AntiVir - Funde rauskopieren

Rechtsklick auf den AntiVir-Schirm in der Taskleiste => AntiVir starten => Übersicht => Ereignisse
Typ anklicken, damit die Ereignisse nach Typart sortiert werden.
Jeden Fund markieren (nicht alle Ereignisse, nur Funde) => Rechtsklick auf Funde => Ereignis(se) exportieren
und als Ereignisse.txt auf dem Desktop speichern und den Inhalt hier posten.

Hallo Swiss,

hier das Logfile:

*****************************************************


Exportierte Ereignisse:

28.11.2010 09:19 [Updater] Update nicht ausgeführt
Das Update von Computer DIRK (192.168.178.20) von hxxp://192.168.178.1/update
ist fehlgeschlagen.
Während des Herunterladens ist ein Fehler aufgetreten
Es wurden keine neuen Dateien geladen.

08.12.2010 13:34 [Updater] Update nicht ausgeführt
Das Update von Computer DIRK (192.168.178.20) von
hxxp://perspeak.avira-update.com/update ist fehlgeschlagen.
Während des Herunterladens ist ein Fehler aufgetreten
Es wurden keine neuen Dateien geladen.

16.12.2010 12:16 [Scanner] Malware gefunden
Die Datei 'Bootsektor 'D:\''
enthielt einen Virus oder unerwünschtes Programm 'BOO/Sinowal.A' [virus].
Durchgeführte Aktion(en):
Enthält Code des Bootsektorvirus BOO/Sinowal.A.
Der Sektor wurde nicht neu geschrieben!

09.12.2010 01:29 [Scanner] Malware gefunden
Die Datei 'Bootsektor 'D:\''
enthielt einen Virus oder unerwünschtes Programm 'BOO/Sinowal.A' [virus].
Durchgeführte Aktion(en):
Enthält Code des Bootsektorvirus BOO/Sinowal.A.
Der Sektor wurde nicht neu geschrieben!

16.12.2010 11:36 [Guard] Malware gefunden
In der Datei 'C:\System Volume
Information\_restore{A6DBA778-D63F-4253-92A0-04F822131AC8}\RP82\A0034324.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Trash.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

16.12.2010 11:40 [Scanner] Malware gefunden
Die Datei 'C:\System Volume
Information\_restore{A6DBA778-D63F-4253-92A0-04F822131AC8}\RP82\A0034324.dll'
enthielt einen Virus oder unerwünschtes Programm 'TR/Trash.Gen' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4f734dba.qua'
verschoben!

16.12.2010 12:15 [Scanner] Malware gefunden
Die Datei 'Masterbootsektor HD1'
enthielt einen Virus oder unerwünschtes Programm 'BOO/Sinowal.A' [virus].
Durchgeführte Aktion(en):
Enthält Code des Bootsektorvirus BOO/Sinowal.A.
Der Sektor wurde nicht neu geschrieben!

17.12.2010 08:34 [Guard] Malware in Bootsektor gefunden
Im Masterbootsektor von Laufwerk 'Masterbootsektor HD1' wurde ein Virus oder
unerwünschtes Programm 'BOO/Sinowal.A' [virus] gefunden.
Ausgeführte Aktion: Zugriff verweigern

17.12.2010 09:52 [Scanner] Malware gefunden
Die Datei 'Masterbootsektor HD1'
enthielt einen Virus oder unerwünschtes Programm 'BOO/Sinowal.A' [virus].
Durchgeführte Aktion(en):
Enthält Code des Bootsektorvirus BOO/Sinowal.A.
Der Sektor wurde nicht neu geschrieben!

17.12.2010 09:52 [Scanner] Malware gefunden
Die Datei 'Masterbootsektor HD1'
enthielt einen Virus oder unerwünschtes Programm 'BOO/Sinowal.A' [virus].
Durchgeführte Aktion(en):
Enthält Code des Bootsektorvirus BOO/Sinowal.A.
Der Sektor wurde nicht neu geschrieben!

09.12.2010 12:02 [Scanner] Malware gefunden
Die Datei 'Masterbootsektor HD1'
enthielt einen Virus oder unerwünschtes Programm 'BOO/Sinowal.A' [virus].
Durchgeführte Aktion(en):
Enthält Code des Bootsektorvirus BOO/Sinowal.A.
Der Sektor wurde nicht neu geschrieben!

09.12.2010 12:02 [Scanner] Malware gefunden
Die Datei 'Bootsektor 'D:\''
enthielt einen Virus oder unerwünschtes Programm 'BOO/Sinowal.A' [virus].
Durchgeführte Aktion(en):
Enthält Code des Bootsektorvirus BOO/Sinowal.A.
Der Sektor wurde nicht neu geschrieben!

********************************************************


Danke soweit und ein schönes Wochenende,

Dirk

Bootkit Remover anwenden

* lade Dir das Tool Bootkit Remover herunter
das ist RAR (Dateiformat), also Entpacke die Datei auf Deinen Desktop
* Doppelklick in dem ordner auf remove.exe
- Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen.
* Rechter Mausklick auf dem Bildschirm und klicke auf Select All
* Drücke Strg + C (an der Tastatur) zum Kopieren der Daten
* Öffne dein Notepad und drücke Strg + V die Daten einfügen

Poste dann bitte den Inhalt des Logfiles.

Hallo Swiss,

******************************************

Bootkit Remover
(c) 2009 eSage Lab
www.esagelab.com

Program version: 1.2.0.0
OS Version: Microsoft Windows XP Home Edition Service Pack 3 (build 2600)

System volume is \\.\C:
\\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000`00007e00
Boot sector MD5 is: 6def5ffcbcdbdb4082f1015625e597bd

Size Device Name MBR Status
--------------------------------------------
232 GB \\.\PhysicalDrive0 OK (DOS/Win32 Boot code found)


Done;
Press any key to quit...

*************************************************

Danke und Gruß,

Dirk

PS: Ich habe mittlerweile meinen IE, den USB 2.0 Treiber neu installieren müssen. Hat das was mit unseren Aktionen hier zu tun?

Das wäre mir nicht bewusst.

Was ist bei Dir unter D: ? Eine externe Festplatte?

Hallo Swiss,

Bei der letzten Neuinstallation haben sich die Buchstaben so verteilt:

Eine HD mit zwei Partition: C und E
Eine zweite interne HD: D


Gruß,

Dirk

Schritt 1

Recovery Console starten

• Starte deinen Computer neu und drücke F8 bevor das Windows Logo kommt solange bis ein Menü kommt wo du die Recovery Console wählst.
• Die Recovery Console wird starten und dich fragen welche Windows Installation du benutzen möchtest. Wenn du mehrere Windows Installationen hast, wird es jede auf listen, und du musst die Nummer eingeben mit welcher Windows Version du arbeiten möchtest und drücke enter. Wenn du nur eine Windows Installation hast, tippe 1 und drücke enter.
• Es wir dich dann nach einem Administrator Passwort fragen. Wenn es keins gibt drücke einfach enter. Andernfalls tippe das Passwort ein und drücke dann enter.
• Wenn du das richtige Passwort eingegeben hast wird folgendes auftauchen C:\Windows>.
• Hier gibst Du folgenden Befehl ein (achte auf das Leerzeichen)
  
  Zitat:

  fixmbr \Device\HardDisk1

• Starte Neu und scanne mit Avira.

Hallo Swiss,

ich habe nur eine Version WIndows, aber ich bin nicht bis da hingekommen.

Die Recovery Console meldet:

"Die Datei AIC78.SY_ ist beschädigt.
Drücken sie eine beliebige Taste um..."

Und dann hat der Rechner einfach nur neu gestartet.

Hm.... ein harter Brocken, was? Bekommt man das noch hin?

In jedem Fall besten Dank soweit und Gruß,

Dirk

Wann melded dies die Konsole?

wenn ich sie starte, gleich danach, ohne weiteres Zutun

Das kommt nicht?

Nein, das kommt nicht, geht gleich auf den Hinweis auf die beschädigte Datei

Dirk

Lösche bitte die vorhandenen MBRCheck.txt. Starte bitte MBRCheck.exe erneut. Diesmal tippe in das Fenster folgendes ein und bestätige jede Eingabe mit Enter bei

• Enter 'Y' and hit ENTER for more options, or 'N' to exit: y
• Enter your choice: 2
• Enter the physical disk number to fix (0-99, -1 to cancel): 1
• PLease select the MBR code to write to this drive: 1

Die rot eingerahmten Zahlen aus der Anleitung entnehmen!!! http://img831.imageshack.us/img831/5659/mbr.jpg

• Gib nun Yes ein und bestätige mit ENTER.
• Starte den Rechner neu auf.

Nach dem Neustart starte bitte MBRCheck.exe erneut. Nun findest Du 2 MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop. Poste mir den Inhalt von beiden .txt Dokumenten

Hallo Swiss,

kurz vor deinem letztem Post hat es meinen Rechner mit immer mehr (zu vielen) Verweigerungen erwischt.
Der eh anstehende Rechner-Neukauf ist jetzt ein paar Monate vorgezogen worden und der (fast 10 Jahre) alte bekommt die Tage ne Neu-Installation.

Ich muss nur diesen Boot-Virus dann loswerden... wenn es dir nichts ausmacht, werde ich mich dann hier nochmal bei dir melden.

In jedem Fall danke soweit und Gruß und nen guten Rutsch,

Dirk

Kein Problem. Aber erstelle dann einen neuen Thread.