Besteht noch Risikio nach einem (kompletten) Windows 8 Systremreset?

TLChris · 16.09.2014, 16:37

Im Vorhinein: Vielen Dank an alle, die sich Zeit nehmen, Leuten wie mir zu helfen. Ihr seid großartig.
Nun zu meinem Problem:

Folgendes Szenario:

Ich bin auf einen Backdoor reingefallen, der sich als andere Datei getarnt hatte. Die Datei verschwand nach dem Ausführen, und ich wussste dass das typisches Verhalten von Backdoors wie Cybergate ist.
Ich nutzte den PC noch einen Tag, weil ich sichergehen wollte dass dies auch wirklich eine Infektion war.
Dann fand Malwarebytes 2 Dateien die höchstwahrscheinlich Fragmente von Backdoor.Bot waren.
(Die Logs habe ich leider nicht :-(, aber es war eine msi-Datei und eine scr-Datei.)

Daraufhin habe ich sofort jegliche Internetverbindung gekappt, neu gestartet, F9 gehalten, und mit Windows 8 'auf Originalzustand zurückgesetzt, & 'alle Festplatten komplett gelöscht'

Ich habe keine Sicherungen gemacht, da ich nichts wichtiges abgespeichert habe.
Der Vorgang dauerte knapp 4:30 Stunden.
Währenddessen habe ich über mein Smartphone alle meine Passwörter und Sicherungsemails geändert.

Nun meine Frage:
Könnte noch Risikio bestehen, da sich das Backdoor eventuell in den Masterbootrecord oder Bios geschrieben hat?
Wenn ja, bitte ich um Anweisungen, welche Programme ich ausführen, Logs posten, etc.. soll.

Vielen Dank im Vorraus. :-)

schrauber · 16.09.2014, 19:21

hi,

nein, kein Risiko

TLChris · 17.09.2014, 19:02

Hallo schrauber,
tut mir Leid, dass ich falsch gehandelt habe :-(

Jedenfalls komm ich bis morgen nicht mehr an meinen Pc, daher kann ich das Logfile hier leiden nicht posten... Ich denke, du hast es dir im andern Thread schon angesehen?

Vielen Dank erstmal dass du mir überhaupt antwortest

schrauber · 18.09.2014, 13:48

Hi,

Logs bitte immer in den Thread posten. Zur Not aufteilen und mehrere Posts nutzen.
Ich kann auf Arbeit keine Anhänge öffnen, danke.

So funktioniert es:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert mir massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu gross für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:

Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.

TLChris · 20.09.2014, 15:07

Hi,
danke für die Antwort, kann heute abend wieder an meinen Rechner.
Zuvor ne Frage: Seit dem Zurücksetzen habe ich nicht mehr Windows 8 sondern 8.1.
Seitdem lässt sich der Rechner nichtmehr herunterfahren, d.h. ich muss die einen Hardreset machen da der Explorer auf herunterfahren nicht reagiert.
Nun habe ich die Angst, das die durch z.B. einen versteckten Rootkit-Treiber verursacht wird... ist das realistisch?

Mfg, Chris

Edit: Hier der GMER-log.

Code:

ATTFilter

GMER 2.1.19357 - hxxp://www.gmer.net
Rootkit scan 2014-09-17 19:57:23
Windows 6.2.9200  x64 \Device\Harddisk1\DR1 -> \Device\0000003d LITEONIT_LCS-256M6S rev.DC81605 238,47GB
Running: ssomlflp.exe; Driver: C:\Users\CHRIST~1\AppData\Local\Temp\fgtyrpod.sys


