BOO/TDss.O - Kein Zugriff auf Dateien mehr
 

Hallo zusammen,

habe mir vorgestern anscheinend den BOO/TDss.O eingefangen - zumindest wurde der mir von Avira angezeigt.
Der Desktophintergrund wurde schwarz und alle Desktopsymbole bis auf "Computer" und "Papierkorb" sind verschwunden.
Innerhalb von Sekunden gingen zig Fenster aus mit der Meldung "Failed to save all components for the file" oder so etwas in der Art, dazu jede Menge andere Fehlerboxen.

Nach dem ersten Versuch, das Ganze von Avira beseitigen zu lassen, bin ich in anderen Foren zuerst über den tdsskiller und Malwarebytes Anti-Malware gestolpert, damit wäre das Problem zu lösen. Hat sich leider als Schuss in den Ofen herausgestellt...und die Einträge hier haben meine Befürchtungen bestätigt, dass da wohl noch ein bisschen mehr ansteht um zumindest wieder an die Dateien heranzukommen...

Seit den ersten bzw. mehrmaligen Versuchen mit tdsskiller und Malwarebytes Anti-Malware kommen zumindest derzeit keine Pop-Up Fenster mehr hoch, auch Avira hält still und man könnte fast meinen, dass es schon etwas gebracht hätte - aber dunkle Wasser sind ja tief.

Habe jetzt schon einmal OTL laufen lassen in der Hoffnung, dass man damit vielleicht schon etwas anfangen kann.

Bin für jede Hilfe dankbar, so langsam verzweifel ich damit...

Vielen vielen Dank!
Sternekoch

Ohne die Logs von Malwarebytes und Co wird das hier nichts. :glaskugel:
Alles von Malwarebytes (und evtl. anderen Scannern) muss hier gepostet werden.

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Hallo Arne,
vielen Dank für die schnelle Reaktion! Natürlich, du hast Recht...

TDSS-log #1

TDSS-log #2
Die restlichen Logs folgen in separaten Posts :)

Hier der nächste Teil von TDSS-Killer:

TDSS-log #3
Davon gleich noch einer...

Und hier davon der vorerst Letzte - hier schien das fiese Viech zumindest schon verschwunden...zumindest gab es auch keine Meldung mehr über schlimme Dinge. Das wird aber wohl nicht allzu heißen denke ich mal...

TDSS-log #4
TDSS-log #5
Gleich gehts weiter mit den Malwarebytes Anti-Malware-Logs

Und hier noch das, was ich von Malwarebytes habe:

Malwarebytes #1
#2
#3
#4
#5

Ich schau jetzt noch fix, ob ich aus Avira auch noch etwas rausgekitzelt bekomme...

Und hier noch der grad durchgeführte Scan von Avira...


Kann ich noch irgendwas nachliefern/machen, was bei der Analyse helfen könnte?
Bis dahin schonmal: :dankeschoen:

Führ bitte auch ESET aus, danach sehen wir weiter.

Hinweis: ESET zeigt durchaus öfter ein paar Fehlalarme. Deswegen soll auch von ESET immer nur erst das Log gepostet und nichts entfernt werden.

ESET Online Scanner

Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.

• Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt so öffnen: per Rechtsklick => als Administrator ausführen
• Dein Anti-Virus-Programm während des Scans deaktivieren.
  
  Button http://img695.imageshack.us/img695/1599/eset1l.jpg (<< klick) drücken.
  • Firefox-User:
    Bitte esetsmartinstaller_enu.exe downloaden.Das Firefox-Addon auf dem Desktop speichern und dann installieren.
  • IE-User:
    müssen das Installieren eines ActiveX Elements erlauben.
• Setze den einen Haken bei Yes, i accept the Terms of Use.
• Drücke den http://img707.imageshack.us/img707/687/starteg.jpg Button.
• Warte bis die Komponenten herunter geladen wurden.
• Setze einen Haken bei "Scan archives".
• Gehe sicher das bei Remove Found Threats kein Hacken gesetzt ist.
• http://img707.imageshack.us/img707/687/starteg.jpg drücken.
• Die Signaturen werden herunter geladen.Der Scan beginnt automatisch.

Wenn der Scan beendet wurde

• Klicke Finish.
• Browser schließen.

Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste und kopiere folgenden Text in das Ausführen Fenster.
Hinweis: Falls du ein 64-Bit-Windows einsetzt, lautet der Pfad so:

Poste nun den Inhalt der log.txt.

Ok, erledigt :)

Hätte da mal zwei Fragen bevor es weiter geht

1.) Geht der normale Modus von Windows (wieder) uneingeschränkt?
2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden?

Hi,

1.) Windows fährt zwar ganz normal wieder hoch, und es gibt auch nicht mehr die ständigen Pop-Ups oder Warnmeldungen, dass irgendetwas nicht auf die Festplatte geschrieben werden kann, aber:

2.) Genau das: im Startmenü ist nichts mehr drin (außer 3 Office Verknüpfungen und 'Computer'; der gesamte Rest fehlt). Unter "Alle Programme" hängen auch jede Menge leere Ordner. Zusätzlich fehlen alle Desktop-Verknüpfungen, die mal da waren und ich kommen an keine Dateien mehr ran, weder über 'Computer' noch sonst irgendwie :(

Vielen Dank!!

Das Startmenü wurde von der Ransomware gelöscht, wenn überhaupt kannst du mit unhide noch was wiederherstellen. Wenn nicht bist du ohne Backup angeschmiert

Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
http://www.trojaner-board.de/images/icons/icon4.gif Vista und 7 User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif

Hey, unhide hat funktioniert (ging auch richtig fix) - ich komme wieder an die Dateien heran und das Startmenü ist auch wieder komplett :applaus:

Das einzige was nicht wiederhergestellt/zurückgedreht wurde, waren Desktophintergrund bzw. das komlpette Windows7-Design (kann man mit leben ;-)) und die Shortcuts in der Taskleiste (kann man auch gut mit leben)
Muss/Kann ich jetzt noch etwas machen?
:dankeschoen:

Mach bitte ein neues OTL-Log. Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

CustomScan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop. Falls schon vorhanden, bitte die ältere vorhandene Datei durch die neu heruntergeladene Datei ersetzen, damit du auch wirklich mit einer aktuellen Version von OTL arbeitest.

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox von OTL - wenn OTL auf deutsch ist wird sie mit http://larusso.trojaner-board.de/Images/otlfix.jpg beschriftet

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Hi,

erledigt:

OTL Logfile:
--- --- ---

Danke schonmal! :)

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Hi,

auch erledigt :daumenhoc

Jetzt bin ich ja gespannt :)
Wie immer, ein Riesen-:dankeschoen: