Okay.. Heute ist wohl einfach nicht mein Tag.
Dann halt per File-Upload:

hxxp://www.file-upload.net/download-2707816/mbr.dat.html




Okay... Und was genau mache ich nun mit dem Bootkit Remover?

http://www.trojaner-board.de/86574-bootkit-remover.html << klick

Ok, gemacht (und diesmal auch als Admin ausgeführt. xD):

Code: Alles auswählenAufklappen

ATTFilter

Bootkit Remover
(c) 2009 eSage Lab
www.esagelab.com

Program version: 1.1.0.0
OS Version: Microsoft Windows Vista Home Premium Edition Service Pack 2 (build 6
002), 32-bit

System volume is \\.\C:
\\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000`00100000
Boot sector MD5 is: 1af81ee9fd1ba67cd6c7ee2405635334

     Size  Device Name          MBR Status
 --------------------------------------------
   596 GB  \\.\PhysicalDrive0   Unknown boot code

Unknown boot code has been found on some of your physical disks.
To inspect the boot code manually, dump the master boot sector:
remover.exe dump <device_name> [output_file]
To disinfect the master boot sector, use the following command:
remover.exe fix <device_name>


Done;
Press any key to quit...
         

Verschiede die remover.exe bitte nach C:\windows

Windows + R Taste drücken
Kopiere nun folgendes in die Kommandozeile

remover.exe fix \\.\PhysicalDrive0

klicke OK


Starte den Rechner neu auf und poste mir erneut eine BootkitRemover Logfile
Windows CD vorhanden ?

Also.. Irgendwas scheint da nicht funktionieren zu wollen.
Nachdem ich das in die Befehlszeile kopiert und ausgeführt habe, kam das:

Code: Alles auswählenAufklappen

ATTFilter

Bootkit Remover
(c) 2009 eSage Lab
www.esagelab.com

Program version: 1.1.0.0
OS Version: Microsoft Windows Vista Home Premium Edition Service Pack 2 (build 6
002), 32-bit

Restoring boot code at \\.\PhysicalDrive0...
ERROR: No standard boot code found for your OS.
You can restore boot code only for Windows XP, Server 2003, Vista, Server 2008 a
nd Windows 7

Done;
Press any key to quit...
         

Den Neustart habe ich danach dennoch mal ausgeführt. Danach konnte ich plötzlich den Log vom Remover nicht mehr mit Strg+c kopieren.
Nach ein paar Versuchen gings dann doch wieder...
Hier der Log:

Code: Alles auswählenAufklappen

ATTFilter

(c) 2009 eSage Lab
www.esagelab.com

Program version: 1.1.0.0
OS Version: Microsoft Windows Vista Home Premium Edition Service Pack 2 (build 6
002), 32-bit

System volume is \\.\C:
\\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000`00100000
Boot sector MD5 is: 1af81ee9fd1ba67cd6c7ee2405635334

     Size  Device Name          MBR Status
 --------------------------------------------
   596 GB  \\.\PhysicalDrive0   Unknown boot code

Unknown boot code has been found on some of your physical disks.
To inspect the boot code manually, dump the master boot sector:
remover.exe dump <device_name> [output_file]
To disinfect the master boot sector, use the following command:
remover.exe fix <device_name>


Done;
Press any key to quit...
         

Und ja, die CD liegt hier bereits griffbereit neben dem Rechner. :-)
Habe hier eine Recovery Disc sowie eine "Application & Support-Disc". Ist ein Medion-Rechner, sollte ich vielleicht dazusagen.

Kannst du einmal folgendes versuchen ?

Systemwiederherstellungskonsole installieren

• Start --> ausführen und schreibe folgendes hinein
  
  
  Code: Alles auswählenAufklappen

  ATTFilter

  C:\i386\winnt32.exe /cmdcons
           

• Ein Windows Setup-Dialogfeld wird angezeigt, in welchem die Option "Wiederherstellungskonsole" beschrieben wird. Bestätige die Installation mit einem Klick auf Ja.

Wenn eine Fehlermeldung kommt, sag bitte bescheid

Wenn ich das in das Ausführen-Feld kopiere und auf "Ok" klicke, bekomme ich bloß eine Fehlermeldung.

Screen:




Als ich den PC gekauft habe, war Vista bereits vorinstalliert. Warum hab ich den leisen Verdacht, dass dabei Mist gebaut wurde...?

nene das war auch nur ein versuch

Bitte folge folgender Anleitung um in die Wiederherstellungskonsole zu kommen
Windows Vista Wiederherstellungskonsole - WinVistaSide Forum

Wähle nun folgendes aus
Eingabeaufforderung:

hier sollte dann
C:\windows:> stehen.
Gib hier fixmbr ein und drücke Enter.

