Servus

"Sichere die Daten Fotos/Videos usw. extern" war bei meinen Datenmengen (viele Videos) eine richtige Aufgabe. Aber es war ohnehin wieder mal nötig!

Hier nun der Log-File vom aswMBR-Scan:

aswMBR version 0.9.9.1707 Copyright(c) 2011 AVAST Software
Run date: 2013-02-12 19:01:59
-----------------------------
19:01:59.903 OS Version: Windows 6.0.6002 Service Pack 2
19:01:59.903 Number of processors: 2 586 0x1706
19:01:59.903 ComputerName: MM-PC UserName:
19:02:00.729 Initialize success
19:02:09.363 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1
19:02:09.363 Disk 0 Vendor: WDC_WD32 11.0 Size: 305245MB BusType: 3
19:02:09.378 Disk 1 \Device\Harddisk1\DR1 -> \Device\Ide\IAAStorageDevice-2
19:02:09.378 Disk 1 Vendor: WDC_WD32 11.0 Size: 305245MB BusType: 3
19:02:09.472 Disk 0 MBR read successfully
19:02:09.487 Disk 0 MBR scan
19:02:09.503 Disk 0 unknown MBR code
19:02:09.534 Disk 0 Partition 1 00 27 Hidden NTFS WinRE NTFS 10240 MB offset 2048
19:02:09.550 Disk 0 Partition 2 80 (A) 07 HPFS/NTFS NTFS 147501 MB offset 20973568
19:02:09.581 Disk 0 Partition 3 00 07 HPFS/NTFS NTFS 143872 MB offset 323055616
19:02:09.597 Disk 0 Partition 4 00 12 Compaq diag NTFS 3630 MB offset 617705472
19:02:09.612 Disk 0 scanning sectors +625139712
19:02:09.706 Disk 0 scanning C:\Windows\system32\drivers
19:02:17.953 Service scanning
19:02:35.905 Modules scanning
19:02:40.425 Disk 0 trace - called modules:
19:02:40.445 ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll iaStor.sys
19:02:40.455 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x86bfcac8]
19:02:40.455 3 CLASSPNP.SYS[8b1d08b3] -> nt!IofCallDriver -> [0x85d2a9c8]
19:02:40.475 5 acpi.sys[82e9f6bc] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-1[0x85cf2028]
19:02:40.485 Scan finished successfully
19:05:20.948 Disk 0 MBR has been saved successfully to "D:\Troja\MBR.dat"
19:05:20.979 The log file has been saved successfully to "D:\Troja\aswMBR12-02-13.txt"


Auf "Fix" hab ich nicht gedrückt, weil es gar nicht angeboten wurde. Es wurde nur das andere
(FixMBR) angeboten und dabei kam eine Rückfrage, die mich verunsichert habe. Bitte sag mir noch einmal ob ich FixMBR durchführen soll. Dann wiederhole ich das noch einmal.

Gruß urflamingo

Servus,



drücke FixMBR. Der Vorgang kann etwas dauern.

Starte deinen Rechner neu auf, führe aswMBR nochmal aus und poste die Logdatei.

Hier die Log vom 1. Durchlauf:

aswMBR version 0.9.9.1707 Copyright(c) 2011 AVAST Software
Run date: 2013-02-12 19:41:53
-----------------------------
19:41:53.936 OS Version: Windows 6.0.6002 Service Pack 2
19:41:53.936 Number of processors: 2 586 0x1706
19:41:53.936 ComputerName: MM-PC UserName:
19:41:54.763 Initialize success
19:42:03.562 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1
19:42:03.562 Disk 0 Vendor: WDC_WD32 11.0 Size: 305245MB BusType: 3
19:42:03.577 Disk 1 \Device\Harddisk1\DR1 -> \Device\Ide\IAAStorageDevice-2
19:42:03.577 Disk 1 Vendor: WDC_WD32 11.0 Size: 305245MB BusType: 3
19:42:03.593 Disk 0 MBR read successfully
19:42:03.593 Disk 0 MBR scan
19:42:03.608 Disk 0 unknown MBR code
19:42:03.608 Disk 0 Partition 1 00 27 Hidden NTFS WinRE NTFS 10240 MB offset 2048
19:42:03.624 Disk 0 Partition 2 80 (A) 07 HPFS/NTFS NTFS 147501 MB offset 20973568
19:42:03.655 Disk 0 Partition 3 00 07 HPFS/NTFS NTFS 143872 MB offset 323055616
19:42:03.686 Disk 0 Partition 4 00 12 Compaq diag NTFS 3630 MB offset 617705472
19:42:03.686 Disk 0 scanning sectors +625139712
19:42:03.749 Disk 0 scanning C:\Windows\system32\drivers
19:42:12.157 Service scanning
19:42:57.350 Modules scanning
19:43:00.954 Disk 0 trace - called modules:
19:43:00.970 ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll iaStor.sys
19:43:00.970 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x86bfcac8]
19:43:00.985 3 CLASSPNP.SYS[8b1c68b3] -> nt!IofCallDriver -> [0x8539f668]
19:43:00.985 5 acpi.sys[82e9c6bc] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-1[0x85d71028]
19:43:00.985 Scan finished successfully
19:43:19.658 Verifying
19:43:29.689 Disk 0 Windows 600 MBR fixed successfully
19:45:18.374 Disk 0 MBR has been saved successfully to "D:\Troja\MBR.dat"
19:45:18.390 The log file has been saved successfully to "D:\Troja\aswMBR-2---12-02-13.txt"


Und hier die 2.:

aswMBR version 0.9.9.1707 Copyright(c) 2011 AVAST Software
Run date: 2013-02-12 19:53:16
-----------------------------
19:53:16.126 OS Version: Windows 6.0.6002 Service Pack 2
19:53:16.126 Number of processors: 2 586 0x1706
19:53:16.126 ComputerName: MM-PC UserName:
19:53:17.748 Initialize success
19:53:34.393 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1
19:53:34.393 Disk 0 Vendor: WDC_WD32 11.0 Size: 305245MB BusType: 3
19:53:34.393 Disk 1 \Device\Harddisk1\DR1 -> \Device\Ide\IAAStorageDevice-2
19:53:34.393 Disk 1 Vendor: WDC_WD32 11.0 Size: 305245MB BusType: 3
19:53:34.440 Disk 0 MBR read successfully
19:53:34.456 Disk 0 MBR scan
19:53:34.456 Disk 0 Windows VISTA default MBR code
19:53:34.456 Disk 0 Partition 1 00 27 Hidden NTFS WinRE NTFS 10240 MB offset 2048
19:53:34.471 Disk 0 Partition 2 80 (A) 07 HPFS/NTFS NTFS 147501 MB offset 20973568
19:53:34.503 Disk 0 Partition 3 00 07 HPFS/NTFS NTFS 143872 MB offset 323055616
19:53:34.549 Disk 0 Partition 4 00 12 Compaq diag NTFS 3630 MB offset 617705472
19:53:34.565 Disk 0 scanning sectors +625139712
19:53:34.659 Disk 0 scanning C:\Windows\system32\drivers
19:53:43.426 Service scanning
19:54:03.487 Modules scanning
19:54:07.138 Disk 0 trace - called modules:
19:54:07.200 ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll iaStor.sys
19:54:07.200 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x86bfb440]
19:54:07.216 3 CLASSPNP.SYS[8b1d08b3] -> nt!IofCallDriver -> [0x853a0700]
19:54:07.216 5 acpi.sys[82ea46bc] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-1[0x85d71028]
19:54:07.216 Scan finished successfully
19:54:28.104 Verifying
19:54:38.151 Disk 0 Windows 600 MBR fixed successfully
19:55:20.411 Disk 0 MBR has been saved successfully to "D:\Troja\MBR.dat"
19:55:20.411 The log file has been saved successfully to "D:\Troja\aswMBR-3---12-02-13.txt"


Bringt uns das weiter?

Servus,


starte deinen Rechner in den normalen Modus und berichte mir genau, wie weit du kommst.


Hast du schon einen "sauberen Neustart" ausgeführt (wie ich dir vor ein paar Posts mal gesagt habe) ?

Servus Matthias,

zuletzt geht der Normalstart noch einen Schritt weiter: nach dem Willkommens-BS kommt noch das Desktop-Bild mit den Programmen. Dort hängt sich das Gerät auf.

Was den "sauberen Neustart" angeht, war ich damals stecken geblieben und war der (falschen) Meinung, dass das im abgesicherten Modus nicht geht.

Bin jetzt seit 5 Stunden an diesem Thema dran - nachdem ich festgestellt habe, dass es doch im abgesicherten Modus geht.

Übrigens: Wenn ich aus diesem abgesicherten Modus kam und den Systemstart bearbeitet hatte, dann kam ich beim Neustart oft durch und habe dann von dort aus die msconfig.exe gestartet. Ich hatte nach etlichen Durchgängen zur Isolierung schon frohlockt, weil ich glaubte, dass ich die Problemdatei gefunden hätte. Aber dann: auch bei ihr kam ich durch.

