|
Riesenproblem mit BOO/Sinowal.D Hallo, ich bin leider ein völlig unwissender PC-User und habe laut AntiVir den Bootsektorvirus BOO/Sinowal.D auf allen Partitionen (C, D und E)... Ebenso bin ich mir nicht sicher, ob ich den auch auf meiner externen Festplatte und meinem USB-Stick. Den USB-Stick zu formatieren zeigt auch überhaupt keine Wirkung. Kann man diesen Virus irgendwie entfernen Im Report steht bei der externen Platte und beim USB-Stick kein Virus-Fund, aber wenn ich diese einzeln Prüfe, kommt immer noch der Masterboot-Sektor Virus für HD0 Das heruntergeladene Bootsektor Repair-Tool wirkt leider überhaupt nicht... Hier mal das log-File von AntiVir ------------------------------------------------ Avira AntiVir Personal Erstellungsdatum der Reportdatei: Donnerstag, 16. Juli 2009 10:22 Es wird nach 1523462 Virenstämmen gesucht. Lizenznehmer : Avira AntiVir Personal - FREE Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows XP Windowsversion : (Service Pack 3) [5.1.2600] Boot Modus : Normal gebootet Benutzername : Computername : Versionsinformationen: BUILD.DAT : 9.0.0.403 17961 Bytes 03.06.2009 17:00:00 AVSCAN.EXE : 9.0.3.6 466689 Bytes 11.05.2009 08:14:44 AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10 LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44 LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59 ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 11:30:36 ANTIVIR1.VDF : 7.1.4.132 5707264 Bytes 24.06.2009 22:29:42 ANTIVIR2.VDF : 7.1.4.221 1273856 Bytes 12.07.2009 06:20:50 ANTIVIR3.VDF : 7.1.4.234 106496 Bytes 14.07.2009 19:20:13 Engineversion : 8.2.0.215 AEVDF.DLL : 8.1.1.1 106868 Bytes 30.04.2009 10:52:04 AESCRIPT.DLL : 8.1.2.16 438651 Bytes 14.07.2009 19:21:00 AESCN.DLL : 8.1.2.3 127347 Bytes 14.05.2009 10:02:01 AERDL.DLL : 8.1.2.4 430452 Bytes 14.07.2009 19:20:56 AEPACK.DLL : 8.1.3.18 401783 Bytes 27.05.2009 15:07:20 AEOFFICE.DLL : 8.1.0.38 196987 Bytes 10.07.2009 22:29:45 AEHEUR.DLL : 8.1.0.141 1855864 Bytes 14.07.2009 19:20:46 AEHELP.DLL : 8.1.4.5 229748 Bytes 14.07.2009 19:20:17 AEGEN.DLL : 8.1.1.48 348532 Bytes 10.07.2009 22:29:44 AEEMU.DLL : 8.1.0.9 393588 Bytes 09.10.2008 13:32:40 AECORE.DLL : 8.1.7.5 180597 Bytes 14.07.2009 19:20:15 AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 13:32:40 AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56 AVPREF.DLL : 9.0.0.1 43777 Bytes 03.12.2008 10:39:55 AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 13:34:28 AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04 AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:37 AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04 SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49 SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28 NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21 RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 14:35:17 RCTEXT.DLL : 9.0.37.0 87809 Bytes 17.04.2009 09:13:12 Konfiguration für den aktuellen Suchlauf: Job Name..............................: BootSectorTest Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\AVCENTER_4a5ee328\e132cba2.avp Protokollierung.......................: niedrig Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, D:, E:, G:, H:, Durchsuche aktive Programme...........: aus Durchsuche Registrierung..............: aus Suche nach Rootkits...................: aus Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Intelligente Dateiauswahl Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: mittel Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+SPR, Beginn des Suchlaufs: Donnerstag, 16. Juli 2009 10:22 Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [FUND] Enthält