Hi @ all,

alles hat damit angefangen, dass meine Vistapartition auf einmal
nicht mehr booten konnte.

Anhand des Startprotokolls sah ich folgendes:

Code: Alles auswählenAufklappen

ATTFilter

Loaded driver \SystemRoot\system32\ntkrnlpa.exe
Loaded driver \SystemRoot\system32\hal.dll
Loaded driver \SystemRoot\system32\kdcom.dll
Loaded driver \SystemRoot\system32\mcupdate_GenuineIntel.dll
Loaded driver \SystemRoot\system32\PSHED.dll
Loaded driver \SystemRoot\system32\BOOTVID.dll
Loaded driver \SystemRoot\system32\CLFS.SYS
Loaded driver \SystemRoot\system32\CI.dll
Loaded driver \SystemRoot\system32\drivers\Wdf01000.sys
Loaded driver \SystemRoot\system32\drivers\WDFLDR.SYS
Loaded driver \SystemRoot\system32\drivers\acpi.sys
Loaded driver \SystemRoot\system32\drivers\WMILIB.SYS
Loaded driver \SystemRoot\system32\drivers\msisadrv.sys
Loaded driver \SystemRoot\system32\drivers\pci.sys
Loaded driver \SystemRoot\System32\drivers\partmgr.sys
Loaded driver \SystemRoot\system32\DRIVERS\compbatt.sys
Loaded driver \SystemRoot\system32\DRIVERS\BATTC.SYS
Loaded driver \SystemRoot\system32\drivers\volmgr.sys
Loaded driver \SystemRoot\System32\drivers\volmgrx.sys
Loaded driver \SystemRoot\System32\drivers\mountmgr.sys
Loaded driver \SystemRoot\System32\Drivers\iaStor.sys
Loaded driver \SystemRoot\system32\drivers\atapi.sys
Loaded driver \SystemRoot\system32\drivers\ataport.SYS
Loaded driver \SystemRoot\system32\drivers\msahci.sys
Loaded driver \SystemRoot\system32\drivers\PCIIDEX.SYS
Loaded driver \SystemRoot\system32\drivers\fltmgr.sys
Loaded driver \SystemRoot\system32\drivers\fileinfo.sys
Loaded driver \SystemRoot\System32\Drivers\AsDsm.sys
Loaded driver \SystemRoot\System32\Drivers\ksecdd.sys
Loaded driver \SystemRoot\system32\drivers\ndis.sys
Loaded driver \SystemRoot\system32\drivers\msrpc.sys
Loaded driver \SystemRoot\system32\drivers\NETIO.SYS
Loaded driver \SystemRoot\System32\drivers\tcpip.sys
Loaded driver \SystemRoot\System32\drivers\fwpkclnt.sys
Loaded driver \SystemRoot\System32\Drivers\Ntfs.sys
Loaded driver \SystemRoot\system32\drivers\volsnap.sys
Loaded driver \SystemRoot\System32\Drivers\spldr.sys
Loaded driver \SystemRoot\System32\Drivers\mup.sys
Loaded driver \SystemRoot\system32\drivers\klbg.sys
Loaded driver \SystemRoot\System32\drivers\ecache.sys
Loaded driver \SystemRoot\system32\DRIVERS\hotcore3.sys
Loaded driver \SystemRoot\system32\drivers\disk.sys
Loaded driver \SystemRoot\system32\drivers\CLASSPNP.SYS
Loaded driver \SystemRoot\system32\drivers\crcdisk.sys
Loaded driver \SystemRoot\system32\DRIVERS\tunnel.sys
Loaded driver \SystemRoot\system32\DRIVERS\tunmp.sys
Loaded driver \SystemRoot\system32\DRIVERS\intelppm.sys
Loaded driver \SystemRoot\system32\DRIVERS\atikmdag.sys
Loaded driver \SystemRoot\System32\drivers\dxgkrnl.sys
Loaded driver \SystemRoot\system32\DRIVERS\atikmpag.sys
Loaded driver \SystemRoot\system32\DRIVERS\HDAudBus.sys
Loaded driver \SystemRoot\system32\DRIVERS\usbuhci.sys
Loaded driver \SystemRoot\system32\DRIVERS\usbehci.sys
Loaded driver \SystemRoot\system32\DRIVERS\NETwNv32.sys
Loaded driver \SystemRoot\system32\DRIVERS\Rtlh86.sys
Loaded driver \SystemRoot\system32\DRIVERS\ohci1394.sys
Loaded driver \SystemRoot\system32\DRIVERS\sdbus.sys
Loaded driver \SystemRoot\system32\DRIVERS\rimmptsk.sys
Loaded driver \SystemRoot\system32\DRIVERS\rimsptsk.sys
Loaded driver \SystemRoot\system32\DRIVERS\rixdptsk.sys
Loaded driver \SystemRoot\system32\DRIVERS\i8042prt.sys
Loaded driver \SystemRoot\system32\DRIVERS\kbfiltr.sys
Loaded driver \SystemRoot\system32\DRIVERS\kbdclass.sys
Loaded driver \SystemRoot\system32\DRIVERS\SynTP.sys
Loaded driver \SystemRoot\system32\DRIVERS\klmouflt.sys
Loaded driver \SystemRoot\system32\DRIVERS\mouclass.sys
Loaded driver \SystemRoot\system32\DRIVERS\cdrom.sys
Loaded driver \SystemRoot\system32\DRIVERS\CmBatt.sys
Loaded driver \SystemRoot\system32\DRIVERS\ATKACPI.sys
Loaded driver \SystemRoot\system32\DRIVERS\bfhu_cfg.sys
Loaded driver \SystemRoot\system32\DRIVERS\msiscsi.sys
