Ein freundliches Hallo an alle hier am Board!

Ich habe ein Problem mit dem Bootsektorvirus b00/tdss.0 :

Eine Freundin bat mich, ihr Laptop zu kontrollieren weil es sehr langsam geworden war. Es ist ein Toshiba Satellite Pro mit XP-Professional.

Als Schutzsoftware war das Windows-Security-Essentials auf höchster Sicherheitsstufe installiert und zeigte keinen Virus an.

Ich habe diese Software zur Kontrolle mal deaktiviert und Antivir von meinem USB Stick installiert. Bereits beim ersten Systemcheck gab Antivir Großalarm:

Bootsektorvirus b00/tdss.0 entdeckt in Masterbootsektor der HDD und in den Bootsektoren von USB-Stick und CDRom-Laufwerk!

Daraufhin erst sagt mir die Gute, daß sie im Sommer einen Trojanerbefall mit schwarzem Bildschirm hatte, den ein Bekannter "entfernt" hat.

Ich habe Antimalwarebytes gestartet und dieses fand (und beseitigte) immerhin noch 2 aktive Trojaner:

1 mal RANSOM...
1 mal Adobe-fake...

(ein weiterer Komplettsuchlauf von Antivir hatte danach noch 14 weitere Funde!).


Ich habe jetzt folgende Probleme:

1. Ist der USB-Stick selbst auch befallen, wenn der Virus im "Bootsektor des Laufwerks" gemeldet wird, oder reicht es, den Stick einfach zu entfernen?


2. Da auch ein Booten per "Antivir-TOOL für den Bootsektor" den b00/tdss.0-Virus nicht beseitigen konnte, muß wohl im Laptop alles plattgemacht und danach die XP-Neuinstallation von der Recovery-CD) gestartet werden.

Sowohl von der HDD (als auch evtl. von dem angeschlossenen und kontaminierten USB Stick?) sollen vor der Formatierung alle Daten gesichert werden, ohne den Bootsektorvirus weiter zu verteilen.

Wie kann ich das am leichtesten schaffen?

Da ich keinen Speicherplatz im Web besitze, dachte ich daran, die Daten per Email zu verschicken, aber ich vermute, da komme ich wohl schnell an Kapazitätsprobleme mit dem Postfach (Maximale Dateigröße, Speicherplatz des Posteingangs).

Stimmt es, dass der Bootsektorvirus vom USB Stick auch jeden anderen PC kontaminiert, wenn man ihn daran anschließt, oder kann man das irgendwie ausschließen? Dann wäre die leichteste Methode natürlich, alle zu sichernden Daten per USB Stick auf einem anderen PC zu sichern, und danach die Formatierung und das XP-Recovery zu machen.

Wenn der Virus aber bei jedem Anschließen des Sticks weiterwandert, müsste ich die Daten irgendwie ("quasi durch die Luft") sichern?



Habt Ihr eine Idee, wie ich die Daten sichern kann? Bin für jeden Tip dankbar, der mir hier weiterhilft!


LG, Superbodli


P.S.: Danach bräuchte ich evtl. noch etwas Hilfestellung um zu gewährleisten, dass der MBR für das Neuaufsetzen von XP auch wirklich sauber ist (ich habe gelesen, daß bei Formatierung der Festplatte nicht immer der MBR auch wirklich neu geschrieben wird ... und dann hätte ich den Virus ja immer noch drauf)

Zum Thema Datensicherung von infizierten Systemen; mach das über ne Live-CD wie Knoppix, Xubuntu (zweiter Link in meiner Signatur) oder über PartedMagic. Grund: Bei einem Live-System sind keine Schädlinge des infizierten Windows-Systems aktiv, damit ist dann auch eine negative Beeinflussung des Backups durch Schädlinge ausgeschlossen.

Du brauchst natürlich auch ein Sicherungsmedium, am besten dürfte eine externe Platte sein. Sofern du nicht allzuviel sichern musst, kann auch ein USB-Stick ausreichen.

Hier eine kurze Anleitung zu PartedMagic, funktioniert prinzipiell so aber fast genauso mit allen anderen Live-Systemen auch.

