So lange bis es fertig ist- ca 1-2 sek.

Länger läuft das nicht durch? Probier ein anderes jetzt:

Bitte den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus.

Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen

Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen.

Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt.

jetzt kam noch mal ein bisschen mehr, aber immer noch nicht alles:

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows Vista Home Premium Edition
Windows Information: Service Pack 2 (build 6002), 32-bit
Base Board Manufacturer: Acer, Inc.
BIOS Manufacturer: Acer
System Manufacturer: Acer, inc.
System Product Name: Aspire 5920G
Logical Drives Mask: 0x0000002c

Kernel Drivers (total 174):
0x8463A000 \SystemRoot\system32\ntkrnlpa.exe
0x84607000 \SystemRoot\system32\hal.dll
0x80608000 \SystemRoot\system32\kdcom.dll
0x8060F000 \SystemRoot\system32\mcupdate_GenuineIntel.dll
0x8067F000 \SystemRoot\system32\PSHED.dll
0x80690000 \SystemRoot\system32\BOOTVID.dll
0x80698000 \SystemRoot\system32\CLFS.SYS
0x806D9000 \SystemRoot\system32\CI.dll
0x8C80C000 \SystemRoot\system32\drivers\Wdf01000.sys
0x8C888000 \SystemRoot\system32\drivers\WDFLDR.SYS
0x8C895000 \SystemRoot\System32\Drivers\spoo.sys
0x8C988000 \SystemRoot\System32\Drivers\WMILIB.SYS
0x8C991000 \SystemRoot\System32\Drivers\SCSIPORT.SYS
0x8C9B7000 \SystemRoot\system32\drivers\acpi.sys
0x8C800000 \SystemRoot\system32\drivers\msisadrv.sys
0x807B9000 \SystemRoot\system32\drivers\pci.sys
0x807E0000 \SystemRoot\System32\drivers\partmgr.sys
0x8C808000 \SystemRoot\system32\DRIVERS\compbatt.sys
0x807EF000 \SystemRoot\system32\DRIVERS\BATTC.SYS
0x8CA0B000 \SystemRoot\system32\drivers\volmgr.sys
0x8CA1A000 \SystemRoot\System32\drivers\volmgrx.sys
0x8CA64000 \SystemRoot\system32\drivers\intelide.sys
0x8CA6B000 \SystemRoot\system32\drivers\PCIIDEX.SYS
0x8CA79000 \SystemRoot\System32\drivers\mountmgr.sys
0x8CA89000 \SystemRoot\system32\DRIVERS\iaStor.sys
0x8CB51000 \SystemRoot\system32\drivers\atapi.sys
0x8CB59000 \SystemRoot\system32\drivers\ataport.SYS
0x8CB77000 \SystemRoot\system32\drivers\fltmgr.sys
0x8CBA9000 \SystemRoot\system32\drivers\fileinfo.sys
0x8CBB9000 \SystemRoot\system32\DRIVERS\psdfilter.sys
0x8CBC2000 \SystemRoot\System32\Drivers\PxHelp20.sys
0x8CC07000 \SystemRoot\System32\Drivers\ksecdd.sys
0x8CC78000 \SystemRoot\system32\drivers\ndis.sys
0x8CD83000 \SystemRoot\system32\drivers\msrpc.sys
0x8CDAE000 \SystemRoot\system32\drivers\NETIO.SYS
0x8CE09000 \SystemRoot\System32\drivers\tcpip.sys
0x8CEF3000 \SystemRoot\System32\drivers\fwpkclnt.sys
0x8CF0E000 \SystemRoot\system32\DRIVERS\timntr.sys
0x8D00F000 \SystemRoot\System32\Drivers\Ntfs.sys
0x8D11F000 \SystemRoot\system32\drivers\volsnap.sys
0x8D200000 \SystemRoot\system32\DRIVERS\tdrpm140.sys
0x8D2EC000 \SystemRoot\System32\Drivers\spldr.sys
0x8D2F4000 \SystemRoot\system32\DRIVERS\snman380.sys
0x8D314000 \SystemRoot\System32\Drivers\mup.sys
0x8D323000 \SystemRoot\System32\drivers\ecache.sys
0x8D34A000 \SystemRoot\system32\drivers\disk.sys
0x8D35B000 \SystemRoot\system32\drivers\CLASSPNP.SYS
0x8D37C000 \SystemRoot\system32\drivers\crcdisk.sys
0x8D3A5000 \SystemRoot\system32\DRIVERS\tunnel.sys
0x8D3B0000 \SystemRoot\system32\DRIVERS\tunmp.sys
0x8D3B9000

