guten tag,

zu aller erst, ich bin recht neu hier. habe die regeln gelesen und auch verstanden.

nun zu meinem problem. Ich habe hier schon die anderen Threads durchgelesen und auch möglichst diese Schritte befolgt. und auch gegoogled.

nun bietet sich mir nur ein folgendes problem, soweit ich jetzt informiert bin, is dieser virus in der MBR, nun versuchte ich diese auch zu fixen mit dem "Bootkit Remover"

nun stellt sich aber folgender fehler dar (nachdem ich die remover.exe in den system32 ordner gezogen habe und dann den befehl in die cmd eingegeben hab:" remover.exe fix \\.\PhysicalDrive0"):

Code: Alles auswählenAufklappen

ATTFilter

Restoring boot code at \\.\PhysicalDrive0...
SPTI_Read(): DeviceIoControl() ERROR 1
ERROR: Can't read first sector of disk by SPTI.

Press any key to quit...
         

in beiden PhysicalDrives 1 und 0 findet sich diese seltsame MD5...

nun weiss ich leider nicht mehr weiter :/

habe Malwarebytes ausgeführt, aber es fand sich nichts (natürlich mit neuestem update)

superantispyware, fand über 306 sachen, wurden auch gefixt, aber problem dennoch nicht gelöst...

habe auch schon versucht, den cmd befehl im abgesicherten modus zu starten, dennnoch ohne erfolg.

//benutze windows xp mit sp3

grüße

Poste bitte erstmal die Ausgabe nachdem Du remover.exe ausgeführt hast, also das mit den Prüfsummen usw.

alles klar...

das sieht folgendermaßen aus:

Code: Alles auswählenAufklappen

ATTFilter

Bootkit Remover version 1.0.0.1
(c) 2009 eSage Lab
www.esagelab.com

\\.\C: -> \\.\PhysicalDrive0
SPTI_Read(): DeviceIoControl() ERROR 1
ERROR: SPTI_Read() fails for \\.\PhysicalDrive0
MD5: d4b876239615e81ab805b6a9431ee920
\\.\D: -> \\.\PhysicalDrive1
SPTI_Read(): DeviceIoControl() ERROR 1
ERROR: SPTI_Read() fails for \\.\PhysicalDrive1
MD5: d4b876239615e81ab805b6a9431ee920
\\.\E: -> \\.\PhysicalDrive0

     Size  Device Name          MBR Status
 --------------------------------------------
   232 GB  \\.\PhysicalDrive0   Unknown boot code
   149 GB  \\.\PhysicalDrive1   Unknown boot code

Unknown boot code has been found on some of your physical disks.
To inspect the boot code manually, dump the master boot sector:
remover.exe dump <device_name> [output_file]
To disinfect the master boot sector, use the following command:
remover.exe fix <device_name>


Press any key to quit...
         

Du hast definitiv Adminrechte auf der Kiste? Ohne die wird das nichts mit dem MBR lesen + schreiben.
Doppelklick die remover.exe nochmal, evtl war das Fixen ja schon doch erfolgreich.

ja bin recht sicher, dass ich die adminrechte besitze.
bin auch der einzige nutzer dieses rechners.
bin auch als computeradministrator angemeldet

war ja vorher auch mit dem abgesicherten modus drin, und habe dort admin ausgewählt. remover.exe ebenso ausgeführt, aber nichts hat sich geändert, immer ist es der unknown boot code im bootkit remover :/

habe jetzt auch nochma komplett SUPERAntiSpyware drüberlaufen lassen, der findet immer nur cookies, die werden auch imemr schön gelöscht, ich schätze das sind die cookies, des internetexplorer popups, welches imemr erscheint.

mittlerweile bin ich auf die idee bekommen, dass der virus eventuell über ne java schnittstelle vom firefox gekommen is, obwohl der auf up2date ist.

habe das in nem amerikanischen forum gelesen, dass man manche java einträge löschen soll. habe auch einige deaktiviert in firefox.

gebracht hats aber immernoch nichts.

danke schonmal für deine hilfe.

Von GMER gibt es ein spezielles Tool um den MBR (Master Boot Record) zu prüfen, der MBR wird zB auch vom Sinowal manipuliert.

