|
Nach MAM scan fährt PC nichtmehr hoch Hallo Leute, hab mir heute Abend die System-Check Maleware geholt... Nach kurzer Boardsuche bin ich dann auf folgende Anleitung gestossen und habe sie exakt ausgeführt. http://www.trojaner-board.de/109408-...entfernen.html Nachdem ich jedoch den vollständigen Scan mit der aktuellen Version von MAM durchgeführt habe und ich mein System neustarten wollte bleibt er nach dem Toshiba Loadscreen ganz am Anfang hängen. (Schwarzer Bildschirm, blinkener Coursor links oben). Kann von keiner anderen Partition starten da mir nur eine zur Auswahl steht und ne Windows CD hab ich leider nicht (HDD Recovery) Mit CD neu aufsetzen wär extrem bitter da viel Arbeit leider ungesichert auf der Festplatte ist. (Ist frisch aufgesetzt und hab die Daten auf der externen wieder gelöscht -.-) Danke schonmal!!! Hier nochn paar Infos zu meinem System Toshiba Satellite L550 Win7 64bit voll geupdated Hatte vor MAM Antivir drauf Sry für den Doppelpost, hab aber keine Editierfunktion gesehn: Kurzes Update: Habs jetz mit ner ausm Netz geladenen Reperaturdisc für Win7 64bit versucht die aber den Reperaturvorgang mit folgender Fehlermeldung abbricht: "System Volume on Disk Corrupt" Error-Code: 0x1F |
Hi, da ging aber gewaltig was schief... Bist Du Dir sicher, dass Du die Malware hattest, oder doch nicht vielleicht die HDD tatsächlich was abbekommen hat? Kannst Du von der externen Festplattte ein "undelete" durchführen, oder hast Du zwischenzeitlich (nach dem Löschen de rDaten) mit der Festplatte gearbeitet (was drauf abgespeichert etc.)? Versuche ob Du damit die Daten retten kannst... Knoppix-Live-CD erstellen Folge den Anweisungen hier: http://www.trojaner-board.de/75619-a...x-live-cd.html Was hat MAM alles gefunden, hast Du ein Log zur Hand? Wurde der TDSS-Killer-Scan durchgeführt, hat der was gefunden, wenn ja, was/wo (extrem wichtig!) Danach (falls wir überhaupt noch auf das Systemvolumen zugreifen können): System mit OTL-PE scannen
chris |
Danke für die Antwort! Bin mir sicher dass es die Maleware war da MAM auch die entsprechenden Einträge gefunden hat und gelöscht hat. Die Warnung dass die Festplatte beschädigt ist gehört ja zur Maleware dazu. Ich schätz dass MAM ne Initialisierungsdatei von Windows gelöscht hat. Hab da leider nicht aufgepasst wo sich der überall eingenistet hat, weiß nur dass es eine Registry Datei war. Zum TDSS-Killer-Scan bin ich nichtmehr gekommen da dann schon alles im Eimer war. Habs allerdings geschafft mit der Computerbild-Notfall CD die wichtigsten Dateien zu sichern! Allerdings will er das System nicht in Werkseinstellung zurücksetzen. Laut Anleitung muss man dafür beim drücken des Startknopfes die 0 (NULL) Taste drücken und kommt damit in ein Auswahlmenü (Hat auch früher schon funktioniert) aber die Kiste ignorierts und hängt dann wieder. Kann auch nicht über den Linux (glaub ich) Notfalldesktop der CB-CD die Recovery Utility starten. (Auf jeden fall hab ich bis jetz nichts gefunden).Allerdings werden mir alle Festplattendaten korrekt und vollständig angezeigt. Gibt es keine andere Möglichkeit die Boot-dateien von Windows zu reparieren als die Repair-CD (die nicht funktioniert)? Und warum löscht MAM ne Datei die fürs hochfahren von Windows verantwortlich ist ohne Warnung :/ Werd aber jetz auf jeden fall erstmal die OTL-PE logs posten... vll. sagen sie dir ja was :) |
So hier das Log-file des Scans. Er hat allerdings keine extra.txt Datei erstellt und fix-en konnte er auch nichts. Bin langsam mit meinem Latein am ende :( |
Hi, userinit fehlt und es ist noch einiges übrig von der Malware, ist aber eher sekundär, wenn er die Festplatte nicht erkennt... Hast Du eine SSD im Rechner (solo oder hybrid)?... Als erstes würde ich nachschauen, ob die richtige Partition als Boot markiert ist und über einen "korrekten" Bootblock verfügt (ob die richtigen Flags gesetzt sind). Das folgende ist jetzt eigentlich für eine TDSS-Infektion, sollte aber soweit auch funktionieren (Daten hast Du ja schon gerettet, falls nachfolgend was ins "Auge" gehen sollte): TLD4 Windows wird über eine versteckte Partition die als BOOT gekennzeichnet ist gestartet (und nicht über die eigentliche “Bootpartition”). Daher muß über ein Paritionierungstool vorgegangen werden. Da bei Fehlbedienung die Festplatte geschrottet werden kann, unbedingt vorher eine komplette Sicherung der Festplatte durchführen. Lade Dir GParted von Download GParted from SourceForge.net oder ISO-Image von PartedMagic runter, ggf. das ZIP-File auspacken und das ISO-Images per Nero oder ImageBurn auf CD brennen.
