BOO/Sinowal.e - wie krieg ich das weg

Diskutiere BOO/Sinowal.e - wie krieg ich das weg im Viren, Würmer, Spyware Forum im Bereich Computerprobleme; Hallo, heute Abend ist mein PC einfach runter gefahren. Also habe ich meine Virenprogramme durchlaufen lassen: Antivir, Malware Anti-Malware und...

  1. 007

    007 Benutzer

    Dabei seit:
    19.01.2009
    Beiträge:
    87
    Zustimmungen:
    0
    Hallo,

    heute Abend ist mein PC einfach runter gefahren. Also habe ich meine Virenprogramme durchlaufen lassen: Antivir, Malware Anti-Malware und Super Antispyware. Irgendwie konnte kein Programm seinen Scan beenden.

    Antivir konnte folgendes geststellen: BOO/Sinowal.e

    Antivir bot mir ein Programm an, um dieses Virus zu löschen, doch war es unmöglich das Programm auszuführen.
    Ich brauche eure Hilfe.

    Anhand des bisher geschriebenen könnt ihr sicher feststellen, dass ich nicht viel Ahnung von PC’s habe, daher bitte ich euch geduldig mit mir zu sein und eu einfach auszudrücken, damit ich euch folgen kann.

    Danke!
     
  2. Anzeige

    schau mal hier: Windows-Wartungs-Tool. Viele Probleme lassen sich damit einfach beheben. Oftmals ist der PC dann auch schneller!
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren.
  3. #2 Leonixx, 23.10.2009
    Leonixx

    Leonixx
    Moderator

    Dabei seit:
    17.10.2007
    Beiträge:
    18.904
    Zustimmungen:
    0
    Ort:
    NIX DO
    Hi,

    sieht nicht gut aus. Das ist ein Rootkit das sich in den MBR schreibt, so dass sogar eine Neuinstallation sofort verseucht wäre. Lade dir das Tool im Link. Halte dich an die Anleitung und poste das Logfile.

    http://virus-protect.org/artikel/tools/mbr.html
     
  4. 007

    007 Benutzer

    Dabei seit:
    19.01.2009
    Beiträge:
    87
    Zustimmungen:
    0
    Hallo,

    dass funktioniert nicht. Ich habe das Ding runtergeladen auf Lauf werk C. Anschließend den Befehl bei "Ausführen" eingetippt. Dann geht ein DOS-Fenster auf, indem es heißt: C\:Dokumente und Einstellungen\mein Name>

    Ich habe dann den Befehl mbr-f eingegeben, dann heißt es aber, dass dies entweder falsch geschrieben wurde oder nicht gefunden werden konnte.

    Was nun?
     
  5. #5 Leonixx, 24.10.2009
    Leonixx

    Leonixx
    Moderator

    Dabei seit:
    17.10.2007
    Beiträge:
    18.904
    Zustimmungen:
    0
    Ort:
    NIX DO
    Wird nichts angezeigt. Nach der Anleitung sollte ein Textdatei herauskommen, die du hier posten solltest.
     
  6. 007

    007 Benutzer

    Dabei seit:
    19.01.2009
    Beiträge:
    87
    Zustimmungen:
    0
    Hallo,



    es kam nur das. Aber ich werde es jetzt nochmal probieren und mich in ein paar Minuten wieder melden.
     
  7. 007

    007 Benutzer

    Dabei seit:
    19.01.2009
    Beiträge:
    87
    Zustimmungen:
    0
    Hallo,



    also ich bin der Anleitung gefolgt, aber die log Datei gibt nur dieses an:
    Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
    device
    : opened successfully
    user: MBR read successfully
    kernel: MBR read successfully
    user & kernel MBR OK
    copy of MBR has been found in sector 0x0950A600
    malicious code @ sector 0x0950A603 !
    PE file found in sector at 0x0950A619 !



    Laut dieser Seite, wo die Schritte erklärt werden, müsste dies aber auch alles sein. Denn es heißt, es werden zwei mögliche angabe im Log stehen:



    Wenn mbr nicht Infiziert ist:

    Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

    device: opened successfully

    user: MBR read successfully

    kernel: MBR read successfully

    user kernel MBR OK


    [​IMG] Wenn aber Infiziert

    Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

    device: opened successfully

    user: MBR read successfully

    kernel: MBR read successfully

    user kernel MBR OK

    MBR rootkit code detected !

    malicious code @ sector 0xe4f8121 size 0x2c3 !

    copy of MBR has been found in sector 62 !

    MBR rootkit infection detected ! Use: "mbr.exe -f" to fix





    Sollen wir Combofix wie beim letzten Mal ausprobieren?
     
