Ist die Platte sehr wichtig?

Die hört sich nämlich einfach kaputt an....
Versuche mal sie zu formatieren. Evtl. funktioniert sie danach wenigstens wieder.... Die Daten sind dann aber natürlich futsch.

Führe bitte folgendes Skript aus:

Zitat:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask('%Tmp%', '*.*', true);
DeleteFileMask('c:\windows\temp', '*.*', true);
begin
DelCLSID('{D9872D13-7651-4471-9EEE-F0A00218BEBB}');
DelCLSID('{5E2121EE-0300-11D4-8D3B-444553540000}');
DelBHO('{1E796980-9CC5-11D1-A83F-00C04FC99D61}');
DelBHO('{CD67F990-D8E9-11d2-98FE-00C0F0318AFE}');
DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
DelBHO('{7F9DB11C-E358-4ca6-A83D-ACC663939424}');
DelBHO('{219C3416-8CB2-491a-A3C7-D9FCDDC9D600}');
DelBHO('{09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5}');
DelBHO('{5C255C8A-E604-49b4-9D64-90988571CECB}');
DelBHO('{02478D38-C3F9-4EFB-9B51-7695ECA05670}');
DeleteFile('C:\Programme\Gemeinsame Dateien\Windows Live\.cache\70e624d41c9da5a\fssclient_x86.msi');
DeleteFile('C:\Programme\Gemeinsame Dateien\Windows Live\.cache\4b8d16921c9b10c\fssclient_x86.msi');
DeleteFile('C:\Dokumente und Einstellungen\aaa\Eigene Dateien\diverses\vob to avi\dvd.exe');
DeleteFile('C:\APPS\ABOARD\MEDIA.exe');
BC_ImportALL;
ExecuteSysClean;
ExecuteWizard('TSW', 3, 3, true);
BC_Activate;
RebootWindows(true);
end.

Deinstalliere danach AdAware und räume mit dem CCleaner auf.

Poste danach zwei frische AVZ logs und ein GMER log.

Zitat:

Zitat von undoreal

Ist die Platte sehr wichtig?

unsere ganzen familienphotos und -videos der letzten 10 jahre sind drauf, deswegen habe ich den thread ja eröffnet, ansonsten bin ich ja bezüglich maleware defense mit meinen "experimenten" nach euren anleitungen eigentlich schon ganz zufrieden gewesen...

Zitat:

Zitat von undoreal

Die hört sich nämlich einfach kaputt an....
Versuche mal sie zu formatieren. Evtl. funktioniert sie danach wenigstens wieder.... Die Daten sind dann aber natürlich futsch.

das befürchte ich ja auch schon immer, vielleicht besorg ich mir ein neues gehäuse oder geb sie in real nem profi oder so.

die platte ist recht neu von conrad, was sagen die wohl, wenn man mit so ner billigplatte, garantie und "wichtigen daten" daherkommt ?

1,5 TB für 99€...

Zitat:

Zitat von undoreal

Führe bitte folgendes Skript aus:

der syntax check sagt :

Code: Alles auswählenAufklappen

ATTFilter

Script error: ';' expected, position [26:4]
         

Zitat:

Zitat von undoreal

Deinstalliere danach AdAware

das hab ich vorgestern schon gemacht.

Zitat:

Zitat:

das hab ich vorgestern schon gemacht.

komisch : C:\Programme\Lavasoft\ gibt es nicht.

muss man vielleicht bei nem avz-scan zuerst die files im logfolder löschen ?

oder hab ich dir alte logs geschickt, weil die blöde platte rumgesponnen hat ?