Loaded driver \SystemRoot\system32\DRIVERS\rasl2tp.sys
Loaded driver \SystemRoot\system32\DRIVERS\ndistapi.sys
Loaded driver \SystemRoot\system32\DRIVERS\ndiswan.sys
Loaded driver \SystemRoot\system32\DRIVERS\raspppoe.sys
Loaded driver \SystemRoot\system32\DRIVERS\raspptp.sys
Loaded driver \SystemRoot\system32\DRIVERS\rassstp.sys
Loaded driver \SystemRoot\system32\DRIVERS\avmbtser.sys
Loaded driver \SystemRoot\system32\DRIVERS\avmbtpar.sys
Loaded driver \SystemRoot\system32\DRIVERS\termdd.sys
Loaded driver \SystemRoot\system32\DRIVERS\swenum.sys
Loaded driver \SystemRoot\system32\DRIVERS\MarvinBus.sys
Loaded driver \SystemRoot\system32\DRIVERS\mssmbios.sys
Loaded driver \SystemRoot\system32\DRIVERS\UimBus.sys
Loaded driver \SystemRoot\System32\Drivers\Uim_IM.sys
Loaded driver \SystemRoot\system32\DRIVERS\umbus.sys
Loaded driver \SystemRoot\system32\DRIVERS\usbhub.sys
Loaded driver \SystemRoot\System32\Drivers\NDProxy.SYS
Did not load driver \SystemRoot\System32\Drivers\NDProxy.SYS
Loaded driver \SystemRoot\system32\drivers\HdAudio.sys
Loaded driver \SystemRoot\system32\drivers\RTKVHDA.sys
Loaded driver \SystemRoot\system32\DRIVERS\smserial.sys
Loaded driver \SystemRoot\system32\drivers\modem.sys
Loaded driver \SystemRoot\system32\drivers\MODEMCSA.sys
Loaded driver \SystemRoot\system32\DRIVERS\klif.sys
Loaded driver \SystemRoot\System32\Drivers\Fs_Rec.SYS
Loaded driver \SystemRoot\System32\Drivers\Null.SYS
Loaded driver \SystemRoot\System32\Drivers\Beep.SYS
Loaded driver \SystemRoot\System32\drivers\vga.sys
Loaded driver \SystemRoot\System32\DRIVERS\RDPCDD.sys
Loaded driver \SystemRoot\system32\drivers\rdpencdd.sys
Loaded driver \SystemRoot\System32\Drivers\Msfs.SYS
Loaded driver \SystemRoot\System32\Drivers\Npfs.SYS
Loaded driver \SystemRoot\System32\DRIVERS\rasacd.sys
Loaded driver \SystemRoot\system32\DRIVERS\tdx.sys
Loaded driver \SystemRoot\system32\DRIVERS\usbccgp.sys
Loaded driver \SystemRoot\system32\DRIVERS\hidusb.sys
Loaded driver \SystemRoot\system32\DRIVERS\kl1.sys
Loaded driver \SystemRoot\system32\DRIVERS\LHidFilt.Sys
Loaded driver \SystemRoot\system32\DRIVERS\smb.sys
Loaded driver \SystemRoot\system32\DRIVERS\mouhid.sys
Loaded driver \SystemRoot\system32\drivers\afd.sys
Loaded driver \SystemRoot\system32\DRIVERS\LMouFilt.Sys
Loaded driver \SystemRoot\System32\DRIVERS\netbt.sys
Loaded driver \SystemRoot\system32\DRIVERS\pacer.sys
Loaded driver \SystemRoot\system32\DRIVERS\klim6.sys
Loaded driver \SystemRoot\system32\DRIVERS\netbios.sys
Loaded driver \SystemRoot\system32\DRIVERS\wanarp.sys
Loaded driver \SystemRoot\system32\DRIVERS\rdbss.sys
Loaded driver \SystemRoot\system32\drivers\nsiproxy.sys
Loaded driver \SystemRoot\System32\Drivers\dfsc.sys
Loaded driver \SystemRoot\system32\DRIVERS\etFilter.sys
Loaded driver \SystemRoot\system32\DRIVERS\etDevice.sys
Loaded driver \SystemRoot\system32\DRIVERS\etScan.sys
Loaded driver \SystemRoot\system32\DRIVERS\monitor.sys
Loaded driver \SystemRoot\system32\drivers\luafv.sys
Loaded driver \SystemRoot\system32\DRIVERS\lltdio.sys
Loaded driver \SystemRoot\system32\DRIVERS\nwifi.sys
Loaded driver \SystemRoot\system32\DRIVERS\ndisuio.sys
Loaded driver \SystemRoot\system32\DRIVERS\rspndr.sys
Loaded driver \SystemRoot\system32\drivers\HTTP.sys
Loaded driver \SystemRoot\System32\DRIVERS\srvnet.sys
Loaded driver \SystemRoot\system32\drivers\mrxdav.sys
Loaded driver \SystemRoot\System32\DRIVERS\srv2.sys
Loaded driver \SystemRoot\System32\DRIVERS\srv.sys
Loaded driver \SystemRoot\system32\DRIVERS\bowser.sys
Loaded driver \SystemRoot\System32\drivers\mpsdrv.sys
Loaded driver \SystemRoot\system32\DRIVERS\mrxsmb.sys
Loaded driver \SystemRoot\system32\DRIVERS\mrxsmb10.sys
Loaded driver \SystemRoot\system32\DRIVERS\mrxsmb20.sys
Loaded driver \SystemRoot\system32\drivers\peauth.sys
Loaded driver \SystemRoot\system32\drivers\regi.sys
Loaded driver \SystemRoot\System32\Drivers\secdrv.SYS
Loaded driver \SystemRoot\System32\drivers\tcpipreg.sys
Loaded driver \??\C:\Windows\System32\Drivers\LNonPnP.sys
         

