Trojaner-Board - Vista-Pc von GVU Trojaner befallen- bitte Hilfe!

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Vista-Pc von GVU Trojaner befallen- bitte Hilfe! (https://www.trojaner-board.de/126218-vista-pc-gvu-trojaner-befallen-bitte-hilfe.html)

Vista-Pc von GVU Trojaner befallen- bitte Hilfe!

Hallo Zusammen!

Mein Schwiegervater hat sich einen Trojaner eingefangen. Es kam die Seite mit der Urheberrechtsverletzung. Nach einer Systemwiederherstellung lief der Rechner erstmal wieder. Nun wollte ich das Vista Servicepack 1 installieren.

Jetzt startet der Rechner nicht mehr hoch. Er kommt nur bis zum Ladebalken von Vista und geht dann wieder aus. Im abgesicherten Modus kommt er bis zur bmload.sys und schaltet sich dann ebenfalls aus.

Kann mir jemand helfen?

Vielen Dank

Ame

Zitat:

Nach einer Systemwiederherstellung lief der Rechner erstmal wieder. Nun wollte ich das Vista Servicepack 1 installieren.

Nur SWH oder hast du richtig formatiert und neu installiert bzw recovert?

erst habe ich nur die Wiederherstellung gemacht.

Mittlerweile war mir alles egal und ich hab recovert.
Ist der Trojaner jetzt weg oder versteckt der sich noch irgendwo?

Wenn du recovert hast wird ein Schädling das nicht überleben
Es sei denn du hattest zB einen infizierten MBR und der wurde nicht neu geschrieben

okay, danke.
Wie finde ich das raus?

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

Hinweis: Bitte den Virenscanner abstellen bevor du aswMBR ausführst, denn v.a. Avira meldet darin oft einen Fehalalrm!

Starte die aswMBR.exe Vista und Win7 User aswMBR per Rechtsklick "als Administrator ausführen"
Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
Klicke auf Scan.
Warte bitte bis Scan finished successfully im DOS Fenster steht.
Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

Noch ein Hinweis: Sollte aswMBR abstürzen und es kommt eine Meldung wie "aswMBR.exe funktioniert nicht mehr, dann mach Folgendes:
Starte aswMBR neu, wähle unten links im Drop-Down-Menü (unten links im Fenster von aswMBR) bei "AV scan" (none) aus und klick nochmal auf den Scan-Button.

Hallo!

Hier die aswMBR.txt

Danke schonmal!

Die Logs bitte nur in den Anhang (gezippt) legen, wenn sie zu groß sind um direkt gepostet zu werden!
Ansonsten bitte alles nach Möglichkeit hier in CODE-Tags posten. Das ist einfacher übersichtlicher und man spart sich ne Menge Rumklickerei

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:

hier steht das Log

ich versuchs mal:

Code:

 aswMBR version 0.9.9.1665 Copyright(c) 2011 AVAST Software

Run date: 2012-10-28 20:53:46

-----------------------------

20:53:46.792    OS Version: Windows 6.0.6000 

20:53:46.792    Number of processors: 2 586 0xE0C

20:53:46.792    ComputerName: WERNER-PC  UserName: Werner

20:53:47.854    Initialize success

20:54:51.060    AVAST engine defs: 12102800

20:55:09.607    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP1T0L0-1

20:55:09.623    Disk 0 Vendor: Hitachi_HTS541616J9SA00 SB4OC70P Size: 152627MB BusType: 3

20:55:09.638    Disk 0 MBR read successfully

20:55:09.638    Disk 0 MBR scan

20:55:09.685    Disk 0 unknown MBR code

20:55:09.701    Disk 0 Partition 1 00     1C Hidd FAT32 LBA MSDOS5.0     7000 MB offset 2048

20:55:09.716    Disk 0 Partition 2 80 (A) 07    HPFS/NTFS NTFS        76313 MB offset 14338048

20:55:09.732    Disk 0 Partition - 00     0F Extended LBA             69312 MB offset 170627072

20:55:09.763    Disk 0 Partition 3 00     07    HPFS/NTFS NTFS        69311 MB offset 170629120

20:55:09.779    Disk 0 scanning sectors +312578048

20:55:09.873    Disk 0 scanning C:\Windows\system32\drivers

20:55:21.966    Service scanning

20:55:54.873    Modules scanning

20:56:05.966    Disk 0 trace - called modules:

20:56:05.998    ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll ataport.SYS pciide.sys PCIIDEX.SYS atapi.sys 

20:56:06.013    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x84d6dad8]

20:56:06.013    3 ntkrnlpa.exe[81cb07e2] -> nt!IofCallDriver -> [0x8440d928]

20:56:06.029    5 acpi.sys[8046932a] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP1T0L0-1[0x83a4d678]

20:56:06.654    AVAST engine scan C:\Windows

20:56:10.529    AVAST engine scan C:\Windows\system32

21:03:07.810    AVAST engine scan C:\Windows\system32\drivers

21:03:38.966    AVAST engine scan C:\Users\Werner

21:04:03.638    AVAST engine scan C:\ProgramData

21:04:22.185    Scan finished successfully

21:04:45.710    Disk 0 MBR has been saved successfully to "C:\Users\Werner\Desktop\MBR.dat"

21:04:45.710    The log file has been saved successfully to "C:\Users\Werner\Desktop\aswMBR.txt"

Zitat:

20:55:09.685 Disk 0 unknown MBR code

Der wird als unbekannt eingestuft. Kann aber auch sein, dass aswMBR den nicht kennt, weil der Hersteller den MBR für Recoveryfunktionen verändert hat, der also deswegen von einem Standard-Windows-MBR abweicht.