Bootkit Remover
(c) 2009 eSage Lab
www.esagelab.com

Program version: 1.2.0.0
OS Version: Microsoft Windows Vista Home Premium Edition Service Pack 2 (build 6
002), 32-bit

System volume is \\.\C:
\\.\C: -> \\.\PhysicalDrive0 at offset 0x00000002`af600000
Boot sector MD5 is: dc220266e2471b59f5999b434294b525

Size Device Name MBR Status
--------------------------------------------
298 GB \\.\PhysicalDrive0 Unknown boot code

Unknown boot code has been found on some of your physical disks.
To inspect the boot code manually, dump the master boot sector:
remover.exe dump <device_name> [output_file]
To disinfect the master boot sector, use the following command:
remover.exe fix <device_name>


Done;
Press any key to quit...

Zuerst mal bitte - falls noch nicht getan - die Datei remover.exe (vom BootkitRemover) vom Desktop nach c:\windows\system32 kopieren!

Mach einen Rechtsklick auf einen freien Bereich des Desktops, Neu, Verknüpfung => "cmd.exe" eintippen => ok

Danach die Konsole starten über diese neue Verknüpfung starten, Rechtsklick auf Verknüpfung mit cmd.exe, als Administrator ausführen

Den Text im folgenden Codefeld eintippen und mit Enter/Return ausführen:

Code: Alles auswählenAufklappen

ATTFilter

remover.exe fix \\.\PhysicalDrive0
         

ich bin bis zu rechtsklick desktop- neu-verknüpfung gekommen, danach passiert nichts (es öffnet sich kein textfeld in das ich cmd.exe einfügen könnte!?).

Und was kommt dann? Sry, aber irgendwie musst du eine Verknüpfung zu cmd hinkriegen.
Alternativ schaust du im Startmenü unter alle Programme nach Eingabeaufforderung nach, dann diese rechtsklicken und als Administrator ausführen.

bin vielleicht ein bisschen langsam im Kopf, aber ich checks nicht! ist es mein ziel den remover von c:/windows/system32 mit dem desktop zu verknüpfen und dann in cmd.exe umzubenennen, oder ist das ein unabhängiger move:

"Mach einen Rechtsklick auf einen freien Bereich des Desktops, Neu, Verknüpfung => "cmd.exe" eintippen => ok"
wenn ich das mache passiert tatsächlich einfach gar nichts.

das mit dem Startmenü kapiere ich noch weniger.
solltest du nicht zufällig erkennen wo mein Fehler liegt werde ich jetzt mal drüber schlafen und es morgen nochmal versuchen.

Erster Schritt: remover.exe nach system32 kopieren
zweiter Schritt: Die Konsole/Eingabeaufforderung als Admin ausführen und o.g. Befehl eintippseln!

Du musst doch nur durch das Startmenü klicken und die Eingabeaufforderung finden, dann rechtklicken und als Admin ausführen. Ist das so schwierig

1. Schritt: erfolgreich
2. Schritt: keinen plan
ich komm mir ja selber vor wie eine oma die versucht eine mail zu schreiben,

aber wenn ich den remover ausführe kann ich doch nirgendwo was eingeben!?!
ich weiß nicht mal wo ich die eingabeaufforderung finde(oder was genau das ist), ähm...sorry.

vielen dank auf jeden fall für deine Geduld!

Klick doch einfach nur durchs Startmenü, das müsste bei alle Programme Zubehör oder so sein

hi arne,

ich werds noch mal versuchen.
folgendes ist bei cmd.exe passiert:


C:\Windows\system32>remover.exe fix \\.\PhysicalDrive0
Bootkit Remover
(c) 2009 eSage Lab
www.esagelab.com

Program version: 1.2.0.0
OS Version: Microsoft Windows Vista Home Premium Edition Service Pack 2 (build 6
002), 32-bit

System volume is \\.\C:
\\.\C: -> \\.\PhysicalDrive0 at offset 0x00000002`af600000
Restoring boot code at \\.\PhysicalDrive0...
ERROR: No standard boot code found for your OS.
You can restore boot code only for Windows XP, Server 2003, Vista, Server 2008 a
nd Windows 7

Done;
Press any key to quit...

blöd!

Du hast die CMD.EXE dann auch per Rechtklick als Admin ausgeführt?

ja, das habe ich gemacht.

Mir gehen die Ideen aus
Du musst irgendwie den Rechner von einer Windows-DVD gestartet kriegen. Hat ein bekannter von dir eine Vista- oder Win7-DVD passend zu deinem System? Also entweder 32-Bit Vista oder Win7