Facebook Bootsektor Virus B00/tdss.M und andere lassen sich nicht entfernen
 

Hallo erstmal an alle,
habe mir wohl leider auch einen von den Facebookviren eingefangen und der scheint ziemlich hartnäckig zu sein. Da ich nicht sooo bewandert bin in tiefergehen PC-Angelegenheit komm ich einfach nicht weiter. Avira meldet jedesmal beim hochfahren Virenalarm und beim Prüfen der Bootsektoren sind C:/, D:/ und auch Recovery E:/ verseucht. Obwohl jedesmal entfernen ausgeführt wird bleibt alles beim nächsten Scan gleich.

Hab jetzt mal antimalwarebytes drüberlaufenlassen und der hat wohl auch einiges gefunden und (zum Teil) entfernt. Trotz allem bekomme ich nicht alle Viren entfernt. Hoffe hier kann mir jemand helfen ohne dass ich alles platt machen muss. Obwohl ich mich ja wie gesagt nicht sonderlich damit auskenne sieht das doch auch für mich aus also ob da ziemlich viel im argen wäre.

Hier der Log vom Quickscan. Weitere Logs hab ich keine

Vielen Dank schonmal im Voraus

hi,
1. informiere mal all deine freunde bei facebook, die dürfen die entsprechenden links nicht öffnen, jeder der es getan hatt, kann sich hier melden, muss aber ebenfalls seine freunde informieren, usw. usw.
2. kannst du mal schauen, ob du den entsprechenden link noch hast, und mir diesen per privater nachicht senden, falls es mehrere links sind, bitte alle.

hi, es wird warscheinlich ein problem geben, besser gesagt 2
1. tdss und einiges anderes was auf dem system schlummert könnte uns dazu zwingen neu aufzusetzen, ich würde sogar dringenst dazu raten.
nun ist aber deine recovery partition befallen.
wenn wir aber hier den mbr bereinigen, wird das recovery programm nicht mehr in der lage sein, die recovery auszuführen.
jetzt gibts folgende möglichkeiten:
1. du hast ne recovery cd erstellt und diese funktioniert auch ohne recovery partition.
2. du fragst beim hersteller an ob sie dir eine ersatz cd schicken können.
3. du hast noch ne windows cd zur hand.
vorher müssen wir natürlich noch den mbr reinigen, aber zuerst muss das geklärt werden

Hallo,
ohje das hab ich mir fast gedacht mit dem neu aufsetzen.
Und das Problem liegt tatsächlich daran, dass ich dummerweise keine recovery cd erstellt habe und auch keine windows cd zur Hand habe. Müsste dann in diesem Fall wohl beim Hersteller nach ner Ersatz-CD fragen wobei dies auch wieder einige Tage dauert bis ich die habe.
Ich gehe mal davon aus, dass bei dem ganzen Mist an Viren,Trojanern und allem was ich mir da eingefangen habe das alles schnellstmöglich erfolgen sollte wenn ich den PC weiternutzen will.

ja, gut erkannt.
machst du denn onlinebanking einkäufe etc?
also ich würd den pc nicht am internet lassen, wenns nicht sein muss und sofort um ersatz kümmern, wir machen vorerst lieber nichts weiter am pc bis der ersatz da ist.

ja ich mach internetbanking etc ... hab mich seither aber vorsichtshalber nicht mehr angemeldet. Hoffe mal dass nichts passiert. Dann nehm ich mein Laptop jetz vom Netz und schau dass ich schnellstmöglich ne Installations-CD bekomm und melde mich dann wieder. Vielen Dank schonmal

das onlinebanking lieber sperren lassen, wer weis wie lange da schon was lauert.
notfall nummer:
116 116
wenn du nen zweiten pc zur verfügung hast, endere dort alle passwörter und nutze die auch nicht mehr an dem betroffendem system

ok Danke. Werd ich gleich machen. Könnte man evtl. vorab schon den mbr reparieren und dann weitermachen wenn die Ersatz-CD da ist ?

ich will erst mal warten ob die cd kommt, sonst müssen wwir uns was anderes einfallen lassen.

