Hallo Zusammen,

Seit heute habe ich besagten Virus?! auf meinem Rechner entdeckt. Es fing damit an, dass ich Antivir nicht mehr updaten liess und ich nach einem scan eben folgende Meldung erhielt. Ich habe darauffolgend im Internet nach Loesungsansaetzen gesucht und bin hier auf diverse Topics gestossen.

Ich bin diesbezueglich ein echter Laie. In einem der topics hatte ich gelesen, dass ein system restore eventuell helfen koennte. Und tatsaechlich, Antivir springt nicht mehr darauf an. Jedoch habe ich noch immer das selbige Problem, Antivir laesst sich nicht updaten.

Darauf hin habe ich MBR laufen lassen:

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x012A18AC1
malicious code @ sector 0x012A18AC4 !
PE file found in sector at 0x012A18ADA !

Sowohl Malwarebytes, als auch Antivir zeigen nach dem Systemrestore jedoch keinerlei Funde mehr an.

Bin ich diesen Boesewicht nun los?... Aber MBR zeigt immer noch eine Infektion an und Antivir laesst sich wiegesagt noch immer nicht updaten?!

Auch wenn ich hier als Neuling gelte und auch 'nur' wegen meines Problemes auftauche, waere Ich ueber moegliche Ratschlaege bzw. Tipps wirklich sehr dankbar.

Gruss,
Florian

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.

• Bitte arbeite alle Schritte der Reihe nach ab.
• Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
• Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
• Bitte kein Crossposting ( posten in mehreren Foren).

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite bitte folgendes ab.

Poste bitte alle Logfiles in Code-Tags.
Klicke antworten --> #
danach [code]text[/code]
So sollte das dann hier aussehen nach dem antworten:

Code: Alles auswählenAufklappen

ATTFilter

deine Logfile
         

schritt 1


Windows-Explorer öffnen (Windows-Taste + E) und unter => Extras => Ordneroptionen => im Reiter "Ansicht"

• Dateien und Ordner: Erweiterungen bei bekannten Dateitypen ausblenden deaktivieren
• Dateien und Ordner: Geschützte Systemdateien ausblenden (empfohlen) deaktivieren
• Dateien und Ordner: Inhalte von Systemordnern anzeigen aktivieren (bei Vista nicht vorhanden)
• Versteckte Dateien und Ordner: alle Dateien und Ordner anzeigen aktivieren

schritt 2

Bei Dir scheint sich allerdings tatsächlich etwas im Master Boot Record festgesetzt zu haben, wie das obige Ergebnis zeigt. Du hast jetzt zwei Möglichkeiten, den Master Boot Record (MBR) wieder in Ordnung zu bringen, die erste zeigt Dir auf, wie Du das mit Windows eigenen Mitteln machen kannst, die zweite, wie es mit dem Tool mbr.exe zu machen ist.

MBR wiederherstellen

Entweder so:

• Lege die Installations-CD von XP oder Windows 2000 in das CD-Laufwerk ein und starte den Computer neu.
• Startet der Computer nicht über die CD, musst Du im BIOS-Setup des PCs die Boot-Reihenfolge umstellen, so dass die CD vor der Festplatte verwendet wird.
• Während des Bootens erkennt das Startprogramm auf der CD eine gegebenenfalls vorhandene bootfähige Partition auf der Festplatte, stoppt das Hochfahren und fährt erst auf einen beliebigen Tastendruck hin mit dem Booten fort.
• Beim ersten Bildschirm des Windows-Setup-Programms wähle "R" und im nächsten Screen "K" für das Laden der Wiederherstellungskonsole.
• Nun gebe folgenden Befehl ein:
• fixmbr

oder so:

• Kopiere die Datei mbr.exe nach C:\Windows\system32
• Start => ausführen => cmd (da reinschreiben) => OK
• es öffnet sich ein Dosfenster
• bitte dort nach dem Prompt eingeben: mbr.exe -f (Enter drücken)
• und ggfs. den Anweisungen folgen.

schritt 3

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles in hier in den Thread.

schritt 4

• alle anderen Scanner gegen Viren, Spyware, usw. deaktiviert sein,
• keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
• nichts am Rechner getan werden,
• nach jedem Scan der Rechner neu gestartet werden.

