Zitat:

Zitat von cosinus

Deswegen müssen wir den ja neu schreiben, weil mbrcheck einen unbekannten MBR gefunden hat

Hm, bin ich jetzt blöd.

Ein per fixmbr erzeugter MBR ist natürlich malware-frei. Den zu prüfen ist nonsens.
Da er zu 99 % meine Recovery-Partition nicht booten kann, müßte ich ihn wieder mit dem zuvor gesicherten MBR überschreiben.
MBRCheck würde dann wieder einen unbekannten MBR finden, von dem wir nicht wissen, ob er malware enthält,
oder exakt in dem Zustand ist, wie von IBM mal draufgespielt.

So wären wir dann keinen einzigen Schritt weiter, oder was hab' ich da übersehen?

Zitat:

So wären wir dann keinen einzigen Schritt weiter, oder was hab' ich da übersehen?

Gesetzt den Fall, er kann danach von der Recover-Partition nicht mehr booten. Du weißt es auch nicht, oder woher kommen die 99% her?

Edith sagt: Der "unbekannte" MBR kann natürlich auch ein eigener vom Hersteller sein, der natürlich nicht Windowsstandard ist. Du kannst den MBR auch so lassen, wenn Du darauf wettest, der MBR sei ok.
Ist Dir die Recovery-Partition denn so wichtig? Keine normalen Installations-CDs im Haus, wo man Windows für den Fall der Fälle normal neu installieren kann?

Zitat:

Zitat von cosinus

Gesetzt den Fall, er kann danach von der Recover-Partition nicht mehr booten. Du weißt es auch nicht, oder woher kommen die 99% her?

(1.) daraus, daß es scheint (meine Frage danach ist immer noch offen), daß Du nicht weißt nach welchen Kriterien/Parametern MBRCheck die Sicherheit des MBR beurteilt (Hersteller-abhängige Abwandlungen sind ja nicht unüblich, doch MBRCheck scheint sie alle pauschal für malware-verdächtig zu halten ?), und (2.) wegen dieser Erfahrung:
hxxp://www.thinkpad-forum.de/thinkpad-hardware/r-serie/89707-accessibm-geht-nicht-mehr/
Soweit ich mich noch richtig erinnere, hatte ich es damals auch mit der Wiederherstellungskonsole versucht, ohne Erfolg.

Zitat:

Edith sagt: Der "unbekannte" MBR kann natürlich auch ein eigener vom Hersteller sein, der natürlich nicht Windowsstandard ist.

Ja und was macht der MBRCheck denn nun tätsächlich? Vergleicht er nur den MBR mit dem Standard-Original von M$, was ich mit jedem Hexeditor auch von Hand tun könnte, oder wieviel zusätzliche Intelligenz steckt da noch dahinter?
Die Frage ist ernst gemeint, denn meine IBM-Abwandlung könnte ja dennoch verseucht sein.

Zitat:

Du kannst den MBR auch so lassen, wenn Du darauf wettest, der MBR sei ok.
Ist Dir die Recovery-Partition denn so wichtig? Keine normalen Installations-CDs im Haus, wo man Windows für den Fall der Fälle normal neu installieren kann?

Ja, ist sie. Notebooks sind ja bekanntlich zickig, was Treiber angeht. Warum auf die Originalen von IBM-Lenovo verzichten, zumal die auch ziemlich engagiert in Sachen Bugfixes und Verbesserungen sind? Selbst nach 5 Jahren kommen noch welche.
Des weiteren habe ich mich auch an die ein- oder anderen speziell auf meine Hardware abgestimmten Zusatzfunktionalitäten gewöhnt, z.B. eine ziemlich leistungsfähige Erweiterung der Energieoptionen. Z.B. schlug der Überhitzungsschutz mit den Jahren vermehrt zu (schaltet urplötzlich ab), da die Wärmeleitpaste zwischen CPU und Kühlung altert. In den Energieoptionen konnte ich dann die CPU-Leistungs-Grenze leicht vermindern, und läuft er heute noch.
Und last but not least... Das Windows-Aktivierungs-Thema

Zitat:

Zitat von cosinus

Gesetzt den Fall, er kann danach von der Recover-Partition nicht mehr booten. Du weißt es auch nicht, oder woher kommen die 99% her?

Ich erhöhe auf 100 %.

Also ich habe mir die Mühe gemacht. Mit fixmbr wurde der MBR derart zerschossen, daß ich einige Mühe hatte, wieder alles an's Laufen zu bringen.
Dank an die Linux SystemRescueCD

Aber wie geht's jetzt weiter?
Gibt's sonst noch was verdächtiges abzuklären?
Ist mein System jetzt evtl. wieder clean?
Sind Trojan.Agent, Worm.Autorun.B, Adware.ADON jemals aktiv geworden?
Falls ja, wie gefährlich sind diese Plagegeister?
Gehören sie zu denen, die Passwörter klauen, oder verbreiten sie "bloß" SPAM?

