Hallo Liebes Trojaner Board

Alles hat damit angefangen das der Virus meine svchost.exe infiziert hat, meine copy.exe gelöscht hat was heißt über den normalen Arbeitsplatz meine Datenträger nicht mehr zugänglich waren, aber über explorer.

Dannach machte er sich , Denke ich, im Bios breit und infizierte auch meine anderen Festplatten.
Mein DVD-Rom Laufwerk wird mittlerweile auch nicht mehr im Bios angezeigt, funktioniert aber einwandfrei im Windoof. Daraus zu schließen ist das ich nicht mehr Reinstallieren kann (sowohl die formatierung auch nichts brachte)im Bios kommt auch noch die Meldung:

!!!Hard Disk Warning!!!
Hard Disk boot device has changed
or boot sector has been modified.
Confirm the new boot sector in setup
and run virus scan program.

Und hier noch meine Hijack log und meine mbr log:



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:54:25, on 02.01.2000
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\Programme\Ikarus\virus utilities\bin\guardxkickoff.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\CTFMON.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ikarus\virus utilities\bin\guardxservice.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdm2.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Ikarus-GuardX] C:\Programme\Ikarus\virus utilities\bin\guardxkickoff.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe "
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\npjpi160_07.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\npjpi160_07.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG8\avgpp.dll
O20 - AppInit_DLLs: avgrsstx.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: GuardX - Ikarus Security Software GmbH - C:\Programme\Ikarus\virus utilities\bin\guardxservice.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc .exe

--
End of file - 4566 bytes






Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK


Ps.: So nebenbei Bios reseten und updaten bringt auch nix

im voraus schon mal Danke für eure Hilfe

Hallo

Zitat:

Dannach machte er sich , Denke ich, im Bios breit und infizierte auch meine anderen Festplatten.

BIOS kann man ausschließen. Die anderen Festplatten aber nicht. Hast Du die Daten nach dem Neuaufsetzen auf den anderen Platten behalten? Wenn ja, waren das ausführbare Dateien, z.B. irgendwelche Programmsetups? Wenn die infiziert sind und Du die wieder ausführst, bringt ein Neuaufsetzen auch nix.

Zitat:

Mein DVD-Rom Laufwerk wird mittlerweile auch nicht mehr im Bios angezeigt, funktioniert aber einwandfrei im Windoof. Daraus zu schließen ist das ich nicht mehr Reinstallieren kann (sowohl die formatierung auch nichts brachte)im Bios kommt auch noch die Meldung:

Das kann ich absolut nicht nachvollziehen, warum im BIOS plötzlich das DVDROM nicht mehr erkannt werden soll. Windows XP ist weitgehend unabhängig vom BIOS und kann somit das Laufwerk ansprechen. Überprüf mal alle Einstellungen (Jumper, Kabel) am Laufwerk direkt, auch ob im BIOS alles auf Auto bzgl der Erkennung steht.

Wenn das nicht klappt, versuch das DVDROM in verschiedenen Modi zu betreiben (Primary-Master, Primary-Slave, Secondary-Master, Secondy-Slave) - ich würde optische Laufwerke immer als Secondary-Master anschließen. Festplatten schließ ich immer am Primary Controller an.

Hijackthis-Logfile und MBR sind okay.

Code: Alles auswählenAufklappen

ATTFilter

!!!Hard Disk Warning!!!
Hard Disk boot device has changed
or boot sector has been modified.
Confirm the new boot sector in setup
and run virus scan program.
         

Diese Meldung besagt, daß ENTWEDER sich die Platte (hard disk boot device) ODER sich der Bootsektor verändert hat. Überprüf mal die Bootreihenfolge - evtl. ist das auch ein Problem durch das nicht erkannte DVDROM.

Rofl bringt alles nix.
Soweit ich weiß hat sich der Virus in der System Volume Information festgefressen (die schönen 8 mb die beim formatieren frei bleiben)
und das wird als erstes vom rechner gelesen:

Außerdem habe ich mitbekommen das der scheiß grad rumgeht.
Wenn einer was weiß plz post

Zitat:

Zitat von Jucki

Rofl bringt alles nix.
Soweit ich weiß hat sich der Virus in der System Volume Information festgefressen (die schönen 8 mb die beim formatieren frei bleiben)
und das wird als erstes vom rechner gelesen:

Wer hat Dir diesen Unsinn erzählt?
Warum genau beim Partitionieren 8 MB frei bleiben weiß ich nicht genau, aber ich vermute das hängt mit der optionalen Konvertierung in dynamische Datenträger zusammen.
Der Ordner System Volume Information enthält die Dateien für die Systemwiederherstellung.

Zitat:

Außerdem habe ich mitbekommen das der scheiß grad rumgeht.
Wenn einer was weiß plz post

Ich nix verstehen
Wink mit der Dachlatte => NUB #4

ich weiß nicht aber wo soll der Virus denn sonst sitzen wenn er mir mein cd-rom laufwerk ausknippst(wird ja als erstes vom pc gelesen). außerdem gibt es mehrere Viren die sich da reinfressen. Ich weiß selber nicht genau aber deswegen bitte ich ja hier um rat. Auf jeden fall bin ich am verzweifeln

Zitat:

Zitat von Jucki

ich weiß nicht aber wo soll der Virus denn sonst sitzen wenn er mir mein cd-rom laufwerk ausknippst(wird ja als erstes vom pc gelesen).

Das ist eine falsche Schlußfolgerung.
Du gehst fälschlicherweise davon aus, daß Malware Dein CDROM "zerstört" (obwohl es unter Windows nach Deiner eigenen Aussage einwandfrei funktioniert) - Malware kann auf diese Art und Weise Hardware nicht beschädigen.

Zitat:

außerdem gibt es mehrere Viren die sich da reinfressen. Ich weiß selber nicht genau aber deswegen bitte ich ja hier um rat. Auf jeden fall bin ich am verzweifeln

Auch wenn sich da Schädlinge "reinfressen" wie Du sagst, das ist nur ein für Windows relevanter Ordner, das BIOS kennt diesen Ordner nicht und hat da auch keinen Zugriff drauf.

Wie wärs wenn Du Dich mal zu meinen Auführungen meiner ersten Antwort äußerst?

Mein Vermutung ist richtig =>
Unpartitioned Space Remains When Creating a Partition During Setup