sonntag, 6. Juli 2008 19:41

Es wird nach 1379598 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: HOME-PC

Versionsinformationen:
BUILD.DAT : 8.1.00.295 16479 Bytes 09.04.2008 16:22:00
AVSCAN.EXE : 8.1.2.12 311553 Bytes 18.03.2008 09:02:52
AVSCAN.DLL : 8.1.1.0 57601 Bytes 30.01.2008 15:10:50
LUKE.DLL : 8.1.2.9 151809 Bytes 28.02.2008 08:41:20
LUKERES.DLL : 8.1.2.0 12545 Bytes 19.02.2008 08:39:40
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 10:33:34
ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.06.2008 16:22:20
ANTIVIR2.VDF : 7.0.5.51 273408 Bytes 04.07.2008 16:22:22
ANTIVIR3.VDF : 7.0.5.53 14336 Bytes 05.07.2008 16:22:22
Engineversion : 8.1.0.64
AEVDF.DLL : 8.1.0.5 102772 Bytes 25.02.2008 09:58:21
AESCRIPT.DLL : 8.1.0.46 283002 Bytes 06.07.2008 16:22:32
AESCN.DLL : 8.1.0.22 119157 Bytes 06.07.2008 16:22:31
AERDL.DLL : 8.1.0.20 418165 Bytes 06.07.2008 16:22:30
AEPACK.DLL : 8.1.1.6 364918 Bytes 06.07.2008 16:22:29
AEOFFICE.DLL : 8.1.0.20 192891 Bytes 06.07.2008 16:22:28
AEHEUR.DLL : 8.1.0.35 1298806 Bytes 06.07.2008 16:22:28
AEHELP.DLL : 8.1.0.15 115063 Bytes 06.07.2008 16:22:25
AEGEN.DLL : 8.1.0.29 307573 Bytes 06.07.2008 16:22:25
AEEMU.DLL : 8.1.0.6 430451 Bytes 06.07.2008 16:22:24
AECORE.DLL : 8.1.0.32 168311 Bytes 06.07.2008 16:22:23
AVWINLL.DLL : 1.0.0.7 14593 Bytes 23.01.2008 17:05:55
AVPREF.DLL : 8.0.0.1 25857 Bytes 18.02.2008 10:29:37
AVREP.DLL : 7.0.0.1 155688 Bytes 16.04.2007 13:25:52
AVREG.DLL : 8.0.0.0 30977 Bytes 23.01.2008 17:05:52
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19
AVEVTLOG.DLL : 8.0.0.11 114945 Bytes 28.02.2008 08:31:27
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02
SMTPLIB.DLL : 1.2.0.19 28929 Bytes 23.01.2008 17:06:34
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07
RCIMAGE.DLL : 8.0.0.35 2371841 Bytes 10.03.2008 14:34:46
RCTEXT.DLL : 8.0.32.0 86273 Bytes 06.03.2008 11:58:49

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Sonntag, 6. Juli 2008 19:41

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sol.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'pctsTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'pctsSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'pctsAuxs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleUpdaterService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Smc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '26' Prozesse mit '26' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[FUND] Enthält Erkennungsmuster des Bootsektorvirus BOO/Sinowal.A
[WARNUNG] Der Bootsektor kann nicht repariert werden. Weitere Informationen zu diesem Thema finden Sie in der Hilfe.

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.

Die Registry wurde durchsucht ( '16' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\' <Musik>


Ende des Suchlaufs: Sonntag, 6. Juli 2008 19:49
Benötigte Zeit: 08:14 min

Der Suchlauf wurde vollständig durchgeführt.

1501 Verzeichnisse wurden überprüft
52814 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
52812 Dateien ohne Befall
369 Archive wurden durchsucht
2 Warnungen
0 Hinweise

Anschließend habe ich noch Hijackthis durchlaufen lassen. wie bekomme ich diesen Trojaner aus dem Bootsektor raus? :headbang:

gruß zicke2484:headbang:

1.Editiere die Seriennummer *gg*
2.Poste bitte den HiJackThis Logfile :D

MFG Bin erstma duschen :party:

@Easymick
Im Hijackthislog wirst du nichts weiter sehen. Sinowal ist da schon nen ganzes Stück hinterhältiger. :blabla:


@TO
Lade dir bitte außerdem mbr detector herunter, führe ihn aus und poste das Log hier.

