Hallo habe mir über Facebook den TDSS.M eingefangen.
Damit ihr alles nachvollziehen könnt bis hierhin die steps:
1. Antvir hat ihn gestern entdeckt.
2. Darauf ist das System abgestürzt bevor ich handeln konnte.
3. nach dem neustart hatte ich IMMER(4 mal versucht) 10 sec auf dem desktop dann höre ich das kancken der HDD wenn sie sich abschaltet und das system ist aus.
4. im anbgesicherten modus läuft alles (da bin ich gerade drin)
5. habe versucht ihn unter antivir im abgesicherten modus zu löschen, nach rebbot kein bootloader mehr konte das system nicht mehr starten.
6. auf der 2 platte win 7 drauf und mit diversen programmen bootloader repariert bis ich das alte win 7 wieder starten konnte.
7. bin jetzt wieder im alten win 7 virus ist noch da es geht nur der abges. mod.
hier ein paar infos:
hijack this:
Zitat:
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 23:15:20, on 31.08.2011
Platform: Windows 7 SP1 (WinNT 6.00.3505)
MSIE: Internet Explorer v9.00 (9.00.8112.16421)
Boot mode: Safe mode with network support
Running processes:
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
C:\Program Files (x86)\Mozilla Firefox\plugin-container.exe
C:\Users\Marcel\Desktop\HiJackThis204.exe
C:\Windows\SysWOW64\DllHost.exe
C:\Program Files (x86)\Adobe\Acrobat 8.0\Acrobat\AcrobatInfo.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://start.icq.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~2\MICROS~1\Office14\URLREDIR.DLL
O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Freecorder FLV Service] "C:\Program Files (x86)\Freecorder\FLVSrvc.exe" /run
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [Microsoft® Windows Update] C:\Users\Marcel\M-1-74-6482-7942-8945\winsvc.exe
O4 - HKLM\..\Policies\Explorer\Run: [Windows-Network Component] "C:\Program Files (x86)\Common Files\wnthost.exe"
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETWORK SERVICE')
O8 - Extra context menu item: Nach Microsoft E&xcel exportieren - res://C:\PROGRA~2\MICROS~1\Office14\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files (x86)\Microsoft Office\Office14\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files (x86)\Microsoft Office\Office14\ONBttnIE.dll
O9 - Extra button: Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files (x86)\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O9 - Extra 'Tools' menuitem: Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files (x86)\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\nvidia corporation\networkaccessmanager\bin32\nvlsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\nvidia corporation\networkaccessmanager\bin32\nvlsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\nvidia corporation\networkaccessmanager\bin32\nvlsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\nvidia corporation\networkaccessmanager\bin32\nvlsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\nvidia corporation\networkaccessmanager\bin32\nvlsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\nvidia corporation\networkaccessmanager\bin32\nvlsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\nvidia corporation\networkaccessmanager\bin32\nvlsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\nvidia corporation\networkaccessmanager\bin32\nvlsp.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Filter hijack: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE14\MSOXMLMF.DLL
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files (x86)\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcAppFlt.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: Google Update-Dienst (gupdatem) (gupdatem) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: LibUsb-Win32 - Daemon, Version 0.1.10.1 (libusbd) - hxxp://libusb-win32.sourceforge.net - C:\Windows\system32\libusbd-nt.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)
--
End of file - 8034 bytes
|
antivir quickscan
Zitat:
AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 31. August 2011 23:17
Es wird nach 3293457 Virenstämmen gesucht.
Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.
Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 7 x64
Windowsversion : (Service Pack 1) [6.1.7601]
Boot Modus : Abgesicherter Modus mit Netzwerk Support
Benutzername : Marcel
Computername : SYSTEM
Versionsinformationen:
BUILD.DAT : 10.2.0.700 35934 Bytes 21.07.2011 16:49:00
AVSCAN.EXE : 10.3.0.7 484008 Bytes 29.06.2011 10:48:09
AVSCAN.DLL : 10.0.5.0 57192 Bytes 29.06.2011 10:48:09
LUKE.DLL : 10.3.0.5 45416 Bytes 29.06.2011 10:48:10
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 11:59:47
AVSCPLR.DLL : 10.3.0.7 119656 Bytes 29.06.2011 10:48:11
AVREG.DLL : 10.3.0.9 88833 Bytes 20.07.2011 10:54:55
