so - ich hab da jetzt genau neben C:\ WINDOWS> fixmbr eingtippt und dann enter
Dann kommt da eine Megawarnung:
Der MBR scheint ungültig oder nicht standardmäßig zu sein

Wenn Sie diesen Vorgang fortsetzen, wird FIXMBR wird möglicherweise die Partitionstabellen beschädigen.

Das kann dazu führen, dass auf keine Partition auf der aktuellen Festplatte zugegriffen werden kann etc. etc.
Sind Sie sicher, dass Sie einen neuen MBR schreiben möchten?

Sorry, dass ich da so oft nachfrage, aber das ist echt Neuland für mich und solche Warnmeldungen machen mir etwas Angst :confused:

Ja du bist sicher den MBR neu zu schreiben :D

mah bin total umsonst so nervös gewesen :)
also die letzen scanner die ich ausgeführt habe waren: TDSS (letze), Gmer (vorletze) und aswmbr (vorvorletzte) - welchen soll ich jetzt als erstes drüberrattern lassen?

lg

Erstmal nur GMER und aswMBR bitte

ok
anbei nun aswmbr - GMER kann ich erst wieder am Abend ausführen:

Sollte ok sein, man sieht aber auch kaum einen Unterschied zum vorherigen Log von aswmbr

Guten Morgen,

untenstehend nun auch der neue GMER log:

Hm, das angebliche MBR-Rootkit ist immer noch da :wtf:

Kennst du diese Partition? Sie wird in GParted als /dev/sda3 bezeichnet und hat eine Größe von etwa 1 GB (1027 MB)


Geh auch mal bitte in die Datenträgerverwaltung (klick auf Start/Ausführen, diskmgmt.msc eintippen und ok), maximiere das Fenster, erstell dann einen Screenshot und poste ihn hier.


Hier ein Beispiel wie die Datenträgerverwaltung aussieht:

http://www.administrator.de/images/a...0e4-iscsi5.jpg

hello,

nein - also ich hab sicher keine eigene partition erstellt. :eek: :confused:

wo kommt die her?
gibt es viren / trojaner die eine eigene partition erstellen können? Bzw. wie kann ich erkennen was da drauf ist?

Mir fällt grad ein, dass vor 2 - 3 Jahren mein Laptop ziemlich im Eimer gewesen ist (konnte nicht mehr hochfahren bzw. irgendwas auf dem ding steuern) und da ich das trojaner board damals nicht kannte, hat mein Mann gemeint, dass sein Freund (arbeitet in der IT Abteilung in einem großen Unternehmen) sich das Teil mal ansieht und versuchen könnte Daten zu retten. Daten wurden nur teilweise gerettet (falls das mal in den logfiles aufgetaucht ist - das sind die Ordner auf C die sich "Daten recovered" nennen) Ich schließe es aber aus, dass er eine Partition erstellt hat, weil er hätte es mir ja gesagt bzw. dem Ding wenigstens einen Namen gegeben.

anbei mal der screenshot

Das wird ja immer mysteriöser

NACHTRAG: hab jetzt mal versucht mit der rechten Maustaste die Eigenschaften dieser ominösen Partition anzuklicken - Fehlanzeige! Die Eigenschaften sind nicht anklickbar!!

ja gibt es, mir wäre es aber neu, dass die eine Partition mit satten 1000 MB erstellen :balla:
Ich habe bisher gesehen, dass v.a. Rootkits eine kleine (10 MB) Partition erstellen und diese als aktiv/bootfähig kennzeichnen. Normalerweise ist eine von Windows erstellte Partition aktiv und hat das bootflag. Wenn aber die Rootkit-Partition das hat, wird von ihr gebootet mit der Konsequenz, dass der Schädling schon aktiv wird bevor Windows gebootet ist

Lösch diese 1 GB Partition bitte, mach danach einen Neustart und einen neuen Screenshot der Datenträgerverwaltung und bitte auch einen neuen Scan mit GMER
Wenn du Recover-Discs hast bzw. eine normale WindowsXP-Installations-Disc XP, dann kannst du auch die RECOVERY Partition löschen

oh mann, das wird ja immer besser :/
so ich wollt das Ding jetzt löschen und jetzt schiebt windows folgende meldung:

Die gewählte Partition wurde nicht erstellt und enthält möglicherweise Daten die von anderen Betriebssystemen verwendet werden. Soll diese Partition gelöscht werden?

Ja lösch die ruhig mal

guti - hab ich gemacht und danach einen restart und nun anbei der neue screenshot.
vielleicht ist mir das jetzt nur so vorgekommen, weil ich während des neustartens kurz draußen war, aber mir kommt irgendwie vor, dass der kleine läppi etwas länger als gewohnt braucht - ist mir eigentlich schon aufgefallen, nachdem der combofix diese wiederherstellungsconsole erstellt hat - außerdem heizt sich der Kleine extrem auf :wtf:

EDIT
Oh mein Gott ich glaub jetzt hats ihn gschossen... Wollte mit Kaspersky eine schwachstellenüberprüfung machen, die hat sich nach 1 % aufghängt, dann hat meine i-net verbidnug auf einmal gemeldet, dass sie unsicher ist und ich hab daraufhin sofort das WLAN abgedreht, wollte wieder andrehen und dann ist er eingefroren. Hab, brutal wie ich bin, das knopfal gedrückt und in ausgeschalten. 1 min später nochmal an und jetzt geht nix mehr. Kurz bevor die anmeldemaske hätte kommen sollen, ist nun ein blauer ein XP Bildschirm und es wird gemeldet, dass das dateisytem c überprüft wird und das von CHKDSK - bei den indezes ist er hängen geblieben und zwar beim Index der Datei 33039 . Da soll irgend ein Fehler berichtigt werden... Gott was isn jetzt los???

Mach bitte neue Logs mit GMER und aswMBR

Hallo,

untenstehend der Gmer log:

irgendwie ist da immer noch was :/
aswmbr folgt
lg

so und nun auch der neue aswmbr log: