Trojaner-Board - Virusbefall Worm/Downadup

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Virusbefall Worm/Downadup - 2. befallener Rechner (https://www.trojaner-board.de/100884-virusbefall-worm-downadup-2-befallener-rechner.html)

Zitat:

einmal WinXP sowie einmal Ubuntu.

Dann den MBRFix nicht durchführen! Der würde dazu führen, dass du dein Ubuntu nicht mehr starten kannst!
Ich weise zum Glück drauf hin, dass es nur gemacht werden, wenn keine anderen Betriebssysteme installiert sind.

Zitat:

mein laienhafter Verstand sagt mir, daß es eine Partition meiner externen Platte ist. Auf der ist natürlich kein BEtriebssystem installiert, weder WinXP noch sonstwas.

Das sind physikalische Platten:

Code:

 74 GB  \\.\PhysicalDrive0   Unknown MBR code

465 GB  \\.\PhysicalDrive2   RE: Windows XP MBR code detected

also zwei Festplatten werden erkannt, die so aufgeteilt sind:

Code:

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00  (NTFS)

\\.\D: --> \\.\PhysicalDrive0 at offset 0x00000006`1a79e400  (NTFS)

\\.\G: --> \\.\PhysicalDrive2 at offset 0x00000000`00007e00  (FAT32)

\\.\H: --> \\.\PhysicalDrive2 at offset 0x00000013`8836ac00  (NTFS)

\\.\I: --> \\.\PhysicalDrive2 at offset 0x0000002d`4e32d000  (NTFS)

\\.\K: --> \\.\PhysicalDrive2 at offset 0x0000003a`98258600  (NTFS)

Zitat:

Wenn ich den mbrfix durchführe, wird der MBR der externen Platte überhaupt mit angefaßt? Ist ja keine systemeigene Partition sondern nur ein Wechselmedium.

Der MBR wird pro physikalische Festplatte gefixt. Du könntest also den Fix rein theoretisch auf auf die 80 GB Platte (intern) und auf die 500 GB (extern) anwenden.

Zitat:

Zwecks der Datensicherung. Wenn ich die Daten auf DVDs brenne, besteht die Gefahr, daß ich den Virus mitnehme (à la autorun.inf o.ä.)? Gibt es eine Variante, nur die Daten zu sichern ohne irgendwelchen Virenkram? Das wär doch ne feine Sache!

Man sichert nur seine privaten Sachen und keine ausführbaren Dateien, da ist das Risiko am geringsten.

Wenn wir den MBR nicht reparieren, wie geht es stattdessen weiter?

:glaskugel:

Jan

Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Hi Arne,

hat etwas gedauert, aber hier sind die Logfiles:

Malwarebytes:

Code:

Malwarebytes' Anti-Malware 1.51.0.1200

www.malwarebytes.org
 

Datenbank Version: 7064
 

Windows 5.1.2600 Service Pack 3

Internet Explorer 6.0.2900.5512
 

7/10/2011 11:40:13 PM

mbam-log-2011-07-10 (23-40-13).txt
 

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|F:\|G:\|H:\|I:\|K:\|)

Durchsuchte Objekte: 377875

Laufzeit: 2 Stunde(n), 9 Minute(n), 44 Sekunde(n)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 0
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

(Keine bösartigen Objekte gefunden)

Superantispyware:

Code:

SUPERAntiSpyware Scan Log

hxxp://www.superantispyware.com
 

Generated 07/12/2011 at 04:33 AM
 

Application Version : 4.55.1000
 

Core Rules Database Version : 7396

Trace Rules Database Version: 5208
 

Scan type       : Complete Scan

Total Scan Time : 08:09:10
 

Memory items scanned      : 499

Memory threats detected   : 0

Registry items scanned    : 7222

Registry threats detected : 0

File items scanned        : 186765

File threats detected     : 10
 

Adware.Tracking Cookie

        C:\Dokumente und Einstellungen\Jan\Cookies\jan@content.yieldmanager[2].txt

        cdn5.specificclick.net [ C:\Dokumente und Einstellungen\Jan\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\YA7RJKT9 ]

        imagesrv.adition.com [ C:\Dokumente und Einstellungen\Jan\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\YA7RJKT9 ]

        media.bose.eu [ C:\Dokumente und Einstellungen\Jan\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\YA7RJKT9 ]

        media.mtvnservices.com [ C:\Dokumente und Einstellungen\Jan\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\YA7RJKT9 ]

        mi.adinterax.com [ C:\Dokumente und Einstellungen\Jan\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\YA7RJKT9 ]

        s0.2mdn.net [ C:\Dokumente und Einstellungen\Jan\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\YA7RJKT9 ]

        serving-sys.com [ C:\Dokumente und Einstellungen\Jan\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\YA7RJKT9 ]

        track.webgains.com [ C:\Dokumente und Einstellungen\Jan\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\YA7RJKT9 ]

        www.ardmediathek.de [ C:\Dokumente und Einstellungen\Jan\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\YA7RJKT9 ]

Eset:

Code:

ESETSmartInstaller@High as downloader log:

all ok

# version=7

# OnlineScannerApp.exe=1.0.0.1

# OnlineScanner.ocx=1.0.0.6528

# api_version=3.0.2

# EOSSerial=faddcddd29c314469211d61f38f77bda

# end=finished

# remove_checked=false

# archives_checked=true

# unwanted_checked=true

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2011-07-12 10:46:14

# local_time=2011-07-13 12:46:14 (+0100, Westeuropäische Sommerzeit)

# country="United States"

# lang=1033

# osver=5.1.2600 NT Service Pack 3

# compatibility_mode=1797 16775145 100 93 1218079 47033681 1977423 0

# compatibility_mode=8192 67108863 100 0 352 352 0 0

# scanned=187145

# found=1

# cleaned=0

# scan_time=13951

K:\Laptop_backup_20090323\Software\Batch.Image.Resizer\Batch.Image.Resizer.v2.68.WinALL.Incl.Keygen-BRD.rar        probably a variant of Win32/Agent.BMQGBGY trojan (unable to clean)        00000000000000000000000000000000        I

bevor Du wieder schimpfst: die Software Batch Image Resizer war Freeware. :kloppen:

Gruß,

Jan

Nein, das Teil ist keine Freeware, Freeware muss man nicht mit einem illegalen Keygen freischalten! :mad:
Offensichtlich hast du es aber nicht installiert. Woher hast du diesen Dreck?

Da muß ich selbst erstmal überlegen, das ist schon lange her. Wahrscheinlich runtergeladen, um Bilder batchweise zu verkleinern. Von wo genau - keine Ahnung.

Bin schon über'm Löschen.

Sorry,

Jan

Zitat:

K:\Laptop_backup_20090323

Stammt wohl aus frühreren Zeiten und das Teil hast du nicht ausgeführt, dann kann man nochmal drüber hinwegsehen :rolleyes:

Rechner ansonsten wieder im Lot?

Sieht soweit gut aus. Ich sichere dann mal meine Daten und setze das Ding neu auf. Melde mich, wenn ich nochwas finde.

Vielen Dank schonmal!
:dankeschoen::dankeschoen::dankeschoen:

Jan

Zitat:

Ich sichere dann mal meine Daten und setze das Ding neu auf. Melde mich, wenn ich nochwas finde.

Dann hätten wir uns die ganze Prozedur hier aber sparen können! :stirn: