Hi,

da hat etwas die atapi.sys postwendend wieder durch eine infizierte Variante ersetzt...
Wir müssen weitersuchen, wo der Übeltäter noch versteckt liegt.

• Erstelle dir eine bootbare CD oder einen bootbaren USB-Stick mit Parted Magic und boote dann davon (Anleitung).
• Mache einen Doppelklick auf das Symbol Keyboard Layout auf dem Desktop von Parted Magic, wähle ein deutsches Layout (z.B. "de:qwetz") und bestätige das.
• Öffne dann eine Konsole (Bildschirmsymbol "ROXTerm" unten links in der Taskleiste).
• Gib folgenden Befehl ein und bestätige mit Enter:

  fdisk -l

  (Der Parameter nach fdisk ist ein kleines L.)
• Kopiere den gesamten Output (markieren -> Rechtsklick -> Edit -> Copy), so dass du ihn hier posten kannst (entweder direkt über den integrierten Firefox, oder in ein File auf einem USB-Stick kopieren und danach wieder in Windows hier einfügen).
• Öffne dann erneut eine Konsole und gib folgenden Befehl ein:

  dd if=/dev/sda of=mbr.bin bs=512 count=1

• Starte dann den File Manager (Symbol oben links auf dem Desktop) und suche die mbr.bin im root-Verzeichnis.
• Zippe dieses File dann (Rechtsklick -> New -> Archive; Archive Format: .zip) und hänge es hier an.

Hi,

das funzt nicht wie in der Anleitung beschrieben, auf der HP von hxxp://digitalincursion.net/partedmagic/pmagic_2013_02_28.iso gibts eine neuere Datei namens pmagic_2013_05_01.
Hab ich mir jetzt auf die Fesplatte geladen, und nun ?

Ich habe mich für die USB Stick Variante entschlossen.

Was funktioniert genau nicht?

Mit dieser ISO musst du jetzt eine bootfähige CD oder einen bootfähigen USB-Stick erstellen, wie es in dieser Anleitung beschrieben ist.

Hi,
jetzt hats funktioniert.

Hi,

jup, da sitzt noch was im MBR.
(Ich gehe davon aus, dass du das File C:\moveatapi.txt in der Zwischenzeit nicht gelöscht hast. Falls doch, dann erstelle es bitte gleich als Erstes vor dem Schritt 1 neu wie zuvor beschrieben.)


Schritt 1

• Starte den Rechner neu auf und wähle während des Neustarts die Wiederherstellungskonsole aus (du solltest diese Option für kurze Zeit eingeblendet haben.)
• Folge dann dem Verlauf, bis du in der Eingabeaufforderung angelangt bist.
• Tippe dort folgenden Befehl ein:

  batch C:\moveatapi.txt

• Danach den Befehl

  fixmbr

• Gib danach exit ein und starte wieder normal nach Windows.

Schritt 2

• Starte bitte die OTL.exe.
• Kopiere nun den Inhalt aus der Codebox in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.

• Schliesse bitte alle anderen Programme.
• Klicke nun auf None (deutsch "None") und danach auf den Scan Button.
• Kopiere danach den Inhalt der OTL.txt hier in deinen Thread.

Bitte poste in deiner nächsten Antwort:

• Log von OTL

Nach fixmbr kommt folgende Anzeige:

** Vorsicht **
Der MBR scheint ungültig oder nicht standardmäßig zu sein.

Wenn Sie den Vorgang fortsetzen wird fixmbr möglicherweise die Partitionstabelle beschädigen. Das kann dazu führen, dass auf keine Partition auf der aktuellen Festplatte zugegriffen werden kann.
Setzen Sie den Vorgang nicht fort, wenn Sie keine Probleme mit dem Zugriff auf das Laufwerk haben.

Sind Sie sicher, dass Sie neinen neuen MBR schreiben möchten ?

DIE EINGABEAUFFORDERUNG WARTET JETZT AUF EINE EINGABE, bietet aber keine Auswahl an.

Bestätige das mit der Eingabe von j.

