Hallo Christian,

was passiert genau? Bleibt der Scan bei einer bestimmten Datei stehen? Evtl. noch mal testen, bitte.

Moin,

ich bleibe nicht die ganze Zeit neben dran, bin aber der Meinung, dass er bis zum Ende scannt, dann aber nichts mehr geht.
Kopie kann ich klicken, dann kommt die Meldung, dass es im Zwischenspeicher ist.
Danach geht nichts mehr:

Hier mal ein Foto vom Bildschirm.


http://img251.imageshack.us/img251/7329/desktoplu.jpg

Christian

Es wird wohl eine Systemdatei manipuliert sein. Da sie bei laufendem Windows gesperrt ist, musst du von außen zugreifen, um sie auszutauschen.


Lad Dir bitte von hier eine saubere atapi.sys am besten direkt auf c: herunter, danach:

PartedMagic

1. Lade Dir das ISO-Image von PartedMagic herunter, müssten ca. 90 MB sein
2. Brenn es per Imagebrennfunktion auf CD, geht zB mit ImgBurn oder Nero per Imagebrennfunktion unter Windows
3. Boote von der gebrannten CD, im Bootmenü von Option 1 starten und warten bis der Linux-Desktop oben ist

http://www.raiden.net/images/article...tedmagic40.jpg

4. Du müsstest ein Symbol "Mount Devices" finden, das doppelklicken
5. Mounte die Partition wo Windows installiert ist, meistens ist es /dev/sda1
6. Benenne auf sda1 die Datei /windows/system32/drivers/atapi.sys um in atapi.bad
7. Kopiere die saubere atapi.sys in den Pfad hinein (/windows/system32/drivers) (müsste eigentlich alles ganz easy über den graphischen Dateibowser in Linux gehen)
8. Starte den Rechner neu und boote Windows
9. Die in Linux umbenannte Datei (atapi.bad in system32\drivers) bei Virustotal auswerten lassen und Ergebnislink posten
10. Einen neuen Durchlauf mit GMER machen und Log posten

Hallo Franz,

mein Problem ist nun, dass ich Windows garnicht mehr hochfahren kann.
Auch nachdem ich alles rueckgaengig gemacht habe.
PC bootet bis

@Verifying PMA POOL Data@ und startet dann neu.

hab ich was falsch gemacht_

gruss
Christian

Hast du die "alte" atapi.sys erst umbenannt und dann die frisch heruntergeladene atapi.sys an ihre Stelle kopiert (in windows\system32\drivers)?

Hallo Franz,
genau so habe ich es gemacht.

Nun faehrt er nicht mehr hoch und von CD bootet er auch nur, wenn ich F8 druecke.
Obwohl im BIOS zuerst CD, dann HD steht.

Christian

Hast du die umbenannte Datei, also die atapi.bad, bei Virustotal scannen können?

Hallo Franz,
habe es gerade mal gecheckt.
hier das Logfile
Virustotal. MD5: 9f3a2f5aa6875c72bf062c712cfa2674 Win32.Rootkit

Beim Kopieren der sauberen Datei muss etwas schiefgegangen sein. Ein anderer Grund dafür, dass der Rechner plötzlich nicht mehr hoch fährt, kommt eigentlich nicht in Frage.
Mach bitte die gesamte Prozedur mit der PartedMagic-CD noch einmal.

Moin,

hab alles nochmal gemacht, ausser die CD zu brennen.
Es sieht so aus, als ob garnichtb auf die Festplatte yugegriffen wird, yum booten.
was hat das mit dem mounten eigentlich auf sich?

Gruss
Christian

Mounten bedeutet, deine logischen Laufwerke für Linux - du hattest ja mit einer Linux-Live-CD gebootet - zugänglich zu machen. Linux verwendet im Gegensatz zu Windows keine Buchstaben für die logischen Laufwerke, sondern bindet sie bzw. ihre Dateistruktur quasi in seine "eigene" Struktur ein. So konntest du von Linux aus auf deine Dateien auf der Festplatte zugreifen.

Wenn der Rechner nach wie vor nicht von der Festplatte bootet, boote noch einmal Linux und benenne die atapi.bad wieder um in atapi.sys. Wir müssen dann noch mal aus einer anderen Richtung ran. :dummguck:

Hallo Franz,

nachdem nun doch alles wieder finktioniert, habe ich GMER nochmal gestartet.
diesesmal konnte ich das Log speichern, aber danach kein Firefox starten und den PC auch nicht herunterfahren --> RESET

hier das LOGGruss
Christian

GMER sieht gut aus. Was hast du gemacht, um den Rechner wieder ans Laufen zu bringen? Hat das Zurückbenennen ausgereicht?

Hallo Franz,

hatte es schon vor meinem letzten Posting zurückgeändert, hat nicht geklappt.
Hab dann die ganze Prozedur, wie schon geschrieben nochmal gemacht, hatte aber auch nichts gebracht.

Am nächsten Tag habe ich den PC eingeschaltet und es ging.
Kann aber nicht sagen warum

Meinst du mein PC ist asuber, oder sollte ich noch was unternehmen?

Gruss
Christian

Wir werden gucken, bis keine Malware-Einträge mehr zu sehen sind, aber das heißt grundsätzlich nicht, dass keine Malware mehr da ist. Eine Garantie auf einen sauberen Rechner gibt es grundsätzlich nur nach einer sachgerecht ausgeführten Neuinstallation.

Da GMER wider Erwarten keinen Hinweis auf ein Rootkit erbracht hat, möchte noch mal nachhaken: Führe dazu TDSS-Killer aus:

- Download von hier
- ZIP entpacken in einen eigenen Ordner
- ALLE Programme schließen, v.a. Virenscanner deaktivieren!
- Wenn Du aufgefordert wirst den PC neuzustarten, so drücke y um das zu tun
- nach dem Neustart Log vom TDSS-Killer posten (sollte direkt auf c: liegen)


Führe außerdem noch einmal aus:

1.) Malwarebytes (vorher aktualisieren), danach:

2.) RSIT, diesmal auch die info.txt posten