BOO/Whistler.A im Bootsektor D:. Festplatte D: verschwunden/kein Zugriff
 

Hallo,

Ich habe ein Problem mit dem Virus BOO/Whistler.A. Die Suche auf Google bringt nur 2 brauchbare Ergebnisse. Eines führt in dieses Forum (Fall wurde noch nicht bearbeitet) und beim zweiten in ein engl. Forum (auch noch nicht gelöst und von heute).

Das Problem:

AntiVir hat mir heute Morgen folgenedes gemeldet:

Die Datei 'Bootsektor 'D:\''
enthielt einen Virus oder unerwünschtes Programm 'BOO/Whistler.A' [virus].
Durchgeführte Aktion(en):
Enthält Code des Bootsektorvirus BOO/Whistler.A.

Danach hat mich Antivir durch ein pop-up unten rechts zum entfernen der Datei aufgefordert. Habe ich angeklickt, aber die Datei wurde weiterhin von Antivir gefunden.

Nach dem Neustart konnte ich nicht mehr über den Arbeitsplatz auf das Laufwerk D: zugreifen und auch unter start->ausführen wird D: als nicht vorhanden gemeldet.

Hab dann Malewarebytes installiert und einen vollscann ausgeführt. Zu beachten ist, dass ein Zugriff auf D: bei allen nachfolgenden Scans nicht Möglich war.

Nun bin ich nach der Anleitung im Forum vorgegangen. Leider hab nicht rausgefunden, wie ich die Logifles direkt in einem Fenster in meinem Post veröffentlichen kann, daher alle Logfiles im Anhang:

1.Schritt

defogger -> durchgeführt

2.Schritt

OTL Scan vorgenommen

4. Schritt

Gmer gescannt

5. Schritt

Malwarebytes logfile.


Ich hoffe es hat jemand eine Idee. Falls ich die Logfiles im post integieren soll, bräuchte ich dafür schon einen Tipp :) Danke

Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind.

Hallo Arne,

Also ich hab noch 3 weitere Dateien gefunden. Mehr ist aber nicht unter dem Reiter Logdateien im Maleware gespeichert.

Hier noch die zusätzlichen Infos aus dem Antivirbericht:

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[FUND] Enthält Code des Bootsektorvirus BOO/Whistler.A
[HINWEIS] Der Sektor wurde erfolgreich neu geschrieben!
Bootsektor 'D:\'
[FUND] Enthält Code des Bootsektorvirus BOO/Whistler.A
[HINWEIS] Der Bootsektor wurde nicht repariert

Ich hatte den Suchlauf aber nicht komplett beendet, was wahrschienlich nicht sehr sinnvoll war.

Bei der ersten Warnung meinte Antivir, dass Boo/Whistler.A unter C:\WINDOWS\system32\NtmsData zu finden ist. Leider weiß ich den exakten Namen der Datei nicht mehr und Antivir findet den Fehler nicht mehr.


Grüße

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.

http://www.trojaner-board.de/attachm...rnen-start.png


Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
http://www.trojaner-board.de/images/icons/icon4.gif Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif

Hallo,

Also ich kann noch auf alle Daten auf C: zugreifen. Hab zwei Festplatten und das gesamte System ist auf C: gespeichert. Auf D:sind meine persönlichen Daten gespeichert, auf die ich momentan nicht zugreifen kann.

E:-F: steht für Wechseldatenträger und I: und J: sind Laufwerke, falls die Infos wichtig sind.


Anbei der Logfile von TDSS-Killer

Grüße

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hey Arne,

anbei die Log Datei von Combofix. Ich hab die Wiederherstellungskonsole noch nicht installiert, weil ich in dem moment nicht im Netz war. Soll ich Combofix erneut ausführen?

