Zitat:

Disk 0 malicious Win32:MBRoot code @ sector 156280323 !

Live-System PartedMagic / GParted

1. Lade Dir das ISO-Image von PartedMagic herunter, müssten ca. 180 MB sein
2. Brenn es per Imagebrennfunktion auf CD, geht zB mit ImgBurn unter Windows
3. Boote von der gebrannten CD, im Bootmenü von Option 1 starten und warten bis der Linux-Desktop oben ist



4. Du müsstest ein Symbol PartitionEditor auf dem Desktop finden, das doppelklicken
5. Wenn das Tool die Partitionen aufgelistet hat, bitte einen Screenshot mit Hilfe der Taste DRUCK auf der Tastatur erstellen, diesen Screenshot hier posten (idR hast du einen Internetzugang mit PartedMagic, wenn nicht einfach den Screenshot auf einem Stick abspeichern und unter Windows hier posten)

Ok. Ich hab nen Screenshot gemacht. Dabei ist mir aufgefallen, dass die Partitionen nicht gemounted waren. Kann sein, dass ich das letzte mal als ich mit Gparted gearbeitet habe, dies vergessen hab. Windows scheint die Partitionen ja anscheinend automatisch zu mounten. Deshalb noch der 2. Screenshot von den gemounteten Partitionen.

Hier noch das Log, was der Partitionierung-Editor ausgegeben hat beim Befehl "repair" (oder so). Hängen die bad sectors mit meinen Problemen zusammen oder ist das einfach dem Alter der Platte zu schulden (ca. 5 Jahre).

Code: Alles auswählenAufklappen

ATTFilter

 GParted 0.6.2-git

libparted 2.3Dateisystem (ntfs) auf /dev/sda1 überprüfen und reparieren  00:00:01    ( FEHLER ) 
    		/dev/sda1 kalibrieren  00:00:01    ( ERFOLG ) 
    		Pfad: /dev/sda1
Anfang: 63
Ende: 20482874
Größe: 20482812 (9.77 GiB) 

Dateisystem auf /dev/sda1 auf Fehler überprüfen und (falls möglich) diese beheben  00:00:00    ( FEHLER ) 
    		ntfsresize -P -i -f -v /dev/sda1 
    		ntfsresize v2.0.0 (libntfs 10:0:0)
Device name : /dev/sda1
NTFS volume version: 3.1
Cluster size : 4096 bytes
Current volume size: 10487198208 bytes (10488 MB)
Current device size: 10487199744 bytes (10488 MB)
Checking for bad sectors ...
Bad cluster: 0xb21 - 0xb22 (2)
Bad cluster: 0x113a - 0x113a (1)
Bad cluster: 0x18be28 - 0x18be28 (1)
ERROR: This software has detected that the disk has at least 4 bad sectors.
****************************************************************************
* WARNING: The disk has bad sector. This means physical damage on the disk *
* surface caused by deterioration, manufacturing faults or other reason. *
* The reliability of the disk may stay stable or degrade fast. We suggest *
* making a full backup urgently by running 'ntfsclone --rescue ...' then *
* run 'chkdsk /f /r' on Windows and rebooot it TWICE! Then you can resize *
* NTFS safely by additionally using the --bad-sectors option of ntfsresize.*
****************************************************************************





========================================
         

Wenn du mit GParted die Partitionen ändern willst dürfen diese NICHT gemountet sein!
Darum gehts aber auch eigentlich jetzt garnicht, ich wollte nur den Screenshot von GParted sehen. Ich wollte auch kein repait sehen, wieso machst du sowas, stand das in meiner letzten Anweisung?

Sorry, ich merk schon: Immer bei der Sache bleiben.
Mir war das nur schon vorher aufgefallen und ich wusste nicht, wie ich die Infos über die fehlerhaften Sectoren sonst hier rein bringen könnte. Deshalb hab ich die repair-Funktion benutzt, um an das Log zu kommen. Werd mich ab jetzt nur noch an die Anweisungen halten.

Gibt es noch etwas zu tun? Der Screenshot ist hoffentlich richtig erstellt!?

Gruß
radler

Ja der Screenshot ist richtig
Klick mal mit rechts den unteren nicht zugeordneten 10,34 MiB Happen an und sag Info => davon einen neuen Screenshot machen und posten.

