Avira meldet BOO/Whistler.A [virus] gefunden
 

Hallo

Mein Problem ist folgendes:
Ich bekomme bei jedem Neustart von Windows mehrmals die Meldung BOO/Whistler.A [virus] gefunden. (von Avira Free Antivirus)

Und zwar in:
Laufwerk C
Laufwerk E
Masterbootsektor HD0


Ich habe diese Meldungen erst seit 2 Tagen aber mein Notebook verhält sich schon länger komisch.
Laut Process Hacker laufen mehrere versteckte Prozesse mit Namen iexplore.exe (C:\Programme\Internet Explorer\iexplore.exe)
Ich nutze den IE nicht.

Ich habe ein Notebook mit Windows XP SP3 (32 bit)
Außerdem nutze ich noch 1 externe Festplatte über USB und 2 weitere über eine USB Sata Docking Station (kann immer nur eine Festplatte drin sein).
Ich nehme an, dass die externen Platten auch untersucht werden müssen. Wobei eine komplett leer ist. Ist es dann ausreichend diese zu formatieren?


Ich habe bereits Malwarebytes Anti-Malware laufen lassen.


Den Scan mit OTL habe ich auch durchgeführt allerdings wird nur eine otl.txt und keine extra.txt erstellt. (habs mehrmals versucht)



Ich hoffe es ist möglich mein Daten zu retten. Eine Win XP Neuinstallation ist kein Problem, wollte ich sowieso machen.
Wie gehts jetzt weiter?

Danke schonmal.
Robot

:hallo:

Mein Name ist Marius und ich werde dir bei deinem Problem helfen.

Eines vorneweg:

Hinweis: Wir können hier nie dafür garantieren, dass wir sämtliche Reste von Schadsoftware gefunden haben. Eine Formatierung ist meist der schnellste und immer der sicherste Weg.

Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass dein Rechner clean ist.

Eine Bereinigung ist mitunter mit viel Arbeit für dich verbunden.

1. Bitte arbeite alle Schritte der Reihe nach ab.
2. Lese die Anleitungen sorgfältig. Solltest du irgendwo nicht weiterkommen, stoppe an diesem Punkt und beschreibe dein Problem hier!
3. Nur Scans durchführen, zu denen du von einem Helfer aufgefordert wirst.
4. Bitte kein Crossposting (posten in mehreren Foren) - wenn du die Anweisungen mehrere Helfer ausführst, kann das schwere Probleme nach sich ziehen!.
5. Installiere oder Deinstalliere während der Bereinigung keine Software (ausser, du wurdest dazu aufgefordert).
6. Wenn etwas unklar ist: Frage, bevor du etwas "blind" machst!
   
   ...und ganz wichtig:
   
   
7. Poste die Logfiles mit code-tags (das #-Symbol oben im Antwortfenster) in deinen Thread! Nicht anhängen, außer, ich fordere dich dazu auf. (Erschwert mir nämlich das Auswerten).

Vista und Win7 User
Alle Tools mit Rechtsklick --> "als Administrator ausführen" starten.



Schritt 1: defogger


Downloade Dir bitte defogger von jpshortstuff auf Deinem Desktop.

• Starte das Tool mit Doppelklick.
  Vista und Win7 User mit Rechtsklick "als Administrator starten".
• Klicke nun auf den Disable Button um die Treiber gewisser Emulatoren zu deaktivieren.
• Wenn der Scan beendet wurde ( Finished ), klicke auf OK.
• Defogger fordert gegebenfalls zum Neustart auf. Bestätige dies mit OK.

Sollte Defogger eine Fehlermeldung ausgeben, poste bitte die defogger_disable Log von deinem Desktop.
Klicke den Re-enable Button nicht ohne Anweisung.



Schritt 2: Gmer



Bitte

• alle anderen Scanner gegen Viren, Spyware, usw. deaktivieren,
• keine bestehende Verbindung zu einem Netzwerk/Internet (WLAN nicht vergessen),
• nichts am Rechner arbeiten,
• nach jedem Scan der Rechner neu gestarten.

Gmer scannen lassen

• Lade Dir Gmer von dieser Seite herunter (auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
• Alle anderen Programme sollen geschlossen sein.
• Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen). Vista und Win7 User mit Rechtsklick und als Administrator starten.
• Sollte sich ein Fenster mit folgender Warnung öffnen:

  WARNING !!! GMER has found system modification, which might have been caused by ROOTKIT activity. Do you want to fully scan your system ?

