Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   BOO/Sinowal.A (https://www.trojaner-board.de/63441-boo-sinowal-a.html)

dojoh 02.11.2008 14:19
BOO/Sinowal.A
 
Moin Forum,

ich hab hier gerade ein etwas älteres Sony Notebook vor mir, dass laut Antivir mit dem BOO/Sinowal.A Virus im Masterbootsektor HD1 infiziert ist. Betriebsystem ist WinXP SP3.
Ich habe hier im Forum schon diverse Anleitungen gefunden und so weit es ging befolgt. Allerdings ohne Erfolg.
Praktisch waren dies: Widerherstellungskonsole und dann "fixmbr" bzw "fixboot c:". Beide schrein aufder Festplatte rum, allerdings ohne, dass der Virus danach weg ist.

Ausgeführt habe ich danach die mbr.exe von gmer.net (ein mbr.exe -f, dass teilweise vorgeschlagen wurde, liefert die selbe Ausgabe und löscht den Virus nicht)

Code:
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x4a8505a size 0x1ce !
copy of MBR has been found in sector 62 !

Sowie den GMER:

Code:
GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2008-11-02 14:16:40
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.14 ----

SSDT            F8B1F2EC                  ZwCreateThread
SSDT            F8B1F2D8                  ZwOpenProcess
SSDT            F8B1F2DD                  ZwOpenThread
SSDT            F8B1F2E7                  ZwTerminateProcess
SSDT            F8B1F2E2                  ZwWriteVirtualMemory

---- Devices - GMER 1.0.14 ----

Device          \FileSystem\Ntfs \Ntfs    lfsfilt.sys (NDAS LFS Filter/XIMETA, Inc.)

AttachedDevice  \FileSystem\Ntfs \Ntfs    avgntmgr.sys (Avira AntiVir File Filter Driver Manager/Avira GmbH)
AttachedDevice  \FileSystem\Ntfs \Ntfs    lfsfilt.sys (NDAS LFS Filter/XIMETA, Inc.)
AttachedDevice  \FileSystem\Fastfat \Fat  avgntmgr.sys (Avira AntiVir File Filter Driver Manager/Avira GmbH)

---- Disk sectors - GMER 1.0.14 ----

Disk            \Device\Harddisk0\DR0    sector 61: malicious code @ sector 0x4a8505a size 0x1ce
Disk            \Device\Harddisk0\DR0    sector 62: copy of MBR

---- EOF - GMER 1.0.14 ----
Dementsprechend geh ich davon aus: Virus da, nur wie werd ich ihn los?

Wär euch echt dankbar über Hilfestellungen!

LG dojoh

Silent sharK 02.11.2008 21:18
Hallo,

wenn Avira Sinowal trotz fixmbr/fixboot und mbr.exe -f meldet, kann ich dir nur raten, dein System plattzumachen und Windows neu aufzuspielen.
Nicht normal, mach es am besten mit DBAN.
Dann kannst du sicher gehen, das Sinowal entfernt wurde.

mfg

dojoh 02.11.2008 23:02
Hi,

das könnte etwas problematisch sein, da das Laptop meinem Dad gehört und der darauf einige Programme hat, die er nicht so einfach wieder installiert bekommt.
Desweiteren habe ich bis jetzt mehrfach gelesen, dass auch eine komplette Neuinstallation (wenn auch ohne DBAN) nichts gebracht hat.
Dementsprechend: gibt es vielleicht doch noch irgendwelche Lösungsvorschläge? Wäre echt super hilfreich!

Vielen Dank schonmal für deine Antwort!

Grüße dojoh

Silent sharK 02.11.2008 23:05
Naja, wenn du die Zeit aufbringen willst, können wir noch etwas mehr im System graben.
Führe bitte folgende Tools aus:

1.)
Blacklight scannen lassen
  • Lade F-Secure Blacklight runter in einen eigenen Ordner, z.B. C:\programme\blacklight. Sollte der Download nicht klappen, dann probiere es mit diesem Link.
  • Starte in diesem Ordner blbeta.exe. Alle anderen Programme schließen.
  • Klick "I accept the agreement", "next", "Scan".
  • Wenn der Scan fertig ist beende Blacklight mit "Close".
  • Im Verzeichnis von Blacklight findest Du das erstellte Log fsbl-XXX.log, anstelle der XXX steht eine längere Folge von Ziffern.

2.)
ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

dojoh 03.11.2008 00:09
Hi,

hier erstmal den Log vom ersten:

Code:
11/02/08 23:18:07 [Info]: BlackLight Engine 2.2.1092 initialized
11/02/08 23:18:07 [Info]: OS: 5.1 build 2600 (Service Pack 3)
11/02/08 23:18:08 [Note]: 7019 4
11/02/08 23:18:08 [Note]: 7005 0
11/02/08 23:18:15 [Note]: 7006 0
11/02/08 23:18:15 [Note]: 7011 1960
11/02/08 23:18:15 [Note]: 7035 0
11/02/08 23:18:15 [Note]: 7026 0
11/02/08 23:18:15 [Note]: 7026 0
11/02/08 23:18:19 [Note]: FSRAW library version 1.7.1024
Das Programm gibt dabei die Meldung aus, dass NICHTS gefunden wurde... etwas verwirrend. Hab gerade nochmal mit AntiVir überprüft: Ist aber weiterhin im MBR drin...


Das zweite Programm kann ich leider erst in einer Woche ausführen. Bin unter der Woche nicht hier und heut wirds mir zuviel ;) sorry.

Hilft vielleicht das erste log schon ?


Vielen Dank!

Silent sharK 03.11.2008 00:11
Komisch, das BlackLight nichts findet.

Combofix ist nicht zwingend, es ist nicht dazu da, um Sinowal zu entfernen.
Kannst du bitte den Report von Avira posten?

blow-in 03.11.2008 14:48
Hallo zusammen
Ich würde ja sagen, dass der Sinowal nicht mehr aktiv ist und auch keinen Schaden mehr anstellen kann.
Zitat:
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x4a8505a size 0x1ce !
copy of MBR has been found in sector 62 !
der MBR wird als OK bezeichnet.
Deshalb findet auch Blackligth nichts mehr.
Da gibt es lediglich noch an irgend einer Stelle den Besagten Eintrag, sozusagen die Kopie in Sektor 62.
Dieser Sektor wird auch nicht durch ein Format beseitigt.

Silent sharK 03.11.2008 21:24
Das hab ich doch glatt wieder übersehen. :eek:

Danke Dir, blow-in


Alle Zeitangaben in WEZ +1. Es ist jetzt 17:54 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131