So. Anweisung ohne Nebentätigkeiten ausgeführt

Ok, dann hätte ich alle Infos. Möchtest du den Sektor mit bösem Code überschreiben? Der liegt in diesem nicht zugeordneten Bereich.

Meinst du mit bösem Code den Trojaner / das Rootkit, den wir entfernt (?) haben oder die fehlerhaften Sektoren?

Hört sich für mich jedenfalls vernünftig an, etwas "Böses" zu überschreiben

Was schlägt der Experte vor?
Falls der dacor ist, welche Prodezur muss ich durchführen?

Grüße
Radler

Ich meine damit das hier überschreiben =>

Code: Alles auswählenAufklappen

ATTFilter

14:37:55.203    Disk 0 scanning sectors +156280320
14:37:55.234    Disk 0 malicious Win32:MBRoot code @ sector 156280323 !
         

Möchtest du den Bereich überschreiben lassen?

Wenn ja dann bitte jetzt sorgfältig lesen und zuerst eine Sicherung aller Daten machen! Wenn die Sicherung erfolgte alle Sicherungsmedien vom Computer physikalisch trennen!

Wie gesagt was jetzt folgt und du hast Datenverluste seist du jetzt nochmal ausdrücklich gewarnt, alles richtig umzusetzen und vorher alles wichtige auf externe Platten zu sichern. Wenn du sicher bist, dass alle wichtige Daten in Sicherheit sind und die externen Datenträger auch nicht mehr am Rechner angeschlossen sind, dann fahre fort wir folgt:

Öffne das Terminal in PartedMagic. Ist unten in der Quicklaunch der schwarze Monitor. Eine schwarze Konsole öffnet sich. Tipp dort ein (du solltest root@partedmagic in der Zeile lesen können)

WARNUNG: Folgender Befehl auf eigene Gefahr! Für Datenverluste nicht rumheulen und wer das mitliest soll den Befehl ebenfalls nicht so ausführen!!

Bitte lieber eher 3x als 2x prüfen ob du alles so richtig eingetippt hast NACH der Datensicherung:

Code: Alles auswählenAufklappen

ATTFilter

dd if=/dev/zero of=/dev/sda seek=156280321 bs=512
         

Wenn du dir sicher bist das genau so eingetippt zu haben wie es da bei mir steht, dann drücke die Eingabetaste. Es dauert nicht lange, dann hast du wieder die Zeile und sinngemäß so etwas wie

21168+0 Datensätze ein
21168+0 Datensätze aus

Wenn das so rauskaum (können auch 21167 statt 21168 sein) wurden die letzten 21168 Sekoren (und damit auch der bösartige Code in diesem unzugeordneten Bereich) auf der Platte mit Nullen überschrieben; starte den Rechner neu und boote Windows.
Mach dort einen neuen scan mit aswMBR und poste wieder das Log.

Sorry, dass ich so lang nix hören lassen hab. War erst im Urlaub und hab jetzt die nächsten Wochen einige sehr wichtige berufliche Projekte, bei denen ich meinen Laptop brauche. Deshalb wag ich mich gerade nicht an die Überschreib-Aktion ran.
Ich sag Bescheid, wenn ich es durchgeführt habe. Der Code ist ja nicht mehr aktiv ... oder kann man das so nicht sagen?

Ein ganz großes Dankeschön jedenfalls an dich, cosinus, dass du mir so kompetent und geduldig geholfen hast. Eine Spende an das Trojaner-Board ist unterwegs.

Grüße
radler

So, jetzt hab ich mich endlich ran getraut. Mir war die Sache die letzten Monate zu risikoreich, da ich nicht die Zeit gehabt hätte, den Laptop neu aufzusetzen.

Es scheint aber alles glatt gelaufen zu sein ... dank deiner detailieren und nachvollziehbaren Anweisungen, cosinus. Vielen Dank dafür.

Ich häng jetzt mal ungefragt den Screenshot von Parted Magic und das neue Log von aswMBR an.

