Hallöle Martin.

Ich habe leider sehr schlechte Neuikeiten für dich: Dein Rechner ist wahrscheinlich seit den ersten Auffälligkeiten vor drei Monaten böse infiziert!

Trenne ihn schnellstens vom Netz und setzte ihn neu auf. Lasse alle online Banking und sonstige Acc wo es um Geld geht sperren und kontrolliere deine Überweisungen!

Bereinigung nach einer Kompromitierung

Leider tauchen momentan immer mehr Schädlinge auf die sich in den Master Boot Record, kurz MBR einschreiben. Dieser wird bei einer herkömmlichen Neuinstallation nicht komplett überschrieben und stellt somit ein erhebliches Sicherheitsrisiko dar. Vor der Neuinstallation sollte daher sichergegangen werden, dass der MBR in Ordnung ist.

Master Boot Record überprüfen:

Lade dir die mbr.exe von GMER auf den Desktop und führe die Datei aus.

Sollte ein MBR Rootkit gefunden worde sein, das wird im log durch den Ausdruck

Zitat:

MBR rootkit code detected !

indiziert, musst du eine Bereinigung vornehmen.

Downloade dir dafür die mbr.bat.txt von BataAlexander und speichere sie neben der mbr.exe auf dem Desktop.
Ändere die Endung der mbr.txt.bat in mbr.bat Eine vernünftige Ordneransicht ist dafür nötig.
Dann führe die mbr.bat. durch einen Doppelklick aus.
Dabei muss sich die mbr.exe von GMER ebenfalls auf dem Desktop befinden!

Der MBR wird bereinigt und es erscheint ein log. Dieses log solltest du hier posten!

Nachdem das O.k. durch deinen Helfer gegeben wurde kannst du mit der sicheren Neuinstallation beginnen.

Lies dir bitte bevor du dich an die Arbeit machst folgende Anleitung ganz genau durch:

Neuaufsetzen des Systems mit abschließender Absicherung.

Wenn du diese Anleitung zum Neuaufsetzen nicht ganz genau befolgst ist das Neuaufsetzen sinnlos!

Alle Festplatten müssen komplett formatiert werden!

Daten solltest du am besten keine sichern.
Wenn du sehr wichtige, unersetzliche Dateien sichern möchtest so musst du dies nach strengen Kriterien tun:

a) Die Datei darf nicht ausführbar sein. Das heisst sie darf keine der hier aufgeführte Dateiendung haben. Beachte bitte, dass einige Schädlinge ihre Dateiendung tarnen. Abhilfe schafft hier eine vernünftige Ordneransicht.

b) Jede Datei sollte, bevor sie wieder auf den frischen Rechner gelangt mit MWAV/eScan durchsucht werden.

c) Auch wenn du die Punkte a) und b) ganz genau einhältst sind die Dateien nicht vertrauenswürdig!!
Schädlinge können auch nicht-ausführbare Dateien wie .mp3 .doc usw. infizieren!! Und MWAV findet nur einen Bruchteil aller infizierten Dateien!

Nachdem du neuaufgesetzt hast musst du unbedingt alle Passwörter und Zugangsaccounts ändern!!!

Zitat:

Zitat von undoreal

Dein Rechner ist wahrscheinlich seit den ersten Auffälligkeiten vor drei Monaten böse infiziert

Wie sicher ist deine Annahme?

Ich habe auf diesem Rechner sehr viele persönliche Datein (Ich mache Musik) und könnte nicht wirklich auf diese Dateien verzichten.

Gibt es keine andere alternative Möglichkeit um das Problem zu beheben? Ich weiß, dass ich ein absoluter Leihe bin (deswegen vertraue ich ja auch den netten Leuten hier im Forum).. Formatieren wäre ja ansich sehr gut, jedoch weiß ich nicht wie ich das mit meinen Dateien machen soll (vorrausgesetzt es könnte wirklich jede Datei infiziert sein).

Mfg,
Martin

Zitat:

Wie sicher ist deine Annahme?

Sehr sicher. Die logs sind eindeutig. Der Schädling bekannt.

Zitat:

C:\WINDOWS\system32\TDSSbubv.log (Trojan.TDSS) -> Delete on reboot.
C:\WINDOWS\system32\TDSShrxr.dll (Rootkit.Agent)

Es handelt sich dabei um einen Rootkit. Was das ist kannst du dir ergooglen.
Deine Problembeschreibung passt ebenfalls dazu.

Zitat:

Gibt es keine andere alternative Möglichkeit um das Problem zu beheben?

Gibt es, ist aber absolut nicht empfehlens wert. Was eine Kompromitierung ist hast du dir durchgelesen?
Es gibt keine Möglichkeit zu verifizieren dass der Rechner wirklich sauber ist.

Zitat:

Formatieren wäre ja ansich sehr gut, jedoch weiß ich nicht wie ich das mit meinen Dateien machen soll (vorrausgesetzt es könnte wirklich jede Datei infiziert sein).

Die Datein kannst du sichern! Unten steht beschrieben nach welchen Kriterien.

Nach Ausführen vom MBR.exe (konnte ich nur ausführen mit Deaktivierung von Avast, weil Avast das Als Trojaner eingestuft hat) hier nun die MBR Log:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK


Wie geht's jetzt weiter?

Danke schonmal für die schnelle Hilfe!

Zitat:

Wie geht's jetzt weiter?

Weiter im Text..

Zitat:

Dann führe die mbr.bat. durch einen Doppelklick aus.
Dabei muss sich die mbr.exe von GMER ebenfalls auf dem Desktop befinden!

Der MBR wird bereinigt und es erscheint ein log. Dieses log solltest du hier posten!

Hab alles so gemacht. Es taucht nach dem Doppelklick ein schwarzes "dos-artiges" Fenster für den Bruchteil einer Sekunde auf. Mehr erkenne ich nicht. Ein Log wird danach auch nicht auf dem Desktop erstellt.

Dann lege bitte die Windows CD ein und boote von ihr (Neustart mit eingelegter CD).
Beim ersten Bildschirm des Windows-Setup-Programms wähle "R" und im nächsten Screen "K" für das Laden der Wiederherstellungskonsole.
Dort gib folgenden Befehl ein

Zitat:

fixmbr

und bestätige.
Versuche danach mbrfix von GMER zum laufen zu bringen...
Sollte das immer noch nicht funktionieren dann lasse Blacklight bitte laufen und poste das log.. evtl. Funde bitte umbennen/beheben lassen!