  8. #8 Leonixx, 24.10.2009
    Leonixx

    Leonixx
    Moderator

    Dabei seit:
    17.10.2007
    Beiträge:
    18.904
    Zustimmungen:
    0
    Ort:
    NIX DO
    Ja, wenn du es im abgesicherten Modus ausführen kannst.
     
  9. 007

    007 Benutzer

    Dabei seit:
    19.01.2009
    Beiträge:
    87
    Zustimmungen:
    0
    Hallo,



    okay, dass mache ich jetzt und melde mich in einigen Minuten wieder. Vielleicht ganz kurz, den abgesicherten Modus aktiviere ich wie?
     
  10. #10 Leonixx, 24.10.2009
    Leonixx

    Leonixx
    Moderator

    Dabei seit:
    17.10.2007
    Beiträge:
    18.904
    Zustimmungen:
    0
    Ort:
    NIX DO
    Beim Start Taste F8 drücken und abgesicherter Modus auswählen.
     
  11. 007

    007 Benutzer

    Dabei seit:
    19.01.2009
    Beiträge:
    87
    Zustimmungen:
    0
    Geht nicht, der PC sagt was von Keyboard Error. Kann ich Combo auch vom normalen Modus starten?



    So, beim 30mal hat es dann doch geklappt. Führe Combo nun aus.
     
  12. #12 Leonixx, 24.10.2009
    Leonixx

    Leonixx
    Moderator

    Dabei seit:
    17.10.2007
    Beiträge:
    18.904
    Zustimmungen:
    0
    Ort:
    NIX DO
    Hast du eine Funktastatur?

    Dann gibt es noch einen zweiten Trick. Wenn Windows normal gestartet ist, dann Start-Ausführen- msconfig eingeben dann unter Allgemein auf Diagnosesystemstart-Nur grundlegende Geräte und Dienste laden, klicken und bestätigen. Dann sollte dein Rechner im abgesicherten Modus starten.
     
  13. 007

    007 Benutzer

    Dabei seit:
    19.01.2009
    Beiträge:
    87
    Zustimmungen:
    0
    So, Combofox Datei ist im Anhang.



    Ich hoffe, es findet sich eine Lösung. ;(
     

    Anhänge:

  14. #14 Leonixx, 24.10.2009
    Leonixx

    Leonixx
    Moderator

    Dabei seit:
    17.10.2007
    Beiträge:
    18.904
    Zustimmungen:
    0
    Ort:
    NIX DO
    c:\windows\ERDNT\Hiv-backup\ERDNT.EXE
    c:\windows\SWREG.exe
    c:\windows\system32\DRVSTORE\ccdcmb_BCC7B353E4C97600259A2CADE869842C38E1062D\ccdcmb.sys

    Diese Dateien bei Virustotal hochladen und auswerten. www.virustotal.com


    Lade dir die Antivir Rescue CD. Iso Datei mit Brennprogramm (z.B. Image brennen) auf CD brennen. Danach in Laufwerk schieben und Rechner damit starten. Vollscan durchlaufen lassen. Auf jeden Fall im Bios die Bootreihenfolge richtig einstellen, sollte die CD nicht automatisch starten. 1stbootdevice: CD/DVD Laufwerk, 2stbootdevice: Hdd....


    http://www.free-av.de/de/tools/12/avira_antivir_rescue_system.html
     
  15. 007

    007 Benutzer

    Dabei seit:
    19.01.2009
    Beiträge:
    87
    Zustimmungen:
    0
    Hallo,

    okay, mache ich jetzt Schritt für Schritt.

    1.c:\windows\ERDNT\Hiv-backup\ERDNT.EXE






    MD5:
    89afdd29832aa923926bdd4b5f5243d5

    First received:
    2006.12.07 02:35:39 UTC

    Datum
    2009.10.24 02:26:51 UTC [<1D]

    Ergebnisse
    2/41

    Permalink:
    analisis/a559f249fc0e56bc925609773f6cc9cd1826bf70916be1d6370ce4707a6dfd84-1256351211