---- User code sections - GMER 2.1 ----

.text   C:\Windows\system32\dwm.exe[516] C:\Windows\system32\PSAPI.DLL!GetProcessImageFileNameA + 306                                            000007f869b2177a 4 bytes [B2, 69, F8, 07]
.text   C:\Windows\system32\dwm.exe[516] C:\Windows\system32\PSAPI.DLL!GetProcessImageFileNameA + 314                                            000007f869b21782 4 bytes [B2, 69, F8, 07]
.text   C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1060] C:\Windows\SYSTEM32\MSIMG32.dll!GradientFill + 690                        000007f865981532 4 bytes [98, 65, F8, 07]
.text   C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1060] C:\Windows\SYSTEM32\MSIMG32.dll!GradientFill + 698                        000007f86598153a 4 bytes [98, 65, F8, 07]
.text   C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1060] C:\Windows\SYSTEM32\MSIMG32.dll!TransparentBlt + 246                      000007f86598165a 4 bytes [98, 65, F8, 07]
.text   C:\Windows\system32\nvvsvc.exe[1072] C:\Windows\system32\MSIMG32.dll!GradientFill + 690                                                  000007f865981532 4 bytes [98, 65, F8, 07]
.text   C:\Windows\system32\nvvsvc.exe[1072] C:\Windows\system32\MSIMG32.dll!GradientFill + 698                                                  000007f86598153a 4 bytes [98, 65, F8, 07]
.text   C:\Windows\system32\nvvsvc.exe[1072] C:\Windows\system32\MSIMG32.dll!TransparentBlt + 246                                                000007f86598165a 4 bytes [98, 65, F8, 07]
.text   C:\Windows\system32\nvvsvc.exe[1072] C:\Windows\system32\PSAPI.DLL!GetProcessImageFileNameA + 306                                        000007f869b2177a 4 bytes [B2, 69, F8, 07]
.text   C:\Windows\system32\nvvsvc.exe[1072] C:\Windows\system32\PSAPI.DLL!GetProcessImageFileNameA + 314                                        000007f869b21782 4 bytes [B2, 69, F8, 07]
.text   C:\Windows\system32\BtwRSupportService.exe[2020] C:\Windows\system32\MSIMG32.dll!GradientFill + 690                                      000007f865981532 4 bytes [98, 65, F8, 07]
.text   C:\Windows\system32\BtwRSupportService.exe[2020] C:\Windows\system32\MSIMG32.dll!GradientFill + 698                                      000007f86598153a 4 bytes [98, 65, F8, 07]
.text   C:\Windows\system32\BtwRSupportService.exe[2020] C:\Windows\system32\MSIMG32.dll!TransparentBlt + 246                                    000007f86598165a 4 bytes [98, 65, F8, 07]
.text   C:\Program Files\Common Files\mcafee\platform\McSvcHost\McSvHost.exe[2116] C:\Windows\system32\PSAPI.DLL!GetProcessImageFileNameA + 306  000007f869b2177a 4 bytes [B2, 69, F8, 07]
.text   C:\Program Files\Common Files\mcafee\platform\McSvcHost\McSvHost.exe[2116] C:\Windows\system32\PSAPI.DLL!GetProcessImageFileNameA + 314  000007f869b21782 4 bytes [B2, 69, F8, 07]
.text   C:\windows\system32\mfevtps.exe[2184] C:\Windows\system32\psapi.dll!GetProcessImageFileNameA + 306                                       000007f869b2177a 4 bytes [B2, 69, F8, 07]
.text   C:\windows\system32\mfevtps.exe[2184] C:\Windows\system32\psapi.dll!GetProcessImageFileNameA + 314                                       000007f869b21782 4 bytes [B2, 69, F8, 07]
.text   C:\Program Files\Common Files\McAfee\AMCore\mcshield.exe[2424] C:\Windows\system32\PSAPI.DLL!GetProcessImageFileNameA + 306              000007f869b2177a 4 bytes [B2, 69, F8, 07]
.text   C:\Program Files\Common Files\McAfee\AMCore\mcshield.exe[2424] C:\Windows\system32\PSAPI.DLL!GetProcessImageFileNameA + 314              000007f869b21782 4 bytes [B2, 69, F8, 07]
.text   C:\Program Files\Elantech\ETDCtrl.exe[3916] C:\Windows\SYSTEM32\MSIMG32.dll!GradientFill + 690                                           000007f865981532 4 bytes [98, 65, F8, 07]
.text   C:\Program Files\Elantech\ETDCtrl.exe[3916] C:\Windows\SYSTEM32\MSIMG32.dll!GradientFill + 698                                           000007f86598153a 4 bytes [98, 65, F8, 07]
.text   C:\Program Files\Elantech\ETDCtrl.exe[3916] C:\Windows\SYSTEM32\MSIMG32.dll!TransparentBlt + 246                                         000007f86598165a 4 bytes [98, 65, F8, 07]
.text   C:\Windows\Explorer.EXE[3508] C:\Windows\system32\PSAPI.DLL!GetProcessImageFileNameA + 306                                               000007f869b2177a 4 bytes [B2, 69, F8, 07]
.text   C:\Windows\Explorer.EXE[3508] C:\Windows\system32\PSAPI.DLL!GetProcessImageFileNameA + 314                                               000007f869b21782 4 bytes [B2, 69, F8, 07]
.text   C:\Windows\Explorer.EXE[3508] C:\Windows\SYSTEM32\MSIMG32.dll!GradientFill + 690                                                         000007f865981532 4 bytes [98, 65, F8, 07]
.text   C:\Windows\Explorer.EXE[3508] C:\Windows\SYSTEM32\MSIMG32.dll!GradientFill + 698                                                         000007f86598153a 4 bytes [98, 65, F8, 07]
.text   C:\Windows\Explorer.EXE[3508] C:\Windows\SYSTEM32\MSIMG32.dll!TransparentBlt + 246                                                       000007f86598165a 4 bytes [98, 65, F8, 07]
.text   C:\Program Files\Elantech\ETDCtrlHelper.exe[3992] C:\Windows\SYSTEM32\MSIMG32.dll!GradientFill + 690                                     000007f865981532 4 bytes [98, 65, F8, 07]
.text   C:\Program Files\Elantech\ETDCtrlHelper.exe[3992] C:\Windows\SYSTEM32\MSIMG32.dll!GradientFill + 698                                     000007f86598153a 4 bytes [98, 65, F8, 07]
.text   C:\Program Files\Elantech\ETDCtrlHelper.exe[3992] C:\Windows\SYSTEM32\MSIMG32.dll!TransparentBlt + 246                                   000007f86598165a 4 bytes [98, 65, F8, 07]
.text   C:\Program Files\Elantech\ETDGesture.exe[3792] C:\Windows\SYSTEM32\MSIMG32.dll!GradientFill + 690                                        000007f865981532 4 bytes [98, 65, F8, 07]
.text   C:\Program Files\Elantech\ETDGesture.exe[3792] C:\Windows\SYSTEM32\MSIMG32.dll!GradientFill + 698                                        000007f86598153a 4 bytes [98, 65, F8, 07]
.text   C:\Program Files\Elantech\ETDGesture.exe[3792] C:\Windows\SYSTEM32\MSIMG32.dll!TransparentBlt + 246                                      000007f86598165a 4 bytes [98, 65, F8, 07]
.text   C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[5016] C:\Windows\SYSTEM32\MSIMG32.dll!GradientFill + 690                          000007f865981532 4 bytes [98, 65, F8, 07]
.text   C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[5016] C:\Windows\SYSTEM32\MSIMG32.dll!GradientFill + 698                          000007f86598153a 4 bytes [98, 65, F8, 07]
.text   C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[5016] C:\Windows\SYSTEM32\MSIMG32.dll!TransparentBlt + 246                        000007f86598165a 4 bytes [98, 65, F8, 07]
.text   C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[5372] C:\Windows\SYSTEM32\MSIMG32.dll!GradientFill + 690                                 000007f865981532 4 bytes [98, 65, F8, 07]
.text   C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[5372] C:\Windows\SYSTEM32\MSIMG32.dll!GradientFill + 698                                 000007f86598153a 4 bytes [98, 65, F8, 07]
.text   C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[5372] C:\Windows\SYSTEM32\MSIMG32.dll!TransparentBlt + 246                               000007f86598165a 4 bytes [98, 65, F8, 07]
.text   C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe[5908] C:\Windows\SYSTEM32\MSIMG32.dll!GradientFill + 690                                  000007f865981532 4 bytes [98, 65, F8, 07]
.text   C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe[5908] C:\Windows\SYSTEM32\MSIMG32.dll!GradientFill + 698                                  000007f86598153a 4 bytes [98, 65, F8, 07]
.text   C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe[5908] C:\Windows\SYSTEM32\MSIMG32.dll!TransparentBlt + 246                                000007f86598165a 4 bytes [98, 65, F8, 07]
.text   C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe[1148] C:\Windows\SYSTEM32\MSIMG32.dll!GradientFill + 690                          000007f865981532 4 bytes [98, 65, F8, 07]
.text   C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe[1148] C:\Windows\SYSTEM32\MSIMG32.dll!GradientFill + 698                          000007f86598153a 4 bytes [98, 65, F8, 07]
.text   C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe[1148] C:\Windows\SYSTEM32\MSIMG32.dll!TransparentBlt + 246                        000007f86598165a 4 bytes [98, 65, F8, 07]
.text   C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe[1148] C:\Windows\system32\PSAPI.DLL!GetProcessImageFileNameA + 306                000007f869b2177a 4 bytes [B2, 69, F8, 07]
.text   C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe[1148] C:\Windows\system32\PSAPI.DLL!GetProcessImageFileNameA + 314                000007f869b21782 4 bytes [B2, 69, F8, 07]
.text   C:\Program Files\WIDCOMM\Bluetooth Software\BtStackServer.exe[3528] C:\Windows\SYSTEM32\WSOCK32.dll!recvfrom + 742                       000007f84d7e1b32 4 bytes [7E, 4D, F8, 07]
.text   C:\Program Files\WIDCOMM\Bluetooth Software\BtStackServer.exe[3528] C:\Windows\SYSTEM32\WSOCK32.dll!recvfrom + 750                       000007f84d7e1b3a 4 bytes [7E, 4D, F8, 07]
.text   C:\Program Files\WIDCOMM\Bluetooth Software\BtStackServer.exe[3528] C:\Windows\SYSTEM32\MSIMG32.dll!GradientFill + 690                   000007f865981532 4 bytes [98, 65, F8, 07]
.text   C:\Program Files\WIDCOMM\Bluetooth Software\BtStackServer.exe[3528] C:\Windows\SYSTEM32\MSIMG32.dll!GradientFill + 698                   000007f86598153a 4 bytes [98, 65, F8, 07]
.text   C:\Program Files\WIDCOMM\Bluetooth Software\BtStackServer.exe[3528] C:\Windows\SYSTEM32\MSIMG32.dll!TransparentBlt + 246                 000007f86598165a 4 bytes [98, 65, F8, 07]
.text   C:\Program Files\Common Files\McAfee\Platform\mcuicnt.exe[5916] C:\Windows\system32\psapi.dll!GetProcessImageFileNameA + 306             000007f869b2177a 4 bytes [B2, 69, F8, 07]
.text   C:\Program Files\Common Files\McAfee\Platform\mcuicnt.exe[5916] C:\Windows\system32\psapi.dll!GetProcessImageFileNameA + 314             000007f869b21782 4 bytes [B2, 69, F8, 07]
.text   C:\Program Files\Windows Media Player\wmpnetwk.exe[6316] C:\Windows\SYSTEM32\WSOCK32.dll!recvfrom + 742                                  000007f84d7e1b32 4 bytes [7E, 4D, F8, 07]
.text   C:\Program Files\Windows Media Player\wmpnetwk.exe[6316] C:\Windows\SYSTEM32\WSOCK32.dll!recvfrom + 750                                  000007f84d7e1b3a 4 bytes [7E, 4D, F8, 07]
.text   C:\Program Files\mcafee.com\agent\McUpdate.exe[6604] C:\Windows\system32\PSAPI.DLL!GetProcessImageFileNameA + 306                        000007f869b2177a 4 bytes [B2, 69, F8, 07]
.text   C:\Program Files\mcafee.com\agent\McUpdate.exe[6604] C:\Windows\system32\PSAPI.DLL!GetProcessImageFileNameA + 314                        000007f869b21782 4 bytes [B2, 69, F8, 07]

---- Threads - GMER 2.1 ----

Thread  C:\Windows\system32\csrss.exe [668:692]                                                                                                  fffff9600087a5e8

---- Disk sectors - GMER 2.1 ----

Disk    \Device\Harddisk1\DR1                                                                                                                    unknown MBR code

---- EOF - GMER 2.1 ----

Edit 2: Beim Öffnen von GMER bekam ich außerdem den Fehler: "C:\Windows\system32\config\system: Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird."

schrauber · 21.09.2014, 09:35

Gmer und Win8.1 geht eigentlich nie richtig. Alles gut

TLChris · 21.09.2014, 18:28

Alles klar, vielen Dank!

Nun hab ich nurnoch die Frage, was das Problem mit dem Herunterfahren erzeugt.
Und, was hat es mit dem unknown MBRcode auf sich?

Mfg, Chris

schrauber · 22.09.2014, 09:38

Zitat:

was das Problem mit dem Herunterfahren erzeugt.

Was meinst Du?

Zitat:

Und, was hat es mit dem unknown MBRcode auf sich?

Zitat:

Gmer und Win8.1 geht eigentlich nie richtig.

TLChris · 22.09.2014, 11:27

Hallo,
seit dem Zurücksetzen habe ich ja Windows 8.1, und seither lässt sich der Rechner nicht mehr normal herunterfahren (Explorer reagiert nicht auf den Befehl, alles läuft normal weiter) und ich muss ihn immer mit dem Aus-Schalter abschalten.

Mfg, Chris

schrauber · 22.09.2014, 16:41

Lade Dir bitte Windows Repair - All in one von tweaking.com hier herunter und installiere es.
Deaktiviere bitte (wenn möglich) Dein Antivirusprogramm.
Bedenke, dass die einzelnen Reparaturen einige Zeit benötigen. Starte keine anderen Anwendungen in dieser Zeit.
Starte das Programm und führe die Punkte 1-5 durch. (Siehe Bildanleitung)
Achte darauf, dass bei Dir die Häkchen so gesetzt sind wie unter Punkt 4.
Setze auch ein Häkchen bei "Restart/Shutdown System" und klicke "Restart System" an bevor Du Punkt 5 durchführst.

TLChris · 28.09.2014, 21:40

Hallo,
nach dem ich diese Reparaturen ausgeführt habe scheint alles wieder zu laufen, danke dir vielmals!
Nun eine letzte Frage noch.

Um auf Nummer sicher zu gehen, habe ich mir Hirens Boot CD auf eine DVD gebrannt.
Mit dem cmd Befehl shutdown /r / o bin ich dann in die Bootoptionen, und habe CD/DVD ausgewählt. Nachdem ich dies tat, starte mein Computer allerdings nur neu, und bootete nicht von der DVD.

irgendeine Idee woran das liegen könnte?

Mfg, Chris

schrauber · 29.09.2014, 16:11

Warum machst Du das mit dem Befehl und nicht ganz normal? Und was willste mit der CD machen?

TLChris · 29.09.2014, 17:28

Wüsste nicht wie das sonst geht, außer komisch über die Einstellungen.

Ich mach das, weil ich paranoid bin Q_Q

schrauber · 30.09.2014, 09:18

Lass es, is total unnötig.

TLChris · 30.09.2014, 13:43

Hallo, das ist jetzt überhaupt nich böse gemeint, aber wie bist du dir da so sicher?
Ich hab einfach ein mulmiges Gefühl wenn ich vor dem Rechner sitze, weil ich weiss das man solche Programme undetectable usw machen kann... ich hatte halt einfach gern die sichere Feststellung dass da auch nix übrig ist :/

Mfg,
Chris

16.09.2014, 19:21	#2
schrauber /// the machine /// TB-Ausbilder	Besteht noch Risikio nach einem (kompletten) Windows 8 Systremreset? hi, nein, kein Risiko __________________ __________________

21.09.2014, 09:35	#6
schrauber /// the machine /// TB-Ausbilder	Besteht noch Risikio nach einem (kompletten) Windows 8 Systremreset? Gmer und Win8.1 geht eigentlich nie richtig. Alles gut __________________ --> Besteht noch Risikio nach einem (kompletten) Windows 8 Systremreset?

29.09.2014, 16:11	#12
schrauber /// the machine /// TB-Ausbilder	Besteht noch Risikio nach einem (kompletten) Windows 8 Systremreset? Warum machst Du das mit dem Befehl und nicht ganz normal? Und was willste mit der CD machen? __________________ gruß, schrauber *Proud Member of UNITE and ASAP since 2009* Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM!

30.09.2014, 09:18	#14
schrauber /// the machine /// TB-Ausbilder	Besteht noch Risikio nach einem (kompletten) Windows 8 Systremreset? Lass es, is total unnötig. __________________ gruß, schrauber *Proud Member of UNITE and ASAP since 2009* Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM!

Besteht noch Risikio nach einem (kompletten) Windows 8 Systremreset?

Plagegeister aller Art und deren Bekämpfung: Besteht noch Risikio nach einem (kompletten) Windows 8 Systremreset?