Hallo! Ich habe ebenfalls ein Problem mit dem Virus BOO/Sinowal.A, bin aber mit den bisherigen Threads nicht weitergekommen. Und da in den Regeln ja steht, dass man immer ein eigenes Thema erstellen soll, um Verwirrung zu vermeiden, tue ich das halt, ich hoffe, das ist so in Ordnung.

Ich verwende Windows XP mit Service Pack 3. Der Virenscanner hat den Virus BOO/Sinowal.A im Bootsektor gefunden und konnte ihn nicht löschen, es kam eine Fehlermeldung, dass der Bootsektor nicht repariert werden kann.
Zunächst mal habe ich (nach vielem googlen) das gleiche gemacht wie Pneumatik es in diesem Thread beschreibt. Also, Windows XP-CD einlegen, von der CD booten, dann R drücken und in der Wiederherstellungskonsole den Befehl fixmbr eingeben. Das hat aber nichts genutzt, Antivir hat den Fund nachher wieder gemeldet.

Dann habe ich in Pneumatiks Thread von dem mbr detector (http://www2.gmer.net/mbr/mbr.exe) gelesen und das mal ausprobiert, mit folgendem Ergebnis:

-----
Stealth MBR rootkit detector 0.2.4 by Gmer, h**p://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x4a98cc5 size 0x1e4 !
copy of MBR has been found in sector 62 !
-----

Also fast genau wie hier,
aber mit dem Unterschied, dass die Zeile "MBR rootkit infection detected ! Use: "mbr.exe -f" to fix." fehlt. Sollte ich das trotzdem versuchen? Geht das überhaupt?

EDIT: Ich hab noch einen Log von Antivir in den Anhang gepackt.

Hi,
ja arbeite bitte dieselbe Anleitung ab, wie in dem anderen Thread:

Rufe über start->ausführen->cmd eingeben die Kommandozeile auf.
Navigiere mit dem Befehl cd zu dem Ort an dem du mbr.exe gespeichert hast.
Liegt diese auf deinem Desktop reicht cd Desktop einzugeben.
Wenn du in dem Ordner bist, indem die Datei liegt, gib dort bitte mbr.exe -f ein.

Poste das neue Log bitte ebenfalls hier.

lg myrtille

Scheint leider nicht zu funktionieren:

-----
Microsoft Windows XP [Version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

C:\Dokumente und Einstellungen\***>cd desktop

C:\Dokumente und Einstellungen\***\Desktop>mbr.exe -f
Stealth MBR rootkit detector 0.2.4 by Gmer, h**p://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x4a98cc5 size 0x1e4 !
copy of MBR has been found in sector 62 !

C:\Dokumente und Einstellungen\***\Desktop>
-----

Myrtille hat eine Idee

Hi,
dann erstell bitte ein DSS-Log, damit wir einen Überblick über deinen Rechner bekommen.

DSS

• Lade dir DSS
• Schließe alle Anwendungen und führe DSS.exe dann mit einem Doppelklick aus
• Führe während DSS arbeitet bitte keine anderen Aktionen durch
• Am Ende öffnen sich 2 Datein main.txt und extra.txt
• Poste den Inhalt beider Dateien hier

lg myrtille
EDIT: @Bata Das ist grob gelogen Wer hat denn hier was für Ideen. Nabend

So, der Log von HijackThis wird dann also nicht gebraucht, oder? Die von DSS sind im Anhang.

Wir werden Dein Problem morgen weiter verfolgen.

Hast du heute größere Veränderungen an deinem Rechner vorgenommen? SP3 installiert? neuaufgesetzt?

Hijackthis brauchen wir nicht mehr. Ich hätte allerdings gern ein ausführlicheres Listing:

Erstelle ein filelisting mit diesem script:

- Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
- Doppelklick auf listing6.cmd auf dem Desktop
- nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei rapidshare hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

lg myrtille

EDIT: So, ich=bett, alles weitere dann morgen.