    Antivirus
    Version
    letzte aktualisierung
    Ergebnis

    a-squared
    4.5.0.41
    2009.10.24
    -

    AhnLab-V3
    5.0.0.2
    2009.10.23
    -

    AntiVir
    7.9.1.44
    2009.10.23
    -

    Antiy-AVL
    2.0.3.7
    2009.10.23
    -

    Authentium
    5.1.2.4
    2009.10.24
    -

    Avast
    4.8.1351.0
    2009.10.24
    -

    AVG
    8.5.0.423
    2009.10.24
    -

    BitDefender
    7.2
    2009.10.24
    -

    CAT-QuickHeal
    10.00
    2009.10.24
    -

    ClamAV
    0.94.1
    2009.10.24
    -

    Comodo
    2712
    2009.10.24
    -

    DrWeb
    5.0.0.12182
    2009.10.24
    -

    eSafe
    7.0.17.0
    2009.10.22
    Suspicious File

    eTrust-Vet
    35.1.7082
    2009.10.23
    -

    F-Prot
    4.5.1.85
    2009.10.23
    -

    F-Secure
    9.0.15370.0
    2009.10.22
    -

    Fortinet
    3.120.0.0
    2009.10.24
    -

    GData
    19
    2009.10.24
    -

    Ikarus
    T3.1.1.72.0
    2009.10.24
    -

    Jiangmin
    11.0.800
    2009.10.24
    -

    K7AntiVirus
    7.10.878
    2009.10.23
    -

    Kaspersky
    7.0.0.125
    2009.10.24
    -

    McAfee
    5780
    2009.10.23
    -

    McAfee+Artemis
    5780
    2009.10.23
    -

    McAfee-GW-Edition
    6.8.5
    2009.10.24
    Heuristic.BehavesLike.Win32.ModifiedUPX.C!87

    Microsoft
    1.5202
    2009.10.24
    -

    NOD32
    4537
    2009.10.23
    -

    Norman
    6.03.02
    2009.10.23
    -

    nProtect
    2009.1.8.0
    2009.10.24
    -

    Panda
    10.0.2.2
    2009.10.23
    -

    PCTools
    4.4.2.0
    2009.10.19
    -

    Prevx
    3.0
    2009.10.24
    -

    Rising
    21.52.52.00
    2009.10.24
    -

    Sophos
    4.46.0
    2009.10.24
    -

    Sunbelt
    3.2.1858.2
    2009.10.24
    -

    Symantec
    1.4.4.12
    2009.10.24
    -

    TheHacker
    6.5.0.2.051
    2009.10.22
    -

    TrendMicro
    8.950.0.1094
    2009.10.24
    -

    VBA32
    3.12.10.11
    2009.10.23
    -

    ViRobot
    2009.10.23.2003
    2009.10.23
    -

    VirusBuster
    4.6.5.0
    2009.10.23
    -




    weitere Informationen

    File size: 163328 bytes

    MD5...: 89afdd29832aa923926bdd4b5f5243d5

    SHA1..: 4ee93ef072559c5184236718fe07485bc5ddbe2d

    SHA256: a559f249fc0e56bc925609773f6cc9cd1826bf70916be1d6370ce4707a6dfd84

    ssdeep: 3072:9xTPx4o8+hz8aFXxPVGjPdZ7BlsewGY8FYEVBfOMhru+23D:TT54R+h32Dd
    Z7BlJtVFYEVBWMr23


    PEiD..: -

    PEInfo: PE Structure information

    ( base data )
    entrypointaddress.: 0x60bc0
    timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992)
    machinetype.......: 0x14c (I386)

    ( 3 sections )
    name viradd virsiz rawdsiz ntrpy md5
    UPX0 0x1000 0x3e000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
    UPX1 0x3f000 0x22000 0x21e00 7.92 24d8ce11e468b4736732c44da60521ad
    .rsrc 0x61000 0x2000 0x1200 3.40 72ab28575196aa99f86953b8c8a16607

    ( 7 imports )
    > KERNEL32.DLL: LoadLibraryA, GetProcAddress, ExitProcess
    > advapi32.dll: IsValidSid
    > comctl32.dll: ImageList_Add
    > gdi32.dll: Pie
    > ole32.dll: IsEqualGUID
    > oleaut32.dll: VariantClear
    > user32.dll: GetDC

    ( 0 exports )


    RDS...: NSRL Reference Data Set
    -

    pdfid.: -

    trid..: DOS Executable Generic (100.0%)

    ThreatExpert info: http://www.threatexpert.com/report.aspx?md5=89afdd29832aa923926bdd4b5f5243d5

    packers (Kaspersky): UPX

    sigcheck:
    publisher....: n/a
    copyright....: n/a
    product......: n/a
    description..: n/a
    original name: n/a
    internal name: n/a
    file version.: n/a
    comments.....: n/a
    signers......: -
    signing date.: -
    verified.....: Unsigned


    packers (F-Prot): UPX
     
  16. 007

    007 Benutzer

    Dabei seit:
    19.01.2009
    Beiträge:
    87
    Zustimmungen:
    0
    2. c:\windows\SWREG.exe
    Siehe Anhang
     

    Anhänge:

    • 2..txt
      Dateigröße:
      3,3 KB
      Aufrufe:
      12
  17. #17 Leonixx, 24.10.2009
    Leonixx

    Leonixx
    Moderator

    Dabei seit:
    17.10.2007
    Beiträge:
    18.904
    Zustimmungen:
    0
    Ort:
    NIX DO
    OK, dann Antvir Rescue CD ausführen, wie beschrieben.
     
