Hallo,

die erste goldene Regel des Forums habe ich bereits eingehalten und mich intensiv mit meinem Problem befasst.
Leider konnte ich meinen Trojaner dennoch nicht entfernen. Wie ich erfahren habe lässt sich der Virus auch nicht durch formatieren entfernen.
Glücklicherweise ist der Bootsektor-Virus auf meiner Wechselfestplatte. Leider kann ich nicht mehr auf sie zugreifen, weil mir der zugriff verweigert wird. Ich denke, dass liegt an dem Virus.

Könnt ihr mir bitte helfen?!

Mein Betriebssystem ist XP SP2.

Vielen Dank

Halli hallo.

Das ist ein Backdoor. Am sichersten wäre es wenn du neuaufsetzten würdest.
Allerdings müssten wir vorher so oder so den MBR bereinigen und damit wollen wir nun mal anfangen:

Master Boot Record überprüfen:

Lade dir die mbr.exe von GMER auf die Wechselfestplatte und führe die Datei aus.

Poste das log!

Sollte ein MBR Rootkit gefunden worde sein, das wird im log durch den Ausdruck

Zitat:

MBR rootkit code detected !

indiziert und du musst du eine Bereinigung vornehmen.

Downloade dir dafür die mbr.bat.txt von BataAlexander und speichere sie neben der mbr.exe auf der Wechselplatte.
Ändere die Endung der mbr.txt.bat in mbr.bat
Dann führe die mbr.bat. durch einen Doppelklick aus.
Dabei muss sich die mbr.exe von GMER ebenfalls auf dem Desktop befinden!

Der MBR wird bereinigt und es erscheint ein log. Poste auch diese log!


PS: Ich hoffe obig genanntes funktionert?! Oder hast du wirklich garkeinen Zugriff mehr auf die Platte? Woher weisst du dann um welchen Schädling es sich handelt?

Zuerst einmal vielen Dank Undoreal, dass du mir bei meinem Problem hilfst.
Ich hab versucht die mbr.exe auf meine Wechselfestplatte zu speichern...ohne Erfolg.
Wenn ich die mbr.exe auf meinem Desktop ausführen lasse, bekomme ich folgenden log:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0xe4f8121 size 0x1a8 !
copy of MBR has been found in sector 62 !

Ich habe keinerlei Möglichkeiten von meinem PC aus auf meine Platte zuzugreifen. Von einem Apple-Notebook funktionierts. Avira Antivir hat einen Virus gefunden und ihn boo/sinowal.A genannt.
Das ist ein Teil des logs von Antivir:

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Das Gerät ist nicht bereit.
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Das Gerät ist nicht bereit.
Masterbootsektor HD3
[FUND] Enthält Erkennungsmuster des Bootsektorvirus BOO/Sinowal.A
[HINWEIS] Der Sektor wurde nicht neu geschrieben!


Bei meinen Recherchen im Internet habe ich rausgefunden, dass es sich um ein Bootsektor-Virus handelt, welches aus alten MS-DOS Zeiten stammen soll.

Die Sache die BataAlexander geschreiben hat funktioniert bei mir nicht. Wenn ich auf den link mbr.bat.txt gehe kommt folgendes:

@echo off
mbr.exe -f


Was den Kollege myrtille zum gleichen Thema vorschlägt, nämlich:

Rufe über start->ausführen->cmd eingeben die Kommandozeile auf.
Navigiere mit dem Befehl cd zu dem Ort an dem du mbr.exe gespeichert hast.
Liegt diese auf deinem Desktop reicht cd Desktop einzugeben.
Wenn du in dem Ordner bist, indem die Datei liegt, gib dort bitte mbr.exe -f ein.

funktioniert leider auch nicht.


Wenn ich meine Wechselfestplatte mit der rechten Maustaste anklickt, habe ich die Option "formatieren", aber bei meinem Virus würde das ja nicht klappen.

Weißt du was ich noch machen könnte um endlich wieder auf meine Wechselfestplatte zugreifen zu können.


Mfg

failed-remov

Zitat:

Die Sache die BataAlexander geschreiben hat funktioniert bei mir nicht. Wenn ich auf den link mbr.bat.txt gehe kommt folgendes:

@echo off
mbr.exe -f

klicke bitte mit rechts auf den Link und wähle "speichern unter". Alternativ kannst du das

Zitat:

@echo off
mbr.exe -f

auch einfach selber in ein textdokument reikopieren und das Dokument hinterher in eine .bat umbenennen.

Zitat:

Ich habe keinerlei Möglichkeiten von meinem PC aus auf meine Platte zuzugreifen. Von einem Apple-Notebook funktionierts.

Dann speichere die mbr.exe auf diesem Notebook und kopiere sie von dort aus auf die Platte. Dann ausführen sollte klappen.

Leider kann ich über das Notebook nur die Sachen auf der Platte anschauen, wenn ich was draudkopieren möchte, dann wird mir gesagt, dass das Objekt "mbr.exe" nicht auf meine Wechselfestplatte (Icybox) bewegt werden kann.

Zu deiser "mbr.bat.txt" datei ist folgendes zu sagen, auf meinem Destop wird die Datei als Text gespeichert und heißt von Anfang an "mbr.bat" ich öffne die Datei mit meinem Editor.
Meinst du mit der bat-Datei eine batch-Datei?
Es ist aber ein Text und keine Anwendung...wenn ich die Datei doppelklicke startet natürlich keine Anwendung. Sollte aber, wenn ich dich richtig verstanden habe...

Ich werd noch verrückt!!!

mfg

.bat ist eine Batch Datei ja.

Mir fällt momentan leider echt nichts ein wie man auf die Platte zugreifen kann. Werde mal ein bischen recherchieren..

Wenn die mbr.exe von GMER und die mbr.bat von Alexander zusammen auf dem Desktop liegen und du die ,br.bat doppelt anklickst sollte die mber.exe gestartet werden.

Ok, also, wenn ich dich richtig verstehe möchtest du, dass der Text also
@echo off mbr.exe-f ausgeführt wird oder nicht?
Ich hab den Text ausfeführt, aber es verändert sich nix. Der log bleibt unverändert bei:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0xe4f8121 size 0x1a8 !
copy of MBR has been found in sector 62 !



Wenn ich nur mbr.exe-f ausführen möchte passiert nichts, weil er's nicht finden kann...

Ich versuch mich auch noch schlau zu machen...

Wenn du eine Lösung hast, lass es mich wissen.


Danke dir!!!!

Blacklight bitte laufen lassen und das log posten.. evtl. Funde bitte umbennen/beheben lassen!

Ich weiss nicht genau welche Sektoren Blacklight durchsucht aber ein Versuch ist allemal wert!

Ich lass es grad laufen...
Was mich wundert ist nur, dass ich auf den Datenträger nicht zugreifen kann, aber Antivir trotzdem dort ein Virus erkennt.
Auch im abgesicherten Modus kann ich nicht auf die Platte zugreifen.


Ok, ich hoffe es wird jetzt nicht mega peinlich für mich aber, würde es dir helfen, wenn ich dir sagen würde, dass Windows sagt:

Zugriff verweigert!
Die Datei oder das Verzeichnis ist beschädigt oder nicht lesbar.

Aber über das Apple-Notebook (Betriebssystem Mac OSX) kann ich drauf zugreifen. Defekt kann die Platte also nicht sein.

Der Scan ist beendet. Blacklight hat nach versteckten Prozessen und versteckten Ordnern gesucht, aber nichts verstecktes gefunden...
Die Log-Datei zeigt nur meine Prozesse....wird dir wohl nicht helfen.

mfg

..........

Hallo,

ich weiß nicht, ob das überhaupt noch wichtig ist, aber:
vielleicht öffnet sich die Dir angezeigte mbr.bat als Textdatei, weil das ".txt" ausgeblendet wird.
Um das zu ändern, klicke in einem beliebigen Explorerfenster oben auf "Extras", "Ordneroptionen", gehe dann auf "Ansicht" und nehme dort das Häkchen bei "Erweiterungen bei bekannten Dateitypen ausblenden" weg.
Einmal noch auf Übernehmen, nun sollte Dir die Datei als "mbr.bat.txt" angezeigt werden und wenn Du sie umbenennst, kannst Du das ".txt" wegnehmen und anschließend ausführen.

Wie es dann weitergeht überlasse ich lieber undoreal

Ich hätte da mal einen Vorschlag. Deaktiviere die 1. und 2. HDD und starte mit der XP Bootcd. Kann man im BIOS einstellen.
Hast du dann Zugriff auf diese 3. HDD oder meldet die sich als unformatiert?

HI,

@lavla: Es hat funktioniert! Aus der Textdatei wurde tatsächliche eine bat-Datei, die ausgeführt werden konnte. DANKE :aplaus:

@blow-in: Gute Idee, aber leider erkennt mein BIOS die Festplatte auch nicht...

@undoreal: zunächst hoffe ich, dass die Geduld und Lust noch nicht verloren hast?! Dank Lavla's Hilfe kann ich dir jetzt den log schicken, der erstellt wird, wenn ich die mbr.bat-Datei ausführe:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0xe4f8121 size 0x1a8 !
copy of MBR has been found in sector 62 !


Leider bleibt alles unverändert....

Zitat:

Zitat von failed-remov

HI,
@blow-in: Gute Idee, aber leider erkennt mein BIOS die Festplatte auch nicht...

Wie ist denn die 3.HDD angeschlossen? ev. über USB? Dann musst du im BIOS den USB zugriff erlauben einstellen. Im Normalbetrieb von Windows übernimmt diese Einstellung das BS.