Einen schönen guten Tag,

ich habe auf meinem Laptop während der letzten Virenprüfung mit Avira Antivir feststellen müssen, dass ich einen Virus "BOO/TDss.M" im Masterbootsektor/HD0 habe. Nach beendigung des Avira Suchlaufs wurde der restsuchlauf beendet und mir wurden komischerweise 0 Funde angezeigt. Seit dem wird mir bei jedem Neustart des PCs durch ein Avira Popup angezeigt das der Virus noch da ist (auch wenn ich in besagtem Popup auf "Entfernen" klicke). Dadurch das der Laptop auch von meiner (mittlerweile) Ex-freundin genutzt wurde, kann ich leider keine genauen Angaben dazu machen, auf welchen Websites sie war oder ob sie irgentwelche Datein runtergeladen hat die zu diesem Virus geführt haben könnten. Das Hochfahren des Laptops dauert echt ewig mittlerweile. Verschiedene Internetseiten haben sich in meinem Browser auch geöffnet, das kam aber bis auf das eine mal nicht mehr vor. Unternommen habe ich noch nicht wirklich viel, außer das ich bestimmt 5 mal einen Virenscan mit Avira durchgeührt habe und mir (auf anraten des Antivirenprogramms) ein Bootsektor Repair tool runtergeladen hab, was ich aber noch nicht genutzt habe, da das Prog es ja nicht mal schafft den Virus zu entfernen. Die defogger und OTL logs sind im Anhang gezipt. ich hoffe ihr könnt mir helfen... An dem Laptop arbeite ich nämlich auch, und wenn der nicht mehr zu gebrauchen wäre, dann wär das.... schon recht schade, um es mal so zu sagen

Mein Name ist M-K-D-B und ich werde dir bei der Bereinigung deines Computers helfen.

Bitte beachte folgende Hinweise:

• Eine Bereinigung ist mitunter mit viel Arbeit für dich verbunden.
• Bitte arbeite alle Schritte in der vorgegebenen Reihefolge nacheinander ab.
• Lies dir die Anleitungen sorgfältig durch. Solltest du Probleme haben, stoppe mit deiner Bearbeitung und beschreibe mir dein Problem so gut es geht.
• Führe nur Scans durch, zu denen du von mir oder einem anderen Helfer aufgefordert wirst.
• Bitte kein Crossposting (posten in mehreren Foren).
• Installiere oder deinstalliere während der Bereinigung keine Software außer du wirst dazu aufgefordert.
• Bitte füge alle Logfiles in sog. Codeboxen ein. Das Symbol dafür findest du über dem Textfeld, es sieht in etwa so aus: #.
• Solltest du mir nicht innerhalb von 3 Tagen antworten, gehe ich davon aus, dass du keine Hilfe mehr benötigst. Dann lösche ich dein Thema aus meinem Abo.
• Für Benutzer von Windows Vista und Windows 7 gilt: Alle Programme mit Rechtsklick "Als Administrator ausführen" starten.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass auch ich alles finde. Eine Formatierung ist meist der schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.


Ich bereite jetzt einen Fix vor und melde mich so bald als möglich mit weiteren Anweisungen.

Hallo Ifron,






Schritt # 1: FileSharing Programme
Ich sehe das Du sogenannte Peer to Peer oder Filesharing Programme verwendest.

In deinem Fall µTorrent.

Diese Programme erlauben es Dir, Daten mit anderen Usern auszutauschen.

Leider ist auch p2p oder Filesharing nicht ausgenommen, infizierte Dateien zu verteilen und ist auch ein Grund warum sich Malware so schnell verbreitet.
Es ist also möglich, dass Du Dir eine Infizierte Datei herunter ladest. Du kannst niemals wissen, woher diese stammen. Daher sollte diese Art Software mit äußerster Vorsicht benutzt werden.

