Zitat:

welcher Windows-Installation ich mich anmelden möchte.

Dann musst du die Ziffer für deine Windows-Installation eingeben, sollte die 1 sein. Dann das Passwort für das Konto "Administrator"

Hallo Arne,

habe ich ausgeführt, allerdings zeigt er mir danach nur C:/ windows, und es tut sich nichts weiter. Eine erneute Eingabe des Passworts erkennt das System als ungültigen Befehl.
Der Fehler, der mein System ausgeschaltet hat ist mit C000007b{Fehler Abbild} beschrieben. Vielleicht kannst Du mir darauf einen Tipp geben, wie ich weiter vorgehen kann.

Danke.

Ja wenn die WHK nicht nach einem Passwort für den Administrator fragt musst du auch keins eingeben

Wenn nach der Auswahl nur "C:\WINDOWS" dort steht, ist die Konsole bereit und du kannst Befehle eintippen und mit der Eingabetaste (enter oder return) ausführen.

Tipp mal den Befehl fixmbr ein (dann Enter, mit j bestätigen) danach den Befehl fixboot (dann Enter, mit j bestätigen)

Mit exit (dann enter drücken) wird der Rechner neu gestartet. Schau dann ob Windows wieder normal startet.

Hallo Arne,

negativ - der Befehl läßt sich zwar ausführen und der Eintrag erzeugen. Windows läßt sich aber immer noch nicht starten und der Rechner zeigt auch noch den gleichen Fehler.

Hm, wenns nur um diese sfcfiles gehts, könntest du mal probieren von einem sauberen Windows-PC die sfcfiles über ein Live-Linux auf deinem Rechner mit nicht bootendem Windows zu kopieren.
Ich poste nachher mal ne vernünftige Anleitung.

Hallo Arne,

hattest Du zwischenzeitlich schon Gelegenheit, mir die genannte Anleitung zusammenzustellen?

Vielen Dank!

Hier ne saubere sfcfiles.dll in einer RAR-Datei => File-Upload.net - sfcfiles.rar
Bitte herunterladen, direkt auf C: speichern und entpacken zB nach c:\tekel
Passwort: tekel

Dann gehts so weiter:

PartedMagic

1. Lade Dir das ISO-Image von PartedMagic herunter, müssten ca. 70 MB sein
2. Entpack die ZIP-Datei in einen beliebigen Pfad, es wird eine ISO-Datei (CD-Abbild) von PartedMagic entpackt
2. Brenn es per Imagebrennfunktion auf CD, geht zB mit ImgBurn oder Nero per Imagebrennfunktion unter Windows
3. Boote von der gebrannten CD, im Bootmenü von Option 1 starten und warten bis der Linux-Desktop oben ist



4. Du müsstest ein Symbol Mount Devices finden, das doppelklicken
5. Mounte die Partition wo Windows installiert ist, meistens ist es /dev/sda1
6. Benenne auf sda1 (bzw. die Partition wo Windows ist, falls es nicht sda1 sein sollte) folgende Dateien um, einfach ein .vir dranhängen:

Code: Alles auswählenAufklappen

ATTFilter

/windows/sfcfiles.dll.vir
         

7. Kopiere die sauberen Datei aus dem tekel-Ordner in den entsprechenden Pfad rein:

Code: Alles auswählenAufklappen

ATTFilter

/tekel/sfcfiles.dll => /windows/system32/sfcfiles.dll
         

(müsste eigentlich alles ganz easy über den graphischen Dateibowser in Linux gehen)


8. Starte den Rechner neu und boote Windows

9. Die in Linux umbenannte Dateien (die mit .vir) bei uns hochladen => http://www.trojaner-board.de/54791-a...ner-board.html

10. Wenn alles geschafft ist Beischeid geben

Hallo Arne,

hurra !!!! Es hat funktioniert - Windows läßt sich wieder starten! Ich werde Dir die infizierte Datei über den uploadChannel einstellen. Avira hat diese Datei mittlerweile auch als infiziert gemeldet - sie soll TR/Trash.Gen enthalten. Ich gehe davon aus, dass die Datei durch anfügen von .vir soweit entschärft ist, so dass sie beim Übertrag keinen weiteren Schaden mehr anrichten kann, oder?

Leider ist das nicht die einzige Datei, die diesen Virus enthält: ebenfalls als infiziert gemeldet wurde durch Avira c:windows\system32\drivers\swmidi.sys.

Meinst Du, ich kann es wagen, einen erneuten Scan mit Malwarebytes durchzuführen (nachdem er das letzte Mal sämtliche Viren gefunden hat und unbedingt reparieren wollte, bevor ich irgendeine andere Aktion ausführen konnte)? Darüber hinaus möchte Windows upgedatet werden - kann ich das tun, ohne die Sache zu verschlimmbessern?

Vielen Dank!

Ja mach bitte einen neuen Vollscan - und poste auch die letzten Logs von MBAM.

Hallo Arne,

anbei das neueste logfile von Malwarebytes. Das wahrscheinlich interessanteste logfile vom 13.11.10, nach dessen Suchlauf die beschriebenen Schwierigkeiten auftraten, kann ich nirgends finden. Das war bisher auch der einzige Suchlauf, bei dem Malwarebytes einen Virenbefall festgestellt hat. Ich habe Dir anbei noch einmal den Scan von SUPERAntiSpyware angefügt. Beim letzten durchgeführten Vollscan mit Avira wurden 3 Infizierungen festgestellt. Auch hierbei kann ich das logfile nicht finden. Deshalb füge ich die Funde der Nachricht an.

c:\windows\system32\drivers\swmidi.sys - Fund: TR\Trash.Gen
c:\windows\servicePackfiles\i386\msscript.ocx - Fund: TR\Drop.Softomat.AN
c:\windows\servicePackFiles\i386\swmidi.sys - Fund: TR\Trash.Gen

Ok. Mach bitte nochmal einen Durchgang mit CF und einer neuen cofi.exe

Hallo Arne,

zunächst wünsche ich Dir noch ein gutes Neues Jahr!

Anbei das log file aus ComboFix

Sieht unuaffällig aus
Was macht dein Rechner?

Hallo Arne,

soweit ich es beurteilen kann, glaube ich, dass alles wieder funktioniert. Ein erneuter Scan mit Avira meldete auch keinen Fund mehr. Ich habe übrigens die Avira log files auf dem Rechner gefunden, kann diese aber momentan nicht öffnen, da offenbar kein Treiber für vdf-Files vorhanden ist. Kann das damit zusammen hängen, dass ich die letzten Funde, die Avira detektiert hatte, in Quarantäne verschoben hatte?

Zitat:

Ich habe übrigens die Avira log files auf dem Rechner gefunden, kann diese aber momentan nicht öffnen, da offenbar kein Treiber für vdf-Files vorhanden ist

Kann ich nicht nachvollziehen. Logs öffnet man idR über das Programm aus dem menü, Berichte/Protokolle.