Hallo zusammen,
mein Name ist Holger Skusa, und ich habe ein Problem das ich leider ohne Hilfe nicht gelöst bekomme.

Ich stufe mich als User mit gutem Durchblick ein, und war auch immer stolz das mich bis heute kein fieser Virus oder Trojaner heimgesucht hat. Doch nun muß ich zugeben hat es mich übel erwischt.

Seit einer Woche meldet mir Antivir das auf dem Bootsektor meiner Platte der Sinowal F zu finden ist. Ich habe sofort den Rechner vom Netz genommen und von einem anderen System meine wichtigste Passwörter usw geändert.

Dann habe ich eigentlich jeden Abend damit verbracht im Internet recherche zu betreiben wie ich das Ding loswerde. Ich bin mittlerweile soweit das ich mich wohn nicht um eine Neuaufsetzen drücken kann.

Was mich nun aber wundert ist, das mein Antivir diesen Trojaner meldet, die Log Datei von mbr aber kein Wort über eine Infektion verliert. Lediglich der Hinweis das eine Kopie des MBR gefunden wurde in sektor X wir angezeigt.

siehe Log:

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, hxxp://www.gmer.net
Windows 5.1.2600 Disk: SAMSUNG_SP2504C rev.VT100-50 -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user != kernel MBR !!!
copy of MBR has been found in sector 488392065


Kann es sein das Antivir eine Falschmeldung rausgibt und ich gar nicht infiziert bin ?

Alle Beträge in denen ich die Log von MBR gelesen habe zeigten Einträge wie "malicious code".

Isser nun krank oder nich ???

-Skusi

Hallo und

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

Hallo Cosinus,

Vielen Dank für Deine schnelle Antwort.

Leider hab ich der Zwischenzeit schon "weiter gespielt" und über die Win7 CD die console aufgerufen und bootrec.exe /fixmbr und Bootrec.exe /fixboot ausgeführt. Nun bootet der Rechner leider nicht mehr. Ich bekomme nur einen blinkenden Cusor in der oberen linken Ecke angezeigt.

Nun hab ich versucht per Knoppix den Inhalt der Partitionen sicherheitshalber auf eine USB Platte zu sichern. Das hat auch für 3 von 4 Partitionen geklappt. Aber die System Partition mit Win7 kann Knoppix nixht lesen. Ich bekomme die Meldung das das NTFS Filesystem inconsistent ist und ich soll unter Windows mit chkdsk /f drüber. Bei dem Versuch das zu tun schreibt mir Windows das die Masterfiletabelle beschädigt ist und bricht ab.

Hab ich nun alles versaut ? Wie komme ich zur datensicherung naoch an dei Win7 Partition ran. Oder wie bekomme ich das System nochmal zum laufen damit ich die Scans ausführen kann die Du haben möchtest ?

Schöner Mist, hab echt anderes um die Ohren als Stundenlang an der Windose rumzumachen. Naja, wenn ich neu Aufsetzten muß ist das eben nicht zu ändern. Die wichtigsten Daten hab ich ja auf den anderen Partitionen. Oder muß ich die Platte neu partitionieren um den Sinowal auch sicher von der Platte zu fegen ?

Ich brauche Deinen nächsten Rat.

Gruß Skusi

Zitat:

Windows 5.1.2600 Disk...

Wieso gehst du mit ner Win7-DVD ran wenn du WinXP hast?
Hast du eine WinXP zur Hand? Wenn nicht besorg eine.

Auf der Platte war ursprünglich ein WinXP Prof drauf. Dann habe ich als Win7 rauskam das Win7 auf eine andere Partition dazu installiert. Ich hab dann die erste Zeit immer per Boomanager mal mit 7 und mal mit XP gearbeitet. Ich bain also langsam umgezogen.

Nun hab ich lange schon das Xp nicht mehr gestartet. Aber nun mit dieser Trojaner Problematik kann es sein das ich mal versucht habe das IX zu starten. Wahrscheinlich hab ich genau dann den Scan gemacht aus dem die Log stammt. Hab MBR vom Stick gestartet und der Log war nun ja da auch drauf. Der Rechner startet ja nun nicht mehr.

Ich hoffe das war einigermaßen schlüssig erklärt. Ist noch früh am Morgen :-)

Ach übrigens, ne WinXP CD hab ich zur Hand.

Jetzt startet weder XP noch Win7?

Genau,
ich bekomme keinen Bootmanager mehr angezeigt, sondern nur diesen cusor oben links auf schwarzem Screen.

LG Skusi

Versuch mal über die Win7-DVD, Computerreparaturoptionen eine Systemstartreparatur durchführen.

Hab ich schon gemacht, hat nix gebracht.

Tja, dann hast du da irgendwas kaputtgemacht. Andere Möglichkeiten zur Reparatur wüsste ich so auch nicht mehr. Sieht wohl nach Datensicherung und Neuinstallation von Windows aus

Hab ich schon geahnt. Bin schonmal dabei gegangen alle Partitionen auf ne externe zu kopieren.

Muß ich was spezielles beachten wenn ich die Platte dann formatiere und partitioniere, damit die auch wirklich nix vom Sinowal zurückbehält ?

Wird der MBR automatisch ganz neu geschrieben wenn ich die Partitionen ändere? Ist damit dann der Trojaner auch gekillt ?

Wenn ich schon neu anfangen muß dann will ich es gründlich machen.

Die gesicherten Daten hab ich schonmal mit Malwarebytes gescannt und es gab keine Meldung. War der Sinowal dann etwa wirklich nur im MBR ? So wie ich das verstanden haben legt der doch auch Kopien an um sich immer wieder in den MBR zu schreiben- oder ?

Also bitte abschließend nochmal eine paar Tips zum sauber aufsetzten von Dir - wäre toll !

LG Skusi

Zitat:

Wird der MBR automatisch ganz neu geschrieben wenn ich die Partitionen ändere? Ist damit dann der Trojaner auch gekillt ?

Normalweise wird der MBR bei einer Windows-Neuinstallation auch neu geschrieben.

Zitat:

Wenn ich schon neu anfangen muß dann will ich es gründlich machen.

Dann behandel nach der Sicherung aller wichtigen Daten auf die USB-Platte deine interne Platte mit DBAN (einmal komplett mit Nullen oder Zufallswerten überschreiben)

BTW: Mir fällt da gerade auf, dass m.W. unter Win7 die Syntax für die MBR-Wiederherstellung anders ist als bei Vista

Wenn du noch nicht alles platt gemacht hast => Bootsect (Befehlszeilenoptionen)

Der Befehl könnte zumindest Win7 wieder bootbar machen:

Code: Alles auswählenAufklappen

ATTFilter

bootsect.exe /nt60 c: /force
         

Hi Arne,

hab Deinen Tip ausprobiert, hat aber nix geholfen.

Ich hab nun alles platt gemacht und sitze hier nun Stunde um Stunde und installiere alles neu.

Naja, so hab ich halt auch mal ausgemistet.

Vielen Dank für Deine Unterstützung und Hilfestellungen. Hoffentlich fang ich mir nicht nochmal so ein Ding ein.

Mich würde mal interessieren wie der Sinowal auf meinen Rechner gekommen ist.

Naja, nochmal vielen Dank für alles.

MFG Skusi