Wenn ich alle aktiviert hatte, dann trat das Problem wieder auf. Ich fühlte mich ziemlich verarscht. Dann dachte ich: vielleicht darfst du das nicht aus dem Normal-Modus ausführen und musst immer wieder konsequent aus dem abgesicherten Modus den Neustart durchführen.

Also: alles noch mal von vorn. Aber auch dann konnte ich keine Datei isolieren. Auch jetzt ließ sich kein brauchbares Ergebnis herstellen. Dann hab ich noch mal den normalen Systemstart durchgeführt: Ergebnis wie oben beschrieben (Ende beim Desktop-Bild). Nur beim "Diagnosesystemstart" lief alles, wie es soll und mit angemessener Geschwindigkeit. Aber damit gehen viele Dinge (Netzwerkverbindungen etc.) ja nicht.

Ich mach jetzt erst mal ne Stunde Pause und dann versuche ich, die Problemdatei evtl. unter den Anwendungsdateien auszumachen (2j der MS-Beschreibung). Das wird dann meine Nachtaufgabe.

Gruß urflamingo

Servus,



führe im abgesicherten Modus folgendes aus. Evtl. hilft dir das für den normalen Modus:

Windows Systemdateien reparieren

• Drücke Start.
• Gib in den Suchleiste CMD ein.
• Bei den Ergebnissen Rechtsklick auf die cmd.exe -> Als Administrator starten
• gib folgendes ein: sfc /scannow
• Bestätige mit Enter.
• Starte deinen Rechner im Abschluss neu auf.
  Bebilderte Anleitung

Hat das geholfen?

Servus Matthias,

jetzt hat`geschnackelt!

Habe sfc /scannow ausgeführt. Meldung war: defekte Dateien gefunden und zum Teil wiederhergestellt. Einige Dateien konnten jedoch nicht wiederhergestellt werden.

Einzelheiten in .......... (Log-Datei)

Dann kam Neustart und dabei/davor wurde ein Windows update geladen.

Danach konnte ich Vista starten wie früher!

Die Log-Datei kann ich allerdings nicht öffnen.

Ich hoffe und gehe davon aus, dass ich jetzt wieder normal arbeitsfähig bin und danke Dir noch einmal von ganzem Herzen für Deine Hilfe und Dein Engagement.

Sollte wider Erwarten noch ein Rückschlag kommen, melde ich mich morgen. Mit herzlichem Gruß urflamingo

Servus,


freut mich zu hören.


Ich gebe dir morgen noch ein paar Tipps zur Absicherung des Systems, wenn dann noch alles ok ist.

Meld dich einfach wieder.

Servus Matthias,

Sch............. im Quadrat! Die Freude war nur kurz! Du scheinst es geahnt zu haben!?

Als es wieder normal ging, fiel mir ein, dass ja nun einige Türen wieder geschlossen werden mussten. Als Erstes habe ich McAfee Total Protection wieder aktiviert. Das ging jetzt.

Dann interessierte mich, ob jetzt der Systemstart auf "Normalstart" zurückgesetzt war. Das war nicht der Fall. Daraufhin habe ich auf Normalstart gestellt und neu gestartet. Und das Problem war wieder da. Also dachte ich: Marsch-Marsch zurück und wieder unten die vorherige Einstellung wählen. Aber leider leider: Die Wirkung kam nicht zurück. Das Störprogramm scheint das kleine Zeitfenster genutzt zu haben.

Erhebt sich die Frage: Können wir aus dem zeitlich klar nachvollziehbaren Ablauf etwas machen?

Gruß urflamingo

Hallo Matthias,

welch Wechselbad der Gefühle! Bin jetzt wieder im Normalmodus durch! Und sogar mit Normalstart!

Es arbeitete noch in mir, dass ich das Thema "sauberer Neustart" nicht mit vernünftigem Ergebnis abschließen konnte. Ich hatte gemäß der Anleitung versucht, eine Datei als Problemdatei zu isolieren. Bei Aktivierung immer nur 1 Datei lief das Programm aber immer durch, während in einer isolierten Gruppe das Problem noch aufgetreten war.

