Trojaner-Board - Wahrscheinlich neuer Virus: Avast VisthAux.exe deaktiviert und erster Sektor der Festplatte kann nicht gelesen werden

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Wahrscheinlich neuer Virus: Avast VisthAux.exe deaktiviert und erster Sektor der Festplatte kann nicht gelesen werden (https://www.trojaner-board.de/124918-wahrscheinlich-neuer-virus-avast-visthaux-exe-deaktiviert-erster-sektor-festplatte-gelesen.html)

Hab ich gesehen, ist auch unauffällig :)

Noch was:

Bitte nutze den Link zum Download, du hast ja 64 bit.

Downloading Farbar Recovery Scan Tool

Dann ist der Filename auch frst64.exe

Hier das frst64 log im Anhang:

So, jetzt, da das erledigt ist, muß ich dringend einkaufen. Bis später und danke im voraus.

Zitat:

1 Drive c: (BOOT) (Fixed) (Total:49.91 GB) (Free:22.81 GB) NTFS
2 Drive d: (DATA) (Fixed) (Total:415.75 GB) (Free:271.16 GB) NTFS
4 Drive g: (GRMCHPXFREO_DE_DVD) (CDROM) (Total:2.97 GB) (Free:0 GB) UDF
5 Drive h: (FLASH DISK) (Removable) (Total:7.55 GB) (Free:6.29 GB) FAT32
6 Drive x: (Boot) (Fixed) (Total:0.03 GB) (Free:0.03 GB) NTFS
7 Drive y: (System-reserviert) (Fixed) (Total:0.1 GB) (Free:0.06 GB) NTFS ==>[System with boot components (obtained from reading drive)]

Kennst Du alle aufgelisteten Laufwerke?

Zitat:

Zitat von schrauber (Beitrag 928779)

Kennst Du alle aufgelisteten Laufwerke?

Bei x bin ich mir nicht sicher. y scheint die 100 MB Partition von Windows 7 zu sein, die mit den Bootdateien.

Irgendwie sind die Logs bis jetzt alle nur halb-gar. Ich sehe Teamviewer, hast Du den installiert?

Downloade dir bitte Farbar's Service Scanner

Starte das Tool mit Doppelklick auf die FSS.exe
Gehe sicher, dass folgende Optionen angehakt sind.
- Internet Services
- Windows Firewall
- System Restore
- Security Center/Action Center
- Windows Update
- Windows Defender
- Other Services
Klicke auf Scan.
Wenn das Tool fertig ist, wird es eine FSS.txt in dem Verzeichnis erstellen, wo das Tool gelaufen ist.

Poste bitte den Inhalt hier.

Ausserdem noch das hier bitte:

Downloade dir bitte Download UNetbootin, Universal Netboot Installer from SourceForge.net & http://noahdfear.net/downloads/boota...xpud-0.9.2.iso auf deinem Desktop.

Schließe deinen USB Stick an.
Gehe auf Start > Arbeitsplatz ( Computer ).
Rechtsklick auf deinen USB Stick --> Formatieren --> Schnellformatierung.
Starte die unetbootin-xpud-windows-387.exe
Wähle DiskImage aus.
KLicke auf die den ... Button und navigiere zu der vorher herunter geladenen xPUD-0.9.2.iso Datei.
Gehe sicher, dass unter Drive: der Laufwerksbuchstabe deines USB Sticks gewählt ist und klicke OK.
Dies wird einen bootbaren USB Stick erstellen.
Das Tool wird dich auffordern, den PC neu zu starten. Dies ist nicht notwendig. Schließe es einfach.

Downloade dir bitte Noahdfear's Dumpit
Speichere diese auf den xPUD USB Stick.

Starte deinen Rechner neu auf.

Du wirst sehr früh am Desktop folgendes lesen.

Zitat:

Press Fx to select boot device

x steht für eine beliebige Zahl. Drücke diese Taste um in die Boot- Optionen zu gelangen.
Hier musst du den USB Stick auswählen. Kann jetzt namentlich erwähnt werden oder auch USB-HDD genannt sein.
Da ist jedes Bios verschieden.
Wenn alles richtig gemacht wurde, wird xPUD starten.
Wähle als Sprache bitte Englisch.
In xPUD wähle bitte File --> mnt und wähle deinen USB Stick. ( sdb1 ? )
Auf diesem sollte sich nun eine Datei namens dumpit befinden.
Doppelklick auf diese und drücke Enter um es zu beenden.
Starte den Rechner neu auf.
Auf deinem USB Stick sollte sich eine MBR.zip Datei befinden. Bitte hänge diese in deiner nächsten Antwort an

Ja, ich habe Teamviewer installiert.

Hier das gewünschte Log:

Code:

Farbar Service Scanner Version: 19-09-2012

Ran by Micha (administrator) on 02-10-2012 at 21:55:27

Running from "C:\Users\Micha\Desktop"

Microsoft Windows 7 Home Premium  Service Pack 1 (X64)

Boot Mode: Normal

****************************************************************
 

Internet Services:

============
 

Connection Status:

==============

Localhost is accessible.

LAN connected.

Attempt to access Google IP returned error: Google IP is offline

Google.com is accessible.

Yahoo IP is accessible.

Yahoo.com is accessible.
 
 

Windows Firewall:

=============
 

Firewall Disabled Policy: 

==================

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]

"EnableFirewall"=DWORD:0
 
 

System Restore:

============
 

System Restore Disabled Policy: 

========================
 
 

Action Center:

============
 

Windows Update:

============
 

Windows Autoupdate Disabled Policy: 

============================
 
 

Windows Defender:

==============
 

Other Services:

==============
 
 

File Check:

========

C:\Windows\System32\nsisvc.dll => MD5 is legit

C:\Windows\System32\drivers\nsiproxy.sys => MD5 is legit

C:\Windows\System32\dhcpcore.dll => MD5 is legit

C:\Windows\System32\drivers\afd.sys => MD5 is legit

C:\Windows\System32\drivers\tdx.sys => MD5 is legit

C:\Windows\System32\Drivers\tcpip.sys => MD5 is legit

C:\Windows\System32\dnsrslvr.dll => MD5 is legit

C:\Windows\System32\mpssvc.dll => MD5 is legit

C:\Windows\System32\bfe.dll => MD5 is legit

C:\Windows\System32\drivers\mpsdrv.sys => MD5 is legit

C:\Windows\System32\SDRSVC.dll => MD5 is legit

C:\Windows\System32\vssvc.exe => MD5 is legit

C:\Windows\System32\wscsvc.dll => MD5 is legit

C:\Windows\System32\wbem\WMIsvc.dll => MD5 is legit

C:\Windows\System32\wuaueng.dll => MD5 is legit

C:\Windows\System32\qmgr.dll => MD5 is legit

C:\Windows\System32\es.dll => MD5 is legit

C:\Windows\System32\cryptsvc.dll => MD5 is legit

C:\Program Files\Windows Defender\MpSvc.dll => MD5 is legit

C:\Windows\System32\ipnathlp.dll => MD5 is legit

C:\Windows\System32\svchost.exe => MD5 is legit

C:\Windows\System32\rpcss.dll => MD5 is legit
 
 

**** End of log ****

Hast Du gesehen dass ich zwei sachen gepostet hab?

Zitat:

Zitat von schrauber (Beitrag 929129)

Hast Du gesehen dass ich zwei sachen gepostet hab?

Bis heute morgen nicht, sorry. Hab den XPud Stick erstellt, jedoch kam eine Windows Meldung, daß das Programm evtl nicht richtig installiert sei. Ich wählte "Das Programm ist richtig installiert".

Dann hab ich vom USB Stick gestartet, Sprache englisch gewählt, da lud er. Plötzlich brach alles ab mit der Meldung "Server error: No Screens found".

Leider konnte ich also den MBR nicht dumpen.

Hast du es mehrfach versucht?

Zitat:

Zitat von schrauber (Beitrag 929402)

Hast du es mehrfach versucht?

Ja. Ich habe sogar das Programm und die Iso-Datei umbenannt. Ich hab sogar mit empfolenen Einstellungen das Programm installiert.

Ich kann vom USB Stick starten und die Sprache wählen. Dann bricht er ab mit "Server Error: No Screens found".

Ich habe das Gefühl, daß der Hacker weiß, was er tut. Seit ich den Trojaner habe, kann ich einige Isos nicht mehr erfolgreich brennen (CD läuft nicht) und ich habe das Gefühl, daß der die hier vorgestellten Programme alle kennt. Die mir unbekannte Partition war 0,3 GB groß also rund 300MB. Das ist natürlich ne Menge Platz für einen Schädling und ich bin mir nicht sicher, ob wir dem mit konventionellen Mitteln beikommen.

Nebenbei gesagt: Danke, daß du dir auch am Feiertag Zeit für mich nimmst.

Die Scans sind auch alle unauffälig, also brauch ich nen MBRdump von aussen, damit wir da was sehen.

Lad bitte xpud neu und fang von vorne an, vielleicht ist Datei fehlerhaft.

Ich hab alles neu heruntergeladen und es kommt die bekannte Fehlermeldung. Unter anderem "Unable to connect to X Server".

So kommen wir nicht weiter.

Ok, gedulde dich bitte ein wenig, ich schnacke mal ne runde mit dem Autor.

Ich hab meine Linux Mint 12 Live CD gestartet, aber da macht das Dumping Programm Probleme und es heißt, ich könne es nicht korrekt öffnen. Sollte ich weitermachen, könnten Informationen verloren gehen.

Ich hab versucht, was ich kann.