Hallo Marius,

also...

Vorweg - bei jedem Neustart vom PC kommt nach dem BIOS Fenster ganz kurz ein schwarzer Bildschirm mit weißer "DOS" Schrift, den ich in der Schnelle nicht lesen kann, dann startet Checkdisk und scannt Laufwerk D:.

Ich habe mit das Combofix von deinem Link noch mal heruntergeladen, dann den DSL-Stecker gezogen, Avira Scanner beendet und den TDSS-Killer gestartet.
TDSS Killer hat ein Suspicios Object gefunden: qhqguybssxign -> cure war im Auswahlfenster nicht vorhanden, also habe ich copy to quarantaine ausgewählt.
Außerdem wuerde Rootkit.Boot.Whistler.a gefunden -> cure
-> Meldung von TDSS-Killer nach Klick auf "Continue": Can't cure MBR. Write Standard code? Habe ich mit "No" beantwortet (was würde denn bestenfalls, bzw. schlimmstenfalls geschehen, wenn ich "yes" geklickt hätte?)
Klick aud Close.

Log:
Danach neugestartet und Avira (dachte ich) Scanner deaktiviert. Comboxi meldet dass Avira Echteitscanner noch aktiv ist. Ließ sich auch über dien Taskmanager nicht entfernen - also habe ich es deinstalliert (habe aktuell Malewarebytes laufen, installiere Avira aber gleich wieder, da der MWB Testzeitraum offenbar abgelaufen ist - sagt der dummerweise erst nach der Aktualisierung).

Combofix gestartet -> Fehlermeldung: NkMC2: Es wurde ein falsches Argument festgestellt
Autoscan Fenster läuft aber. War dann kurz weg, als ich wiederkam lief gerade Checkdisk. Nach Windows start hat Combofix die Logdatei geschrieben. Währenddessen wurd 3x "kein Datentäger" gemeldet (habe auf "weiter" geklickt.

Hier das Log:

Viele Grüße
Andrea

MBRCheck

Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe. Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur eine Sekunde.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Ach ja, interresannt:

Nach Neuinstalltion mach Avira einen Scan. Ergebnis:

Trotzdem kommen jetzt wieder Fundmeldungen:
Laufwerk K: Boo/Whistler.db
Masterbootsektor HD2: Boo/Whistler.db

:wtf: Muss man nicht verstehen ?!

Habe die Meldungen nur weggeklickt, da das bislang ja noch nie was gebracht hat auf "entfernen" zu klicken....

VLG und einen schönen Abend
Andrea

Ich habe dir eben geantwortet! ;)

Ok, MBR Check laufen lassen....
Ist noch offen, was soll ich tun?

VLG
Andrea

Hab länger zum schreiben gebraucht als Du :)
VLG
Andrea

J: und K: sind die Datenplatten. Wäre zwar schade drum aber ich habe da ja kürzlich ein Backup gemacht (war allerdings svhon infiiziert, weiß nicht, ob die Pferdchen auch auf den Discs sind).
LG
Andrea

ok, war wohl nicht schnell genug ;)

Habe "yes", "enter" "exit" gewählt.

VLG
Andrea

Fix mit MBR-Check


Lösche bitte die vorhandenen MBRCheck.txt. Starte bitte MBRCheck.exe erneut. Diesmal tippe in das Fenster folgendes ein und bestätige jede Eingabe mit Enter bei

• Enter 'Y' and hit ENTER for more options, or 'N' to exit: y
• Enter your choice: 2
• Enter the physical disk number to fix (0-99, -1 to cancel): 2
• PLease select the MBR code to write to this drive: 1

Die rot eingerahmten Zahlen aus der Anleitung entnehmen!!! http://larusso.trojaner-board.de/Images/mbrcheck.jpg

• Gib nun Yes ein und bestätige mit ENTER.
• Starte den Rechner neu auf.

Nach dem Neustart starte bitte MBRCheck.exe erneut. Nun findest Du 2 MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop. Poste mir den Inhalt von beiden .txt Dokumenten

Hallo Marius,

Habe getan was Du mich zu tun beauftragt hast.

1. Log:
Beim Neustart habe ich Checkdisk dann abgebrochen ....

Log nach Neustart:
... mit N beendet.

Für die größere Platte auch machen? Die Daten sind noch da :singsing: ^freufreu^

VLG
Andrea

Nein, gucken wir uns das nochmal an!


TDSS-Killer



Lese bitte folgende Anweisungen genau. Wir wollen hier noch nichts "fixen" sondern nur einen Scan Report sehen. Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop

• Starte die TDSSKiller.exe
• Klicke Change parameters, wähle Detect TDLFS file system, klicke OK.
• Drücke Start Scan
• Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und speichere das Logfile. TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern ( Meistens C:\ ) Als Beispiel: C:\TDSSKiller.<version_date_time>log.txt

Poste den Inhalt bitte hier in deinen Thread.

Guten Abend Marius,

ok, das ging schnell mit dem TDSS-Killer
"No threats found."

Der Report:

VLG
Andrea

Na, das ist doch schon besser!

