BOO/Sinowal.A auf Bootsektor der externen Festplatte

Urmel1980 · 01.05.2013, 10:57

Hallo,
nach längerer Zeit habe ich eine externe Festplatte an mein Laptop angeschlossen, und daraufhin meldete sich Avira, dass es BOO/Sinowal.A im Bootsektor der externen Festplatte gefunden habe:

Zitat:

Avira Free Antivirus
Erstellungsdatum der Reportdatei: Sonntag, 28. April 2013 13:36

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 7 Home Premium
Windowsversion : (Service Pack 1) [6.1.7601]
Boot Modus : Normal gebootet
Benutzername : ***
Computername : ***

Versionsinformationen:
BUILD.DAT : 13.0.0.3499 Bytes 19.03.2013 16:29:00
AVSCAN.EXE : 13.6.0.986 639712 Bytes 29.03.2013 21:29:45
AVSCANRC.DLL : 13.4.0.360 64800 Bytes 03.03.2013 07:39:26
LUKE.DLL : 13.6.0.902 67808 Bytes 29.03.2013 21:30:02
AVSCPLR.DLL : 13.6.0.986 94944 Bytes 20.03.2013 08:08:36
AVREG.DLL : 13.6.0.940 250592 Bytes 20.03.2013 08:08:35
avlode.dll : 13.6.2.940 434912 Bytes 29.03.2013 21:29:44
avlode.rdf : 13.0.0.46 15591 Bytes 29.03.2013 21:30:08
VBASE000.VDF : 7.11.70.0 66736640 Bytes 04.04.2013 12:53:28
VBASE001.VDF : 7.11.70.1 2048 Bytes 04.04.2013 12:53:29
VBASE002.VDF : 7.11.70.2 2048 Bytes 04.04.2013 12:53:30
VBASE003.VDF : 7.11.70.3 2048 Bytes 04.04.2013 12:53:30
VBASE004.VDF : 7.11.70.4 2048 Bytes 04.04.2013 12:53:30
VBASE005.VDF : 7.11.70.5 2048 Bytes 04.04.2013 12:53:30
VBASE006.VDF : 7.11.70.6 2048 Bytes 04.04.2013 12:53:30
VBASE007.VDF : 7.11.70.7 2048 Bytes 04.04.2013 12:53:30
VBASE008.VDF : 7.11.70.8 2048 Bytes 04.04.2013 12:53:31
VBASE009.VDF : 7.11.70.9 2048 Bytes 04.04.2013 12:53:31
VBASE010.VDF : 7.11.70.10 2048 Bytes 04.04.2013 12:53:31
VBASE011.VDF : 7.11.70.11 2048 Bytes 04.04.2013 12:53:31
VBASE012.VDF : 7.11.70.12 2048 Bytes 04.04.2013 12:53:31
VBASE013.VDF : 7.11.70.13 2048 Bytes 04.04.2013 12:53:31
VBASE014.VDF : 7.11.70.103 136192 Bytes 05.04.2013 12:53:32
VBASE015.VDF : 7.11.70.183 183808 Bytes 06.04.2013 06:52:46
VBASE016.VDF : 7.11.71.9 145920 Bytes 08.04.2013 20:15:31
VBASE017.VDF : 7.11.71.115 169472 Bytes 10.04.2013 08:10:19
VBASE018.VDF : 7.11.71.197 172544 Bytes 11.04.2013 08:10:19
VBASE019.VDF : 7.11.72.17 135168 Bytes 12.04.2013 06:30:26
VBASE020.VDF : 7.11.72.103 158208 Bytes 15.04.2013 20:01:39
VBASE021.VDF : 7.11.72.137 152064 Bytes 15.04.2013 20:01:39
VBASE022.VDF : 7.11.72.223 159232 Bytes 16.04.2013 14:06:56
VBASE023.VDF : 7.11.73.59 204288 Bytes 18.04.2013 04:20:21
VBASE024.VDF : 7.11.73.133 164864 Bytes 19.04.2013 18:53:26
VBASE025.VDF : 7.11.73.201 225792 Bytes 22.04.2013 18:53:27
VBASE026.VDF : 7.11.73.251 161280 Bytes 23.04.2013 18:53:27
VBASE027.VDF : 7.11.74.55 126976 Bytes 24.04.2013 15:46:26
VBASE028.VDF : 7.11.74.117 210432 Bytes 26.04.2013 17:51:18
VBASE029.VDF : 7.11.74.118 2048 Bytes 26.04.2013 17:51:18
VBASE030.VDF : 7.11.74.119 2048 Bytes 26.04.2013 17:51:18
VBASE031.VDF : 7.11.74.166 191488 Bytes 27.04.2013 19:45:40
Engineversion : 8.2.12.32
AEVDF.DLL : 8.1.2.10 102772 Bytes 10.08.2012 20:18:51
AESCRIPT.DLL : 8.1.4.108 483709 Bytes 25.04.2013 18:11:05
AESCN.DLL : 8.1.10.4 131446 Bytes 29.03.2013 21:29:34
AESBX.DLL : 8.2.5.12 606578 Bytes 14.06.2012 15:41:37
AERDL.DLL : 8.2.0.88 643444 Bytes 11.01.2013 08:07:13
AEPACK.DLL : 8.3.2.6 827767 Bytes 29.03.2013 21:29:34
AEOFFICE.DLL : 8.1.2.56 205180 Bytes 09.03.2013 06:28:56
AEHEUR.DLL : 8.1.4.318 5894521 Bytes 25.04.2013 18:11:04
AEHELP.DLL : 8.1.25.2 258423 Bytes 13.10.2012 02:59:28
AEGEN.DLL : 8.1.7.2 442741 Bytes 29.03.2013 21:29:13
AEEXP.DLL : 8.4.0.24 196982 Bytes 25.04.2013 18:11:05
AEEMU.DLL : 8.1.3.2 393587 Bytes 10.08.2012 20:18:28
AECORE.DLL : 8.1.31.2 201080 Bytes 19.02.2013 20:54:09
AEBB.DLL : 8.1.1.4 53619 Bytes 06.11.2012 07:57:51
AVWINLL.DLL : 13.6.0.480 26480 Bytes 03.03.2013 07:38:48
AVPREF.DLL : 13.6.0.480 51056 Bytes 03.03.2013 07:39:25
AVREP.DLL : 13.6.0.480 178544 Bytes 03.03.2013 07:40:36
AVARKT.DLL : 13.6.0.902 260832 Bytes 29.03.2013 21:29:40
AVEVTLOG.DLL : 13.6.0.902 167648 Bytes 29.03.2013 21:29:42
SQLITE3.DLL : 3.7.0.1 397704 Bytes 03.03.2013 07:40:18
AVSMTP.DLL : 13.6.0.480 62832 Bytes 03.03.2013 07:39:27
NETNT.DLL : 13.6.0.480 16240 Bytes 03.03.2013 07:40:00
RCIMAGE.DLL : 13.4.0.360 4780832 Bytes 03.03.2013 07:38:51
RCTEXT.DLL : 13.6.0.976 69344 Bytes 29.03.2013 21:29:09

