Hallo liebe Community!

Ich habe nun auf Hinweis von Kenny (Sorry für dies) einen eigen Thread aufgemacht.

Bei mir war die Systemplatte und anscheinend auch die eine weitere Festplatte infiziert. Die Systemplatte habe ich neu partioniert, formatiert und Windows XP neu installiert.

Laut Antivirtest war dann nach dem Neuaufsetzen die Systemplatte sauber (Vollständige Systemprüfung).

Danach hängte ich beide Datenplatten (intern) wieder an den PC an.

Nach dem Start von Windows meldete kam von Antivir ein Fenster, daß sich ein Virus auf der HD1 im MBR befindet.

Danach führte ich die Bootsektorenüberprüfung mit Antivir durch bekam folgendes Ergebnis:

Zitat:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 14. Mai 2009 21:56

Es wird nach 1394607 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : ***
Computername : ***

Versionsinformationen:
BUILD.DAT : 9.0.0.394 17962 Bytes 17.04.2009 11:13:00
AVSCAN.EXE : 9.0.3.5 466689 Bytes 17.04.2009 07:57:24
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 11:30:36
ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11.02.2009 19:33:26
ANTIVIR2.VDF : 7.1.3.185 2010112 Bytes 12.05.2009 18:05:43
ANTIVIR3.VDF : 7.1.3.207 98304 Bytes 14.05.2009 18:05:44
Engineversion : 8.2.0.166
AEVDF.DLL : 8.1.1.1 106868 Bytes 14.05.2009 18:05:47
AESCRIPT.DLL : 8.1.1.81 385401 Bytes 14.05.2009 18:05:47
AESCN.DLL : 8.1.1.10 127348 Bytes 14.05.2009 18:05:47
AERDL.DLL : 8.1.1.3 438645 Bytes 29.10.2008 17:24:41
AEPACK.DLL : 8.1.3.16 397686 Bytes 14.05.2009 18:05:46
AEOFFICE.DLL : 8.1.0.36 196987 Bytes 26.02.2009 19:01:56
AEHEUR.DLL : 8.1.0.128 1757559 Bytes 14.05.2009 18:05:46
AEHELP.DLL : 8.1.2.2 119158 Bytes 26.02.2009 19:01:56
AEGEN.DLL : 8.1.1.42 348531 Bytes 14.05.2009 18:05:44
AEEMU.DLL : 8.1.0.9 393588 Bytes 09.10.2008 13:32:40
AECORE.DLL : 8.1.6.9 176500 Bytes 14.05.2009 18:05:44
AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 13:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56
AVPREF.DLL : 9.0.0.1 43777 Bytes 03.12.2008 10:39:55
AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 13:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:37
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21
RCIMAGE.DLL : 9.0.0.21 2438401 Bytes 09.02.2009 10:41:16
RCTEXT.DLL : 9.0.37.0 87809 Bytes 17.04.2009 09:13:12

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: BootSectorTest
Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\AVCENTER_4a0c766e\a6b164b0.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: E:,
Durchsuche aktive Programme...........: aus
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Intelligente Dateiauswahl
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Donnerstag, 14. Mai 2009 21:56

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[FUND] Enthält Code des Bootsektorvirus BOO/Sinowal.C
[WARNUNG] Der Bootsektor kann nicht repariert werden. Weitere Informationen zu diesem Thema finden Sie in der Hilfe.
Masterbootsektor HD1
[FUND] Enthält Code des Bootsektorvirus BOO/Sinowal.C
[WARNUNG] Der Bootsektor kann nicht repariert werden. Weitere Informationen zu diesem Thema finden Sie in der Hilfe.
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'E:\'
[FUND] Enthält Code des Bootsektorvirus BOO/Sinowal.C
[HINWEIS] Der Sektor wurde nicht neu geschrieben!


Ende des Suchlaufs: Donnerstag, 14. Mai 2009 21:56
Benötigte Zeit: 00:22 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

0 Verzeichnisse wurden überprüft
0 Dateien wurden geprüft
3 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
0 Dateien ohne Befall
0 Archive wurden durchsucht
2 Warnungen
1 Hinweise

Ich verwendete darauf den Bootwizard.exe von Avira und erstellte eine CD damit, weiters verwendete ich mbr.exe.