Anbei die Log Datei:
Combofix Logfile:
--- --- ---

Wir brauchen die Wiederherstellungskonsole:

Gehe auf die Microsoft Seite => http://support.microsoft.com/?scid=kb%3Bde%3B310994&x=21&y=12

Wähle den Download, der für dein Betriebssystem bestimmt ist:
Hinweis: Für WinXP Sp3 wähle die Sp2 Version.

http://i94.photobucket.com/albums/l8...ungskonsol.png

Lade die Datei herunter und speichere diese mit dem original Namen, neben ComboFix.exe ab (bzw. cofi.exe wenn umbenannt)

http://i94.photobucket.com/albums/l8...onsole_ani.gif

Nun schließe alle offenen Programme und Fenster, inklusive der Antiviren und Antimalware Programme. Dies ist notwendig, damit kein Program den Suchlauf von ComboFix behindert.

• Ziehe die Setupdatei auf ComboFix.exe und lasse es los.
• Folge den Aufforderungen um ComboFix zu starten und wenn Du dazu aufgefordert wirst, stimme den Nutzungsbedingungen zu um die Wiederherstellungskonsole zu installieren.
• Bei der nächsten Eingabeaufforderung, klicke auf "Yes" um den vollständigen Suchlauf von ComboFix zu starten.
• Bitte poste mir den Inhalt von C:\ComboFix.txt hier in den Thread.

Runtergeladen und installiert.

Anbei der neue Logfile von Combofix:
Combofix Logfile:
--- --- ---

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM!

Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur wenige Sekunden.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Anbei die Logfiles

1.GMER
GMER Logfile:
--- --- ---

2. OSAM
OSAM Logfile:
--- --- ---
If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

3.MBR

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Professional
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x000007f4

Kernel Drivers (total 133):
0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
0x806E6000 \WINDOWS\system32\hal.dll
0xF7987000 \WINDOWS\system32\KDCOM.DLL
0xF7897000 \WINDOWS\system32\BOOTVID.dll
0xF7357000 ACPI.sys
0xF7989000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
0xF7346000 pci.sys
0xF7487000 isapnp.sys
0xF7497000 ohci1394.sys
0xF74A7000 \WINDOWS\system32\DRIVERS\1394BUS.SYS
0xF7A4F000 PCIIde.sys
0xF7707000 \WINDOWS\System32\Drivers\PCIIDEX.SYS
0xF798B000 intelide.sys
0xF74B7000 MountMgr.sys
0xF7327000 ftdisk.sys
0xF798D000 dmload.sys
0xF7301000 dmio.sys
0xF770F000 PartMgr.sys
0xF74C7000 VolSnap.sys
0xF72E9000 atapi.sys
0xF74D7000 disk.sys
0xF74E7000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xF72C9000 fltMgr.sys
0xF72B7000 sr.sys
0xF72A0000 KSecDD.sys
0xF7213000 Ntfs.sys
0xF71E6000 NDIS.sys
0xF789B000 speedfan.sys
0xF71CC000 Mup.sys
0xF7A50000 giveio.sys
0xF7517000 \SystemRoot\system32\DRIVERS\nic1394.sys
0xF76D7000 \SystemRoot\system32\DRIVERS\intelppm.sys
0xF6541000 \SystemRoot\system32\DRIVERS\ati2mtag.sys
0xF652D000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xF6505000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0xF782F000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0xF64E1000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xF7837000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xF783F000 \SystemRoot\system32\DRIVERS\RTL8139.SYS
0xF76E7000 \SystemRoot\system32\DRIVERS\serial.sys
0xF797F000 \SystemRoot\system32\DRIVERS\serenum.sys
0xF64CD000 \SystemRoot\system32\DRIVERS\parport.sys
0xF76F7000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0xF7847000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xF7527000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xF7537000 \SystemRoot\system32\DRIVERS\redbook.sys
0xF64AA000 \SystemRoot\system32\DRIVERS\ks.sys
0xF7547000 \SystemRoot\system32\DRIVERS\imapi.sys
0xF648B000 \SystemRoot\system32\DRIVERS\dne2000.sys
0xF7B6F000 \SystemRoot\system32\DRIVERS\audstub.sys
0xF7557000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xF71A0000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xF6474000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xF7567000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xF7577000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xF784F000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xF6463000 \SystemRoot\system32\DRIVERS\psched.sys
0xF7587000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xF7857000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xF785F000 \SystemRoot\system32\DRIVERS\raspti.sys
0xF6433000 \SystemRoot\system32\DRIVERS\rdpdr.sys
0xF7597000 \SystemRoot\system32\DRIVERS\termdd.sys
0xF7867000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xF79A5000 \SystemRoot\system32\DRIVERS\swenum.sys
0xF6335000 \SystemRoot\system32\DRIVERS\update.sys
0xF6A64000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xF62FA000 \SystemRoot\system32\DRIVERS\dtsoftbus01.sys
0xF75A7000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xAE7E2000 \SystemRoot\system32\drivers\AtiHdmi.sys
0xAE7BE000 \SystemRoot\system32\drivers\portcls.sys
0xF75D7000 \SystemRoot\system32\drivers\drmk.sys
0xF75E7000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xF79AB000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xF79AD000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xF7B50000 \SystemRoot\System32\Drivers\Null.SYS
0xF79AF000 \SystemRoot\System32\Drivers\Beep.SYS
0xF7887000 \SystemRoot\System32\drivers\vga.sys
0xF79B1000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xF79B3000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xF788F000 \SystemRoot\System32\Drivers\Msfs.SYS
0xF771F000 \SystemRoot\System32\Drivers\Npfs.SYS
0xF793B000 \SystemRoot\system32\DRIVERS\rasacd.sys
0xAE763000 \SystemRoot\system32\DRIVERS\ipsec.sys
0xAE70A000 \SystemRoot\system32\DRIVERS\tcpip.sys
0xAE6E4000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xAE6BC000 \SystemRoot\system32\DRIVERS\netbt.sys
0xF75F7000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xAE69A000 \SystemRoot\System32\drivers\afd.sys
0xF7607000 \SystemRoot\system32\DRIVERS\netbios.sys
0xF7737000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0xAE66F000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xF7617000 \SystemRoot\system32\DRIVERS\arp1394.sys
0xAE5D7000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xF7627000 \SystemRoot\System32\Drivers\Fips.SYS
0xF773F000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS
0xF774F000 \SystemRoot\system32\DRIVERS\usbccgp.sys
0xAE510000 \SystemRoot\system32\DRIVERS\avipbb.sys
0xF7963000 \SystemRoot\system32\DRIVERS\hidusb.sys
0xF7647000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0xF7757000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0xF79B7000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
0xF775F000 \SystemRoot\system32\DRIVERS\usbprint.sys
0xF7667000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xF7677000 \SystemRoot\system32\drivers\usbaudio.sys
0xF7967000 \SystemRoot\system32\DRIVERS\mouhid.sys
0xAE4F8000 \SystemRoot\System32\Drivers\dump_atapi.sys
0xF79B9000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xF41B5000 \SystemRoot\System32\drivers\Dxapi.sys
0xF7767000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xF7AA1000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF012000 \SystemRoot\System32\ati2dvag.dll
0xBF061000 \SystemRoot\System32\ati2cqag.dll
0xBF0EB000 \SystemRoot\System32\atikvmag.dll
0xBF151000 \SystemRoot\System32\atiok3x2.dll
0xBF194000 \SystemRoot\System32\ati3duag.dll
0xBF531000 \SystemRoot\System32\ativvaxx.dll
0xBF73C000 \SystemRoot\System32\ATMFD.DLL
0xAC190000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0xAC2C7000 \??\C:\WINDOWS\system32\drivers\mbam.sys
0xAC1CF000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0xABF23000 \SystemRoot\system32\drivers\wdmaud.sys
0xF7687000 \SystemRoot\system32\drivers\sysaudio.sys
0xABDE0000 \SystemRoot\system32\DRIVERS\mrxdav.sys
0xF7995000 \SystemRoot\System32\Drivers\ParVdm.SYS
0xAB7D0000 \??\C:\WINDOWS\system32\Drivers\CVPNDRVA.sys
0xAB9A0000 \SystemRoot\System32\Drivers\DgiVecp.sys
0xAB688000 \SystemRoot\system32\DRIVERS\srv.sys
0xAB15E000 \SystemRoot\System32\Drivers\HTTP.sys
0xAB2DF000 \SystemRoot\system32\DRIVERS\ipfltdrv.sys
0xAAE9A000 \??\C:\DOKUME~1\kingkong\LOKALE~1\Temp\kwlirpob.sys
0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 35):
0 System Idle Process
4 System
720 C:\WINDOWS\system32\smss.exe
772 csrss.exe
808 C:\WINDOWS\system32\winlogon.exe
852 C:\WINDOWS\system32\services.exe
864 C:\WINDOWS\system32\lsass.exe
1044 C:\WINDOWS\system32\ati2evxx.exe
1064 C:\WINDOWS\system32\svchost.exe
1132 svchost.exe
1244 C:\WINDOWS\system32\svchost.exe
1360 svchost.exe
1440 svchost.exe
1544 C:\WINDOWS\system32\ati2evxx.exe
1580 C:\WINDOWS\system32\spoolsv.exe
1708 C:\Programme\Avira\AntiVir Desktop\sched.exe
1884 svchost.exe
608 C:\WINDOWS\explorer.exe
1600 C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
1524 C:\Programme\Avira\AntiVir Desktop\avgnt.exe
1632 C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
1704 C:\WINDOWS\Samsung\ComSMMgr\SSMMgr.exe
1744 C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
1776 C:\Programme\Vtune ATI\TBPANEL.exe
1984 C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
272 C:\Programme\Avira\AntiVir Desktop\avguard.exe
324 C:\Programme\Bonjour\mDNSResponder.exe
368 C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
1096 C:\Programme\Java\jre6\bin\jqs.exe
1144 C:\Programme\Avira\AntiVir Desktop\avshadow.exe
2076 C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
2300 C:\WINDOWS\system32\ctfmon.exe
3568 alg.exe
2900 C:\Programme\Samsung ML-2010 Series\CommonSM\CommonSM.exe
1912 C:\Dokumente und Einstellungen\kingkong\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)

