So wie es aussieht habe ich anscheinend den einzigen Virus weltweit erwischt gegen den es keine Rettung gibt ausser neu Formatieren der Platte. Jetzt bin ich gespannt ob Ihr das genauso seht.
Also, der Virus ist seit MONATEN bei mir zuhause auf der Festplatte im MBR beheimatet und ich bin eigentlich nur noch damnit beschäftigt KLONS von meiner FP zu machen und immer dann wenn der Virus wieder zugeschlagen hat einen der KLONE zu verwenden und als erstes einen neuen KLON zu machen.

Die Profis im Nickles Forum sagen auch es gibt nur eine CHANCE: Neuinstallation
Kaspersky finden den Virus auch nicht. Und auch andere Scanner sind völlig Blind.

Und so macht sich der Virus bemerkbar:

Ich schalte den PC aus.

Wenn ich ihn dann wieder einschalte, dann fährt er entweder ganz normal hoch (was ok ist)
oder der Bildschirm bleibt schwarz und links unten sind 4 Zeichen zu sehen:

YooYoo

die beiden oo sind in wirklichkeit eine liegende 8

Es ist kein F8 möglich.

Es ist auch keine andere F Taste möglich.


Ich kotz ab.

Kennt einer von euch eine Möglichkeitdas Ding wieder loszuwerden?

Hi,

probiere mal das hier:
MBR-Rootkit
Lade den MBR-Rootkitscanner von GMER auf Deine Bootplatte:
http://www2.gmer.net/mbr/mbr.exe
Merke Dir das Verzeichnis wo Du ihn runtergeladen hast;
Start->Ausführen->cmd
Wechsle in das Verzeichnis des Downloads und starte durch Eingabe
von mbr das Programm...
Das Ergebnis sollte so aussehen:

Zitat:

D:\Downloads>mbr
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

In dem Verzeichnis wo mbr.exe liegt findest Du das Log,
poste es im Thread;

chris
Hmm, der scheint sich in einen geschützten Bereich der HD zu hängen, wo ihn auch ein neuschreiben des MBR nicht erwischt, auch format nicht. Die HD muss etwas neu partitioniert werden, damit sich die relativen Sektoren "verschieben"... Unklar ist, ob er sonstige Dateien (com etc.) infiziert....

das hier ist mein log:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.6 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK



und was nun ? ich habe partition magic, soll ich damit was machen ?

Hi,

wenn Du ein Backup hast würde ich wie folgt vorgehen:
Von (Windows-CD)CD booten, Festplatte formatieren und neu partitionieren (einfach eine neue Partition anlegen). Dazu ein zweites mal booten (hast du Partion Magic auf CD). Danach das Backup einspielen, dabei allerdings darauf achte, dass der MBR nicht zurückgespielt wird, wenn möglich auch das zurückspielen der "ersten" Spur nicht zulassen (das geht zumindest bei Paragon)...

chris

Ich habe lediglich eine geklonte Platte, also ein 1:1 Spiegelbild. Damit gehts wohl nicht , oder ?

so sieht er übrigens aus, der MF:

Y∞Y∞

Hi,
das dürfte das Problem sein. Mit dem Einspielen des Backups spielst Du auch immer wieder den Virus mit drauf...
Mache mal ein Backup damit (hoffe ich habe die richtige Version erwischt, ich hab die Vorgängerversion full...)...
http://www.freeware.de/download/para...ess_37485.html

chris

Ich bin gerade mit dem Klon da, heute früh hat es mich wieder erwischt, muss erst einen neuen Klon machen um das auszuprobieren. bis später und danke schon mal, ich werde das mit dem umwandeln auf FTA zuerst probieren

Bevor ich die Platte von NTFS auf FAT32 wandle eine Frage noch :
Wirkt sich das auf die Programme und auf windows selber gar nicht aus ? Die Platte ist übrigens eine 500 er.

Vor 3 Tagen habe ich meine Hauptpartition (Festplatte C)mit Hilfe von "Power Quest - Partition Magic" von 150 GB auf 100 GB verkleinert. Ich weiss nicht ob das Zufall ist und der YooYoo Virus noch kommt oder ob das Neuschreiben des MBR durch Partition Magic schon die Lösung war, aber bis jetzt verhält er sich ruhig.

Diese Lösung, wenn sie es denn ist , funzt aber nur wenn man einen funktionierenden Klon seiner Platte hat. Ob das auch bei einer FP mit einem aktiven YooYoo Virus hilft kann ich nicht sagen.
Mehr demnächst

Hi,

das wäre nicht schlecht, wenn er durch das "resizen" der Platte eleminiert weden könnte. Das Umwandlen von NTFS auf FAT32 hat verschiedene Nachteile, bestimmte Infos gehen verloren (Streams etc.). Filegröße ist auf max. 4GB begrenzt, Partitionsgröße auch (änder sich aber mit der Blocksize ->http://de.wikipedia.org/wiki/File_Al...on_Table#FAT32)...