Gmer scannen lassen

• Lade Dir Gmer von dieser Seite herunter
  (auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
• Gmer ist geeignet für => NT/W2K/XP/VISTA.
• Alle anderen Programme sollen geschlossen sein.
• Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen).
• Vista-User mit Rechtsklick und als Administrator starten.
• Sollte sich ein Fenster mit folgender Warnung öffnen:
  WARNING !!!
  GMER has found system modification, which might have been caused by ROOTKIT activity.
  Do you want to fully scan your system ?
  Unbedingt auf "No" klicken.
• Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
• Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird GMER beendet.
• Füge das Log aus der Zwischenablage in Deine Antwort hier ein.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!


Bitte poste in Deiner nächsten Antwort
Beide Logfiles von OTL
Logfile von Gmer

Hallo Larusso,

Vielen Dank fuer deine Hilfe. Allerdings hat sich meine Situation drastisch verschlimmert und ich stehe nahe einem nervlichen Ausraster...

Ich hatte mich nach deinem post dazu entschieden, meinen Rechner neu aufzusetzen und habe dafuer die recovery cd meines Laptop herstellers (ASUS) eingelegt. Als jedoch der recover prozess anfing bekam ich sofort die Fehlermeldung:

Error #1826
Error: Free space not found

Und als ich daraufhin neugestartet habe geht garnix mehr. Ich werde nach einer bootfaehigen medium gefragt. Also mein urspruengliches Windows funktioniert nicht mehr?! und die recovery CD sagt immer wieder oben besagtes Problem. Ich habe keine Ahnung was ich machen soll ?!

Gehe ich unter DOS mit CD/Rom unterstuetzung und dir/p c: bzw. D: eingebe wird alles noch angezeigt?! Bei dem versuch format c:, kommt immer eine Fehlermeldung, Bad command?!

Ich bin wirklich verzweifelt... (dies hier schreib ich ueber den rechner eines Freundes)

Gruesse,
Florian

Dann kenn ich nur noch einen Weg

Datenretten mit Knoppix Live CD

Damit booten, und das System davon formatieren und mit der Recovery CD wieder neu aufsetzen.

Vielen Dank fuer den Tipp, dass werde ich sofort ausprobieren, sobald ich wieder zuahause bin.

Wie genau formatiere ich denn darunter eine festplatte? einfach rechtsklich formatieren?!
Wie gesagt ich bin echter Computer Laie.

Gruss,
Florian

Der Link beinhaltet eine Videoanleitung
Sieh Dir diese einfach mal an. Bei Fragen nur zu.

Hallo Larusso,

Dank Knoppix hab ich es endlich geschafft den pc neu aufzusetzen. Keine Ahnung wie, aber es hat funktioniert ... ;-)!

Ich hab also alles per "recovery disk" von ASUS neu aufgespielt und direkt danach (ja da bin ich nun ...) mbr erneut checken lassen. Und siehe da:

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x012A18AC4 !
PE file found in sector at 0x012A18ADA !

Das gleiche Speil von vorne ?! Ich habe leider keine XP / Vista CD mit der ich den fixmbr durchgehen koennte und bei mbr.exe kommt nichts wie unten von dir beschrieben um den mbr neuzuschreiben.

Wie gehe ich nun vor ?!


Gruss,
Flo

Das kann jetzt alles mögliche sein

Nur weil da was steht, muss es nit zwingend schädliich sein.
Noch Probleme?

Kann ich den sicher davon ausgehen, dass mein System jetzt als secure gilt? Auch wenn ich die gleiche message wieder bekommen unter vorrausgegangener Situation?

Wenn dem so ist, Danke ich dir vielmass fuer deinen Einsatz und Hilfsbereitschaft. Kasten Bier kann ich leider uebers Netz schlecht ausgeben ...

Jup, ist erledigt. Was du mit dem Neuen System noch machen sollst/musst.

Besuche bitte die Microsoft-Update-Seite und lade Dir alle Updates unter Benutzerdefiniert herunter
Mache das so lange bis du nichts mehr angeboten bekommst
Du musst dafür mit den Internet Explorer ins Netz gehen
Wenn du dies mit FireFox durchführen willst musst Du vorher das Addon IE View installieren


Besuche die Secunia Update Seite. Lass Deinen PC nach Update scannen und installiere diese.