Hallo Trojaner

jetzt hat es mich pünktlich zum Jahresende auch erwischt.

Antivir meldet:

Zitat:

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[FUND] Enthält Code des Bootsektorvirus BOO/Sinowal.A
[HINWEIS] Der Sektor wurde nicht neu geschrieben!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der PC:
BS Windows XP Pro derzeit SP1
Festplatte 1 160GB, partitioniert in jeweils 15GB Partitionen (C;E;....)
Festplatte 2 irgendwas um 3GB (Partition D), ein Relikt, aber mit BS WIN XP Pro drauf, wird aber nicht genutzt - kein Dualboot eingerichtet.

Was war:
Der Rechner lief schon seit ner Weile recht instabil, ergo Neuinstallation über Weihnachten.
Dann vergangenes Wochenende, irgend eine Internetseite aufgerufen - blubb, Meldung: Rechner wird heruntergefahren, was er dann auch tat. Nach dem Neustart war keine Netzwerkverbindung mehr vorhanden, nicht mal per "Ping" war der Router mehr ansprechbar.
Vermutung, Netzwerktreiber irgendwie abgeschossen, jetzt wirds Zeit für die Neuinstallation.
Ob die Instabilität allerdings causal mit dem Virus zusammenhängt, wage ich nicht zu behaupten.


Was wurde gemacht:
Die wichtigen Daten wurden nochmals gesichert.
Win XP Pro wurde auf C neu installiert, dabei wurde Partition C neu formatiert (nicht schnellformatiert). Ein paar Treiber wurden aufgespielt, Netzwerk funktioniert, Antivir aufgespielt, neue Virendefinition vom 29.12.2008 aufgespielt, Suchlauf -> Ergebniss: BOO/Sinowal.A

Dann, mit einigem Zirkus, Bootwizard von Avira laufen lassen, Ergebniss Malware aber keine Reparatur
Als nächstes Windows Reparaturkonsole gestartet und FIXMBR ausgeführt.
Das meldet einen unüblichen MBR, dieser wurde dann erfolgreich neu geschrieben.
Nochmaliger Aufruf von FIXMBR, gleiches Ergebniss.
Auch FIXBOOT hilft nicht.
Antivir meldet weiterhin BOO/Sinowal.A

Weitere Recherchen im Internet, vor allem Trojanerboard.
MBR.EXE runtergeladen Ergebniss:

Zitat:

Stealth MBR rootkit detector 0.2.4 by Gmer, http:xx

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x12a14c00 size 0x1ae !
copy of MBR has been found in sector 62 !

Versuch mit MBR.EXE -f, kein Erfolg.

Damit bin ich eigentlich mit meinem Latein am Ende.

Ich habe dann noch GMER laufen lassen:

Zitat:

GMER 1.0.14.14536 - http:xx
Rootkit scan 2008-12-31 15:21:12
Windows 5.1.2600 Service Pack 1


---- System - GMER 1.0.14 ----

SSDT F7A95164 ZwCreateThread
SSDT F7A95150 ZwOpenProcess
SSDT F7A95155 ZwOpenThread
SSDT F7A9515F ZwTerminateProcess
SSDT F7A9515A ZwWriteVirtualMemory

---- Kernel code sections - GMER 1.0.14 ----

.text ntoskrnl.exe!KeInitializeInterrupt + B67 804DA23C 1 Byte [ 06 ]
.text ntoskrnl.exe!KeI386Call16BitCStyleFunction + 1E0 8050265C 4 Bytes [ 64, 51, A9, F7 ]
.text ntoskrnl.exe!KeI386Call16BitCStyleFunction + 2F4 80502770 4 Bytes [ 50, 51, A9, F7 ]
.text ntoskrnl.exe!KeI386Call16BitCStyleFunction + 30C 80502788 4 Bytes [ 55, 51, A9, F7 ]
.text ntoskrnl.exe!KeI386Call16BitCStyleFunction + 510 8050298C 4 Bytes [ 5F, 51, A9, F7 ]
.text ntoskrnl.exe!KeI386Call16BitCStyleFunction + 560 805029DC 4 Bytes [ 5A, 51, A9, F7 ]
? C:\DOKUME~1\h\LOKALE~1\Temp\mbr.sys Das System kann die angegebene Datei nicht finden. !