Support ist leider erst wieder am Montag erreichbar. Muss ich mich wohl übers Wochenende gedulden. Wär mir zwar lieber ich könnte die Sache früher bereinigen aber warte dann mal ab ob ich ne CD bekomm. Vielen Dank nochmal.
Was hab ich mir denn jetzt eigentlich alles eingefangen ?

das schlimmste ist der tdss, da der auch was nachladen kann müssten wir das weiter prüfen, aber das bringts ja auch nicht, da wir den vorerst sowieso nicht löschen können.

hei

also über die Herstellerseite könnte ich mir wohl ne neue CD bestellen. Hab mich aber entschlossen wenn man tatsächlich alles plattmachen muss mir gleich ein komplett anderes Betriebssystem zu installieren. Am liebsten wär mir natürlich es gäbe ne andere Lösunge.
Besteht denn tatsächlich keine andere Möglichkeit als alles neu zu machen :( Ich weiß man kann nicht von den Problemen anderes User auf das eigene schließen aber würd es nichts bringen wenn ich das ganze Prozedere das sonst immer empfohlen wird erstmal durchmache und wenns dann immer noch ist erst neu installier ?

nein das würds nicht bringen, habs ja schon ausführlich erklärt würd ich mal behaupten.
es bringt nichts da jetzt ewig rum zu reden, nen neues betriebssystem brauchst du sowieso, da deine recovery partition dann kaputt ist und keine instalation ewig hällt.

Ok dann meld ich mich wieder wenn ich die Recovery CD erhalten habe. Werde dann doch erstmal das alte Betriebssystem neu installieren.

Danke bis hierher schonmal

Hallo,

habe heute die Wiederherstellungs CD's bekommen. Meine wichtigen Daten hab ich übers Wochenende auf CD gesichert. Müsste dann soweit alles erledigt sein um das neue System aufzusetzen. Da mir das bisher erspart geblieben ist, hab ich natürlich null Ahnung davon .
Wird der Tdss davon "automatisch" gekillt oder muss man trotzdem vorher noch was bereinigen ?
Danke vorab schonmal

nutze den tdss killer:
http://www.trojaner-board.de/82358-t...entfernen.html
log posten

:stirn: oh man. Ich glaub ich hab den TdssKiller nicht richtig ausgeführt. Habe ihn leider versehentlich nicht auf dem Desktop installiert da er gleich automatisch ins zum Downloadordner hinzugefügt wurde. Und nach dem Neustart des Programms kann ich jetzt die Logdatei nirgends finden. Konnte aus der Anleitung nicht herauslesen dass diese vor Neustart kopiert werden sollte.
Hoffe mal das kann man noch hinbiegen
Bringt wohl nicht sonderlich viel wenn ich nochmal scan und den log dann poste ?

geh mal auf c: dort sollten die direkt liegen.

so hab's gefunden

ok schlägt dein av im moment noch an?

nein schlägt momentan nichts mehr an

dann sichere jetzt deine daten bitte

Fotos und wichtige Dokumente hab ich schon übers Wochenende gesichert. Ansonsten ist eigentlich nichts mehr drauf was ich dringend benötige

ok, dann leg mal die cd ein, starte das gerät von der cd.
falls das nicht klappt, gehe ins boot menü bei start meist mit f12 zu erreichen, wähle dort das dvd laufwerk aus.
je nachdem wie die cd aufgebaut ist, musst du benutzerdefiniert wählen, und dann bei den laufwerken, auf option und formatieren gehen, außer die partition wo die recovery gespeichert ist.
falls dies nicht so abläuft, bitte genauestens lesen.
falls daten nach windows.old verschoben werden sollen, hast du nicht formatiert und du musst noch mal zurück gehen.
dann instaliere windows.
falls du ne drivers un utility cd hast, nutze die als nächstes, instaliere alles.
es werden noch keine gesicherten daten auf das neue system kopiert, erst wenn alles fertig durchgearbeitet ist
jetz start suchen, tippe:
windows update
enter.
optionen, updates autom. instalieren, täglich, uhrzeit wählen, alles anhaken außer detailierte infos anzeigen, übernehmen, ok.
jetzt updates suchen anklicken.
dann wichtige updates instalieren, kann sein dass es neustarts gibt, dann noch mal klicken, instalieren.
das selbe mit optionalen.
nach den optionalen kanns noch mal wichtige updates geben, prüfen bitte.
http://www.trojaner-board.de/96344-a...-rechners.html
anmerkungen:
arbeite erst alles ab, was unter windows 7 bzw vista zu finden ist. aus dem bereich xp folgendes abarbeiten:
Datenausführungsverhinderung:
Maßnahmen für ALLE Windows-Versionen
danach dieses abarbeiten.
emsisoft
Meine Antivirus-Empfehlung: Emsisoft Anti-Malware
der blockiert alle von mir getesteten malware samples.
dies bedeutet natürlich nicht 100 %iger schutz, denn so was gibts nicht.
du hast da ne 30 tage test version zur verfügung, würd ich mir auf jeden fall mal ansehen.
als kostenlosen scanner würde ich avast empfehlen, ist nicht so gut wie emsisoft, aber meiner meinung nach das beste als kostenloser scanner.

