Hallo liebe Community!
Ich habe nun auf Hinweis von Kenny (Sorry für dies) einen eigen Thread aufgemacht.
Bei mir war die Systemplatte und anscheinend auch die eine weitere Festplatte infiziert. Die Systemplatte habe ich neu partioniert, formatiert und Windows XP neu installiert.
Laut Antivirtest war dann nach dem
Neuaufsetzen die Systemplatte sauber (Vollständige Systemprüfung).
Danach hängte ich beide Datenplatten (intern) wieder an den PC an.
Nach dem Start von Windows meldete kam von Antivir ein Fenster, daß sich ein Virus auf der HD1 im MBR befindet.
Danach führte ich die Bootsektorenüberprüfung mit Antivir durch bekam folgendes Ergebnis:
Zitat:
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 14. Mai 2009 21:56
Es wird nach 1394607 Virenstämmen gesucht.
Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : ***
Computername : ***
Versionsinformationen:
BUILD.DAT : 9.0.0.394 17962 Bytes 17.04.2009 11:13:00
AVSCAN.EXE : 9.0.3.5 466689 Bytes 17.04.2009 07:57:24
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 11:30:36
ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11.02.2009 19:33:26
ANTIVIR2.VDF : 7.1.3.185 2010112 Bytes 12.05.2009 18:05:43
ANTIVIR3.VDF : 7.1.3.207 98304 Bytes 14.05.2009 18:05:44
Engineversion : 8.2.0.166
AEVDF.DLL : 8.1.1.1 106868 Bytes 14.05.2009 18:05:47
AESCRIPT.DLL : 8.1.1.81 385401 Bytes 14.05.2009 18:05:47
AESCN.DLL : 8.1.1.10 127348 Bytes 14.05.2009 18:05:47
AERDL.DLL : 8.1.1.3 438645 Bytes 29.10.2008 17:24:41
AEPACK.DLL : 8.1.3.16 397686 Bytes 14.05.2009 18:05:46
AEOFFICE.DLL : 8.1.0.36 196987 Bytes 26.02.2009 19:01:56
AEHEUR.DLL : 8.1.0.128 1757559 Bytes 14.05.2009 18:05:46
AEHELP.DLL : 8.1.2.2 119158 Bytes 26.02.2009 19:01:56
AEGEN.DLL : 8.1.1.42 348531 Bytes 14.05.2009 18:05:44
AEEMU.DLL : 8.1.0.9 393588 Bytes 09.10.2008 13:32:40
AECORE.DLL : 8.1.6.9 176500 Bytes 14.05.2009 18:05:44
AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 13:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56
AVPREF.DLL : 9.0.0.1 43777 Bytes 03.12.2008 10:39:55
AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 13:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:37
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21
RCIMAGE.DLL : 9.0.0.21 2438401 Bytes 09.02.2009 10:41:16
RCTEXT.DLL : 9.0.37.0 87809 Bytes 17.04.2009 09:13:12
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: BootSectorTest
Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\AVCENTER_4a0c766e\a6b164b0.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: E:,
Durchsuche aktive Programme...........: aus
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Intelligente Dateiauswahl
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Beginn des Suchlaufs: Donnerstag, 14. Mai 2009 21:56
Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[FUND] Enthält Code des Bootsektorvirus BOO/Sinowal.C
[WARNUNG] Der Bootsektor kann nicht repariert werden. Weitere Informationen zu diesem Thema finden Sie in der Hilfe.
Masterbootsektor HD1
[FUND] Enthält Code des Bootsektorvirus BOO/Sinowal.C
[WARNUNG] Der Bootsektor kann nicht repariert werden. Weitere Informationen zu diesem Thema finden Sie in der Hilfe.
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'E:\'
[FUND] Enthält Code des Bootsektorvirus BOO/Sinowal.C
[HINWEIS] Der Sektor wurde nicht neu geschrieben!
Ende des Suchlaufs: Donnerstag, 14. Mai 2009 21:56
Benötigte Zeit: 00:22 Minute(n)
Der Suchlauf wurde vollständig durchgeführt.
