BOO/Sinowal.A Problem auf Windows XP Home SP3
 

Guten Tag,
wie andere auch habe ich mir diesen Virus eingefangen.
Ich habe versucht den MBR über die XP-Home Wiederherstellungskonsole zu bereinigen aber nach der Eingabe des Befehls "fixmbr" passierte garnix...

Virenscan
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Dienstag, 8. Juli 2008 12:29

Es wird nach 1382539 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: XXXXXXXXXXXXXXXXX
Plattform: Windows XP
Windowsversion: (Service Pack 3) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: Leon
Computername: TITAN

Versionsinformationen:
BUILD.DAT : 8.1.0.308 16478 Bytes 28.05.2008 17:02:00
AVSCAN.EXE : 8.1.2.12 311553 Bytes 18.03.2008 09:02:52
AVSCAN.DLL : 8.1.1.0 57601 Bytes 30.01.2008 15:10:50
LUKE.DLL : 8.1.2.9 151809 Bytes 28.02.2008 08:41:20
LUKERES.DLL : 8.1.2.0 12545 Bytes 19.02.2008 08:39:40
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 10:33:34
ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.06.2008 20:24:56
ANTIVIR2.VDF : 7.0.5.51 273408 Bytes 04.07.2008 14:39:31
ANTIVIR3.VDF : 7.0.5.59 51712 Bytes 07.07.2008 14:43:26
Engineversion : 8.1.0.64
AEVDF.DLL : 8.1.0.5 102772 Bytes 25.02.2008 09:58:21
AESCRIPT.DLL : 8.1.0.46 283002 Bytes 02.07.2008 14:39:31
AESCN.DLL : 8.1.0.22 119157 Bytes 28.06.2008 20:25:25
AERDL.DLL : 8.1.0.20 418165 Bytes 28.06.2008 20:25:24
AEPACK.DLL : 8.1.1.6 364918 Bytes 28.06.2008 20:25:21
AEOFFICE.DLL : 8.1.0.20 192891 Bytes 28.06.2008 20:25:17
AEHEUR.DLL : 8.1.0.35 1298806 Bytes 02.07.2008 14:39:29
AEHELP.DLL : 8.1.0.15 115063 Bytes 28.06.2008 20:25:07
AEGEN.DLL : 8.1.0.29 307573 Bytes 28.06.2008 20:25:06
AEEMU.DLL : 8.1.0.6 430451 Bytes 28.06.2008 20:25:04
AECORE.DLL : 8.1.0.32 168311 Bytes 02.07.2008 14:39:23
AVWINLL.DLL : 1.0.0.7 14593 Bytes 23.01.2008 17:05:55
AVPREF.DLL : 8.0.0.1 25857 Bytes 18.02.2008 10:29:37
AVREP.DLL : 7.0.0.1 155688 Bytes 16.04.2007 13:25:52
AVREG.DLL : 8.0.0.0 30977 Bytes 23.01.2008 17:05:52
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19
AVEVTLOG.DLL : 8.0.0.11 114945 Bytes 28.02.2008 08:31:27
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02
SMTPLIB.DLL : 1.2.0.19 28929 Bytes 23.01.2008 17:06:34
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07
RCIMAGE.DLL : 8.0.0.35 2371841 Bytes 10.03.2008 14:34:46
RCTEXT.DLL : 8.0.32.0 86273 Bytes 06.03.2008 11:58:49

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: BootSectorTest
Konfigurationsdatei..............: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir PersonalEdition Classic\TEMP\AVCENTER_4873416d\0ae7d5a1.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: A:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: aus
Durchsuche Registrierung.........: aus
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Dienstag, 8. Juli 2008 12:29

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[FUND] Enthält Erkennungsmuster des Bootsektorvirus BOO/Sinowal.A
[WARNUNG] Der Bootsektor kann nicht repariert werden. Weitere Informationen zu diesem Thema finden Sie in der Hilfe.
Masterbootsektor HD2
[FUND] Enthält Erkennungsmuster des Bootsektorvirus BOO/Sinowal.A
[WARNUNG] Der Bootsektor kann nicht repariert werden. Weitere Informationen zu diesem Thema finden Sie in der Hilfe.
Masterbootsektor HD3
[FUND] Enthält Erkennungsmuster des Bootsektorvirus BOO/Sinowal.A
[WARNUNG] Der Bootsektor kann nicht repariert werden. Weitere Informationen zu diesem Thema finden Sie in der Hilfe.

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'A:\'
[INFO] Im Laufwerk 'A:\' ist kein Datenträger eingelegt!


Ende des Suchlaufs: Dienstag, 8. Juli 2008 12:29
Benötigte Zeit: 00:17 min

Der Suchlauf wurde vollständig durchgeführt.

0 Verzeichnisse wurden überprüft
0 Dateien wurden geprüft
3 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
-6 Dateien ohne Befall
0 Archive wurden durchsucht
3 Warnungen
0 Hinweise

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x950e4c1 size 0x1e4 !
copy of MBR has been found in sector 62 !

es wäre super, wenn ihr mir bei der Beseitigung weiter helfen könntet.

mfg Leon

Halli hallo.

Wollen wir erstmal den MBR reparieren..

Downloade dir dafür die mbr.bat.txt von BataAlexander und speichere sie neben der mbr.exe auf dem Desktop.
Ändere die Endung der mbr.txt.bat in mbr.bat Eine vernünftige Ordneransicht ist dafür nötig.
Dann führe die mbr.bat. durch einen Doppelklick aus.
Dabei muss sich die mbr.exe von gmer ebenfalls auf dem Desktop befinden!

Der MBR wird bereinigt und es erscheint ein log. Poste auch diese log!


[EDIT] Huhu Myrti.. :party:
:) you're welcome..

Hi,
erstell bitte ein Log mit Dr.Web, lass alles löschen, was es findet.


Cureit Dr.Web

• Downloade Dr.Web CureIt!
• Speichere es auf deinem Desktop.
• Entpacke es in einen eigenen Ordner.
• Lies nun zuerst die deutsche Anleitung und drucke sie dir aus.

• Lass alle Malware in den Quarantaene Ordner verschieben.
• Ignoriere eventuelle Warnungen seitens deines AV Programms, du kannst auch offline gehen und -> dann dein AV Programm während des Scannens mit Dr.Web CureIt! abstellen.
• Vergiss bitte nicht, dein AV Programm nach dem Scan wieder anzustellen.

• Speichere das Logfile - siehe Anleitung - und poste es.

lg myrtille

EDIT: Hi undo :D Hatte dich nicht gesehen, sorry. :)

Ich danke euch für eure schnelle Hilfe,
nach ausführen von Dr.Web CureIt! fand er 2 Backdoor Viren und entfernte sie. Nach dem Neustart scante ich noch einmal nach Viren und es kam keine Virenmeldungen... Somit würde ich annehmen, dass es keine mehr gibt.
Thx nochmal :P

Dürften wir die Logs auch mal sehen? :p

Nicht, dass ich dir nicht traue, aber mich würd dann doch interessieren, ob da nicht noch mehr ist.

lg myrtille

Beim ersten Scan war ich wohl zu aufgeregt, hab da den log vergessen... -.-
Ich Scanne nu noch mal komplett durch und poste dann den log.^^

Eine schnelle Suche fand das hier..:
mzccntrl.exe c:\programme\gemeinsame dateien\marmiko shared Adware.Msearch.origin
versiond.dll c:\windows\system32 Adware.Stud

was soll ich damit machen?

PS: Komplette suche dauert Stunden und die werde ich über die Nacht durchlaufen lassen.