Boot.tidserv entfernen
 

Hallo liebes Trojaner Board Team,

ich wende mich an euch weil ich wie viele auch ein Problem habe.

Ich habe alle Programme runtergeladen um die Logfiles zu erstellen. Nach dem ich den Defogger ausgeführt habe, musste ich keinen Neustart durchführen, habe also direkt weiter gemacht.
Mit dem DDS konnte ich leider keine Logfiles erstellen, da es während des Scan irgendwie zum Stillstand kam, bedeutet ich konnte die Maus noch bewegen aber das war es auch schon, sonst ging nix mehr. Also habe ich den laptop ausgesdchaltet, indem ich die Powertaste gedrückt hielt.

Hier nun der Gmer Logfile:


So und nun zu meinem Problem:
Es fing an vor zwei Tagen, meine Antiviren testversion lief aus, ich wollte mir eine Vollversion kaufen. Mein Laptop war also einen Tag ungeschützt, ich ging dennoch online,weil ich dachte wird schon nix passieren.Dabei hab ich mir wohl doch was eingefangen. Denn ich stellte fest, dass Passwörter von meinen Accounts verändern wurden. Damit nicht noch mehr Account betroffen werden, habe ich mein Laptop komplett neu formatiert und Norton Internet Security 2012 installiert. Dieser hat auch sogleich etwas gefunden (obwohl ich erst formatiert habe und noch gar nicht im Internet gesurft habe).

Gefunden wurde Boot.tidserv.

Daraufhin habe ich bei NIS (Norton Interner Security) Hilfe anforden geklickt, mir wurde geraten den Norton Power Eraser zu downloaden und zu nutzen. Ich lud das Programm runter und lies meinen Laptop scannen, es wurde aber nichts gefunden.Wie werde ich denn diesen Virus nun los?

Ich hatte von jemandem den Tipp bekommen mich an euch zu wenden, und ja jetzt bin ich hier und hoffe ihr könnt helfen, leider habe ich nicht allzu viel Ahnung von PCs.

Ich hoffe ich konnte euch alle nötigen Infos gegeben.

Vielen Dank schon mal.

Hallo und Herzlich Willkommen! :)

Bevor wir unsere Zusammenarbeit beginnen, [Bitte Vollständig lesen]:
Falls du doch für die Systemreinigung entscheidest - Ein System zu bereinigen kann ein paar Tage dauern (je nach Art der Infektion), kann aber sogar so stark kompromittiert sein, so dass eine wirkungsvolle technische Säuberung ist nicht mehr möglich bzw Du es neu installieren musst::

Für Vista und Win7:
Wichtig: Alle Befehle bitte als Administrator ausführen! rechte Maustaste auf die Eingabeaufforderung und "als Administrator ausführen" auswählen
Auf der angewählten Anwendung einen Rechtsklick (rechte Maustaste) und "Als Administrator ausführen" wählen!

1.
TDSSKiller von Kaspersky

• Lade den TDSSKiller und entpacke das Archiv auf Deinen Desktop.
• Vergewissere Dich, dass die TDSSKiller.exe direkt auf dem Desktop liegt (nicht in einem Ordner auf dem Desktop).
• deaktiviere vorübergehend dein AntiVirus-Programm
• Starte die TDSSKiller.exe durch Doppelklick.
• Nach Beendigung der Arbeit schlägt das Tool vor, das System neu zu starten.
  Bestätige das ggfs. mit Y(es).
  Beim Hochfahren des Systems führt der Treiber alle geplanten Operationen aus löscht sich danach.
• Poste mir den Inhalt von C:\TDSSKiller<random>.txt hier in den Thread.

Hier findest Du eine ausführlichere Anleitung.

