Hallo,

ich bin leider ein völlig unwissender PC-User und habe laut AntiVir den Bootsektorvirus BOO/Sinowal.D auf allen Partitionen (C, D und E)...
Ebenso bin ich mir nicht sicher, ob ich den auch auf meiner externen Festplatte und meinem USB-Stick. Den USB-Stick zu formatieren zeigt auch überhaupt keine Wirkung. Kann man diesen Virus irgendwie entfernen Im Report steht bei der externen Platte und beim USB-Stick kein Virus-Fund, aber wenn ich diese einzeln Prüfe, kommt immer noch der Masterboot-Sektor Virus für HD0

Das heruntergeladene Bootsektor Repair-Tool wirkt leider überhaupt nicht...

Hier mal das log-File von AntiVir
------------------------------------------------
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 16. Juli 2009 10:22

Es wird nach 1523462 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername :
Computername :

Versionsinformationen:
BUILD.DAT : 9.0.0.403 17961 Bytes 03.06.2009 17:00:00
AVSCAN.EXE : 9.0.3.6 466689 Bytes 11.05.2009 08:14:44
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 11:30:36
ANTIVIR1.VDF : 7.1.4.132 5707264 Bytes 24.06.2009 22:29:42
ANTIVIR2.VDF : 7.1.4.221 1273856 Bytes 12.07.2009 06:20:50
ANTIVIR3.VDF : 7.1.4.234 106496 Bytes 14.07.2009 19:20:13
Engineversion : 8.2.0.215
AEVDF.DLL : 8.1.1.1 106868 Bytes 30.04.2009 10:52:04
AESCRIPT.DLL : 8.1.2.16 438651 Bytes 14.07.2009 19:21:00
AESCN.DLL : 8.1.2.3 127347 Bytes 14.05.2009 10:02:01
AERDL.DLL : 8.1.2.4 430452 Bytes 14.07.2009 19:20:56
AEPACK.DLL : 8.1.3.18 401783 Bytes 27.05.2009 15:07:20
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 10.07.2009 22:29:45
AEHEUR.DLL : 8.1.0.141 1855864 Bytes 14.07.2009 19:20:46
AEHELP.DLL : 8.1.4.5 229748 Bytes 14.07.2009 19:20:17
AEGEN.DLL : 8.1.1.48 348532 Bytes 10.07.2009 22:29:44
AEEMU.DLL : 8.1.0.9 393588 Bytes 09.10.2008 13:32:40
AECORE.DLL : 8.1.7.5 180597 Bytes 14.07.2009 19:20:15
AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 13:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56
AVPREF.DLL : 9.0.0.1 43777 Bytes 03.12.2008 10:39:55
AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 13:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:37
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 14:35:17
RCTEXT.DLL : 9.0.37.0 87809 Bytes 17.04.2009 09:13:12

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: BootSectorTest
Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\AVCENTER_4a5ee328\e132cba2.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:, G:, H:,
Durchsuche aktive Programme...........: aus
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Intelligente Dateiauswahl
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Donnerstag, 16. Juli 2009 10:22

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[FUND] Enthält Code des Bootsektorvirus BOO/Sinowal.D
[WARNUNG] Der Bootsektor kann nicht repariert werden. Weitere Informationen zu diesem Thema finden Sie in der Hilfe.
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[FUND] Enthält Code des Bootsektorvirus BOO/Sinowal.D
[HINWEIS] Der Sektor wurde nicht neu geschrieben!
Bootsektor 'D:\'
[FUND] Enthält Code des Bootsektorvirus BOO/Sinowal.D
[HINWEIS] Der Sektor wurde nicht neu geschrieben!
Bootsektor 'E:\'
[FUND] Enthält Code des Bootsektorvirus BOO/Sinowal.D
[HINWEIS] Der Sektor wurde nicht neu geschrieben!
Bootsektor 'G:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'H:\'
[INFO] Es wurde kein Virus gefunden!


Ende des Suchlaufs: Donnerstag, 16. Juli 2009 10:22
Benötigte Zeit: 00:08 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

0 Verzeichnisse wurden überprüft
0 Dateien wurden geprüft
4 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
0 Dateien ohne Befall
0 Archive wurden durchsucht
1 Warnungen
3 Hinweise
-------------------------------------------------

Ich wäre ungaublich dankbar, wenn mir jemand helfen könnte, da ich wirklich vollkommen ratlos bin...

Vielen Dank schonmal und einen schönen Tag an alle !

hi hilfloseruse und

Downloade bitte folgendes Tool:
http://www2.gmer.net/mbr/mbr.exe

Kopiere es auf den Desktop und führe es aus.
Es öffnet sich nur für einen Bruchteil ein CMD-Fenster, dass sich sofort wieder schließt.
Auf deinem Desktop ist eine neue Text-Datei: mbr.log

Poste bitte den Inhalt der Datei.

Gruß
Handball10

Hallo Handball10,

vielen Dank für Deine Antwort !!

hier das Ergebnis:
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.6 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\ACPI -> 0x860a6560
\Device\Harddisk0\DR0 ->NDIS: Realtek RTL8169/8110 Family Gigabit Ethernet NIC -> SendCompleteHandler -> 0x860dafa0
Warning: possible MBR rootkit infection !
copy of MBR has been found in sector 0x0BA50E41
malicious code @ sector 0x0BA50E44 !
PE file found in sector at 0x0BA50E5A !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.

Vielen Dank schonmal !! Wie geht's jetzt weiter?

Hättest du Sinowal bei der Boardsuche benutzt, dann hättest du das hier gefunden => http://www.trojaner-board.de/448294-post8.html

Ausführen und hier das Log posten.

ciao, andreas

Danke für Deine Antwort !

Habe die Datei ausgeführt und hier ist das Ergebnis:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.6 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x0BA50E41
malicious code @ sector 0x0BA50E44 !
PE file found in sector at 0x0BA50E5A !

Viele Grüße !!

Den bist du los.

Mache einen Scan mit Avira und diesen Einstellungen: http://www.trojaner-board.de/54192-a...tellungen.html

Achso, im Chipforum wirst du sehnsüchtig erwartet.
Andererseits, wie man neuaufsetzt, wissen wir hier auch.

ciao, andreas

Riesenproblem mit BOO/Sinowal.D - Viren und andere Sicherheitsrisiken - Avira Support Forum

Um mal dazwischen zu posten!

WOW !!

Danke für die Antwort !!! ;-)

Scheint tatsächlich weg zu sein, das Teil

Ich habe zwar nicht verstanden wie, aber es hat geklappt.

Tausend Dank !!!!!!!

oh ja, schau mal ins Chip Forum, wieder mein Unwissen schuldig...

Schönen Abend !

Du bist entlassen.

ciao, andreas