Hallo Leute,
hab mir heute Abend die System-Check Maleware geholt...
Nach kurzer Boardsuche bin ich dann auf folgende Anleitung gestossen und habe sie exakt ausgeführt.
http://www.trojaner-board.de/109408-...entfernen.html

Nachdem ich jedoch den vollständigen Scan mit der aktuellen Version von MAM durchgeführt habe und ich mein System neustarten wollte bleibt er nach dem Toshiba Loadscreen ganz am Anfang hängen. (Schwarzer Bildschirm, blinkener Coursor links oben). Kann von keiner anderen Partition starten da mir nur eine zur Auswahl steht und ne Windows CD hab ich leider nicht (HDD Recovery)
Mit CD neu aufsetzen wär extrem bitter da viel Arbeit leider ungesichert auf der Festplatte ist. (Ist frisch aufgesetzt und hab die Daten auf der externen wieder gelöscht -.-)
Danke schonmal!!!

Hier nochn paar Infos zu meinem System
Toshiba Satellite L550
Win7 64bit voll geupdated
Hatte vor MAM Antivir drauf

Sry für den Doppelpost, hab aber keine Editierfunktion gesehn:
Kurzes Update:
Habs jetz mit ner ausm Netz geladenen Reperaturdisc für Win7 64bit versucht die aber den Reperaturvorgang mit folgender Fehlermeldung abbricht:
"System Volume on Disk Corrupt"
Error-Code: 0x1F

Hi,

da ging aber gewaltig was schief...
Bist Du Dir sicher, dass Du die Malware hattest, oder doch nicht vielleicht die HDD tatsächlich was abbekommen hat?

Kannst Du von der externen Festplattte ein "undelete" durchführen, oder hast Du zwischenzeitlich (nach dem Löschen de rDaten) mit der Festplatte gearbeitet (was drauf abgespeichert etc.)?

Versuche ob Du damit die Daten retten kannst...
Knoppix-Live-CD erstellen
Folge den Anweisungen hier:
http://www.trojaner-board.de/75619-a...x-live-cd.html

Was hat MAM alles gefunden, hast Du ein Log zur Hand?
Wurde der TDSS-Killer-Scan durchgeführt, hat der was gefunden, wenn ja, was/wo (extrem wichtig!)

Danach (falls wir überhaupt noch auf das Systemvolumen zugreifen können):
System mit OTL-PE scannen

• Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop.

• Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.

• Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.

• Lege eine leere CD in Deinen Brenner.

• ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.

• Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".

• Du kannst nun die Fenster des Brennprogramms schließen.

• Starte das unbootbare System neu und boote von der CD, die Du gerade erstellt hast.

• Anmerkung: Wenn Du nicht weißt, wie Du Deinen Computer dazu bringst, von CD zu booten, dann folge diesen Schritten hierInstallation: Wie boote ich Windows von der CD?.

• Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.

• Mache einen Doppelklick auf das OTLPE Icon.

• Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.

• Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.

• Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.

• OTLpe sollte nun starten.

chris

Danke für die Antwort!

Bin mir sicher dass es die Maleware war da MAM auch die entsprechenden Einträge gefunden hat und gelöscht hat. Die Warnung dass die Festplatte beschädigt ist gehört ja zur Maleware dazu. Ich schätz dass MAM ne Initialisierungsdatei von Windows gelöscht hat. Hab da leider nicht aufgepasst wo sich der überall eingenistet hat, weiß nur dass es eine Registry Datei war.
Zum TDSS-Killer-Scan bin ich nichtmehr gekommen da dann schon alles im Eimer war.
Habs allerdings geschafft mit der Computerbild-Notfall CD die wichtigsten Dateien zu sichern!
Allerdings will er das System nicht in Werkseinstellung zurücksetzen. Laut Anleitung muss man dafür beim drücken des Startknopfes die 0 (NULL) Taste drücken und kommt damit in ein Auswahlmenü (Hat auch früher schon funktioniert) aber die Kiste ignorierts und hängt dann wieder. Kann auch nicht über den Linux (glaub ich) Notfalldesktop der CB-CD die Recovery Utility starten. (Auf jeden fall hab ich bis jetz nichts gefunden).Allerdings werden mir alle Festplattendaten korrekt und vollständig angezeigt.
Gibt es keine andere Möglichkeit die Boot-dateien von Windows zu reparieren als die Repair-CD (die nicht funktioniert)? Und warum löscht MAM ne Datei die fürs hochfahren von Windows verantwortlich ist ohne Warnung :/

Werd aber jetz auf jeden fall erstmal die OTL-PE logs posten... vll. sagen sie dir ja was

So hier das Log-file des Scans.
Er hat allerdings keine extra.txt Datei erstellt und fix-en konnte er auch nichts.
Bin langsam mit meinem Latein am ende

Hi,

userinit fehlt und es ist noch einiges übrig von der Malware, ist aber eher sekundär, wenn er die Festplatte nicht erkennt...
Hast Du eine SSD im Rechner (solo oder hybrid)?...

Als erstes würde ich nachschauen, ob die richtige Partition als Boot markiert ist und über einen "korrekten" Bootblock verfügt (ob die richtigen Flags gesetzt sind). Das folgende ist jetzt eigentlich für eine TDSS-Infektion, sollte aber soweit auch funktionieren (Daten hast Du ja schon gerettet, falls nachfolgend was ins "Auge" gehen sollte):

TLD4
Windows wird über eine versteckte Partition die als BOOT gekennzeichnet ist
gestartet (und nicht über die eigentliche “Bootpartition”). Daher muß über ein Paritionierungstool vorgegangen werden. Da bei Fehlbedienung die Festplatte geschrottet werden kann, unbedingt vorher eine komplette Sicherung der Festplatte durchführen.
Lade Dir GParted von Download GParted from SourceForge.net oder ISO-Image von PartedMagic runter, ggf. das ZIP-File auspacken und das ISO-Images per Nero oder ImageBurn auf CD brennen.

• Im BIOS die Startreihenfolge auf CD umstellen

• CD einlegen und booten

• PartitionEditor (links unten auf dem Bild) starten

• Erstelle durch die Taste DRUCK bzw. PRINT einen Screenshot und poste ihn. Falls kein INET-Zugang, auf Stick kopieren und dann hier hochladen.

Siehe auf "Anzeige zu einer Partition", dort dann die von der gebootet werden sollte (meist C, muß primäre Partition und als Boot gekennzeichnet sein!)
Handbuch.
chris

Hi,
ich :hab die Festplatte drin(wird mir im BIOS angezeigt) hxxp://www.newegg.com/Product/Product.aspx?Item=N82E16822136197

Das mit den Partitionen kam mir auch schon komisch vor, da ich ja im Boot-Menü 2 auswahlen haben müsste (Windows- und Recovery Partition) ?

Konnte den Screenshot leider nicht auf den Stick ziehen, hab deshalb ein Foto gemacht.(sry für die quali)
Ich werd dann wrsl. die Partitionsmarkierungen bearbeiten müssen oder? Also bei der sda4 boot und hidden rausnehmen und bei der sda2 boot aktivieren? Allerdings weiß ich nicht wie man die dann als Primäre Partition aktiviert. Das Handbuch hilft da auch nicht weiter, hab vll. ne andere version runtergeladen?