2.
Lade Dir Malwarebytes Anti-Malware von→ malwarebytes.org

• Installieren und per Doppelklick starten.
• Deutsch einstellen und gleich mal die Datenbanken zu aktualisieren - online updaten
• "Komplett Scan durchführen" wählen (überall Haken setzen)
• wenn der Scanvorgang beendet ist, klicke auf "Zeige Resultate"
• Alle Funde - falls MBAM meldet in C:\System Volume Information - den Haken bitte entfernen - markieren und auf "Löschen" - "Ausgewähltes entfernen") klicken.
• Poste das Ergebnis hier in den Thread - den Bericht findest Du unter "Scan-Berichte"

eine bebilderte Anleitung findest Du hier: Anleitung/virus-protect.org

3.
Systemscan mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop.

• Doppelklick auf die OTL.exe
• Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Oben findest Du ein Kästchen mit Ausgabe.
  Wähle bitte Standard-Ausgabe
• Unter Extra-Registrierung wähle bitte Benutze SafeList.
• Mache Häckchen bei LOP- und Purity-Prüfung.
• Klicke nun auf Scan links oben.
  
  http://image.hijackthis.eu/upload/otl_screen_neu.jpg
  
• Wenn der Scan beendet wurde werden zwei Logfiles erstellt.
  Du findest die Logfiles auf Deinem Desktop => OTL.txt und Extras.txt
• Poste die Logfiles in Code-Tags hier in den Thread.

4.
Um festzustellen, ob veraltete oder schädliche Software unter Programme installiert sind, ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool CCleaner herunter
→ Download
installieren (Software-Lizenzvereinbarung lesen, falls angeboten wird "Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ Sprache → Deutsch auswählen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

gruß
kira

Hallo kira,

vielen Dank für deine schnelle Antwort.

Ich fände es toll wenn ich einfach neu formatieren könnte und der Virus wäre weg, aber ich habe ja Windows XP bereits neu installiert und der Virus war danach trotzdem wieder da.

Also bleibt mir wohl nur die Möglichkeit der Systembereinigung, falls dass überhaupt noch geht, ich befürchte dass mein System schon so befallen ist, dass gar keine Rettung mehr möglich ist.

Also jedenfalls habe ich mir jetzt eben den TDDS Killer herunter geladen, allerdings war die .exe datei NICHT direkt auf dem Desktop sondern in einem Ordner namens tddskiller.

Deshalb habe ich die Datei nun nicht ausgeführt, weil du eben betont hattest sie müsse direkt auf dem Desktop liegen, wollte nun doch nochmal nachfragen wie ich jetzt weiter vorgehen soll.Trotzdem ausführen?

LG

verwendest Du Firefox?
Stell deine Browser so ein, dass er TDSSKiller auf dem Desktop speichern soll!
Im Firefox:
"Extras"-> Einstellungen"-> Allgemein-> Downloads-> Alle Dateien in folgendem Ordner abspeichern"...
nachher kannst wieder rückgängig machen

Hallo kira,

diese Einstellung habe ich bereits so bei Firefox, dennoch habe ich einen Ordner tdds mit zwei Inhalten auf dem Desktop (inhalt des Ordners die .exe datei tdds und ein Textdokument names eula)

LG

Anleitung hier:-> http://www.trojaner-board.de/82358-t...tml#post640150

nachdem Du das Archiv entpackt hast:
starte dann die Datei TDSSKiller.exe !

Hi,

tut mir leid, jetzt hab ichs erst gecheckt.

Ok auf desktop entpackt und scannen lassen, Ergebnis keine Bedrohungen gefunden.Kein Neustart nötig, keine Textdatei die ich hierher posten könnte.

Also soll ich einfach die nächsten Punkte abarbeiten?

LG

Ja, 2. bis 4. auch noch erledigen :)

SO,

also habe jetzt alle Schritte durchgeführt lief aber leider nicht alles so reibungslos wie du das hier geschildert hast.

MBAM hat nix gefunden. OTL hat eben so nix gefunden, nachdem Scan hieß es: Es wurde keine extras.txt oder OTL.txt datei gefunden, möchten sie eine neue erstellen. Egal ob ich ja oder nein angeklickt habe, es erschien beide Male ein leeres Editortextfeld.