Handbuch. chris |
Liste der Anhänge anzeigen (Anzahl: 1) Hi, ich :hab die Festplatte drin(wird mir im BIOS angezeigt) hxxp://www.newegg.com/Product/Product.aspx?Item=N82E16822136197 Das mit den Partitionen kam mir auch schon komisch vor, da ich ja im Boot-Menü 2 auswahlen haben müsste (Windows- und Recovery Partition) ? Konnte den Screenshot leider nicht auf den Stick ziehen, hab deshalb ein Foto gemacht.(sry für die quali) Ich werd dann wrsl. die Partitionsmarkierungen bearbeiten müssen oder? Also bei der sda4 boot und hidden rausnehmen und bei der sda2 boot aktivieren? Allerdings weiß ich nicht wie man die dann als Primäre Partition aktiviert. Das Handbuch hilft da auch nicht weiter, hab vll. ne andere version runtergeladen? |
Kurzes Update: Hab die Einträge "boot" und "hidden" bei der 4. Partition gelöscht und bei der Windows-partition "boot" aktiviert. Jetz kommt beim hochfahren die Meldung: BOOTMGR is missing. |
Hi, sda4 ist hidden und bootet, das wäre typisch für TDSS, nur was ist jetzt wirklich Deine Bootpartition, sda1 oder sd2? Frage mal sichheitshalber bei Kollegen nach... chris |
Die Bootpartition is sd2. Konnte den BOOT-MGR auch mit der repair CD von Windows wiederherstellen :) Der PC funktioniert auch wieder :) DANKE! Gegen den Maleware-Resten auf der Platte geh ich einfach nach den TDSS Anleitungen hier im Forum oder is von der System-Check Maleware auchnoch was drauf? N MAM check mach ich erstmal nicht |
Hi, sehr gut! TDSS-Killer Download und Anweisung unter: Wie werden Schadprogramme der Familie Rootkit.Win32.TDSS bekämpft? Entpacke alle Dateien in einem eigenen Verzeichnis (z. B: C:\TDSS)! Aufruf über den Explorer duch Doppelklick auf die TDSSKiller.exe. Stelle den Killer wir folgt ein: http://saved.im/mtkwmtcxexhp/setting...8_16-25-18.jpg Dann den Scan starten durch (Start Scan). Wenn der Scan fertig ist bitte "Report" anwählen (eventuelle Funde erstmal mit Skip übergehen). Es öffnet sich ein Fenster, den Text abkopieren und hier posten... Lass MAM mal laufen, aber erstmal nichts löschen lassen, nur das Log posten... Poste ebenfalls noch ein neues OTL-Log... chris Hi, hat der Killer was gefunden? Mach mit Gpartet mal die versteckte Partition sichtbar, dann können wir mal sehen was drauf ist ;o)... chris |
Hi sorry die Woche gings drunter und drüber, hatte keine Zeit :/ MAM hat nichts gefunden. Als Anhang das OTL und TDSS-log. Die Partition wird mir im Explorer angezeigt, kan aber nicht drauf zugreifen. |
Hi, trennen den Rechner umgehend vom INETZ, Du hast einen Rootkit im Bootblock... 11:21:01.0763 9944 \Device\Harddisk0\DR0 ( Rootkit.Boot.Wistler.a ) - infected 11:21:01.0763 9944 \Device\Harddisk0\DR0 - detected Rootkit.Boot.Wistler.a (0) Starte den Killer und wähle dann CURE bei dem entsprechenden Eintrag! Verifiziere nach dem Reboot durch den nochmaligen Start von TDSS ob der Rootkit tatsächlich gekillt wurde... Danach Zusätzlich: MBR-Check Lade Dir http://ad13.geekstogo.com/MBRCheck.exe und speichere die Datei auf dem Desktop.
Einige Einträge sind noch "krum" und es gibt einige Auffälligkeiten, da kümmern wir uns später drum... chris |
Hi, Cure hat anscheinend funktioniert, der TDSS scan nach den Neustart war ohne Befund. Das Trennen vom Netz war auch kein Problem da seit dem TDSS-Cure keine verbindung zum WLan mehr möglich ist. Hier noch das Logfile vom MBR-Check |
PS: Internet geht wieder ;) |
Hi, gut zweiter Anlauf... Poste eine neues OTL-Log und lass dann über Nacht Cureit laufen (der brauch sehr lange)... Cureit Folge der Anleitung: http://www.trojaner-board.de/59299-a...eb-cureit.html Nach Beendigung des Scans findes Du das Log unter %USERPROFILE%\DoctorWeb\CureIt.log. Bevor du irgendwelche Aktionen unternimmst, kopiere bitte den Inhalt des Logs und poste ihn. Die Log Datei ist sehr groß, ca. über 5MB Text. Benutzt einfach die Suche nach "infiziert" und kopiert betreffende Teile heraus, bevor Du sie postet. Nach dem Update von Cureit würde ich den Rechner wieder für die Dauer vom Scann vom Netz nehmen... chris |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 08:33 Uhr. |
Copyright ©2000-2024, Trojaner-Board