als browser würde ich persönlich opera einsetzen. er hat erst mal mehr ausstattung als der ff, ist weniger fehler anfällig, heißt weniger lücken in den letzten jahren.
und er ist, meines erachtens nach, schneller.
nächste anmerkung:
sandboxie.
das programm sandboxie ist ein programm, in dem du deinen browser isuliert vom system laufen lassen kannst.
da heut zu tage häufig legitime seiten ziehl von angriffen werden, um zb so viele user mit schadcode zu infizieren damit sie teil eines botnetzes werden, muss man, auch als privat person, seinen pc best möglich schützen.
dies haben wir natürlich bereits getan, in dem wir bekannte lücken schließen und weitere maßnamen getroffen haben.
trotz alle dem, kann immer mal was "durch rutschen".
wenn du jetzt deinen browser in der sandbox gestartet hast, rutscht diese malware nur dort rein, und durch unsere gewählten einstellungen, sollte sie im bestfall überhaupt nicht startenda sie zb durch das av geblockt wird, oder, falls doch, richtet sie in der sandbox keinen schaden an.

um das surfen sicherer zu machen, würde ich sandboxie empfehlen.
Download:
http://filepony.de/download-sandboxie/
anleitung:
Sandbox*Einstellungen |
(als pdf)
hier noch ein paar zusatzeinstellungen, nicht verunsichern lassen, wenn ihr das programm instaliert habt, werden sie klar.
den direkten datei zugriff bitte auf opera beschrenken,
bei
Internetzugriff:
opera.exe
öffne dann sandboxie, dann oben im menü auf sandbox klickem, wähle deine sandbox aus und klicke dann auf sandboxeinstellung.
dort auf anwendung, webbrowser, andere dort auf direkten zugriff auf opera bookmarks erlauben. dann auf hinzufügen und ok.
somit kannst du deine lesezeichen auch in der sandbox dauerhaft abspeichern.

wenn du mit dem programm gut auskommst, ist ne lizenz zu empfehlen.
1. ist die lizenz dein ganzes leben lang gültig, und du kannst die auf allen pcs nutzen, die sich in deinem haushalt befinden.
2. gibts, wenn du diese lizenz hast, noch einige nützliche funktionen, wie zb, erzwungener programm start.
dies bedeutet, wenn du zb bei erzwungener programm start deine browser, mail programme etc einträgst kannst du diese direkt über das entsprechende symbol in der sandbox starten lassen.
oder, wenn du einen link in einer mail bekommst und diesen anklickst, startet der browser ebenfalls in der sandbox.
wenn du die kostenlose version nutzt, startest du deinen browser absofort immer über das symbol "sandboxed web browser"
und alle programme die du noch in der sandbox laufen lassen willst mit rechtsklick und dann auf in sandboxie starten klicken.
diese kann man also auch nutzen, um neue programme zu testen.

anmerkung 3:
gehe mal nach c:\benutzer.
da müsste jetzt ein ordner sein, der deinen vergebenen nutzer namen trägt.
dort klickst du mal drauf.
dann siehst du verschiedene ordner. wähle desktop
dort alles markieren, kopieren.
dann gehe wieder zurück auf benutzer,
und wähle
c:\benutzer\Default\desktop
dort rechtsklick, einfügen.
evtl das ganze wiederhohlen mit dem startmenü ordner.
damit siehst du alle verknüpfungen im eingeschrenktem nutzerkonto
wenn du jetzt alles umgesetzt hast.
bitte nur noch im eingeschrenkten konto arbeiten, da das admin konto nur für instalationen gedacht ist.
und, wie gesagt, nur noch in sandboxie surfen, mit klick auf "sandboxed web browser"
jetzt passwörter endern, antimalware programm updaten, und gesicherte daten scannen.
ich weis, viel arbeit, bei fragen, stelle sie!