PhysicalDrive0 Model Number: ST3250823AS, Rev: 3.03

Size Device Name MBR Status
--------------------------------------------
232 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11


Done!

Anbei die Logfiles:

1.GMER

GMER Logfile:
--- --- ---


2. OSAM

OSAM Logfile:
--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

3.MBR

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Professional
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x000007f4

Kernel Drivers (total 133):
0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
0x806E6000 \WINDOWS\system32\hal.dll
0xF7987000 \WINDOWS\system32\KDCOM.DLL
0xF7897000 \WINDOWS\system32\BOOTVID.dll
0xF7357000 ACPI.sys
0xF7989000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
0xF7346000 pci.sys
0xF7487000 isapnp.sys
0xF7497000 ohci1394.sys
0xF74A7000 \WINDOWS\system32\DRIVERS\1394BUS.SYS
0xF7A4F000 PCIIde.sys
0xF7707000 \WINDOWS\System32\Drivers\PCIIDEX.SYS
0xF798B000 intelide.sys
0xF74B7000 MountMgr.sys
0xF7327000 ftdisk.sys
0xF798D000 dmload.sys
0xF7301000 dmio.sys
0xF770F000 PartMgr.sys
0xF74C7000 VolSnap.sys
0xF72E9000 atapi.sys
0xF74D7000 disk.sys
0xF74E7000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xF72C9000 fltMgr.sys
0xF72B7000 sr.sys
0xF72A0000 KSecDD.sys
0xF7213000 Ntfs.sys
0xF71E6000 NDIS.sys
0xF789B000 speedfan.sys
0xF71CC000 Mup.sys
0xF7A50000 giveio.sys
0xF7517000 \SystemRoot\system32\DRIVERS\nic1394.sys
0xF76D7000 \SystemRoot\system32\DRIVERS\intelppm.sys
0xF6541000 \SystemRoot\system32\DRIVERS\ati2mtag.sys
0xF652D000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xF6505000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0xF782F000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0xF64E1000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xF7837000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xF783F000 \SystemRoot\system32\DRIVERS\RTL8139.SYS
0xF76E7000 \SystemRoot\system32\DRIVERS\serial.sys
0xF797F000 \SystemRoot\system32\DRIVERS\serenum.sys
0xF64CD000 \SystemRoot\system32\DRIVERS\parport.sys
0xF76F7000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0xF7847000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xF7527000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xF7537000 \SystemRoot\system32\DRIVERS\redbook.sys
0xF64AA000 \SystemRoot\system32\DRIVERS\ks.sys
0xF7547000 \SystemRoot\system32\DRIVERS\imapi.sys
0xF648B000 \SystemRoot\system32\DRIVERS\dne2000.sys
0xF7B6F000 \SystemRoot\system32\DRIVERS\audstub.sys
0xF7557000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xF71A0000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xF6474000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xF7567000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xF7577000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xF784F000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xF6463000 \SystemRoot\system32\DRIVERS\psched.sys
0xF7587000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xF7857000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xF785F000 \SystemRoot\system32\DRIVERS\raspti.sys
0xF6433000 \SystemRoot\system32\DRIVERS\rdpdr.sys
0xF7597000 \SystemRoot\system32\DRIVERS\termdd.sys
0xF7867000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xF79A5000 \SystemRoot\system32\DRIVERS\swenum.sys
0xF6335000 \SystemRoot\system32\DRIVERS\update.sys
0xF6A64000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xF62FA000 \SystemRoot\system32\DRIVERS\dtsoftbus01.sys
0xF75A7000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xAE7E2000 \SystemRoot\system32\drivers\AtiHdmi.sys
0xAE7BE000 \SystemRoot\system32\drivers\portcls.sys
0xF75D7000 \SystemRoot\system32\drivers\drmk.sys
0xF75E7000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xF79AB000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xF79AD000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xF7B50000 \SystemRoot\System32\Drivers\Null.SYS
0xF79AF000 \SystemRoot\System32\Drivers\Beep.SYS
0xF7887000 \SystemRoot\System32\drivers\vga.sys
0xF79B1000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xF79B3000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xF788F000 \SystemRoot\System32\Drivers\Msfs.SYS
