| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: BOO/Whistler.A von AntiVir in "Bootsector G" gefundenWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
22.07.2011, 12:49
| #1 |
 |  BOO/Whistler.A von AntiVir in "Bootsector G" gefunden Hallo ans Forum! Ich habe mir selbstverständlich schon die bestehenden Threads zum Thema durchgelesen und auch schon im AviraForum gepostet - möchte aber gerne eine zweite Meinung einholen. Gestern hat AntiVir BOO/Whistler.A im Bootsektor G gefunden. Bin jedoch nicht dem Rat von AntiVir gefolgt das ReparaturTool zu laden sondern wollte mich erstmal schlau machen womit ich´s da zu tun habe - scheinbar war das auch gut so denn: In jedem beschriebenen Fall in welchem das ReparaturTool genutzt wurde hatte dies massive Auswirkungen (einzelne oder mehrere Partitionen zerschossen) zur Folge welche, soweit ich das überschauen kann, auch nicht ohne erheblichen Aufwand wieder hergestellt werden konnten. Mich machen ausserdem zwei Aspekte stutzig: 1. Der einzige beschriebene Effekt welchen BOO/Whistler.A verursachte war "starkes ruckeln beim Spielen" - ob das jedoch auch wirklich durch Whistler verursacht wurde ist nicht ganz klar. 2. Whistler wurde in allen Fällen ausschließlich von AntiVir gefunden - auch mein MaleWare-Scan fand nix. Da ich gerade an meiner Dip sitzte wäre es etwas unpassend wenn mir jetzt mein Arbeitsrechner zerschossen würde nur weil AntiVir paranoia schiebt... Daher meine Frage: Ist BOO/Whistler.A definitv schädlich oder sind die zahlreichen "formatiere den Rechner, ändere deinen Namen und verlasse sofort das Land" - Ratschläge lediglich gestochere im Nebel? Im Anhang findet sich wie hier http://www.trojaner-board.de/101585-...ntfernung.html gewünscht entsprechende Logs von MaleWare und OTL (mit dem Benutzerdefinierten Scan/Fix wie von Cosinus angegeben). Beste Grüße |
|
22.07.2011, 14:26
| #2 | |
| /// Winkelfunktion /// TB-Süch-Tiger™   | BOO/Whistler.A von AntiVir in "Bootsector G" gefundenZitat:
 Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.
__________________ |
|
22.07.2011, 14:56
| #3 | |
| | BOO/Whistler.A von AntiVir in "Bootsector G" gefunden Hm... schätze "zerschossen" in Kombination mit "Partition" hat mich schon als Greenhorn entlarvt...
__________________ Aber nein, bis auf die Meldung von Antivir deutet nichts auf nen Virus o.ä. hin. Oder mit Datas Worten: "Alle Systeme funktionieren innerhalb normaler Parameter"  Seis drum... die gewünschte txt (Quickscan?) ... Zitat:
|
|
22.07.2011, 15:23
| #4 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | BOO/Whistler.A von AntiVir in "Bootsector G" gefunden MBR scheint ok zu sein. Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.  Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen: Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop. Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )  Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen!
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
22.07.2011, 15:43
| #5 | |
| | BOO/Whistler.A von AntiVir in "Bootsector G" gefunden oha... Kaspersky findet einen gewissen "Trojan-Clicker.Win32.Wistler.a(\Device\Harddisk1\DR1)" ... aus besagten Gründen habe ich ihn aber nicht in Quarantäne geschoben oder "reparieren" lassen sondern übersprungen. Un nu? Zitat:
for in darkness I was walking, and destruction lay around me from a fight I could not win. - Uriah Heep |
|
22.07.2011, 21:36
| #6 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | BOO/Whistler.A von AntiVir in "Bootsector G" gefunden Den reparieren lassen, anschließend Windows neu starten und ein neues Log mit TDSSKiller machen
__________________ --> BOO/Whistler.A von AntiVir in "Bootsector G" gefunden |
|
22.07.2011, 23:50
| #7 | |
| | BOO/Whistler.A von AntiVir in "Bootsector G" gefunden Hallo Arne, die Reparatur ist genau wie bei deinem Patienten hier --> http://www.trojaner-board.de/101387-...r-problem.html fehlgeschlagen. Habe die folgende Frage ob ich Alternative MBRs nutze auch verneint. Ich weiß man soll dem Doktor nicht in seine Diagnose quatschen, aber besagter Kollege hatte wie auch ich schon die Vermutung, dass es sich bei BOO/Whistler lediglich um ne hysterische Reaktion von Avira handelt (plötzliche Häufung innerhalb weniger Tage, Probleme mit dem AviraReparaturtool, ausschließlich AviraUser, auf entsprechende Vermutungen ausweichende Antworten im AviraForum,...). ...um mal einen Zwischenstand meiner Lage zu erfragen: gibt es bisher konkrete Erfahrungen mit Mr.Whistler und daraus resultierende Einschätzungen über das von ihm ausgehenden Gefahrenpotential oder werden alle Scanmaßnahmen "lediglich" pro Forma durchgeführt? Hoffe du interpretierst das nicht als Respektlosigkeit  Log des Reparaturversuchs + Bilder der Meldungen Zitat:
|
|
22.07.2011, 23:53
| #8 |
| | BOO/Whistler.A von AntiVir in "Bootsector G" gefunden Hab auch nen Neustart durchgeführt und nochmals nen Scan durchgeführt, jedoch mit gleichem Ergebnis. |
|
23.07.2011, 11:51
| #9 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | BOO/Whistler.A von AntiVir in "Bootsector G" gefunden Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
__________________ Logfiles bitte immer in CODE-Tags posten |
|
23.07.2011, 15:17
| #10 |
| | BOO/Whistler.A von AntiVir in "Bootsector G" gefunden Bin bis morgen auf der Arbeit, melde mich dann wieder... |
|
24.07.2011, 12:35
| #11 |
| | BOO/Whistler.A von AntiVir in "Bootsector G" gefunden Hallo Arne, wie du auch schon Peterlik geraten hast: Klappe halten und Anleitung befolgen... Ich hoffe ich überstrapaziere deine Geduld nicht, aber wie hier hxxp://forum.avira.com/wbb/index.php?page=Thread&threadID=134030 zu lesen ist findet AntiVir seit gestern keinen Schädling mehr. Geht mir ebenso. Ich bitte daher untertänigst um Verzeihung... aber hab´n bissel schiss vor dieser scheinbar krassen combofix-nummer - meinst du die ist unter diesen Umständen immer noch angezeigt? Beste Grüße, Sebastian |
|
25.07.2011, 10:04
| #12 | |
| /// Winkelfunktion /// TB-Süch-Tiger™ | BOO/Whistler.A von AntiVir in "Bootsector G" gefunden Naja, dann lass CF sein und wir bereinigen deinen Rechner nicht mehr  Zitat:
__________________ Logfiles bitte immer in CODE-Tags posten |
|
25.07.2011, 11:31
| #13 | |
| | BOO/Whistler.A von AntiVir in "Bootsector G" gefundenZitat:
Im besagten AviraForum hab ich nun x-mal explizit nachgefragt welche Schäden Boo/Whistler.A konkret anrichten kann da ich nirgends entsprechende Threads mit Beschwerden finden konnte, sondern auschschließlich nur Probleme im Zusammenhang mit der Reinigung. Letztlich, nachdem ich regelrecht unverschämt geworden bin, kam zu Tage, dass die Jungs dort de facto keine Ahnung haben was Whistler anrichtet - auf Verdacht wurde mir dort mal eben zur Formatierung geraten... Mal im Ernst: wenn man mit unklaren Symptomen zum Arzt kommt und dieser dann zu Schemo rät, wär man wohl ziemlich hacke diesem Rat ohne Begründung zu folgen. Beste Grüße, Sebastian |
|
25.07.2011, 12:38
| #14 | |
| /// Winkelfunktion /// TB-Süch-Tiger™ | BOO/Whistler.A von AntiVir in "Bootsector G" gefunden Führ doch CF einfach aus und halte dich an die Anleitung! Zitat:
__________________ Logfiles bitte immer in CODE-Tags posten |
|
25.07.2011, 23:38
| #15 |
| | BOO/Whistler.A von AntiVir in "Bootsector G" gefunden Dann wären wir durch!  Die Programme, die hier zum Einsatz kamen, können alle wieder runter. CF kann über Start, Ausführen mit combofix /uninstall entfernt werden. Melde dich falls es da Fehlermeldungen zu gibt. Malwarebytes zu behalten ist kein Fehler. Kannst ja 1x im Monat damit scannen, aber immer vorher ans Update denken. Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden. Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern. Microsoftupdate Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Windows Vista/7: Anleitung Windows-Update PDF-Reader aktualisieren Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast) Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder [B]Foxit PDF Reader[/B], beide sind sehr viel schlanker und flotter als der AdobeReader. Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink: Mozilla und andere Browser => hxxp://fpdownload.adobe.com/get/flas...ash_player.exe Internet Explorer => hxxp://fpdownload.adobe.com/get/flas..._player_ax.exe Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind. Java-Update Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es. __________________ Gruß, Sebastian  "Satire ist eine Art Spiegel: wer hineinblickt, sieht im allgemeinen das Gesicht eines jeden, nur nicht das eigene.“ - Jonathan Swift Trojaner-Board-Spendenkonto Datensicherung mit Ubuntu als Notfall-Live-System Keine Hilfe per PN, sowas wird ignoriert! Nutze das Forum! Bitte keine HijackThis Logs posten |
|
| Themen zu BOO/Whistler.A von AntiVir in "Bootsector G" gefunden |
| anhang, antivir, auswirkungen, beim spielen, bootsektor, einzelne, folge, forum, frage, gepostet, laden, meinung, namen, paranoia, partitionen, reparatur, reparaturtool, ruckel, ruckeln beim spielen, schei, sofort, spiele, spielen, thema, threads, verlasse, welchem, wirklich, würde |
Linear-Darstellung
