|
BOO/TDss.M im Masterbootsektor/HD0 entdeckt Einen schönen guten Tag, ich habe auf meinem Laptop während der letzten Virenprüfung mit Avira Antivir feststellen müssen, dass ich einen Virus "BOO/TDss.M" im Masterbootsektor/HD0 habe. Nach beendigung des Avira Suchlaufs wurde der restsuchlauf beendet und mir wurden komischerweise 0 Funde angezeigt. Seit dem wird mir bei jedem Neustart des PCs durch ein Avira Popup angezeigt das der Virus noch da ist (auch wenn ich in besagtem Popup auf "Entfernen" klicke). Dadurch das der Laptop auch von meiner (mittlerweile) Ex-freundin genutzt wurde, kann ich leider keine genauen Angaben dazu machen, auf welchen Websites sie war oder ob sie irgentwelche Datein runtergeladen hat die zu diesem Virus geführt haben könnten. Das Hochfahren des Laptops dauert echt ewig mittlerweile. Verschiedene Internetseiten haben sich in meinem Browser auch geöffnet, das kam aber bis auf das eine mal nicht mehr vor. Unternommen habe ich noch nicht wirklich viel, außer das ich bestimmt 5 mal einen Virenscan mit Avira durchgeührt habe und mir (auf anraten des Antivirenprogramms) ein Bootsektor Repair tool runtergeladen hab, was ich aber noch nicht genutzt habe, da das Prog es ja nicht mal schafft den Virus zu entfernen. Die defogger und OTL logs sind im Anhang gezipt. ich hoffe ihr könnt mir helfen... An dem Laptop arbeite ich nämlich auch, und wenn der nicht mehr zu gebrauchen wäre, dann wär das.... schon recht schade, um es mal so zu sagen :daumenrunter: |
:hallo: Mein Name ist M-K-D-B und ich werde dir bei der Bereinigung deines Computers helfen. Bitte beachte folgende Hinweise:
Hinweis: Ich kann Dir niemals eine Garantie geben, dass auch ich alles finde. Eine Formatierung ist meist der schnellere und immer der sicherste Weg. Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist. Ich bereite jetzt einen Fix vor und melde mich so bald als möglich mit weiteren Anweisungen. |
Hallo Ifron, Schritt # 1: FileSharing Programme Ich sehe das Du sogenannte Peer to Peer oder Filesharing Programme verwendest. In deinem Fall µTorrent. Diese Programme erlauben es Dir, Daten mit anderen Usern auszutauschen. Leider ist auch p2p oder Filesharing nicht ausgenommen, infizierte Dateien zu verteilen und ist auch ein Grund warum sich Malware so schnell verbreitet. Es ist also möglich, dass Du Dir eine Infizierte Datei herunter ladest. Du kannst niemals wissen, woher diese stammen. Daher sollte diese Art Software mit äußerster Vorsicht benutzt werden. Ein ebenfalls wichtiger Punkt ist, dass das Verbreiten von Media und Entertainment Dateien in den meisten Ländern der Welt gegen Copyright Rechte verstößt. Natürlich gibt es auch einen legalen Weg zur Nutzung dieses Service. Zum Beispiel zum Downloaden von Linux oder Open Office. Denoch würde ich Dich ersuchen, diese Art von Software nicht weiterhin zu verwenden. Bitte gehe zu Start --> Systemsteuerung --> Programme deinstallieren und deinstalliere die oben genannte Software. Bitte sag bescheid wenn Du eines der gelisteten Programme nicht finden kannst. Schritt # 2: aswMBR.exe ausführen Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.
Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit. Schritt # 3: Deine Rückmeldung Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort
|
Vielen Dank für die wirklich schnelle Antwort als aller erstes. :dankeschoen: Zum Thema UTorrent: Ich habe mir das mal runtergeladen weil ich auf chip.de die Möglichkeit gesehen habe das man eben auch Torrents runterladen kann und das mal geschwindigkeitsmäßig testen wollte. Das das so unsicher ist wusste ich nicht.:rolleyes: Das Programm befindet sich auf einer externen Festplatte zu der ich keinen Zugriff mehr habe, Deinstallieren war also weder möglich noch nötig. ^^ Hier die Logfiles von aswMBR: Code: aswMBR version 0.9.8.977 Copyright(c) 2011 AVAST Software |
Hallo Ifron, Zitat:
Hast du eine Windows 7 DVD zur Hand? Wenn ja, handelt es sich dabei um eine normale Windows DVD oder eine Recovery DVD? Was steht genau drauf? Du hast u.a. ein Rootkit im Master Boot Sektor. So gehts weiter: Schritt # 1: TDSS Killer ausführen Dowloade Dir bitte TDSS Killer.exe und speichere die Datei am Desktop.
