BOO/Sinowal.A mit Avira gefunden - wie kriege ich ihn raus ?
 

Hallo zusammen !

Laut Avira sind wir mit BOO/Sinowal.A befallen
Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[FUND] Enthält Code des Bootsektorvirus BOO/Sinowal.A
[HINWEIS] Der Sektor wurde nicht neu geschrieben!


Wir suchen schon eine ganze Weile über versch.Einträge in Eurem Forum,
kommen aber nicht weiter.
Haben aus gesichertem Modus gestartet, in Recovery Console fixmbr ausgeführt etc.
Letzte Tat:
Den Rechner komplett neu eingerichtet, format c:/ , währenddessen war
die D-Festplatte abgeklemmt, AVira komplett neu installiert, dann D:/ wieder eingesteckt und gleich den Scanner drüberlaufen lassen.
Ergebnis - siehe oben.

Wie kriegen wir den Trojaner (?) von D./ runter ohne alles nochmal neu installieren zu müssen ?

Vielen Dank für Eure Hilfe !
M+O

Hallo und :hallo:

Ich schätze das einfachste wird es sein, in der Wiederherstellungskonsole (von der Windows-CD booten) diesen Befehl auszuführen:

Da es sich um die Zweitplatte anscheinend handelt, die infiziert ist (Masterbootsektor HD1).

Hallo und Danke für die nette Begrüßung !

Das haben wir nach den Hinweisen hier im BOard auch schon gemacht - hat nichts genützt, nur unsere Verzweiflung gesteigert.

Was können wir noch tun ?
Danke für die HIlfe !!!

O+M

Hallo

Was für ne Festplatte ist das? Von AntiVir sehe ich nur, dass es die Zweitplatte ist.

HD0 = Erste Festplatte, wahrscheinlich die Systemplatte mit Systempartition
HD1 = Zweitplatte?? Kann auch ein anderes Gerät sein, vllt ein Kartenleser oder ext. Platte. Bin mir da nicht genau sicher wie AntiVir da tickt.

Poste mal Deine verwendeten Datenträger.

Haben 2. Festplatte (Phsikalische Platte, keine Partition)

Führ doch mal bitte dieses Tool aus und poste die Ausgabe.

mbr.exe ausgeführt. Folgende Antwort:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x17499f00 size 0x1e4 !
copy of MBR has been found in sector 62 !

Grüße&Danke
OM

Der Trick klappt nicht, die Stealth MBR Schurken haben da schon längst eine Sperre eingebaut. Hol dir Vista 64 bit, da ist dieses Problem behoben oder eben
Gmers tool, klar:

Hi root24 !

Bitte nochmal auf Laien-PC-Deutsch :
Was können wir tun ? Was ist gmers tool ?
Wo finden wir das ...?

Sorry und Danke für die Geduld !
om

Interessant. :rolleyes:
Und inwiefern soll die Sperre da eingreifen wenn man garnicht von der Festplatte bootet sondern von der Windows-CD um in die Wiederherstellungskonsole zu gelangen?

Das ist keine Option. Allein wegen eines lächerlichen MBR-Befalls wechselt man nicht zu einem 64bit-OS. :D

@om2008: Wir hatten Dein Problem schonmal hier diskutiert, nur langsam erinnere ich mich :crazy: dort konnte mit fixmbr der MBR repariert werden.

Geh nochmal in die Wiederherstellungskonsole und führe dort den Befehl map aus. Aus der Ausgabe solltest Du sehen welchen Hardwarepfad Deine Festplatte hat, also welche Nummer sie (nach harddisk) hat.

Na weißt du das nicht?
Es gibt schon längst Rootkits, die EEPROM's/EPROM's und andere Flash-Speicher überschreiben. :blabla:

Quelle?
Und wieso soll Vista64 da angeblich resistent gegen sein? :rolleyes:

Ich meinte das ironisch!
Sorry, ich vergaß die [irony]-Tags. Natürlich ist dies nicht möglich.
Wer sagt, das Vista Ultimate resistent gegen was auch immer sein soll? :confused:

Habs scho kapiert :) man beachte meinen Smiley :party:

Ach, den hab ich in meiner Eile ganz überflogen, sorry. :party:

So, nu bin ich weg; ich muss meinen Rootkit aus dem CMOS entfernen.

SCNR :p

Vllt steckt der ja auch in Deinem Monitor - den solltest Du besser auch gleich austauschen. Kannst vllt noch billig bei Ebay verticken. :blabla:

Apropos, ich hab gerade gemerkt, das meine Armbanduhr falsch geht. Die ist vermutlich auch infiziert. :eek:

Hallöle @root24 und Silent sharK
Ich denke mal, dass da der BOO Sinuwal gar nicht mehr vorhanden ist. Zumindest nicht im Bootsektor:
Wird ja als ok gemeldet. Da ist halt nur irgendwo die Kopie, die aber keinen Einfluss hat. :taenzer:

Das hab ich auch gesehen, aber aus der mbr.exe wird man nicht schlau, ob nur die Systemplatte oder ob auch andere Platten durchsucht werden. Und AntiVir hat ja einen infizierten MBR gefunden. ;)

Hey,

habe 'map' ausgeführt. folgender Eintarg bei D:
NTFS 190780MB \Device\Harddisk1\Partition1

Grüße
om

Wenn das die besagte Zweitplatte ist (200 GB = 190780 MiB) dann dürfte eigentlich mit

fixmbr \device\harddisk1

das Problem behoben sein.

Ich glaubs nicht :

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!



SUPERSUPERSUPER !
Vielen Dank für den Support !
Ich weiss zwar nicht, was jetzt letztlich das Tier rausgeschmissen hat,
aber wir sind wieder clean !!!

Grüße an die Welt und Danke !!
om

Hallo zusammen,
wie auch der Vorredner habe ich ein kleines Problem mit dem tollen Trojaner
BOO/Sinowal.A.

Dieser befindet sich auf eine Externen Festplatte, die ich auch schon Formatiert habe, jedoch ohne jeden Erfolg.

Ich benutze als Betriebssystem Windows 7 32 bit Professional und versuche die Festplatte für einen Freund wieder hinzubekommen.

Könnt ihr mir Helfen, was ich denn machen könnte um diesen endgültig von der Platte zu Vernichten?
Ich habe schon den Avira Boot-Repair laufen lassen, aber meines Erachtens macht der nicht wirklich was, außer zu sagen, dass der Trojaner drauf ist.

Ich hoffe es ist kein Problem das ich dieses Thema benutze.

Viele Grüße und Besten Dank

crix

Sorry das ich nochmals schreibe, ich habe mich jetzt mal ein bisschen im Forum umgesehen und habe hier auch ein paar Daten von Maleware und mbr.exe tool

und vom mbr
Jedoch zeigt mir Antivir immernoch den Boo/Sinowal.A an.
Was kann ich jetzt noch machen?
Ich benötige dringend Hilfe.

Entschuldigung für den Doppelpost.

Beste Grüße

crix