Hallo liebe Trojaner-Board-User,
nachdem ich schon seit langer Zeit als stiller Leser immer wieder hier lande, hat es mich jetzt doch mal so erwischt, dass ich nicht mehr weiter weiß. Stundenlanges googeln brachten mich leider auch nicht weiter.
Aber von Anfang an:
Vor 2 Tagen habe ich mich beim Suchen nach einer freien Schriftart quer durch Google geklickt. Hierbei bin ich laut Avira (9) offensichtlich auf eine infizierte Webpage gekommen. Auf die Avira-Meldung reagierte ich mit "Zugriff verweigern" (wie empfohlen). Daraufhin öffnete sich ein Fenster, das mir mitteilte, dass mein Computer nun in 60 Sekunden heruntergefahren würde, und dass ich da auch nichts dagegen tun könne.
Nach dem Shutdown ließ sich der Laptop auch nicht mehr dazu bewegen hochzufahren. Er schafft es bis zum Windows Lade-bildschirm, bringt dann für etwa 1 Sekunde einen Blue-Screen und schaltet sich ab.
Soweit so gut, ich mich also vor Google an meinem Desktop-PC gesetzt und gesucht.
Gefunden habe ich, dass das Problem wohl typisch für den Blaster-Wurm ist. Ich downloadete also von Symantec (hxxp://www.symantec.com/security_response/writeup.jsp?docid=2003-081119-5051-99) ein Removal-Tool.
Nun habe ich den Laptop im abgesicherten Modus hochgefahren und besagtes Tool, sowie Avira und Hijack-This (trotz abgesicherten Modusses) durchlaufen lassen.
Die Ergebnisse waren eher mau:
Das Removal-Tool sagte mir: den Blaster-Worm hast du nicht
Avira sagte mir: Einen Virus hast du nicht...
und Hijack this brachte mir in einem logischerweise verkürzten Log nur einen Malware-Eintrag, über den ich bei Google reichlich wenig gefunden habe und den ich gefixd hab:
Zitat:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:29:43, on 03.04.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Safe mode
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = hxxp://de.yahoo.com/fsc/
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Muscbrigade] c:\Musicbrigade\Musicbrigade.exe check
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [VMware hqtray] "C:\Programme\VMware\VMware Player\hqtray.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [PDFPrint] C:\Programme\pdf24\pdf24.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe
O4 - HKCU\..\Run: [AutoStartNPSAgent] C:\Programme\Samsung\Samsung New PC Studio\NPSAgent.exe
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Programme\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [Getdo] rundll32.exe "C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Adobe\Update\flacor.dat""
O4 - HKCU\..\Run: [Helper] C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Helper\bin\liveu.exe
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: LRZ VPN Client.lnk = C:\Programme\LRZ VPN Client\vpngui.exe
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - c:\Programme\LRZ VPN Client\cvpnd.exe
O23 - Service: FsUsbExService - Teruten - C:\WINDOWS\system32\FsUsbExService.Exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: ServiceLayer - Nokia - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Player\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
--
End of file - 6091 bytes
|
Nun gut, nachdem ich also keinerlei Hilfe gefunden habe, dachte ich mir, is egal, machste das Ding platt. Und dann hat er mich ein bisschen geschockt. In der Datenträgerverwaltung (abgesicherter Modus) wird meine Festplatte nicht angezeigt. (nur das DVD-Laufwerk).
Kurzer Check im Bios: Hier ist die Festplatte aber vorhanden
Kurzer Check im Linux-System (auf 2. Partition auf der selben Festplatte): Der Ordner C/Windows ist zwar vorhanden, aber leer. Wenn ich versuche über Sysinfo zu gucken findet er von 80 GB Festplatte nur die 33Gb der Linux-Partition.
Das Norton Internet Security Recovery Tool spuckt auch keinerlei Ergebnisse beim Virenscan aus.
Meine Frage jetzt: Gibt es eine Möglichkeit irgendwie diese blöde Partition zu löschen oder vielleicht auch zu reparieren? Das Problem ist nämlich, erstens brauche ich den Laptop natürlich und zweitens hänge ich in einem Netzwerk mit anderen Computern, die besser nicht angesteckt werden sollten.
So zum Schluss noch einige Daten zu meinem System:
Fujitsu Amilo Pi Laptop
2*1,6 Ghz Taktung
Partitionierte Festplatte (33Gb Linux, Rest Windows)
System: Windows XP Home (+ SuSe Linux 11.2)
Sicherheitsprogramme:
Avira Personal Free 9
Zonelabs ZoneAlarm free
Hijack this (Trend Micro)
CcCleaner (übrigens auch ohne Ergebnis)
AdAware
Danke schon mal für's lange durchlesen!
Viele Grüße,
Julia
PS: Kurzes Update: nachdem meine Original-Windows-XP-CD die Reparatur-Konsole nicht öffnen konnte (ich hatte nämlich auch evt. auf einen Fehler im MBR getippt), kommt die original-Siemens-Windows-XP zumindest soweit dass die Festplatte mit Windows darauf erkannt wird. Momentan versucht er zu reparieren.
Update 2: Er installiert jetzt Windows XP drüber. Sobald das drauf ist bekommt ihr einen ausführlichen Hijack-This-Log.
05.04.2010, 13:21
Baum-Darstellung