|
mbrcheck findet einen unbekannten MBR. Wir sollten den MBR manuell fixen. Sichere für den Fall der Fälle alle wichtigen Daten. Hast Du noch andere Betriebssysteme außer Vista installiert? Wenn nicht: Schau mal hier => Vista Notfall/Recovery-CD 32-Bit - Dr. Windows Lad das iso runter, brenn es zB mit ImgBurn per Imagebrennfunktion auf eine CD und starte damit den Rechner (von dieser CD booten). Falls Du eine normale Vista-Installations-DVD hast, brauchst Du das o.g. Image nicht sondern kannst einfach von der Vista-DVD booten. Klick auf Computerreparaturoptionen, weiter, Eingabeaufforderung - die Konsole öffnet sich. Da bitte bootrec.exe /fixboot eintippen (mit enter bestätigen), dann bootrec.exe /fixmbr eintippen (mit enter bestätigen) - Rechner neustarten, CD vorher rausnehmen. Erstell danach wieder neue Logs mit MBRCheck und wenn es geht GMER. |
Liste der Anhänge anzeigen (Anzahl: 1) Hi Arne, irgendwie bin ich nicht sicher, ob das alles richtig war. Alles neu für mich... - Bei mir ist nur Vista installiert - Von Dr.Windows das vista_recover_x86.iso runtergeladen - ImgBurn runtergeladen und installiert - Mit ImgBurn das iso-File auf CD gebrannt - Nach einigem Herumprobieren über F12 ins Bios und dort Start von CD an erste Stelle - Rechner von CD neu gestartet. Dabei laufen folgende Schritte ab: * Windows loading files * Windows installieren: Abfrage von Sprache, Zeit, Tastatur => Weiter * "Computerreparaturoptionen" gedrückt: Windowsinstallationen werden gesucht => MS Vista gefunden => Weiter * Screen "Systemwiederherstellungsoptionen" geht auf mit folgenden Optionen: a) Systemstartreparatur b) Systemwiederherstellung c) Windows Complete PC-Wiederherstellung d) Windows-Speicherdiagnosetool e) Eingabeaufforderung Da nicht wie von Dir beschrieben eine Konsole aufging, habe ich die Eingabeaufforderung gestartet (eine Art DOS-Prompt?) und dort hinter X:\Sources> bootrec.exe /fixboot eingetragen. Dies führt zu einer Meldung, dass kein erkanntes Dateisystem auf dem Datenträger vorhanden ist. Habe danach bootrec.exe /fixmbr eingegeben. Das wurde erfolgreich ausgeführt. Habe dann noch die Systemstartreparatur ausgeführt mit Ergebnis "Starthilfe hat kein Problem erkannt". Ich weiss somit nicht, ob das bis hierher alles korrekt war. Habe nach Neustart (ohne CD) den MBRCheck laufen lassen. Diesmal läuft er durch, erzeugt aber keinen Log auf dem Desktop. Hänge daher wieder das .gif dran. Zuletzt habeich nochmals GMER laufen lassen. Beim ersten Versuch wieder Abbruch, 2.Versuch erfolgreich. Hier der Log: GMER Logfile: Code: GMER 1.0.15.15572 - hxxp://www.gmer.netWie geht es nun weiter? Danke und viele Grüße, Reinhard |
Zitat:
Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! |
Hi Arne, ich hoffe dass wenigstens Du schon schläfst :crazy: Mich hat der eine SuperAnti-Scan von über 2 Stunden bis jetzt aufgehalten... Danke für Deine Erklärungen und Deine Geduld. Habe folgendes ausgeführt: - Malwarebytes gestartet, dabei wurde auf Update hingewiesen. Update gestartet, ist aber mit Error abgebrochen. - Malwarebytes deinstalliert - Auf dem Weg ins Forum zur Neuinstallation ist mein Rechner komplett eingefroren. Ging gar nichts mehr. Harter Abbruch/Neustart. - Malwarebytes neu installiert, upgedated und Fullscan laufen lassen. => Ein infiziertes Objekt gefunden => Entfernt Hier der Log: ****************** Malwarebytes' Anti-Malware 1.50.1.1100 www.malwarebytes.org Database version: 6506 Windows 6.0.6002 Service Pack 2 Internet Explorer 8.0.6001.19048 04.05.2011 21:27:13 mbam-log-2011-05-04 (21-27-12).txt Scan type: Full scan (C:\|D:\|) Objects scanned: 291301 Time elapsed: 1 hour(s), 3 minute(s), 38 second(s) Memory Processes Infected: 0 Memory Modules Infected: 0 Registry Keys Infected: 0 Registry Values Infected: 1 Registry Data Items Infected: 0 Folders Infected: 0 Files Infected: 0 Memory Processes Infected: (No malicious items detected) Memory Modules Infected: (No malicious items detected) Registry Keys Infected: (No malicious items detected) Registry Values Infected: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\qkkFOrQYoBSQl (Rogue.Agent.SA) -> Value: qkkFOrQYoBSQl -> Quarantined and deleted successfully. Registry Data Items Infected: (No malicious items detected) Folders Infected: (No malicious items detected) Files Infected: (No malicious items detected) ****************** - SuperAntiSpyware runtergeladen - Mit meinem Adminuser angemeldet und für alle User installiert - Alle weiteren Schritte bis zum Log laut Anleitung ausgeführt. => Nach über 2 Stunden beendet => Hier der Log: ****************** SUPERAntiSpyware Scan Log hxxp://www.superantispyware.com Generated 05/05/2011 at 00:17 AM Application