![]() |
Masterbootsektor mit BOO/TDss.M vereucht Hi, kurz zur Vorgeschichte. Hatte etwa vor 2 Wochen einen ziemlich üblen Wurm auf meinem PC, leider weiß ich die genaue Bezeichnung nicht mehr. Jedenfalls stand in der Avira Antivir Beschreibung zu diesem Wurm, dass er sehr schnell sehr viele Dateien infiziert. Das hat er auch getan, ich habe bei einem Scan von Antivir etwa 3000 infizierte Dateien gehabt. Daraufhin hat Antivir diese Dateien gelöscht und der ganze PC war im Ar***. Ich konnte viele Programme nicht mehr starten und sogar das Recoverytool war nicht mehr zu öffnen. (das Wiederherrstellungstool von Sony VAIO) Somit bin ich über die F10 Taste in den Recoveryzustand gelangt und habe den PC wiederherstellen lassen. Während dieses Vorgangs wollte das Programm eine CD von mir haben, die es nicht gibt. Somit haben nach der Wiederherstellung einige Treiber gefehlt, die ich aber über die Sony-HP runterladen konnte. Auch die ganzen vorinstallierten Programme waren nach der Wiederherstellung nicht mehr da. Naja das ist eigentlich nicht so schlimm, ist ja größtenteils nichts Wichtiges. Jetzt ist mit in den letzten Tagen aufgefallen, dass mein PC, vor allem wenn ich im Firefox-Browser bin, ziemlich rumspinnt. Wenn ich auf eine Seite(z.B. web.de, facebook, google, etc.) will, öffnet er einfach eine andere, meist heißt die "VID-Finder" oder so. Und oft springt dann auch das Antivir an und meldet einen Virenzugriff, den ich aber dann zum Glück verweigern kann. Also habe ich wieder Antivir suchen lassen, aber der hat erst mal nichts gefunden. Dann gestern hat er doch was gefunden. Und zwar in den Masterbootsektoren. Antivir zeigte auch nur an, dass dort ein Virus gefunden wurde: BOO/TDss.M Ich konnte allerdings die Viren nicht löschen oder sonst was mit ihnen anstellen. Hier der Auszug aus der Antivir-Report: Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [FUND] Enthält Code des Bootsektorvirus BOO/TDss.M [HINWEIS] Der Sektor wurde nicht neu geschrieben! Masterbootsektor HD1 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD2 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [FUND] Enthält Code des Bootsektorvirus BOO/TDss.M [HINWEIS] Der Sektor wurde nicht neu geschrieben! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: Die Registry wurde durchsucht ( '1723' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' Habe dann gestern dieses Forum gefunden und hoffe ihr könnt mir helfen. Habe Logfiles erstellt: OTL, Extras, Gmer, TDSSKiller Habe sie gezippt und angehängt. Ich hoffe jemand kann mir helfen, auf jeden Fall schon im Vorraus danke an alle die sich bemühen werden :daumenhoc LG Lilithilli |
Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind. |
Malwarebytes habe ich noch nicht benutzt, soll ich das auch scannen lassen? LG lilithilli |
Ja! (10zeichen) |
so hier die logdatei Malwarebytes' Anti-Malware 1.50.1.1100 www.malwarebytes.org Datenbank Version: 6484 Windows 6.0.6001 Service Pack 1 Internet Explorer 8.0.6001.19019 01.05.2011 18:24:53 mbam-log-2011-05-01 (18-24-53).txt Art des Suchlaufs: Quick-Scan Durchsuchte Objekte: 143686 Laufzeit: 5 Minute(n), 56 Sekunde(n) Infizierte Speicherprozesse: 1 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 1 Infizierte Registrierungswerte: 1 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: c:\Windows\Temp\ajbs\setup.exe (Heuristics.Shuriken) -> 5524 -> Unloaded process successfully. Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AMService (Heuristics.Shuriken) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\AMService (Heuristics.Shuriken) -> Value: AMService -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: c:\Windows\Temp\ajbs\setup.exe (Heuristics.Shuriken) -> Quarantined and deleted successfully. ist das alles? lg lilithilli |
Zitat:
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten! |
Hi, hatte nen Quickscan gemacht, weil das so in der anleitung für Mlewarebytes so stand ;) Habe dann eben den vollständigen Scan gemacht. Hier die Logfile dazu: Malwarebytes' Anti-Malware 1.50.1.1100 www.malwarebytes.org Datenbank Version: 6484 Windows 6.0.6001 Service Pack 1 Internet Explorer 8.0.6001.19019 01.05.2011 21:27:39 mbam-log-2011-05-01 (21-27-39).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|) Durchsuchte Objekte: 254148 Laufzeit: 1 Stunde(n), 21 Minute(n), 39 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Diesmal hat er dann auch nichts mehr gefunden. Hoffe das hilft weiter. LG lilithilli |
Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code: :OTL Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt. |
Hi, hat alles geklappt :daumenhoc, der Rechner wurde neugestartet. Die Logfile wurde dann nach dem Neustart angezeigt. Code: All processes killed |
Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
http://saved.im/mtm0nzyzmzd5/cofi.jpg
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! |
wenn ich combofix herunterladen will, kann ich es nicht umbenennen. LG lilithilli |
Rechtsklick => Ziel speichern unter Sollte eine ziemlich bekannte Funktion sein :pfeiff: |