  Unbedingt auf "No" klicken.
• Entferne rechts den Hacken bei:

  • IAT/EAT
  • Alle Festplatten ausser die Systemplatte (normalerweise ist nur C:\ angehackt)
  • Show all (sollte abgehackt sein)

• Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
• Wenn der Scan fertig ist klicke auf Save und speichere die Logfile unter Gmer.txt auf deinem Desktop. Mit "Ok" wird GMER beendet.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!



Schritt 3: Scan mit TDSS-Killer


Lese bitte folgende Anweisungen genau. Wir wollen hier noch nichts "fixen" sondern nur einen Scan Report sehen. Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop

• Starte die TDSSKiller.exe
• Klicke Change parameters, wähle Detect TDLFS file system, klicke OK.
• Drücke Start Scan
• Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und speichere das Logfile. TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern ( Meistens C:\ ) Als Beispiel: C:\TDSSKiller.<version_date_time>log.txt

Poste den Inhalt bitte hier in deinen Thread.

Hi Marius

Danke das Du dich so schnell um mein Problem kümmern kannst.

defogger habe ich gestern schon ausgeführt. Hab leider vergessen das zu erwähnen.
Ich habe es aber jetzt nocheinmal gemacht. Hier das log:
Soll ich bei den Scans mit Gmer und TDSS-Killler meine externen USB Festplatten einschalten?

Nein, nicht nötig

Hier sind die Logfiles

die gmer.txt ist zu lang, deshalb als Anhang.

tdss-Killer

Poste mir bitte noch die Extras.txt von OTL. Du findest sie unter C:\_OTL.

Ich habe leider keine extra.txt auf meinem Rechner. Die Suchfunktion hat auch nichts zu Tage gefördert.
Nach dem Beenden des Scans von OTL wird immer nur eine otl.txt erstellt.

Ich habe einen Screenshot von OTL gemacht. Sind die Einstellungen so richtig?
(ich habe nichts verändert)

Aktiviere bei "Extra-Registrierung" Benutze Safelist! ;)

Sobald ich QuickScan starte springt die Einstellung von "Benutze Safelist" auf "Aus" zurück und es gibt wieder nur eine otl.txt. :wtf:

Oh, pardon...versuchs mal mit dem "SCAN"-Button! :D

Juhu jetzt hat es geklappt. :daumenhoc

otl.txt
extra.txt

TDSS-Killer

Starte TDSSkiller.exe mit Doppelklick.
Vista und Win7 User mit Rechtsklick "als Administrator starten"

• Klicke Change parameters, wähle Detect TDLFS file system, klicke OK.
• Drücke auf Start Scan.
  Mache während dem Scan nichts am Rechner
• Gehe sicher das Cure ( default ) angehakt ist !
• Drücke Continue --> Reboot.

TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern ( Meistens C:\ )
Als Beispiel: C:\TDSSKiller.<version_date_time>log.txt

Poste den Inhalt bitte hier in deinen Thread.

Avira hat jetzt beim Neustart keinen Fund mehr angezeigt.

Hier ist das Log von TDSSKiller

Ich galube ich habe den Haken bei detect file system nicht gemacht. :headbang:

Das ist in diesem Fall nicht schlimm, brauchen wir also nicht zu wiederholen! :)

Combofix

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2


WICHTIG - Speichere Combofix auf deinem Desktop

• Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

• Combofix wird überprüfen, ob die Microsoft Windows Wiederherstellungskonsole installiert ist.
  Ist diese nicht installiert, erlaube Combofix diese herunter zu laden und zu installieren. Folge dazu einfach den Anweisungen und aktzeptiere die End Nutzer Lizenz.
  Bei heutiger Malware ist dies sehr empfehlenswert, da diese uns eine Möglichkeit bietet, dein System zu reparieren, falls was schief geht.
  Bestätige die Information, dass die Wiederherstellungskonsole installiert wurde mit Ja.

Hinweis: Ist diese bereits installiert, wird Combofix mit der Malwareentfernung fortfahren.


Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

So, Combofix ist fertig
Zwei Dinge sind mir noch aufgefallen
1. Ich hab auf C: deutlich mehr freien Speicherplatz als vorher und
2. auf dem Desktop ist jetzt ein Icon für den IE neu.