Hallo,
seitdem ich Antivir auf Version 10 geupdatet habe, wird mir während des Suchlaufs immer wieder der Virus Sinowal.F im Bootsektor angezeigt. Nun habe ich gerade den Rechner formatiert, aber der Virus hat sich weiterhin im Bootsektor festgesetzt.
Keine Ahnung wie lange der schon auf meinem PC drauf ist, vor dem Antivir Update (auch kurz nach dem Formatieren) wurde jedenfalls noch nichts angezeigt.
In der Suchfunktion habe ich zwar schon einige Threads zu genau dem Virus gefunden, als absoluter Laie habe ich jedoch keine Ahnung von dem Thema. Ich habe mal
mbr drüberlaufen lassen. Es wurde folgendes ausgespuckt:
Zitat:
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, hxxp://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x017499F03 !
PE file found in sector at 0x017499F19 !
|
user & kernel MBR OK --> Hat das was (gutes) zu bedeuten?
MBRCHECK zeigte folgendes an:
Zitat:
MBRCheck, version 1.2.3
(c) 2010, AD
Command-line:
Windows Version: Windows XP Professional
Windows Information: Service Pack 2 (build 2600)
Logical Drives Mask: 0x000001fc
Kernel Drivers (total 156):
0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
0x806E3000 \WINDOWS\system32\hal.dll
0xF7B10000 \WINDOWS\system32\KDCOM.DLL
0xF7A20000 \WINDOWS\system32\BOOTVID.dll
0xF74E0000 ACPI.sys
0xF7B12000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
0xF74CF000 pci.sys
0xF7610000 isapnp.sys
0xF7BD8000 pciide.sys
0xF7890000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
0xF7B14000 aliide.sys
0xF7B16000 cmdide.sys
0xF7B18000 toside.sys
0xF7B1A000 viaidexp.sys
0xF7B1C000 intelide.sys
0xF7620000 MountMgr.sys
0xF74B0000 ftdisk.sys
0xF7B1E000 dmload.sys
0xF748A000 dmio.sys
0xF7898000 PartMgr.sys
0xF7630000 VolSnap.sys
0xF7A24000 cpqarray.sys
0xF7472000 \WINDOWS\system32\DRIVERS\SCSIPORT.SYS
0xF745A000 atapi.sys
0xF7A28000 aha154x.sys
0xF78A0000 sparrow.sys
0xF7A2C000 symc810.sys
0xF7640000 aic78xx.sys
0xF7A30000 dac960nt.sys
0xF7650000 ql10wnt.sys
0xF7A34000 amsint.sys
0xF78A8000 asc.sys
0xF7A38000 asc3550.sys
0xF78B0000 mraid35x.sys
0xF78B8000 i2omp.sys
0xF7A3C000 ini910u.sys
0xF7660000 ql1240.sys
0xF7670000 aic78u2.sys
0xF78C0000 symc8xx.sys
0xF78C8000 sym_hi.sys
0xF78D0000 sym_u3.sys
0xF78D8000 ABP480N5.SYS
0xF78E0000 asc3350p.sys
0xF7B20000 cd20xrnt.sys
0xF7680000 ultra.sys
0xF7441000 adpu160m.sys
0xF78E8000 dpti2o.sys
0xF7690000 ql1080.sys
0xF76A0000 ql1280.sys
0xF76B0000 ql12160.sys
0xF78F0000 perc2.sys
0xF7B22000 perc2hib.sys
0xF78F8000 hpn.sys
0xF7A40000 cbidf2k.sys
0xF7415000 dac2w2k.sys
0xF76C0000 disk.sys
0xF76D0000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xF73F6000 fltMgr.sys
0xF73E4000 sr.sys
0xF7900000 PxHelp20.sys
0xF73CD000 KSecDD.sys
0xF7340000 Ntfs.sys
0xF7313000 NDIS.sys
0xF72FC000 viamraid.sys
0xF76E0000 sisagp.sys
0xF76F0000 viaagp.sys
0xF7700000 ohci1394.sys
0xF7710000 \WINDOWS\system32\DRIVERS\1394BUS.SYS
0xF72E1000 Mup.sys
0xF7720000 alim1541.sys
0xF7730000 amdagp.sys
0xF7740000 agp440.sys
0xF7750000 agpCPQ.sys
0xF77D0000 \SystemRoot\system32\DRIVERS\nic1394.sys
0xF77E0000 \SystemRoot\system32\DRIVERS\intelppm.sys
0xF6804000 \SystemRoot\system32\DRIVERS\nv4_mini.sys
0xF67F0000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xF77F0000 \SystemRoot\system32\DRIVERS\imapi.sys
0xF7800000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xF7810000 \SystemRoot\system32\DRIVERS\redbook.sys
0xF67CD000 \SystemRoot\system32\DRIVERS\ks.sys