Code des Bootsektorvirus BOO/Sinowal.D [WARNUNG] Der Bootsektor kann nicht repariert werden. Weitere Informationen zu diesem Thema finden Sie in der Hilfe. Masterbootsektor HD1 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD2 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [FUND] Enthält Code des Bootsektorvirus BOO/Sinowal.D [HINWEIS] Der Sektor wurde nicht neu geschrieben! Bootsektor 'D:\' [FUND] Enthält Code des Bootsektorvirus BOO/Sinowal.D [HINWEIS] Der Sektor wurde nicht neu geschrieben! Bootsektor 'E:\' [FUND] Enthält Code des Bootsektorvirus BOO/Sinowal.D [HINWEIS] Der Sektor wurde nicht neu geschrieben! Bootsektor 'G:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'H:\' [INFO] Es wurde kein Virus gefunden! Ende des Suchlaufs: Donnerstag, 16. Juli 2009 10:22 Benötigte Zeit: 00:08 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 0 Verzeichnisse wurden überprüft 0 Dateien wurden geprüft 4 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 0 Dateien ohne Befall 0 Archive wurden durchsucht 1 Warnungen 3 Hinweise ------------------------------------------------- Ich wäre ungaublich dankbar, wenn mir jemand helfen könnte, da ich wirklich vollkommen ratlos bin... Vielen Dank schonmal und einen schönen Tag an alle ! |
hi hilfloseruse und :hallo: Downloade bitte folgendes Tool: http://www2.gmer.net/mbr/mbr.exe Kopiere es auf den Desktop und führe es aus. Es öffnet sich nur für einen Bruchteil ein CMD-Fenster, dass sich sofort wieder schließt. Auf deinem Desktop ist eine neue Text-Datei: mbr.log Poste bitte den Inhalt der Datei. Gruß Handball10 |
Hallo Handball10, vielen Dank für Deine Antwort !! hier das Ergebnis: Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.6 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully kernel: MBR read successfully detected MBR rootkit hooks: \Driver\ACPI -> 0x860a6560 \Device\Harddisk0\DR0 ->NDIS: Realtek RTL8169/8110 Family Gigabit Ethernet NIC -> SendCompleteHandler -> 0x860dafa0 Warning: possible MBR rootkit infection ! copy of MBR has been found in sector 0x0BA50E41 malicious code @ sector 0x0BA50E44 ! PE file found in sector at 0x0BA50E5A ! MBR rootkit infection detected ! Use: "mbr.exe -f" to fix. Vielen Dank schonmal !! Wie geht's jetzt weiter? :confused: |
Hättest du Sinowal bei der Boardsuche benutzt, dann hättest du das hier gefunden => http://www.trojaner-board.de/448294-post8.html Ausführen und hier das Log posten. ciao, andreas |
Danke für Deine Antwort ! Habe die Datei ausgeführt und hier ist das Ergebnis: Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.6 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully kernel: MBR read successfully user & kernel MBR OK copy of MBR has been found in sector 0x0BA50E41 malicious code @ sector 0x0BA50E44 ! PE file found in sector at 0x0BA50E5A ! Viele Grüße !!:) |
Den bist du los. Mache einen Scan mit Avira und diesen Einstellungen: http://www.trojaner-board.de/54192-a...tellungen.html Achso, im Chipforum wirst du sehnsüchtig erwartet. :D Andererseits, wie man neuaufsetzt, wissen wir hier auch. :D ciao, andreas |
Riesenproblem mit BOO/Sinowal.D - Viren und andere Sicherheitsrisiken - Avira Support Forum Um mal dazwischen zu posten! |
WOW !! Danke für die Antwort !!! ;-) Scheint tatsächlich weg zu sein, das Teil :singsing::singsing::singsing: Ich habe zwar nicht verstanden wie, aber es hat geklappt. Tausend Dank !!!!!!! oh ja, schau mal ins Chip Forum, wieder mein Unwissen schuldig...:headbang: Schönen Abend ! |
Du bist entlassen. :) ciao, andreas |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 13:27 Uhr. |
Copyright ©2000-2025, Trojaner-Board