Nach dem Start über das Avira Antivir Rescue System
wurde bei mir folgender Trojaner entdeckt:

TR/Crypt.XPACK.Gen2


Log-Auszug aus Avira Antivir Rescue System:

Avira / Linux Version 1.9.152.0
Copyright (c) 2010 by Avira GmbH
All rights reserved.
engine set: 8.2.4.140
VDF Version: 7.11.1.145

Scan start time: Sun Jan 16 14:26:33 2011

configuration file: /etc/avira/scancl.conf
WARNING: [Unexpected end of file]

...
/media/Devices/sda2/Users/xxxxxx/trb/winve/pcwVistaPE1.3a.zip --> pcwVistaPE1.3/Tools/SetupVirtualCloneDrive5432.exe
ALERT: [TR/Crypt.XPACK.Gen2]

/media/Devices/sda2/Windows/System32/Boot/winload.exe.bak <<< Is the Trojan horse TR/Crypt.XPACK.Gen2 [renamed]
ALERT: [TR/Crypt.XPACK.Gen2]

/media/Devices/sda2/Windows/System32/winload.exe.bak <<< Is the Trojan horse TR/Crypt.XPACK.Gen2 [renamed]
WARNING: [File is encrypted]
...


[Mein System:

Dual-Boot Betrieb:
- Windows Vista Home Premium 32 Bit --> befallene Partition
- Windows 7 Professional 32 Bit (in Ordnung)]


Da die Partition immer noch nicht booten kann und der Trojaner trotzdem
noch auf dem System sein könnte, hoffe ich, das mir jemand helfen kann.

Vielen Dank schon im Voraus

Zitat:

dass meine Vistapartition auf einmal
nicht mehr booten konnte.

Was heißt denn auf einmal? Was genau wurde davor gemacht?

Am Anfang hatte ich gemerkt, dass Vista etwas langsamer lief.
Dann tauchte irgendwann ein Hinweisfenster von Kaspersky Security auf,
mit der Meldung das der keyboard.sys-Treiber verändert wurde.
Das Merkwürdige daran war, das es nur die Option "Ignorieren" gab.
Und eines Tages lief Vista überhaupt nicht mehr, auch nicht über die F8 Optionen.

Zitat:

Dann tauchte irgendwann ein Hinweisfenster von Kaspersky Security auf,
mit der Meldung das der keyboard.sys-Treiber verändert wurde.

Ohne Grund passiert das nicht. Was hast du da gerade gemacht? Was installiert? Wenn ja, was genau?

Es ist leider schon ein paar Tage her.
Aber ich weiß, das ich mir sämtliche Versionen von Framework heruntergeladen
und installiert habe (Quelle war zum einen die Microsoft Homepage und zum anderen
das MS Programm MBSA 2.2), in der Hoffnung, dass das Firmwareupdateprogramm
meines MP3 Players (Censo) nun unter Vista laufen würde.
Der Grund war, das bei dem Updatevorgang immer ein Abbruch kam mit der Meldung:
Winsock: Verbindung wurde aufgrund einer Zeitüberschreitung oder eines anderen Fehlers getrennt.
In einigen Foren las ich, das dies auf einem side-by-side Problem lag.