Zitat:

doch MBRCheck scheint sie alle pauschal für malware-verdächtig zu halten ?), und (2.) wegen dieser Erfahrung:

Nein so nicht. Die unbekannten werden als unbekannt eingestuft. Das können herstellersüezifische aber auch Malware-MBRs sein. Es gibt auch bekannte schädliche MBRs, da zeigt mbrcheck dann auch tatsächlich known-bad an.

Zitat:

Die Frage ist ernst gemeint, denn meine IBM-Abwandlung könnte ja dennoch verseucht sein.

Ja, aber wie willst Du das prüfen?
Ganz sicher kannst Du Dir nur sein, wenn Du einen neuen MBR schreibst.

Zitat:

Aber wie geht's jetzt weiter?

Lass den MBR jetzt so wie er ist. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Ja danke noch mal.

Nun spinnt mein Druckertreiber, druck nur noch wirre Buchstaben. Kann das die Auswirkung der diversen Fix-Maßnahmen sein?

Die Scans mache ich heute nacht.

Könnte sein. Druckertreiber mal neu installiert?

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4816

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

14.10.2010 04:55:36
mbam-log-2010-10-14 (04-55-36).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|F:\|G:\|H:\|)
Durchsuchte Objekte: 929353
Laufzeit: 3 Stunde(n), 18 Minute(n), 39 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         

Und das andere Log?

Zitat:

Zitat von cosinus

Und das andere Log?

Wurde gestern abend gestartet, und zu ca. 80 % durch.
Danke der Nachfrage !

Code: Alles auswählenAufklappen

ATTFilter

SUPERAntiSpyware Scann-Protokoll
hxxp://www.superantispyware.com

Generiert 10/15/2010 bei 03:01 PM

Version der Applikation : 4.44.1000

Version der Kern-Datenbank : 5686
Version der Spur-Datenbank : 3498

Scan Art       : kompletter Scann
Totale Scann-Zeit : 14:44:23

Gescannte Speicherelemente  : 1139
Erfasste Speicher-Bedrohungen  : 0
Gescannte Register-Elemente  : 10975
Erfasste Register-Bedrohungen  : 0
Gescannte Datei-Elemente     : 1192758
Erfasste Datei-Elemente   : 0
         

Sieht ok aus, keine Funde!
Noch Probleme oder weitere Funde in der Zwischenzeit?

Jetzt ist es erstmal schon lange fällig, daß ich mich mal ganz herzlich bedanke für die viele Mühe, und noch etwas Feedback gebe:
- Die beschriebenen Probleme mit dem Drucker rühren eher davon, daß ich seit dem Virenfund meinem Benutzerkonto eingeschränkte Recht verpasst habe, wofür ich ein zusätzliches Konto mit Administratorrechten einrichten mußte. (Das standardmäßig vorhandene Konto "Administrator" reicht dafür unter mir bisher nicht verstehbaren Gründen nicht aus.) Seit dem funktioniert mein Druckertreiber (trotz Neuinstallation) nur noch von dem 2. Administratorkonto aus, vom eingeschränkten Benutzerkonto aus bekomme ich nur Zeichensalat auf's Papier. Der Drucker-Treiber für meinen Epson Stylus SCAN 2500 ist noch eine Win2000-Version, neuere gibts leider nicht.
- Viele andere Probleme, die noch bestehen, kommen vermutlich auch von der 3-Konten-Konfiguration.
- Fritz!Box-Funktionalität hat Macken
- Automatische Software-Updates bleiben hängen
- etc.

Ich muß also wohl mein System doch mal neu installieren. Hoffentlich bekomme ich dann nicht wieder die gleichen Probleme wegen dem eingeschränkten Konto.

Ich überlege auch, die "Daten" auf eine 2. Partition auszulagern. Zumindest "Eigene Dateien" und "Anwendungsdaten" oder gleich den ganzen "Dokumente und Einstellungen"-Ordner, damit ich die Systempartition unabhängig sichern und gegebenenfalls zurückspielen kann. Gibt es da einen Rat zu?
Leider sind ja dann auch die ganzen Systemeinstellungen, welche ja eigentlich der Systempartition zugeordnet gehören, auch auf der Daten-Partition, was ich unlogisch finde.

Da ich einige ältere Anwendungen, die ich nur ganz selten noch brauchen werde, nicht in die neue Installation aufnehmen möchte, müßte ich dann auch noch meine ca. 1,5 Jahre alte Installation (hab' ich noch auf der alten Backup-Platte) von dem gleichen Malware-Problem reinigen. Wenn es soweit ist, melde ich mich dann noch mal.