Hallo
Hab mir wohl einen Bootsektor-Virus eingefangen.
Hier die Daten:
- XP SP-3 - 32bit
- Systempartition: H: (nur diese eine FP/Partition)
- Symptome: Programme in der Taskleiste und unter Start-Programme nicht mehr alle sichtbar (z.B. Zubehör, IE etc.), Verwaltung zeigt ein leeres Fenster an, Auflösung kann bei einem Benutzer nicht eingestellt werden, auch im abgesicherten Modus!
- 3 Benutzer sind aktiv, die noch auszuführenden Programme sind pro Benutzer unterschiedlich.
- Bei den beiden geöffneten Benutzern während des Befalls (5.10.2012) fand MS Security Essentials Viren (QuickLaunch.exe), die ich im abgesicherten Modus löschte.
- Bootete ab Sardu (Linix) und lies diverse Scanner laufen (Kapersky, AG...). Die fanden auch einige Malware.
- Erhielt Bluescreen beim Booten ab XP-CD: 0x0000007B
- chkdsk ohne Erfolg
- fixboot und fixmbr ohne Erfolg
- Im BIOS SATA auf IDE, Boot ab CD OK, Systemwiederherstellung aber klappen nicht (konnte nicht wiederhergestellt werden - 7 verschiedene Versuche). Musste die Systemwiederherstellung via cmd starten (rstrui)

Vermute, dass der Bootsektor-Virus eliminiert wurde, aber der Schaden nicht.

Habe dann Eure Anleitung durchgespielt. Die Logs von Malwarebytes, defrogger und OTL sind in der Beilage. Das Log von GMER (gmer.txt) lässt sich nicht hochladen...?

Besteht evtl. doch noch eine Möglichkeit, den Zustand vom 4.10.2012 wiederherzustellen bzw. alle Programme wieder auszuführen?

Danke für jeden Tipp & Gruss,
Freddie

Zitat:

- Bootete ab Sardu (Linix) und lies diverse Scanner laufen (Kapersky, AG...). Die fanden auch einige Malware.

Wo sind die Logs dazu?

Die Logs bitte nur in den Anhang (gezippt) legen, wenn sie zu groß sind um direkt gepostet zu werden!
Ansonsten bitte alles nach Möglichkeit hier in CODE-Tags posten. Das ist einfacher übersichtlicher und man spart sich ne Menge Rumklickerei

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code: Alles auswählenAufklappen

ATTFilter

 hier steht das Log
         

Konnte diese Logs damals (9.10.12) nicht speichern, da der Zugriff auf alle Ordner auf der FP verweigert wurde. Mittlerweile geht es zwar wieder, aber das hilft und jetzt wohl auch nicht weiter...
Sagen die angehängten Logs von Malwarebytes, OTL und defrogger nichts aus? Oder soll ich eben diese in Code-Tags posten?

Die Logs zeigen mir ja schlecht was Kaspersky im Rettungssystem so alles gefunden hat
Was hat Kaspersky denn gefunden weiß du das in etwa noch?

cosinus
Danke für Dein Feedback.
Es waren 7 Registry-Keys, die ich nicht mehr nachvollziehen kann.
Wollte zuerst noch ein Foto machen, nachdem die Speicherung versagte, der Key war aber viel zu lange...

Mache es jetzt kurz und installiere Windows neu, geht trotz der zahlreichen Programme und Daten wohl immer noch schneller.

Nochmals thanks,
Freddie

Wieso so schnell aufgeben?
Naja musst du wissen, letztend Endes ist eine Neuinstallation immer die gründlichere Methode

Mach nach der Neuinstallation bitte zwecks Überprüfung des MBR ein Log mit aswMBR:

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

Hinweis: Bitte den Virenscanner abstellen bevor du aswMBR ausführst, denn v.a. Avira meldet darin oft einen Fehalalrm!

• Starte die aswMBR.exe Vista und Win7 User aswMBR per Rechtsklick "als Administrator ausführen"
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

Noch ein Hinweis: Sollte aswMBR abstürzen und es kommt eine Meldung wie "aswMBR.exe funktioniert nicht mehr, dann mach Folgendes:
Starte aswMBR neu, wähle unten links im Drop-Down-Menü (unten links im Fenster von aswMBR) bei "AV scan" (none) aus und klick nochmal auf den Scan-Button.

Ist ein Kunden-PC, die brauchen ihn heute Abend...

Das mach ich das nächste mal, wenn ich nicht so in Eile bin.
Der PC ist bereits beim Kunden und läuft top (ohne all die vorinstallierte Hersteller-SW und nach bestem Wissen & Gewissen konfiguriert).
Thanks again und bis nächstes mal (bestimmt, bei den vielen XP-PCs, die noch im Einsatz sind...)!
Greez,
Freddie