1. Lade Dir ISO-Image von PartedMagic
   
2. Brenn es per Imagebrennfunktion auf CD, geht zB mit ImgBurn unter Windows
   
3. Boote von der gebrannten CD, im Bootmenü von Option 1 starten und warten bis der Linux-Desktop oben ist
   
4. Du müsstest ein Symbol "Mount Devices" finden, das doppelklicken
   
5. Mounte die Partitionen wo Windows installiert ist, meistens ist das /dev/sda1 bzw. /dev/sda2 bei Win7 und natürlich noch etwaige andere Partitionen, wo noch Daten liegen und die gesichert werden müssen - natürlich auch die der externen Platte (du
   bekommmst nur Lese- und Schreibzugriffe auf die Dateisysteme, wenn diese gemountet sind)
   
6. Kopiere die Daten der internen Platte auf die externe Platte - kopiere nur persönliche Dateien, Musik, Videos, etc. auf die Backupplatte, KEINE ausführbaren Dateien wie Programme/Spiele/Setups!!
   
7. Wenn fertig, starte den Rechner neu, schalte die ext. Platte ab und boote von der Windows-DVD zur Neuinstallation (Anleitung beachten)

Hallo Cosinus,
schon mal danke für die Backup-Anleitung! Ich werde zwar erst am Wochenende dazu kommen, aber dann mach ich die Datensicherung über die Xubuntu-CD.

Wie kann man kontrollieren, ob die USB-Sticks die jemals an dieses Laptop angeschlossenen waren, überhaupt infiziert sind?

Das Seltsame ist auch, dass Antivir den Virus im Masterbootsektor von Laufwerk f meldet, obwohl alle Sticks schon rausgezogen und das Laptop neu gestartet wurde (also düfte es doch nur noch c für die HDD und e fürs CDrom-Laufwerk geben) ???


Geht der Virus auf meinen PC über, wenn ich den Stick zur Kontrolle da mal anschließe?

Also nochmals danke und bis bald,

Tom

Hast du eigentlich mal die Suchfunktion hier bemüht?

http://www.trojaner-board.de/126456-...tml#post949689

Zitat:

Zitat von cosinus

Hast du eigentlich mal die Suchfunktion hier bemüht?

http://www.trojaner-board.de/126456-...tml#post949689

Hi!

Ja selbstverfreilich habe ich vorher das Board abgesucht und dabei auch diesen Beitrag gefunden. Das dortige Thema hieß aber "USB Stick vor Viren schützen" und bei mir ist es dafür ja leider schon zu spät: ich wollte schließlich umgekehrt wissen, wie ich den PC vor dem USB-Stick-Virus schützen kann. Jetzt habe ich das Thema aber mal bis zum Ende durchgelesen und Deine Tipps entdeckt, danke!

Da es sich nicht um einen normalen Virus, sondern um einen Bootvirus handelt, hatte ich aber generell befürchtet, daß auch bei abgeschaltetem Autoplay beim ersten Zugriff auf den Stick (z.B. über den Explorer oder Antivir) ein Bootvirus aus dem MBR des Sticks auf den PC überspringt.

Wenn das ausgeschlossen ist, kann ich den Stick ohne autorun einfach einstecken und nach Bereinigung der autorun.inf die Daten auf den PC sichern?

Ginge die Bereinigung mit dem flashdisinfector eigentlich auch am infizierten Laptop?


Thanks,
Tom

Zitat:

Da es sich nicht um einen normalen Virus, sondern um einen Bootvirus handelt, hatte ich aber generell befürchtet, daß auch bei abgeschaltetem Autoplay beim ersten Zugriff auf den Stick (z.B. über den Explorer oder Antivir) ein Bootvirus aus dem MBR des Sticks auf den PC überspringt.

Wurde doch auch schon längst beschrieben
Datensicherung über eine Live-CD, dann ist es auch ausgeschlossen, dass das infizierte Windows den Stick befallen kann weil es ja garnicht geladen ist

Zitat:

Ginge die Bereinigung mit dem flashdisinfector eigentlich auch am infizierten Laptop?

Vllt mal lesen was der FlashDisinfector genau macht?
Wie der Name schon verrät deinfiziert er nur externe Medien aber nicht das infizierte Windows - zusätzlich wird ein externe Datenträger auch noch "geimpft", so dass kein Autorun mehr möglich ist