Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   BOO/Sinowal.E (https://www.trojaner-board.de/78571-boo-sinowal-e.html)

socke 17.10.2009 23:40
BOO/Sinowal.E
 
Hallo Zusammen,

Seit heute habe ich besagten Virus?! auf meinem Rechner entdeckt. Es fing damit an, dass ich Antivir nicht mehr updaten liess und ich nach einem scan eben folgende Meldung erhielt. Ich habe darauffolgend im Internet nach Loesungsansaetzen gesucht und bin hier auf diverse Topics gestossen.

Ich bin diesbezueglich ein echter Laie. In einem der topics hatte ich gelesen, dass ein system restore eventuell helfen koennte. Und tatsaechlich, Antivir springt nicht mehr darauf an. Jedoch habe ich noch immer das selbige Problem, Antivir laesst sich nicht updaten.

Darauf hin habe ich MBR laufen lassen:

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x012A18AC1
malicious code @ sector 0x012A18AC4 !
PE file found in sector at 0x012A18ADA !

Sowohl Malwarebytes, als auch Antivir zeigen nach dem Systemrestore jedoch keinerlei Funde mehr an.

Bin ich diesen Boesewicht nun los?... Aber MBR zeigt immer noch eine Infektion an und Antivir laesst sich wiegesagt noch immer nicht updaten?!

Auch wenn ich hier als Neuling gelte und auch 'nur' wegen meines Problemes auftauche, waere Ich ueber moegliche Ratschlaege bzw. Tipps wirklich sehr dankbar.

Gruss,
Florian

Larusso 18.10.2009 14:11
:hallo:

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.
  • Bitte arbeite alle Schritte der Reihe nach ab.
  • Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
  • Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
  • Bitte kein Crossposting ( posten in mehreren Foren).

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite bitte folgendes ab.

Poste bitte alle Logfiles in Code-Tags.
Klicke antworten --> #
danach [code]text[/code]
So sollte das dann hier aussehen nach dem antworten:
Code:
deine Logfile

schritt 1


Windows-Explorer öffnen (Windows-Taste + E) und unter => Extras => Ordneroptionen => im Reiter "Ansicht"
  • Dateien und Ordner: Erweiterungen bei bekannten Dateitypen ausblenden deaktivieren
  • Dateien und Ordner: Geschützte Systemdateien ausblenden (empfohlen) deaktivieren
  • Dateien und Ordner: Inhalte von Systemordnern anzeigen aktivieren (bei Vista nicht vorhanden)
  • Versteckte Dateien und Ordner: alle Dateien und Ordner anzeigen aktivieren


schritt 2

Bei Dir scheint sich allerdings tatsächlich etwas im Master Boot Record festgesetzt zu haben, wie das obige Ergebnis zeigt. Du hast jetzt zwei Möglichkeiten, den Master Boot Record (MBR) wieder in Ordnung zu bringen, die erste zeigt Dir auf, wie Du das mit Windows eigenen Mitteln machen kannst, die zweite, wie es mit dem Tool mbr.exe zu machen ist.

MBR wiederherstellen

Entweder so:
  • Lege die Installations-CD von XP oder Windows 2000 in das CD-Laufwerk ein und starte den Computer neu.
  • Startet der Computer nicht über die CD, musst Du im BIOS-Setup des PCs die Boot-Reihenfolge umstellen, so dass die CD vor der Festplatte verwendet wird.
  • Während des Bootens erkennt das Startprogramm auf der CD eine gegebenenfalls vorhandene bootfähige Partition auf der Festplatte, stoppt das Hochfahren und fährt erst auf einen beliebigen Tastendruck hin mit dem Booten fort.
  • Beim ersten Bildschirm des Windows-Setup-Programms wähle "R" und im nächsten Screen "K" für das Laden der Wiederherstellungskonsole.
  • Nun gebe folgenden Befehl ein:
  • fixmbr

oder so:
  • Kopiere die Datei mbr.exe nach C:\Windows\system32
  • Start => ausführen => cmd (da reinschreiben) => OK
  • es öffnet sich ein Dosfenster
  • bitte dort nach dem Prompt eingeben: mbr.exe -f (Enter drücken)
  • und ggfs. den Anweisungen folgen.


schritt 3

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Doppelklick auf die OTL.exe
  • Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
  • Unter Extra Registry, wähle bitte Use SafeList
  • Klicke nun auf Run Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt
  • Poste die Logfiles in hier in den Thread.


schritt 4
  • alle anderen Scanner gegen Viren, Spyware, usw. deaktiviert sein,
  • keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
  • nichts am Rechner getan werden,
  • nach jedem Scan der Rechner neu gestartet werden.
Gmer scannen lassen
  • Lade Dir Gmer von dieser Seite herunter
    (auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
  • Gmer ist geeignet für => NT/W2K/XP/VISTA.
  • Alle anderen Programme sollen geschlossen sein.
  • Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen).
  • Vista-User mit Rechtsklick und als Administrator starten.
  • Sollte sich ein Fenster mit folgender Warnung öffnen:
    WARNING !!!
    GMER has found system modification, which might have been caused by ROOTKIT activity.
    Do you want to fully scan your system ?
    Unbedingt auf "No" klicken.
  • Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
  • Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird Gmer beendet.
  • Füge das Log aus der Zwischenablage in Deine Antwort hier ein.
Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!


Bitte poste in Deiner nächsten Antwort
Beide Logfiles von OTL
Logfile von Gmer

socke 18.10.2009 15:01
Hallo Larusso,

Vielen Dank fuer deine Hilfe. Allerdings hat sich meine Situation drastisch verschlimmert und ich stehe nahe einem nervlichen Ausraster...

Ich hatte mich nach deinem post dazu entschieden, meinen Rechner neu aufzusetzen und habe dafuer die recovery cd meines Laptop herstellers (ASUS) eingelegt. Als jedoch der recover prozess anfing bekam ich sofort die Fehlermeldung:

Error #1826
Error: Free space not found

Und als ich daraufhin neugestartet habe geht garnix mehr. Ich werde nach einer bootfaehigen medium gefragt. Also mein urspruengliches Windows funktioniert nicht mehr?! und die recovery CD sagt immer wieder oben besagtes Problem. Ich habe keine Ahnung was ich machen soll ?!

Gehe ich unter DOS mit CD/Rom unterstuetzung und dir/p c: bzw. D: eingebe wird alles noch angezeigt?! Bei dem versuch format c:, kommt immer eine Fehlermeldung, Bad command?!

Ich bin wirklich verzweifelt... (dies hier schreib ich ueber den rechner eines Freundes)

Gruesse,
Florian

Larusso 18.10.2009 20:17
Dann kenn ich nur noch einen Weg :(

Datenretten mit Knoppix Live CD

Damit booten, und das System davon formatieren und mit der Recovery CD wieder neu aufsetzen.

socke 19.10.2009 14:33
Vielen Dank fuer den Tipp, dass werde ich sofort ausprobieren, sobald ich wieder zuahause bin.

Wie genau formatiere ich denn darunter eine festplatte? einfach rechtsklich formatieren?!
Wie gesagt ich bin echter Computer Laie.

Gruss,
Florian

Larusso 19.10.2009 15:12
Der Link beinhaltet eine Videoanleitung ;)
Sieh Dir diese einfach mal an. Bei Fragen nur zu.

socke 19.10.2009 21:00
Hallo Larusso,

Dank Knoppix hab ich es endlich geschafft den pc neu aufzusetzen. Keine Ahnung wie, aber es hat funktioniert ... ;-)!

Ich hab also alles per "recovery disk" von ASUS neu aufgespielt und direkt danach (ja da bin ich nun ...) mbr erneut checken lassen. Und siehe da:

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x012A18AC4 !
PE file found in sector at 0x012A18ADA !

Das gleiche Speil von vorne ?! Ich habe leider keine XP / Vista CD mit der ich den fixmbr durchgehen koennte und bei mbr.exe kommt nichts wie unten von dir beschrieben um den mbr neuzuschreiben.

Wie gehe ich nun vor ?!


Gruss,
Flo

Larusso 19.10.2009 21:05
Das kann jetzt alles mögliche sein :)

Nur weil da was steht, muss es nit zwingend schädliich sein.
Noch Probleme?

socke 19.10.2009 21:38
Kann ich den sicher davon ausgehen, dass mein System jetzt als secure gilt? Auch wenn ich die gleiche message wieder bekommen unter vorrausgegangener Situation?

Wenn dem so ist, Danke ich dir vielmass fuer deinen Einsatz und Hilfsbereitschaft. Kasten Bier kann ich leider uebers Netz schlecht ausgeben ... :(

Larusso 19.10.2009 22:01
Jup, ist erledigt. Was du mit dem Neuen System noch machen sollst/musst.

Besuche bitte die Microsoft-Update-Seite und lade Dir alle Updates unter Benutzerdefiniert herunter
Mache das so lange bis du nichts mehr angeboten bekommst
Du musst dafür mit den Internet Explorer ins Netz gehen
Wenn du dies mit FireFox durchführen willst musst Du vorher das Addon IE View installieren


Besuche die Secunia Update Seite. Lass Deinen PC nach Update scannen und installiere diese.


Alle Zeitangaben in WEZ +1. Es ist jetzt 20:00 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129