007

Hallo,

heute Abend ist mein PC einfach runter gefahren. Also habe ich meine Virenprogramme durchlaufen lassen: Antivir, Malware Anti-Malware und Super Antispyware. Irgendwie konnte kein Programm seinen Scan beenden.

Antivir konnte folgendes geststellen: BOO/Sinowal.e

Antivir bot mir ein Programm an, um dieses Virus zu löschen, doch war es unmöglich das Programm auszuführen.
Ich brauche eure Hilfe.

Anhand des bisher geschriebenen könnt ihr sicher feststellen, dass ich nicht viel Ahnung von PC’s habe, daher bitte ich euch geduldig mit mir zu sein und eu einfach auszudrücken, damit ich euch folgen kann.

Danke!

Leonixx

Hi,

sieht nicht gut aus. Das ist ein Rootkit das sich in den MBR schreibt, so dass sogar eine Neuinstallation sofort verseucht wäre. Lade dir das Tool im Link. Halte dich an die Anleitung und poste das Logfile.

http://virus-protect.org/artikel/tools/mbr.html

007

Hallo,

dass funktioniert nicht. Ich habe das Ding runtergeladen auf Lauf werk C. Anschließend den Befehl bei "Ausführen" eingetippt. Dann geht ein DOS-Fenster auf, indem es heißt: C\okumente und Einstellungen\mein Name>

Ich habe dann den Befehl mbr-f eingegeben, dann heißt es aber, dass dies entweder falsch geschrieben wurde oder nicht gefunden werden konnte.

Was nun?

007

Ahh, hat doch geklappt, dass kam dabei raus:


Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, [url='http://www.gmer.netdevice']http://www.gmer.net
device
: opened successfully
user: MBR read successfully
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\ACPI -> 0x89979b00
NDIS: Intel(R) PRO/100 VE Network Connection -> SendCompleteHandler -> 0x899b6200
Warning: possible MBR rootkit infection !
copy of MBR has been found in sector 0x0950A600
malicious code @ sector 0x0950A603 !
PE file found in sector at 0x0950A619 !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.
original MBR restored successfully !

Leonixx

Wird nichts angezeigt. Nach der Anleitung sollte ein Textdatei herauskommen, die du hier posten solltest.

007

Hallo,



es kam nur das. Aber ich werde es jetzt nochmal probieren und mich in ein paar Minuten wieder melden.

007

Hallo,



also ich bin der Anleitung gefolgt, aber die log Datei gibt nur dieses an:
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, [url='http://www.gmer.netdevice']http://www.gmer.net
device
: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x0950A600
malicious code @ sector 0x0950A603 !
PE file found in sector at 0x0950A619 !


Laut dieser Seite, wo die Schritte erklärt werden, müsste dies aber auch alles sein. Denn es heißt, es werden zwei mögliche angabe im Log stehen:



Wenn mbr nicht Infiziert ist:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully

user: MBR read successfully

kernel: MBR read successfully

user kernel MBR OK


[img]../bilder/Copy.png[/img] Wenn aber Infiziert

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully

user: MBR read successfully

kernel: MBR read successfully

user kernel MBR OK

MBR rootkit code detected !

malicious code @ sector 0xe4f8121 size 0x2c3 !

copy of MBR has been found in sector 62 !

MBR rootkit infection detected ! Use: "mbr.exe -f" to fix





Sollen wir Combofix wie beim letzten Mal ausprobieren?

Leonixx

Ja, wenn du es im abgesicherten Modus ausführen kannst.

007

Hallo,



okay, dass mache ich jetzt und melde mich in einigen Minuten wieder. Vielleicht ganz kurz, den abgesicherten Modus aktiviere ich wie?

Leonixx

Beim Start Taste F8 drücken und abgesicherter Modus auswählen.