Erstelle außerdem ein Log mit

Cureit Dr.Web

• Downloade Dr.Web CureIt!
• Speichere es auf deinem Desktop.
• Entpacke es in einen eigenen Ordner.
• Lies nun zuerst die deutsche Anleitung und drucke sie dir aus.

• Lass alle Malware in den Quarantaene Ordner verschieben.
• Ignoriere eventuelle Warnungen seitens deines AV Programms, du kannst auch offline gehen und dann dein AV Programm während des Scannens mit Dr.Web CureIt! abstellen.
• Vergiss bitte nicht, dein AV Programm nach dem Scan wieder anzustellen.

• Speichere das Logfile - siehe Anleitung - und poste es.

Damit sollte man mehr sehen. :D

lg myrtille

myrtille durch dich lern ich viel :D
Und jetzt wieder Back to Topic.

Danke schon mal im Vorraus für die Hilfe, :party: also:

mbr.log hat folgendes angezeigt::pfui:
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x4a7d57e size 0x1ca !
copy of MBR has been found in sector 62 !

:dummguck:und Dr.Web hat diese Sachen rausgefunden:

Master Boot Record HDD2;;BackDoor.MaosBoot;Desinfiziert.;
Master Boot Record HDD2;;BackDoor.MaosBoot;;
A0013646.exe\data002;D:\System Volume Information\_restore{47FE93FA-6288-47F3-8C57-F17CFB282C3B}\RP61\A0013646.exe;Trojan.PWS.Winstor;;
A0013646.exe\data005;D:\System Volume Information\_restore{47FE93FA-6288-47F3-8C57-F17CFB282C3B}\RP61\A0013646.exe;Trojan.DownLoader.30837;;
A0013646.exe;D:\System Volume Information\_restore{47FE93FA-6288-47F3-8C57-F17CFB282C3B}\RP61;Archiv enthält infizierte Objekte;;
die Trojaner lassen sich aber nicht entfernen mit dem programm find auch die quarantäne datei nicht wieder hab die anleitung schritt für schritt durchgearbeitet aber trojaner kann ich nicht löschen.

Desweiteren habe ist mir noch etwas aufgefallen:
Auf Festplatte D wo unsere Musik drauf ist, sind manche Musikdateien in blau beschriftet alle anderen in schwarz. warum ist das so? :koch:

lg zicke2484

Hast du mbr vor oder nach DrWeb durchlaufen lassen?

Meldet sich Antivir noch?

lg myrtille

hey myrtille :),

hab mbr vor DrWeb durchlaufen lassen und antivir meldet sich nicht mehr nur dann wenn ich von allein scanne zeigt er mir die ganzen dinger an und das das im bootsektor mit dem trojaner nicht repariert werden kann. so langsam leidet die rechner kapazität. :pfui:

wie muss ich nun weiter verfahren um das alles wieder hinzubekommen formatieren hat nix gebracht.

lg zicke2484

Könntest du bitte den neuen Antivirreport posten?

Inwiefern leidet deine Rechnerkapazität? :confused:

Poste bitte auch mal das Hijackthislog (Editiere bitte Links und persönliche Infos!)

lg myrtille

:headbang:so leutz ich glaub das wars erstmal mit meinem betriebssystem :headbang::

antivir piept hier nur noch vor sich hin und kann die trojaner nicht entfernen, ich kann keine richtigen internetverbindungen mehr aufbauen und wenn ich im netz bin komm ich aus mozilla oder internet explorer nicht mehr raus.
grade wurde bei mir eben über spyware doctor noch n neuer trojaner gefunden:

Trojan.Virtumonde heißt das ding. :pfui::pfui::pfui:

wie krieg ich die dinger komplett runter und vor allem aus dem bootsystem raus? wie gesagt ging das auch selbst durchs formatieren nicht.

gruß

Hi,

Vundo und Sinowal hängen meines Wissens nicht miteinander zusammen.

Gegen Vundo kommen wir mit diesem Tool ganz gut an:

ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser. Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat! Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.


Den sinowal sollten wir mit fixmbr löschen können, allerdings müsste ich dafür wissen auf welcher Platte sich der laut Antivir befinden soll.

lg myrtille