Schritt # 2: ComboFix ausführen Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Lade ComboFix von einem dieser Download-Spiegel herunter: BleepingComputer - ForoSpyware * Wichtig !! Speichere ComboFix auf dem Desktop
http://i94.photobucket.com/albums/l8...eWHKonsole.jpg Sobald die Wiederherstellungskonsole durch ComboFix installiert wurde, solltest Du folgende Nachricht sehen: http://i94.photobucket.com/albums/l8...nstalliert.jpg Klicke "Ja", um mit dem Suchlauf nach Malware fortzufahren. Wenn ComboFix fertig ist, wird es ein Log erstellen. Bitte füge die C:\ComboFix.txt Deiner nächsten Antwort bei. Schritt # 3: Deine Rückmeldung Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort
|
Bevor ich weiter mache, wollte ich noch sagen, dass ich keine Win 7 DVD besitze, da ich keine bekommen habe als ich diesen Laptop gekauft habe. Sollte ich die angegebenen Schritte trotzdem ausführen, oder muss ich unbedingt eine Win 7 DVD dazu haben? Zu dem Torrent Programm: Soweit ich mich erinnern kann habe ich dieses Programm vor einiger Zeit über meinen Laptop auf eine externe Festplatte installiert. Als ich versucht habe es zu deinstallieren kam eine Meldung die besagte, dass das besagte Programm nicht deinstalliert werden konnte, da der Dateipfad nciht gefunden wurde... Ich bin nicht so der PC kenner... gibt es einen weg wie ich es trotzdem deinstallieren kann bzw. wie ich herausfinden kann ob es doch auf meinen Laptop installiert ist? |
Hallo Ifron, Zitat:
Zitat:
Ich warte auf deine Rückmeldung. |
Hier die Logfiles: erst der tdsskiller log Code: 2011/07/23 20:30:47.0700 1976 TDSS rootkit removing tool 2.5.11.0 Jul 11 2011 16:56:56Code: ComboFix 11-07-23.04 - Ann-Marie 23.07.2011 20:41:32.1.2 - x64 |
Hallo Ifron, Wichtiger Hinweis: Du bist u.a. mit einem Trojaner infiziert, der Passwörter und Zugangsdaten ausspioniert. Darum bitte ich dich, bis auf weiteres kein Online-Banking oder andere Online Geschäfte zu tätigen. Schritt # 1: CFScript mit ComboFix ausführen Hinweis für Mitleser: Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden. Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen! Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von einem der folgenden Download-Spiegel neu herunter: BleepingComputer.com - ForoSpyware.comund speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)! Drücke die Windows + R Taste --> Notepad (hinein schreiben) --> OK Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument. Code: DDS::Wichtig:
Schritt # 2: Deine Rückmeldung Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort
|
Hey M-K-D-B, vielen dank für die schnelle Antwort und die Mühe!! :dankeschoen: Hier der neue ComboFix Logfile: Code: ComboFix 11-07-23.04 - Ann-Marie 24.07.2011 11:47:45.2.2 - x64 |
Hallo Ifron, Gehe ich richtig in der Annahme, dass früher auf diesem Rechner eine Sygate Firewall installiert war? Ich sehe noch ein paar Reste in den Logfiles. Mittlerweile ist diese ja deinstalliert, richtig? Lösche bitte die vorhandene CFScript.txt von deinem Desktop. Wir müssen ein neues CFScript ausführen: Schritt # 1: CFScript mit ComboFix ausführen Hinweis für Mitleser: Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden. Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen! Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von einem der folgenden Download-Spiegel neu herunter: BleepingComputer.com - ForoSpyware.comund speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)! Drücke die Windows + R Taste --> Notepad (hinein schreiben) --> OK Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument. Code: Folder::Wichtig:
Schritt # 2: Kontrollscan mit Malwarebytes' Anti-Malware (MBAM) Downloade Dir bitte Malwarebytes' Anti-Malware
Schritt # 3: Deine Rückmeldung Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort
|
Hey M-K-D-B, ja das ist richtig ich hatte mal die Sygate Personal firewall drauf, die habe ich aber schon ne ganze Weile nicht mehr, da die unter Win 7 nicht wirklich funktioniert hat (bzw. habe ich sie nicht zum laufen bekommen). Deinstalliert ist sie mittlerweile auch schon wieder. Der neue Combofix logfile ist hier: Code: ComboFix 11-07-23.04 - Ann-Marie 24.07.2011 13:49:04.3.2 - x64und die MBAM files sind hier: Code: Malwarebytes' Anti-Malware 1.51.1.1800 |
Hallo Ifron, ich bitte um einen kleinen Zwischenbericht: Wie läuft dein Rechner derzeit? Gibt es Probleme? Wenn ja, welche? Schritt # 1: Systemscan mit OTL
Schritt # 2: Deine Rückmeldung Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort
|
Hey M-K-D-B, der Laptop läuft an sich wunderbar. Ich bin zwar der Meinung das das Hochfahren immernoch länger dauert als vor dem Virusbefall, es ist aber nur minimal und seid der bisherigen Bereinigung um EINIGES schneller geworden. Ansonsten fällt mir nichts auf was ungewöhnlich wäre, soweit ich das beurteilen kann. Die Logfiles befinden sich im Anhang, da das Hochladen in den Codeboxen komischerweise nicht funktioniert hat. An sich funktionieren alle Funktionionen des Browsers einwandfrei, nur speziell diese Antwort in den Thread zu schreiben hat nicht funktioniert (der Rechner reagiert zwar aber lädt "unendlich" lang). |
Hallo Ifron, Schritt # 1: Fix mit OTL
Code: :OTL
Schritt # 2: Java deinstallieren/neu installieren
Schritt # 3: Wichtige Updates
Schritt # 4: ESET Online Scanner Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.
Code: "%ProgramFiles(X86)%\Eset\Eset Online Scanner\log.txt"Schritt # 5: Durchführung einer Sicherheitskontrolle Downloade Dir bitte SecurityCheck
Schritt # 6: Deine Rückmeldung Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort
|
Hey M-K-D-B, hier die logs: OTL-Fix: Code: All processes killedCode: ESETSmartInstaller@High as downloader log:Code: Results of screen317's Security Check version 0.99.17 |
Hallo Ifron, Zitat:
Wenn du keine Probleme mehr hast, dann sind wir hier fertig. Dein Rechner ist sauber. :daumenhoc Zum Schluss müssen wir noch ein paar abschließende Schritte unternehmen, um deinen Pc aufzuräumen und abzusichern. Schritt # 1: ComboFix deinstallieren Bitte vor der folgenden Aktion wieder temporär Antivirus-Programm, evtl. vorhandenes Skript-Blocking und Anti-Malware Programme deaktivieren. Windows-Taste + R drücken. Kopiere nun folgende Zeile in die Kommandozeile und klicke OK. Code: Combofix /UninstallDamit wird Combofix komplett entfernt und der Cache der Systemwiederherstellung geleert, damit auch aus dieser die Schädlinge verschwinden. Nun die eben deaktivierten Programme wieder aktivieren. Schritt # 2: Systembereinigung mit OTL Als Nächstes müssen wir alle Programme, die zur Malwarebeseitigung notwendig waren, entfernen:
Schritt # 3: Programme deinstallieren/löschen
Schritt # 4: ESET Online Scanner
Schritt # 5: Adobe Flash Player aktualisieren
Schritt # 6: Windows Update aktivieren Sehen wir nach ob die Updates für Windows sich automatisch downloaden. Das ist der beste Weg um all die Sicherheits- Patches und Fixes zu erhalten.
