"Boo/Shertwil.l"

Habe das Forum PC Welt Sicherheit durchsucht. Habe auch Google mißbraucht. Keine vernünftigen Ergebnisse. Avira meldet eine Infektion des MBR. Nach klicken auf "Bereinigen" läuft alles normal. Beim nächsten Start wieder das Gleiche.
Win7 Home premium mit allen Updates, Avira mit allen Updates. Malwarebyte hat nix gefunden, msseces ist auch zufrieden.
Was kann ich tun?
Gruß an Alle
ach ja, noch was.Habe mir von Avira das MBR Tool runtergeladen, gebrannt und gestartet. Jetzt geht gar nichts mehr. Gott sei Danke hebe ich eine Spiegelug meiner HD (von 10/2011). Leider sind auf der infizierten, nun nicht mehr funktionierenden HD Daten drauf, die ich benötige. Dumm gelaaf, gelle.

 

Den MBR stellt man normalerweise mit der Boot-DVD des Betriebssystems wieder her.

 

wo sind denn die Logs von den Aktionen? Bitte als Txt-Files im Anhang hochladen.
Hast du das "Bereinigen" im laufenden System gemacht oder wie?
Bitte genauere Beschreibung der Sache und der Plattenkonfig. und evtl. vorhandene Bootoptionen.

das ist ein Zustand und keine Beschreibung.
Schon mal an Linux-Live CD gedacht?
EDIT:
> http://support.microsoft.com/kb/927392

 

Hallo Deo,
habe bei Avira "Boo/Shertwil.l" eingegeben und den Hinweis auf den Bootwizzard erhalten. Der Name des Virus ist also offensichtlich bei Avira bekannt.
Hallo Mike Kilo,Txt Files und Logs gibt es, zumindest bei mir nicht, wenn ich eine IsoDatei zwecks MBR Reparatur von Avira starte.
"Jetzt geht gar nichts mehr"
Die HD wird im Bios erkannt, aber nicht mehr im WinExplorer.
Rechnerkonfig. (Prozessor, Ram, Grafik) sind bei dem Problem wohl nicht relevant.

 

Sind beide Platten am gleichen SATA-Controller angeschlossen?

 

Hallo Deo
Ich bin ein Anfänger, deshalb überrascht mich deine Frage etwas. Mein PC ist ein älterer Scaleo L, laut Handbuch ist die Platine eine MS-7293.
Es gibt 2 Sata Anschlüsse. Auf dem ersten ist die Platte mit dem BS (Win7). Am 2. Anschluß hängt eine "Datenplatte". Avira meldet bei beiden eine Infektion des MBR.
Wenn ich jetzt beide Platten abhänge und nur die Spiegelung vom letzten Monat anhänge ist Avira zufrieden. Leider ist mein Outlook dann aber auch ein Monat alt. Hoffe du hast`n Tip.

 

Wird bei der Spiegelung auch der MBR wiederhergestellt? Der gehört nicht zu einer Partition. Wenn der MBR der alte bleibt, müsste Avira die Meldung weiterhin abgeben. Es könnte sich dann um einen Fehlalarm handeln.
Den kann man sich hier bestätigen lassen http://analysis.avira.com/samples/index.php
Im Zweifel ist aber von einer Infektion auszugehen und das Wiederherstellen der Komplettsicherung sinnvoll.
Damit kannst du auch mal die Platten untersuchen lassen http://www.avira.com/de/support-download-avira-antivir-rescue-system

 

Hallo Deoroller,
zunächst mal vielen Dank für deine Mühe mit einem Anfänger.

Zum spiegeln der HD habe ich Acronis True Image Home 2010 verwendet. Dort nennt sich das spiegeln allerdings „HD klonen“. Ob der MBR ebenfalls geklont wird weiß ich nicht. Wie bereits erwähnt, bin Anfänger.
Der Tipp mit : http://analysis.avira.com/samples/index.php
funktioniert nicht, weil ich ja keine verdächtige Datei anbieten kann. Avira meldet mir ja nur einen Infekt im Bootsector.