So und das sagt Ccleaner:


LG

also bekkommst Du kein Log hin, nur leere Textdatei?

versuchen wir mit HJT:

lade Dir HijackThis 2.0.4 von *von hier* herunter
Rechtsklick drauf-> "Als Administrator ausführen" wählen
HijackThis starten→ "Do a system scan and save a logfile" klicken→ das erhaltene Logfile "markieren" → "kopieren"→ hier in deinem Thread (rechte Maustaste) "einfügen"

wenn auch nicht:

Unbootbares System mit OTLPE Network scannen

• Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop.
  Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
• Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
• Lege eine leere CD in Deinen Brenner.
• ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
• Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
• Du kannst nun die Fenster des Brennprogramms schließen.

• Starte das unbootbare System neu und boote von der CD, die Du gerade erstellt hast.
  Anmerkung: Wenn Du nicht weißt, wie Du Deinen Computer dazu bringst, von CD zu booten, dann folge diesen Schritten hier.
• Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
• Mache einen Doppelklick auf das OTLPE Icon.
• Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
• Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
• Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
• OTLpe sollte nun starten.
  
  http://image.hijackthis.de/upload/hjt1-034.jpg
  
• Drücke Run Scan, um den Scan zu starten.
• Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt gesichert und mit Notepad++ geöffnet.
• Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
• Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt in diesen Thread.

Falls Du kein Brennprogramm hast:

ISOBurner
Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen.
Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.

So,

mit HiJackThis hat es geklappt:

HiJackthis Logfile:
--- --- ---


Hiernochmal der MBAM Logfile:


Und hier der Ccleaner logfile.


Mit dem OTL hab ich wie gesagt keine Logfiles bekommen.

das ist jetzt was anderes, nicht wie unter Punkt 3.!

Du sagst, hast Du Windows neu installiert..wann denn und wie? Bist Du dir sicher, so dass Du richtig gemacht hast? Beschreibe bitte mal, wie Du dabei vorgegangen bist!?

Nämlich das Servicepack 3 fehlt und der Internet Explorer auch veraltet...
-> Anleitung: Neuaufsetzen des Systems + Absicherung
-> Anleitung zum Neuaufsetzen - Windows XP, Vista und Win7
-> http://www.youtube.com/watch?v=AG2clc9hy4g
► Hast du eine Original-Windwos-CD?

Hi,

also neuinstalliert habe ich glaub ich einen Tag bevor ich hier den Thread eröffnet habe bzw. vielleicht sogar am selben Tag.

Also mein Laptop(Samsung) ist jetzt 5 Jahre alt(deshalb auch der uralte Internet Explorer den ich gar nicht nutze) und ich habe von Samsung eine System Wiederherstellungs CD mit Windows XP Home Edition dabei gehabt und mit der hab ich auch neuinstalliert.

Habe also von der CD gestartet, dann Partition C ausgewählt und komplett formatiert so dass alle Daten gelöscht worden sind.

Mir sagt "Servicepack 3" jetzt leider nciht so viel.
Was ich dazu sagen kann, weiss nicht ob es was hilft: Hatte vor paar JAhren auch mal nen Virus drauf, worauf ich auch formatieren musste, damals waren nachdem Formatieren alle Treiber usw. schon aufm PC, diesmal musste ich alle notwendigen Treiber selber runterladen und installieren. Hat das etwas damit zu tun?

Und was heißt das jetzt für mich das das Servicepack 3 fehlt?

LG und vielen Dank für deine Geduld mit mir

das heißt, auf dein Win CD hast Du nur SP2 drauf...also Du musst das SP3 noch installieren und wenn Du auch den Internet Explorer von Microsoft nicht verwendest, mußt ihn aktualisieren, also auf IE/8
Tipp für dich:-> Anleitung: Service Pack 3 in Windows-XP-CD integrieren
Natürlich auch dann nach aktuelle Treiber für Hardware schauen!