Code: Alles auswählenAufklappen

ATTFilter

 aswMBR version 0.9.9.1532 Copyright(c) 2011 AVAST Software
Run date: 2012-06-25 12:19:51
-----------------------------
12:19:51.906    OS Version: Windows 5.1.2600 Service Pack 2
12:19:51.906    Number of processors: 1 586 0x1601
12:19:51.906    ComputerName: LOCOBICI  UserName: Kathrin
12:19:52.218    Initialize success
12:22:43.375    AVAST engine defs: 12062500
12:34:17.796    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-e
12:34:17.796    Disk 0 Vendor: WDC_WD800BEVS-22RST0 04.01G04 Size: 76319MB BusType: 3
12:34:17.812    Disk 0 MBR read successfully
12:34:17.812    Disk 0 MBR scan
12:34:17.859    Disk 0 Windows XP default MBR code
12:34:17.859    Disk 0 Partition 1 80 (A) 07    HPFS/NTFS NTFS        10001 MB offset 63
12:34:17.875    Disk 0 Partition - 00     05     Extended             66307 MB offset 20482875
12:34:17.890    Disk 0 Partition 2 00     07    HPFS/NTFS NTFS        66307 MB offset 20482938
12:34:17.890    Disk 0 scanning sectors +156280320
12:34:17.984    Disk 0 scanning C:\WINDOWS\system32\drivers
12:34:34.187    Service scanning
12:34:35.156    Modules scanning
12:34:40.984    Disk 0 trace - called modules:
12:34:41.000    ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys pciide.sys PCIIDEX.SYS 
12:34:41.000    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x89d72ab8]
12:34:41.000    3 CLASSPNP.SYS[ba10905b] -> nt!IofCallDriver -> \Device\0000007f[0x89d7a8f0]
12:34:41.000    5 ACPI.sys[b9f7e620] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP2T0L0-e[0x89d95d98]
12:34:41.281    AVAST engine scan C:\WINDOWS
12:34:52.062    AVAST engine scan C:\WINDOWS\system32
12:37:42.375    AVAST engine scan C:\WINDOWS\system32\drivers
12:37:55.031    AVAST engine scan C:\Dokumente und Einstellungen\Kathrin
12:45:54.359    AVAST engine scan C:\Dokumente und Einstellungen\All Users
12:46:37.828    Scan finished successfully
12:47:48.609    Disk 0 MBR has been saved successfully to "C:\Dokumente und Einstellungen\Kathrin\Desktop\MBR.dat"
12:47:48.609    The log file has been saved successfully to "C:\Dokumente und Einstellungen\Kathrin\Desktop\aswMBR.txt"
         

Lieber spät als nie
Die Sektoren enthalten nun auch keinen pöhsen Code mehr

Sieht ok aus. Wir sollten fast durch sein. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!


Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Sodala. Die gefundenen Einträge bei SUPERAntiSpyware hängen wohl nicht mit unserem Trojaner zusammen. Was soll dennoch gelöscht werden? Die Winrar-Datei ist ja komisch (-->Fehlalarm???)

Danke. Gruß.
radler

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.06.25.10

Windows XP Service Pack 2 x86 NTFS
Internet Explorer 8.0.6001.18702
Kathrin :: LOCOBICI [Administrator]

26.06.2012 16:02:32
mbam-log-2012-06-26 (16-02-32).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 333925
Laufzeit: 50 Minute(n), 42 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         

Code: Alles auswählenAufklappen

ATTFilter

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 06/26/2012 at 00:37 AM

Application Version : 5.1.1002

Core Rules Database Version : 8790
Trace Rules Database Version: 6602

Scan type       : Complete Scan
Total Scan Time : 07:49:18

Operating System Information
Windows XP Home Edition 32-bit, Service Pack 2 (Build 5.01.2600)
Administrator

Memory items scanned      : 506
Memory threats detected   : 0
Registry items scanned    : 33595
Registry threats detected : 0
File items scanned        : 259386
File threats detected     : 21