0xF771F000 \SystemRoot\System32\Drivers\Npfs.SYS
0xF793B000 \SystemRoot\system32\DRIVERS\rasacd.sys
0xAE763000 \SystemRoot\system32\DRIVERS\ipsec.sys
0xAE70A000 \SystemRoot\system32\DRIVERS\tcpip.sys
0xAE6E4000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xAE6BC000 \SystemRoot\system32\DRIVERS\netbt.sys
0xF75F7000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xAE69A000 \SystemRoot\System32\drivers\afd.sys
0xF7607000 \SystemRoot\system32\DRIVERS\netbios.sys
0xF7737000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0xAE66F000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xF7617000 \SystemRoot\system32\DRIVERS\arp1394.sys
0xAE5D7000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xF7627000 \SystemRoot\System32\Drivers\Fips.SYS
0xF773F000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS
0xF774F000 \SystemRoot\system32\DRIVERS\usbccgp.sys
0xAE510000 \SystemRoot\system32\DRIVERS\avipbb.sys
0xF7963000 \SystemRoot\system32\DRIVERS\hidusb.sys
0xF7647000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0xF7757000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0xF79B7000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
0xF775F000 \SystemRoot\system32\DRIVERS\usbprint.sys
0xF7667000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xF7677000 \SystemRoot\system32\drivers\usbaudio.sys
0xF7967000 \SystemRoot\system32\DRIVERS\mouhid.sys
0xAE4F8000 \SystemRoot\System32\Drivers\dump_atapi.sys
0xF79B9000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xF41B5000 \SystemRoot\System32\drivers\Dxapi.sys
0xF7767000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xF7AA1000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF012000 \SystemRoot\System32\ati2dvag.dll
0xBF061000 \SystemRoot\System32\ati2cqag.dll
0xBF0EB000 \SystemRoot\System32\atikvmag.dll
0xBF151000 \SystemRoot\System32\atiok3x2.dll
0xBF194000 \SystemRoot\System32\ati3duag.dll
0xBF531000 \SystemRoot\System32\ativvaxx.dll
0xBF73C000 \SystemRoot\System32\ATMFD.DLL
0xAC190000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0xAC2C7000 \??\C:\WINDOWS\system32\drivers\mbam.sys
0xAC1CF000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0xABF23000 \SystemRoot\system32\drivers\wdmaud.sys
0xF7687000 \SystemRoot\system32\drivers\sysaudio.sys
0xABDE0000 \SystemRoot\system32\DRIVERS\mrxdav.sys
0xF7995000 \SystemRoot\System32\Drivers\ParVdm.SYS
0xAB7D0000 \??\C:\WINDOWS\system32\Drivers\CVPNDRVA.sys
0xAB9A0000 \SystemRoot\System32\Drivers\DgiVecp.sys
0xAB688000 \SystemRoot\system32\DRIVERS\srv.sys
0xAB15E000 \SystemRoot\System32\Drivers\HTTP.sys
0xAB2DF000 \SystemRoot\system32\DRIVERS\ipfltdrv.sys
0xAAE9A000 \??\C:\DOKUME~1\kingkong\LOKALE~1\Temp\kwlirpob.sys
0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 35):
0 System Idle Process
4 System
720 C:\WINDOWS\system32\smss.exe
772 csrss.exe
808 C:\WINDOWS\system32\winlogon.exe
852 C:\WINDOWS\system32\services.exe
864 C:\WINDOWS\system32\lsass.exe
1044 C:\WINDOWS\system32\ati2evxx.exe
1064 C:\WINDOWS\system32\svchost.exe
1132 svchost.exe
1244 C:\WINDOWS\system32\svchost.exe
1360 svchost.exe
1440 svchost.exe
1544 C:\WINDOWS\system32\ati2evxx.exe
1580 C:\WINDOWS\system32\spoolsv.exe
1708 C:\Programme\Avira\AntiVir Desktop\sched.exe
1884 svchost.exe
608 C:\WINDOWS\explorer.exe
1600 C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
1524 C:\Programme\Avira\AntiVir Desktop\avgnt.exe
1632 C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
1704 C:\WINDOWS\Samsung\ComSMMgr\SSMMgr.exe
1744 C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
1776 C:\Programme\Vtune ATI\TBPANEL.exe
1984 C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
272 C:\Programme\Avira\AntiVir Desktop\avguard.exe
324 C:\Programme\Bonjour\mDNSResponder.exe
368 C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
1096 C:\Programme\Java\jre6\bin\jqs.exe
1144 C:\Programme\Avira\AntiVir Desktop\avshadow.exe
2076 C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
2300 C:\WINDOWS\system32\ctfmon.exe
3568 alg.exe
2900 C:\Programme\Samsung ML-2010 Series\CommonSM\CommonSM.exe
1912 C:\Dokumente und Einstellungen\kingkong\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)

PhysicalDrive0 Model Number: ST3250823AS, Rev: 3.03

Size Device Name MBR Status
--------------------------------------------
232 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11


Done!

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!


Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Moin,

Nur SuperAntispyware hat 19 cookies gefunden, die hab ich gelöscht. Festplatte fehlt leider noch. Anbei die Logs:

SuperAntiSpyware

ESET

Sieht ok aus, da wurden nur Cookies gefunden.
Noch Probleme oder weitere Funde in der Zwischenzeit?

Nee, sonst wurde bei mir nichts gefunden. Zwei weitere Personen haben das Problem wie folgt gelöst:

1. Test Disk installieren hxxp://www.cgsecurity.org/wiki/TestDisk_Download

2. Nach der Anleitung die Partitionen wiederherstellen: hxxp://www.pc-magazin.de/ratgeber/testdisk-festplatten-wiederherstellen-132506.html


so vorgehen? Ist damit der Virus auch gelöscht?

Grüße

Nein, diese Vorgehensweise hat erstmal nur bei dir so geholfen.
testdisk ist ein mächtiges Tool und will ich keinem Laien zumuten. Das Neuerstellen mit "offiziellen" Mitteln ist schon schwierig und umständlich genug. Nur das Neuerstellen des MBR reicht auch so pauschal nicht aus.

Moin,

Ich habs noch nicht durchgeführt, sondern hab auf deine Antwort gewartet. Was wäre nun der nächste Schritt?

Grüße

MOment, was hast du nciht nicht durgeführt? Das mit Testdisk? :dummguck:
Wird der BOO/Whistler.A im Bootsektor D denn noch gemeldet? :wtf:

Nee, Testdisk noch nicht durchgeführt. Also Habe es ausgeführt, aber die Daten noch nicht wieder hergestellt.

