Hallo an alle fleissigen Helfer.

Habe gerade dank der Anleitung von myrtille
w*w.trojaner-board.de/54054-boo-sinowal.html
Den Masterboosektorvirus boo/sinowal E erfolgreich bekämpft.

Wie schon in der Überschrift erwähnt ,hab ich da noch ein paar Fragen.

1. Wie kommt so ein Virus ,trotz aktivem Antivir und aktiver Firewall in den Masterbootsektor? Ok, wahrscheinlich durch irgendeine Datei ,die ich runtergeladen habe ,ist klar, aber warum werden solche infizierten Datein nicht von den genannten Programmen blockiert?

2. Da ich mir diesen Virus ja wahrscheinlich durch einen Download eingefangen habe ,wird der sich ja immer noch auf meiner Festplatte befinden ,da ich ja nicht weiß in welcher Datei der steckt,es sei denn ich lösche sie komplett. Besteht nicht die Gefahr,das der sich immer wieder in meinen Masterbootsektor hängt ?

3. Nachdem der Virus entfernt war ,hab ich nochmal Antivir prüfen lassen. Der Virus ist weg ,aber eine Warnung hat der mir angezeigt ,mit der ich nichts anzufangen weiss. Vielleicht kann mir jemand sagen ,was das bedeutet?

Hier die Meldung:
Beginne mit der Suche in 'G:\windows\system32'
G:\windows\system32\drivers\atapi.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!

Atapi Treiber haben doch irgendwas mit der Festplatte zu tun, oder ?

Auf diesem Weg nochmal vielen Dank an myrtille

Hallo und

Zitat:

1. Wie kommt so ein Virus ,trotz aktivem Antivir und aktiver Firewall in den Masterbootsektor? Ok, wahrscheinlich durch irgendeine Datei ,die ich runtergeladen habe ,ist klar, aber warum werden solche infizierten Datein nicht von den genannten Programmen blockiert?

Weil Virenscanner prinzipielle Schwächen nunmal haben. Sie erkennen nicht jeden Schädling, v.a. neue nicht, und melden Schädlinge wo keine sind (Fehlalarme) - das solltest Du immer bedneken und nicht blind dem Scanner trauen und alles anklicken was nicht bei drei aufm Baum ist!

Zitat:

2. (...) Besteht nicht die Gefahr,das der sich immer wieder in meinen Masterbootsektor hängt ?

Ja! Führe das MBR-Tool aus, was Du auch in der Anleitung von myrtille gesehen hat und poste die Ausgabe.

Zitat:

3. Nachdem der Virus entfernt war ,hab ich nochmal Antivir prüfen lassen. Der Virus ist weg ,aber eine Warnung hat der mir angezeigt ,mit der ich nichts anzufangen weiss. Vielleicht kann mir jemand sagen ,was das bedeutet?

Das ist eine "gesperrte" Datei. Wenn Dateien exclusiv von Windows gelockt sind, kann nichts anderes darauf zugreifen, auch nicht lesend!

Also erstdas MBR-Tool, dann bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!!
Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

Danke Cosinus

Zitat:

Ja! Führe das MBR-Tool aus, was Du auch in der Anleitung von myrtille gesehen hat und poste die Ausgabe.

Das hab ich ja schon gemacht,damit bin ich ja den Boo/Sinoval losgeworden. Zumindest hat Antivir ihn danach nicht mehr im Masterbootsektor gefunden. Meine Frage war,ob der nicht trotzdem noch auf der Festplatte ist (nämlich in der Datei,mit der ich ihn wahrscheinlich runtergeladen habe) oder ist der mit Hilfe von mbr dann komplett von der Festplatte verschwunden ?

Gruß schieddie

Deswegen solltest Du auch eigentlich das MBR-Tool ausführen und das Logfile davon hier posten. Außerdem solltest Du auch die Liste abarbeiten...

Ja ok . Hier ist dann das logfile von mbr.

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.6 by Gmer, GMER - Rootkit Detector and Remover

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x012A14C00
malicious code @ sector 0x012A14C03 !
PE file found in sector at 0x012A14C19 !

Und die Liste abarbeiten ,meinst du da was spezielles ? Eigentlich hab ich doch die 7 goldenen Regeln beachtet.

Die Liste hab ich verlinkt