BOO/Sinowal.A

dojoh · 02.11.2008, 14:19

Moin Forum,

ich hab hier gerade ein etwas älteres Sony Notebook vor mir, dass laut Antivir mit dem BOO/Sinowal.A Virus im Masterbootsektor HD1 infiziert ist. Betriebsystem ist WinXP SP3.
Ich habe hier im Forum schon diverse Anleitungen gefunden und so weit es ging befolgt. Allerdings ohne Erfolg.
Praktisch waren dies: Widerherstellungskonsole und dann "fixmbr" bzw "fixboot c:". Beide schrein aufder Festplatte rum, allerdings ohne, dass der Virus danach weg ist.

Ausgeführt habe ich danach die mbr.exe von gmer.net (ein mbr.exe -f, dass teilweise vorgeschlagen wurde, liefert die selbe Ausgabe und löscht den Virus nicht)

Code:

ATTFilter

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK 
malicious code @ sector 0x4a8505a size 0x1ce !
copy of MBR has been found in sector 62 !

Sowie den GMER:

Code:

ATTFilter

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2008-11-02 14:16:40
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.14 ----

SSDT            F8B1F2EC                  ZwCreateThread
SSDT            F8B1F2D8                  ZwOpenProcess
SSDT            F8B1F2DD                  ZwOpenThread
SSDT            F8B1F2E7                  ZwTerminateProcess
SSDT            F8B1F2E2                  ZwWriteVirtualMemory

---- Devices - GMER 1.0.14 ----

Device          \FileSystem\Ntfs \Ntfs    lfsfilt.sys (NDAS LFS Filter/XIMETA, Inc.)

AttachedDevice  \FileSystem\Ntfs \Ntfs    avgntmgr.sys (Avira AntiVir File Filter Driver Manager/Avira GmbH)
AttachedDevice  \FileSystem\Ntfs \Ntfs    lfsfilt.sys (NDAS LFS Filter/XIMETA, Inc.)
AttachedDevice  \FileSystem\Fastfat \Fat  avgntmgr.sys (Avira AntiVir File Filter Driver Manager/Avira GmbH)

---- Disk sectors - GMER 1.0.14 ----

Disk            \Device\Harddisk0\DR0     sector 61: malicious code @ sector 0x4a8505a size 0x1ce
Disk            \Device\Harddisk0\DR0     sector 62: copy of MBR

---- EOF - GMER 1.0.14 ----

Dementsprechend geh ich davon aus: Virus da, nur wie werd ich ihn los?

Wär euch echt dankbar über Hilfestellungen!

LG dojoh

Silent sharK · 02.11.2008, 21:18

Hallo,

wenn Avira Sinowal trotz fixmbr/fixboot und mbr.exe -f meldet, kann ich dir nur raten, dein System plattzumachen und Windows neu aufzuspielen.
Nicht normal, mach es am besten mit DBAN.
Dann kannst du sicher gehen, das Sinowal entfernt wurde.

mfg

dojoh · 02.11.2008, 23:02

Hi,

das könnte etwas problematisch sein, da das Laptop meinem Dad gehört und der darauf einige Programme hat, die er nicht so einfach wieder installiert bekommt.
Desweiteren habe ich bis jetzt mehrfach gelesen, dass auch eine komplette Neuinstallation (wenn auch ohne DBAN) nichts gebracht hat.
Dementsprechend: gibt es vielleicht doch noch irgendwelche Lösungsvorschläge? Wäre echt super hilfreich!

Vielen Dank schonmal für deine Antwort!

Grüße dojoh

Silent sharK · 02.11.2008, 23:05

Naja, wenn du die Zeit aufbringen willst, können wir noch etwas mehr im System graben.
Führe bitte folgende Tools aus:

1.)
Blacklight scannen lassen

Lade F-Secure Blacklight runter in einen eigenen Ordner, z.B. C:\programme\blacklight. Sollte der Download nicht klappen, dann probiere es mit diesem Link.
Starte in diesem Ordner blbeta.exe. Alle anderen Programme schließen.
Klick "I accept the agreement", "next", "Scan".
Wenn der Scan fertig ist beende Blacklight mit "Close".
Im Verzeichnis von Blacklight findest Du das erstellte Log fsbl-XXX.log, anstelle der XXX steht eine längere Folge von Ziffern.

