Alles klar, hab ich gemacht!

Code: Alles auswählenAufklappen

ATTFilter

19:43:43.765 Disk 0 malicious Win32:MBRoot code @ sector 488396248 ! 
         

Bitte jetzt sorgfältig lesen und zuerst eine Sicherung aller Daten machen! Wenn die Sicherung erfolgte alle Sicherungsmedien vom Computer physikalisch trennen!

Wie gesagt was jetzt folgt und du hast Datenverluste seist du jetzt nochmal ausdrücklich gewarnt, alles richtig umzusetzen und vorher alles wichtige auf externe Platten zu sichern. Wenn du sicher bist, dass alle wichtige Daten in Sicherheit sind und die externen Datenträger auch nicht mehr am Rechner angeschlossen sind, dann fahre fort wir folgt:

Öffne das Terminal in PartedMagic. Ist unten in der Quicklaunch der schwarze Monitor. Eine schwarze Konsole öffnet sich. Tipp dort ein (du solltest root@partedmagic in der Zeile lesen können)

WARNUNG: Folgender Befehl auf eigene Gefahr! Für Datenverluste nicht rumheulen und wer das mitliest soll den Befehl ebenfalls nicht so ausführen!!

Bitte lieber eher 3x als 2x prüfen ob du alles so richtig eingetippt hast NACH der Datensicherung:

Code: Alles auswählenAufklappen

ATTFilter

dd if=/dev/zero of=/dev/sda seek=488396245 bs=512
         

Wenn du dir sicher bist das genau so eingetippt zu haben wie es da bei mir steht, dann drücke die Eingabetaste. Es dauert nicht lange, dann hast du wieder die Zeile und sinngemäß so etwas wie

1234+0 Datensätze ein
1234+0 Datensätze aus

Wenn das so rauskaum wurden die letzen Sekoren auf der Festplatte(und damit auch der bösartige Code in diesem unzugeordneten Bereich) auf der Platte mit Nullen überschrieben; starte den Rechner neu und boote Windows.
Mach dort einen neuen scan mit aswMBR und poste wieder das Log.

Hallo,
die Daten sicher ich momentan- aber es gibt neuen Anlass zur Sorge, den ich euch nicht vorenthalten möchte :

1. habe ich eben festgestellt, dass sich mein Antivirenprogramm (AVIRA) trotz gegenteiliger Konfiguration seit mehreren Wochen (: seit kurz nach dem Virenbefall) nicht mehr automatisch upgedatet hat, hab's dann gerade 'per Befehl' upgedatet.
2. (-klingt albern, ist aber so-) druckt mein Drucker keine schwarze Tinte mehr. Könnte natürlich normalerweise 1001 andere Ursachen haben, aber einer der von mir in Beitrag #19 erwähnten Kunden schilderte exakt das gleiche Symptom, und außerdem ging's dem Drucker bis vor kurzem noch super- habe ich mir da womöglich über diese Kundenseite sofort den nächsten Mist ins Haus geholt, da mein Rechner schon angeschlagen war? (Avira meldete am 8.4. einen Fund: 'JS/iFrame.S.2').

Öha- ich mach's nicht absichtlich kompliziert; aber ich denke mir, dass ihr solche Infos braucht, wenn's klappen soll. Wenn du nach den neuen Infos für 'plattmachen' plädieren würdest, würd's mich nicht überraschen: Scheint ja vl. jetzt doch eine schwierigere Sache zu sein?! Tschuldigung!!

Gruß,
sandero

Das sind jetzt erstmal "andere" Probleme, sehen wir nachher nochmal.
Hast du die Daten nun gesichert?

So, hatte mir erstmal ein neues Speichermedium gekauft. Die Reparatur- Aktion mit PartedMagic ist gutgegangen , aswMBR wirft jetzt dies hier aus:

Code: Alles auswählenAufklappen

ATTFilter

aswMBR version 0.9.9.1665 Copyright(c) 2011 AVAST Software
Run date: 2012-04-18 19:09:14
-----------------------------
19:09:14.125    OS Version: Windows 5.1.2600 Service Pack 3
19:09:14.125    Number of processors: 2 586 0x4B02
19:09:14.125    ComputerName: ***  UserName: 
19:09:14.437    Initialize success
19:20:34.437    AVAST engine defs: 12041801
19:28:45.328    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Scsi\nvgts1Port2Path0Target0Lun0
19:28:45.328    Disk 0 Vendor: Hitachi_ GM2O Size: 238475MB BusType: 1
19:28:45.343    Disk 0 MBR read successfully
19:28:45.343    Disk 0 MBR scan
19:28:45.406    Disk 0 Windows XP default MBR code
19:28:45.406    Disk 0 Partition 1 00     07    HPFS/NTFS NTFS        89996 MB offset 63
19:28:45.437    Disk 0 Partition 2 80 (A) 07    HPFS/NTFS NTFS       148477 MB offset 184313856
19:28:45.437    Disk 0 scanning sectors +488396245
19:28:45.500    Disk 0 scanning C:\WINDOWS\system32\drivers
19:28:57.156    Service scanning
19:29:11.250    Modules scanning
19:29:15.578    Disk 0 trace - called modules:
19:29:15.593    ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll SCSIPORT.SYS nvgts.sys 
19:29:15.593    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x89b74ab8]
19:29:15.593    3 CLASSPNP.SYS[ba0e8fd7] -> nt!IofCallDriver -> \Device\0000005f[0x89bff880]
19:29:15.593    5 ACPI.sys[b9f7e620] -> nt!IofCallDriver -> \Device\Scsi\nvgts1Port2Path0Target0Lun0[0x89bfea38]
19:29:15.968    AVAST engine scan C:\WINDOWS
19:29:38.953    AVAST engine scan C:\WINDOWS\system32
19:32:41.625    AVAST engine scan C:\WINDOWS\system32\drivers
19:32:56.343    AVAST engine scan C:\Dokumente und Einstellungen\***
19:38:34.015    AVAST engine scan C:\Dokumente und Einstellungen\All Users
19:40:47.671    Scan finished successfully
19:41:03.953    Disk 0 MBR has been saved successfully to "C:\Dokumente und Einstellungen\***\Desktop\MBR.dat"
19:41:03.953    The log file has been saved successfully to "C:\Dokumente und Einstellungen\***\Desktop\aswMBR.txt"
         

Gruß,
sandero

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Hallo,
Malwarebytes hat nichts gefunden. SASW- Log folgt

Code: Alles auswählenAufklappen

ATTFilter

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 04/19/2012 at 05:00 PM

Application Version : 5.0.1146

Core Rules Database Version : 8479
Trace Rules Database Version: 6291

Scan type       : Complete Scan
Total Scan Time : 01:07:36

Operating System Information
Windows XP Home Edition 32-bit, Service Pack 3 (Build 5.01.2600)
Administrator

Memory items scanned      : 565
Memory threats detected   : 0
Registry items scanned    : 33844
Registry threats detected : 0
File items scanned        : 175582
File threats detected     : 9

Adware.Tracking Cookie
	C:\Dokumente und Einstellungen\***\Cookies\8302ZRB0.txt [ /adtech.de ]
	C:\Dokumente und Einstellungen\***\Cookies\XH68D0VW.txt [ /mediaplex.com ]
	C:\Dokumente und Einstellungen\***\Cookies\NLZRCJPQ.txt [ /smartadserver.com ]
	C:\Dokumente und Einstellungen\***\Cookies\0MN1WJPG.txt [ /apmebf.com ]
	C:\Dokumente und Einstellungen\***\Cookies\PMXXE2OQ.txt [ /adfarm1.adition.com ]
	C:\Dokumente und Einstellungen\***\Cookies\Q94AH9YG.txt [ /fastclick.net ]
	C:\Dokumente und Einstellungen\***\Cookies\O6MPP9Z3.txt [ /ad2.adfarm1.adition.com ]
	C:\Dokumente und Einstellungen\***\Cookies\F185WY3Y.txt [ /ad.yieldmanager.com ]
	C:\Dokumente und Einstellungen\***\Cookies\9ED7V5HF.txt [ /ads.ventivmedia.com ]
         

(Während des SASW- Durchlaufs meldete sich Antivir zweimal
a) D:\System Volume Information\_restore{948B4474-1004-4138-8F3F-1AA1E2621247}\RP68\A0011488.exe
Fund:TR/Small.18944.E
b)C:\System Volume Information\_restore{948B4474-1004-4138-8F3F-1AA1E2621247}\RP43\A0005722.exe
Fund:TR/Ransom.EB.50)

Gruß,
sandero

In System Volume Information sind die Dateien für Wiederherstellungspunkte gespeichert.

Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde.

Hallo, Systemwiederherstellung ist deaktiviert. Soll ich jetzt als nächstes die Funde mit SUPERAntiSpyware entfernen lassen?
Gruß,
sandero

Sieht ok aus, da wurden nur Cookies gefunden. Kannst du mit SUPERAntiSpyware löschen.
Cookies sind keine Schädlinge direkt, aber es besteht die Gefahr der missbräuchlichen Verwendung (eindeutige Wiedererkennung zB für gezielte Werbung o.ä. => HTTP-Cookie )


Wegen Cookies und anderer Dinge im Web: Um die Pest von vornherein zu blocken (also TrackingCookies, Werbebanner etc.) müsstest du dir mal sowas wie MVPS Hosts File anschauen => Blocking Unwanted Parasites with a Hosts File - sinnvollerweise solltest du alle 4 Wochen mal bei MVPS nachsehen, ob er eine neue Hosts Datei herausgebracht hat.

Ansonsten gibt es noch gute Cookiemanager, Erweiterungen für den Firefox zB wäre da CookieCuller http://filepony.de/download-cookie_culler/
Wenn du aber damit leben kannst, dich bei jeder Browsersession überall neu einzuloggen (zB Facebook, Ebay, GMX, oder auch Trojaner-Board) dann stell den Browser einfach so ein, dass einfach alles beim Beenden des Browser inkl. Cookies gelöscht wird.

Ich halte es so, dass ich zum "wilden Surfen" den Opera-Browser oder Chromium unter meinem Linux verwende. Mein Hauptbrowser (Firefox) speichert nur die Cookies von den Sites die ich auch will, alles andere lehne ich manuell ab (der FF fragt mich immer) - die anderen Browser nehmen alles an Cookies zwar an, aber spätestens beim nächsten Start von Opera oder Chromium sind keine Cookies mehr da.

Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme?

Hm- naja, das etwas bizarre Druckerproblem besteht noch. Wie gesagt:
Der Drucker druckte ('von heute auf morgen') seit ca. dem 9.4. keine schwarze Tinte mehr aus, auch auf dem Testausdruck erscheint keinerlei schwarze Tinte. Die schwarze Patrone ist eine neue Original-Epson-Patrone. Schrägerweise schilderte mir jemand anders (der, ebenfalls, kurz zuvor eine Virenattacke hatte) das gleiche bzw. ein sehr ähnliches Problem. Denkbar ist vermutlich Einiges, vielleicht ist das Gerät ja doch kaputt, aber das wäre zumindest noch ein schräger Zufall.
Gibt's hierzu womöglich von euch noch einen Ratschlag bzw. ein Hilfe-Tool?
Gruß,
sandero

Hör mir auf mit Tintendruckern, ich kauf so einen Schrott nicht mehr
Drucker sind eine eigene Welt für sich
Ich als absoluter Wenigdrucker druck meine 2 Seiten im Jahr bei mir im Büro aus und wenn ich das Büro nicht hätte würde ich wohl in einen Copy-Shop fahren, ...

Ok, das hilft dir so nicht weiter, ich dneke das ist ein Problem am Drucker selbst. Du könntest den vllt mal an einem anderen Rechner anschließen oder wenn du diese Möglichkeit nicht hast: ein Ubuntu besorgen, Ausprobiermodus starten und testweise was unter Ubuntu drucken. Der Drucker richtet sich unter Ubuntu (Linux) fast von selbst ein...

Hallihallo,
ich hab' diesmal nie so etwas geschrieben wie 'Vielen Dank für eure Mühe & Ich überweis' euch was'. (Das lag zumindest teilweise daran, dass ich mich 'damals' in den Urlaub verabschiedet hatte.)
Tschuldigung- besser spät als nie: 'Vielen Dank für eure Mühe & Ich überweis' euch was'.
Die angesprochenen, mutmaßlich geknackten FTP- Accounts (-war's womöglich in Wirklichkeit 'ne PHP- Sicherheitslücke?-) mach ich dann vielleicht gleich mal im Diskussionsforum zum Thema.
Gruß,
sandero