MBR ist korrupt, aber nur zwei von drei physischen Platten. Kann man das reparieren? PC läuft gut, ist aber infiziert.

Hallo Ihr lieben Helfer!

Mein Betriebs System ist Windows XP Service Pack 3.

Nachdem Avira Free Antivirus vor ein paar Tagen den TR/Atrap.gen2 gemeldet hatte, ihn aber nicht löschen konnte, habe ich verschiedene Foren besucht und die folgenden Programme angesetzt:
RKill Version 2.4.3
aswMBR version 0.9.9.1665
und RogueKiller V8.2.0 [10/22/2012].
Nach dem RKill Rootkitspuren festgestellt hatte, setzte ich den Roguekiller an und löschte die gefundenen Spuren. Jetzt findet aswMBR nichts mehr und auch RKill.
Dennoch zeigt Roguekiller eindeutig, dass zwei physische Platten im MBR (so wie ich das verstehe) befallen sind.
Wie ist weiter vorzugehen? kann man diese beiden Sektoren im MBR verändern, den Rest aber nicht? Oder ist die einfachste Lösung, das System neu aufzusetzen (ich habe ein Image, aber ohne zwei Programm, die ich kürzlich kaufte und die extrem schwierige Registrierungsprozesse hatten. Dies würde ich gerne vermeiden.)

MBR ist korrupt, aber nur zwei von drei physischen Platten. Kann man das reparieren? PC läuft gut, ist aber infiziert.

Für Euro Hilfe bin ich sehr dankbar!
Herbert

Mein Name ist Matthias und ich werde dir bei der Bereinigung deines Computers helfen.


Bitte beachte folgende Hinweise:

• Eine Bereinigung ist mitunter mit viel Arbeit für dich verbunden. Es können mehrere Analyse- und Bereinigungsschritte erforderlich sein.
  Abschließend entfernen wir wieder alle verwendeten Programme und ich gebe dir ein paar Tipps für die Zukunft mit auf den Weg.
• Bei Anzeichen von illegaler Software wird der Support ohne Diskussion eingestellt.
• Bitte arbeite alle Schritte in der vorgegebenen Reihefolge nacheinander ab.
• Lies dir die Anleitungen sorgfältig durch. Solltest du Probleme haben, stoppe mit deiner Bearbeitung und beschreibe mir dein Problem so gut es geht.
• Führe nur Scans durch, zu denen du von mir oder einem anderen Helfer aufgefordert wirst.
• Bitte kein Crossposting (posten in mehreren Foren).
• Installiere oder deinstalliere während der Bereinigung keine Software außer du wirst dazu aufgefordert.
• Solltest du mir nicht innerhalb von 3 Tagen antworten, gehe ich davon aus, dass du keine Hilfe mehr benötigst. Dann lösche ich dein Thema aus meinem Abo.
  Ich kann Dir niemals eine Garantie geben, dass auch ich alles finde. Eine Formatierung ist meist der schnellere und immer der sicherste Weg.
  Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Du bist mit dem ZeroAccess Rootkit infiziert. Mit dem ist nicht zu spaßen!
Zuerst benötige ich mehr Informationen, bevor wir mit der Bereinigung beginnen können.





Schritt 1
Downloade dir bitte DDS ( von sUBs ) von einem der folgenden Downloadspiegel und speichere die Datei auf deinem Desktop.

dds.com
dds.exe

• Starte bitte dds mit einem Doppelklick.
• Der Desktop wird verschwinden, das ist normal.
• Setze bitte einen Haken bei
  • dds.txt ( Sollte angehakt sein )
  • attach.txt
  Ändere keine Einstellungen ohne Anweisung
• Wenn der Scan beendet ist, wird DDS 2 Logfiles auf deinem Desktop erstellen:
  • dds.txt
  • attach.txt

Bitte poste beide Logfiles in deiner nächsten Antwort.





Schritt 2
Downloade Dir bitte defogger von jpshortstuff auf Deinem Desktop.

• Starte das Tool mit Doppelklick.
• Klicke nun auf den Disable Button, um die Treiber gewisser Emulatoren zu deaktivieren.
• Defogger wird dich fragen "Defogger will forcefully terminate and disable all CD Emulator related drivers and processes... Continue?" bestätige diese Sicherheitsabfrage mit Ja.
• Wenn der Scan beendet wurde (Finished), klicke auf OK.
• Defogger fordert gegebenfalls zum Neustart auf. Bestätige dies mit OK.
• Defogger erstellt auf dem Desktop eine Logdatei mit dem Namen defogger_disable.txt. Poste deren Inhalt mit deiner nächsten Antwort.

Klicke den Re-enable Button nicht ohne Anweisung!





Schritt 3
Lese bitte folgende Anweisungen genau. Wir wollen hier noch nichts "fixen" sondern nur einen Scan Report sehen.

Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop

• Starte die TDSSKiller.exe
• Drücke Start Scan
• Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und speichere das Logfile.
  TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern ( Meistens C:\ )
  Als Beispiel: C:\TDSSKiller.<version_date_time>log.txt

Poste den Inhalt bitte hier in deinen Thread.





Bitte poste mit deiner nächsten Antwort

• die beiden Logdateien von DSS,
• die Logdatei von DeFogger,
• die Logdatei von TDSSKiller.

Hallo Matthias,

danke für Deine Hilfe.

Darf ich etwas schreiben, bevor Du an die Sache gehst. Ich bin kein Heiliger und habe sicherlich vor ein paar Jahren auch einmal einen Keygenerator eingesetzt. Dies ist jetzt aber seit einigen Jahren vorbei. Möglich, dass die eine oder andere Datei noch vorhanden ist. Ich habe eben noch mal gesucht, aber nichts gefunden. Falls Dir was auffällt wäre ich dankbar, dann würde ich das sofort löschen!

Hier sind die logs.

Achtung! Die Datei TDSSSKiller kann ich nicht hochladen, weil sie angeblich zu groß ist! Habe sie umbenannt in Neue Textdatei.txt Jetzt klappts.


Nochmals Gruß und Dank
Herbert

Servus,


Wollen wir hoffen, dass wir keiner illegalen Software "begegnen".
Du bist schon seit mindestens Mai diesen Jahres mit Malware infiziert.



Schritt 1
Ich sehe, dass du sog. Registry Cleaner auf dem System hast.
In deinem Fall CCleaner.

Wir empfehlen auf keinen Fall jegliche Art von Registry Cleaner.

Der Grund ist ganz einfach:

Die Registry ist das Hirn des Systems. Funktioniert das Hirn nicht, funktioniert der Rest nicht mehr wirklich.
Wir lesen oft genug von Hilfesuchenden, dass deren System nach der Nutzung von Registry Cleanern nicht mehr booted.

• Wie soll der Cleaner zu 100% wissen ob der Eintrag benötigt wird oder nicht ?
• Es ist vollkommen egal ob ein paar verwaiste Registry Einträge am System sind oder nicht.
• Auch die dauernd angepriesene Beschleunigung des Systems ist nur bedingt wahr. Du würdest es nicht merken.

Ein sogenanntes False Positive von einem Cleaner kann auch dein System unbootbar machen.
Zerstörst Du die Registry, zerstörst Du Windows.

Ich empfehle dir hiermit die oben genannte Software zu deinstallieren und in Zukunft auf solche Art von Software zu verzichten.
Am Ende der Bereinigung empfehle ich dir ein anderes Tool, mit dem du deine temporären Dateien entfernen kannst.





Schritt 2

Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel

Link 1


WICHTIG - Speichere Combofix auf deinem Desktop

• Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

• Combofix wird überprüfen, ob die Microsoft Windows Wiederherstellungskonsole installiert ist.
  Ist diese nicht installiert, erlaube Combofix diese herunter zu laden und zu installieren. Folge dazu einfach den Anweisungen und aktzeptiere die End Nutzer Lizenz.
  Bei heutiger Malware ist dies sehr empfehlenswert, da diese uns eine Möglichkeit bietet, dein System zu reparieren, falls was schief geht.
  Bestätige die Information, dass die Wiederherstellungskonsole installiert wurde mit Ja.

Hinweis: Ist diese bereits installiert, wird Combofix mit der Malwareentfernung fortfahren.


Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.





Was genau befindet sich in diesem Ordner?
c:\dokumente und einstellungen\d\anwendungsdaten\Virus Achtung





Bitte poste mit deiner nächsten Antwort

• eventuell auftretende Probleme bei der Deinstallation,
• die Logdatei von ComboFix,
• die Beantwortung der gestellten Frage.

Hallo Matthias,

danke für Dein Verständnis

ja, das System ist während Combofix abgestürtzt. Kommt mir auch jetzt instabil vor. Dauert lange, ehe sich der Browser öffnet.
Ein Logfile habe ich unter C: nicht gefunden!

Bevor Combofix anfing konnte ich übrigens Antivirus nicht stoppen. Auch durch den Taskmanager gelang mir das nicht. Ich habe also Combo trotzdem arbeiten lassen. Dann kam es zum Absturz.

Sollte ich das System starten ohne antivirus? vielleicht sitzt ja da der Bursche schon drin?

CCleaner ist entfernt
Unter c:\dokumente und einstellungen\d\anwendungsdaten\Virus Achtung befindet sich der (?) Atraps virus, den ich da gelassen habe.

Dank und Gruß
Herbert1

Servus,


den AntiVir Guard kannst du für gewöhnlich rechts unten an der Taskleiste über das Avira Symbol (Regenschirm) deaktivieren (Rechtsklick -> Guard stoppen).



Starte ComboFix anschließend erneut.