Schritt # 7: Schutz vor weiteren Infektionen Damit du in Zukunft vor ähnlichen Infektionen geschützt bist, empfehle ich dir noch ein paar nützliche Programme inklusive ein paar Tipps.
Schritt # 8: Passwörter ändern
Schritt # 9: Deine Rückmeldung Bitte gib mir kurz Bescheid, wenn alles erledigt ist und du keine Fragen mehr hast, damit ich das Thema aus meinen Abos löschen kann. |
Hey M-K-D-B, danke für deine Hilfe, alles funktioniert wieder einwandfrei. :dankeschoen::dankeschoen::dankeschoen: Wirklich guter Service!!! Ich hab alle deine letzten Schritte ausgeführt. Danke für deine Hilfe nochmal. Das einzige Problem das ich habe ist, dass ich wenn ich etwas installieren oder Deinstallieren will sich ein Fenster öffnet, dass mir sagt das ich entweder in meinem jetzigen User installieren soll oder das Passwort des Administrators eingeben soll... Ich habe aber doch nur dieses eine Benutzerkonto... Wie kann ich dieses Fenster umgehen bzw. wie bekomme ich das Passwort des besagten Administrators heraus? |
Zitat:
Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke mir bitte eine PM. Jeder andere bitte hier klicken und einen eigenen Thread erstellen. |
Hallo Ifron, Zitat:
Verwendest du bei der Installation der Installationsdatei (.exe) Rechtsklick -> Als Administrator starten? Kommt dabei die gleiche Meldung? Beim Passwort handelt es sich wohl um das gleiche Passwort, mit dem du dich bei Windows anmeldest. Edit: Folge dem Pfad Start -> Systemsteuerung -> Benutzerkonten -> Benutzerkonten -> Eigenen Kontotyp ändern Ist dort Standardbenutzer oder Administrator ausgewählt? Ändere nichts ohne Anweisung! |
Liste der Anhänge anzeigen (Anzahl: 1) Ja es funktioniert wenn ich die Anwendungen mit Administratorrechten ausführe, das hilft mir aber nicht weiter, wenn ich unter Software -> Programme Deinstallieren selbiges tun möchte... PS: Screenshot im Anhang Achso... was gebe ich ein, wenn ich kein PW zur Anmeldung in Windows nutze? |
Zitat:
Folge dem Pfad Start -> Systemsteuerung -> Benutzerkonten -> Benutzerkonten -> Eigenen Kontotyp ändern Ist dort Standardbenutzer oder Administrator ausgewählt? Ändere nichts ohne Anweisung! |
Das Benutzerkonto ist als Administrator ausgewiesen. Wenn ich nichts angebe, lässt er das nicht zu, weil ein PW immer angegeben werden muss. |
Zitat:
Start drücken Unten ins Suchfeld uac eingeben Einstellungen der Benutzerkontensteuerung ändern auswählen In welcher Position befindet sich dort der Regler (1 - ganz unten, 4 - ganz oben) |
Position 3 |
Zitat:
Ich dachte, dass du evtl. nicht als Administrator angemeldet wärst. Die Position des Reglers für die Benutzerkontensteuerung ist auch in Ordnung. Es ist seltsam, dass die Probleme erst nach dem Ende der Bereinigung auftreten. Auf jeden Fall würde ich dir empfehlen, ein Passwort für dein Konto zu setzen. Mit diesem könntest du dann auch Deinstallationen durchführen. Bedauerlicherweise kenne ich mich in diesem Bereich zu wenig aus, tut mir Leid. Daher bitte ich dich, ein neues Thema in einem passenden Unterforum aufzumachen: Alles rund um Windows Gerne kannst du auf dieses Thema hier verweisen, damit die Helfer wissen, was wir hier schon probiert bzw. gemacht haben. :) |
Alles klar, trotzdem vielen dank und vor allem auch vielen vielen danke für die Bereinigung. Trotzdem Eins A Arbeit :daumenhoc :applaus: |
Zitat:
Würde mich auch interessieren, wie man das wieder hinbekommt. Vermutlich hat es etwas mit der Rechteverwaltung unter Windows 7 zu tun. Alles Gute! |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 23:00 Uhr. |
Copyright ©2000-2025, Trojaner-Board