Die MBR.exe sollte aus der Konsole ausgeführt werden, also zB so: Die mbr.exe liegt direkt auf C:, dann öffnest Du über Start, Ausführen cmd.exe (schwarze Konsole öffnet sich) und dort tippst Du ein:

c:\mbr.exe -f

Und bestätigst mit Enter. Die Logdatei vom MBR-Tool findest Du im gleichen Pfad, von der die mbr.exe ausgeführt wurde, im obigen Beispiel c:\mbr.log - das bitte öffnen und den Inhalt hier posten.

na super...

Code: Alles auswählenAufklappen

ATTFilter

Microsoft Windows XP [Version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

C:\Dokumente und Einstellungen\****>c:\mbr.exe -f
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, hxxp://www.gmer.net

device: opened successfully
user: error reading MBR
kernel: MBR read successfully
         

das ist jetzt seltsam, dass der die mbr nicht auslesen kann.
log datei wurde auch keine erstellt...

Ok, dann jetzt nochmal die remover.exe doppelklicken und die Ausgabe posten.

sieht aus wie folgt:

Code: Alles auswählenAufklappen

ATTFilter

Bootkit Remover version 1.0.0.1
(c) 2009 eSage Lab
www.esagelab.com

\\.\C: -> \\.\PhysicalDrive0
SPTI_Read(): DeviceIoControl() ERROR 1
ERROR: SPTI_Read() fails for \\.\PhysicalDrive0
MD5: d4b876239615e81ab805b6a9431ee920
\\.\D: -> \\.\PhysicalDrive1
SPTI_Read(): DeviceIoControl() ERROR 1
ERROR: SPTI_Read() fails for \\.\PhysicalDrive1
MD5: d4b876239615e81ab805b6a9431ee920
\\.\E: -> \\.\PhysicalDrive0

     Size  Device Name          MBR Status
 --------------------------------------------
   232 GB  \\.\PhysicalDrive0   Unknown boot code
   149 GB  \\.\PhysicalDrive1   Unknown boot code

Unknown boot code has been found on some of your physical disks.
To inspect the boot code manually, dump the master boot sector:
remover.exe dump <device_name> [output_file]
To disinfect the master boot sector, use the following command:
remover.exe fix <device_name>


Press any key to quit...
         

Ich schätze da müssen wir anders ran. Hast Du zufällig eine Windows-XP-CD zur Hand?

nicht direkt, da müsste ich erstma suchen

also, du meinst, dass ich des dann wahrscheinlich über die reperaturkonsole machen sollte ?!

also mit dem fixmbr befehl ?!

gibts denn da keine andere möglichkeit, bzw. ne alternative, die das problem beseitigen könnte ?!

mir fehlt anscheind nur dieser eine schritt um diesen lästen virus loszuwerden, kann es vielleicht noch daran liegen, dass die eine platte in D und E partioniert wurde ?

obwohl ich mir das schlecht vorstellen kann, dass das programm sowas erkennen müsste.

gruß

Zitat:

kann es vielleicht noch daran liegen, dass die eine platte in D und E partioniert wurde ?

nein.
suche bitte die Windows-CD, das ist der einfachste Weg über fixmbr.
Wenn Du sie auf die Schnelle nicht findest könntest Du aber noch dieses hier probieren: http://ad13.geekstogo.com/MBRCheck.exe

okay... dann werd ich mich ma auf die suche begeben.

das hat MBRCheck ausgespuckt:

Code: Alles auswählenAufklappen

ATTFilter

MBRCheck, version 1.1.0

(c) 2010, AD



\\.\C: --> \\.\PhysicalDrive0

\\.\D: --> \\.\PhysicalDrive1

\\.\E: --> \\.\PhysicalDrive0



      Size  Device Name          MBR Status

  --------------------------------------------

    232 GB  \\.\PhysicalDrive0   Error reading raw MBR!

    149 GB  \\.\PhysicalDrive1   Error reading raw MBR!





Done!  Press ENTER to exit...
         

Kannste vergessen. Der Zugriff auf den MBR wird verweigert. Du brauchst die Windows-CD.

okay, alles klar. dann werd ich morgen ma schauen.

also wenns kein zugriff gibt, gibts keine möglichkeit daraufzuzugreifen, außer mit der methode ?

nich, dass man es über abgesicherten modus nochma probiern sollte oder irgendwie auf die mbr kommen kann ?