Hi, ich hab grade mit dem AntiVir Personal den Virus BOO/Sinowal.C gefunden, anscheinend ein Bootsektor-Virus...

Der Scanner schlägt mir nun vor das Bootsektor-Reperaturtool von Avira runterzuladen, was ich auch getan habe, auf ne CD gebrannt habe und danach von dieser gebootet habe. Das Programm lief auch an und hat den Virus auch gefunden, allerdings macht es keine Anstalten daran etwas zu ändern... ich lande danach einfach wieder in der Eingabeaufforderung. Ich hab ein bisschen im Internet hinundher gesucht, aber wirklich viel hab ich zu dem Virus nicht gefunden... vielleicht könnt ihr mir ja helfen das Ding loszuwerden.


------------------

Hier der HijackThis Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:56:34, on 30.12.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\NETGEAR\WG111 Configuration Utility\WG111CFG.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\NOTEPAD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.raginghordes.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [GBB36X Configure] C:\WINDOWS\system32\JMRaidTool.exe boot
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Smart Wizard Wireless Settings.lnk = ?
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1213121476160
O17 - HKLM\System\CCS\Services\Tcpip\..\{B4A0FFAE-93D6-401A-A127-CC0C30C408CB}: NameServer = 192.168.1.1
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

--
End of file - 4246 bytes




-----

In dem anderen Thread http://forum.avira.com/wbb/index.php?page=Thread&threadID=69566 wurde auch nach einem GMER Scan gefragt, hab diesen auch schonmal gemacht:

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2008-12-30 02:55:48
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.14 ----

SSDT BAFB39E4 ZwCreateThread
SSDT BAFB39D0 ZwOpenProcess
SSDT BAFB39D5 ZwOpenThread
SSDT BAFB39DF ZwTerminateProcess
SSDT BAFB39DA ZwWriteVirtualMemory

---- Registry - GMER 1.0.14 ----

Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System@OODEFRAG10.00.00.01WORKSTATION 9465246BF90B25A946C6EC4BBE76198BB1D62B06C0088B7611B50EFC2BDB544C6E2A979AD889B3CD0E5786ADD03A7997EE4145FEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74C FEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CA6A0AC4980AC79339DB7CE019D40AA5CA6A0AC4980AC79338EDD5E5BE2F6E66794BD08BF697D4C45446D1DEA07933EBAD01E3A F6EBACF86D35AC5F15F55B29AAFB92CCFE6C55A3231DD72230F770E1DB211FC310F6B55F2F1CB621C89E7CB8627743B99A699A1E4606717B4BD6212069F242F11D012C3A5BF4DE3D59F642 3F00D67CE4EC6FBF09F15557EF924BD8FE70C1B6548BE3A56B68FC05AF6B2C429D04BFF0D8F322FB5FCDB42E37FB0C8EBAE0DAB071EB8CF98BADC90DEC4A0355694E2BD695D2B7C65465A0 1B7BA2E47EBF8FE36842F3FAC466EA42E05963CE98E9A7E5E50D51FDE04BA7EB495E49B62633B45018B37B47E57A3FA1ED50C77B6D9B380FDD2859514A6168BC6873D175C9686CEC7F2500 9702FA32F9A29E2D07F8B00F9E7E3F7A26CB60DE8C29C344AA6FEC37D7E2ED222B02D12CAC75866F04A40B9F5A0FA367046DCB2629434A4D70E37DF9838AD627D21118F972DD3F0B971D46 3F60D89777867DD83F3371763C79B48C7D38411C78729F9D4ED759EF227DD32CA821A851A45B0F708BA172AC0508B5426C0FD66EA18661E63D3BE8B97B0

---- Disk sectors - GMER 1.0.14 ----

Disk \Device\Harddisk0\DR0 sector 61: malicious code @ sector 0x1749ddc1 size 0x1e4

---- EOF - GMER 1.0.14 ----





Schätze die Zeile

Disk \Device\Harddisk0\DR0 sector 61: malicious code @ sector 0x1749ddc1 size 0x1e4

zeigt recht deutlich, dass da irgendwas nicht stimmt, ich weiss nur leider nicht, was ich jetzt dagegen tun kann... ich habe was von nem fixmbr gelesen, der den Masterbootsektor neu schreibt und das Problem evtl beheben kann, allerdings hab ich auch gelesen, dass das manchmal problematisch sein kann und wenn es sich irgendwie vermeiden lässt würde ich ungern das Risiko eingehn mein C: Laufwerk zu verlieren

So, ich hoffe ihr könnt mir helfen, danke schonmal im vorraus !

Bitte das Service Pack 3 installieren

Code: Alles auswählenAufklappen

ATTFilter

 	Platform: Windows XP SP2 (WinNT 5.01.2600)
         

Es ist leider ein sehr großes Problem von Avira dass es zwar Boot Sektoren Viren findet aber nicht löschen kann.
Versuche mal das Antiviren-Tool von Avast.
Damit hab ich schon einige der Sorte fertigbekommen ^^
Dein HJT-Protokoll ist sauber