Antivir findet die Systemplatte nun sauber aber die Datenplatte ist nach wie von Sinowal.c infiziert.
Logfile:

Zitat:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 14. Mai 2009 23:23

Es wird nach 1394607 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : Administrator
Computername : STEINADLER

Versionsinformationen:
BUILD.DAT : 9.0.0.394 17962 Bytes 17.04.2009 11:13:00
AVSCAN.EXE : 9.0.3.5 466689 Bytes 17.04.2009 07:57:24
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 11:30:36
ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11.02.2009 19:33:26
ANTIVIR2.VDF : 7.1.3.185 2010112 Bytes 12.05.2009 18:05:43
ANTIVIR3.VDF : 7.1.3.207 98304 Bytes 14.05.2009 18:05:44
Engineversion : 8.2.0.166
AEVDF.DLL : 8.1.1.1 106868 Bytes 14.05.2009 18:05:47
AESCRIPT.DLL : 8.1.1.81 385401 Bytes 14.05.2009 18:05:47
AESCN.DLL : 8.1.1.10 127348 Bytes 14.05.2009 18:05:47
AERDL.DLL : 8.1.1.3 438645 Bytes 29.10.2008 17:24:41
AEPACK.DLL : 8.1.3.16 397686 Bytes 14.05.2009 18:05:46
AEOFFICE.DLL : 8.1.0.36 196987 Bytes 26.02.2009 19:01:56
AEHEUR.DLL : 8.1.0.128 1757559 Bytes 14.05.2009 18:05:46
AEHELP.DLL : 8.1.2.2 119158 Bytes 26.02.2009 19:01:56
AEGEN.DLL : 8.1.1.42 348531 Bytes 14.05.2009 18:05:44
AEEMU.DLL : 8.1.0.9 393588 Bytes 09.10.2008 13:32:40
AECORE.DLL : 8.1.6.9 176500 Bytes 14.05.2009 18:05:44
AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 13:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56
AVPREF.DLL : 9.0.0.1 43777 Bytes 03.12.2008 10:39:55
AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 13:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:37
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21
RCIMAGE.DLL : 9.0.0.21 2438401 Bytes 09.02.2009 10:41:16
RCTEXT.DLL : 9.0.37.0 87809 Bytes 17.04.2009 09:13:12

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: BootSectorTest
Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\AVCENTER_4a0c8bb8\39cc7812.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: löschen
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: aus
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Intelligente Dateiauswahl
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Donnerstag, 14. Mai 2009 23:23

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[FUND] Enthält Code des Bootsektorvirus BOO/Sinowal.C
[WARNUNG] Der Bootsektor kann nicht repariert werden. Weitere Informationen zu diesem Thema finden Sie in der Hilfe.
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!


Ende des Suchlaufs: Donnerstag, 14. Mai 2009 23:23
Benötigte Zeit: 00:00 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

0 Verzeichnisse wurden überprüft
0 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
0 Dateien ohne Befall
0 Archive wurden durchsucht
1 Warnungen
0 Hinweise

Der Logfile von mbr.exe

Zitat:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.6 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
PE file found in sector at 0x022EEAD41 !

Wie kann ich die Datenplatte von mbr.exe durchsuchen lassen? Und was bedeutet "PE file found..."?

Und die wichtigste Frage wie bekomme ich den MBR auf der Datenplatte wieder sauber ohne die Platte zu löschen?

Herzlichen Dank im voraus
Liebe Grüße
Vanessa

Hi Vanessa,

wir scheinen ja wirklich ein nahezu identisches Problem zu haben.
Auch bei mir sind mehrere Festplatten im Spiel. Je nach Virenprogramm bzw. jeweiligen Status werden nur eine oder auch mehrere als betroffen angezeigt.

Nur ganz weg krieg ich den Mist nicht.

Andererseits läuft mein Rechner nach wie vor einwandfrei, deiner auch ?

Hast du jemals ein Programm installiert, das Datein oder Ordner versteckt/unsichtbar macht ?

Ich habe immer noch den Verdacht, das sowas bei mir so'ne Art Fehlalarm auslösen könnte...

LG Taby

Hallo Taby!

Ein Programm zum Verstecken von Dateien hatte ich nicht installiert.
Denke auch nicht daß dies bei mir ein Fehlalarm ist, da hat sich sicher was eingenistet. Ich habe dzt. die erwähnte Datenplatte abgehängt, bis ich weiß was ich zu tun habe, damit sich der Trojaner nicht wieder auf der Systemplatte einnistet, wenn er nicht schon getan hat.

Hoffe Dein System kommt bald wieder in Ordnung.

LG
Vanessa

Hallo Vanessa_S und

offensichtlich hast du den Thread von tabea_64 nicht gelesen, sonst wüsstest du die Antwort auf dein Problem. Lies einfach, was hier steht: http://www.trojaner-board.de/436295-post36.html

ciao, andreas

Hallo Andreas!