Meine Frage ist nun, wenn ich die Daten mit Testdisk auf C: Überspiele, wie krieg ich laufwerk D: wieder zurück? Formatieren oder über Testdisk wiederherstellen? Bzw. kann Testdisk das?

Also D: fehlt immer noch und damit auch jegliche Zeichen vom Boo.Whistler.A

Danke und Grüße

Lass erstmal die Finger von Testdisk.

Ähm, D: wird nicht angezeigt und die Meldung über den Boo.Whistler.A auch nicht?
Wie sieht es in der Datenträgerverlwatung aus, gibt es da eine Partition D, wenn ja wie wird die dargestellt? Am besten einen Screenshot machen

Moin moin,

Also D: ist wieder da. Hab die folgende Anleitung von TestDisk befolgt:

hxxp://forum.computerbild.de/pc-hardware/festplatte-ploetzlich-verschwunden_105023.html

Ich überprüfe gerade Laufwerk D: mit Anti-Maleware.

Grüße

Ok, gut, dann hast du Glück gehabt, dass Testdisk alles wiederherstellen konnte. Aber eigentlich ist das Tool nichts für ungeübte Hände.

Rechner wieder im Lot? Oder noch Probleme bzw. andere Funde da?

Morgen,

Hab Aniti-Maleware, SuperAtnispyeware und AntiVir über D: Laufen lassen.

Maleware und Antivr haben nichts gefunden.

Bei Anitspyware war ein Virus und ein cookie. Die infizierte Datei ist aber schon länger auf der Festplatte und wurde auch ewig nicht benutzt.

Irgendwie hab ich jetzt aber 3 DVD-Laufwerke und es sollten nur 2 sein:

1. Philips DROM616
2. NEC DVD_RW ND-3550A
3. DTSoftBusCd00 -> meine das wäre fake.


Noch eine Idee, wo ich noch bzw. wie ich noch suchen kann?

Grüße

Was wurde da zensiert?

Moin,

die Datei hab ich zensiert. War eine exe Datei zu einem Spiel, das Online erworben wurde :rolleyes: Den entsprechenden Ordner hab ich auch direkt gelöscht. Das liegt aber auch schon über 2 Jahre zurück und wurde seitdem nicht mehr genutzt.

Du nutzt Daemon-Tools ohne zu wissen was das Programm genau macht?! :confused:
DT erstellt virtuelle Laufwerke, genau dazu ist es da - und du wunderst dich dann über ein zusätzliches Laufwerk?

Und warum musste das zensiert werden? Versteh ich nicht ganz :pfeiff:

Warum? Welche Probleme genau sind jetzt noch offen?

Gut damit erklärt sich die Herkunft des Laufwerks. Mann muss ja nicht alles wissen :)

Nee, keine Probleme soweit mehr offen. Die haben wir (hoffentlich) alle gelöst bzw. gelöscht.

Ich möchte mich an dieser Stelle noch einmal bei dir für die Unterstützung bei der Problemlösung und deine Zeit, die ich in Anspruch genommen hab bedanken. Dieses Forum hat mir wirklich weitergeholfen, top!

Ich werde die anderen Threads zum Whistler weiter verfolgen und gucken, ob der bei irgend jemand noch einmal auftaucht.

eine letzte Frage bleibt noch: was soll ich löschen? Defogger ausführen und Otl, GMER, combofix deinstallieren?

Grüße

Dann wären wir durch! :abklatsch:

Die Programme, die hier zum Einsatz kamen, können alle wieder runter. CF kann über Start, Ausführen mit combofix /uninstall entfernt werden. Melde dich falls es da Fehlermeldungen zu gibt.
Malwarebytes zu behalten ist kein Fehler. Kannst ja 1x im Monat damit scannen, aber immer vorher ans Update denken.

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update


PDF-Reader aktualisieren
Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast)

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink:

Mozilla und andere Browser => http://filepony.de/?q=Flash+Player
Internet Explorer => http://fpdownload.adobe.com/get/flas..._player_ax.exe

Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind.


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.