Nues Skript:

Zitat:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask('%Tmp%', '*.*', true);
DeleteFileMask('c:\windows\temp', '*.*', true);
DelCLSID('{D9872D13-7651-4471-9EEE-F0A00218BEBB}');
DelCLSID('{5E2121EE-0300-11D4-8D3B-444553540000}');
DelBHO('{1E796980-9CC5-11D1-A83F-00C04FC99D61}');
DelBHO('{CD67F990-D8E9-11d2-98FE-00C0F0318AFE}');
DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
DelBHO('{7F9DB11C-E358-4ca6-A83D-ACC663939424}');
DelBHO('{219C3416-8CB2-491a-A3C7-D9FCDDC9D600}');
DelBHO('{09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5}');
DelBHO('{5C255C8A-E604-49b4-9D64-90988571CECB}');
DelBHO('{02478D38-C3F9-4EFB-9B51-7695ECA05670}');
DeleteFile('C:\Programme\Gemeinsame Dateien\Windows Live\.cache\70e624d41c9da5a\fssclient_x86.msi');
DeleteFile('C:\Programme\Gemeinsame Dateien\Windows Live\.cache\4b8d16921c9b10c\fssclient_x86.msi');
DeleteFile('C:\Dokumente und Einstellungen\aaa\Eigene Dateien\diverses\vob to avi\dvd.exe');
DeleteFile('C:\APPS\ABOARD\MEDIA.exe');
BC_ImportALL;
ExecuteSysClean;
ExecuteWizard('TSW', 3, 3, true);
BC_Activate;
RebootWindows(true);
end.

Zitat:

C:\Programme\Lavasoft\ gibt es nicht.

O.K. da sind noch alte jobs vorhanden. Die werden bei einer Deinstallation nicht gelöscht. Ist aber nicht wichtig.

Zitat:

unsere ganzen familienphotos und -videos der letzten 10 jahre sind drauf

Das ist wirklich wichtig!

Das gucken wir uns genauer an wenn wir mit der Malware Beseitigung fertig sind.
Schließe die Platte bis auf weiteres nicht an den Rechner an!

Wenn die Platte recht neu ist (evtl. sogar unter einem Jahr?) dann würde ich mal hingehen und denen sagen: Hier. Ich will die Daten da runter haben.

Grade Western Digital genießt eine sehr guten Ruf was Zuverlässigkeit und Langlebigkeit angeht. Ich denke da sollte ein Recover der Daten bei defekter Festplatte kostenlos drinn sein. Sofern sie noch innerhalb der Garantie ist.

Zitat:

Zitat von undoreal

Poste danach zwei frische AVZ logs und ein GMER log.

ich denke das skript lief gut, avz danach auch, an die logs komme ich grad nicht ran, weil GMER läuft, ich bin am laptop meiner frau und hab den eindruck GMER wird tage brauchen...

ich hab GMER mal wieder abgebrochen, die logs hängen dran.

auf dem laptop kopiert mir testdisk gerade einen teil der sachen, es scheint alles da zu sein.

aber ich kenn mich mit testdisk noch nicht aus, vermutlich kann man das ganz einfach reparieren, das wär angenehmer als ca. 800 gigabite zu kopieren, dazu bräuchte ich eh wieder ne neue platte...

Also irgendetwas stimmt da entweder an deinem PC nicht oder mit deiner Platte.

Der TSW aus dem AVZ hätte den Autorun der Wechselmedien eigentlich ausschalten sollen. Hat er aber scheinbar nicht. Warum auch immer.

Gmer scheint sich auch bei den Devices aufzuhängen. Alles sehr merkwürdig!

Aber du hast doch die Platte nicht wieder angesteckt gehabt oder?


Ich würde vorschlagen, dass wir die Platte jetzt mal genauer auf Viren untersuchen. Ich kann dir aber leider nicht garantieren, dass sie dabei unversehrt bleibt! Eigentlich sollte es keine Probleme geben aber ein Restrisiko besteht halt immer. Daher sage ich das.

Antivirus Live-CD

Drucke dir diese Anleitung aus da sie dir während du mit der Live-CD arbeitest nicht zur Verfügung steht!