AntiVir Rescue System habe ich runtergeladen und als ISO gebrannt. Bei „all files“ prüft Avira 80 Direktories, 3 Archive, 260 Files und findet nichts.
Bei check boot sectors wird 1 Master boot sector gefunden und es erscheint : WARNING (Error opening file. (no such file or direktory) Master boot sektor (disk /dev/sde)

Dann habe ich folgenden Tipp probiert:
http://www.windows7-tuning.de/tunin...r-boot-record-mbr-wiederherstellenreparieren/
Sollte der Computer nach fixmbr immer noch nicht ordnungsgemäß starten, so sollten die Bootdateien / Bootcode komplett neu geschrieben werden. Dazu starten Sie wie oben beschrieben die Wiederherstellungskonsole und geben ein:
„fixboot c:”
Danach sollten die Probleme behoben sein.
Denkste, die Wiederherstellungskonsole verlangt dann einen Treiber für die HD.
Ich werde wohl auf die Daten (Outlook, Schriftverkehr) des letzten Monats verzichten müssen. Den MBR hat mir wohl der Avira Bootwizzard geschossen.
Nochmal Danke für deine Mühe.
lucky7

 

Beim Klonen wird auch der MBR geklont. Dann ist das schon mal erledigt mit Bootsektor-Viren.

 

Danke Deo, vielleicht bringt dich das weiter. Ich verstehe nur Bahnhof.
An das wegklicken der Avira Warnung könnte ich mich notfalls noch gewöhnen, aber ich komme durch den zerschossenen MBR der Originalplatte nicht mehr an die Daten des letzten Monats dran.
Habe in der Zwischenzeit auch den Stinger laufen lassen NIx gefunden.

 

Kannst du die Platte nicht als zusätzliche in oder an einen anderen PC klemmen und dann von dem laufenden Windows dieses PCs darauf zugreifen?

 

Wäre zu schön. Wie gesagt. HD wird im Bios erkannt, aber nicht im Win Explorer. Easus Part. Manager zeigt mir eine unformatierte Platte an.
Ohne intakten MBR geht da wohl nix mehr.

 

>Easus Part. Manager zeigt mir eine unformatierte Platte an.
Partitionen kann man mit Testdisk wiederherstellen.

 

Heißen Dank Deo
werde mir das Programm runterladen und probieren.
Melde mich morgen früh wieder, muß jetzt zur Schicht.
Wenn das klappt,werde ich dich mindestens 3X in mein Nachtgebet einschließen.
Danke noch mal

 

Guten Morgen Deo,

Dein Tipp mit „Testdisk“ war Gold wert. Habe zwar Stunden gebraucht, aber das liegt wohl an meinen eher rudimentären Englischkenntnissen. Die HD läuft wieder, meine Daten seit dem letzten HD Klonen sind wieder verfügbar. Ich muß zwar weiterhin mit den lästigen Avira "Boo/Shertwil.l" Warnungen leben, aber vom Avira Bootwizzard lasse ich in Zukunft die Finger.
Gruß lucky7

 

Ich lese in solchen Fällen immer mal quer und da scheint man in einschlägigen Foren auch nicht weiter zu kommen.
http://www.trojaner-board.de/105342-boo-shertwil-l-bootsektor-gefunden.html
http://www.trojaner-board.de/105209-boo-shertwil-l-allen-bootsektoren-gefunden.html
Avira erkennt "Boo/Shertwil.l" auch erst seit ein paar Tagen
# BOO/Shertwil.A
# BOO/Shertwil.B
# BOO/Shertwil.C
# BOO/Shertwil.D
# BOO/Shertwil.E
# BOO/Shertwil.F
# BOO/Shertwil.G
# BOO/Shertwil.H
# BOO/Shertwil.I
# BOO/Shertwil.J
# BOO/Shertwil.K
# BOO/Shertwil.L
# BOO/Shertwil.M
http://www.avira.com/de/support-vdf-details/ivdf_no/7.11.17.176

Wenn es jetzt in einem MBR einen Schädling erkennt, der vorher sauber war, ist es ein Fehlalarm. Nur wie will man sagen können, dass ein MBR sauber ist, wenn ein Schädling nicht bekannt ist?
Hier kann eigentlich nur das Virenlabor von Avira helfen.
http://analysis.avira.com/samples/index.php