Nabend zusammen.

Das leidige Thema Trojaner macht nun auch vor meinem Rechner nicht halt, leider. Heute hat AntiVir diesen ominösen Trojane in meinem Bootsektor erkannt, aber nicht löschen können.

Ich habe hier einige Threads durchforstet und bin auf die Sache mit der MBR.EXE gestossen und habe sie so gemacht wie beschieben, auch das mit der MBR.EXE -F. Leider hab ich das 2 mal gemacht und ich bekomme nun das hier angezeigt:

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully

Beim ersten mal als ich MBR.EXE -F ausgeführt hatte kam sowas ÄHNLICHES:

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
MBR rootkit code detected !
malicious code @ sector 0x3a384c41 size 0x1e4 !
copy of MBR has been found in sector 62 !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.
original MBR restored successfully !

C:\Dokumente und Einstellungen\*********\Desktop>

Der fett markierte Text lautete bei mir natürlich anders, leider hab ich den nicht notiert.

Nach nochmaligen überprüfen mit AntiVir war aber dieser Trojaner noch da.

Was kann ich tun?

Hi,

erstmal dn Bericht von Antivir hier reinsetzen, mit dem Gedankenlesen klappt es irgendwie nicht so recht.

Dann noch ein HijackThis für einen Überblick übers System.

Gruß, Karl

Stimmt, das mit dem Gedanken lesen......

Ich konnte niemanden hier in den Kopf schauen und somit erkennen, dass ein AntiVir-Bericht von nöten ist wenn ich schon geschrieben habe was ich für einen Trojaner habe. Eine ganz normale Aufforderung hätte auch gereicht.

Wenn der Bericht nötig ist reiche ich den natürlich nach.

AntiVir Bericht

HJT

Sodele, die Berichte erstmal und Danke schon mal im voraus.

Der Bericht teilt immerhin mit, wo Antivir das Teil gefunden hat. Nämlich in den MBRs von HD0, HD1 und HD2. Hätte ja auch irgendeine temporäre Datei gewesen sein können (auch wenn das zu schön wäre).

mbr.exe arbeitet auch nur auf dem MBR der ersten Festplatte, bin jedenfalls noch nichts anderem begegnet und selber ausprobieren verbietet sich hier.

fixmbr ist angesagt.

aus "Hilfe und Support2 kopiert:

Zitat:

FixmbrRepariert den MBR (Master Boot Record) des Startdatenträgers. Der Befehl fixmbr steht nur bei Verwendung der Wiederherstellungskonsole zur Verfügung.

fixmbr [Gerätename]

Parameter

Gerätename

Das Gerät (Laufwerk), auf dem ein neuer MBR (Master Boot Record) geschrieben werden soll. Mit dem Befehl map können Sie diesen Namen ermitteln. Beispiel für einen Gerätenamen:

\Device\HardDisk0.

Beispiel

Mit dem folgenden Beispiel wird ein neuer MBR (Master Boot Record) auf dem angegebenen Gerät geschrieben:

fixmbr \Device\HardDisk0

Anmerkungen

Wenn Sie keinen Gerätenamen angeben, wird der neue MBR (Master Boot Record) auf den Bootdatenträger geschrieben (Laufwerk, auf dem das primäre System geladen ist).
Falls eine ungültige oder nicht standardgemäße Partitionstabellensignatur festgestellt wird, werden Sie gefragt, ob Sie den Vorgang fortsetzen möchten. Brechen Sie den Vorgang ab, wenn keine Schwierigkeiten beim Zugriff auf die Laufwerke auftreten. Durch das Schreiben eines neuen Master Boot Records auf der Systempartition können Beschädigungen an den Partitionstabellen auftreten, so dass der Zugriff auf die Partitionen nicht mehr möglich ist.

Für deine drei Festplatten sollten die Befehle dann lauten:

Code: Alles auswählenAufklappen

ATTFilter

fixmbr \Device\HardDisk0
fixmbr \Device\HardDisk1
fixmbr \Device\HardDisk2
         

Jetzt muss ich schon mal blöd fragen. Wie komm ich zur Wiederherstellungskonsole? Geht das auch direkt vom Windows aus oder muss ich dazu von der CD booten?

Zitat:

Zitat von So ein Mist

Jetzt muss ich schon mal blöd fragen. Wie komm ich zur Wiederherstellungskonsole? Geht das auch direkt vom Windows aus oder muss ich dazu von der CD booten?

Normalerweise mußt Du von der XP-CD booten. Es gibt aber auch ne Möglichkeit, sich diese zu installieren, so daß man eben nicht von der CD booten muß.

hi, ich habe folgendes gemacht und diesen boo/sinowal.a damit verschwinden lassen.
booten von der cd
R für reparieren
windowsinstallation wählen - bei mir die 1
adminkennwort eingeben.
jetzt ist wichtig, welcher mbr befallen ist - bei mir harddisk1
also habe ich eingegeben:
fixmbr \device\harddisk1
nach fixmbr kommt ein leerzeichen - ganz wichtig.
dann neu starten und antivir laufen lassen.
bei mir war der infekt danach verschwunden.
viel glück
Gurke

Wenn dann musst du den Command umändern in fixmbr \device\harddisk0, fixmbr \device\harddisk1 und fixmbr \device\harddisk2

Ich hatte erst heute wieder Zeit mich mit diesen Trojaner zu befassen.

2 Fragen hab ich noch.

1. Ihr schreibt was von 3 Platten. Sind damit sicher meine 3 Platten gemeint oder die erste Platte mit den 3 Partitionen? Ich hab noch ne kleine 20GB intern und ne 500GB extern dran hängen. Deshalb meine Frage.

Zitat:

Durch das Schreiben eines neuen Master Boot Records auf der Systempartition können Beschädigungen an den Partitionstabellen auftreten, so dass der Zugriff auf die Partitionen nicht mehr möglich ist.

Nach dem ich das weiter unten gelesen habe, trau ich mich nicht mehr.

2. Zur Wiederherstellungskonsole, da war ich heute trotzdem mal drin.
Ich kenn mein Admin Kennwort nicht und ich kann mich auch nicht erinnern jemals eins vergeben zu haben. Auch kann ich bei der Windowsanmeldung keinen Admin finden, nur mich als Computeradmin. Jedenfalls geht mein Login Kennwort nicht auch wenn ich gar nix eingebe geht auch nichts.

Also einen MBR (= Master Boot Record) gibt es jeweils nur einmal auf einer physikalischen Platte (Master Boot Record). Partitionen, die auf einer Festplatte liegen, haben dann jeweils nochmal einen Bootsektor, was aber bei aller Ähnlichkeit der Namen (auch von Wikipedia durcheinander gebracht in der Adresse der Seite) nichts damit zu tun hat.

So, ich hab jetzt fixmbr ausgeführt aber es scheint nichts geholfen zu haben da Antivir den Trojaner noch erkennt. Hättet ihr noch einen Tip?

Was macht dieser Trojaner eigentlich?

Das was ein Backdoor halt so macht

Hat keine mehr einen Tip wie diesen Trojaner weg bekomme?

Zitat:

Zitat von So ein Mist

Hat keine mehr einen Tip wie diesen Trojaner weg bekomme?

Nach dem Reparieren der MBRs (mit fixmbr) Platten formatieren und Windows neu aufsetzen (da der Sinowal nunmal Backdoorfunktionen hat).