Hallo,
also folgendes ist mein Problem:

Ich habe mir vor ein paar Tagen einen neuen Rechner zusammenstellen lassen und meine alte Festplatte mit einbauen lassen. Beim Formatieren der alten Festplatte meldet Avira : " MBR 1
Enthält Erkennungsmuster des Bootsektorvirus BOO/Sinowal.A"

Lass ich Avira die Platte scannen,findet er nichts.Deswegen kann ich auch keinen Bericht posten

Hab mir hier ein paar Sachen bezüglich des Themas durchgelesen und mbr ausgeführt mit folgendem Ergebnis:

Stealth MBR rootkit detector 0.2.4 by Gmer, h**p://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

...mehr nicht.

HiJack spuckt folgendes aus:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:03:20, on 29.06.2008
Platform: Windows XP SP3, v.3311 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\avmwlanstick\wlangui.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Sidebar\sidebar.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\Windows Sidebar\sidebar.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\avmwlanstick\WlanNetService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\Winamp\winamp.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Sidebar] C:\Programme\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1214589761426
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc.exe
         

Was soll ich nun tun?Will den Virus aufjedenfall beseitigen,vorallem weil der PC gerade mal paar Tage alt ist.Oder was kann passieren wenn der Virus nicht beseitigt wird?Ich bitte um Hilfe

Da gibts mehrere Wege, den MBR neu zu schreiben. Allerdings weiß ich nicht, ob man mit mbr.exe von GMER die Zweitplatte fixen kann. Dann gibt es noch DOS-Programme wie s0kill und killmbr, Du müsstest diese allerdings von einer reinen DOS-Umgebung aus laufen lassen, z.B. wenn Du von einer DOS-Bootdiskette gebootet hast.

Ich würde daher mal vorschlagen, Du startest den PC von der Windows-XP-CD und wechselst in die Wiederherstellungskonsole. Führe dort den Befehl

fixmbr \device\harddisk2

aus, und der MBR auf der zweiten Platte sollte überschrieben sein.

Die erste Platte ist in 2 Teile partitioniert.Das ändert aber an dem Befehl nichts oder?Will nur sicher gehen.

Nein sollte nicht so sein. Ganz sicher bin ich mir da aber nicht, da ich fixmbr bisher immer nur ohne Parameter angewendet habe.

Falls das so nicht klappen sollte, kann ich Dir aber noch andere Tools vorschlagen.

hi, ich habe folgendes gemacht und diesen boo/sinowal.a damit verschwinden lassen.
booten von der cd
R für reparieren
windowsinstallation wählen - bei mir die 1
adminkennwort eingeben.
jetzt ist wichtig, welcher mbr befallen ist - bei mir harddisk1
also habe ich eingegeben:
fixmbr \device\harddisk1
nach fixmbr kommt ein leerzeichen - ganz wichtig.
dann neu starten und antivir laufen lassen.
bei mir war der infekt danach verschwunden.
viel glück
Gurke

Erstmal danke für die Rückmeldung und die Hilfe.
Also nun sieht es aus wie folgt.
Ich habe den Befehlt fixmbr \device\harddisk2 eingegen worauf ich eine Vorsichtsmeldung erhalte habe,dass eventuell die Dateien zerstört werden können auf der Partition wenn ich den Befehl weiter führe.Und das ich den Befehl nur ausführen soll wenn ich Zugriffsprobleme mit der Platte habe. Hab dann mit Enter bestätigt und nen Bluescreen erhalten. Beim Versuch die betroffene Platte zu formatieren,hat sich Avira wieder mit dem alten Fund gemeldet. Habs dann auch nochmal mit dem Befehl fixmbr \device\harddisk3 ausprobiert (Dachte das die alte platte als Nr. 3 vielleicht gesehen wird,weil die erste Platte in 2 Teile partitioniert ist.) Daraufhin bekam ich die Meldung das der MBR nicht gelesen werden kann.
Und nun?

Achja und wie sagt ich GMER das er die betroffene Platte überprüfen soll?Hab nämlich den Verdacht das er beim aussführen nur die C\ Platte checkt.

Führe in der Konsole den Befehl map aus. Damit solltest Du genauere Infos erhalten, welche Platte mit welchem Gerätepfad angesprochen wird.

Es ist auch gut möglich, daß Deine Zweiplatte mit \device\harddisk1 angesprochen werden muß - ich bin mir da jetzt nicht 100 pro sicher, ob Windows bei der ersten Platte mit Null oder mit Eins anfängt.

Leute, es steht doch da, welche HDD:

Zitat:

" MBR 1
Enthält Erkennungsmuster des Bootsektorvirus BOO/Sinowal.A"

Oder nicht?
mfg

Zitat:

Zitat von Dark Viruz

Leute, es steht doch da, welche HDD:


Oder nicht?
mfg

Das Problem hatte ich doch erläutert.
Manche Programme fangen bei 0 an zu zählen, andere bei 1.

Hab dann wohl das

Zitat:

Es ist auch gut möglich

falsch verstanden, tut mir leid

Zitat:

Zitat von Dark Viruz

Hab dann wohl das falsch verstanden, tut mir leid

Ist doch kein Problem, jeder überliest mal was.
Ich oft genug.

So,hatte die letzten Tage nicht allzu Zeit.Hab das jetzt heute mal gemacht.Wenn ich "map" ausführe, steht bei mir folgendes:

C: \Device\HARDDISK0\PARTITION1
E: \Device\HARDDISK0\PARTITION2
D: \Device\HARDDISK1\PARTITION1


kam mir bisschen seltsam vor weil die Platte E: ist die betroffene!
soll ich jetzt einfach den Befehl "fixmbr \Device\HARDDISK0\PARTITION2" durchführen?

Zitat:

Zitat von ajnas

kam mir bisschen seltsam vor weil die Platte E: ist die betroffene!
soll ich jetzt einfach den Befehl "fixmbr \Device\HARDDISK0\PARTITION2" durchführen?

Nicht ganz mach mal nur den Befehl fixmbr \Device\HARDDISK0
Um sicher zu gehen, daß auf der zweiten Platte auch nichts mehr vom MBR-Schädling drauf ist: fixmbr \Device\HARDDISK1

(In der Wiederherstellungskonsole kann es u.U. sein, daß die Laufwerksbuchstaben anders verteilt sind als im installierten Windows.)

Zitat:

Zitat von root24

Nicht ganz mach mal nur den Befehl fixmbr \Device\HARDDISK0
Um sicher zu gehen, daß auf der zweiten Platte auch nichts mehr vom MBR-Schädling drauf ist: fixmbr \Device\HARDDISK1

(In der Wiederherstellungskonsole kann es u.U. sein, daß die Laufwerksbuchstaben anders verteilt sind als im installierten Windows.)

hab auf der D Partition wichtige Daten drauf,kann da was passieren?

Entweder ist es zu früh am morgen oder ich find den Edit Button nicht.
mit fixmbr \Device\HARDDISK0 spricht der dann nicht C: und E: zusammen an?obwohl das 2 verschiedene Platten sind? und D: eigentlich zu C: gehören sollte?

Edit: jetzt seh ich den Edit Button zu diesem Post aber nur