Das MBR-Teil wird immer noch von GMER angezeigt, lass uns mal den MBR mit aswMBR fixen, sichere für den Fall der Fälle ALLE wichtigen Daten, auch wenn meistens alles glatt geht.

Hinweis: Mach bitte NICHT den MBR-Fix, wenn du noch andere Betriebssysteme wie zB Ubuntu installiert hast, ein MBR-Fix mit Windows-Tools macht ein parallel installiertes (Dualboot) Linux unbootbar.
Mach den Fix auch dann nicht, wenn du zB mit TrueCrypt oder anderen Verschlüsselungsprogrammen eine Vollverschlüsselung der Windowspartition bzw. gesamten Festplatte hast

Starte nach der Datensicherung aswmbr erneut und klick auf den Button FIXMBR.

Hinweis: Bitte den Virenscanner abstellen bevor du aswMBR ausführst, denn v.a. Avira meldet darin oft einen Fehalalrm!

Anschließend Windows neu starten und ein neues Log mit aswMBR und GMER machen.

Hello untenstehend der fix log von aswmbr und die neuen scan logs von aswmbr und gmer. Gmer meldet trotz dem Fix von aswmbr immer noch was

fixlog:

Code: Alles auswählenAufklappen

ATTFilter

aswMBR version 0.9.9.1707 Copyright(c) 2011 AVAST Software
Run date: 2012-11-26 18:50:59
-----------------------------
18:50:59.562    OS Version: Windows 5.1.2600 Service Pack 3
18:50:59.562    Number of processors: 2 586 0xF06
18:50:59.562    ComputerName: PC308434332191  UserName: Katie
18:51:10.875    Initialize success
19:01:32.390    AVAST engine defs: 12112600
19:02:12.375    Verifying
19:02:22.468    Disk 0 Windows 501 MBR fixed successfully
19:03:12.625    Disk 0 MBR has been saved successfully to "C:\Dokumente und Einstellungen\Katie.PC308434332191\Desktop\MBR.dat"
19:03:12.625    The log file has been saved successfully to "C:\Dokumente und Einstellungen\Katie.PC308434332191\Desktop\aswMBRfixlog 26112012.txt"
         

Logile aswmbr:

Code: Alles auswählenAufklappen

ATTFilter

aswMBR version 0.9.9.1707 Copyright(c) 2011 AVAST Software
Run date: 2012-11-26 19:08:41
-----------------------------
19:08:41.519    OS Version: Windows 5.1.2600 Service Pack 3
19:08:41.519    Number of processors: 2 586 0xF06
19:08:41.519    ComputerName: PC308434332191  UserName: Katie
19:08:42.426    Initialize success
19:09:00.879    AVAST engine defs: 12112600
19:09:05.129    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-0
19:09:05.144    Disk 0 Vendor:   Size: 0MB BusType: 0
19:09:05.160    Disk 0 MBR read successfully
19:09:05.160    Disk 0 MBR scan
19:09:05.238    Disk 0 Windows XP default MBR code
19:09:05.238    Disk 0 MBR hidden
19:09:05.238    Disk 0 Partition 1 80 (A) 07    HPFS/NTFS NTFS        85878 MB offset 63
19:09:05.285    Disk 0 Partition 2 00     0C    FAT32 LBA RECOVERY     8479 MB offset 175895685
19:09:05.332    Disk 0 scanning C:\WINDOWS\system32\drivers
19:09:22.301    Service scanning
19:09:35.551    Service KL1 C:\WINDOWS\system32\DRIVERS\kl1.sys **LOCKED** 5
19:09:35.597    Service kl2 C:\WINDOWS\system32\DRIVERS\kl2.sys **LOCKED** 5
19:09:35.894    Service klim5 C:\WINDOWS\system32\DRIVERS\klim5.sys **LOCKED** 5
19:09:36.066    Service klmouflt C:\WINDOWS\system32\DRIVERS\klmouflt.sys **LOCKED** 5
19:09:54.879    Modules scanning
19:10:06.738    Disk 0 trace - called modules:
19:10:06.769    ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll iaStor.sys 
19:10:06.769    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x86f3cab8]
19:10:06.769    3 CLASSPNP.SYS[f7564fd7] -> nt!IofCallDriver -> \Device\00000088[0x86f27a18]
19:10:06.785    5 ACPI.sys[f73da620] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-0[0x86f0a030]
19:10:07.394    AVAST engine scan C:\WINDOWS
19:10:42.129    AVAST engine scan C:\WINDOWS\system32
19:14:11.972    AVAST engine scan C:\WINDOWS\system32\drivers
19:14:32.769    AVAST engine scan C:\Dokumente und Einstellungen\Katie.PC308434332191
19:21:29.269    AVAST engine scan C:\Dokumente und Einstellungen\All Users
19:27:07.472    Scan finished successfully
19:30:32.926    Disk 0 MBR has been saved successfully to "C:\Dokumente und Einstellungen\Katie.PC308434332191\Desktop\MBR.dat"
19:30:32.926    The log file has been saved successfully to "C:\Dokumente und Einstellungen\Katie.PC308434332191\Desktop\aswMBR26112012.txt"
         

logile Gmer:

Code: Alles auswählenAufklappen

ATTFilter

GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2012-11-26 22:23:39
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-0  rev.
Running: 2dt0qi8k.exe; Driver: C:\DOKUME~1\KATIE~1.PC3\LOKALE~1\Temp\pfliikob.sys


---- System - GMER 1.0.15 ----

SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwAdjustPrivilegesToken [0xEC2BEF2A]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwClose [0xEC2BF824]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwConnectPort [0xEC2D97BC]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwCreateEvent [0xEC2BFD96]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwCreateMutant [0xEC2BFC84]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwCreatePort [0xEC2D9AD4]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwCreateProcess [0xEC2BFFC6]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwCreateProcessEx [0xEC2C018E]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwCreateSection [0xEC2BECE6]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwCreateSemaphore [0xEC2BFEAE]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwCreateThread [0xEC2BF556]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwCreateWaitablePort [0xEC2D9B9C]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwDebugActiveProcess [0xEC2C04AC]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwDeleteKey [0xEC2D3D6E]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwDeleteValueKey [0xEC2D5578]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwDeviceIoControlFile [0xEC2BF866]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwDuplicateObject [0xEC2C14AC]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwEnumerateKey [0xEC2D4D72]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwEnumerateValueKey [0xEC2D5722]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwLoadDriver [0xEC2C059E]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwLoadKey [0xEC2D48AA]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwLoadKey2 [0xEC2D4B06]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwMapViewOfSection [0xEC2C0B0A]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwNotifyChangeKey [0xEC2D7FD8]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwOpenEvent [0xEC2BFE28]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwOpenMutant [0xEC2BFD10]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwOpenProcess [0xEC2BF164]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwOpenSection [0xEC2C08EE]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwOpenSemaphore [0xEC2BFF40]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwOpenThread [0xEC2BF058]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwQueryKey [0xEC2D3BA2]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwQueryMultipleValueKey [0xEC2D5382]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwQueryObject [0xEC2D81CE]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwQuerySection [0xEC2C0E30]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwQueryValueKey [0xEC2D5172]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwQueueApcThread [0xEC2C073E]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwRenameKey [0xEC2D3E82]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwReplaceKey [0xEC2D44F6]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwReplyPort [0xEC2D9D16]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwReplyWaitReceivePort [0xEC2D9C64]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwRequestWaitReplyPort [0xEC2D9D82]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwRestoreKey [0xEC2D46FE]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwResumeThread [0xEC2C134E]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwSaveKey [0xEC2D4028]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwSaveKeyEx [0xEC2D41BE]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwSaveMergedKeys [0xEC2D435A]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwSecureConnectPort [0xEC2D9944]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwSetContextThread [0xEC2BF6C6]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwSetInformationToken [0xEC2C0358]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwSetSystemInformation [0xEC2C0F80]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwSetValueKey [0xEC2D4F32]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwSuspendProcess [0xEC2C1074]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwSuspendThread [0xEC2C11AE]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwSystemDebugControl [0xEC2C03CE]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwTerminateProcess [0xEC2BF302]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwTerminateThread [0xEC2BF25A]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwUnmapViewOfSection [0xEC2C0CE8]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  ZwWriteVirtualMemory [0xEC2BF3EC]

Code            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  FsRtlCheckLockForReadAccess
Code            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)  IoIsOperationSynchronous

---- Kernel code sections - GMER 1.0.15 ----

.text           ntkrnlpa.exe!FsRtlCheckLockForReadAccess                                               804EAFC4 5 Bytes  JMP EC2B0E5A \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)
.text           ntkrnlpa.exe!IoIsOperationSynchronous                                                  804EF96C 5 Bytes  JMP EC2B1236 \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)
.text           ntkrnlpa.exe!ZwCallbackReturn + 2C94                                                   8050458C 12 Bytes  [D4, 9A, 2D, EC, C6, FF, 2B, ...] {AAM 0x9a; SUB EAX, 0x2bffc6ec; IN AL, DX ; MOV ES, [ECX]; SUB AL, 0xec}
.text           ntkrnlpa.exe!ZwCallbackReturn + 2D60                                                   80504658 12 Bytes  [9E, 05, 2C, EC, AA, 48, 2D, ...] {SAHF ; ADD EAX, 0x48aaec2c; SUB EAX, 0x2d4b06ec; IN AL, DX }
.text           ntkrnlpa.exe!ZwCallbackReturn + 2EDC                                                   805047D4 16 Bytes  [82, 3E, 2D, EC, F6, 44, 2D, ...] {CMP BYTE [ESI], 0x2d; IN AL, DX ; TEST BYTE [EBP+EBP-0x14], 0x16; POPF ; SUB EAX, 0x2d9c64ec; IN AL, DX }
.text           ntkrnlpa.exe!ZwCallbackReturn + 2F14                                                   8050480C 20 Bytes  [4E, 13, 2C, EC, 28, 40, 2D, ...]
.text           ntkrnlpa.exe!ZwCallbackReturn + 2FD0                                                   805048C8 12 Bytes  [74, 10, 2C, EC, AE, 11, 2C, ...] {JZ 0x12; SUB AL, 0xec; SCASB ; ADC [ESP+EBP*8], EBP; INTO ; ADD EBP, [ESP+EBP*8]}
.text           ...                                                                                    
.text           C:\WINDOWS\system32\DRIVERS\nv4_mini.sys                                               section is writeable [0xF4C70360, 0x2255BD, 0xE8000020]
?               C:\DOKUME~1\KATIE~1.PC3\LOKALE~1\Temp\aswMBR.sys                                       Das System kann die angegebene Datei nicht finden. !

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT             \SystemRoot\system32\DRIVERS\tcpip.sys[TDI.SYS!TdiRegisterDeviceObject]                [F6F06E60] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO)
IAT             \SystemRoot\system32\DRIVERS\netbt.sys[TDI.SYS!TdiRegisterDeviceObject]                [F6F06E60] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO)

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\Tcpip \Device\Ip                                                               kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO)
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0                                                SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0                                                eabfiltr.sys (QLB PS/2 Keyboard filter driver/Hewlett-Packard Development Company, L.P.)
AttachedDevice  \Driver\Tcpip \Device\Tcp                                                              kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO)
AttachedDevice  \Driver\Tcpip \Device\Udp                                                              kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO)
AttachedDevice  \Driver\Tcpip \Device\RawIp                                                            kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO)
AttachedDevice  \FileSystem\Fastfat \Fat                                                               fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- Disk sectors - GMER 1.0.15 ----

Disk            \Device\Harddisk0\DR0                                                                  sector 00: rootkit-like behavior

---- EOF - GMER 1.0.15 ----
         

was nun?

lg

Hm, das Teil hält sich hartnäckig

Mach bitte mal einen Durchgang mit MBAR => http://www.trojaner-board.de/126981-...tml#post956070

also ich glaub, das Programm mag mich nicht.
Habs wie in der Anleitung beschrieben heruntergeladen und entpackt und mbar.exe lässt sich von mir nicht starten (siehe Screenshots anbei)

mbar problem 1: diese Fehlermeldung kommt, wenn ich ganz normal auf die exe Datei doppelklicke
mbar problem 2: diese fehlermeldung kommt, wenn ichs über Rechtsklick - Ausführen als - und dann mit meinem User versuche

Da mein Konto ein Adminkonto ist, kann ich das nicht ganz verstehen - was tun?
lg
Kathi

Hast du es wirklich komplett entpackt?
Entpacke es bitte mit 7zip über Rechtsklick auf die ZIP-Datei => 7zip => hier entpacken

Oder hast es so gemacht?

ich bin mit rechtsklick auf den zip ordner, dann "Alle extrahieren" und dann kommt der automatische Windows extrahier assistent und hats extrahiert. Soll ich mir 7.zip jetzt trotzdem herunter laden?

Untenstehend auch ein Screenshot von dem Extrahierten Ordner.

Ja, bitte mit 7zip mal entpacken, der Windows-Funktion trau ich nicht immer jede ZIP-Datei zu

Wenn es immer noch nicht geht: neuen Windows-Benutzer über die Systemsteuerung mal anlegen (natürlich mit Adminrechten), ausloggen, mit neuen User rein und dann MBAR nochmal probieren

so hab 7zip herunter geladen und das teil ein 2. mal extrahiert.
Doppelklick - und es geht nicht - bekomm wieder meldung wegen der adminrechte
dann hab ich mir ein 2. adminkonto eingerichtet, den zip ordner von meinen desktop auf den "dummyadmin" desktop verschoben, mit 7zip extrahiert, doppelklick auf die exe datei - kommt da auch die adminfehlermeldung

sakra haxn - wwarum geht das nicht?

kanns vielleicht daran liegen, weil die windows firewall und der kaspersky noch rennen?
lg
Kathi

Verdammt mir gehen so langsam die Ideen aus...MBAR war meine letzte Rettung wegen des Rootkits, was GMER noch anzeigt

Probier MBAR bitte im abgesicherten Modus mit Netzwerktreibern aus:


Abgesicherter Modus zur Bereinigung

• Windows mit F8-Taste beim Start in den abgesicherten Modus bringen.
• Starte den Rechner in den abgesicherten Modus mit Netzwerktreibern:
  
  

Nicht verzweifeln
Im abgesicherten mod. Funktioniert mbar und das mit meinem adminuser
Aber jetzt kommt der überhammer: beim anmelden hatte ich plötzlich 3 Konten zur Auswahl: meines, dass neu erstellte dummyadminkonto uuund ADMINISTRATOR!!! Ich glaub mich knutscht ein Elch! Wo kommt das her? Ich hab das nicht erstellt!!!

Zitat:

uuund ADMINISTRATOR!!! Ich glaub mich knutscht ein Elch! Wo kommt das her? Ich hab das nicht erstellt!!!

Das ist völlig normal

Den "Administrator" hat jedes Windows, das ist der vordefinierte und "unlöschbare" Adminaccount
Im normalen Modus unter WindowsXP wird der nur nicht angezeigt.

achsooo - na und ich hab schon weiß gott was geglaubt
so mbar ist durch und hat nix gefunden - siehe log:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes Anti-Rootkit 1.1.0.1009
www.malwarebytes.org

Database version: v2012.11.27.11

Windows XP Service Pack 3 x86 NTFS (Safe Mode/Networking)
Internet Explorer 8.0.6001.18702
Katie :: PC308434332191 [administrator]

27.11.2012 20:52:50
mbar-log-2012-11-27 (20-52-50).txt

Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken
Scan options disabled: PUP | PUM | P2P
Objects scanned: 27507
Time elapsed: 27 minute(s), 26 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

(end)
         

kann es vielleicht sein, dass GMER ein false / positive meldung gemacht hat?

Zitat:

kann es vielleicht sein, dass GMER ein false / positive meldung gemacht hat?

Damit hätte ich das ja auch abgetan, aber leider hat CF ja auch Erkennungen in dieser Richtung gehabt

Hier ein Auszug

Code: Alles auswählenAufklappen

ATTFilter

CreateFile("\\.\PHYSICALDRIVE0"): Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
device: opened successfully
user: error reading MBR 
kernel: MBR read successfully
user != kernel MBR !!! 
copy of MBR has been found in sector 1 !
         

Wobei man aber anmerken muss, dass CF Bestandteile von GMER verwendet. Vllt könnten GMER/CF wohl nur deswegen "spinnen", weil noch eine Kopie des eigentlich MBR auf Sektor1 liegt.
Alle anderen MBR/Rootkitscanner melden ja keinen Befall mehr....


Wenn du wirklich ganz sicher gehen willst, müssten wir eigentlich mal zwei Dumps der ersten beiden Festplattensektoren erstellen. Und die dann vergleichen bzw. analysieren.

Traust du dir das zu? Da müssten wir wieder mit einem Live-Linux (zB PartedMagic wieder) arbeiten und in eine Rootshell Befehle eintippern. Vertippst du dich ist dein Windows aus und vorbei, also sichere bitte alle Daten, mach am besten ein Image zB mit Drivesnaphot aller internen Festplatten, Imagedatei auf externe Platte speichern

Zitat:

Traust du dir das zu? Da müssten wir wieder mit einem Live-Linux (zB PartedMagic wieder) arbeiten und in eine Rootshell Befehle eintippern. Vertippst du dich ist dein Windows aus und vorbei, also sichere bitte alle Daten, mach am besten ein Image zB mit Drivesnaphot aller internen Festplatten, Imagedatei auf externe Platte speichern

huiuiui hört sich ja heftig an, aber ich bin neugierig und mutig und wills probieren
außerdem hast du mich bisher so super betreut - da kann ja eigentlich gar nix schief gehen Dafür nochmal danke

Bzgl. Image von den Festplatten hätt ich noch eine Frage: wie groß müsst denn die externe Platte sein, wo das Image dann abgespeichert wird? Hab daweil nur die eine, die wir ja auch schon untersucht habe (und da sind bereits alle wichtigen persönliche Ordner & Dateien von diesem Laptop und von unserem PC gesichert)...

Zitat:

Bzgl. Image von den Festplatten hätt ich noch eine Frage: wie groß müsst denn die externe Platte sein, wo das Image dann abgespeichert wird? Hab daweil nur die eine, die wir ja auch schon untersucht habe (und da sind bereits alle wichtigen persönliche Ordner & Dateien von diesem Laptop und von unserem PC gesichert)...

Das ist eine gute Frage
Ich habe bisher die Erfahrung, dass Drivesnapshot alles zu in etwa 2:1 komprimiert.
Beispiel: Deine 100 GB C Partition ist mit 80 GB Daten belegt. Dann wird das Snapshot-Image etwa 40 GB groß sein. Es wandern nur wirklich wichtige Daten ins Image, sowas wie pagefile.sys und hiberfile.sys ignoriert snapshot, das spart gerade bei heutigen Speichermonstern einiges...