Halte uns auf dem Laufenden....

chris

Auf 4 GB begrenzt ?

Ich kann also Partition C gar nicht auf FAT 32 umwandeln wenn sie 150 GB gross ist ?

Wenn jemand das hier liest bei dem der Virus bereits zugeschlagen hat und der deswegen seine FP nicht mehr starten kann dem empfehle ich mal folgendes:
Ein Kumpel soll Partition Magic Installieren und dann das 2 teilige Rettungsdisketten Set damit herstellen.
Diese soll er dann in seinem PC starten und dann mit Partition Magic die Partition auf der Windows ist (also C) verkleinern. Es genügt schon ganz wenig, Hauptsache der MBR wird neu geschrieben. Ich vermute mal dass dann der verseuchte MBR beseitigt ist.

Ok, hier nochmal der Vollständigkeit halber der gesamte Vorgang:

Also, ich glaube ich habe ein Mittel gegen den Y∞Y∞ Virus gefunden. Allerdings habe ich die Nachfolgende Methode nicht mit einer Festplatte gemacht auf der der Virus bereits aktiv wurde sondern auf einer auf der er noch im Schlummerzustand war. Vielleicht funktioniert es ja trotzdem auch auf einer aktiv befallenen FP.

Wenn jemand den Y∞Y∞ Virus auf seinem Rechner hat und das hier lesen kann dann ist er entweder mit einem Klon der Festplatte hier, so wie ich monatelang, oder er ist auf einem anderen Rechner online.

Also, hier meine Anleitung:

Installiere Partition Magic 8:

http://www.pcwelt.de/start/sof ... _magic_80/

Erstelle damit 2 Rettungsdisketten (Oben bei "Tools" auf "Rescue Disks" klicken)

Starte dann den infizierten Rechner damit.

Klicke dann die Hauptpartition (C) mit der rechten Taste an und wähle "Resize / Move"

Verkleinere dann diese Hauptpartition um einige wenige GB. Wieviel ist egal, hauptsache kleiner.
Klicke dann links unten auf "Apply"

Dann beginnt das Programm zu arbeiten.

Danach ist Deine Hauptpartition ein wenig kleiner und ein neuer MBR wurde geschrieben, der dann höchstwahrscheinlich ohne den YooYoo Virus ist.

Bei mir hat er sich jetzt schon seit etlichen Tagen nicht mehr gemeldet, also gehe ich davon aus dass es stimmt, wenn nicht dann werde ich das in den nächsten Tagen berichtigen.

Alle nachfolgenden Partitionen haben allerdings nun den falschen Laufwerksnamen, deswegen muss man das neu entstandene Partitiönchen umbenennen in einen Buchstaben am Ende des Alphabets (in "X" oder "Y"), und anschliessend kann man den alten Partitionen wieder ihren ursprünglichen Buchstaben geben damit die Verlinkungen wieder stimmen.

Ich bitte um Feedback wie es bei Dir gelaufen ist und ob es geklappt hat.

Hallo,

alles sehr mysteriös. Ich hatte den Virus auf meiner Boot-Platte.
Ich habe dann ein paar mal den MBR neu geschrieben, Rechner ließ sich booten
und lief dann normal, ja, bis zum nächsten Neustart. Ich vermute mal, der Virus
hat sich ganz woanders versteckt und hat sich dann in den MBR "reingeschrieben".
Ich habe dann die ganz harte Tour gemacht: Meine Daten, die ich noch brauche,
gesichert und dann die Platte formatiert, den Anfang der Platte mit Nullen überschrieben, neu partitioniert und Windows neu aufgesetzt. Das ist nicht die
elegante Methode, aber ein frisches Windows hat doch auch was und der Datenmüll der letzten 2000 Jahre ist auch weg.

H-Sittich

sittich, mit was hast du denn den mbr neu geschrieben ?

Hi,

es deutet alles darauf hin, das sich das Teil am Ende der Partition niederlässt, so das durch dass verkleinern der Partition eliminiert wird. Unklar ist mir die Aufrufsequenz (wann wird es wie ausgeführt). Irgendwo müsste ein Verweis existieren... . Vielleicht wird auch die Kopie der MFT geändert, so dass Windows bei ausführen die Differenz erkennt und das Teil einfach wieder aktiv setzt, so dass ein einfaches schreiben des MBR und der ersten MFT nicht aussreicht, sondern die MFT und ihre Kopie gleichermaßen bereinigt werden muss...

Aber ich bin leider kein HDD und NTFS-Fachmann, Fakt ist, das über booten von einer sauberen CD und der anschließenden Verkleinerung der HD yoyo entsorgt wird.

chris