Hallo!

Leider zeigt mir Antivir hartnäckig einen Trojaner an, nämlich BOO/Sinowal.A. Habe das Forum durchforstet und versucht ein paar Sachen anzuwenden, unter anderem auch den mbr detector. Hat nix geholfen und habe soeben mit der Recovery CD den Computer neu aufgesetzt. Leider ist der verdammte BOO/Sinowal.A noch immer hier. Kann mir wer helfen? Habe Windows XP (schätze aber durch das Recovery noch kein SP2 update). Dankeeeeee.

lg,
dropshot

Hallo Dropshot,

Arbeite bitte alles ab Punkt 2 in dem Link unten ab um den Leuten vom Kompetenzteam schonmal ein paar Infos für eine Hilfestellung zu geben.

http://www.trojaner-board.de/69886-a...-beachten.html

Gruß: Christian

Halli hallo ropshot

Bereinigung nach einer Kompromitierung

Hinweis: Die Analyse eines Virenscanners ist völlig unzureichend, um Aussagen über das System zu machen, kann aber als Hilfsmittel eingesetzt werden, sofern er von einem sauberen System aus betrieben wird.

Leider tauchen momentan immer mehr Schädlinge auf die sich in den Master Boot Record, kurz MBR einschreiben. Dieser wird bei einer herkömmlichen Neuinstallation nicht komplett überschrieben und stellt somit ein erhebliches Sicherheitsrisiko dar. Vor der Neuinstallation sollte daher sichergegangen werden, dass der MBR in Ordnung ist.

Master Boot Record reparieren:

XP:

Um die Wiederherstellungskonsole zu starten, einfach die Windows XP CD in das Laufwerk legen und davon booten.. Wenn Ihr dazu aufgefordert werdet, wählt die erforderliche Optionen für den Start von der Installations-CD aus.
Wenn der textbasierte Teil von Setup startet, wählt die Option zum Reparieren oder Wiederherstellen, indem Ihr die Taste [R] drückt.
Gegebenfalls nun das Administratorkennwort eingeben.
Nun gelangt Ihr zur Eingabeaufforderung der Wiederherstellungskonsole.

Dort bitte den Befehl fixmbr eingeben und mit Enter bestätigen.

Um die Wiederherstellungskonsole zu beenden und den Computer neu zu starten, gebt Ihr 'exit' ein



Einen Personal Computer neuaufsetzen:

Lies dir bitte bevor du dich an die Arbeit machst folgende Anleitung ganz genau durch:

Neuaufsetzen des Systems mit abschließender Absicherung.

Wenn du diese Anleitung zum Neuaufsetzen nicht ganz genau befolgst ist das Neuaufsetzen sinnlos!

Alle Festplatten müssen komplett formatiert werden!

Daten solltest du am besten keine sichern.
Wenn du sehr wichtige, unersetzliche Dateien sichern möchtest so musst du dies nach strengen Kriterien tun:

a) Die Datei darf nicht ausführbar sein. Das heisst sie darf keine der hier aufgeführte Dateiendung haben. Beachte bitte, dass einige Schädlinge ihre Dateiendung tarnen. Abhilfe schafft hier eine vernünftige Ordneransicht.

b) Jede Datei sollte, bevor sie wieder auf den frischen Rechner gelangt mit MWAV/eScan durchsucht werden.

c) Auch wenn du die Punkte a) und b) ganz genau einhältst sind die Dateien nicht vertrauenswürdig!!
Schädlinge können auch nicht-ausführbare Dateien wie .mp3 .doc usw. infizieren!! Und MWAV sowie andere AV-Scanner findet nur einen Bruchteil aller infizierten Dateien!

Nachdem du neuaufgesetzt hast musst du unbedingt alle Passwörter und Zugangsaccounts ändern!!!

Hallo!

Dank erstmals für eure Nachrichten. Leider habe ich bei der ersten nicht ganz verstanden was ich falsch gemacht habe, sorry, bin noch neu und als Mädel auch ein volles Anti-Talent für Computer.

Na ja, auf jeden Fall verstehe ich jetzt, warum dieser Bootsektor-Virus durch Neu-Formatierung nicht zu beseitigen ist. Leider funktionier bei mir das Master Boot Record reparieren nicht. Wenn ich die Recovery CD(s) einlege läuft er alles normal durch und "R" für Reparieren funktioniert nicht.

Ich habe auch schon das Bootsektor Repairtool von Avira angewendet, aber das scanned irgendwie nur mein Programm aber führt kein Löschung/Reparatur durch. Jetzt bin ich schön langsam verzweifelt, da ich mich halt leider so gar nich auskenne. Vielleicht hilft es, wenn ich mein Log-File post? Na ich füge es mal hinzu:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:07:19, on 13.05.2009
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\SYSTEM32\WISPTIS.EXE
C:\WINDOWS\System32\tabbtnu.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
c:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Gemeinsame Dateien\microsoft shared\ink\TabTip.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\Acer\Notebook Manager\almxptray.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\PowerKey.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\CtrlVol.exe
C:\Programme\Launch Manager\OSD.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\Programme\Gemeinsame Dateien\microsoft shared\ink\TPA.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\ltmoh\Ltmoh.exe
C:\Programme\Acer soft button\wsbklite.exe
C:\Programme\Acer soft button\SB.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Dokumente und Einstellungen\xxxxx\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://global.acer.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [TabletTip] "C:\Programme\Gemeinsame Dateien\microsoft shared\ink\tabtip.exe" /resume
O4 - HKLM\..\Run: [LaunchApp] LaunApp
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [AcerNotebookManager] C:\Programme\Acer\Notebook Manager\almxptray.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [PowerKey] "C:\Programme\Launch Manager\PowerKey.exe"
O4 - HKLM\..\Run: [LManager] C:\Programme\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [LMgrOSD] C:\Programme\Launch Manager\OSD.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Programme\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [Wise Backlight] "C:\Programme\Acer soft button\wsbklite.exe"
O4 - HKLM\..\Run: [Software Button] "C:\Programme\Acer soft button\SB.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Zinio DLM] C:\Program Files\Zinio\ZDLM.exe /hide
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [TabletWizard] %windir%\help\wizard.hta (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: SketchBook Snapshot.lnk = C:\Programme\AliasWavefront\Alias SketchBook Pro 1.0\SketchBookSnap.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: uninstall.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Bluetooth Service (btwdins) - Unknown owner - c:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe

--
End of file - 4896 bytes

Bitte helft mir, bin am verzweifeln. Dankeeeee.

lg,
Angela

Hallöle.

Zitat:

Wenn ich die Recovery CD(s) einlege läuft er alles normal durch und "R" für Reparieren funktioniert nicht.

Warum funktioniert das nicht? Bekommst du eine Fehlermeldung? Ist der Punkt "[R] Reparieren" garnicht aufgeführt? Oder was ist das Problem?

Hi!

Genau, der Punkt "R" existiert nicht. Ich kann quasi nur zustimmen, dass der Computer neu aufgesetzt wird, keine andere Wahlmöglichkeiten...

lg,
Angela