Mit der Eingabe EXIT [Enter] wird die konsole verlassen und der Rechner startet neu.

Sollte sich dabei irgend ein Problem ergeben, abbrechen und hier berichten.
Das ist keine Spielerei mehr

Also bis zu der erwähnten Widerherstellungskonsole bin ich ohne Probleme gekommen.

Allerdings steht doch drin nicht

Code: Alles auswählenAufklappen

ATTFilter

C:\windows:>
         

sondern stattdessen

Code: Alles auswählenAufklappen

ATTFilter

X:\Sources>
         

Wenn ich dorthinter jetzt "fixmbr" eingebe und mit Enter bestätige, wird mir nur gesagt dass dies ein unbekannter Befehl sei.

hy, sorry mein fehler. ich hasse vista -.-

Schreib dir bitte folgendes auf einen Zettel

Code: Alles auswählenAufklappen

ATTFilter

cd C:
bootrec.exe /fixmbr
         

(das leerzeichen zwischen exe und /fix beachten)

Gib diese beiden Befehle mal in die RC ein

Ah! Ich hatte erst ein kleines Problem gerade:

Wenn ich

Code: Alles auswählenAufklappen

ATTFilter

cd C:
         

eingegeben habe, sprang er automatisch wieder auf das

Code: Alles auswählenAufklappen

ATTFilter

X:\Sources>
         

zurück.

Danach hab ich einfach mal NUR C: eingegeben, und es ging...
Dann noch

Code: Alles auswählenAufklappen

ATTFilter

bootrec.exe /fixmbr
         

dahinter und mit Enter bestätigt, und es wurde mir kurz darauf angezeigt, dass der Vorgang erfolgreich war. :-D

Hab das ganze dann mit dem Befehl "exit" beendet und den Rechner neugestartet...

Soll ich jetzt nochmal irgendwelche Logs posten, oder abwarten, ob ich den Kampfsound nochmal zu hören bekomme?

Ich jetzt eine ganze Weile am PC gesessen, und was soll ich sagen?
Der Sound kommt nicht mehr! :-D

Der Bootkit Remover sagt jetzt auch:

Code: Alles auswählenAufklappen

ATTFilter

Bootkit Remover
(c) 2009 eSage Lab
www.esagelab.com

Program version: 1.1.0.0
OS Version: Microsoft Windows Vista Home Premium Edition Service Pack 2 (build 6
002), 32-bit

System volume is \\.\C:
\\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000`00100000
Boot sector MD5 is: 0ec6b2481fc707d1e901dc2a875f2826

     Size  Device Name          MBR Status
 --------------------------------------------
   596 GB  \\.\PhysicalDrive0   OK (DOS/Win32 Boot code found)


Done;
Press any key to quit...
         

Der MBR-Check ergab jedoch nach wie vor:

Code: Alles auswählenAufklappen

ATTFilter

MBRCheck, version 1.1.1

(c) 2010, AD



\\.\C: --> \\.\PhysicalDrive0

\\.\D: --> \\.\PhysicalDrive0



      Size  Device Name          MBR Status

  --------------------------------------------

    596 GB  \\.\PhysicalDrive0   MBR Code Faked!





Found non-standard or infected MBR.

Enter 'Y' and hit ENTER for more options, or 'N' to exit:
         

Kann ich das jetzt so lassen? Ist das unbedenklich?
Und... sollte ich mal auf Win 7 umsteigen?

Hy, ich hab gerade Feedback vom author des Tools bekommen, er meinte der MBR sei sauber und das es ein Lesefehler des Tools ist.
Aber der Sound ist jetzt weg was mich sehr suspekt macht.

Kannst Du mir mittels mbr check einen neue mbr.dat erstellen.


Danach

Schritt 1

Bitte lass TFC.exe (im Ordner MFTools) erneut laufen


Schritt 2

Lade ComboFix von einem der unten aufgeführten Links herunter. Du musst diese umbenennen, bevor Du es auf den Desktop speicherst. Speichere ComboFix auf deinen Desktop.

• BleepingComputer
• ForoSpyware

**NB: Es ist wichtig, das ComboFix.exe auf dem Desktop gespeichert wird**

• Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
• Doppel-klicke auf ComboFix.exe und folge den Aufforderungen.
  • Wenn ComboFix fertig ist, wird es ein Log für dich erstellen.
  • Bitte poste mir den Inhalt von C:\ComboFix.txt hier in de Thread.

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Bitte poste in Deiner nächsten Antwort
mbr.dat
combofix.txt

Fehlende Rückmeldung

Dieses Thema wurde aus den Abos gelöscht. Somit bekomm ich keine Benachrichtigung über neue Antworten.

PN an mich falls Du denoch weiter machen willst.

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner schon sauber ist.

Jeder andere eröffnet bitte einen eigenen Thread.