Adware.Tracking Cookie
	C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\Cookies\administrator@doubleclick[1].txt [ Cookie:administrator@doubleclick.net/ ]
	C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\Cookies\administrator@advertising[1].txt [ Cookie:administrator@advertising.com/ ]
	imagesrv.adition.com [ D:\SANDBOX\KATHRIN\DEFAULTBOX\USER\CURRENT\ANWENDUNGSDATEN\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\7GKK85UB ]
	.adfarm1.adition.com [ C:\DOKUMENTE UND EINSTELLUNGEN\SURFEN\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\TVU0Y8MH.DEFAULT\COOKIES.SQLITE ]
	de.sitestat.com [ C:\DOKUMENTE UND EINSTELLUNGEN\SURFEN\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\TVU0Y8MH.DEFAULT\COOKIES.SQLITE ]
	.smartadserver.com [ C:\DOKUMENTE UND EINSTELLUNGEN\SURFEN\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\TVU0Y8MH.DEFAULT\COOKIES.SQLITE ]
	.webmasterplan.com [ C:\DOKUMENTE UND EINSTELLUNGEN\SURFEN\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\TVU0Y8MH.DEFAULT\COOKIES.SQLITE ]
	de.sitestat.com [ C:\DOKUMENTE UND EINSTELLUNGEN\SURFEN\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\TVU0Y8MH.DEFAULT\COOKIES.SQLITE ]
	de.sitestat.com [ C:\DOKUMENTE UND EINSTELLUNGEN\SURFEN\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\TVU0Y8MH.DEFAULT\COOKIES.SQLITE ]
	.ikea.122.2o7.net [ C:\DOKUMENTE UND EINSTELLUNGEN\SURFEN\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\TVU0Y8MH.DEFAULT\COOKIES.SQLITE ]
	.ad.adnet.de [ C:\DOKUMENTE UND EINSTELLUNGEN\SURFEN\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\TVU0Y8MH.DEFAULT\COOKIES.SQLITE ]
	.adfarm1.adition.com [ C:\DOKUMENTE UND EINSTELLUNGEN\SURFEN\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\TVU0Y8MH.DEFAULT\COOKIES.SQLITE ]
	eas.apm.emediate.eu [ C:\DOKUMENTE UND EINSTELLUNGEN\SURFEN\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\TVU0Y8MH.DEFAULT\COOKIES.SQLITE ]
	track.webtrekk.de [ C:\DOKUMENTE UND EINSTELLUNGEN\SURFEN\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\TVU0Y8MH.DEFAULT\COOKIES.SQLITE ]
	tracker.framr.de [ C:\DOKUMENTE UND EINSTELLUNGEN\SURFEN\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\TVU0Y8MH.DEFAULT\COOKIES.SQLITE ]

Unclassified.Unknown Origin
	D:\KOLJA\STUDIUM\V V V\MINDJET.MINDMANAGER.PRO.7+VIEWER+KEYGEN\KEYGEN.NFO
	H:\DATEN & MP3S\KOLJA\STUDIUM\V V V\MINDJET.MINDMANAGER.PRO.7+VIEWER+KEYGEN\KEYGEN.NFO

Trojan.Unclassified/Loader-Suspicious
	H:\DATEN & MP3S\DROPBOX JLS\DROPBOX1\UNTERRICHTSMATERIALIEN\KATHRIN\FöRDERUNG D_M\3-MAILG DEUTSCH 3\LOADER.EXE
	H:\DATEN & MP3S\DROPBOX JLS\DROPBOX1\UNTERRICHTSMATERIALIEN\KATHRIN\FöRDERUNG D_M\3-MALIG MATHEMATIK 3\LOADER.EXE
	H:\DATEN & MP3S\DROPBOX JLS\DROPBOX1\UNTERRICHTSMATERIALIEN\KATHRIN\FöRDERUNG D_M\3-MALIG SCHAUNTERRICHT 3\LOADER.EXE

Trojan.Agent/Gen-Malintent
	C:\PROGRAMME\WINRAR\DEFAULT.SFX
         

Code: Alles auswählenAufklappen

ATTFilter

Unclassified.Unknown Origin
	D:\KOLJA\STUDIUM\V V V\MINDJET.MINDMANAGER.PRO.7+VIEWER+KEYGEN\KEYGEN.NFO
	H:\DATEN & MP3S\KOLJA\STUDIUM\V V V\MINDJET.MINDMANAGER.PRO.7+VIEWER+KEYGEN\KEYGEN.NFO
         

k ... den Rest nicht löschen?