aswMBR.exe findet "Windows XP default MBR code" auf Win7 64bit System und unbekannte Partitionstabel
 

Ich habe nach der Lektüre eines Sicherheitsexperten mal dessen Schritte auf meinem System nachgemacht. Es ging um das TDL4 - Rootkit, glaub ich. Nun hab ich das TDL-Dings nicht direkt gefunden, aber zeigt mir aswMBR.exe trotzdem ähnlich seltsame Meldungen. Könnte mir jemand anhand der Logfile bitte sagen, ob ich mir Sorgen machen sollte?

aswMBR version 0.9.8.986 Copyright(c) 2011 AVAST Software
Run date: 2011-10-27 12:24:42
-----------------------------
12:24:42.065 OS Version: Windows x64 6.1.7601 Service Pack 1
12:24:42.065 Number of processors: 2 586 0x203
12:24:42.065 ComputerName: CREEPY-PC UserName: Creepy
12:24:45.159 Initialize success
12:28:15.065 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-4
12:28:15.065 Disk 0 Vendor: STM3250318AS CC35 Size: 238475MB BusType: 3
12:28:15.065 Disk 1 \Device\Harddisk1\DR1 -> \Device\Ide\IdeDeviceP0T0L0-0
12:28:15.065 Disk 1 Vendor: WDC_WD1600BB-55RDA0 20.00K20 Size: 152627MB BusType: 3
12:28:15.096 Disk 0 MBR read successfully
12:28:15.096 Disk 0 MBR scan
12:28:15.096 Disk 0 Windows XP default MBR code
12:28:15.096 Service scanning
12:28:15.862 Service sptd C:\Windows\System32\Drivers\sptd.sys **LOCKED** 32
12:28:16.456 Modules scanning
12:28:16.456 Disk 0 trace - called modules:
12:28:16.456 ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys >>UNKNOWN [0xfffffa80036aa2c0]<<
12:28:16.456 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa80046d0570]
12:28:16.456 3 CLASSPNP.SYS[fffff88001b8d43f] -> nt!IofCallDriver -> [0xfffffa80037f2520]
12:28:16.471 5 ACPI.sys[fffff88000f7b7a1] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP2T0L0-4[0xfffffa80037f3060]
12:28:16.487 \Driver\atapi[0xfffffa80037c5820] -> IRP_MJ_CREATE -> 0xfffffa80036aa2c0
12:28:16.487 Scan finished successfully
12:28:42.987 Disk 0 MBR has been saved successfully to "C:\Users\Creepy\Desktop\MBR.dat"
12:28:42.987 The log file has been saved successfully to "C:\Users\Creepy\Desktop\aswMBR.txt"

Mir fallen die beiden Zeilen ins Auge:
ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys >>UNKNOWN [0xfffffa80036aa2c0]<<
\Driver\atapi[0xfffffa80037c5820] -> IRP_MJ_CREATE -> 0xfffffa80036aa2c0

Wie ich das verstanden habe: Ein LeseSchreibzugriffsHandler im Adressbereich jenseits von Gut und Böse mit eigenem Dateisystem. Kann sowas sein. Bin kein Nerd ... leider. Nur ein Besorgter.
Danke im Vorraus und im Nachhinein dann sowieso.
Creepy Grüsse.

Du hast ja auch zwei Platten => 160 und 250 GB. Auf welcher ist Windows7 installiert?

Win7 ist installiert auf der 250Gb-Platte in einer 50Gb Partition.

Gruß

War auf dieser mal WinXP drauf?
Die 160er ist eine reine Datenplatte oder war auf dieser auch mal ein Windows installiert? Wenn ja welches?

Es war auf beiden Platten mal XP installiert. Also wenn das die Lösung ist, dann entschuldige, aber ich dachte ich hätte ne Formatierung gemacht vorher. Seltsam, daß da noch solche Überreste zu sehen sind.

Eine Formatierung allein überschreibt NICHT den MBR. Wenn du unbedingt einen Win7-konformen MBR haben willst, sicherst du erstmal alle wichtigen Daten und machst einen MBR-Fix mit aswMBR.