Ein ebenfalls wichtiger Punkt ist, dass das Verbreiten von Media und Entertainment Dateien in den meisten Ländern der Welt gegen Copyright Rechte verstößt.
Natürlich gibt es auch einen legalen Weg zur Nutzung dieses Service. Zum Beispiel zum Downloaden von Linux oder Open Office.
Denoch würde ich Dich ersuchen, diese Art von Software nicht weiterhin zu verwenden.
Bitte gehe zu

Start --> Systemsteuerung --> Programme deinstallieren

und deinstalliere die oben genannte Software.

Bitte sag bescheid wenn Du eines der gelisteten Programme nicht finden kannst.





Schritt # 2: aswMBR.exe ausführen
Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. ( Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
  Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.





Schritt # 3: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

• eine Rückmeldung bezüglich der Deinstallation von uTorrent und
• das Logfile von aswMBR.

Vielen Dank für die wirklich schnelle Antwort als aller erstes.

Zum Thema UTorrent: Ich habe mir das mal runtergeladen weil ich auf chip.de die Möglichkeit gesehen habe das man eben auch Torrents runterladen kann und das mal geschwindigkeitsmäßig testen wollte. Das das so unsicher ist wusste ich nicht. Das Programm befindet sich auf einer externen Festplatte zu der ich keinen Zugriff mehr habe, Deinstallieren war also weder möglich noch nötig. ^^

Hier die Logfiles von aswMBR:

Code: Alles auswählenAufklappen

ATTFilter

aswMBR version 0.9.8.977 Copyright(c) 2011 AVAST Software
Run date: 2011-07-23 18:25:18
-----------------------------
18:25:18.172    OS Version: Windows x64 6.1.7600 
18:25:18.172    Number of processors: 2 586 0x2505
18:25:18.188    ComputerName: ANN-MARIE-1  UserName: Ann-Marie
18:25:21.526    Initialize success
18:26:09.955    AVAST engine defs: 11072301
18:26:33.745    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1
18:26:33.745    Disk 0 Vendor: WDC_WD50 01.0 Size: 476940MB BusType: 3
18:26:33.761    Device \Driver\iaStor -> MajorFunction fffffa8004ad16c0
18:26:35.773    Disk 0 MBR read successfully
18:26:35.773    Disk 0 MBR scan
18:26:35.804    Disk 0 MBR:Alureon-G [Rtk]
18:26:35.804    Disk 0 TDL4@MBR code has been found
18:26:35.820    Disk 0 MBR hidden
18:26:35.820    Disk 0 MBR [TDL4]  **ROOTKIT**
18:26:35.835    Disk 0 trace - called modules:
18:26:35.835    ntoskrnl.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0xfffffa8004ad16c0]<<
18:26:35.835    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa8004ab7760]
18:26:35.851    3 CLASSPNP.SYS[fffff88001abf43f] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-1[0xfffffa80048ee050]
18:26:35.851    \Driver\iaStor[0xfffffa8004acee70] -> IRP_MJ_CREATE -> 0xfffffa8004ad16c0
18:26:38.082    AVAST engine scan C:\Windows
18:26:43.183    AVAST engine scan C:\Windows\system32
18:28:38.062    AVAST engine scan C:\Windows\system32\drivers
18:28:49.496    AVAST engine scan C:\Users\Ann-Marie
18:31:19.243    File: C:\Users\Ann-Marie\AppData\Local\Temp\Temp1_MagicISO_5.xx.zip\patch.exe  **INFECTED** Win32:Trojan-gen
18:32:23.702    File: C:\Users\Ann-Marie\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\56\43cab8f8-578d78f2  **INFECTED** Win32:Kryptik-DUX [Trj]
18:35:03.540    AVAST engine scan C:\ProgramData
18:37:28.480    Scan finished successfully
18:39:42.484    Disk 0 MBR has been saved successfully to "C:\Users\Ann-Marie\Desktop\MBR.dat"
18:39:42.484    The log file has been saved successfully to "C:\Users\Ann-Marie\Desktop\aswMBR.txt"
         

Hallo Ifron,

Zitat:

Zitat von Ifron

Das Programm befindet sich auf einer externen Festplatte zu der ich keinen Zugriff mehr habe, Deinstallieren war also weder möglich noch nötig. ^^

Laut dem Logfile von OTL ist uTorrent auf dem Rechner installiert. Folglich solltest du es auch über die Systemsteuerung deinstallieren können. Oder verstehe ich hier etwas falsch? Findest du uTorrent nicht in der Liste unter Systemsteuerung -> Programme deinstallieren? Es gibt mehrere Wege, diese Software von deinem Rechner zu entfernen.