0xF79D0000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0xF67AA000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xF79D8000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xF7820000 \SystemRoot\system32\DRIVERS\fetnd5bv.sys
0xF6785000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0xF7830000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0xF79E0000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xF79E8000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xF7D60000 \SystemRoot\system32\DRIVERS\audstub.sys
0xF7840000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xF7ACC000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xF66CE000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xF7850000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xF7860000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xF79F0000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xF66BD000 \SystemRoot\system32\DRIVERS\psched.sys
0xF7870000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xF79F8000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xF7A00000 \SystemRoot\system32\DRIVERS\raspti.sys
0xF668C000 \SystemRoot\system32\DRIVERS\rdpdr.sys
0xF7880000 \SystemRoot\system32\DRIVERS\termdd.sys
0xF7B26000 \SystemRoot\system32\DRIVERS\swenum.sys
0xF6658000 \SystemRoot\system32\DRIVERS\update.sys
0xF7AE8000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xF72D1000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xF72C1000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xF7B2A000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xF3C55000 \SystemRoot\system32\drivers\RtkHDAud.sys
0xF3C33000 \SystemRoot\system32\drivers\portcls.sys
0xF72B1000 \SystemRoot\system32\drivers\drmk.sys
0xF7B30000 \SystemRoot\System32\Drivers\i2omgmt.SYS
0xF7B32000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xF7CF0000 \SystemRoot\System32\Drivers\Null.SYS
0xF7B34000 \SystemRoot\System32\Drivers\Beep.SYS
0xF7940000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0xF7948000 \SystemRoot\System32\drivers\vga.sys
0xF7B36000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xF7B38000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xF7950000 \SystemRoot\System32\Drivers\Msfs.SYS
0xF7958000 \SystemRoot\System32\Drivers\Npfs.SYS
0xF7205000 \SystemRoot\system32\DRIVERS\rasacd.sys
0xF3B88000 \SystemRoot\system32\DRIVERS\ipsec.sys
0xF3B30000 \SystemRoot\system32\DRIVERS\tcpip.sys
0xF3B0F000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xF3AE7000 \SystemRoot\system32\DRIVERS\netbt.sys
0xF72A1000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xF3AC5000 \SystemRoot\System32\drivers\afd.sys
0xF7291000 \SystemRoot\system32\DRIVERS\netbios.sys
0xF7271000 \SystemRoot\system32\DRIVERS\arp1394.sys
0xF7968000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0xF39FA000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xF398B000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xF7261000 \SystemRoot\System32\Drivers\Fips.SYS
0xF3969000 \SystemRoot\system32\DRIVERS\avipbb.sys
0xF7B3C000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
0xF7241000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xF7980000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS
0xF3929000 \SystemRoot\System32\Drivers\dump_atapi.sys
0xF7B3E000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xF6644000 \SystemRoot\System32\drivers\Dxapi.sys
0xF7988000 \SystemRoot\System32\watchdog.sys
0xBD000000 \SystemRoot\System32\drivers\dxg.sys
0xF7D63000 \SystemRoot\System32\drivers\dxgthk.sys
