Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   BOO/Whistler.A im Bootsektor D:. Festplatte D: verschwunden/kein Zugriff (https://www.trojaner-board.de/101307-boo-whistler-a-bootsektor-d-festplatte-d-verschwunden-kein-zugriff.html)

Bleiber 15.07.2011 17:42

Nee, sonst wurde bei mir nichts gefunden. Zwei weitere Personen haben das Problem wie folgt gelöst:

1. Test Disk installieren hxxp://www.cgsecurity.org/wiki/TestDisk_Download

2. Nach der Anleitung die Partitionen wiederherstellen: hxxp://www.pc-magazin.de/ratgeber/testdisk-festplatten-wiederherstellen-132506.html


so vorgehen? Ist damit der Virus auch gelöscht?

Grüße

cosinus 15.07.2011 22:13

Nein, diese Vorgehensweise hat erstmal nur bei dir so geholfen.
testdisk ist ein mächtiges Tool und will ich keinem Laien zumuten. Das Neuerstellen mit "offiziellen" Mitteln ist schon schwierig und umständlich genug. Nur das Neuerstellen des MBR reicht auch so pauschal nicht aus.

Bleiber 16.07.2011 10:32

Moin,

Ich habs noch nicht durchgeführt, sondern hab auf deine Antwort gewartet. Was wäre nun der nächste Schritt?

Grüße

cosinus 16.07.2011 16:10

MOment, was hast du nciht nicht durgeführt? Das mit Testdisk? :dummguck:
Wird der BOO/Whistler.A im Bootsektor D denn noch gemeldet? :wtf:

Bleiber 16.07.2011 16:31

Nee, Testdisk noch nicht durchgeführt. Also Habe es ausgeführt, aber die Daten noch nicht wieder hergestellt.

Meine Frage ist nun, wenn ich die Daten mit Testdisk auf C: Überspiele, wie krieg ich laufwerk D: wieder zurück? Formatieren oder über Testdisk wiederherstellen? Bzw. kann Testdisk das?

Also D: fehlt immer noch und damit auch jegliche Zeichen vom Boo.Whistler.A

Danke und Grüße

cosinus 16.07.2011 16:43

Lass erstmal die Finger von Testdisk.

Zitat:

Also D: fehlt immer noch und damit auch jegliche Zeichen vom Boo.Whistler.A
Ähm, D: wird nicht angezeigt und die Meldung über den Boo.Whistler.A auch nicht?
Wie sieht es in der Datenträgerverlwatung aus, gibt es da eine Partition D, wenn ja wie wird die dargestellt? Am besten einen Screenshot machen

Bleiber 17.07.2011 17:05

Moin moin,

Also D: ist wieder da. Hab die folgende Anleitung von TestDisk befolgt:

hxxp://forum.computerbild.de/pc-hardware/festplatte-ploetzlich-verschwunden_105023.html

Ich überprüfe gerade Laufwerk D: mit Anti-Maleware.

Grüße

cosinus 17.07.2011 18:10

Ok, gut, dann hast du Glück gehabt, dass Testdisk alles wiederherstellen konnte. Aber eigentlich ist das Tool nichts für ungeübte Hände.

Rechner wieder im Lot? Oder noch Probleme bzw. andere Funde da?

Bleiber 18.07.2011 07:45

Morgen,

Hab Aniti-Maleware, SuperAtnispyeware und AntiVir über D: Laufen lassen.

Maleware und Antivr haben nichts gefunden.

Bei Anitspyware war ein Virus und ein cookie. Die infizierte Datei ist aber schon länger auf der Festplatte und wurde auch ewig nicht benutzt.

Irgendwie hab ich jetzt aber 3 DVD-Laufwerke und es sollten nur 2 sein:

1. Philips DROM616
2. NEC DVD_RW ND-3550A
3. DTSoftBusCd00 -> meine das wäre fake.

Code:

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 07/17/2011 at 07:21 PM

Application Version : 4.55.1000

Core Rules Database Version : 7411
Trace Rules Database Version: 5223

Scan type      : Complete Scan
Total Scan Time : 00:42:01

Memory items scanned      : 654
Memory threats detected  : 0
Registry items scanned    : 6772
Registry threats detected : 0
File items scanned        : 35880
File threats detected    : 2

Adware.Tracking Cookie
        C:\Dokumente und Einstellungen\kingkong\Cookies\kingkong@doubleclick[2].txt

Trojan.Agent/Gen-Krpytik
        D:\***\***\***\***.EXE


Noch eine Idee, wo ich noch bzw. wie ich noch suchen kann?

Grüße

cosinus 18.07.2011 10:12

Zitat:

Trojan.Agent/Gen-Krpytik
D:\***\***\***\***.EXE
Was wurde da zensiert?

Bleiber 18.07.2011 10:27

Moin,

die Datei hab ich zensiert. War eine exe Datei zu einem Spiel, das Online erworben wurde :rolleyes: Den entsprechenden Ordner hab ich auch direkt gelöscht. Das liegt aber auch schon über 2 Jahre zurück und wurde seitdem nicht mehr genutzt.

cosinus 18.07.2011 10:33

Zitat:

3. DTSoftBusCd00 -> meine das wäre fake.
Du nutzt Daemon-Tools ohne zu wissen was das Programm genau macht?! :confused:
DT erstellt virtuelle Laufwerke, genau dazu ist es da - und du wunderst dich dann über ein zusätzliches Laufwerk?

Zitat:

die Datei hab ich zensiert. War eine exe Datei zu einem Spiel, das Online erworben wurde
Und warum musste das zensiert werden? Versteh ich nicht ganz :pfeiff:

Zitat:

Noch eine Idee, wo ich noch bzw. wie ich noch suchen kann?
Warum? Welche Probleme genau sind jetzt noch offen?

Bleiber 18.07.2011 12:11

Gut damit erklärt sich die Herkunft des Laufwerks. Mann muss ja nicht alles wissen :)

Nee, keine Probleme soweit mehr offen. Die haben wir (hoffentlich) alle gelöst bzw. gelöscht.

Ich möchte mich an dieser Stelle noch einmal bei dir für die Unterstützung bei der Problemlösung und deine Zeit, die ich in Anspruch genommen hab bedanken. Dieses Forum hat mir wirklich weitergeholfen, top!

Ich werde die anderen Threads zum Whistler weiter verfolgen und gucken, ob der bei irgend jemand noch einmal auftaucht.

eine letzte Frage bleibt noch: was soll ich löschen? Defogger ausführen und Otl, GMER, combofix deinstallieren?

Grüße

cosinus 18.07.2011 13:29

Dann wären wir durch! :abklatsch:

Die Programme, die hier zum Einsatz kamen, können alle wieder runter. CF kann über Start, Ausführen mit combofix /uninstall entfernt werden. Melde dich falls es da Fehlermeldungen zu gibt.
Malwarebytes zu behalten ist kein Fehler. Kannst ja 1x im Monat damit scannen, aber immer vorher ans Update denken.

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update


PDF-Reader aktualisieren
Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast)

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink:

Mozilla und andere Browser => http://filepony.de/?q=Flash+Player
Internet Explorer => http://fpdownload.adobe.com/get/flas..._player_ax.exe

Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind.


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.


Alle Zeitangaben in WEZ +1. Es ist jetzt 05:14 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131