Bootloader-Virus: Tdss.d
 

Hallo community,

ich darf den pc (sony vaio: vgn-nw11s) von meinem stiefvater bereinigen. als ich den bekommen habe, lief da eine tolle maleware die sich als antiviren-programm installiert hat und ständig irgendwelche bekloppten fehlermeldungen geworfen hat. entfernen konnte ich es im angesicherten modus (win vista) mithilfe von "searchbot spy and destroy". Anschließend habe ich unter windows (normal gebootet, kein abesicherter modus) den pc wieder mit antivr scannen können.Wirklich gefunden hat er nix. Dann habe ich eine live cd (die von avira) drüber laufen lassen, also per cd gebootet (das ist ein linux mit antivir installiert) und den avira scanner laufen lassen. auch der hat nix gefunden... "nur" einen virus im bootloader (Tdss.d). und diesen werde ich nich los.
habe es mit dem bootloader-tool von antivir versucht. auch per cd geladen. hat nicht funktioniert...es konnte den bootloader nich erkennen.liegt warscheinlich an der recovery-partition von dem notebook.

und nun weiß ich nich weiter:confused:. wie werde ich den los ? antivir meldet unter windows nun auch die ganze zeit das es diesen virus entdeckt hat... ein klick auf "entfernen" bringt auch nix...

noch ne info, weiß allerdings nich ob das mit dem virus zusammenhängt: das catalyst-control-center schmiert beim start des pcs sofort ab.

noch eine info wo ich mich weiß ob es damit zu tun hat: nach dem windows start ruft der pc im internetexplorer eine seite in ask.com auf.

logs habe ich angehangen. hoffe es fehlt nix, wenn dich bitte nicht meckern bin neu hier... aber habe mich eigentlich an die anleitung gehalten:)
foto des ergebnis der bootsektorenprüfung von antivir habe ich ebenfalls angehängt..vllt hilft es euch irgendwie, wobei ich nich weiß wie :)

gruß aus berlin

Bitte nun routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

mal ne frage... vllt dumm. aber wenn was gefunden wird, soll ich das per programm beheben/löschen oder geht es nur um das log ?

Poste erstmal das Log wenn du noch nichts voreilig löschen lassen willst.
Aber an für sich kann mit Malwarebytes alles entfernt werden was gefunden wird, nur bei ESET nichts löschen, da nur das Log über die Funde posten. Wenn was wegkann werd ich es schon schreiben.

ok alles klar. dann entferne ich alles mit malewarebytes und das von ESET nicht... wird aber nich dauern. der sucht mit malewarebytes schon knapp 3 std. :)

danke schonmal für deine hilfe!

Hallo,

hier die Ergebnisse von ESET und Malewarebytes (im anhang)

Oje... :pfui:

Cracks/Keygens sind zu 99,9% gefährliche Schädlinge, mit denen man nicht spaßen sollte. Ausserdem sind diese illegal und wir unterstützen die Verwendung von geklauter Software nicht. Somit beschränkt sich der Support auf Anleitung zur kompletten Neuinstallation!!

Dass illegale Cracks und Keygens im Wesentlichen dazu dienen, Malware zu verbreiten ist kein Geheimnis und muss jedem klar sein!

das is doch nich mein pc. ich programmiere selber und weiß wie ärgerlich sowas is...

ok vllt kannst du mir ja noch die frage beantworten: wenn ich den pc platt mache (auch nach eurer anleitung), dann hab doch trotzdem den (wenn es einer ist) bootloader virus drauf. da bringt es mir doch nix das bs neu aufzusetzen oder?

Am besten die Platte mit DBAN oder ähnlichen Tools überschreiben.
Es geht auch ein Live-Linux und dem Befehl als root:

Damit werden die ersten 100.000 Sektoren überschrieben mit Nullen. Würde auch reichen wenn man den ersten Sektor nur überschreibt...der MBR und damit ist die Partitionstablle platt. Aber auch ALLE Daten wären weg.

erstellt eine neuinstallation nicht einen neuen mbr ?
noch eine letzte frage :): das notebook aht ne recovery partition. mit dieser kann man den pc ja auch neuaufsetzten. kann ich das auch machen? oder ist das zu gefährlich ?

ps: mir ist das echt peinlich das da nen crack drauf... ich weiß das ändert nix, habe eure regel gelesen und sie ergibt ja auch sinn. will das aber gesagt haben.

Schon. Wenn man aber alles weghaben will kann man es so richtig gründlich wegformatieren :)

Doch geht auch, sach Bescheid wenn das gemacht hast, den MBR sollten wir ja noch checken. Und äh wenn du alles mit dem o.g. dd-Befehl weghaust ist auch die Recoverypartition weg :eek:

Schon ok, ich helf dir auch weiter, nur ist die Option "Bereinigung" dadurch gestrichen worden ;)

Hallo,

so ich habe mittels der Recovery-Partition nun das System wiederhergestellt.
Windows läuft auch, alles schick. Das erste was ich natürlich gemacht habe ist antivir installieren. Und siehe da: der Virus lebt fröhlich weiter :), mit anderen worten antivir findet genau den gleichen Virus im Masterbootsektor wieder.

Nochmal zur erklärung ich habe nicht das von dir vorgeschlagene Tool benutzt. Habe also nicht den MBR explizit neu geschrieben... hatte die hoffnung das Recovery-tool macht das... macht es anscheinend nicht :D

also muss ich das damit wohl machen oder ?
wenn ja, gibt es auch dafür eine anleitung wie man das benutzt ?

wenn ich das benutzte, kann ich danach doch das system ganz normal wiederherstelln von DVD oder ? vllt etwas blöd die frage, aber will auf nummer sicher gehen. Nach dem kauf des Notebooks, sollte man sofort ne sicherheistkopie machen. Darin enthalten sind das frische Windows sowie die recovery-partition. Das steht jedenfalls in der Anleitung und würde erklären warum das drei dvds sind:).

Danke für deine Hilfe!

so nochmal ein update :)
jetzt habe ich den pc durch die dvds wiederhergestelt. desweiteren habe ich diesmal ausgewählt, dass die recovery partition ebenfalls neu erstellt werden soll.
anscheinend wurde dabei der mbr überschrieben. Jedenfalls findet antivir keine virus mehr im bootsektor. das ist schonmal gut.

jetzt würde ich aber gerne auf nummer sicher gehen. was würdest du machen um das zu bestätigen ? kennst du ein besonderes tool, welches du benutzt um den mbr zu prüfen ?

gruß aus berlin

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

Hallo, hier das log...