Zitat:

/media/Devices/sda2/Windows/System32/Boot/winload.exe.bak <<< Is the Trojan horse TR/Crypt.XPACK.Gen2 [renamed]
ALERT: [TR/Crypt.XPACK.Gen2]

Sieht nach einem Fehlalarm aus oder ein Schädling hat diese Datei gepatcht
Das schon beachtet => Vista: Beim Start erscheint "\Windows\System32\ winload.exe konnte nicht gefunden werden"

Ja, die Systemstartreparatur kenne ich schon.

Ich muss hinzufügen, dass dieses Dual Boot System
mit einem externen Tool (Paragon) erstellt wurde.
Zudem waren die Optionen auf "andere Partition verstecken"
eingestellt.

Zitat:

mit einem externen Tool (Paragon) erstellt wurde.
Zudem waren die Optionen auf "andere Partition verstecken"

Da muss ich passen. Solche Super-Spezial-Extra-Tools mag ich nicht

Ok, habe die Änderungen des Bootmanagers rückgängig gemacht.
(Leider sehe ich nun unter Win7 auch die Vistapartition...)

Jetzt sehe unter Vista wieder nur den Mauszeiger.

Zitat:

(Leider sehe ich nun unter Win7 auch die Vistapartition...)

Wieso leider? Was ist daran ein Nachteil? Eher ein Vorteil, wenn du unter Win7 mal an Daten ran musst, die auf der Vistapartition gespeichert sind.

Die zwei Betriebssysteme liegen zwar nah beieinander aber es kann
immer noch zu (möglichen) Konflikten kommen.
Außerdem halte ich es für sicherer über copy an die Daten
heranzukommen

Leider kann ich Vista immer noch nicht ordnungsgemäß booten (siehe winload).
Welche Lösungsansätze gäbe es dafür?

Bzw. welche Logs soll ich posten?

Zitat:

Außerdem halte ich es für sicherer über copy an die Daten
heranzukommen

Muss man das verstehen oder soll man den Zusammenhang erraten oder die fragen?
Wie soll ich was von A nach B kopieren, wenn die Vista-Partition nicht sichtbar ist unter Win7?
Was für Konflikte sollen da aufreten?

Zitat:

Leider kann ich Vista immer noch nicht ordnungsgemäß booten (siehe winload).
Welche Lösungsansätze gäbe es dafür

Den Link hab ich dir gepostet. Bekomm ja kein Feedback von dir.

Ich meinte damit den (DOS) COPY Befehl, war leider nicht ganz offensichtlich. Sry.
(Voraussetzung ist natürlich, das beide Partionen sichtbar sind.)

Zum Link:


Die Systemstartreparatur gibt folgendes aus:

...
(Sämtliche Fehlercodes besitzen den Eintrag 0x0)

Anzahl der Fehlerursachen = 1

Gefundene Fehlerursache:

Der Startstatus besagt, dass das Betriebssystem erfolgreich gestartet wurde.
...


Es wird trotzdem nur ein schwarzer Bildschirm angezeigt.

Zitat:

Ich meinte damit den (DOS) COPY Befehl, war leider nicht ganz offensichtlich. Sry.

Und was ist daran sicherer? Dieser COPY-Befehl ist scheise wenn du größe Datenmengen bzw. einen großen Ordner mit vielen Unterverzeichnissen und Dateien kopieren willst. Was machst du da wenn es irgendwo an einer Datei abbricht? Dann ist XCOPY oder gar ROBOCOPY noch besser.

Zitat:

Es wird trotzdem nur ein schwarzer Bildschirm angezeigt.

Dann wirds wohl auf nachträgliche Datensicherung und Neuinstallation von Vista hinauslaufen. Wobei ich aber nicht verstehen kann, warum man Win7 und Vista parallel (Dualboot) installiert haben muss. Wär es statt Vista XP oder 2000 hätte ich das eher verstanden. Und statt Parallelinstallation hätte man auch mti VMWare oder sowas eine VM mit entsprechendem Betriebssystem einrichten können.

Den Copy Befehl (in all seinen Varianten) musste ich schon einmal
ausführen, als ein paar Treiber beschädigt waren.
Das war noch zu XP Zeiten auf einem anderen Rechner.

Könnte man zumindest den abgesicherten Modus von Vista
wieder hinbekommen (siehe Copy)? Ich hatte mir mal eine
Install DVD gebastelt, jedoch leider nur auf der Basis einer
Enterprise ISO.
Die für den Bootvorgang benötigten Dateien müssten doch
identisch sein.