Hi,
war erfolgreich, PC startete wieder im Windows Normalmodus.

hier die OTL Log
OTL Logfile:
--- --- ---

Prima, und jetzt war auch die Ersetzung der atapi.sys erfolgreich, ohne dass das etwas grad wieder rückgängig gemacht hat...
Kontrollieren wir nochmals gründlich:


Schritt 1

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
  Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS-Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).




Schritt 2

Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop

• Starte die TDSSKiller.exe - Einstellen wie in der Anleitung zu TDSSKiller beschrieben.
• Drücke Start Scan
  
• Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und klicke auf Continue.
  TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern (Meistens C:\)
  Als Beispiel: C:\TDSSKiller.<Version_Datum_Uhrzeit>log.txt

Poste den Inhalt bitte in jedem Fall hier in deinen Thread.



Bitte poste in deiner nächsten Antwort:

• Log von aswMBR
• Log von TDSSKiller

Fein,

hört sich schon mal ganz gut an.

Der aswMBR-Scan wurde als Quick-Scan ausgeführt, ich hoffe das ist okay.

aswMBR Log:

Bei TDSSKiller wurde 2x Sinowal.B rootkit angezeigt im MBR von Harddisk 0 und Harddisk 1


TDSSKiller-Log:

Ok.


Schritt 1

Starte bitte TDSSkiller.exe.
Vista und Win7 User mit Rechtsklick "als Administrator ausführen".

• Drücke auf Start Scan.
  Mache während des Scans nichts am Rechner!
• Gehe sicher, dass bei den Rootkit.Boot.Sinowal.b (und nur dort!) die Option Cure (default) angehakt ist.
• Drücke Continue --> Reboot.
• TDSSKiller wird ein Logfile auf deinem Systemlaufwerk speichern (C:\TDSSKiller.<version_date_time>log.txt).
• Poste bitte den Inhalt dieses Logfiles in deinen Thread.

Bitte poste in deiner nächsten Antwort:

• Log von TDSSKiller

TDSSKiller hat die 2 Sinowal.b Einträge im Screen angezeigt.
beide Einträge waren angehakt (default), Cure --> Continue --> Reboot ausgeführt.

TDSSKiller-Log nach Reboot:

Hi,

ok, dann machen wir weiter. Die combofix.exe dann bitte neu herunterladen.

Übrigens:
Ja, dieses Ding formt ein Botnet.


Schritt 1

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Schritt 2

Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

• WICHTIG: Speichere Combofix auf deinem Desktop
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Combofix wird überprüfen, ob die Microsoft Windows Wiederherstellungskonsole installiert ist.
  Ist diese nicht installiert, erlaube Combofix diese herunter zu laden und zu installieren. Folge dazu einfach den Anweisungen und aktzeptiere die Endbenutzer-Lizenz.
  Bei heutiger Malware ist dies sehr empfehlenswert, da diese uns eine Möglichkeit bietet, dein System zu reparieren, falls etwas schief geht.
  Bestätige die Information, dass die Wiederherstellungskonsole installiert wurde mit Ja.
  Hinweis: Ist diese bereits installiert, wird Combofix mit der Malwareentfernung fortfahren.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es eine Logfile erstellen.
• Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Schritt 3

Starte bitte die OTL.exe.

• Setze den Haken bei Scan all Users.
• Drücke auf den Quick Scan Button.
• Poste den Inhalt von OTL.txt hier in den Thread.

Bitte poste in deiner nächsten Antwort:

• Log von Adwcleaner
• Log von Combofix
• Log von OTL

Hi,

adwCleaner Log:
AdwCleaner Logfile:
--- --- ---


Combofix-Log:
Combofix Logfile:
--- --- ---


OTL-Log:
OTL Logfile:
--- --- ---

Jep, dann kontrollieren wir ebenfalls nochmals, was MBAR jetzt zur Lage meint..


Schritt 1

Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

• Starte bitte die mbar.exe.
• Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
• Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
• Klicke auf den CleanUp Button und erlaube den Neustart.
• Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
• Nach dem Neustart starte die mbar.exe erneut.
• Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers



Bitte poste in deiner nächsten Antwort:

• Log von MBAR