Virus, alles gelöscht?

Hallo Forum ;(,
heute hatte ich plötzlich ein paar Virenmeldungen von AntiVir und mein PC hat sich automatisch neu gestartet...Seitdem kann ich nicht mehr auf meine 2. Festplattenpartition zugreifen. "Der Datenträge D ist nicht formatiert, soll er jetzt formatiert werden. Wenn ich auch Ja drücke steht, der Datenträger kann nicht formatiert werden. Auf der Partition waren viele wichtige Daten, sind jetzt alle weg?

 

http://www.pcwelt.de/forum/1940399-post1.html

 

Hallo Leute, hier mein Problem nach dem vorgegebenem Schema geschrieben. Also heute morgen hat sich mein PC einfach neu gestartet und als er wieder hochgefahren ist, konnte ich nicht mehr auf eine 2. Partition zugreifen. Es wird gesagt, dass die Partition nicht formatiert ist. Desweiterem kann ich mich noch über viel Werbung beklagen, auch wenn ich nicht im Browser drin bin.

Ich habe meinen PC mal scannen lassen, hier die Logs :

rsit - log

rsit - info

Malwarebytes Anti-Malware

 

gleich mal vorweg:
Dein System ist echt krank, der sicherste und schnellste Weg wäre hier sicher ein Neuaufsetzen des Systems.

Wir können versuchen, dein System zu säubern, wofür dir niemand eine Garantie geben kann.

Falls du dich für die Reinigsungsarbeiten entscheiden solltest:
1. trenne den Rechner vom Netzwerk, um ein Nachladen weiterer Schädlinge zu verhindern

2. lass bitte folgendes auf Virustotal bzw Jotti scannen und poste hier das Ergebnis:

Code:

C:\DOKUME~1\Alenlol\LOKALE~1\Temp\b.exe
C:\WINDOWS\msa.exe

 

C:\DOKUME~1\Alenlol\LOKALE~1\Temp\b.exe

C:\WINDOWS\msa.exe

 

also du entscheidest dich für die unsichere Variante....

Dann mach folgendes:

Starte dein System im abgesichertem Modus (während Boot mehrmals F8)

- starte CCleaner und lass in den Standardeinstellungen bereinigen:
http://www.ccleaner.de/

- Starte MBAM:

• updaten
• voller Systemscan
• lasse alles bereinigen, was gefunden wurde
• poste das Logfile

- NEUSTART in den normalen Modus

- poste ein neues Logfile von RSIT


bitte die Reihenfolge einhalten- alle Logs gemeinsam posten

 

Kann ich mit der kostenlosen Version von MBAM auch bereinigen?

 

@conejo:

Und mal eine ganz dumme Frage: Warum hast du bisher SP 3 nicht installiert?

 

Ach, dann könntest du auch gleich fragen, wieso sich der TO diesen "MS Antivirus" eingefangen hat. Das tut man eigentlich auch nicht.

Weiter wäre zu fragen, wieso der TO nicht auf die Idee kam, mal "msa.exe" bei Google oder einer anderen Suchmaschine des Vertrauens einzugeben. Er wäre von "Reinigungs"-Vorschlägen überschüttet worden. Ach ja, bei Chip läuft übrigens auch gerade mal wieder das selbe Programm.

Weiter wäre zu fragen, ob sich der TO wirklich nach so einer "Reinigung" noch vertrauensvoll an seine Kiste setzen möchte. Wieso denn nicht, WOW läuft doch wieder. Ja ja. (@ conejo18: Auch wenn dieses MS Antivirus vergleichsweise harmlos ist, würde ich einem einmal versifften Rechner nicht mehr trauen).

Aber wir fragen besser nicht, dann würden ja die Security-Spezialisten irgendwann mal Däumchen drehen.

 

So, habe alles gemacht wie beschrieben. Meine zweite Partition kann ich immer noch nicht öffnen. Im abgesichertem Modus aber doch.

Hier der Rsit-Log :

 

Exkurs zum OffTopic Gelaber von tempranillo:

Reinigungsarbeiten von Laien bzw über Google bringen noch weniger, ...

Die Frage ist sinnfrei, da sich der TO bereits entschieden hat, seinem nichtvertrauenswürdigen System zu vertrauen und die Gefahr einzugehen, dass Daten an Dritte weitergelangen

Man labert auch keinen Thread mit OT voll...




@ TO:
- Start->Systemsteuerung->Software-> AskToolbar.... deinstallieren

lass bitte folgendes auf Virustotal bzw Jotti scannen und poste hier das Ergebnis:

Code:

C:\WINDOWS\system32\msfDX.dll
C:\WINDOWS\system32\nbDX.dll

- Bitte fixe mit HJT folgendes:
fixen: scannen, anschliessend gewünschte Einträge mit Haken versehen und anschl.fixen

Code:

R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=101761&gct=&gc=1&q=
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: DefaultSearchHook Class - {C94E154B-1459-4A47-966B-4B843BEFC7DB} - C:\Programme\AskSearch\bin\DefaultSearch.dll
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll

Falls etwas nach dem fixen nicht mehr funktioniert, kannst du die gefixten Einträge wiederherstellen- hierzu muss jedoch HJT in einem separaten Ordner laufen.(Bsp C:\HJT\


- mit Stinger dein System scannen:http://www.chip.de/downloads/McAfee-AVERT-Stinger_13011160.html
berichten was gefunden wird

 

C:\WINDOWS\system32\msfDX.dll

C:\WINDOWS\system32\nbDX.dll

Stingerlog folgt.

 

McAfee® Stinger Version 10.0.1.624 built on Jul 6 2009

Copyright © 2009 McAfee, Inc. All Rights Reserved.

Virus data file v1000 created on Jul 6 2009.

Ready to scan for 897 viruses, trojans and variants.



Scan initiated on Mon Jul 20 13:16:32 2009

Number of clean files: 216552




das steht im stingerlog

 

Ooops, habe ich dir auf die persönliche Landkarte getreten? Das täte mir auch leid, wenn du nicht gleich den Mod herauskehren würdest.

Ich glaube, du hast nicht verstanden:

Das Rumgemache hier um einen trivialen Befall mit Rogue AV ist völlig inkonsequent.

Entweder vertritt man die Meinung, dass bei einem kompromittierten System grundsätzlich neu aufzusetzen ist.Dann wäre mit dem Feststellen der Kompromittierung Ende und es bliebe leider auch kein Raum für Selbstdarstellungen durch trotzdem wider besseren Wissens unternommene "Reinigungsversuche.".

Oder man vertritt die Meinung, dass es Sinn macht, an dem kompromittierten System rumzumachen, um den Schädling zu entfernen. Ok, das kann man vertreten, aber bei dieser msa.exe braucht's dann das hier vorgestellte Gehampel nicht. Es wären dann ein paar Dateien zu löschen, dann zu scannen und das wär's. (Nein, ich werde hier nicht posten, welche Dateien das sind, da ich die 1.Meinung für richtig halte, aber Tante Google hilft in Sekundenschnelle).

 

ganz ehrlich:

meine Meinung, wir könnten noch ewig herumdoktorn, jedoch vermute ich, dass du mehr auf dem System hast, als man so schnell finden kann und deine Daten alles andere als sicher sind.
Ich kann dir an dieser Stelle nur noch ein Neuaufsetzen des Systems empfehlen

 

Also erstmal vielen Dank an die Hilfe von Phoenix
Malwarebytes' Anti-Malware findet nichts mehr. Ich bekomme keine Werbung mehr und der Browser ist wieder so schnell wie vorher. Auch die msa.exe kann ich im Tastmanager nicht mehr wiederfinden. Ich kann aber immer noch nicht auf meine 2. Partition zugreifen. Im abgesichertem Modus kann ich jedoch auf die Daten zugreifen. Also irgendwie muss es doch zu beheben sein oder nicht?

@tempranillo :
Ich würde mich auf konstruktive Beiträge freuen. Wenn du einen Weg kennst da raus zu kommen, ohne gleich das System neu aufzusetzen, dann sag ihn doch bitte
Tante google gibt einfach zu viele Ergebnisse ohne richtige Beschreibung für einen Laien.

 

Da wird wohl wer was angerichtet haben und der lässt sich nicht so leicht finden, deswegen: #15

@tempranillo: du bist mir nicht auf die Landkarte getreten... ich gehöre einfach zu denjenigen, die bereinigen usw.
aber da hier nicht nur Rogue und MSA aktiv zu sein scheinen, und somit mehr im System im A**** ist, als anfänglich gedacht, bin ich nun der Meinung dass die Säuberungen nicht wirklich effektiv sein werden.
Jedoch muss ich auch mal anbringen, dein Schreibstil kommt mir mehr als bekannt vor.

 

[OT]

Da ehrt mich. Du hast PN.

@ conejo18

Nein, aus Prinzip nicht, tut mir leid. Und lies noch mal den abschließenden Beitrag von phoenix. Wenn da noch mehr aktiv ist, kommst du um ein Neuaufsetzen eh nicht drumherum.
Das wäre übrigens der richtige Zeitpunkt, mal über den Erwerb einer Image-Software nachzudenken. Wenn du alles eingerichtet hast, ziehst du ein Image und tust es in deinen Notfallschrank. Wenn du dann noch über eine halbwegs taugliche Backup-Strategie nachdenkst, verliert so ein Malware-Befall ganz deutlich an Schrecken...

 

Dann lösche auf den Partitionen, in die du nicht rein kommst, die "autorun.inf".