BOO/Sinowal.A mit Avira gefunden - wie kriege ich ihn raus ?

om2008 · 14.09.2008, 17:36

Hallo zusammen !

Laut Avira sind wir mit BOO/Sinowal.A befallen
Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[FUND] Enthält Code des Bootsektorvirus BOO/Sinowal.A
[HINWEIS] Der Sektor wurde nicht neu geschrieben!

Wir suchen schon eine ganze Weile über versch.Einträge in Eurem Forum,
kommen aber nicht weiter.
Haben aus gesichertem Modus gestartet, in Recovery Console fixmbr ausgeführt etc.
Letzte Tat:
Den Rechner komplett neu eingerichtet, format c:/ , währenddessen war
die D-Festplatte abgeklemmt, AVira komplett neu installiert, dann D:/ wieder eingesteckt und gleich den Scanner drüberlaufen lassen.
Ergebnis - siehe oben.

Wie kriegen wir den Trojaner (?) von D./ runter ohne alles nochmal neu installieren zu müssen ?

Vielen Dank für Eure Hilfe !
M+O

cosinus · 14.09.2008, 19:16

Hallo und

Ich schätze das einfachste wird es sein, in der Wiederherstellungskonsole (von der Windows-CD booten) diesen Befehl auszuführen:

Code:

ATTFilter

fixmbr \device\harddisk1

Da es sich um die Zweitplatte anscheinend handelt, die infiziert ist (Masterbootsektor HD1).

om2008 · 15.09.2008, 19:15

Hallo und Danke für die nette Begrüßung !

Das haben wir nach den Hinweisen hier im BOard auch schon gemacht - hat nichts genützt, nur unsere Verzweiflung gesteigert.

Was können wir noch tun ?
Danke für die HIlfe !!!

O+M

cosinus · 15.09.2008, 19:26

Hallo

Was für ne Festplatte ist das? Von AntiVir sehe ich nur, dass es die Zweitplatte ist.

HD0 = Erste Festplatte, wahrscheinlich die Systemplatte mit Systempartition
HD1 = Zweitplatte?? Kann auch ein anderes Gerät sein, vllt ein Kartenleser oder ext. Platte. Bin mir da nicht genau sicher wie AntiVir da tickt.

Poste mal Deine verwendeten Datenträger.

om2008 · 15.09.2008, 20:16

Haben 2. Festplatte (Phsikalische Platte, keine Partition)

cosinus · 15.09.2008, 20:35

Führ doch mal bitte dieses Tool aus und poste die Ausgabe.

om2008 · 16.09.2008, 21:57

mbr.exe ausgeführt. Folgende Antwort:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x17499f00 size 0x1e4 !
copy of MBR has been found in sector 62 !

Grüße&Danke
OM

SystemPro · 17.09.2008, 05:58

Zitat:

fixmbr \device\harddisk1

Der Trick klappt nicht, die Stealth MBR Schurken haben da schon längst eine Sperre eingebaut. Hol dir Vista 64 bit, da ist dieses Problem behoben oder eben
Gmers tool, klar:

Zitat:

mbr.exe ausgeführt.

om2008 · 17.09.2008, 12:53

Hi root24 !

Bitte nochmal auf Laien-PC-Deutsch :
Was können wir tun ? Was ist gmers tool ?
Wo finden wir das ...?

Sorry und Danke für die Geduld !
om

cosinus · 17.09.2008, 15:59

Zitat:

Zitat von SystemPro

Der Trick klappt nicht, die Stealth MBR Schurken haben da schon längst eine Sperre eingebaut.

Interessant.

Und inwiefern soll die Sperre da eingreifen wenn man garnicht von der Festplatte bootet sondern von der Windows-CD um in die Wiederherstellungskonsole zu gelangen?

Zitat:

Hol dir Vista 64 bit, da ist dieses Problem behoben oder eben
Gmers tool, klar:

Das ist keine Option. Allein wegen eines lächerlichen MBR-Befalls wechselt man nicht zu einem 64bit-OS.

@om2008: Wir hatten Dein Problem schonmal hier diskutiert, nur langsam erinnere ich mich

dort konnte mit fixmbr der MBR repariert werden.

Geh nochmal in die Wiederherstellungskonsole und führe dort den Befehl map aus. Aus der Ausgabe solltest Du sehen welchen Hardwarepfad Deine Festplatte hat, also welche Nummer sie (nach harddisk) hat.

Silent sharK · 18.09.2008, 17:58

Zitat:

Und inwiefern soll die Sperre da eingreifen wenn man garnicht von der Festplatte bootet sondern von der Windows-CD um in die Wiederherstellungskonsole zu gelangen?

Na weißt du das nicht?
Es gibt schon längst Rootkits, die EEPROM's/EPROM's und andere Flash-Speicher überschreiben.

cosinus · 18.09.2008, 18:03

Zitat:

Zitat von Silent sharK

Na weißt du das nicht?
Es gibt schon längst Rootkits, die EEPROM's/EPROM's und andere Flash-Speicher überschreiben.

Quelle?
Und wieso soll Vista64 da angeblich resistent gegen sein?

Silent sharK · 18.09.2008, 18:05

Zitat:

Quelle?
Und wieso soll Vista64 da angeblich resistent gegen sein?

Ich meinte das ironisch!
Sorry, ich vergaß die [irony]-Tags. Natürlich ist dies nicht möglich.
Wer sagt, das Vista Ultimate resistent gegen was auch immer sein soll?

cosinus · 18.09.2008, 18:07

Habs scho kapiert

man beachte meinen Smiley

Silent sharK · 18.09.2008, 18:09

Ach, den hab ich in meiner Eile ganz überflogen, sorry.

So, nu bin ich weg; ich muss meinen Rootkit aus dem CMOS entfernen.

SCNR

14.09.2008, 19:16	#2
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	BOO/Sinowal.A mit Avira gefunden - wie kriege ich ihn raus ? Hallo und Ich schätze das einfachste wird es sein, in der Wiederherstellungskonsole (von der Windows-CD booten) diesen Befehl auszuführen: Code: ATTFilter fixmbr \device\harddisk1 Da es sich um die Zweitplatte anscheinend handelt, die infiziert ist (Masterbootsektor HD1). __________________ __________________

15.09.2008, 20:35	#6
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	BOO/Sinowal.A mit Avira gefunden - wie kriege ich ihn raus ? Führ doch mal bitte dieses Tool aus und poste die Ausgabe. __________________ --> BOO/Sinowal.A mit Avira gefunden - wie kriege ich ihn raus ?

18.09.2008, 18:07	#14
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	BOO/Sinowal.A mit Avira gefunden - wie kriege ich ihn raus ? Habs scho kapiert man beachte meinen Smiley __________________ Logfiles bitte immer in CODE-Tags posten

BOO/Sinowal.A mit Avira gefunden - wie kriege ich ihn raus ?

Plagegeister aller Art und deren Bekämpfung: BOO/Sinowal.A mit Avira gefunden - wie kriege ich ihn raus ?