Deine Antwort verwirrt mich ein wenig. Ich fand den Thread für mein Problem sogar so passend, daß ich mich da gleich eingeklinkt habe. Siehe Post #3 in dem Thread.

Nach der Antwort von .keNNy# im Post #4, habe ich dann den eigenen Thread eröffnet.

Weiters ist im ganzen Thread von tabea_64 keine Antwort auf meine Frage zu finden, was das "PE file found..." zu bedeuten hat.

Da der oben erwähnte Thread von tabea_64 noch nicht abgeschlossen ist, weiß ich noch nicht, ob dies nun ein Fehlalarm ist oder nicht doch die Reste des von Sinowal.C.

LG
Vanessa

Welchen Laufwerksbuchstaben hat deine Datenplatte?

Zitat:

Wie kann ich die Datenplatte von mbr.exe durchsuchen lassen?

Indem du mbr.exe auf die Datenplatte kopierst und dort startest.

Zitat:

Und was bedeutet "PE file found..."?

Das er Reste vom Virus irgendwo am Ende der Festplatte gefunden hat. Die Reste sind harmlos.

Zitat:

Und die wichtigste Frage wie bekomme ich den MBR auf der Datenplatte wieder sauber ohne die Platte zu löschen?

Dazu muss ich erstmal das Log von mbr sehen.

ciao, andreas

Hallo Andreas,

danke für Deine hilfsreiche und schnelle Antwort.

Im Anhang die Logdateien von mbr.exe

Festplatte C: (Systemplatte) nach dem Alarm von Antivir

Code: Alles auswählenAufklappen

ATTFilter

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.6 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK 
MBR rootkit code detected !
malicious code @ sector 0x22eead41 size 0x1e4 !
copy of MBR has been found in sector 62 !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.
PE file found in sector at 0x022EEAD41 !
         

Festplatte C: (Systemplatte) jetzt

Code: Alles auswählenAufklappen

ATTFilter

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.6 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK 
PE file found in sector at 0x022EEAD41 !
         

Festplatte E: (anscheinend nicht infiziert)

Code: Alles auswählenAufklappen

ATTFilter

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.6 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK 
PE file found in sector at 0x022EEAD41 !
         

Festplatte F: (Hier schlägt Antivir Alarm)

Code: Alles auswählenAufklappen

ATTFilter

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.6 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK 
PE file found in sector at 0x022EEAD41 !
         

Ich hoffe Du kannst damit was anfangen.
Nochmals Dank für Deine Hilfe.

LG
Vanessa

Ja, genau das, was auch im anderen Thread rauskam, Fehlalarm von Avira. Emailadresse: support(at)avira.com

Schick denen einen Link auf diesen Thread und warte ab. Wenn du Nachricht bekommst, dann stelle die Nachricht bitte hier rein, damit die Mitleser und Leidensgenossen Bescheid wissen.

ciao, andreas

Danke Andreas!

Mail an Avira ist raus.
Bin schon gespannt auf deren Antwort; falls überhaupt eine kommt.

Verdächtig sind mir die Reste auf der Systemplatte.
Nach der Infektion mit dem ZPack wurde von mir auf dieser Platte die Partition gelöscht und neu erstellt und eine normale Formatierung der Platte durchgeführt (KEINE Schnellformatierung). Alle anderen Platten waren zu dem Zeitpunkt abgehängt.

Nach dem erfolgreichen Aufsetzen von Windows, schloß ich die anderen beiden Platten wieder an und sofort nach dem Hochfahren des Systems kam die Warnmeldung von Avira.

Anscheinend wurde die Systemplatte dadurch irgendwie neu infiziert.
Ich habe zwar noch eine externe Festplatte auf der ich die Daten meiner Datenplatte sichern könnte, befürchte aber das diese externe Platte wenn ich sie anschließe auch infiziert werden könnte.

LG
Vanessa

Zitat:

befürchte aber das diese externe Platte wenn ich sie anschließe auch infiziert werden könnte.

Vielleicht ist sie schon längst infiziert, stecke sie an und überprüfe das mit mbr.

ciao, andreas

Zitat:

Zitat von john.doe

Vielleicht ist sie schon längst infiziert, stecke sie an und überprüfe das mit mbr.

ciao, andreas

Nein, die ist sicher nicht verseucht. Die ist noch originalverpackt.

LG
Vanessa

OK, dann kannst du dir das natürlich sparen. Obwohl man hat auch schon auf originalverpackten CDs etwas gefunden.

Abwarten und Tee trinken bis Avira sich meldet.

ciao, andreas