Hallo Zusammen!

Mein Schwiegervater hat sich einen Trojaner eingefangen. Es kam die Seite mit der Urheberrechtsverletzung. Nach einer Systemwiederherstellung lief der Rechner erstmal wieder. Nun wollte ich das Vista Servicepack 1 installieren.

Jetzt startet der Rechner nicht mehr hoch. Er kommt nur bis zum Ladebalken von Vista und geht dann wieder aus. Im abgesicherten Modus kommt er bis zur bmload.sys und schaltet sich dann ebenfalls aus.

Kann mir jemand helfen?

Vielen Dank

Ame

Zitat:

Nach einer Systemwiederherstellung lief der Rechner erstmal wieder. Nun wollte ich das Vista Servicepack 1 installieren.

Nur SWH oder hast du richtig formatiert und neu installiert bzw recovert?

erst habe ich nur die Wiederherstellung gemacht.

Mittlerweile war mir alles egal und ich hab recovert.
Ist der Trojaner jetzt weg oder versteckt der sich noch irgendwo?

Wenn du recovert hast wird ein Schädling das nicht überleben
Es sei denn du hattest zB einen infizierten MBR und der wurde nicht neu geschrieben

okay, danke.
Wie finde ich das raus?

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

Hinweis: Bitte den Virenscanner abstellen bevor du aswMBR ausführst, denn v.a. Avira meldet darin oft einen Fehalalrm!

• Starte die aswMBR.exe Vista und Win7 User aswMBR per Rechtsklick "als Administrator ausführen"
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

Noch ein Hinweis: Sollte aswMBR abstürzen und es kommt eine Meldung wie "aswMBR.exe funktioniert nicht mehr, dann mach Folgendes:
Starte aswMBR neu, wähle unten links im Drop-Down-Menü (unten links im Fenster von aswMBR) bei "AV scan" (none) aus und klick nochmal auf den Scan-Button.

Hallo!

Hier die aswMBR.txt

Danke schonmal!

Die Logs bitte nur in den Anhang (gezippt) legen, wenn sie zu groß sind um direkt gepostet zu werden!
Ansonsten bitte alles nach Möglichkeit hier in CODE-Tags posten. Das ist einfacher übersichtlicher und man spart sich ne Menge Rumklickerei

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code: Alles auswählenAufklappen

ATTFilter

 hier steht das Log
         

ich versuchs mal:

Code: Alles auswählenAufklappen

ATTFilter

 aswMBR version 0.9.9.1665 Copyright(c) 2011 AVAST Software
Run date: 2012-10-28 20:53:46
-----------------------------
20:53:46.792    OS Version: Windows 6.0.6000 
20:53:46.792    Number of processors: 2 586 0xE0C
20:53:46.792    ComputerName: WERNER-PC  UserName: Werner
20:53:47.854    Initialize success
20:54:51.060    AVAST engine defs: 12102800
20:55:09.607    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP1T0L0-1
20:55:09.623    Disk 0 Vendor: Hitachi_HTS541616J9SA00 SB4OC70P Size: 152627MB BusType: 3
20:55:09.638    Disk 0 MBR read successfully
20:55:09.638    Disk 0 MBR scan
20:55:09.685    Disk 0 unknown MBR code
20:55:09.701    Disk 0 Partition 1 00     1C Hidd FAT32 LBA MSDOS5.0     7000 MB offset 2048
20:55:09.716    Disk 0 Partition 2 80 (A) 07    HPFS/NTFS NTFS        76313 MB offset 14338048
20:55:09.732    Disk 0 Partition - 00     0F Extended LBA             69312 MB offset 170627072
20:55:09.763    Disk 0 Partition 3 00     07    HPFS/NTFS NTFS        69311 MB offset 170629120
20:55:09.779    Disk 0 scanning sectors +312578048
20:55:09.873    Disk 0 scanning C:\Windows\system32\drivers
20:55:21.966    Service scanning
20:55:54.873    Modules scanning
20:56:05.966    Disk 0 trace - called modules:
20:56:05.998    ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll ataport.SYS pciide.sys PCIIDEX.SYS atapi.sys 
20:56:06.013    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x84d6dad8]
20:56:06.013    3 ntkrnlpa.exe[81cb07e2] -> nt!IofCallDriver -> [0x8440d928]
20:56:06.029    5 acpi.sys[8046932a] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP1T0L0-1[0x83a4d678]
20:56:06.654    AVAST engine scan C:\Windows
20:56:10.529    AVAST engine scan C:\Windows\system32
21:03:07.810    AVAST engine scan C:\Windows\system32\drivers
21:03:38.966    AVAST engine scan C:\Users\Werner
21:04:03.638    AVAST engine scan C:\ProgramData
21:04:22.185    Scan finished successfully
21:04:45.710    Disk 0 MBR has been saved successfully to "C:\Users\Werner\Desktop\MBR.dat"
21:04:45.710    The log file has been saved successfully to "C:\Users\Werner\Desktop\aswMBR.txt"
         

Zitat:

20:55:09.685 Disk 0 unknown MBR code

Der wird als unbekannt eingestuft. Kann aber auch sein, dass aswMBR den nicht kennt, weil der Hersteller den MBR für Recoveryfunktionen verändert hat, der also deswegen von einem Standard-Windows-MBR abweicht.