Das brachte mich jetzt darauf, das Ganze einmal gruppenweise anzugehen. Und dabei wurde ich fündig. Wenn nur die Dateien Malware Antivirus und McAfee gemeinsam aktiviert waren, trat das Problem auf. Wenn nur Malware AV oder nur die MCAfeegruppe aktiviert war, trat es nicht auf. Dann habe ich alle Programme aktiviert außer Malware AV und siehe da, es hat geklappt!

Danach 1. Malware AV deinstalliert und 2. Normalstart wieder aktiviert

und ..... ich war wieder normal durch. Malware AV scheint also nicht ohne "Nebenwirkungen" zu sein.

Was muss ich jetzt noch tun? Ich denke, der defogger muss noch wieder zurückgesetzt werden. Ist das richtig?

Gruß urflamingo

Servus,


es freut mich, dass du das Problem ausfindig machen konntest.
Wie es sich anhört, war es allerdings ziemlich tricky.
Sehr gut gemacht!



Wenn du keine Probleme mehr hast, dann sind wir hier fertig. Deine Logdateien sind sauber.
Zum Schluss müssen wir noch ein paar abschließende Schritte unternehmen, um deinen Pc aufzuräumen und abzusichern.





Schritt 1
Deine Version von Adobe Flash Player ist veraltet.
Bitte folge diesen Schritte, um Adobe Flash zu aktualisieren:

• Bitte besuche diese Seite von Adobe.
• Wähle dein Betriebssystem und deinen Internetbrowser ("Internet Explorer" oder "other" für Firefox zum Beispiel)
• Deaktiviere gegebenenfalls den Haken vor Google Chrome bzw. McAfee Security Scan.
• Installiere die neuste Version auf deinem Computer.

Schritt 2
Starte DeFogger und klicke auf Re-enable.
Gegebenenfalls muss dein Rechner neu gestartet werden.





Schritt 3
Bitte vor der folgenden Aktion wieder temporär Antivirus-Programm, evtl. vorhandenes Skript-Blocking und Anti-Malware Programme deaktivieren.

Windows-Taste + R drücke. Kopiere nun folgende Zeile in die Kommandozeile und klicke OK.

Code: Alles auswählenAufklappen

ATTFilter

Combofix /Uninstall
         

Damit wird Combofix komplett entfernt und der Cache der Systemwiederherstellung geleert, damit auch aus dieser die Schädlinge verschwinden.

Nun die eben deaktivierten Programme wieder aktivieren.





Schritt 4
Downloade dir bitte delfix auf deinen Desktop.

• Schließe alle offenen Programme.
• Starte die delfix.exe mit einem Doppelklick.
• Setze vor jede Funktion ein Häkchen.
• Klicke auf Start.
• DelFix entfernt u. a. alle verwendeten Programme und löscht sich abschließend selbst.
• Sollten noch Programme, die wir verwendet haben, vorhanden sein, so lösche diese bitte per Hand.

Schritt 5
Hier noch ein paar Tipps zur Absicherung deines Systems.


Ich kann garnicht zu oft erwähnen, wie wichtig es ist, dass dein System Up to Date ist.

• Bitte überprüfe ob dein System Windows Updates automatisch herunter lädt
• Windows Updates
  • Windows XP: Start --> Systemsteuerung --> Doppelklick auf Automatische Updates
  • Windows Vista / 7: Start --> Systemsteuerung --> System und Sicherheit --> Automatische Updates aktivieren oder deaktivieren
• Gehe sicher das die automatischen Updates aktiviert sind.
• Software Updates
  Installierte Software kann ebenfalls Sicherheitslücken haben, welche Malware nutzen kann, um dein System zu infizieren.
  Um deine Installierte Software up to date zu halten, empfehle ich dir Secunia Online Software.

Anti- Viren Software

• Gehe sicher immer eine Anti Viren Software installiert zu haben und das diese auch up to date ist. Es ist nämlich nutzlos wenn diese out of date sind.

Zusätzlicher Schutz

• MalwareBytes Anti Malware
  Dies ist eines der besten Anti-Malware Tools auf dem Markt. Es ist ein On- Demond Scan Tool welches viele aktuelle Malware erkennt und auch entfernt.
  Update das Tool und lass es einmal in der Woche laufen. Die Kaufversion biete zudem noch einen Hintergrundwächter.
  Ein Tutorial zur Verwendung findest Du hier.
• WinPatrol
  Diese Software macht einen Snapshot deines Systems und warnt dich vor eventuellen Änderungen. Downloade dir die Freeware Version von hier.

