Hallo,

die erste goldene Regel des Forums habe ich bereits eingehalten und mich intensiv mit meinem Problem befasst.
Leider konnte ich meinen Trojaner dennoch nicht entfernen. Wie ich erfahren habe lässt sich der Virus auch nicht durch formatieren entfernen.
Glücklicherweise ist der Bootsektor-Virus auf meiner Wechselfestplatte. Leider kann ich nicht mehr auf sie zugreifen, weil mir der zugriff verweigert wird. Ich denke, dass liegt an dem Virus.

Könnt ihr mir bitte helfen?!

Mein Betriebssystem ist XP SP2.

Vielen Dank

Halli hallo.

Das ist ein Backdoor. Am sichersten wäre es wenn du neuaufsetzten würdest.
Allerdings müssten wir vorher so oder so den MBR bereinigen und damit wollen wir nun mal anfangen:

Master Boot Record überprüfen:

Lade dir die mbr.exe von GMER auf die Wechselfestplatte und führe die Datei aus.

Poste das log!

Sollte ein MBR Rootkit gefunden worde sein, das wird im log durch den Ausdruck

Zitat:

MBR rootkit code detected !

indiziert und du musst du eine Bereinigung vornehmen.

Downloade dir dafür die mbr.bat.txt von BataAlexander und speichere sie neben der mbr.exe auf der Wechselplatte.
Ändere die Endung der mbr.txt.bat in mbr.bat
Dann führe die mbr.bat. durch einen Doppelklick aus.
Dabei muss sich die mbr.exe von GMER ebenfalls auf dem Desktop befinden!

Der MBR wird bereinigt und es erscheint ein log. Poste auch diese log!


PS: Ich hoffe obig genanntes funktionert?! Oder hast du wirklich garkeinen Zugriff mehr auf die Platte? Woher weisst du dann um welchen Schädling es sich handelt?

Zuerst einmal vielen Dank Undoreal, dass du mir bei meinem Problem hilfst.
Ich hab versucht die mbr.exe auf meine Wechselfestplatte zu speichern...ohne Erfolg.
Wenn ich die mbr.exe auf meinem Desktop ausführen lasse, bekomme ich folgenden log:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0xe4f8121 size 0x1a8 !
copy of MBR has been found in sector 62 !

Ich habe keinerlei Möglichkeiten von meinem PC aus auf meine Platte zuzugreifen. Von einem Apple-Notebook funktionierts. Avira Antivir hat einen Virus gefunden und ihn boo/sinowal.A genannt.
Das ist ein Teil des logs von Antivir:

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Das Gerät ist nicht bereit.
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Das Gerät ist nicht bereit.
Masterbootsektor HD3
[FUND] Enthält Erkennungsmuster des Bootsektorvirus BOO/Sinowal.A
[HINWEIS] Der Sektor wurde nicht neu geschrieben!


Bei meinen Recherchen im Internet habe ich rausgefunden, dass es sich um ein Bootsektor-Virus handelt, welches aus alten MS-DOS Zeiten stammen soll.

Die Sache die BataAlexander geschreiben hat funktioniert bei mir nicht. Wenn ich auf den link mbr.bat.txt gehe kommt folgendes:

@echo off
mbr.exe -f


Was den Kollege myrtille zum gleichen Thema vorschlägt, nämlich:

Rufe über start->ausführen->cmd eingeben die Kommandozeile auf.
Navigiere mit dem Befehl cd zu dem Ort an dem du mbr.exe gespeichert hast.
Liegt diese auf deinem Desktop reicht cd Desktop einzugeben.
Wenn du in dem Ordner bist, indem die Datei liegt, gib dort bitte mbr.exe -f ein.

funktioniert leider auch nicht.


Wenn ich meine Wechselfestplatte mit der rechten Maustaste anklickt, habe ich die Option "formatieren", aber bei meinem Virus würde das ja nicht klappen.

Weißt du was ich noch machen könnte um endlich wieder auf meine Wechselfestplatte zugreifen zu können.


Mfg

failed-remov

Zitat:

Die Sache die BataAlexander geschreiben hat funktioniert bei mir nicht. Wenn ich auf den link mbr.bat.txt gehe kommt folgendes:

@echo off
mbr.exe -f

klicke bitte mit rechts auf den Link und wähle "speichern unter". Alternativ kannst du das

Zitat:

@echo off
mbr.exe -f

auch einfach selber in ein textdokument reikopieren und das Dokument hinterher in eine .bat umbenennen.

Zitat:

Ich habe keinerlei Möglichkeiten von meinem PC aus auf meine Platte zuzugreifen. Von einem Apple-Notebook funktionierts.

Dann speichere die mbr.exe auf diesem Notebook und kopiere sie von dort aus auf die Platte. Dann ausführen sollte klappen.

Leider kann ich über das Notebook nur die Sachen auf der Platte anschauen, wenn ich was draudkopieren möchte, dann wird mir gesagt, dass das Objekt "mbr.exe" nicht auf meine Wechselfestplatte (Icybox) bewegt werden kann.

Zu deiser "mbr.bat.txt" datei ist folgendes zu sagen, auf meinem Destop wird die Datei als Text gespeichert und heißt von Anfang an "mbr.bat" ich öffne die Datei mit meinem Editor.
Meinst du mit der bat-Datei eine batch-Datei?
Es ist aber ein Text und keine Anwendung...wenn ich die Datei doppelklicke startet natürlich keine Anwendung. Sollte aber, wenn ich dich richtig verstanden habe...

Ich werd noch verrückt!!!

mfg

.bat ist eine Batch Datei ja.

Mir fällt momentan leider echt nichts ein wie man auf die Platte zugreifen kann. Werde mal ein bischen recherchieren..

Wenn die mbr.exe von GMER und die mbr.bat von Alexander zusammen auf dem Desktop liegen und du die ,br.bat doppelt anklickst sollte die mber.exe gestartet werden.