Hallo Leute,
hab mir heute Abend die System-Check Maleware geholt...
Nach kurzer Boardsuche bin ich dann auf folgende Anleitung gestossen und habe sie exakt ausgeführt.
http://www.trojaner-board.de/109408-...entfernen.html

Nachdem ich jedoch den vollständigen Scan mit der aktuellen Version von MAM durchgeführt habe und ich mein System neustarten wollte bleibt er nach dem Toshiba Loadscreen ganz am Anfang hängen. (Schwarzer Bildschirm, blinkener Coursor links oben). Kann von keiner anderen Partition starten da mir nur eine zur Auswahl steht und ne Windows CD hab ich leider nicht (HDD Recovery)
Mit CD neu aufsetzen wär extrem bitter da viel Arbeit leider ungesichert auf der Festplatte ist. (Ist frisch aufgesetzt und hab die Daten auf der externen wieder gelöscht -.-)
Danke schonmal!!!

Hier nochn paar Infos zu meinem System
Toshiba Satellite L550
Win7 64bit voll geupdated
Hatte vor MAM Antivir drauf

Sry für den Doppelpost, hab aber keine Editierfunktion gesehn:
Kurzes Update:
Habs jetz mit ner ausm Netz geladenen Reperaturdisc für Win7 64bit versucht die aber den Reperaturvorgang mit folgender Fehlermeldung abbricht:
"System Volume on Disk Corrupt"
Error-Code: 0x1F

Hi,

da ging aber gewaltig was schief...
Bist Du Dir sicher, dass Du die Malware hattest, oder doch nicht vielleicht die HDD tatsächlich was abbekommen hat?

Kannst Du von der externen Festplattte ein "undelete" durchführen, oder hast Du zwischenzeitlich (nach dem Löschen de rDaten) mit der Festplatte gearbeitet (was drauf abgespeichert etc.)?

Versuche ob Du damit die Daten retten kannst...
Knoppix-Live-CD erstellen
Folge den Anweisungen hier:
http://www.trojaner-board.de/75619-a...x-live-cd.html

Was hat MAM alles gefunden, hast Du ein Log zur Hand?
Wurde der TDSS-Killer-Scan durchgeführt, hat der was gefunden, wenn ja, was/wo (extrem wichtig!)

Danach (falls wir überhaupt noch auf das Systemvolumen zugreifen können):
System mit OTL-PE scannen

• Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop.

• Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.

• Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.

• Lege eine leere CD in Deinen Brenner.

• ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.

• Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".

• Du kannst nun die Fenster des Brennprogramms schließen.

• Starte das unbootbare System neu und boote von der CD, die Du gerade erstellt hast.

• Anmerkung: Wenn Du nicht weißt, wie Du Deinen Computer dazu bringst, von CD zu booten, dann folge diesen Schritten hierInstallation: Wie boote ich Windows von der CD?.

• Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.

• Mache einen Doppelklick auf das OTLPE Icon.

• Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.

• Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.

• Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.

• OTLpe sollte nun starten.

chris

Danke für die Antwort!

Bin mir sicher dass es die Maleware war da MAM auch die entsprechenden Einträge gefunden hat und gelöscht hat. Die Warnung dass die Festplatte beschädigt ist gehört ja zur Maleware dazu. Ich schätz dass MAM ne Initialisierungsdatei von Windows gelöscht hat. Hab da leider nicht aufgepasst wo sich der überall eingenistet hat, weiß nur dass es eine Registry Datei war.
Zum TDSS-Killer-Scan bin ich nichtmehr gekommen da dann schon alles im Eimer war.
Habs allerdings geschafft mit der Computerbild-Notfall CD die wichtigsten Dateien zu sichern!
Allerdings will er das System nicht in Werkseinstellung zurücksetzen. Laut Anleitung muss man dafür beim drücken des Startknopfes die 0 (NULL) Taste drücken und kommt damit in ein Auswahlmenü (Hat auch früher schon funktioniert) aber die Kiste ignorierts und hängt dann wieder. Kann auch nicht über den Linux (glaub ich) Notfalldesktop der CB-CD die Recovery Utility starten. (Auf jeden fall hab ich bis jetz nichts gefunden).Allerdings werden mir alle Festplattendaten korrekt und vollständig angezeigt.
Gibt es keine andere Möglichkeit die Boot-dateien von Windows zu reparieren als die Repair-CD (die nicht funktioniert)? Und warum löscht MAM ne Datei die fürs hochfahren von Windows verantwortlich ist ohne Warnung :/

Werd aber jetz auf jeden fall erstmal die OTL-PE logs posten... vll. sagen sie dir ja was

So hier das Log-file des Scans.
Er hat allerdings keine extra.txt Datei erstellt und fix-en konnte er auch nichts.
Bin langsam mit meinem Latein am ende

Hi,

userinit fehlt und es ist noch einiges übrig von der Malware, ist aber eher sekundär, wenn er die Festplatte nicht erkennt...
Hast Du eine SSD im Rechner (solo oder hybrid)?...

Als erstes würde ich nachschauen, ob die richtige Partition als Boot markiert ist und über einen "korrekten" Bootblock verfügt (ob die richtigen Flags gesetzt sind). Das folgende ist jetzt eigentlich für eine TDSS-Infektion, sollte aber soweit auch funktionieren (Daten hast Du ja schon gerettet, falls nachfolgend was ins "Auge" gehen sollte):

TLD4
Windows wird über eine versteckte Partition die als BOOT gekennzeichnet ist
gestartet (und nicht über die eigentliche “Bootpartition”). Daher muß über ein Paritionierungstool vorgegangen werden. Da bei Fehlbedienung die Festplatte geschrottet werden kann, unbedingt vorher eine komplette Sicherung der Festplatte durchführen.
Lade Dir GParted von Download GParted from SourceForge.net oder ISO-Image von PartedMagic runter, ggf. das ZIP-File auspacken und das ISO-Images per Nero oder ImageBurn auf CD brennen.

