|
BOO/TDss.M im Masterbootsektor/HD0 entdeckt Einen schönen guten Tag, ich habe auf meinem Laptop während der letzten Virenprüfung mit Avira Antivir feststellen müssen, dass ich einen Virus "BOO/TDss.M" im Masterbootsektor/HD0 habe. Nach beendigung des Avira Suchlaufs wurde der restsuchlauf beendet und mir wurden komischerweise 0 Funde angezeigt. Seit dem wird mir bei jedem Neustart des PCs durch ein Avira Popup angezeigt das der Virus noch da ist (auch wenn ich in besagtem Popup auf "Entfernen" klicke). Dadurch das der Laptop auch von meiner (mittlerweile) Ex-freundin genutzt wurde, kann ich leider keine genauen Angaben dazu machen, auf welchen Websites sie war oder ob sie irgentwelche Datein runtergeladen hat die zu diesem Virus geführt haben könnten. Das Hochfahren des Laptops dauert echt ewig mittlerweile. Verschiedene Internetseiten haben sich in meinem Browser auch geöffnet, das kam aber bis auf das eine mal nicht mehr vor. Unternommen habe ich noch nicht wirklich viel, außer das ich bestimmt 5 mal einen Virenscan mit Avira durchgeührt habe und mir (auf anraten des Antivirenprogramms) ein Bootsektor Repair tool runtergeladen hab, was ich aber noch nicht genutzt habe, da das Prog es ja nicht mal schafft den Virus zu entfernen. Die defogger und OTL logs sind im Anhang gezipt. ich hoffe ihr könnt mir helfen... An dem Laptop arbeite ich nämlich auch, und wenn der nicht mehr zu gebrauchen wäre, dann wär das.... schon recht schade, um es mal so zu sagen :daumenrunter: |
:hallo: Mein Name ist M-K-D-B und ich werde dir bei der Bereinigung deines Computers helfen. Bitte beachte folgende Hinweise:
Hinweis: Ich kann Dir niemals eine Garantie geben, dass auch ich alles finde. Eine Formatierung ist meist der schnellere und immer der sicherste Weg. Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist. Ich bereite jetzt einen Fix vor und melde mich so bald als möglich mit weiteren Anweisungen. |
Hallo Ifron, Schritt # 1: FileSharing Programme Ich sehe das Du sogenannte Peer to Peer oder Filesharing Programme verwendest. In deinem Fall µTorrent. Diese Programme erlauben es Dir, Daten mit anderen Usern auszutauschen. Leider ist auch p2p oder Filesharing nicht ausgenommen, infizierte Dateien zu verteilen und ist auch ein Grund warum sich Malware so schnell verbreitet. Es ist also möglich, dass Du Dir eine Infizierte Datei herunter ladest. Du kannst niemals wissen, woher diese stammen. Daher sollte diese Art Software mit äußerster Vorsicht benutzt werden. Ein ebenfalls wichtiger Punkt ist, dass das Verbreiten von Media und Entertainment Dateien in den meisten Ländern der Welt gegen Copyright Rechte verstößt. Natürlich gibt es auch einen legalen Weg zur Nutzung dieses Service. Zum Beispiel zum Downloaden von Linux oder Open Office. Denoch würde ich Dich ersuchen, diese Art von Software nicht weiterhin zu verwenden. Bitte gehe zu Start --> Systemsteuerung --> Programme deinstallieren und deinstalliere die oben genannte Software. Bitte sag bescheid wenn Du eines der gelisteten Programme nicht finden kannst. Schritt # 2: aswMBR.exe ausführen Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.
Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit. Schritt # 3: Deine Rückmeldung Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort
|
Vielen Dank für die wirklich schnelle Antwort als aller erstes. :dankeschoen: Zum Thema UTorrent: Ich habe mir das mal runtergeladen weil ich auf chip.de die Möglichkeit gesehen habe das man eben auch Torrents runterladen kann und das mal geschwindigkeitsmäßig testen wollte. Das das so unsicher ist wusste ich nicht.:rolleyes: Das Programm befindet sich auf einer externen Festplatte zu der ich keinen Zugriff mehr habe, Deinstallieren war also weder möglich noch nötig. ^^ Hier die Logfiles von aswMBR: Code: aswMBR version 0.9.8.977 Copyright(c) 2011 AVAST Software |
Hallo Ifron, Zitat:
Hast du eine Windows 7 DVD zur Hand? Wenn ja, handelt es sich dabei um eine normale Windows DVD oder eine Recovery DVD? Was steht genau drauf? Du hast u.a. ein Rootkit im Master Boot Sektor. So gehts weiter: Schritt # 1: TDSS Killer ausführen Dowloade Dir bitte TDSS Killer.exe und speichere die Datei am Desktop.