Super vielen vielen Dank für die Anleitung. Werds heute wohl nicht mehr schaffen aber morgen mach ich mich dran. Hoffe mal ich bekomm das alles so hin. Habe 3 CD's bekommen eine davon ist eine Driver Recovery. Gehe mal davon aus, dass ich die CD der Reihe nach einlege wie sie beschriftet sind ?
Noch ne andere Frage, ist der Trojaner jetzt soweit entfernt und das System wird eben zur 100%igen Sicherheit erneuert ?

hi,
1. sag mir was auf den cds drauf steht, kann dir die frage sonst nicht beantworten.
2. hattest du ja noch anderes zeugs drauf, könnte durchaus noch mehr da schlummern, dieses system ist einfach nicht mehr vertrauenswürdig.
3. wie gesagt, du musst das ja nicht allein durcharbeiten, stelle fragen falls nötig.

ja seh ich ein, dass das System neu gemacht werden sollte. Schaden kanns ja nie .
also auf den Cd's steht eben Disc 1 von 2 / 2 von 2 und Systemwiederherstellungs DVD. Auf beiden das Gleiche. Die andere ist die Treiber CD die ja zum Schluss dann kommt.
Eigentlich ja dann logisch dass ich mit Disc 1 anfange. Die Frage hätt ich mir eigentlich sparen können

ja, dann ists logisch.
aja, macht doch nichts zu fragen, lieber einmal zu viel :-)

Hallo und guten morgen :)
also hab jetz über Nacht das System neu aufgesetzt. Dauerte doch länger als gedacht.
Habe dann wie beschrieben alles auf komplett neu gesetzt und nicht "letzte Einstellungen übernehmen".
Jetzt stelle ich aber fest dass nur C:/ komplett platt ist. Meine Daten von D:/ sind komischerweise noch erhalten . An was kann das liegen ? Ich konnte ja keine andere Auswahl treffen als formatieren (bin mir auch sicher dass ich diese Auswahl getroffen habe) Danach wurde nichts mehr gefragt ob ich etwas übernehmen oder verschieben möchte.
Schonmal Dankeschön im voraus

hi, ist das ne reine daten partition? also d: nur mit bildern dokumenten etc, dann passt das. scanne diese partition dann nur sicherheitshalber mit deinem antimalware programm, wenn du die absicherungsmaßnamen gemacht hast und dann kannst du die daten von dort wieder nutzen.

also zum größten Teil sind es Bilder. 3 Programme befinden sich aber auch noch drauf. Kann ich D: auch nachträglich mit rechtsklick noch formatieren ? Habs mal mit von Vista mitinstallierten Norton gescannt, kam keine Meldung

jo müsste gehen.
bitte denke drann, wenn du ein anderes antimalware programm instalierst, musst du norton deinstalieren, ist ja nur ne testversion.

ja werd ich dann wieder deinstallieren. Ich werde dann aufjedenfall das von dir empfohlene Programm testen. Jetzt mache ich mich daran die "Liste" weiter abzuarbeiten. Ich hoffe mal dass der Spuk dann vorbei ist.
Achso kann ich eigentlich den Rechner dann nachdem Norton nichts gefunden hat wieder ans Netz hängen und mit die benötigte Software direkt downloaden ohne über einen 2. Rechner zu gehen ?

ja, kannst du.
wenn du willst, können wir uns ja mal am ende die liste der vorinstalierten software ansehen, und raus hauen was du gar nicht brauchst.
da ist häufig einiges dabei.

hi, bin immer noch dabei die Liste abzuarbeiten :) Die Updates dauern doch länger als gedacht. Hab kurz kleine Zwischenfragen.
Kann man bei der Panda Antimalware bedenkenlos die Mailadresse / Name / Anschrift angeben ? Bin da immer etwas vorsichtig ? Und die Updatechecker tatsächlich beide runterladen - reicht da nicht einer ?
Vielen Dank schonmal

hi,
du kannst auch irgendwas angeben, hab dort nur meine mail angegeben und bisher keine werbung von denen.
bei den update programmen, beide.
es ist immer mal möglich, dass der eine was findet, was der andere nicht in der datenbank hatt.
file hippo benötigt kaum ram.
bei programmen wie browser etc alles wo du auf die oberflächte zugreifst, wie menüs, solltest du dir die updates nur anzeigen lassen, und das update dann vom hersteller direkt laden, denn die programme bieten nur englische updates.

hi, habe nun die meisten punkte abgehakt auf der Liste. Was mir heute aufgefallen ist, ich kann mich von meinem Laptop nicht bei meinem Onlinebanking einloggen. Erscheint immer die Fehlermeldung dass die Anmeldedaten falsch wären. Von meinem 2. Rechner funktioniert es aber problemlos. Kann das womöglich doch noch an dem Virus liegen oder evtl. nur ein Einstellungsproblem. Wobei ich nicht wüsste was ich anders machen sollte da ich nichts verändert habe.

welchen browser nutzt du? fals firefox, welche adons (noscript) zb nutzt du?
was heißt, meiste punkte, was ist nicht umgesetzt worden und warum?

ich nutze jetzt den von dir empfohlenen Opera. Bin auch sehr zufrieden damit. Das Problem mit dem Onlinebanking hat sich erledigt. Weiß aber nicht was letztendlich das Problem war.
Die Liste hab ich aus zeitmangel noch nicht ganz durch. Fehlt aber nur noch das Antivirenprogramm (nutze momentan meine Testversion vom Betriebssystem) und die Sandbox. Werd ich mich aber auch noch ransetzen .
Ansonsten sind wir ja durch mit dem ganzen oder ?
Möchte mich nochmal bedanken für die ganze Hilfe. :daumenhoc

hmm vllt hast dich auch einfach vertippt :-)
hast du dich von der bank schon wegen nem card reader beraten lassen?
die kosten nicht viel, solltest aber auf jeden fall einen hohlen, ist sehr sicher.
wenn du noch fragen hast zur sandbox, oder zum backup programm etc, stelle sie.
wenn du emsisoft oder n anderes programm nutzen willst, sag mir bescheid, dann kann man evtl. die konfiguration des programms noch verbessern.
wenn bei deinem pc viel zeugs vor instaliert ist, können wir das ebenfalls mal durchgehen und gleich unnötiges zeugs runter schmeißen wenn du das möchtest.
passwörter sind alle geendert nehme ich an?

Den Card-Reader benutze ich schon. Wirklich ne prima Sache.
Werde dann ggf. dankend darauf zurückkommen und mich dann nochmals melden falls ich Probleme bei der Sandbox bekomme oder sonstige Fragen zu den Programmen haben.
Bei den vorinstallierten Programmen hab ich schon einige gelöscht, zumindest die bei denen ich mir sicher war dass ich sie nicht benötige. Wäre nett wenn wir das evtl. mal durchgehen könnten.
Ja Passwörter sind geändert

na aber sicher können wir.
lade den CCleaner standard:
CCleaner Download - CCleaner 3.12.1572
falls der CCleaner
bereits instaliert, überspringen.
instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.

Hier also mal txt. Datei. Ich denke mal dass ich so ziemlich alles runter hab was unnötig ist. Wär trotzdem nett ne Expertenmeinung dazu du hören :) Hab jetzt aber keine kommentare hinter die einzelnen Programme geschrieben, da ich eig. fast glaube alle zu brauchen . Bzw. dass sie fürs System notwendig sind.

Java(TM) 6 Update 2
wenn du später norton deinstalierst, nutze das removal tool:
https://www-secure.symantec.com/nort...=1&pvid=f-home
also, erst norton runter, neustart, removal tool nutzen, neustart, neues antimalware programm drauf.
der rest sieht gut aus.