0 Verzeichnisse wurden überprüft
0 Dateien wurden geprüft
3 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
0 Dateien ohne Befall
0 Archive wurden durchsucht
2 Warnungen
1 Hinweise |
Ich verwendete darauf den Bootwizard.exe von Avira und erstellte eine CD damit, weiters verwendete ich mbr.exe.
Antivir findet die Systemplatte nun sauber aber die Datenplatte ist nach wie von Sinowal.c infiziert.
Logfile:
Zitat:
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 14. Mai 2009 23:23
Es wird nach 1394607 Virenstämmen gesucht.
Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : Administrator
Computername : STEINADLER
Versionsinformationen:
BUILD.DAT : 9.0.0.394 17962 Bytes 17.04.2009 11:13:00
AVSCAN.EXE : 9.0.3.5 466689 Bytes 17.04.2009 07:57:24
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 11:30:36
ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11.02.2009 19:33:26
ANTIVIR2.VDF : 7.1.3.185 2010112 Bytes 12.05.2009 18:05:43
ANTIVIR3.VDF : 7.1.3.207 98304 Bytes 14.05.2009 18:05:44
Engineversion : 8.2.0.166
AEVDF.DLL : 8.1.1.1 106868 Bytes 14.05.2009 18:05:47
AESCRIPT.DLL : 8.1.1.81 385401 Bytes 14.05.2009 18:05:47
AESCN.DLL : 8.1.1.10 127348 Bytes 14.05.2009 18:05:47
AERDL.DLL : 8.1.1.3 438645 Bytes 29.10.2008 17:24:41
AEPACK.DLL : 8.1.3.16 397686 Bytes 14.05.2009 18:05:46
AEOFFICE.DLL : 8.1.0.36 196987 Bytes 26.02.2009 19:01:56
AEHEUR.DLL : 8.1.0.128 1757559 Bytes 14.05.2009 18:05:46
AEHELP.DLL : 8.1.2.2 119158 Bytes 26.02.2009 19:01:56
AEGEN.DLL : 8.1.1.42 348531 Bytes 14.05.2009 18:05:44
AEEMU.DLL : 8.1.0.9 393588 Bytes 09.10.2008 13:32:40
AECORE.DLL : 8.1.6.9 176500 Bytes 14.05.2009 18:05:44
AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 13:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56
AVPREF.DLL : 9.0.0.1 43777 Bytes 03.12.2008 10:39:55
AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 13:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:37
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21
RCIMAGE.DLL : 9.0.0.21 2438401 Bytes 09.02.2009 10:41:16
RCTEXT.DLL : 9.0.37.0 87809 Bytes 17.04.2009 09:13:12
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: BootSectorTest
Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\AVCENTER_4a0c8bb8\39cc7812.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: löschen
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: aus
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Intelligente Dateiauswahl
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Beginn des Suchlaufs: Donnerstag, 14. Mai 2009 23:23
Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[FUND] Enthält Code des Bootsektorvirus BOO/Sinowal.C
[WARNUNG] Der Bootsektor kann nicht repariert werden. Weitere Informationen zu diesem Thema finden Sie in der Hilfe.
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Ende des Suchlaufs: Donnerstag, 14. Mai 2009 23:23
Benötigte Zeit: 00:00 Minute(n)
Der Suchlauf wurde vollständig durchgeführt.
0 Verzeichnisse wurden überprüft
0 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
0 Dateien ohne Befall
0 Archive wurden durchsucht
1 Warnungen
0 Hinweise |
Der Logfile von mbr.exe
Zitat:
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.6 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
PE file found in sector at 0x022EEAD41 !
|
Wie kann ich die Datenplatte von mbr.exe durchsuchen lassen? Und was bedeutet "PE file found..."?
Und die wichtigste Frage wie bekomme ich den MBR auf der Datenplatte wieder sauber ohne die Platte zu löschen?
Herzlichen Dank im voraus
Liebe Grüße
Vanessa