Den Fix konntest Du aber durchführen?
Dann bitte zur Kontrolle die remover.exe per Doppelklick ausführen und die Ausgabe posten.

Neuer Remover.exe Log:

Code: Alles auswählenAufklappen

ATTFilter

Bootkit Remover
(c) 2009 eSage Lab
www.esagelab.com

Program version: 1.1.0.0
OS Version: Microsoft Windows XP Professional Service Pack 3 (build 2600)

System volume is \\.\C:
\\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000`00007e00
SPTI_Read(): DeviceIoControl() ERROR 1
ERROR: SPTI_Read() fails for \\.\PhysicalDrive0
Boot sector MD5 is: 5ddc20efcc4d1dab37c348c7db7289cf

     Size  Device Name          MBR Status
 --------------------------------------------
   306 GB  \\.\PhysicalDrive0   Unknown boot code

Unknown boot code has been found on some of your physical disks.
To inspect the boot code manually, dump the master boot sector:
remover.exe dump <device_name> [output_file]
To disinfect the master boot sector, use the following command:
remover.exe fix <device_name>


Done;
Press any key to quit...
         

Die gibt immernoch das gleiche aus.

Dann lief der Fix nicht durch. Probier den Fix mit der remover.exe nochmal.

Hab ich auch schon, kommt folgendes:





Und als Log:

Zitat:

C:\Dokumente und Einstellungen\***>remover.exe fix \\.\PhysicalDrive0
Zugriff verweigert

Irgendwas mache ich falsch.. Als ich gestern das erstemal den Befehl ausgeführt habe, kam auch ein Text aber leider ich Tolpatsch habe das Fenster zu schnell geschlossen gehabt und seither kommen die oben genannten Meldungen.
Die RemoverDatei hab ich auch schon mehrmals ersetzt und nochmal probiert..


Edit2: Hab nu die Remover.exe aufm Desktop gelassen und "%userprofile%\Desktop\remover.exe" fix \\.\PhysicalDrive0 im CMD Fenster eingegeben dann kommt folgendes:

Code: Alles auswählenAufklappen

ATTFilter

C:\Dokumente und Einstellungen\**>"%userprofile%\Desktop\remover.exe" fix
\\.\PhysicalDrive0
Bootkit Remover
(c) 2009 eSage Lab
www.esagelab.com

Program version: 1.1.0.0
OS Version: Microsoft Windows XP Professional Service Pack 3 (build 2600)

Restoring boot code at \\.\PhysicalDrive0...
SPTI_Read(): DeviceIoControl() ERROR 1
ERROR: Can't read first sector of disk by SPTI.

Done;
Press any key to quit...
         

Zitat:

Edit2: Hab nu die Remover.exe aufm Desktop gelassen und "%userprofile%\Desktop\remover.exe" fix \\.\PhysicalDrive0 im CMD Fenster eingegeben dann kommt folgendes:

Eigentlich solltest Du sie nach system32 kopieren, dann kann man einfach die remover aus der Konsole ohne zusaätzliche Pfadangabe starten.
Aber wie ich sehe kommt die remover.exe nicht wieder. Mach mal das hier:

Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur eine Sekunde.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Zitat:

MBRCheck, version 1.1.1

(c) 2010, AD



\\.\C: --> \\.\PhysicalDrive0

\\.\H: --> \\.\PhysicalDrive1



Size Device Name MBR Status

--------------------------------------------

306 GB \\.\PhysicalDrive0 Error reading raw MBR!

698 GB \\.\PhysicalDrive1 Error reading raw MBR!





Done! Press ENTER to exit...

drive1 is ne externe festplatte

Aus irgendeinem Grund kann er den MBR nicht lesen.
Adminrechte hast Du aber schon oder?

Hast Du zufällig eine WindowsXP-CD zur Hand?

Klar bin ich Computeradministrator :-)
Ja habe ich

Gut

Dann starte mal den Computer von der CD, Du musst von ihr booten.
Geh dort beim ersten Menü mit der Taste R in die Wiederherstellungskonsole und meld Dich an.
Führ dort die Befehle fixmbr und fixboot aus.

als ich fixmbr eingeben habe kommt folgende Meldung:

Der MBR scheint ungütlig oder nicht standartmässig zu sein.
Wenn sie den Vorgang fortsetzen, wird fixmbr möglicherweise die Partitionstabellen beschädigen.
Das kann dazu führen, dass auf keine Partition auf der aktuellen Festplatte zugegriffen werden kann. Setzen sie den Vorgang nicht fort, wenn sie keine Problem mit dem ZUgriff auf das Laufwerk haben.
Hab ich erstmal nicht weiter gemacht.
Kann das sein weil ich im Raid0 zwei Festplatten habe? Sind zwar nur eine Partition.

bei fixboot kam:
Sind sie sicher... hab ich ausgeführt.
Das Dateisystem auf der Startpartition ist unbekannt.
Fixboot versucht, den typ des dateisystem zu erkennen
Der Startsektor ist beschädigt.
Fixboot überprüft den Dateisystemtyp..
Die Partition verwendet das FAT-Dateisystem
FIxboot schreibt einen neuen Startsektor
Der neue startsektor wurde einwandfrei geschrieben.

WTF? FAT? is ne ntfs parti^^ Und nu?

Zitat:

Kann das sein weil ich im Raid0 zwei Festplatten habe? Sind zwar nur eine Partition.

Eigentlich sollte der Verbund als ein logisches Gerät erkannt werden, vllt hat der Bootkit Remover damit Probleme
fixmbr zerstört normalerweise nicht die Partitionstabellen. hab den schon zig Mal über die Wiederherstellungskonsole ausgeführt.

Zitat:

306 GB \\.\PhysicalDrive0 Error reading raw MBR!
698 GB \\.\PhysicalDrive1 Error reading raw MBR!

Sind das die echten Laufwerke oder steckt hinter der 306-GB-Platte das RAID0 ?

Drive0 is das echte Raid0
Drive1 is ne externe USB-Festplatte

hab nun auch fixmbr ausgeführt, er sagte es war erfolgreich, danach mit exit raus und nun steht beim booten

NTLDR is missing
Press any key to restart :-)


Bin hier auf einem zweitRechner gleich nebenan.

Zitat:

NTLDR is missing
Press any key to restart :-)
Bin hier auf einem zweitRechner gleich nebenan.

Oje...
Hast Du ne Notfall-CD wie Knoppix oder Parted Magic zur Hand? Wenn nicht, besorg Dir bitte mal Parted Magic.

Nein, habe ich nicht. Ich mach mich mal an den Download von Parted Magic und brenne ne CD. Ich melde mich wieder xD

Ich wollte, dass Du da mal nachsiehst, ob die Partitionen nicht doch zerstört und die Daten noch allesamt da sind
Wie genau hast Du das RAID0 eingerichtet? Per RAID-Funktion im BIOS oder hast einen "echten" RAID-Controller?