Hallo!

Leider zeigt mir Antivir hartnäckig einen Trojaner an, nämlich BOO/Sinowal.A. Habe das Forum durchforstet und versucht ein paar Sachen anzuwenden, unter anderem auch den mbr detector. Hat nix geholfen und habe soeben mit der Recovery CD den Computer neu aufgesetzt. Leider ist der verdammte BOO/Sinowal.A noch immer hier. Kann mir wer helfen? Habe Windows XP (schätze aber durch das Recovery noch kein SP2 update). Dankeeeeee.

lg,
dropshot

Hallo Dropshot,

Arbeite bitte alles ab Punkt 2 in dem Link unten ab um den Leuten vom Kompetenzteam schonmal ein paar Infos für eine Hilfestellung zu geben.

http://www.trojaner-board.de/69886-a...-beachten.html

Gruß: Christian

Halli hallo ropshot

Bereinigung nach einer Kompromitierung

Hinweis: Die Analyse eines Virenscanners ist völlig unzureichend, um Aussagen über das System zu machen, kann aber als Hilfsmittel eingesetzt werden, sofern er von einem sauberen System aus betrieben wird.

Leider tauchen momentan immer mehr Schädlinge auf die sich in den Master Boot Record, kurz MBR einschreiben. Dieser wird bei einer herkömmlichen Neuinstallation nicht komplett überschrieben und stellt somit ein erhebliches Sicherheitsrisiko dar. Vor der Neuinstallation sollte daher sichergegangen werden, dass der MBR in Ordnung ist.

Master Boot Record reparieren:

XP:

Um die Wiederherstellungskonsole zu starten, einfach die Windows XP CD in das Laufwerk legen und davon booten.. Wenn Ihr dazu aufgefordert werdet, wählt die erforderliche Optionen für den Start von der Installations-CD aus.
Wenn der textbasierte Teil von Setup startet, wählt die Option zum Reparieren oder Wiederherstellen, indem Ihr die Taste [R] drückt.
Gegebenfalls nun das Administratorkennwort eingeben.
Nun gelangt Ihr zur Eingabeaufforderung der Wiederherstellungskonsole.

Dort bitte den Befehl fixmbr eingeben und mit Enter bestätigen.

Um die Wiederherstellungskonsole zu beenden und den Computer neu zu starten, gebt Ihr 'exit' ein



Einen Personal Computer neuaufsetzen:

Lies dir bitte bevor du dich an die Arbeit machst folgende Anleitung ganz genau durch:

Neuaufsetzen des Systems mit abschließender Absicherung.

Wenn du diese Anleitung zum Neuaufsetzen nicht ganz genau befolgst ist das Neuaufsetzen sinnlos!

Alle Festplatten müssen komplett formatiert werden!

Daten solltest du am besten keine sichern.
Wenn du sehr wichtige, unersetzliche Dateien sichern möchtest so musst du dies nach strengen Kriterien tun:

a) Die Datei darf nicht ausführbar sein. Das heisst sie darf keine der hier aufgeführte Dateiendung haben. Beachte bitte, dass einige Schädlinge ihre Dateiendung tarnen. Abhilfe schafft hier eine vernünftige Ordneransicht.

b) Jede Datei sollte, bevor sie wieder auf den frischen Rechner gelangt mit MWAV/eScan durchsucht werden.

c) Auch wenn du die Punkte a) und b) ganz genau einhältst sind die Dateien nicht vertrauenswürdig!!
Schädlinge können auch nicht-ausführbare Dateien wie .mp3 .doc usw. infizieren!! Und MWAV sowie andere AV-Scanner findet nur einen Bruchteil aller infizierten Dateien!

Nachdem du neuaufgesetzt hast musst du unbedingt alle Passwörter und Zugangsaccounts ändern!!!

Hallo!

Dank erstmals für eure Nachrichten. Leider habe ich bei der ersten nicht ganz verstanden was ich falsch gemacht habe, sorry, bin noch neu und als Mädel auch ein volles Anti-Talent für Computer.

Na ja, auf jeden Fall verstehe ich jetzt, warum dieser Bootsektor-Virus durch Neu-Formatierung nicht zu beseitigen ist. Leider funktionier bei mir das Master Boot Record reparieren nicht. Wenn ich die Recovery CD(s) einlege läuft er alles normal durch und "R" für Reparieren funktioniert nicht.