---- Devices - GMER 1.0.14 ----

AttachedDevice \FileSystem\Ntfs \Ntfs avgntmgr.sys (Avira AntiVir File Filter Driver Manager/Avira GmbH)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 Ch2kPS2.sys (Cherry PS2 driver for Win2k/Cherry GmbH)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 Ch2kPS2.sys (Cherry PS2 driver for Win2k/Cherry GmbH)
AttachedDevice \FileSystem\Fastfat \Fat avgntmgr.sys (Avira AntiVir File Filter Driver Manager/Avira GmbH)

---- Disk sectors - GMER 1.0.14 ----

Disk \Device\Harddisk0\DR0 sector 61: malicious code @ sector 0x12a14c00 size 0x1ae
Disk \Device\Harddisk0\DR0 sector 62: copy of MBR

---- EOF - GMER 1.0.14 ----

Das Hijackthis-Log schaut auch noch frisch aus, wie auch, wenn eigentlich noch nichts installiert ist.
Myrtilles Link zu DSS scheint leider nicht mehr zu funktionieren.

Noch paar Infos:

FIXMBR findet die MBRs beider Festplatten strange.

Ich habe noch ne etwas ältere Virendefinition vom 30.11.08 auf dem Rechner gefunden.
Wenn ich die installiere findet Antivir nichts im Bootsector.


Bevor ich den Rechner weiter installiere würde ich den MBR gerne sauber haben, aber wie?

Ich hoffe, dass mir hier jemand weiterhelfen kann.

Gruss H

So, das Schwein wäre geschlachtet

Naja zumindest mal der Sinowal.
Den habe ich mit Hilfe eines Diskeditors im MBR der zweiten Platte gefunden.
Der MBR war eindeutig verändert. Ich habe ihn dann mit der Kopie von
Sektor 62 überschrieben, natürlich erst nach Vergleich mit einigen anderen
MBR's. Antivir klingelt jetzt jedenfalls nicht mehr.

Ne kleine Warnung am Rande, bei solchen Aktionen mit einem Diskeditor
sollte man schon zu 100% wissen was man macht.
Mit einem Diskeditor lässt sich jedes System trefflich abschiessen.


Was allerdings noch übrig bleibt ist die Meldung von MBR:

Zitat:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://xx
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x12a14c00 size 0x1ae !
copy of MBR has been found in sector 62 !

und GMER meint dazu

Zitat:

---- Disk sectors - GMER 1.0.14 ----

Disk \Device\Harddisk0\DR0 sector 61: malicious code @ sector 0x12a14c00 size 0x1ae
Disk \Device\Harddisk0\DR0 sector 62: copy of MBR

---- EOF - GMER 1.0.14 ----

Diese Angaben blicke ich im Moment noch nicht.
In Sector 0 steht der MBR
bis Sector 60 gibts nur 00
in Sector 60 stehen 175 Byte, möglicherweise Code, Rest 00
der Sector 61 ist voll mit Bytes ebenfalls möglicherweise Code
Sector 62 ist dann die Kopie des MBR, das scheint ok zu sein.

Aber was hat dann die Angabe
"malicious code @ sector 0x12a14c00 size 0x1ae"
zu bedeuten?
Soweit ich jetzt rausgefunden habe ist sector 0x12a14c00
der erste Sector im unpartitionierten Bereich hinter der zehnten Partition.
Jedenfalls steht im Sector davor noch eine Kopie? des Bootsectors der
10ten Partition.
Der sector 0x12a14c00 ist weitgehend leer, allerdings steht am Anfang:
4D 5A 90 00, danach fast nur noch 00, jedenfalls nichts
was zu "size 0x1ae" berechtigen würde.
In den folgenden Sectoren gibts dann doch noch reichlich Bytes, mit
ziemlicher Sicherheit auch Code darunter. Das ist estwas verwirrend,
schliesslich befindet sich das im unpartitionierten Bereich.

Hat hier einer ne Ahnung was das bedeuten soll?

Gruss H.