Schritt # 2: ComboFix ausführen Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Lade ComboFix von einem dieser Download-Spiegel herunter: BleepingComputer - ForoSpyware * Wichtig !! Speichere ComboFix auf dem Desktop
http://i94.photobucket.com/albums/l8...eWHKonsole.jpg Sobald die Wiederherstellungskonsole durch ComboFix installiert wurde, solltest Du folgende Nachricht sehen: http://i94.photobucket.com/albums/l8...nstalliert.jpg Klicke "Ja", um mit dem Suchlauf nach Malware fortzufahren. Wenn ComboFix fertig ist, wird es ein Log erstellen. Bitte füge die C:\ComboFix.txt Deiner nächsten Antwort bei. Schritt # 3: Deine Rückmeldung Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort
|
Bevor ich weiter mache, wollte ich noch sagen, dass ich keine Win 7 DVD besitze, da ich keine bekommen habe als ich diesen Laptop gekauft habe. Sollte ich die angegebenen Schritte trotzdem ausführen, oder muss ich unbedingt eine Win 7 DVD dazu haben? Zu dem Torrent Programm: Soweit ich mich erinnern kann habe ich dieses Programm vor einiger Zeit über meinen Laptop auf eine externe Festplatte installiert. Als ich versucht habe es zu deinstallieren kam eine Meldung die besagte, dass das besagte Programm nicht deinstalliert werden konnte, da der Dateipfad nciht gefunden wurde... Ich bin nicht so der PC kenner... gibt es einen weg wie ich es trotzdem deinstallieren kann bzw. wie ich herausfinden kann ob es doch auf meinen Laptop installiert ist? |
Hallo Ifron, Zitat:
Zitat:
Ich warte auf deine Rückmeldung. |
Hier die Logfiles: erst der tdsskiller log Code: 2011/07/23 20:30:47.0700 1976 TDSS rootkit removing tool 2.5.11.0 Jul 11 2011 16:56:56Code: ComboFix 11-07-23.04 - Ann-Marie 23.07.2011 20:41:32.1.2 - x64 |
Hallo Ifron, Wichtiger Hinweis: Du bist u.a. mit einem Trojaner infiziert, der Passwörter und Zugangsdaten ausspioniert. Darum bitte ich dich, bis auf weiteres kein Online-Banking oder andere Online Geschäfte zu tätigen. Schritt # 1: CFScript mit ComboFix ausführen Hinweis für Mitleser: Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden. Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen! Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von einem der folgenden Download-Spiegel neu herunter: BleepingComputer.com - ForoSpyware.comund speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)! Drücke die Windows + R Taste --> Notepad (hinein schreiben) --> OK Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument. Code: DDS::Wichtig:
Schritt # 2: Deine Rückmeldung Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort
|
Hey M-K-D-B, vielen dank für die schnelle Antwort und die Mühe!! :dankeschoen: Hier der neue ComboFix Logfile: Code: ComboFix 11-07-23.04 - Ann-Marie 24.07.2011 11:47:45.2.2 - x64 |
Hallo Ifron, Gehe ich richtig in der Annahme, dass früher auf diesem Rechner eine Sygate Firewall installiert war? Ich sehe noch ein paar Reste in den Logfiles. Mittlerweile ist diese ja deinstalliert, richtig? Lösche bitte die vorhandene CFScript.txt von deinem Desktop. Wir müssen ein neues CFScript ausführen: Schritt # 1: CFScript mit ComboFix ausführen Hinweis für Mitleser: Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden. Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen! Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von einem der folgenden Download-Spiegel neu herunter: BleepingComputer.com - ForoSpyware.comund speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)! Drücke die Windows + R Taste --> Notepad (hinein schreiben) --> OK Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument. Code: Folder::Wichtig:
Schritt # 2: Kontrollscan mit Malwarebytes' Anti-Malware (MBAM) Downloade Dir bitte Malwarebytes' Anti-Malware
Schritt # 3: Deine Rückmeldung Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort
|
Hey M-K-D-B, ja das ist richtig ich hatte mal die Sygate Personal firewall drauf, die habe ich aber schon ne ganze Weile nicht mehr, da die unter Win 7 nicht wirklich funktioniert hat (bzw. habe ich sie nicht zum laufen bekommen). Deinstalliert ist sie mittlerweile auch schon wieder. Der neue Combofix logfile ist hier: Code: ComboFix 11-07-23.04 - Ann-Marie 24.07.2011 13:49:04.3.2 - x64und die MBAM files sind hier: Code: Malwarebytes' Anti-Malware 1.51.1.1800 |
Hallo Ifron, ich bitte um einen kleinen Zwischenbericht: Wie läuft dein Rechner derzeit? Gibt es Probleme? Wenn ja, welche? Schritt # 1: Systemscan mit OTL
Schritt # 2: Deine Rückmeldung Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort
|
Hey M-K-D-B, der Laptop läuft an sich wunderbar. Ich bin zwar der Meinung das das Hochfahren immernoch länger dauert als vor dem Virusbefall, es ist aber nur minimal und seid der bisherigen Bereinigung um EINIGES schneller geworden. Ansonsten fällt mir nichts auf was ungewöhnlich wäre, soweit ich das beurteilen kann. Die Logfiles befinden sich im Anhang, da das Hochladen in den Codeboxen komischerweise nicht funktioniert hat. An sich funktionieren alle Funktionionen des Browsers einwandfrei, nur speziell diese Antwort in den Thread zu schreiben hat nicht funktioniert (der Rechner reagiert zwar aber lädt "unendlich" lang). |
Hallo Ifron, Schritt # 1: Fix mit OTL
Code: :OTL
Schritt # 2: Java deinstallieren/neu installieren
Schritt # 3: Wichtige Updates
Schritt # 4: ESET Online Scanner Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.
Code: "%ProgramFiles(X86)%\Eset\Eset Online Scanner\log.txt"Schritt # 5: Durchführung einer Sicherheitskontrolle Downloade Dir bitte SecurityCheck
Schritt # 6: Deine Rückmeldung Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort
|
| Alle Zeitangaben in WEZ +1. Es ist jetzt 09:41 Uhr. |
Copyright ©2000-2024, Trojaner-Board