Trojaner-Board
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Bootsektor Virus "BOO/Sinowal.A" (https://www.trojaner-board.de/53869-bootsektor-virus-boo-sinowal-a.html)

gustl123 18.06.2008 16:51
Ich habe jetzt einen Scan mit Dr.Web gemacht. Das Logfile ist 128MB groß und dementsprechend lang, dass ich es nicht posten kann.
Gefunden hat er:
MasterBoot Record HDD2 (Status: BackDoor.MaosBoot)

Wie kann ich die Datei jetzt löschen?

cosinus 18.06.2008 17:23
Zitat:
Zitat von gustl123 (Beitrag 346996)
Gefunden hat er:
MasterBoot Record HDD2 (Status: BackDoor.MaosBoot)

Wie kann ich die Datei jetzt löschen?
Das ist keine Datei, der Sinowal legt ein Rootkit im Master Boot Record der Festplatte ab. Die Plattenkonfig sieht bei Dir so aus:

Code:
\\.\PHYSICALDRIVE0 - SAMSUNG HD501LJ ATA Device - 465.76 GiB - 3 partitions
  \PARTITION0 (bootable) - Installierbares Dateisystem - 134.29 GiB - C:
  \PARTITION1 - Installierbares Dateisystem - 307.04 GiB - E:
  \PARTITION2 - Erweitert mit Int 13 (erweitert) - 24.42 GiB - D:

\\.\PHYSICALDRIVE1 - NDAS WDC WD5000AAJB-0 SCSI Disk Device - 465.76 GiB - 3 partitions
  \PARTITION0 - Installierbares Dateisystem - 270.44 GiB - L:
  \PARTITION1 - Erweitert mit Int 13 (erweitert) - 195.32 GiB - M: - N:
Es wird auf der zweiten Platte der Schädling im MBR gemeldet. Hast Du auf Laufwerk L: noch ein Betriebssystem installiert?

gustl123 18.06.2008 17:49
Nein, auf der Platte ist kein Betriebssystem. Das ist eine Netzwerkfestplatte, die während dem Scan nicht angeschlossen war (hab Netzwerkkabel getrennt). Warum kann dann der Virus erkannt werden?

cosinus 18.06.2008 18:06
Werden Netzwerkplatten als physikalisch angeschlossene Platten erkannt? :confused: ich bin mir da nicht sicher :schmoll:

Egal - starte mal die Vista-Wiederherstellungskonsole - dort in die Eingabeaufforderung. Führe dort den Befehl

fixmbr

aus und reboote. Prüf dann ob der Schädling im MBR noch immer gemeldet wird.

BataAlexander 18.06.2008 20:04
Hast Du Blacklight laufen lassen?
Hat es eine Meldung gebracht?

gustl123 18.06.2008 20:07
Blacklight hat nichts gemeldet.

cosinus 18.06.2008 20:13
Findet AntiVir noch was nach der fixmbr Prozedur?

gustl123 18.06.2008 20:50
Wenn ich in der Wiederherstellungskonsole "foxmdr" eingeb kommt dass es den Befehl ned gibt.

myrtille 18.06.2008 20:59
Hi,
unter Vista geht das ganze etwas anders:
Versuch es daher bitte mal mit bootrec.exe /fixmbr statt fixmbr.

Weitere Informationen bei Microsoft.

lg myrtille

cosinus 18.06.2008 21:28
Zitat:
Zitat von gustl123 (Beitrag 347113)
Wenn ich in der Wiederherstellungskonsole "foxmdr" eingeb kommt dass es den Befehl ned gibt.
"foxmdr" gibt es auch nicht. Ich schrieb ja auch fixmbr - bitte genauer lesen!

gustl123 23.06.2008 13:54
Ich hab jetzt "bootrec.exe /fixmbr gemacht. Hat sich aber nichts geändert, wird immer noch erkannt.

cosinus 24.06.2008 09:54
Und was ist mit nur fixmbr ohne bootrec?

gustl123 24.06.2008 13:42
fixmbr geht bei mir (Vista) nicht. Nur mit bootrec.exe

cosinus 25.06.2008 18:08
Zitat:
Zitat von gustl123 (Beitrag 348888)
fixmbr geht bei mir (Vista) nicht. Nur mit bootrec.exe
Hmhmhm...nur mal ne Idee.

Probiers mal so. Geh in die Wiederherstellungskonsole und tipp bootrec.exe ein, mit Return bestätigen. Probier danach mal ein

fixmbr \Device\Harddisk2

Pace_man 01.04.2009 18:24
Hallo ich habe ein ähnliches Problem...mein Antivir zeigt mir folgendes an:
Master Bootsektor HD1
Enthält Code des Masterbootsektorvirus BOO/Sinowal.A

Dann erscheint das Fenster mit der Anzeige das der Bootsektor nicht repariert werden kann...mein Mbr-detektor zeigt mir auch nix genaues, zumindest versteh ich es ned:
tealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x12a14c00 size 0x1ae !


...ich muss dazu sagen ich hab das XP the next Level

kann mir jemand helfen wie ich meinen PC wieder sauber bekomm

Danke schonmal im vorraus


Alle Zeitangaben in WEZ +1. Es ist jetzt 03:02 Uhr.
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131