Mit diesem Schädling hatte ich bis dahin noch keine Begegnung, aber den kriegen wir schon klein! :)


Schritt 1: Software deinstallieren

• Drücke die Windows- und die R-Taste gleichzeitig.
• Schreibe in die Textbox appwiz.cpl, klicke OK.
• Suche und deinstalliere folgende Einträge:
  
  Zitat:

  Ask Toolbar

• Schließe das Fenster.

Schritt 2: CF-Script



Hinweis für Mitleser:
Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von einem der folgenden Download-Spiegel neu herunter:

BleepingComputer.com - ForoSpyware.com

und speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)!

Drücke die Windows + R Taste --> Notepad (hinein schreiben) --> OK

Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.
Speichere dies als CFScript.txt auf Deinem Desktop.

Wichtig:

• Stelle deine Anti Viren Software temprär ab. Dies kann ComboFix nämlich bei der Arbeit behindern.
  Danach wieder anstellen nicht vergessen!
• Bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein.
  Dies kann dazu führen, dass ComboFix sich aufhängt.
• Schließe alle laufenden Programme. Gehe sicher das ComboFix ungehindert arbeiten kann.
• Mache nichts am PC solange ComboFix läuft.

http://i266.photobucket.com/albums/i.../CFScriptB.gif

• In Bezug auf obiges Bild, ziehe CFScript.txt in die ComboFix.exe
• Wenn ComboFix fertig ist, wird es ein Log erstellen, C:\ComboFix.txt. Bitte füge es hier als Antwort ein.

Falls im Skript die Anweisung Suspect:: oder Collect:: enthalten ist, wird eine Message-Box erscheinen, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen.

Guten Abend Marius,

ja, ich finde, das sieht wirklich schon besser aus.

Habe nach deiner Anweisung verfahren.

Leider ließ sich Avria mal wieder nicht komplett ausschalten, darum habe ich es wieder deinstalliert und nachdem Combofix fertig war neu installiert. Ich habe die Ask Toolbar danach nicht wieder gefunden, also hoffe ich, ich habe sie dieses mal gar nicht erst installiert.

Es folgt das log von Combofix:
... und nun ? :)

VLG
Andrea

Sieht ganz gut aus - kontrollieren wir alles nochmal! :)


Schritt 1: MBAM vollständig


Downloade Dir bitte Malwarebytes

• Installiere das Programm in den vorgegebenen Pfad.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
• Wenn das Update beendet wurde, aktiviere Vollständigen Scan durchführen und drücke auf Scannen. (Hinweis: Alle Festplatten anhaken!)
• Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
• Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Schritt 2: ESET



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Guten Morgen Marius,

ich habe Malwarebytes laufen lassen. Habe es zwischendurch einmal unterbrechen müssen, darum zwei logs davon.
Beim ersten mal hat es noch was gefunden und entfernt, beim zweiten mal dann nicht mehr.

Habe die Funde aus der Quaratäine gelöscht.

Starte gleich den ESET. Vielleicht ist der ja flott fertig ....

VLG
Andrea

Hallo,
hat leider doch noch etwas gedauert mit dem ESET. Aber der hat auch noch was gefunden:

VLG
Andrea

p.s.
... die sehen allerdings für mich alle älter aus....

Dieses Thema wurde aus meinen Abos gelöscht.
Solltest du das Thema erneut brauchen, schicke mir bitte eine PM.

Jeder andere bitte hier klicken und ein eigenes Thema erstellen!

Diese Dateien sind keine direkte Malware, beinhalten aber Sicherheitsrisiken. Ich empfehle, die betreffenden Backups ungeöffnet zu löschen.


Gleiches hier - jedoch musst du diese Daten nicht löschen, das erledigen wir im Nachklapp.

Da mein letzter Überblick über dein System veraltet ist, erstelle mir bitte einen neuen:


Schritt 1: OTL


Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop ( falls noch nicht vorhanden)

• Doppelklick auf die OTL.exe
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

Schritt 2: Gmer


Bitte

• alle anderen Scanner gegen Viren, Spyware, usw. deaktivieren,
• keine bestehende Verbindung zu einem Netzwerk/Internet (WLAN nicht vergessen),
• nichts am Rechner arbeiten,
• nach jedem Scan der Rechner neu gestarten.

Gmer scannen lassen

• Lade Dir Gmer von dieser Seite herunter (auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
• Alle anderen Programme sollen geschlossen sein.
• Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen). Vista und Win7 User mit Rechtsklick und als Administrator starten.
• Sollte sich ein Fenster mit folgender Warnung öffnen:

  WARNING !!! GMER has found system modification, which might have been caused by ROOTKIT activity. Do you want to fully scan your system ?

  Unbedingt auf "No" klicken.
• Entferne rechts den Hacken bei:

  • IAT/EAT
  • Alle Festplatten ausser die Systemplatte (normalerweise ist nur C:\ angehackt)
  • Show all (sollte abgehackt sein)

• Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
• Wenn der Scan fertig ist klicke auf Save und speichere die Logfile unter Gmer.txt auf deinem Desktop. Mit "Ok" wird GMER beendet.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!