Hast du eine Windows 7 DVD zur Hand? Wenn ja, handelt es sich dabei um eine normale Windows DVD oder eine Recovery DVD? Was steht genau drauf?
Du hast u.a. ein Rootkit im Master Boot Sektor. So gehts weiter:





Schritt # 1: TDSS Killer ausführen
Dowloade Dir bitte TDSS Killer.exe und speichere die Datei am Desktop.

• Schließe alle laufenden Programme.
• Trenne dich von Internet.
• Deaktiviere deine AntiViren Software.
• Starte TDSSkiller.exe mit Doppelklick.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Drücke auf Start scan.
  Mache während dem Scan nichts am Rechner
  
  1. Sollte das Tool keine Funde aufweisen, klicke Close um es zu schließen.
  2. Wurde etwas gefunden werden die Funde in Scan results - Select action for found objects angezeigt und geben 3 Auswahlmöglichkeiten.
     Gehe sicher das Cure ( default ) angehackt ist ! Drücke Continue --> Reboot.
• Die Logfile ist nach dem Neustart auf deinem Systemlaufwerk ( meist C: ) unter TDSSKiller_version_date_time_log.txt zu finden.
• Bitte poste mir den Inhalt hier in deinen Thread.

Schritt # 2: ComboFix ausführen

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Lade ComboFix von einem dieser Download-Spiegel herunter:

BleepingComputer - ForoSpyware

* Wichtig !! Speichere ComboFix auf dem Desktop

• Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
• Doppelklicke auf die ComboFix.exe und folge den Anweisungen.
• ComboFix wird schauen, ob die Microsoft-Windows-Wiederherstellungskonsole installiert ist. Dies ist Teil des Prozesses. Angesichts der Art von Malware Infizierungen, die es heute gibt, wird dringend empfohlen, diese Wiederherstellungskonsole auf dem PC installiert zu haben, bevor jegliche Reinigung von Malware durchgeführt wird.
• Folge den Anweisungen, um ComboFix das Herunterladen und Installieren der Wiederherstellungskonsole zu ermöglichen und stimme dem Lizenzvertrag (EULA) zu, sobald Du dazu aufgefordert wirst.

**Zur Information: Sollte die Wiederherstellungskonsole schon installiert sein, so wird ComboFix seine Malware-Entfernungsprozedur normal fortfahren.



Sobald die Wiederherstellungskonsole durch ComboFix installiert wurde, solltest Du folgende Nachricht sehen:



Klicke "Ja", um mit dem Suchlauf nach Malware fortzufahren.

Wenn ComboFix fertig ist, wird es ein Log erstellen. Bitte füge die C:\ComboFix.txt Deiner nächsten Antwort bei.





Schritt # 3: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

• die Beantwortung der gestellten Fragen,
• das Logfile des TDSS Killers und
• das Logfile von ComboFix.

Bevor ich weiter mache, wollte ich noch sagen, dass ich keine Win 7 DVD besitze, da ich keine bekommen habe als ich diesen Laptop gekauft habe. Sollte ich die angegebenen Schritte trotzdem ausführen, oder muss ich unbedingt eine Win 7 DVD dazu haben?
Zu dem Torrent Programm: Soweit ich mich erinnern kann habe ich dieses Programm vor einiger Zeit über meinen Laptop auf eine externe Festplatte installiert. Als ich versucht habe es zu deinstallieren kam eine Meldung die besagte, dass das besagte Programm nicht deinstalliert werden konnte, da der Dateipfad nciht gefunden wurde... Ich bin nicht so der PC kenner... gibt es einen weg wie ich es trotzdem deinstallieren kann bzw. wie ich herausfinden kann ob es doch auf meinen Laptop installiert ist?