• Im BIOS die Startreihenfolge auf CD umstellen

• CD einlegen und booten

• PartitionEditor (links unten auf dem Bild) starten

• Erstelle durch die Taste DRUCK bzw. PRINT einen Screenshot und poste ihn. Falls kein INET-Zugang, auf Stick kopieren und dann hier hochladen.

Siehe auf "Anzeige zu einer Partition", dort dann die von der gebootet werden sollte (meist C, muß primäre Partition und als Boot gekennzeichnet sein!)
Handbuch.
chris

Hi,
ich :hab die Festplatte drin(wird mir im BIOS angezeigt) hxxp://www.newegg.com/Product/Product.aspx?Item=N82E16822136197

Das mit den Partitionen kam mir auch schon komisch vor, da ich ja im Boot-Menü 2 auswahlen haben müsste (Windows- und Recovery Partition) ?

Konnte den Screenshot leider nicht auf den Stick ziehen, hab deshalb ein Foto gemacht.(sry für die quali)
Ich werd dann wrsl. die Partitionsmarkierungen bearbeiten müssen oder? Also bei der sda4 boot und hidden rausnehmen und bei der sda2 boot aktivieren? Allerdings weiß ich nicht wie man die dann als Primäre Partition aktiviert. Das Handbuch hilft da auch nicht weiter, hab vll. ne andere version runtergeladen?

Kurzes Update: Hab die Einträge "boot" und "hidden" bei der 4. Partition gelöscht und bei der Windows-partition "boot" aktiviert.
Jetz kommt beim hochfahren die Meldung: BOOTMGR is missing.

Hi,

sda4 ist hidden und bootet, das wäre typisch für TDSS, nur was ist jetzt wirklich Deine Bootpartition, sda1 oder sd2?
Frage mal sichheitshalber bei Kollegen nach...

chris

Die Bootpartition is sd2. Konnte den BOOT-MGR auch mit der repair CD von Windows wiederherstellen
Der PC funktioniert auch wieder DANKE!
Gegen den Maleware-Resten auf der Platte geh ich einfach nach den TDSS Anleitungen hier im Forum oder is von der System-Check Maleware auchnoch was drauf? N MAM check mach ich erstmal nicht

Hi,

sehr gut!

TDSS-Killer
Download und Anweisung unter: Wie werden Schadprogramme der Familie Rootkit.Win32.TDSS bekämpft?
Entpacke alle Dateien in einem eigenen Verzeichnis (z. B: C:\TDSS)!
Aufruf über den Explorer duch Doppelklick auf die TDSSKiller.exe.
Stelle den Killer wir folgt ein:

Dann den Scan starten durch (Start Scan).
Wenn der Scan fertig ist bitte "Report" anwählen (eventuelle Funde erstmal mit Skip übergehen). Es öffnet sich ein Fenster, den Text abkopieren und hier posten...

Lass MAM mal laufen, aber erstmal nichts löschen lassen, nur das Log posten...
Poste ebenfalls noch ein neues OTL-Log...

chris

Hi,

hat der Killer was gefunden?
Mach mit Gpartet mal die versteckte Partition sichtbar, dann können wir mal sehen was drauf ist ;o)...

chris

Hi
sorry die Woche gings drunter und drüber, hatte keine Zeit :/
MAM hat nichts gefunden.
Als Anhang das OTL und TDSS-log.
Die Partition wird mir im Explorer angezeigt, kan aber nicht drauf zugreifen.

Hi,

trennen den Rechner umgehend vom INETZ, Du hast einen Rootkit im Bootblock...

11:21:01.0763 9944 \Device\Harddisk0\DR0 ( Rootkit.Boot.Wistler.a ) - infected
11:21:01.0763 9944 \Device\Harddisk0\DR0 - detected Rootkit.Boot.Wistler.a (0)

Starte den Killer und wähle dann CURE bei dem entsprechenden Eintrag!

Verifiziere nach dem Reboot durch den nochmaligen Start von TDSS ob der Rootkit tatsächlich gekillt wurde...

Danach Zusätzlich:
MBR-Check
Lade Dir http://ad13.geekstogo.com/MBRCheck.exe und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.

• Vista und Win7 User mit Rechtsklick "als Administrator starten"

• Das Tool braucht nur eine Sekunde.

• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste bitte den Inhalt des .txt Dokumentes

Einige Einträge sind noch "krum" und es gibt einige Auffälligkeiten, da kümmern wir uns später drum...

chris

Hi,
Cure hat anscheinend funktioniert, der TDSS scan nach den Neustart war ohne Befund. Das Trennen vom Netz war auch kein Problem da seit dem TDSS-Cure keine verbindung zum WLan mehr möglich ist.
Hier noch das Logfile vom MBR-Check

PS: Internet geht wieder

Hi,

gut zweiter Anlauf...
Poste eine neues OTL-Log und lass dann über Nacht CureIT laufen (der brauch sehr lange)...

Cureit
Folge der Anleitung: http://www.trojaner-board.de/59299-a...eb-cureit.html
Nach Beendigung des Scans findes Du das Log unter %USERPROFILE%\DoctorWeb\CureIt.log.
Bevor du irgendwelche Aktionen unternimmst, kopiere bitte den Inhalt des Logs und poste ihn.
Die Log Datei ist sehr groß, ca. über 5MB Text. Benutzt einfach die Suche nach "infiziert" und kopiert betreffende Teile heraus, bevor Du sie postet.

Nach dem Update von CureIT würde ich den Rechner wieder für die Dauer vom Scann vom Netz nehmen...

chris