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Manuelle Auswahl
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\PROFILES\folder.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: E:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Intelligente Dateiauswahl
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Sonntag, 28. April 2013 13:36

Der Suchlauf über die Masterbootsektoren wird begonnen:

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'E:\'
[FUND] Enthält Code des Bootsektorvirus BOO/Sinowal.A
[HINWEIS] Der Bootsektor wurde nicht repariert

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'svchost.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '94' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '117' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '148' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '79' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '72' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '85' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '80' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'McSACore.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'mcproxy.exe' - '77' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'mcshield.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'MPFSrv.exe' - '78' Modul(e) wurden durchsucht
Durchsuche Prozess 'MskSrver.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'TemproSvc.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'ThpSrv.exe' - '17' Modul(e) wurden durchsucht
Durchsuche Prozess 'TODDSrv.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'TosCoSrv.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'TecoService.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'mcmscsvc.exe' - '116' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskhost.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'mcagent.exe' - '90' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '155' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'TemproTray.exe' - '80' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxtray.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxpers.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'SmoothView.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxsrvc.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'TPwrMain.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'TCrdMain.exe' - '71' Modul(e) wurden durchsucht
Durchsuche Prozess 'cAudioFilterAgent64.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'ThpSrv.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'TEco.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'TosNcCore.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'TosReelTimeMonitor.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPHelper.exe' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'NDSTray.exe' - '83' Modul(e) wurden durchsucht
Durchsuche Prozess 'ToshibaReminder.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'PrnStatusMX.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'TOPI.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxext.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'mcsysmon.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'TUSBSleepChargeSrv.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'ToshibaServiceStation.exe' - '103' Modul(e) wurden durchsucht
Durchsuche Prozess 'hppusg.exe' - '76' Modul(e) wurden durchsucht
Durchsuche Prozess 'MmReminderService.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpwuschd2.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '89' Modul(e) wurden durchsucht
Durchsuche Prozess 'ONENOTEM.EXE' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'CFIWmxSvcs64.exe' - '17' Modul(e) wurden durchsucht
Durchsuche Prozess 'CFSwMgr.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'CFProcSRVC.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'CFSvcs.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'mcnasvc.exe' - '101' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '112' Modul(e) wurden durchsucht
Durchsuche Prozess 'TosSmartSrv.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'TosSENotify.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'TPCHSrv.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'TPCHWMsg.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'TMachInfo.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'mcods.exe' - '76' Modul(e) wurden durchsucht
Durchsuche Prozess 'mcvsshld.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '119' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '115' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '31' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:

Die Registry wurde durchsucht ( '1836' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'E:\' <Volume>

Ende des Suchlaufs: Sonntag, 28. April 2013 13:46
Benötigte Zeit: 09:29 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

160 Verzeichnisse wurden überprüft
13139 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
13139 Dateien ohne Befall
58 Archive wurden durchsucht
0 Warnungen
1 Hinweise

Ein Suchlauf des gesamten Systems erbrachte keine Funde auf C: oder so. Deshalb bitte ich um Hilfe und habe Defogger-, OTL- und gmer-Logs angehängt.
Dazu habe ich zwei Fragen:
1) Ist das System des Laptops noch in Ordnung?
2) Wie werde ich das Virus auf der externen Festplatte los? Dort sind Daten sicherheitskopiert, die mittlwerweile auf den anreren Rechnern nicht mehr vorhanden sind.

Viele Grüße und Dank für die Hilfe.

Urmel1980

BOO/Sinowal.A auf Bootsektor der externen Festplatte

Log-Analyse und Auswertung: BOO/Sinowal.A auf Bootsektor der externen Festplatte

BOO/Sinowal.A auf Bootsektor der externen Festplatte

Ähnliche Themen: BOO/Sinowal.A auf Bootsektor der externen Festplatte