2.)
ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

dojoh · 03.11.2008, 00:09

Hi,

hier erstmal den Log vom ersten:

Code:

ATTFilter

11/02/08 23:18:07 [Info]: BlackLight Engine 2.2.1092 initialized
11/02/08 23:18:07 [Info]: OS: 5.1 build 2600 (Service Pack 3)
11/02/08 23:18:08 [Note]: 7019 4
11/02/08 23:18:08 [Note]: 7005 0
11/02/08 23:18:15 [Note]: 7006 0
11/02/08 23:18:15 [Note]: 7011 1960
11/02/08 23:18:15 [Note]: 7035 0
11/02/08 23:18:15 [Note]: 7026 0
11/02/08 23:18:15 [Note]: 7026 0
11/02/08 23:18:19 [Note]: FSRAW library version 1.7.1024

Das Programm gibt dabei die Meldung aus, dass NICHTS gefunden wurde... etwas verwirrend. Hab gerade nochmal mit AntiVir überprüft: Ist aber weiterhin im MBR drin...

Das zweite Programm kann ich leider erst in einer Woche ausführen. Bin unter der Woche nicht hier und heut wirds mir zuviel

sorry.

Hilft vielleicht das erste log schon ?

Vielen Dank!

Silent sharK · 03.11.2008, 00:11

Komisch, das BlackLight nichts findet.

Combofix ist nicht zwingend, es ist nicht dazu da, um Sinowal zu entfernen.
Kannst du bitte den Report von Avira posten?

blow-in · 03.11.2008, 14:48

Hallo zusammen
Ich würde ja sagen, dass der Sinowal nicht mehr aktiv ist und auch keinen Schaden mehr anstellen kann.

Zitat:

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x4a8505a size 0x1ce !
copy of MBR has been found in sector 62 !

der MBR wird als OK bezeichnet.
Deshalb findet auch Blackligth nichts mehr.
Da gibt es lediglich noch an irgend einer Stelle den Besagten Eintrag, sozusagen die Kopie in Sektor 62.
Dieser Sektor wird auch nicht durch ein Format beseitigt.

Silent sharK · 03.11.2008, 21:24

Das hab ich doch glatt wieder übersehen.

Danke Dir, blow-in

BOO/Sinowal.A

Plagegeister aller Art und deren Bekämpfung: BOO/Sinowal.A

BOO/Sinowal.A

BOO/Sinowal.A

BOO/Sinowal.A

BOO/Sinowal.A

BOO/Sinowal.A

BOO/Sinowal.A

BOO/Sinowal.A

BOO/Sinowal.A

Ähnliche Themen: BOO/Sinowal.A

02.11.2008, 21:18	#2
Silent sharK	BOO/Sinowal.A Hallo, wenn Avira Sinowal trotz fixmbr/fixboot und mbr.exe -f meldet, kann ich dir nur raten, dein System plattzumachen und Windows neu aufzuspielen. Nicht normal, mach es am besten mit DBAN. Dann kannst du sicher gehen, das Sinowal entfernt wurde. mfg __________________ __________________

03.11.2008, 00:11	#6
Silent sharK	BOO/Sinowal.A Komisch, das BlackLight nichts findet. Combofix ist nicht zwingend, es ist nicht dazu da, um Sinowal zu entfernen. Kannst du bitte den Report von Avira posten? __________________ --> BOO/Sinowal.A

03.11.2008, 21:24	#8
Silent sharK	BOO/Sinowal.A Das hab ich doch glatt wieder übersehen. Danke Dir, blow-in __________________ mfg, Patrick Technische Kompromittierung => Tatort Internet Keine Windows-CD? Selbst brennen.