  18. 007

    007 Benutzer

    Dabei seit:
    19.01.2009
    Beiträge:
    87
    Zustimmungen:
    0
    3. c:\windows\system32\DRVSTORE\ccdcmb_BCC7B353E4C97600259A2CADE869842C38E1062D\ccdcmb.sys
    Siehe Anhang
     

    Anhänge:

    • 3..txt
      Dateigröße:
      3,5 KB
      Aufrufe:
      15
  19. Anzeige

    Es ist generell erstmal empfehlenswert alle ggf. veralteten oder fehlerhaften Treiber zu scannen und auf neue zu aktualisieren. Hier kannst du einen Treiber-Scanner downloaden. Das erspart oftmals viel Ärger und hilft gegen diverse Probleme.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren.
  20. #19 Leonixx, 24.10.2009
    Leonixx

    Leonixx
    Moderator

    Dabei seit:
    17.10.2007
    Beiträge:
    18.904
    Zustimmungen:
    0
    Ort:
    NIX DO
    Ok, jetzt Antivir laufen lassen.
     
  21. 007

    007 Benutzer

    Dabei seit:
    19.01.2009
    Beiträge:
    87
    Zustimmungen:
    0
    [quote='Leonixx',index.php?page=Thread&postID=787718#post787718]Lade dir die Antivir Rescue CD. Iso Datei mit Brennprogramm (z.B. Image brennen) auf CD brennen. Danach in Laufwerk schieben und Rechner damit starten. Vollscan durchlaufen lassen. Auf jeden Fall im Bios die Bootreihenfolge richtig einstellen, sollte die CD nicht automatisch starten. 1stbootdevice: CD/DVD Laufwerk, 2stbootdevice: Hdd....[/quote]




    Hi, dass ist grad ein wenig zu hoch, vielleicht etwas einfacher. Ich sag mal, was ich gemacht habe:

    1. auf die Seite von Ati-Vir gegangen, den Download gleich auf CD gemacht und dann mit Image Brenner die Datei entgültiog auf CD übertragen.



    Okay, bevor ich den PC neu starte, was muss ich da noch tun... 8)
     
Thema: BOO/Sinowal.e - wie krieg ich das weg
Besucher kamen mit folgenden Suchen
  1. boo/sinowal.f

    ,
  2. virus boo sinowal.e entfernen

    ,
  3. b00/ sinowal c

    ,
  4. boo sinowal f entfernen,
  5. b00/sinowal.a,
  6. rootkid.boot.sinowl.b entfernen,
  7. boo/sinowal. a antivir,
  8. 42 301 keyboard error,
  9. boo/sinowal.f entfernen,
  10. antivir boo sinowal.f,
  11. boo/sinowal entfernen,
  12. virus boo/sinowal.f,
  13. boo sinowal.f entfernen,
  14. boo/sinowal.e,
  15. masterbootsektor virus boo sinowal.f,
  16. boo sinowl.f ,
  17. rootkit mebroot sinowal,
  18. B00 sinofal.F entfernen
Die Seite wird geladen...

BOO/Sinowal.e - wie krieg ich das weg - Ähnliche Themen

  1. Kriege kein Bild von Laptop auf TV

    Kriege kein Bild von Laptop auf TV: Hallo! Ich hab einen alten laptop und würde den gerne an meinen Fernsehen anschließen. ich hab mich bei media markt informiert und die haben...
  2. Was krieg ich noch dafür?

    Was krieg ich noch dafür?: Habe zuhause noch eine SNES, dazu Tekken und Mario Kart und einige andere Klassiker. Dann noch eine Playstation 2, mit 2 Guitar Hero Gitarren und...
  3. DB von localhost auf webserver. Ich kriegs nicht hin

    DB von localhost auf webserver. Ich kriegs nicht hin: Hi Leute, ich habe leider von Datenbanken keine Ahnung und versuche eine DB von meinem localhost auf den server zu ziehen. Dort gibt es jedoch...
  4. Wie krieg ich die Kiste schneller?

    Wie krieg ich die Kiste schneller?: Hi, ich hab mich hier mal angemeldet, da ich selber nicht mehr weiter weiß. Ich hab mir für meinen PC letztens eine neue Grafikkarte besorgt, da...
  5. Der Pfad ist nicht verfügbar - festplatte ausgefallen, ich krieg ne Meise!

    Der Pfad ist nicht verfügbar - festplatte ausgefallen, ich krieg ne Meise!: hey leute habe folgendes problem: Mir ist vor ner Zeit ne Festplatte ausgefallen auf der wahrscheinlich meine ganzen desktop ordner und...