Hallo Zusammen,
habe schon einige Threads hier gelesen und festegestellt, dass ich wohl nicht der einzige bin der mit sowas Probleme hat.

Habe Avira laufen und schon öfter Meldungen über Siowal.C im Masterboot Sektor bekommen. Bisher hat das nicht groß gestört. Jetzt häufen sich allerdings Systemabstürze, etc...!

Außerdem will ich den Rechner mit dem neuen Laptop im Netzwerk betreiben, dazu sollte das Ding aber sauber sein.

Habe heute mit Avira einen komplett Scan durchgeführt ...
Sinowal.C in MasterbootSektor HD0 von C: / D: / E: gefunden, zusätzlich RKIT/MBR.Sinowal.J in c:\Dok..u..Einstellungen...\uninstall.exe, sowie W32/Stanit in diversen files.

Das Avira Log-File ist ziemlich groß, versuche mal das Malware Logfile zu posten, scheint mir allerdings nicht hilfreich zu sein.

...ich könnte echt Hilfe brauchen...

Herzliche Grüße

Tolot99

hänge das avira log an.
nene, viren stören ja überhaupt nicht es hat schon nen grund wenn dein av anschlägt und du solltest immer umgehend reagieren.
aber da du nen virus auf dem system hast (file infektor) wirst du das gerät neu aufsetzen müssen, aber ich will mir vorher avira ansehen.

Hy, erst mal danke dass Du dich meinem Problem annimmst,...

habe mit avira einen kompletten scan gemacht,...das Ding hat 95.300kb Größe?,...kann die Datei so nicht hochladen, bin 2 mal gescheitert.

Reicht ein scan von den Bootsektoren oder willst Du Teile von dem großen Logfile?

...hab was vergessen, mit gezipt bleiben immer noch rund 3Mb übrig...

gab es fund meldungen? wenn ja diese posten.
bitte öffne mal avira, dann konfiguration, expertenmodus anhaken und unter reports, gibts 2 mal, auf standard stellen, nicht auf vollständig.

hy,..
habe aufgrund des postings im avira forum
/hxxp://forum.avira.com/wbb/index.php?page=Thread&threadID=93875

die Dateien von AVG (virus removal W32/gealicum) geladen und ausgeführt. Beim download der zweiten Datei von AVG (rmgeal.nt) hat AV TR/Rootkit.Gen3 gemeldet. Hab danach einen scan mit av gemacht und folgendes Ergebnis bekommen (ist das Ende des log-files):

Code: Alles auswählenAufklappen

ATTFilter

Beginne mit der Desinfektion:
C:\WINDOWS\pss\
  uninstall.exeCommon Startup
    [FUND]      Enthält Erkennungsmuster des Rootkits RKIT/MBR.Sinowal.J
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 4e94374e.qua erstellt ( QUARANTÄNE )
    [HINWEIS]   Die Datei wurde erfolgreich überschrieben!
    [HINWEIS]   Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Markus\Eigene Dateien\_downloaded\
  rmgael.nt
    [FUND]      Ist das Trojanische Pferd TR/Rootkit.Gen3
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 560118e8.qua erstellt ( QUARANTÄNE )
    [HINWEIS]   Die Datei wurde erfolgreich überschrieben!
    [HINWEIS]   Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\All Users\Dokumente\_Samsung\
  Kies_1.5.3.10103_102_1.exe
    [FUND]      Enthält verdächtigen Code: HEUR/Malware
    [HINWEIS]   Der Fund wurde als verdächtig eingestuft.
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '04584244.qua' verschoben!
C:\Dokumente und Einstellungen\All Users\Dokumente\Eigene Musik\Q2-ne\Program\Emodio\
  setup.exe
    [FUND]      Enthält verdächtigen Code: HEUR/Malware
    [HINWEIS]   Der Fund wurde als verdächtig eingestuft.
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '621e0d82.qua' verschoben!
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\
  uninstall.exe
    [FUND]      Enthält Erkennungsmuster des Rootkits RKIT/MBR.Sinowal.J
    [HINWEIS]   Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common Startup> wurde erfolgreich entfernt.
    [WARNUNG]   Die Datei konnte nicht ins Quarantäneverzeichnis kopiert werden.
    [WARNUNG]   Die Quelldatei konnte nicht gefunden werden.
    [WARNUNG]   Die Datei konnte nicht überschrieben werden!
    [HINWEIS]   Systemfehler [32]: Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
    [WARNUNG]   Die Datei konnte nicht gelöscht werden!
    [HINWEIS]   Systemfehler [32]: Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
    [HINWEIS]   Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
    [HINWEIS]   Die Datei wurde gelöscht.
    [HINWEIS]   Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common Startup> wurde erfolgreich entfernt.


Ende des Suchlaufs: Sonntag, 6. Februar 2011  13:25
Benötigte Zeit:  1:38:39 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  12733 Verzeichnisse wurden überprüft
 758926 Dateien wurden geprüft
      5 Viren bzw. unerwünschte Programme wurden gefunden
      6 Dateien wurden als verdächtig eingestuft
      3 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      4 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
     40 Dateien konnten nicht durchsucht werden
 758875 Dateien ohne Befall
   9766 Archive wurden durchsucht
     58 Warnungen
    147 Hinweise
 690381 Objekte wurden beim Rootkitscan durchsucht
     93 Versteckte Objekte wurden gefunden
         

Danach nochmal alle von av gemeldeten mit win32/stanit befallenen .exe Dateien samt Verzeichnis gelöscht.

Jetzt nochmal einen scan mit av mit deinen einstellungen "Standard-Report",
siehe angehängte datei.

Was mich wundert, weder in den Bootsektoren von C: / D: / E: noch im externen USB laufwerk L: ist von Sinowal was gelistet. Fehler in den AV Einstellungen beim scan?

Wie kann ich prüfen / sicher sein, dass Win32/stanit jetzt weg ist? Ist da evtl. schon irgendwo eine Hintertür zu meinem Rechner offen?

Die Datei ...uninstall.exe bleibt weiterhin bestehen, das Ding läßt sich nicht löschen, verschieben oder umbenennen.

Gruß
Tolot

stanit ist ein file infektor, er "hängt" also seinen code an jede ausführbare datei.
das sicherste wäre es also, daten zu sichern und neu aufzusetzen
die uninstall.exe sieht zusätzlich nach rootkit aus.

hast Du eine ToDo Liste wie so was am effektivsten umgesetzt wird und dabei nicht's übersehen wird? Ich mach sowas nicht jeden Tag. Und dann wird's bestimmt ne Reihe von Tools geben die nützlich sind und die ich auf dem Rechner haben sollte.

Ich hab von der Kister ne Recover-CD, reicht die? Was installiere ich in welcher Reihenfolge,
wie siehts mit den Windows Updates aus, SP3, Sicherheitsupdates etc. wie komme ich an die ran?

musst du daten sichern?
dann bitte nur texte bilder dokumente.
um sicher zu gehen. mach folgendes.
http://www.trojaner-board.de/96344-a...-rechners.html

Danke für die Liste...
Kannst Du die Beschreibung bzgl Opera bitte durch FF ersetzen, möchte ungern umsteigen, wir am Arbeitsplatz auch FF in Betrieb.

Habe Daten und Programmsicherungen (auch .exe) auf externem USB - Laufwerk, kann ich das jetzt in Müll schmeißen? Beim Scan hat AV Rootkit Sinowal in L: gemeldet. Stanit wurde da selbst beim ersten Scan nicht gefunden, ..?...oder besser gleich ein neues Laufwerk?

Lohnt es sich eine XP Pro / SP3 version für 30€ zu kaufen anstatt mit der 6 Jahre alten Recovery CD zu starten und Dowloads zu sammeln? Denke hier auch an das spätere Netzwerk mit dem W7 Laptop, bringt das Vorteile?

Wie kann ich XP parallel zu Ubuntu auf den Rechner laden und nach auswahl starten, ein Kollege schwört auf die Linux Welt!

...was vergessen, ...
wie sieht's mit den ganzen Sicherheitsupdates von Windows aus, die über die Jahr rausgekommen sind, muß ich die jetzt einzeln nachladen?

kümmern wir uns erst mal um windows. hab nie xp pro benutzt, denke aber nicht das das nen unterschied macht.
ps ich denke nicht das man um sicher surfen zu können unbedingt linux benötigt.
als adon noscript, es werden dadurch einige scripts (java) zb blockiert, du kannst diese dann frei geben, in dem du auf der seite, die freigegeben werden
soll, nen rechtsklick machst, noscript wählst, und temporär alle berectigungen aufheben wählst, somit werden sie für den besuch aufgehoben, oder alle beschrenkungen
aufheben, somit wird die seite freigegeben. das kann man natürlich wieder rückgängig machen.
http://filepony.de/download-adblock_firefox//
hier gibt es noch filterlisten:
Bekannte Filterlisten fr Adblock Plus
hier würde ich 2 oder 3 deutsche filter auswählen.
unter sonstiges die malware blocklist.
sandboxie:
hier noch ein paar zusatzeinstellungen, nicht verunsichern lassen, wenn ihr das programm instaliert habt, werden sie klar.
den direkten datei zugriff bitte auf firefox.exe und plugin-container.exe
beschrenken, hier kannst du auch noscript und andere plugins eintragen.
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\prefs.js
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\bookmarks.html
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\sessionstore.js
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\adblockplus\patterns.ini
bei
Internetzugriff:
firefox.exe und
plugin-container.exe
eintragen
öffne dann sandboxie, dann oben im menü auf sandbox klickem, wähle deine sandbox aus und klicke dann auf sandboxeinstellung.
dort auf anwendung, webbrowser, firefox.
direkten zugriff auf lesezeichen erlauben auswählen und auf hinzufügen klicken, dann auf ok.
wegen der festplatte ist da nen komplettes systembackup drauf oder nur von dir kopiertes zeug?
die platte hing ja nicht am sauberen pc hoffe ich.

ne,.. externe USB Festplatte war nur am infizierten Destop drann, kein System Backup nur Bilder Texte und Programme (exe-Dateien).

Habe das USB Laufwerk nochmal mit avira gescannt,..ist sauber!

zwischenzeitlich mal aufgeräumt,...um zu wissen was alles weg sein wird.
Datensicherung.
Aus Neugier nochmal mit GMER gescannt, fand nur den Rootkiteintrag auf C:!

weiter geht's erst am Wochenende,...beruflich unterwegs!

ok meld dich dann.

Sorry für die späte Rückmeldung, war dienstlich länger als geplant unterwegs.

Die Situation hat sich geändert.

Hatte Deine Installationsanweisungen durch und war gerade dabei die Druckertreiber zu installieren, da hat sich die Kiste mechanisch / elektrisch verabschiedet.

Entweder Netzteil oder was wahrscheinlicher ist, mainboard defekt.
Keine Spannungsanzeige am Einschaltknopf,.....tot.

Hab einen älteren Rechner aktiviert und entsprechend Deinen Vorgaben eingerichtet. Gehe heute daran die wichtigsten Daten zurück zu kopieren.

Vielen herzlichen Dank für Deine Hilfe!
Denke das Thema ist durch!
Gruß Tolot99