1. Brennen und Starten der LiveCD:

• Downloade dir dieses Archiv:
  Code: Alles auswählenAufklappen

  ATTFilter

  http://qshare.com/get/866107/MultiAVBootCD.zip.html
           

• Entpacke die Datei in einen eigenen Ordner. Das Passwort lautet: LiveCD2009
  
• Brenne die entpackte .iso Datei mit einem Brennprogramm deiner Wahl. Kostenlos und gut ist zum Beispiel der CdBurnerXP
  
• Lege die Cd ins Laufwerk ein und starte den Rechner neu. Er sollte nun von der CD booten und einen Auswahlbildschirm auf Italienisch anzeigen. Wenn der Rechner nicht von der CD bootet sondern ganz normal Windows startet musst du im BIOS den boot device ändern.(Google Hilft )

2. Externe Festplatte reparieren:
[LIST][*]Wähle im Auswahlbildschirm die zweite Option (Menu antivirus) aus.
[*]Im folgenden Auswahlbildschirm wähle den zweiten Eintrag (Avvio die GDATA) aus.
[*]Das G-Data Rettungssystem startet nun.
[*]Du wirst automatisch gefragt ob die Virus Signatures aktuallisiert werden sollen bestätige erst durch drücken des Si Buttons und danach mit Ok.
[*]Warte bis das Update beendet ist (100%) und schließe das Fenster durch Klicken des Chiudi Buttons.
[*]Danach kannst du das G-Data AntiVirus Fenster erstmal schließen.
[*]Öffne den File Manager (Gestione file) durch drücken des Akten Zeichens in der Taskleiste.
[*] Stecke die kaputte externe Festplatte an den Rechner.
[*]Navigiere zu dieser kaputten Festplatten. Diese finden sich im Menü auf der Linken Seite unter Filesystem -> mnt ganz unten befinden sollte.
[*]Ich hoffe mal sie wird dan gefunden?
Jetzt ist vorsichtige Handarbeit gefragt!
Alle Bilder sollten ja Dateiendungen wie .jpeg .gif oder so haben.
Du musst dir jetzt die Platte ganz genau angucken und feststellen ob da Dateien drauf sind die ganz offensichtlich keine Bilddateien sind.
Insbesondere autorun.inf, zufälligerdateiname.exe und andere solche komischen Dateien sind verdächtig.
Lösche alle Dateien die keine Bilddateien oder von dir auf die Platte gepackten Dateien sind! Alle! Dafür musst du alle Ordner durchgucken.
Meistens liegen diese schädlichen Dateien aber ganz oben im Dateisystem also direkt unter X:\

Die kaputte, nun nur noch Bilddateien entahltende externe Festplatte lässt du bitte die SChädlingssuche über am Rechner stecken!
Bei den jetzt folgenden Scans wirst du evtl. den Suchbereich festlegen müssen. Wähle dann immer alles aus. Also auch deine kaputte externe Festplatte sodass sie mit durchsucht wird.


3. Schädlingssuche:


Viele Rootkits verändern beim Windows Start ihren Namen. Daher ist es wichtig, dass während der folgenden Prozedur der Rechner nie das normale Windows Betriebssystem startet sondern immer von der LiveCD bootet. Solltest du mal nicht schnell genug die CD ins Laufwerk bekommen oder das BootMenü verpassen so drücke den Reset Knopf am Computer um zu verhindern, dass Windows gestartet wird.


G-DATA:

• Starte nun die Schädlingssuche.
• Anfallende Log/Bericht Dateien speichere unbedingt!!
• Schreibe dir außerdem die Funde ab!!
• Nachdem G-Data durch ist starte den Rechner neu.

F-Secure:

• Boote wieder von der CD und mache mit F-Secure weiter (Avvio di F-Secure).
• F-Secure updatet sich von alleine. Klicke dich durch die Dialoge und starte den Scan.
• Log/Bericht Dateien auf jeden Fall speichern und Funde abschreiben!!
• Nachdem der Scan beendet ist starte den Rechner neu.

DrWeb:

• Boote wieder von der CD und wähle (Avvio di DrWeb) aus.
• Danach wähle den ersten Eintrag DrWeb-LiveCD aus.
• Klicke im Hauptfenster unbedingt den grünen Button (Update Bases)!
• Danach starte den Scan durch drücken des Start Buttons.
• Log/Bericht Dateien auf jeden Fall speichern und Funde abschreiben!!
• Nachdem der Scan beendet ist starte den Rechner neu.

Kaspersky:

• Boote wieder von der CD und wähle (Avvio di kaspersky) aus.
• Danach wähle den ersten Eintrag rescue aus.
• Kasperksy09 startet. Das Update sollte automatisch starten. Wechsel in den Update Reiter und stelle sicher, dass das Update durchgeführt wird. Startet das Update nicht so starte es bitte manuell. Warte bis das Update beendet wurde und die Siganturen aktuell sind.
• Setze unter Settings -> Scan: den Haken bei All Archives.
• Wähle unter Settings -> Threads and Exclusions -> Settings: alle Bedrohungen aus. Einen Haken musst du selber für "other Programms" setzen.
• Wähle dann im Hauptfenster alle deine Festplatten sowie die Laufwerksbootsektoren aus (einfach alles auswählen!) und starte den Scan.
• Ist der Scan beendet rufe das log auf und speichere es.
• Schreibe dir außerdem wie immer alle Funde auf ein Blatt Papier ab!!

Alle Log/Bericht Dateien sowie die abgeschriebenen Funde packe bitte per G-Data Rettungssystem wie oben beschrieben auf einen USB-Stick und poste sie uns. Dazu musst du einen anderen PC benutzen da du den infizierten Rechner wie gesagt nur über die Live CD booten darfst bis du von uns andere Anweisungen bekommst.
Solltest du keinen anderen PC zur Verfügung haben bietet das DrWeb Live System einen integrierten FireFox an. Du kannst also von der DrWeb-LiveCD booten, FireFox aufrufen, das Trojaner-Board besuchen und uns die Funde posten.

es kann sehr gut sein, dass mein comp nicht allzu "normal" ist, ich kann das nicht wirklich beurteilen.

nur ein beispiel : seit fast nem jahr läuft yahoo messenger nicht mehr, jetzt habe ich ne 3 jahre alte version 8 oder so ähnlich installiert und die läuft.

meine installation ist uralt, ich glaub sogar es ist noch die erste von packard bell und überladen mit viel zu viel, von dem ich meine es zu brauchen, das ist ja immer der grund warum man nicht neu aufsetzen will, weil man sich so oft schon geärgert hat über die verschwundenen sachen, die man vergessen hat zu sichern vorm neuaufsetzen, so geht´s mir damit zumindestens immer.

aber eigentlich lief der comp problemlos bis zu der nummer mit malware defense und bis auf die eine externe platte läuft er ja auch jetzt ständig völlig ok.

nein, die kaputte platte war nicht dran bei den letzten scans, aber die "gute".

testdisk hat mir das dateisystem der komischen platte so gezeigt, wie es sein sollte, dann 640 mb an filmen auf den laptop kopiert, dann ist es abgestürzt, jetzt findet es keine dateien mehr.

der downloadlink zeigt mir immer wieder das :

Zitat:

There has been an internal administration error. The requested file "MultiAVBootCD.zip" could not be processed correctly.

ich probier später nochmal das file zu bekommen.

Hast du die alten Daten von der externen Festplatte also sichern können?

Ich würde dir nämlich langsam wirklich ein Neuaufsetzen empfehlen! Du wirst sonst nicht mehr glücklich werden mit dem Computer!

Bereinigung nach einer Kompromitierung

Hinweis: Die Analyse eines Virenscanners ist völlig unzureichend, um Aussagen über das System zu machen!

Leider tauchen momentan immer mehr Schädlinge auf die sich in den Master Boot Record, kurz MBR einschreiben. Dieser wird bei einer herkömmlichen Neuinstallation nicht komplett überschrieben und stellt somit ein erhebliches Sicherheitsrisiko dar. Vor der Neuinstallation sollte daher sichergegangen werden, dass der MBR in Ordnung ist.

Master Boot Record reparieren:

Vista:

Um die Wiederherstellungskonsole zu starten, einfach die Windows Vista DVD in das Laufwerk legen und davon booten.
Nach kurzer Zeit wird nach den gewünschten Länder und Spracheinstellungen gefragt.

Im anschließenden Fenster kann man über den Eintrag "Systemwiederherstellungsoptionen" die Wiederherstellungskonsole öffnen.

Durch klicken auf "Weiter" wird Windows veranlasst nach gültigen Windows Installationen auf der Festplatte zu suchen. Anschließend wird eine Liste der gefundenen Installationen zur Auswahl angezeigt.

Nach der Auswahl der gewünschten Windows-Version wird ein neues Fenster geöffnet welches die folgenden Möglichkeiten anbietet:

- Systemreparatur: Automatisches Reparieren von Windows Startproblemen (Bootsector usw.)
- Systemwiederherstellung: Herstellen von Windows über vorhandene Wiederherstellungspunkte
- Windows Komplett Wiederherstellung: Komplettes wiederherstellen eines Windows-Backups
- Windows Speicher Diagnose Tool: Arbeitsspeicher auf Fehler überprüfen (Neustart erforderlich)
- Eingabeaufforderung: Kommandozeile/Eingabeaufforderung

Öffne die Eingabeaufforderung, gib Bootrec.exe ein drücke Enter.

Wähle die /FixMBR Option. fixmbr reinschreiben und Enter drücken.


XP:

Um die Wiederherstellungskonsole zu starten, einfach die Windows XP CD in das Laufwerk legen und davon booten.. Wenn du dazu aufgefordert wirst, wähle die erforderliche Optionen für den Start von der Installations-CD aus.
Wenn der textbasierte Teil des Setups startet, wähle die Option zum Reparieren oder Wiederherstellen, indem du die Taste [R] drückt.
Gegebenfalls nun das Administratorkennwort eingeben.
Nun gelangst du zur Eingabeaufforderung der Wiederherstellungskonsole.

Dort bitte den Befehl fixmbr eingeben und mit Enter bestätigen.

Um die Wiederherstellungskonsole zu beenden und den Computer neu zu starten, gibst du 'exit' ein.


Einen Personal Computer neuaufsetzen:

Lies dir bitte bevor du dich an die Arbeit machst folgende Anleitung ganz genau durch:

Neuaufsetzen des Systems mit abschließender Absicherung.

Wenn du diese Anleitung zum Neuaufsetzen nicht ganz genau befolgst ist das Neuaufsetzen sinnlos!

Alle Festplatten müssen komplett formatiert werden!

Daten solltest du am besten keine sichern.
Wenn du sehr wichtige, unersetzliche Dateien sichern möchtest so musst du dies nach strengen Kriterien tun:

a) Die Datei darf nicht ausführbar sein. Das heisst sie darf keine der hier aufgeführte Dateiendung haben. Beachte bitte, dass einige Schädlinge ihre Dateiendung tarnen. Abhilfe schafft hier eine vernünftige Ordneransicht.

b) Jede Datei sollte, bevor sie wieder auf den frischen Rechner gelangt mit MWAV durchsucht werden.

c) Auch wenn du die Punkte a) und b) ganz genau einhältst sind die Dateien nicht vertrauenswürdig!!
Schädlinge können auch nicht-ausführbare Dateien wie .mp3 .doc usw. infizieren!! Und MWAV sowie andere AV-Scanner findet nur einen Bruchteil aller infizierten Dateien!

Außerdem sollte die Sicherung über eine LiveCD geschehen da sich Viren gerne an Dateien anhängen oder externe Datenträger infizieren.
Das wird durch die Nutzung einer LiveCD verhindert.
Auf Grund der bekannten Oberfläche empfehle ich VistaPE.
Die PC-Welt stellt folgendes Paket zur Erstellung bereit: http://www.hitech-blog.com/wp-conten...pcwVistaPE.zip
Downloade dir das Paket, entpacke es in einen eigenen Ordner und starte das Setup durch einen Doppelklick auf die pcwVistaPE.exe.
Es öffnet sich ein Setup welches dich in mehreren Schritten durch den Installations- und Brennvorgang führt. Danach steht dir eine LiveCD zur Verfügung welche du in dein Laufwerk einlegst und den Rechner neustartest.
Der PC sollte dann von der LiveCD booten, dass heisst er startet das Mini Betriebssystem von der CD.
Sollte er das nicht tun so musst du im BIOS den First Boot Device auf CD/DVD-Rom ändern. Wie das geht findest du bei google...


Nachdem du neuaufgesetzt hast musst du unbedingt alle Passwörter und Zugangsaccounts ändern!!!

Zitat:

Zitat von undoreal

Hast du die alten Daten von der externen Festplatte also sichern können?

da sind ca. 800 G drauf, ich hab versucht ca. 80 G von dem familyzeugs zu kopieren, davon hat testdisk nur 640 mb geschafft bevor es sich aufgehängt hat, ich hab momentan eh keinen anderen platz für die 800 G.

Zitat:

Zitat von undoreal

Ich würde dir nämlich langsam wirklich ein Neuaufsetzen empfehlen! Du wirst sonst nicht mehr glücklich werden mit dem Computer!

ich bin nicht unzufrieden mit dem comp und dem system, dass er eigentlich neu aufgesetzt gehört, weiss ich schon lange, aber ich mach mir immer noch sorgen, dass das problem mit malware defense und die geschichte mit der platte zusammenhängen, dann würde ich sofort wieder alles verseuchen, selbst wenn ich mir nen neuen comp kaufe würde und den laptop meiner frau habe ich mit der platte vielleicht auch schon verseucht.

Du sollst dir keinen neuen Computer kaufen!

Du sollst den den du hast nur neu machen. Das geht wesentlich schneller als das ganze herumgedoctore was wir hier grade machen.

Zu dem Problem des wieder verseuchens: Ich würde dir helfen den neuaufgesetzten Computer so einzurichten, dass er nicht einfach so von der Platte aus befallen werden kann. Das ist nicht schwierig.

Außerdem versuche ich ja grade die Platte zu untersuchen.

Führe bitte die Schritte durch die ich dir unter AntiVirus Live CD gepostet habe. Das ist erstmal das wichtigste.
Egal ob du dich dazu entschließen solltest deinen Rechner mal neu zu machen oder nicht.

Nachdem du mit der AV Live CD die Platte untersucht und bereinigt hast stöpsel sie vom Rechner ab und stecke sie auf keinen Fall wieder an den verseuchten Rechner!
Du darfst danach nurnoch von sauberen PCs oder von der Live CD auf sie zugreifen! Das verhindert eine wieder Infektion.

Zitat:

Zitat von undoreal

Downloade dir dieses Archiv:

Code: Alles auswählenAufklappen

ATTFilter

http://qshare.com/get/866107/MultiAVBootCD.zip.html
         

könntest du oder jemand anderer mal checken, ob der download geht oder ob ich mich nur zu dumm anstelle ?

Habe ich gestern schon. Müsste eigetlich funktionieren. Tut es bei mir jedenfalls.

Dauert zwar etwas weil der Download sehr groß ist aber es funktioniert.

Versuche mal meinen Download Link den ich grade von q-share zugeteilt bekommen habe:
http://c1.qshare.com/free2/8180AEAB3...tiAVBootCD.zip
Evtl. Klappt das ja.

falsche ip, geht nicht für free-user.

muss mal am anderen comp versuchen.

frustrierend ist halt, dass wir nicht vorwärtskommen, weil mein system irgendwie nicht mehr so richtig kompatibel ist, das ist zumindest mein eindruck jetzt.

Code: Alles auswählenAufklappen

ATTFilter

http://qshare.com/get/866107/MultiAVBootCD.zip.html
         

ich hab´s echt oft von 2 comps und verschieden browsern aus versucht, ich hab´s auch als registrierter user versucht, ich bekomm das ding einfach nicht zum laufen.