Zeckenstein
Neuer Benutzer
Hallöchen allerseits,
ein Bekannter hat sich wieder einmal ein TDSS-Rootkit eingefangen und ich soll nun seinen M5811 reanimieren. Diesmal war ein ein "Bild" aus einer Facebook-Nachricht, das dazu führte, daß sich der Rechner nicht mehr starten ließ. Es kam immer nur die Windows-Systemreparatur, die erfolglos irgendwelche Probleme bekämpfte und dann aufgab. Ein Virenscan von einer Linux-CD zeigte dann einen schönen Zoo an Viechern auf der C-Platte.
Da auch sonst nichts half, wurde die gnadenlose D2D-Rücksetzung auf den Auslieferungszustand von der Recovery-Partition aus beschlossen. Nach längerer Zeit war Windows 7 dann endlich wieder halbwegs fertig und wartete mit einer faustdicken Überraschung auf, die ich so nicht erwartet hätte:
Auf dem Desktop prangte die berüchtigte "Malware Protection"-Scareware, die in der bekannten Art und Weise das System blockierte, bis c:\programdata\defender.exe ins Nirwana geschickt war.
Wie konnte das Viech ins System kommen? C: müßte doch vollkommen gelöscht worden sein. Hat sich TDSS etwa bis in die Recovery-Partition ausgebreitet und dort seine Spuren hinterlassen, so daß das System auch nach einer D2D-Recovery kompromittiert ist? Die beiden Dinger treten gern zusammen auf. Wer weiß, was er sich noch eigefangen hat... Seiner Aussage nach dauert der Start von Windows bis zum Login jetzt auch deutlich länger als früher. Übel.
Da sich mein Bekannte nun endgültig von Windows verabschieden will, habe ich mir mal die Partitionstabelle angesehen. Windows zeigt die üblichen vier Partitionen an: Recovery (14 GB), Boot (100 MB), Acer + Data (je ~450 GB). GParted zeigt noch eine mysteriöse 1 MB Partition, von der ich nicht weiß, ob sie zum regulären System gehört oder vom Rootkit hinterlassen wurde. Weiß jemand, wie die reguläre Partitionstabelle aussieht?
ein Bekannter hat sich wieder einmal ein TDSS-Rootkit eingefangen und ich soll nun seinen M5811 reanimieren. Diesmal war ein ein "Bild" aus einer Facebook-Nachricht, das dazu führte, daß sich der Rechner nicht mehr starten ließ. Es kam immer nur die Windows-Systemreparatur, die erfolglos irgendwelche Probleme bekämpfte und dann aufgab. Ein Virenscan von einer Linux-CD zeigte dann einen schönen Zoo an Viechern auf der C-Platte.
Da auch sonst nichts half, wurde die gnadenlose D2D-Rücksetzung auf den Auslieferungszustand von der Recovery-Partition aus beschlossen. Nach längerer Zeit war Windows 7 dann endlich wieder halbwegs fertig und wartete mit einer faustdicken Überraschung auf, die ich so nicht erwartet hätte:
Auf dem Desktop prangte die berüchtigte "Malware Protection"-Scareware, die in der bekannten Art und Weise das System blockierte, bis c:\programdata\defender.exe ins Nirwana geschickt war.
Wie konnte das Viech ins System kommen? C: müßte doch vollkommen gelöscht worden sein. Hat sich TDSS etwa bis in die Recovery-Partition ausgebreitet und dort seine Spuren hinterlassen, so daß das System auch nach einer D2D-Recovery kompromittiert ist? Die beiden Dinger treten gern zusammen auf. Wer weiß, was er sich noch eigefangen hat... Seiner Aussage nach dauert der Start von Windows bis zum Login jetzt auch deutlich länger als früher. Übel.
Da sich mein Bekannte nun endgültig von Windows verabschieden will, habe ich mir mal die Partitionstabelle angesehen. Windows zeigt die üblichen vier Partitionen an: Recovery (14 GB), Boot (100 MB), Acer + Data (je ~450 GB). GParted zeigt noch eine mysteriöse 1 MB Partition, von der ich nicht weiß, ob sie zum regulären System gehört oder vom Rootkit hinterlassen wurde. Weiß jemand, wie die reguläre Partitionstabelle aussieht?