0xBD012000 \SystemRoot\System32\nv4_disp.dll
0xB86AB000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0xB86D0000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0xB8458000 \SystemRoot\System32\Drivers\Fastfat.SYS
0xB841B000 \SystemRoot\system32\drivers\wdmaud.sys
0xB851B000 \SystemRoot\system32\drivers\sysaudio.sys
0xB82D9000 \SystemRoot\system32\DRIVERS\mrxdav.sys
0xB80B6000 \SystemRoot\System32\Drivers\HTTP.sys
0xB7E5C000 \SystemRoot\system32\DRIVERS\srv.sys
0xF7970000 \??\C:\DOKUME~1\Yadias\LOKALE~1\Temp\mbr.sys
0x7C910000 \WINDOWS\system32\ntdll.dll
Processes (total 34):
0 System Idle Process
4 System
592 C:\WINDOWS\system32\smss.exe
640 csrss.exe
668 C:\WINDOWS\system32\winlogon.exe
712 C:\WINDOWS\system32\services.exe
724 C:\WINDOWS\system32\lsass.exe
928 C:\WINDOWS\system32\nvsvc32.exe
996 C:\WINDOWS\system32\svchost.exe
1064 svchost.exe
1160 C:\WINDOWS\system32\svchost.exe
1224 svchost.exe
1380 svchost.exe
1544 C:\WINDOWS\system32\spoolsv.exe
1596 C:\Programme\Avira\AntiVir Desktop\sched.exe
1764 C:\WINDOWS\explorer.exe
1148 C:\Programme\Avira\AntiVir Desktop\avguard.exe
1216 C:\WINDOWS\ehome\ehrecvr.exe
1284 C:\WINDOWS\ehome\ehSched.exe
1584 svchost.exe
1940 mcrdsvc.exe
120 C:\WINDOWS\ehome\ehtray.exe
152 C:\Programme\Avira\AntiVir Desktop\avshadow.exe
204 C:\WINDOWS\RTHDCPL.exe
264 C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
336 C:\Programme\Avira\AntiVir Desktop\avgnt.exe
432 C:\WINDOWS\system32\rundll32.exe
2404 C:\WINDOWS\system32\dllhost.exe
2460 alg.exe
2812 C:\WINDOWS\system32\svchost.exe
2964 C:\WINDOWS\ehome\ehmsas.exe
3252 C:\WINDOWS\system32\wuauclt.exe
716 C:\Programme\Opera\opera.exe
3344 C:\Dokumente und Einstellungen\Yadias\Desktop\MBRCheck.exe
\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)
PhysicalDrive0 Model Number: ST3200820AS, Rev: 3.AAD
Size Device Name MBR Status
--------------------------------------------
186 GB \\.\PhysicalDrive0 Known-bad MBR code detected (Whistler / Black Internet)!
SHA1: F65D57BC5DC0BB8B483C530704A274E574B15326
Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit:
|
Ich habe jedenfalls Windows XP als Betriebssystem mit Service Pack 3 (aktuell durch die Formatierung aber SP2).
Wie auch immer, ich wäre sehr dankbar wenn mir geholfen werden könnte. Bitte alle Informationen und Daten, die ihr von mir zur Reinigung benötigt, angeben. Ich habe halt keine große Ahnung von dem Thema.
Zur Not bringe ich den Computer auch zu einem Fachmann, aber vielleicht geht es ja auch so.
P.S.
Mein USB-Stick scheint auch verseucht zu sein - jedenfalls, wenn er am PC mit WinXP hängt. An meinem Netbook mit Windows 7 Starter, wird aber nichts im Bootsektor des Sticks gefunden...
P.S.2
Malwarebytes hat jetzt auch nichts gefunden...
Zitat:
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Datenbank Version: 4607
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180
13.09.2010 17:03:12
mbam-log-2010-09-13 (17-03-12).txt
Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 137962
Laufzeit: 7 Minute(n), 3 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
|
Kann den ersten Post leider nicht editieren, daher der Doppelpost:
Da XP sowieso anfälliger als bspw. Windows 7 ist, wollte ich eh irgendwann darauf umsteigen.
Meine Frage: Wenn ich Windows 7 kaufe und den PC damit komplett neu bespiele bzw. formatiere, wird der Bootsektor dann auch neu geschrieben bzw. ist das Virus-Problem dann gelöst?
Ich will jetzt nicht einfach Windows 7 kaufen und hinterher ist trotzdem alles beim Alten...