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 06:35:52
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 22:59:49
VBASE002.VDF : 7.11.3.0 1950720 Bytes 09.02.2011 12:50:15
VBASE003.VDF : 7.11.5.225 1980416 Bytes 07.04.2011 14:56:36
VBASE004.VDF : 7.11.8.178 2354176 Bytes 31.05.2011 15:42:52
VBASE005.VDF : 7.11.10.251 1788416 Bytes 07.07.2011 16:40:19
VBASE006.VDF : 7.11.13.60 6411776 Bytes 16.08.2011 15:50:59
VBASE007.VDF : 7.11.13.61 2048 Bytes 16.08.2011 15:50:59
VBASE008.VDF : 7.11.13.62 2048 Bytes 16.08.2011 15:50:59
VBASE009.VDF : 7.11.13.63 2048 Bytes 16.08.2011 15:50:59
VBASE010.VDF : 7.11.13.64 2048 Bytes 16.08.2011 15:50:59
VBASE011.VDF : 7.11.13.65 2048 Bytes 16.08.2011 15:50:59
VBASE012.VDF : 7.11.13.66 2048 Bytes 16.08.2011 15:50:59
VBASE013.VDF : 7.11.13.95 166400 Bytes 17.08.2011 15:50:59
VBASE014.VDF : 7.11.13.125 209920 Bytes 18.08.2011 14:14:09
VBASE015.VDF : 7.11.13.157 184832 Bytes 22.08.2011 11:22:36
VBASE016.VDF : 7.11.13.201 128000 Bytes 24.08.2011 11:24:53
VBASE017.VDF : 7.11.13.202 2048 Bytes 24.08.2011 11:24:53
VBASE018.VDF : 7.11.13.203 2048 Bytes 24.08.2011 11:24:53
VBASE019.VDF : 7.11.13.204 2048 Bytes 24.08.2011 11:24:53
VBASE020.VDF : 7.11.13.205 2048 Bytes 24.08.2011 11:24:53
VBASE021.VDF : 7.11.13.206 2048 Bytes 24.08.2011 11:24:53
VBASE022.VDF : 7.11.13.207 2048 Bytes 24.08.2011 11:24:53
VBASE023.VDF : 7.11.13.208 2048 Bytes 24.08.2011 11:24:53
VBASE024.VDF : 7.11.13.209 2048 Bytes 24.08.2011 11:24:53
VBASE025.VDF : 7.11.13.210 2048 Bytes 24.08.2011 11:24:53
VBASE026.VDF : 7.11.13.211 2048 Bytes 24.08.2011 11:24:53
VBASE027.VDF : 7.11.13.212 2048 Bytes 24.08.2011 11:24:53
VBASE028.VDF : 7.11.13.213 2048 Bytes 24.08.2011 11:24:53
VBASE029.VDF : 7.11.13.214 2048 Bytes 24.08.2011 11:24:53
VBASE030.VDF : 7.11.13.215 2048 Bytes 24.08.2011 11:24:53
VBASE031.VDF : 7.11.13.227 57344 Bytes 25.08.2011 11:24:53
Engineversion : 8.2.6.32
AEVDF.DLL : 8.1.2.1 106868 Bytes 07.11.2010 14:07:01
AESCRIPT.DLL : 8.1.3.74 1622393 Bytes 07.08.2011 12:53:17
AESCN.DLL : 8.1.7.2 127349 Bytes 25.11.2010 22:12:36
AESBX.DLL : 8.2.1.34 323957 Bytes 04.06.2011 17:53:21
AERDL.DLL : 8.1.9.13 639349 Bytes 20.07.2011 10:54:46
AEPACK.DLL : 8.2.9.5 676214 Bytes 20.07.2011 10:54:42
AEOFFICE.DLL : 8.1.2.13 201083 Bytes 01.08.2011 17:07:33
AEHEUR.DLL : 8.1.2.155 3617144 Bytes 17.08.2011 15:51:04
AEHELP.DLL : 8.1.17.7 254327 Bytes 01.08.2011 17:07:32
AEGEN.DLL : 8.1.5.7 401778 Bytes 07.08.2011 12:53:15
AEEMU.DLL : 8.1.3.0 393589 Bytes 25.11.2010 22:12:34
AECORE.DLL : 8.1.22.4 196983 Bytes 20.07.2011 10:53:57
AEBB.DLL : 8.1.1.0 53618 Bytes 07.11.2010 14:07:01
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 11:59:10
AVPREF.DLL : 10.0.3.2 44904 Bytes 29.06.2011 10:48:09
AVREP.DLL : 10.0.0.10 174120 Bytes 17.05.2011 19:17:37
AVARKT.DLL : 10.0.26.1 255336 Bytes 29.06.2011 10:48:07
AVEVTLOG.DLL : 10.0.0.9 203112 Bytes 29.06.2011 10:48:07
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 12:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 15:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 14:40:55
RCIMAGE.DLL : 10.0.0.35 2589544 Bytes 29.06.2011 10:48:04
RCTEXT.DLL : 10.0.64.0 98664 Bytes 29.06.2011 10:48:04
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Schnelle Systemprüfung
Konfigurationsdatei...................: C:\Program Files (x86)\Avira\AntiVir Desktop\quicksysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Intelligente Dateiauswahl
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert
Beginn des Suchlaufs: Mittwoch, 31. August 2011 23:17
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'AcrobatInfo.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DllHost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HiJackThis204.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf über die Bootsektoren wird begonnen:
Masterbootsektor HD1
[FUND] Enthält Code des Bootsektorvirus BOO/TDss.M
[HINWEIS] Der Bootsektor wurde nicht repariert
Bootsektor 'C:\'
[FUND] Enthält Code des Bootsektorvirus BOO/TDss.M
[HINWEIS] Der Bootsektor wurde nicht repariert
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '368' Dateien ).
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\Users\Marcel'
Ende des Suchlaufs: Mittwoch, 31. August 2011 23:19
Benötigte Zeit: 01:58 Minute(n)
Der Suchlauf wurde abgebrochen!
16 Verzeichnisse wurden überprüft
1206 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
1206 Dateien ohne Befall
0 Archive wurden durchsucht
0 Warnungen
2 Hinweise |
ich habe gelesen das eine
Neuinstallation nichts nützen soll gegen den virus weil er beim formatieren nicht mit gekillt wird. habe alles so weit als backup... ist nicht das problem...