Ich habe auch schon das Bootsektor Repairtool von Avira angewendet, aber das scanned irgendwie nur mein Programm aber führt kein Löschung/Reparatur durch. Jetzt bin ich schön langsam verzweifelt, da ich mich halt leider so gar nich auskenne. Vielleicht hilft es, wenn ich mein Log-File post? Na ich füge es mal hinzu:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:07:19, on 13.05.2009
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\SYSTEM32\WISPTIS.EXE
C:\WINDOWS\System32\tabbtnu.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
c:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Gemeinsame Dateien\microsoft shared\ink\TabTip.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\Acer\Notebook Manager\almxptray.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\PowerKey.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\CtrlVol.exe
C:\Programme\Launch Manager\OSD.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\Programme\Gemeinsame Dateien\microsoft shared\ink\TPA.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\ltmoh\Ltmoh.exe
C:\Programme\Acer soft button\wsbklite.exe
C:\Programme\Acer soft button\SB.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Dokumente und Einstellungen\xxxxx\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://global.acer.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [TabletTip] "C:\Programme\Gemeinsame Dateien\microsoft shared\ink\tabtip.exe" /resume
O4 - HKLM\..\Run: [LaunchApp] LaunApp
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [AcerNotebookManager] C:\Programme\Acer\Notebook Manager\almxptray.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [PowerKey] "C:\Programme\Launch Manager\PowerKey.exe"
O4 - HKLM\..\Run: [LManager] C:\Programme\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [LMgrOSD] C:\Programme\Launch Manager\OSD.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Programme\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [Wise Backlight] "C:\Programme\Acer soft button\wsbklite.exe"
O4 - HKLM\..\Run: [Software Button] "C:\Programme\Acer soft button\SB.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Zinio DLM] C:\Program Files\Zinio\ZDLM.exe /hide
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [TabletWizard] %windir%\help\wizard.hta (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: SketchBook Snapshot.lnk = C:\Programme\AliasWavefront\Alias SketchBook Pro 1.0\SketchBookSnap.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: uninstall.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Bluetooth Service (btwdins) - Unknown owner - c:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe

--
End of file - 4896 bytes

Bitte helft mir, bin am verzweifeln. Dankeeeee.

lg,
Angela

Hallöle.

Zitat:

Wenn ich die Recovery CD(s) einlege läuft er alles normal durch und "R" für Reparieren funktioniert nicht.

Warum funktioniert das nicht? Bekommst du eine Fehlermeldung? Ist der Punkt "[R] Reparieren" garnicht aufgeführt? Oder was ist das Problem?

Hi!

Genau, der Punkt "R" existiert nicht. Ich kann quasi nur zustimmen, dass der Computer neu aufgesetzt wird, keine andere Wahlmöglichkeiten...

lg,
Angela

Hmpf, das ist leider bei Recovery CDs häufiger mal der Fall.

Dann solltest du die Wiederherstellungskonsole fest installieren. Mit auf der CD sollte sie eigentlich sein.

Gehe vor wie hier beschrieben wird.
http://www.paules-pc-forum.de/forum/...artoption.html

Na ich dürfte mit meinen 4!!! Recovery CDs mehr als Pech gehabt haben (ob das an Acer liegt???). Habe versucht nach dem Link von dir die Wiederherstellungskonsole fest zu installieren, allerdings findet er leider die Datei cd i386 auf keiner meiner CDs und somit kann ich nicht fortfahren...weißt du noch andere Möglichkeiten?

O.k. dann ohne Microsoft Software.

Lade dir TeskDisk von hier: http://www.computerbase.de/downloads/software/systemprogramme/festplatten/testdisk/?url=27826
Du musst dich dafür leider bei CB registrieren. Löschen den Account einfach gleich nach dem Download wieder und registriere dich weder mit deinem richtigen Namen noch mit einer produktiven e-mail Adresse.
Die heruntergeladene Datei brennt sich nach der Ausführung selber. Alles was du brauchst ist ein Brenner und eine beschreibbare CD.

Nach dem Brennen legst du die CD ins Laufwerk ein und startest den Rechner neu. Er sollte jetzt von der CD booten.

Hier findest du die offizielle Beschriebung aller Menüpunkte: http://www.cgsecurity.org/wiki/Ausf%C3%BChren_von_TestDisk (auf der Seite ganz unten)
Dort findet sich der Menüpunkt

Zitat:

MBR Code Write TestDisk MBR code to first sector -> (Schreibe TestDisk MBR-Code auf den ersten Sektor)

Lasse den MBR neu schreiben.

Danach kannst du ohne Probleme Neuaufsetzen und absichern.

Hallo!

Ich glaube, dass dürfte nun funktioniert haben. Zumindest findet mein Virenprogramm (Avira Antivir) keinen Boo/Sinowal.A mehr. Vielen lieben Dank für die Hilfe und die Geduld mit mir als Computer-Un-Genie. :-)

DANKE!!!! Alles Liebe,

Angela