Sicheres Browsen

• SpywareBlaster
  Eine kurze Einführung findest du Hier
• MVPs hosts file
  Ein Tutorial findest Du hier. Leider habe ich bis jetzt kein deutschsprachiges gefunden.
• WOT (Web of trust)
  Dieses AddOn warnt Dich bevor Du eine als schädlich gemeldete Seite besuchst.

Alternative Browser

Andere Browser tendieren zu etwas mehr Sicherheit als der IE, da diese keine Active X Elemente verwenden. Diese können von Spyware zur Infektion deines Systems missbraucht werden.

• Opera
• Mozilla Firefox.
  • Hinweis: Für diesen Browser habe ich hier ein paar nützliche Add Ons
  • NoScript
    Dieses AddOn blockt JavaScript, Java and Flash und andere Plugins. Sie werden nur dann ausgeführt wenn Du es bestätigst.
    
  • AdblockPlus
    Dieses AddOn blockt die meisten Werbung von selbst. Ein Rechtsklick auf den Banner um diesen zu AdBlockPlus hinzu zu fügen reicht und dieser wird nicht mehr geladen.
    Es spart ausserdem Downloadkapazität.

Performance
Bereinige regelmäßig deine Temp Files. Ich empfehle hierzu TFC
Halte dich fern von jedlichen Registry Cleanern.
Diese Schaden deinem System mehr als sie helfen. Hier ein paar ( englishe ) Links
Miekemoes Blogspot ( MVP )
Bill Castner ( MVP )



Don'ts

• Klicke nicht auf alles, nur weil es Dich dazu auffordert und schön bunt ist.
• Verwende keine peer to peer oder Filesharing Software (Emule, uTorrent,..)
• Lass die Finger von Cracks, Keygens, Serials oder anderer illegaler Software.
• Öffne keine Anhänge von Dir nicht bekannten Emails. Achte vor allem auf die Dateiendung wie zb deinFoto.jpg.exe.

Nun bleibt mir nur noch dir viel Spass beim sicheren Surfen zu wünschen.



Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann.

Servus,

Schritte 1-4 ausgeführt. Schritt 5 klappt nicht. Den Ordner "System und Sicherheit" gibts bei mir nicht.

Habe auch keine andere Möglichkeit gefunden, die automatischen Updates einzustellen. Bisher ist das allerdings immer automatisch erfolgt.

Etwas Anderes ist aber noch passiert. Es melden sich jetzt pausenlos "alte Bekannte" aus grauer Vorzeit, von denen ich schon gar nicht mehr wusste, dass es sie gibt. Ob Vista einen Wiederherstellungspunkt genutzt hat?

Auf der unteren Taskleiste erscheinen Programme, die ich noch nie benutzt habe und auch nicht brauche.

1&1 (da hab ich vor Jahren mal gehosted) kommt immer mit seinem Login. Meine Recherche, wo das Ding sitzt, ergab folgenden Pfad:

C:\Users\Urflamingo\AppData\Local\Temp\...

Wie kann ich das ansteuern?

Mir wird immer nur C:\Benutzer\Urflamingo\ApplicationData\Microsoft\ angezeigt und da geht nichts weiter

Wie kommt man in den englischen Pfad-Mechanismus hinein, um dortige Störenfriede zu löschen?

Gruß Urflamingo

Hallo Matthias,

habe das mit den Updates gefunden und eingestellt.
Auch AppData habe ich gefunden (Einstellung im Explorer "Alle Ordner und Dateien anzeigen")

Aber ich kann die "Oldies" (1&1 Easy Login und AVM Fritz!Card) nicht löschen, obwohl eine Fritz!Card nicht eingebaut ist. Ich habe lediglich früher einen entsprechenden Router gehabt und einen Stick benutzt.

Das Löschen funktioniert weder in der Systemsteuerung noch mit "Löschen" noch mit "Shreddern" durch McAfee.

Frage: Gibt es von den im Laufe unserer Aktionen benutzten Tools eines, mit dem ich die Dinger entfernen kann?

Gruß urflamingo

Servus,



ich persönlich möchte nur ungern an Netzwerk- oder Interneteinstellungen rumhantieren, wenn nicht unbedingt nötig.

Servus Matthias,

alles klar und noch einmal vielen, vielen Dank! Ich gehe davon aus, dass ich diesen Thread auch später noch nachlesen kann, wenn das Projekt geschlossen ist.

Alles Gute und allzeit einen guten Tipp in petto!

Mit herzlichem Gruß

urflamingo

Ich bin froh, dass wir helfen konnten

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke mir bitte eine PM.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen.