Hallo zusammen,

wie kann ich nach einem Virenbefall mit RKIT/MBR.Sinowal.J diesen komplett und endgültig entfernen??
avira antivir und SpybotDoctor können diese Datei nicht entfernen. SuperAntiSpyware, Spybot S&D und Malewarebytes Anti-Malware finden Sinowal.J erst gar nicht.
Eine online-Prüfung befallener Dateien (?) über virustotal.com/de/ klappt nicht, da ich die Datei nicht hochladen kann.

Hi,

wenn Du ein gutes Backup hast (da wenn es schief geht Neuaufsetzen angesagt ist), würde ich gerne mal was "probieren"...
Bisher gibt es meines Wissens nicht, was richtig gegen das Teil hilft...

Weiterhin brauche wir einen "sauberen" Rechner, um einige Vorbereitungen zu machen...
Poste mal alle Funde von Avira im Vorfeld...

chris

Hier mein avira Report:

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: ShlExt
Konfigurationsdatei..............: C:\DOKUME~1\***\LOKALE~1\Temp\a8042e1e.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche aktive Programme......: aus
Durchsuche Registrierung.........: aus
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Dienstag, 28. April 2009 15:45

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\uninstall.exe'
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\uninstall.exe
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/MBR.Sinowal.J
[HINWEIS] Die Datei wurde gelöscht.


Ende des Suchlaufs: Dienstag, 28. April 2009 15:46
Benötigte Zeit: 00:26 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

0 Verzeichnisse wurden überprüft
1 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
1 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
0 Dateien ohne Befall
0 Archive wurden durchsucht
0 Warnungen
1 Hinweise

Obwohl das Antivirenprogramm die befallene Datei als gelöscht meldet, ist sie beim nächsten Start wieder da. Avira meldet auch nur die eine o.a. Datei als befallen. Der Avira Guard meldet sich jedesmal wenn eine neue Seite aufgemacht wird, die Werbung enthält (freenet, google u.a. also nichts exotisches) und meldet das die uninstall.exe das Muster des RKIT/MBR.Sinowal.J enthält. Dann folgen die üblichen Vorschläge, nur fruchten sie nicht.

Hi,

hast Du eine XP-CD und einen sauberen Rechner?
Damit könnte man eine spezifische Boot-CD zusammenbasteln und dazu einige Tools zur Verfügung stellen, mit denen man dann arbeiten kannt.

Grob gesagt wird dann von der CD gebootet, der MBR neu geschrieben, die Festplatte untersucht und bereinigt und über einen Remoteregisteryeditor die REG in Ordnung gebracht und damit, so Gott will, der Rechner wieder hingebogen...

Wenn DU Dir das zutraust, hier die CD-Erstellung:
Boot-CD erstellen:
Am einfachsten geht dies über http://www.ubcd4win.com/, runterladen installieren und dann mit einer XP-CD (Installations-CD bzw. Recovery-CD [das gibt dann allerdings eine Warnung!])die Boot-CD erstellen (natürlich auf einem sauberen System!).
Vorteil dabei ist, dass die "Universal Boot CD für Windows" gleich Virenscanner und Tools an Board hat, mit denen man dann gleich loslegen kann.
Rootkits liegen nach dem Booten von CD "ungeschützt" auf der Platte (da sie ja nicht gestartet wurden) und können dann sehr einfach gesucht u.
gelöscht werden. Ein Remoteregistry-Editor steht ebenfalls zur Verfügung.

chris