Hi, also hab es dann geschafft über IE die Datei so zu speichern, bei Firefox hab ichs nicht geschafft. Wollte dann die Datei ausführen. Hatte davor auch den CCleaner laufen lassen. Combofix startete so einen Balken, der grün wurde und dann kam auf einmal ein Bluescreen, der sp ungefähr sagte, dass mein System gefärdet sei und der PC deswegen sicherheitshalber runtergefahren wird. Das passierte dann auch nach 3 sekunden. Er startete dann wieder neu und ich ließ ihn auch wieder im normalen Modus hochfahren. Jetzt ist mein Deskophintergrundbild schwarz. Soll ich nochmals versuchen cofi.exe auszuführen? LG Lilithilli |
Starte Windows neu, lösch die alte cofi.exe, lade CF neu als cofi.exe runter und probier es bitte nochmal. |
Hi, wieder ein ähnliches Spiel. Diesmal ließ sich Combofix zwar öffnen, es kam auch die besagte Warnmeldung und die Anwendung fing an zu laufen, aber irgendwann mittendrin fuhr der PC wieder runter und startete neu. Es wurde auch keine Datei combofix.txt geöffnet oder unter C:\Combofix.txt angelegt. Soll ich noch einen Versuch starten? LG Lilithilli |
Führ bitte den tdsskiller von Kaspersky nochmal aus. |
tdsskiller hat nichts gefunden. lg lilithilli |
achso hier der log von tdsskiller: Code: 2011/05/02 16:43:47.0356 5956 TDSS rootkit removing tool 2.4.21.0 Mar 10 2011 12:26:28 |
Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen. Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst. Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
|
so hab OSAM, Gmer und MBR Check ausgeführt. Hab die Logdateien im Anhang hochgeladen. LG Lilithilli |
Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! |
Hm das hat nicht geklappt. Habe den Vollscan laut Anleitung von SUPERAntiSpyware durchführen lassen, er lief dann auch schon über ne Stunde, hatte vor knapp 10 min 3 Dateien als detected herausgefilert und auf einmal fing der PC an zu spinnen: Der Bildschirm wurde schwarz, dann wieder normal, es wurde die Warnmeldung angezeigt, dass der Anzeigetreiber nach einem Absturz wiederhergestellt wurde. Das passierte etwa 4 mal, dann kam wieder der Bluescreen wie schon einmal beschrieben und der PC startete neu. Soll ich den Scan nochmal starten? oder lieber erst nochmal den von Malebarewarebytes. LG lilithilli |
Mach erstmal Malwarebytes. Dann nur einen schnellen Scan mit SASW und wenn der ging einen vollen. |
so das hat dann geklappt :applaus: hat nur etwas gedauert. Hier alle drei logfiles: Malewarebytes: Code: Malwarebytes' Anti-Malware 1.50.1.1100 Quickscan: Code: SUPERAntiSpyware Scan Log Code: SUPERAntiSpyware Scan Log Muss ich noch was machen oder passt jetzt alles soweit? Achso und soll ich dann die ganzen Programme wieder löschen? LG lilithilli |
Sieht ok aus, da wurden nur Cookies gefunden. Noch Probleme oder weitere Funde in der Zwischenzeit? |
Nein gab eigentlich keine Probleme mehr bis darauf , dass der anzeigetreiber noch ein paar mal abgestürzt ist und wiederhergestellt wurde. Aber das passierte während des scans mit Superantispyware. Weiß nicht ob das vllt damit zusammenhing. Antivir findet auf jeden Fall nichts mehr. Vielen lieben dank auf jeden Fall für deine Hilfe!! Lg lilithilli |
Dann wären wir durch! :abklatsch: Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern. Microsoftupdate Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Windows Vista/7: Anleitung Windows-Update PDF-Reader aktualisieren Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader. Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink: Mozilla und andere Browser => http://filepony.de/?q=Flash+Player Internet Explorer => http://fpdownload.adobe.com/get/flas..._player_ax.exe Java-Update Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es. |
so bis auf Java hab ich jetzt alles aktualisiert, da weiß ich nicht genau welchen ich genau runterladen muss, da gibt es af der Downloadseite zu viel Auswahl^^ Kannst du mir da vielleicht weiterhelfen? Achso und was mir noch eingefallen ist: Ich habe zwei externe Festplatten, die beide auch während der Virus auf meinem PC war, angeschlossen wurden, können diese jetzt auch infiziert sein? Antivir findet beim Scannen der beiden Externen nichts.... Sollte ich da noch mit einem anderen Programm suchen? Nochmals vielen vielen Dank für deine tolle Hilfe!:daumenhoc:daumenhoc:daumenhoc LG lilithilli |
Zu java nimmst du das => http://www.chip.de/downloads/Java-Ru..._13014576.html Zitat:
Einstellungen für automatische Wiedergabe ändern |
Ok vielen dank, habe jetzt Java aktualisiert. Mein antivir blockiert sowieso immer den Autorun meiner Festplatten. Aber ich deaktiviere sicherheitshalber noch die automatische Wiedergabe. Soll ich jetzt sämtliche Programme, also OTL, Gmer, etc wieder deinstallieren? Vielen dank für alles! Lg lilithilli |
Die Programme können alle wieder runter. |
Ok super! Vielen Dank für die schnelle Hilfe!:Boogie::applaus::taenzer::dankeschoen: Ich hoffe ich brauche die erst mal nicht mehr so schnell wieder ;) Empfiehlt es sich eigentlich bei Antivir sich die Premiumversion weiterhin zu leisten oder reicht auch die Freewareversion aus? Meine Premium-Lizenz ist nämlich abgelaufen ;) LG lilithilli |
Für einen Virenscanner brauchst du kein Geld auszugeben. Vorausgsetzt du nutzt es rein privat, wenn du lizenztechnisch sauber sein willst/musst. Bechte die Lizenzbedingungen. Statt AntiVir kannst du auch Microsoft Security Essentials nehmen. |
Alle Zeitangaben in WEZ +1. Es ist jetzt 12:20 Uhr. |
Copyright ©2000-2025, Trojaner-Board