Hallo liebe Freunde,

habe aktuell einen Rechner, der mit einem Trojaner befallen war und nun aktuell nicht mehr gestartet werden kann.
Beim Hochfahren kommt immer der Stopfehler 0x00000069 -> IO1_Initialization_Failed
Leider haben die bisherigen Tipps, die ich gefunden habe keine Abhilfe geschafft.
-> Reparaturkonsole Fixboot und Fixmbr, Startdiskette fdisk/ mbr, Win2000-Reparatur

Habt Ihr Hinweise, wie ich noch vorgehen könnte bzw. was ich nachgehen könnte?

Laut dem Ausdruck der Polizei, die die Festplatte spiegelten konnten folgende Befunde festgestellt werden:
Email-Worm.Win32.Warezov.dq in c:\winnt\system32\rsvp322.dll
Trojan-Spy.win32.BZup.ip in c:\winnt\system32\cmd.dll
Trojan-Proxy.Win32.Jaber.c in c:\dokumente und einstellungen\benutzer\lokale einstellungen\temporary internet files\content.ie5\squcmxlm

Mein Norton 360° das leider nicht mehr wirklich gute Detailfunktionen hat (wohl für den Nixblickeranwender gemacht worden) hat lediglich den Infostealer.Bzup in c:\winnt\system32\cmd.dll gefunden - die anderen beiden Dateien habe ich daher vorsorglich manuell gelöscht.

Die Prüfung erfolgte auf einem anderen System durch Einbau der befallenen Platte als Slave.
Die Dateien konnten dort gelesen werden.


Vielen Dank bereits vorab für jegliche Mithilfe!

Zitat:

Zitat von desos

Laut dem Ausdruck der Polizei, die die Festplatte spiegelten konnten folgende Befunde festgestellt werden:
Email-Worm.Win32.Warezov.dq in c:\winnt\system32\rsvp322.dll
Trojan-Spy.win32.BZup.ip in c:\winnt\system32\cmd.dll
Trojan-Proxy.Win32.Jaber.c in c:\dokumente und einstellungen\benutzer\lokale einstellungen\temporary internet files\content.ie5\squcmxlm

Hallo.

Wieso Polizei, hatte man deinen Rechner einkassiert?

Mach mal noch folgendes:

Datenträgerbereinigung

Zum Starten des Dienstprogramms Datenträgerbereinigung klicke auf Start -> Programme -> Zubehör -> Systemprogramme und klicken anschließend auf Datenträgerbereinigung.
Lass die Partition bereinigen, auf dem dein Betriebssystem installiert ist!
(wird normalerweise automatisch erkannt!)


ComboFix

-Lade dir das Tool hier herunter -> KLICK
-Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen
und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein!


Filelist

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

*Ein Dankeschön an das Forum HijackThis und besonders Karl83 für die Anleitung*


Erstellung eines Hijacklog

-Hier gibt es das Tool -> HijackThis
(nur diese Version benutzen, nicht die BETA-Version!)
-Suche die Datei HiJackThis.exe und benenne sie um in 'This.exe'
(Klick rechte Maustaste -> umbenennen)
-Starte nun mit Doppelklick auf This.exe
-Klicke auf den rot markierten Button Do a system scan and save a log file
-Nach dem Scan öffnet sich ein Editor Fenster, kopiere nun dieses Logfile ab und füge es in deinen Beitrag im Forum mit ein)

MWAV (eScan) - Free Antivirus

-Lies dir folgende Anleitung genau durch und arbeite sie ab
-> Anleitung eScan
Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'.



Gruß
Sunny

Hallo Sunny,

herzlichen Danke - werde mal Deine Schritte "kurz" durcharbeiten.

Thema Polizei: Nein, in dem Fall ganz freiwillige Abgabe - der Trojaner wurde ganz produktiv genutzt, um über eine Bankingsoftware mal ein paar Tausender Richtung Osteuropa abzusetzen. Konnte allerdings alles nochmals rechtzeitig gestoppt werden.

Viele Grüße

Zitat:

Zitat von desos

Hallo Sunny,

herzlichen Danke - werde mal Deine Schritte "kurz" durcharbeiten.

Thema Polizei: Nein, in dem Fall ganz freiwillige Abgabe - der Trojaner wurde ganz produktiv genutzt, um über eine Bankingsoftware mal ein paar Tausender Richtung Osteuropa abzusetzen. Konnte allerdings alles nochmals rechtzeitig gestoppt werden.

Viele Grüße

Also wenn ich ehrlich bin, ich würde an deiner Stelle garkeine Zeit mehr verschwenden, sondern alle privaten Daten sichern und die Systempartition "platt machen".
Das was ich da oben lese wäre für mich Grund genug diesen Schritt zu gehen.

Sehe ich mehr oder weniger genauso. Allerdings will ich sicher gehen, dass in jedem Fall der MBR und Bootsektor in jedem Fall auch bereinigt ist, da ich bereits einigen Einträgen entnommen habe, dass nur neu installieren alleine unter Umständen auch nicht richtig ist, da ggf. Rückstände trotz Neuinstallation bleiben können.

Was kann ich tun um hier sicher zu gehen, dass auch MBR und Bootsektor Virenfrei ist?

Deine Tipps waren, wie mir eben aufgefallen ist, auch eher noch für ein halbwegs lauffähiges System. Ich bekomme die Mühle aktuell gar nicht mehr hoch - der Stop-Fehler kommt auch im abgesicherten Modus.

Als Rückmeldung:

Habe letztendlich wie schon angedacht eine Neuinstallation durchgeführt. Um auch sicher zu gehen, dass der MBR neu geschrieben wird und ohne weiteren Befall ist habe ich eine Sichererung gezogen und die Platte ebenfalls neu partitioniert und neu eingerichtet.

Seither tritt auch der Initialisierungsfehler nicht mehr auf und es ist soweit alles wunderbar, bis auf der Aufwand den ich damit hatte, der aber in dem Fall von Nöten war.

Danke Sunny nochmals für die Tipps.

Viele Grüße