Version : 4.51.1000 Core Rules Database Version : 6988 Trace Rules Database Version: 4800 Scan type : Complete Scan Total Scan Time : 02:03:47 Memory items scanned : 838 Memory threats detected : 0 Registry items scanned : 9084 Registry threats detected : 0 File items scanned : 168521 File threats detected : 0 ****************** Alles ab Schritt 4 der Anleitung habe ich nicht mehr ausgeführt, da es wohl nichts zu löschen gibt. Warte auf Deine Anweisungen, ob da noch etwas zu tun ist mit neuem Booten oder ähnliches. Was mich noch etwas verwundert hat, wo ich aber nicht weiss ob es mit dem Virus zusammenhängt ist, dass ich als Adminuser mein Word-File, in dem ich den Ablauf grob festhalte, zwar unter "Dokumente" des anderen Users öffnen , aber nicht mehr abspeichern konnte (Ordner schreibgeschützt). Zum einen weiss ich nicht, warum die Ordnerstruktur schreibgeschützt is, zum anderen habe ich das Häkchen bei den Properties entfernt, woraufhin die gesamte Struktur (angeblich) auf nicht schreibgeschützt gesetzt wurde. Beim nächsten Versuch war aber immer noch alles schreibgeschützt. Bekomme es nicht weg... Falls Dir dazu etwas einfällt, bin ich für alles dankbar. Bitte lass mich wissen, wie es weiter geht. Nochmals vielen Dank und Grüße, Reinhard |
Sieht ok aus, da wurden nur ein Überrest gefunden. Noch Probleme oder weitere Funde in der Zwischenzeit? |
Hallo Arne, zunächst noch einmal vielen herzlichen Dank für Deine schnelle und geduldige Unterstützung. Auch wenn ich nicht allzu viel davon verstanden habe, was ich auf Deine Anweisung durchgeführt habe, so habe ich dennoch in der letzten Woche mehr über meinen Rechner erfahren als in vielen Jahren zuvor. Dennoch hätte ich nun noch einige - hoffentlich abschließende - Probleme und Fragen: 1) Bereits vor dem Virusbefall ist der Rechner immer wieder für ein paar Minuten "eingefroren", bevor er sich wieder bedienen ließ. In den letzten Tagen war das häufiger und in kürzeren Abständen der Fall als zuvor. Hast Du Ideen oder Ansätze, woran das liegt, ob es etwas mit dem Virus zu tun hatte und was ich machen sollte um das zu beheben? 2) Ist durch eines der installierten Programme eine Prüfung aktiviert worden, die mir nach dem Rechnerstart mitteilt, dass einige Autostartprogramme blockiert wurden? Diese Info hatte ich früher nicht erhalten 3) Was mache ich nun mit den installieren Programmen oder Verzeichnissen? a) Ordner _OTL: Löschen? b) Welche Programme kann ich denn selbst immer wieder mal laufen lassen oder anderweitig nutzen, ohne etwas kaputt zu machen? - Malwarebytes - SuperAntiSpyWare - OTL - CCleaner - Combofix - GMER - OSAM - MBRCheck - Unhide - ImgBurn 3) Da ich Avira Antivir auf dem Rechner habe, verträgt sich das z.B. mit SuperAntiSpyWare? Wäre super, wenn Du mir noch mitteilen könntest, was davon ich deinstallieren/löschen kann/sollte und was dauerhaft brauchbar wäre. Vielen Dank und Grüße, Reinhard |
1) Beachten und umsetzen => http://www.trojaner-board.de/71631-p...samer-tun.html 2) Fehlermeldung "Einige Autostartprogramme wurden geblockt" beim Starten eines Windows Vista-Computers 3) Die können alle wieder runter a) ja b) nur Malwarebytes hin und wieder wäre was, ist aber kein Muss. Natürlich muss es vor jedem Scan aktualisiert werden! 4) SASW sollst du wieder deinstallieren Dann wären wir durch! :abklatsch: Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern. Microsoftupdate Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Windows Vista/7: Anleitung Windows-Update PDF-Reader aktualisieren Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader. Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink: Mozilla und andere Browser => http://filepony.de/?q=Flash+Player Internet Explorer => http://fpdownload.adobe.com/get/flas..._player_ax.exe Java-Update Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es. |
Hi Arne, auch jetzt noch einmal vielen Dank für die letzten Infos und Tips. Um 1) und 2) werde ich mich noch in Ruhe kümmern. 3) Bis auf Malwarebytes,7-Zip und ImgBurn habe ich alles andere entfernt oder deinstalliert 4) SASW ebenfalls deinstalliert Bezüglich der Updates folgenden Stand: - Vista hat neuesten Stand - Adobe Reader deinstalliert - FoxIt installiert (dazu auch noch PDF Creator) - Adobe Flash Player installiert - Java habe ich bisher wohl nicht auf dem Rechner :dankeschoen: für alle Tips, Anleitungen und geduldigen Erklärungen. Und weiter viel Erfolg bei der Unterstützung von naiven Geplagten wie mir :applaus::applaus::applaus: Viele Grüße, Reinhard |
Viel Erfolg bei der Updaterei und virenfreies Surfen! :daumenhoc |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 12:47 Uhr. |
Copyright ©2000-2025, Trojaner-Board